淺談數據恢復在檢察機關自偵案件中的應用

【摘要】面對高智商職務犯罪嫌疑人惡意刪改數據、惡意損壞存儲載體致使數據丟失的問題，通過數據恢復技術手段最大限度地還原了案件真實情況，為職務犯罪案件的順利查辦提供技術支撐，發揮了電子證據在案件初查過程中的指向作用、在案件偵查過程中的定案作用以及在案件審判過程中的佐證作用。

【關鍵詞】數據恢復;職務犯罪;檢察機關

目前檢察機關在電子證據分析方面又普遍存在數據恢復速度慢、分析繁瑣的問題，必須不斷地調整鑒定的方法與手段，以適應檢察機關新的案件形式和證據形式的發展顯得越來越重要，而這也對硬盤數據恢復、取證、電子物證固化技術手段提出了更高的要求。

一、數據恢復原理

數據恢復就是把由硬件缺陷導致不可訪問或不可獲得、或由于誤操作等各種原因導致丟失的數據還原成正常數據。文件之所以能被恢復，須從硬盤的物理結構（如圖1所示）、文件在硬盤上的數據結構和文件的儲存原理談起。

1.硬盤的物理結構

圖1 硬盤的物理結構

2.數據結構

硬盤的一般要分成主引導扇區（MBR）、操作系統引導扇區（DBR）、文件分配表（FAT）、目錄區（DIR）和數據區（DATA）五部分。硬盤的五部分中，硬盤文件的數據區雖然占了絕大部分空間，但只有在前面各部分完整存在的情況下，數據區才有實際意義。一般的刪除是文件分配表中的前兩個代碼被系統修改，只是作了已刪除的標記，同時文件所占簇號在文件分配表中的記錄被清零，該文件所占空間從而得以釋放。文件被刪除后雖然硬盤剩余空間增加了，但文件的真實內容仍保存在數據區，新數據寫入時原數據才會被新內容覆蓋，而覆蓋之前原數據是一直保留的。在文件刪除與恢復中，文件分配表的目錄區起了重要作用，系統通常會存放兩份相同的文件分配表來保證數據的安全;而目錄區中的信息記錄了文件的起始單元、文件屬性、文件大小等數據，這些信息則定位了文件數據在磁盤中的具體保存位置，其中文件的起始單元是最重要的部分。在定位文件時，操作系統會根據目錄區中記錄的起始單元、同時結合文件分配表區知曉文件在磁盤中的具體位置和大小。

通常，新的硬盤需分區、格式化后才能安裝系統使用。如果整個硬盤分了三個區，其結構則如圖2所示。

圖2 硬盤的分區

硬盤分區相關數據結構的構成詳解如下。

MBR，即主引導紀錄，位于整個硬盤的0柱面0磁道1扇區，共占用了63個扇區，但實際只使用了1個扇區（512字節）。在總共512字節的主引導記錄中，MBR又可分為三部分：第一部分：引導代碼，占用了446個字節;第二部分：分區表，占用了64字節;第三部分：55AA，結束標志，占用了兩個字節。引導代碼的作用：就是讓硬盤具備可以引導的功能。如果引導代碼丟失，分區表還在，那么這個硬盤作為從盤所有分區數據都還在，只是這個硬盤自己不能夠用來啟動進系統了。EBR，也叫做擴展MBR（Extended MBR）。因為主引導記錄MBR最多只能描述4個分區項，如果想要在一個硬盤上分多于4個區，就要采用擴展MBR的辦法。

文件分配表（File Allocation Table，FAT），是DOS/Win9x系統的文件尋址系統，為了數據安全起見，FAT一般做兩個，第二FAT為第一FAT的備份， FAT區緊接在OBR之后，其大小由本分區的大小及文件分配單元的大小決定。

目錄區（Directory，DIR），是緊接在第二FAT表之后，只有FAT還不能定位文件在磁盤中的位置，FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時，操作系統根據DIR中的起始單元，結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之后，才是真正意義上的數據存儲區，即DATA區。

數據區（DATA）雖然占據了硬盤的絕大部分空間，但沒有了前面的各部分，它對于我們來說，也只能是一些枯燥的二進制代碼，沒有任何意義。我們通常所說的格式化程序（指高級格式化，例如DOS下的Format程序），并沒有把DATA區的數據清除，只是重寫了FAT表而已，至于分區硬盤，也只是修改了MBR和OBR，絕大部分的DATA區的數據并沒有被改變。

MBR、EBR是分區產生的，而每一個分區又由DBR、FAT1、FAT2、DIR、DATA等5部分組成，C盤的數據結構如圖3所示。

圖3 C盤的數據結構

二、數據恢復軟件和方法

在取證過程中，必須首先保護目標計算機系統，避免發生任何的改變、傷害、數據破壞或病毒感染;搜索目標系統中的所有文件：包括現存的正常文件，已經被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件、受到密碼保護的文件和加密文件;全部（或盡可能）恢復發現的已刪除文件;最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容。在實際電子數據檢驗鑒定工作中，采用成熟穩定的工具能達到事半功倍的效果：

1.R-Studio是功能超強的數據恢復、反刪除工具，采用全新恢復技術，為使用 FAT12/16/32、NTFS、NTFS5（Windows 2000系統）和 Ext2FS（Linux系統）分區的磁盤提供完整數據維護解決方案。

2.Winhex是德國人開發的五星上將級16進制編輯軟件，其附帶的及其變通的數據恢復功能及其強大。在掌握了文件系統基礎原理之后，你會對WinHex愛不釋手，不愿再使用其他數據恢復軟件。WinHex是WINDOWS下數據恢復的第一數據恢復軟件，進入系統，首先要用WinHex來檢測判斷故障。并可直接恢復剪切刪除、目錄無法讀取、分區丟失、誤克隆、加密、RAID、目錄隱藏、壞扇區等大多數類型故障。

三、電子證據在檢察機關應用中存在的主要問題

1.辦案人員重視不夠、能力不高

一方面，受固有觀念制約，辦案人員對傳統的書證、物證敏感度較強但對電子證據缺乏重視，造成很多重要的資料沒有被及時發現。另一方面，由于檢察機關的技術人員對電子證據的提取還缺乏足夠的專業知識，整個檢察系統對此也缺乏相關的系統性培訓，技術人員電子取證水平普遍較低。

2.標準欠缺、規范缺乏

電子證據是一個新的概念，最高人民檢察院對于電子證據的提取也沒有出臺相應的標準操作流程，偵查人員和技術人員往往僅憑經驗進行，有可能破壞證據的完整性，對提取證據產生影響。在勘查過程中，目標設備或系統的相關信息記錄不全，如未詳細記錄電子設備或系統的名稱、網絡地址等信息，勘查時未全程錄像，錄像資料未保存，提取的電子證據沒有清單及封存記錄，導致所提取的電子證據的真實性受到質疑。

四、結語

本文通過對數據恢復技術的研究對數據恢復技術的原理進行了闡述，并介紹了數據恢復中可以使用的恢復軟件為數據恢復提供了參考方法。

參考文獻

[1]劉偉.數據恢復技術深度揭秘[M].北京：電子工業出版社，2010：56-59.

[2]高志鵬，張志偉.識數尋蹤：WinHex應用與數據恢復開發秘籍[M].北京：人民郵電出版社，2013：102-105.

[3]戴士劍.數據恢復技術[M].北京：電子工業出版社，2005：80-86.