關于電子物證檢驗鑒定中數據恢復技術探析

先以丁·牙生 岳芳

摘 要：我國的案件偵查堅持證據原則，但是隨著犯罪分子的反偵察意識的提高，犯罪分子故意毀滅犯罪證據，給案件的偵破增加了難度，為給案件的偵破提供技術支持，積極發展數據恢復技術，努力保證數據的完整性，對電子物證檢驗鑒定工作具有重要意義。電子物證檢驗鑒定中數據恢復技術分為基于硬件的數據恢復和基于軟件的數據恢復兩個方面，通過技術手段將被刪除的數據進行最大程度的恢復，還原違法犯罪事實本來面目，更好地打擊違法犯罪，維護社會穩定。

關鍵詞：電子物證；檢驗鑒定；數據恢復；網絡犯罪

隨著經濟的發展和網絡技術的發展，網絡犯罪的發生頻率大幅度增加，犯罪分子利用計算機技術侵犯個人和企業的合法經濟權益，犯罪后將犯罪的數據進行刪除，使證據滅失，給案件的偵破增加了難度，如何根據具體的案件事實，進行數據的恢復，將極大有利于案件的偵破，網絡犯罪相較于傳統犯罪具有隱蔽性，如何在物證檢驗鑒定技術實現創新，以數據恢復為例，探究電子物證檢驗鑒定技術對于犯罪偵破的巨大意義。

1 數據恢復技術的概述

1.1 數據恢復的技術定義

數據的滅失基于物理的硬件損壞或者軟件的操作，數據恢復是指利用各種技術手段，對原本儲存在電子設備中的電子信息和電子數據進行恢復的過程。因為數據滅失的原因不同，數據滅失的原因可能是硬件損壞、人為誤操作、病毒入侵、黑客攻擊或者操作系統本事的故障，我們這里提到的數據滅失是犯罪分子為了毀滅犯罪證據對數據進行的刪除，所以數據滅失的原因就排除了誤操作和操作系統本身的故障，原因是人為對硬件和軟件的操作導致數據滅失，基于此，數據恢復是利用技術手段對人為刪除數據進行恢復的過程。

1.2 數據恢復的對象

因為數據依存于存儲介質，所以數據恢復的對象是各種能儲存信息的介質，包括計算機硬盤、內存和其他存儲介質。雖然在實際的網絡犯罪過程中，犯罪分子會將某些自我建立的局域網的信息進行刪除，但是因為本身信息需要存儲介質的物質基礎，所以我們將數據恢復的對象定性為一切存儲犯罪信息的存儲介質。

1.3 數據恢復的重要性

網絡犯罪的猖獗的外部環境即網絡技術的發展和智能手機的普及，犯罪分子利用技術手段對個人和企業的經濟利益進行侵犯，為了隱蔽犯罪事實，會對犯罪時的電子數據和電子信息進行刪除，這些信息能夠反映出犯罪分子的手法和犯罪手段，利用這些數據能夠掌握犯罪分子的具體犯罪動態和犯罪事實，有利于案件的偵破；數據滅失意味著證據喪失，我國堅持證據原則，無證據則無法對犯罪分子做出判決；加之犯罪分子的反偵察意識提高，犯罪分子對犯罪痕跡進行毀滅，甚至能使偵查人員陷入誤區，通過數據恢復這一技術手段，能夠提高偵查效率。

2 數據恢復的方法

犯罪分子對于數據的刪除主要是針對存儲介質破壞和通過軟件對數據進行刪除，數據刪除的方法不同對應數據的恢復方法也不同，我國的電子物證檢驗鑒定中的數據恢復技術通常可以分為兩類，基于硬件的數據恢復和基于軟件的恢復。

2.1 基于硬件的數據恢復

犯罪分子為了毀滅犯罪證據，對于記錄犯罪行為的電子信息進行毀滅，通常會對存儲介質進行毀壞。技術人員會根據實際情況對于被破壞的存儲介質進行維修或者數據的導出。如果存儲介質的被破壞程度較低，工作人員會對其進行修護，保證存儲介質的正常使用，從而進行信息的有效提取；如果儲存介質的被破壞程度較高，工作人員無法使其正常使用，但是可以通過對關鍵位置的更換，實現信息的導出；雖然兩者都是基于硬件的恢復，區別在于因為存儲介質的被破壞程度不同，通過修復或者更換部件，使其實現信息的提取。基于硬件的數據恢復是建立在存儲介質可以進行修復的基礎上的，如果存儲介質被直接滅失，數據是無法恢復的。

2.2 基于軟件的數據恢復

犯罪分子為了毀滅犯罪證據，會人為操作導致磁盤格式化、文件刪除、分區表信息受損，基于此為了保證數據的完整性，實現軟件的數據恢復。電子物證檢驗鑒定中數據恢復通過技手段，實現存儲介質的信息恢復，為偵查人員提供技術支持，提高案件的偵破效率。軟件的數據恢復是建立在存儲介質沒有受到物理破壞的基礎的前提下，對人為刪除的數據進行技術恢復的過程，相較于硬件恢復，基于軟件的數據恢復的成功率較高，因為存儲介質沒有受到物理破壞保證了數據的客觀存在，人為的刪除某種意義也只是數據的形式發生變化。

隨著網絡技術的發展，軟件恢復工具很多，但我國公安部門認可的具有法律效力的軟件恢復工具有EasyRecovery、Tooltit、Encase等，基于軟件的數據恢復主要是應用公安部門認可的具有法律效力的軟件恢復工具，保證了程序的合法性。

在現實情況下的網絡犯罪中，犯罪分子對于證據的毀滅不只是停留在單純的硬件損壞及人為刪除數據，而是在人為刪除數據后對存儲介質進行物理破壞，犯罪分子的反偵察意識和能力增強，這給電子物證檢驗鑒定中數據恢復增加了難度，基于這樣的情況，我們需要根據實際情況，進行技術的創新，實現數據的恢復。

3 常用的數據恢復工具功能及比較

數據表現形式多種多樣，具體表現為聲音、文字、圖片、音頻等形式，犯罪分子毀滅數據，電子物證檢驗鑒定中數據恢復中的核心技術在于基于軟件的數據恢復，隨著網絡技術的發展，數據恢復工具的種類多種多樣，根據本身底層采用的算法不同，所以數據恢復的差異很大，在實際操作過程中，對于數據的恢復需要采用多種數據恢復工具，對數據進行全方位的取證和分析，保證恢復后數據的完整性。我們選用常用的數據恢復軟件EasyRecovery、FinalData、PhotoRecovery來進行比較，探究常用的數據恢復功能及比較。

3.1 EasyRecovery

EasyRecovery是一種較為常用的軟件恢復工具，它可以自定義恢復數據，通過內存中重建文件分區來實現數據的轉移，在實際的電子物證檢驗鑒定中數據恢復，按照簇對存儲介質進行掃描，在實際過程中，整個存儲介質中并不是全部都是與案件相關的電子數據或電子信息，我們為了提高數據恢復的效率和準確率，可以采用EasyRecovery對指定的文件名和文件類型進行恢復，通過對恢復給定條件上的限制，未來的電子物證檢驗鑒定中數據恢復應堅持專門化和高效化，EasyRecovery的優勢在于可以實現自定義恢復保證數據恢復的準確性和效率。

3.2 FinalData

FinalData相較于EasyRecovery而言，專業性降低，但是操作性提高，采用Windows資源管理器的排布模式，交互界面友好，本身支持FAT16/32和NTFS，能夠實現完全刪除的數據和目錄的恢復，本身的運行速度快捷，在實際犯罪中，因為犯罪分子故意隱蔽證據，需要對全部數據進行恢復后，進行甄選，對于全部數據恢復時，一般采用FinalData進行檢驗。

3.3 PhotoRecovery

PhotoRecovery專門性較強，專門用于圖片的恢復，用于恢復存儲介質中的圖片，該軟件能夠對即將恢復的圖片進行縮略圖預覽，直觀形象查看即將恢復的圖片，在圖片的恢復中優先采用PhotoRecovery。

4 結語

隨著網絡技術的發展，網絡犯罪猖獗，犯罪分子的反偵察意識提高，對犯罪證據進行毀滅，使反映其犯罪行為的電子數據和電子信息滅失，為了保證案件的順利偵破，發展電子物證檢驗鑒定中數據恢復技術，針對已滅失的數據進行恢復，還原違法犯罪事實本來面目，對維護社會和諧和穩定意義重大。

參考文獻

[1] 胡丹.電子物證檢驗鑒定中數據恢復技術探討[J].科學導報，2015，（19）：220-220.

[2] 許怡紅.電子物證檢驗鑒定的數據恢復技術分析[J].法制博覽，2016，（2）：139.

[3] 李娜，王牧.電子物證檢驗常見數據恢復工具比較研究[J].科技展望，2014，（13）：5-5.

作者簡介

先以丁·牙生（1980—），男，新疆喀什市人，新疆生產建設兵團第三師公安局網安支隊，研究方向：電子物證檢驗鑒定技術。