電子物證檢驗鑒定中數據恢復技術探析

楊柳 魏龍飛 李程遠

摘 ?要：電子物證鑒定技術在進步，犯罪嫌疑人的反偵察意識和技巧也在不斷增強，由于網絡犯罪的迅猛增加，電子數據恢復的關鍵性凸顯，本文通過介紹數據恢復的方式和工具，來探析如何運用數據恢復技術來更好的開展電子物證鑒定工作。

關鍵詞：電子物證;數據恢復;計算機取證;計算機犯罪

0 ?引言

隨著計算機技術和網絡技術的發展和普及，各類違法犯罪案件中越來越多地涉及有大量直接證明犯罪活動信息的電子數據，但是這類數據大部分會戰案發后被刪除，如果能夠正確利用數據恢復工具找出犯罪數據形成證據鏈條，可以在犯罪偵查和法庭審判中發揮出巨大的作用。

1 ?數據恢復技術的作用

（1）數據恢復技術定義

數據恢復是指利用技術手段，將由于硬件損毀、人為誤操作、病毒入侵、黑客攻擊或者操作系統本身故障等情況而導致的電子設備中存儲的丟失的電子信息或者電子數據還原恢復的過程。

（2）數據恢復的對象

電子設備通常包括計算機硬盤、內存及其他存儲介質，包括移動存儲器（可移動硬盤、U盤、各類軟盤、磁帶、光盤等）、記憶卡（如數碼相機、手機、MP3、MP4、PDA等的擴展存儲卡等）。

（3）數據恢復技術的關鍵性

隨著網絡技術的快速發展和職能手機的迅速普及，成為了很多犯罪案件的工具，如何通過電子物證鑒定工作提取掌握嫌疑人的犯罪方法、勾連渠道是電子物證鑒定的重要內容。電子物證鑒定技術在進步，犯罪嫌疑人的反偵察意識和技巧也在不斷增強，犯罪嫌疑人會想法設法在作案后將數據和痕跡及時刪除，使得有價值的證據被銷毀，影響案件偵破。這就需要運用數據恢復技術，對硬盤、閃存等存儲設備中被刪除的數據文件進行恢復，找出電子數據與案件事實的客觀聯系，還原計算機犯罪案件現場，提高犯罪偵查效率和能力。

2 ?數據恢復方法

數據恢復一般分為兩類，分別是基于硬件數據恢復和軟件數據恢復。硬件數據恢復是指通過物理維修而使得硬盤或者其他存儲介質正常使用，從而把無法讀取的數據進行獲取;軟件恢復是指通過軟件修復引導區等方式將存儲單元或區塊中未被覆蓋的數據進行讀取，并不設計硬件的維修和更換。

（1）基于硬件的數據恢復

硬件數據故障主要是由于電路故障、機械故障、磁盤劃傷和存儲介質老化而造成的數據損壞、無法讀取或者識別。一般通過對存儲盤片外的電路板、控制芯片等更換、修復來進行，主要使用的修復工具是PC3000、HIE（Hardware ld Extracto）等;另外一種是采取實驗室的專業方法在100級以上的無塵空間拆盤更換磁頭對盤片直接讀取。

（2）基于軟件的數據恢復

由于人為的誤操作而造成的文件刪除、磁盤格式化、分區表、引導扇區等信息受損、電腦突然斷電而使得數據丟失，包括病毒感染和操作系統問題可以運用軟件來進行恢復。軟件數據恢復。公安部認可的具有法律效力的數據恢復軟件有11 款：Encase、Forensic Toolkit、X-Ways Forensic、FinalData、EasyReCovery、FileRecovery、PhotoRecovery、Recover My File、Recover4all、R-Studio、Macforensiclab。

3 ?常用的數據恢復工具功能及比較

數據恢復工具種類很多，但是由于底層數據采用的算法不同，恢復出的數據有很大差異。要想獲取較完整的數據，需要用多種工具對數據備份進行多方法取證和分析。實驗室數據恢復常用的軟件主要有EasyRecovery、FinalData、PhotoRecovery等。

（1）EasyRecovery

該軟件功能全面，能夠恢復丟失的數據以及重建文件系統，它不改變原始驅動器，通過在內存中重建文件分區表使數據能夠安全的傳輸到其他驅動器中。軟件可直接按照簇來進行硬盤掃描，對于恢復給定條件（如文件名、文件類型）的文件，優先使用EasyRecovery檢驗。

（2）FinalData

該軟件支持FAT16/32和NTFS，可以恢復完全刪除的數據和目錄，并且界面非常友好，是按照windows資源管理器的模式進行排布的，非常適合初接觸數據恢復用戶，并且速度快捷，在一般使用中，恢復全部文件，優先使用FinalData檢驗。

（3）PhotoRecovery

這是一款專門恢復圖片數據的軟件，主要用于恢復硬盤、數碼相機存儲卡等上刪除的圖片、電影文件及聲音文件等數字媒體文件。該軟件專設圖片預覽窗口，并能及時查看所恢復出來的縮略圖，非常直觀和方便，還有可能恢復出已被覆蓋的圖片信息，恢復圖像文件，優先使用PhotoRecovery檢驗。

4 ?結束語

本文主要介紹了電子物證鑒定中數據恢復方法和主要工具，以及不同取證工具的特點和優勢，由于在計算機犯罪偵察中所遇到的情況不同，本文主要實際工作中的具體情況推薦較為合適的數據恢復技術和方法和工具，為其他鑒定工作中的數據恢復提供借鑒。

參考文獻：

[1]仇新梁，李敏.國家電子物證檢驗標準分析[J].保密科學技術，2010（11）.

[2]楊永川.計算機取證 [M].北京：高等教育出版社，2008.

[3]鮑麗春.計算機數據恢復技術探討[J].信息系統，2012（1）.