淺談數據恢復技術在電子物證檢驗中的應用

1 電子物證與數據恢復的基本知識

1.1 電子物證概念

電子物證是指以存儲于介質載體中的電磁記錄或光電記錄對案件事實起證明作用的電子信息數據及其附屬物。因此總體上對計算機上的數據恢復，包括客戶端數據恢復和網絡服務器端數據恢復。

電子證據的來源很多，主要有系統日志IDS、防火墻、ftp、www和反病毒軟件日志，系統的審計記錄，網絡監控流量，E-mail，Windows操作系統和數據庫的臨時文件或隱藏文件，數據庫的操作記錄，硬盤驅動的交換分區、slack區和空閑區，軟件設置，完成特定功能的腳本文件，Web瀏覽器數據緩沖，書簽、歷史記錄或會話日志、實時聊天記錄等。

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。同時，網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。

所以不單針對客戶機犯罪，網絡服務器也經常遇到網絡攻擊，刪除、修改目標計算機上的數據，這些數據的丟失或許會給國家、人民造成重大損失，因此探討更多的數據恢復的方法以及在取證過程中應遵循的一些程序和規則，就顯得尤為重要。

1.2 數據恢復基礎知識

不管是客戶機還是網絡服務器，其存儲的數據都是存儲于硬盤等存儲介質內，對于弄明白硬盤的結構及數據的存儲方式，對于數據恢復會起到很大的指導作用。

剛生產出來的硬盤要先分區、格式化，然后再安裝操作系統。而這一過程，要將硬盤分成主引導（MBR）、操作系統引導記錄（DBR）、FAT表、DIR目錄區和DATA數據區等五個部分。

MBR位于整個硬盤的0磁道0柱面1扇區中，512字節的主引導扇區中，MBR占了446字節，另外的64字節交給DPT（硬盤分區表），最后兩個字節“55AA”是分區結束標志。

DBR位于硬盤的0磁道1柱面1扇區，是操作系統直接訪問的第一個扇區，它包括引導程序和BPB分區參數記錄表，最后結束標志為“55AA”。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數，分配單元的大小等參數。

在FAT區之后便是DIR目錄區與DATA數據區，其中目錄區起到定位的作用，通過這些目錄可以找到相應的數據。數據區是真正存儲數據的地方。

1.3 數據恢復原理

客戶機及網絡服務器上存儲、處理的數據都保存在硬盤等存儲介質內。數據恢復總體分為軟件恢復和硬件恢復。但在電子物證檢驗中大多指的就是軟件恢復。案件中涉及到的恢復類型有格式化恢復、刪除恢復、全盤掃描恢復、底層數據解析恢復、網絡數據恢復等。

數據區沒有被徹底覆蓋，保護措施到位，通過相關軟件可以順利恢復。以嫌疑人刪除操作及網絡黑客攻擊計算機刪除操作為例，保存在硬盤及服務器上的數據并沒被完全覆蓋，只是數據存儲空間的鏈條被刪除，真正的數據還是以二進制的方式存儲在硬盤上。這些數據不被覆蓋，就可以通過相應的方法掃描存儲介質，對數據進行分析、編譯，最后把丟失的數據找回來。

2 電子物證檢驗常用數據恢復方法

2.1 使用EasyRecovery軟件恢復數據

該軟件提供了非常強大的數據恢復功能，尤其是針對存儲器中的指定受損數據進行恢復效果甚佳。該軟件內置高級恢復、刪除恢復、格式化恢復、原始恢復、繼續恢復等數據恢復方案，能夠輕松的找到丟失的恢復數據并予以有效恢復。

其專業版包括了磁盤診斷、數據恢復、文件修復、E-mail修復等全部4大類目19個項目的各種數據文件修復和磁盤診斷方案。因此取證人員利用該款軟件可以針對性的取證恢復，便于取證工作的針對性。

2.2 使用FinalData軟件恢復數據

該軟件具有強大的數據恢復功能，當文件被誤刪除、FAT表或磁盤根區被病毒侵蝕造成文件丟失、物理故障造成FAT表或者磁盤根區不可讀及磁盤格式化造成的全部數據丟失等情況下，能夠通過直接掃描目標磁盤抽取并恢復出文件信息，可以根據這些信息方便地查找和恢復自己需要的文件，甚至在數據文件已經被部分覆蓋以后，專業版也可以將剩余部分文件恢復出來。

該軟件是專業數據恢復軟件，可以很容易地從格式化后的文件和病毒破壞的文件恢復，甚至在極端的情況下，如果目錄結構被部分破壞也可以恢復，只要數據仍然保存在硬盤上。

2.3 使用winhex軟件手工恢復數據

該軟件是在Windows系統下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區管理功能和文件管理功能，能自動分析分區鏈和文件簇鏈，能對硬盤進行不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制內容，其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區，是手工恢復數據的首選工具軟件。

該款軟件，需要通過底層數據的分析，找出相應的數據區域，手動添加文件頭，因此取證人員要有較強的專業素質。

3 數據恢復在電子物證檢驗中的應用

數據恢復的每一個步驟都要嚴格依照法律規定的程序，確保得到的數據可以作為具有法律效力的證據。電子物證檢驗的數據具有可修改性、多重性、易失性等特點，任何一點失誤或疏漏都可能造成證據滅失。因此進行數據恢復，要詳細記錄操作的方法、步驟、使用的工具以及存儲、包裝、提取過程等。數據恢復在電子物證檢驗中的應用有多種情況，在取證過程中也會遇到各種不同的數據恢復，采用的方法也有區別。目前，數據恢復技術在電子物證檢驗中的應用一般按照下面步驟進行：

（1）按照電子物證現場勘查規則提取物證，注意提取時候的原則：對于客戶端計算機開機狀態就直接斷電，而網絡服務器則在開機時要按照正常的關機程序操作。保護現場計算機系統，避免發生任何的改變、傷害、數據破壞或病毒感染。

（2）復制客戶端計算機或服務器硬盤源盤數據或制作鏡像文件存放到目標盤內，將源盤封存，保證數據的完整性，最大程度對原始數據的保護。

（3）對目標盤分析現存的正常文件和未被覆蓋的數據，以及有密碼保護的文件和加密文件。使用取證軟件的過濾功能能夠方便的得到目標盤現有的數據。

（4）對目標盤全盤掃描，發現更多可恢復數據。使用取證軟件搜索或過濾隱藏文件、臨時文件和交換文件的內容。

（5）在目標盤上動態仿真，訪問被保護或加密文件的內容，或者提供給極光網絡密碼破解系統。

（6）在目標盤上使用取證軟件的“搜索”功能分析未分配磁盤空間，發現其中的數據殘留。其中搜索時需要使用關鍵字搜索，能夠在未分配磁盤空間內快速搜索所需內容。

（7）同上一步驟，使用“搜索”功能分析文件中的slack空間即每單位簇內的剩余空間內的數據，往往會發現有用的證據。

（8）制作取證報告，分析取證結果，并將數據刻成光盤，附卷移送司法機關。對于具備鑒定資質的電子物證實驗室，可以出具法庭認可的鑒定書，其可信度更大。

4 總結

數據恢復是電子物證檢驗非常重要的一個步驟，其技術博大精深，不同的軟件處理，得到的數據也有所不同，有時候只有通過分析底層二進制數據，才能獲取較好的恢復效果，因此要想從數據中得到更多的犯罪信息，只有不斷磨礪寶劍，在工作中不斷總結，為打擊犯罪盡到自己綿薄之力！