電子證據的數據恢復及實踐

王阿寶 趙欣

摘 要 在司法實踐中，有大量的案件需要電子文件、圖形圖像、影音視頻等信息作為證據使用，于是經常遇到犯罪嫌疑人 使用的存儲設備出現損壞或被故意刪除犯罪證據，造成關鍵證據無法讀取、甚至丟失。公安機關偵查部門就需要采用特殊 手段設法將其恢復或將其轉化為正常狀態的文件，從而形成有法律效力的電子證據。本文介紹了運用幾種有效的數據恢 復工具，通過數據恢復的方式，提取由于各種因素導致的電子證據被刪除情況，這為對電子證據的來源提供增加了一個渠道。

【關鍵詞】數據恢復 電子證據 EnCase

電子證據的補充——數據恢復是指通過技術手段，將保存在 電腦磁盤、U 盤、移動硬盤、路由器 CF、卡、手機存儲器等設備上 已經被刪除數據進行恢復，并將其作為電子證據的補充。為保障 恢復的數據具有法律效力，在司法實踐中，需要專業的部門在確 保數據恢復過程、恢復數據的工具、相應的操作人員都要合乎相 關規范。

1 司法實踐中的電子取證工具

司法實踐中所用到的電子取證工具，常見的有 En Case、Ar-gus、Sniffers、Network monitor 等，其中取證過程中必須用到的有 鏡像工具和專業的取證軟件。其中 En Case 是目前最常用的電 子取證工具軟件，在使用的法律執行部門超過 2000 家。由于 En Case 具有較好的人機交互界面，該工具在司法、政府、軍隊、公司監查等領域被大量的運用，并將其作為查、管理計算機中的數據 的一種手段。調查員通過 En Case 可以高效的對計算機中的大 量證據實施，如已經刪除的文件、閑散文件甚至是未分配空間中的數據。EnCase 已成司法實踐中 必備的電子取證工具，用于獲取、統計、分析以及展示計算機犯罪 的電子證據，為能夠迅速徹底地鑒定、查找和恢復計算機犯罪證 據提供了強有力的技術手段。

2 物證鑒定中的數據恢復工具

目前物證鑒定中心使用較多的數據恢復的工具有 Disk Gen-ius、Final Data、En Case、Easy Recovery、Win Hex 等，這些工具各有其由于其針對數據恢復側重不同，其最終的效果也各有千秋。

因此需要根據實際情況選擇工具，以提高數據恢復的成功率和數據的完整性。本文著重介紹 Disk Genius 專業版、Final Data 進行

數據恢復的實驗過程，從其功能、操作步驟、數據恢復效果等方面作介紹，并給出在實際司法實踐中的建議。

2.1 Disk Genius 專業版數據恢復實踐

Disk Genius 專業版具有磁盤備份分區表、重建分區表、重建MBR、壞道檢測與修復、已刪除文件或格式化后的文件恢復、備份分區為鏡像文件、克隆分區或硬盤等強大功能，是 EnCase 的最 佳組合之一。

本文僅介紹 Disk Genius 的數據恢復功能模塊。首先選擇需 要進行數據恢復的目標磁盤 H，點擊工具界面上的“恢復文件”功 能，在彈出的窗口中選擇“恢復誤刪除的文件”或者“恢復整個分 區的文件”，也可根據需要，進一步設置“選擇文件類型”，其中包 括文檔類、照片類、音頻類、視頻類、Internet 類、圖形類、壓縮存檔 類、郵件類和其他類型，在此根據需要選擇，如果事先并未確切的 知道需要恢復的文件類型，那么可以采取類型全部選取的方式， 雖然這會導致數據恢復的花費的時間增加，當時能夠確保所有可 能需要的電子證據的獲得，避免遺漏部分信息，對于小容量的存 儲設備通常采取恢復所有類型文件的方式。

當恢復文件的設置完成后，點擊“開始”，該工具就會自動掃描目標磁盤，搜索由于各種原因導致丟失或被刪除的文件夾及文件。掃描過程所需要的時間與目標磁盤的容量大小、磁盤接口類型、磁盤壞道即健康狀況、當前計算機的數據處理能力有關。當對目標磁盤掃描完成后，工具軟件會在窗口中列出本次掃描結果，窗口左邊的目錄羅列出磁盤中已識別文件、文件夾信息、目錄結構等信息，右邊窗口則是對當前選擇的文件、文件夾的詳 細描述及文件的對應的 ASCII 碼值。Disk Genius 具有便捷的預 覽功能，當完成對存儲設備的掃描后，遺失的文件在恢復前，比較 常用的文檔類、照片類、音頻類等文件可以直接預覽，這樣便于針 對性的對特定文件采取恢復措施。最后根據工具查找到的文件情況，在需要恢復的目錄或文件上點擊鼠標右鍵，彈出菜單中選擇“恢復到 ”，并根據窗口的提示將數據恢復到目標磁盤以外的存儲設備上即可。

2.2 Final Data 數據恢復實踐

首先運行 Final Data，選擇需要進行數據恢復的目標磁盤驅動器，接著在彈出的窗口中設定目標磁盤族掃描的范圍。磁盤的族——由于操作系統無法對數目龐大的磁盤扇區尋址，操作系統將磁盤上相鄰的扇區組合而形成一個簇，然后再對簇進行管理。Final Data 會顯示出目標存儲設備的總的族的數量，在開始進行掃描前，需要設置好掃描開始和結束族的范圍。如果選擇了整個存儲設備族的范圍，那么掃描所花費的時間相對就較長。接下來選擇是否需要計算丟失圖像文件的大小、是否需要計算丟失 E-mail 文件的大小、是否需要計算丟失 Office 文件的大小，然后點擊開始掃描即可。在確定開始掃描后，Final Data 會自動根據前面的設置條件 對目標存儲設備進行掃描。同樣，掃描所需要的時間與目標磁盤 的容量、接口類型、健康狀況等方面因素有關。

當對目標磁盤掃描完成后，界面上會列出掃描結果，左邊的目錄列表包括磁盤中正常的目錄及文件、已刪除的目錄及文件等信息，右邊窗口時詳細的文件信息，其中包括磁盤中已經被刪除的文件詳情。同過對羅列出來的文件進行篩選、預覽、分析后，在需要恢復的目錄或文件上點擊鼠標右鍵，彈出菜單中選擇【恢復】，根據提示將內容恢復到目標磁盤以外的存儲設備上即可。

2.3 數據恢復中需要注意的事項

在對目標存儲設備開展數據恢復過程中，每一步都要十分慎重，如果由于誤操作造成二次破壞，這將造成恢復難度增大，甚至導致某些信息無法恢復。最重要的一點就是——數據恢復過程中絕對禁止將任何形式新數據寫入源存儲設備。

為確保源存儲設備數據的安全性、原始性、真實性。在數據恢復中要做到以下幾個方面：

（1）創建源盤的磁盤鏡像，保護源盤數據的原始性、真實性。

（2）不要目標存儲做 DskChk 檢查，此操作很多時候會破壞數據。

（3）不要再次格式化分區，如果選擇了錯誤分區格式化類型，會導致存儲設備上大文件永久性的丟失。

（4）不要把數據直接恢復到源盤，否則極有可能將原本可以恢復的數據覆蓋，導致無法恢復。

（5）陣列丟失后不要重做陣列，在挽救服務器陣列的實踐中在服務器崩潰后強行讓陣列上線，或者直接做 rebuilding，雖然掉線了的硬盤也能強制上線，但這些操作都是非常危險，任何寫入盤的操作都有可能破壞數據。

（6）在數據恢復時，嚴禁往存儲設備里創建新文件。建議直接把斷電，然后把存儲設備運行在只讀模式下來開始數據恢復，避免操作系統索引、文檔縮略信息的寫入，導致原始數據的破壞。

3 總結

司法實踐中，物證鑒定中心開展電子取證過程，必須確保電子證據的安全和法律效力，因此需要對電子證據來源的存儲設備 進行保護。運用 En Case、Disk Genius 等工具創建其鏡像文件， 然后通過對磁盤鏡像的數據分析獲得有效的電子證據。本文介紹了運用幾種有效的工具軟件，通過數據恢復的方式，提取由于各種因素導致的電子證據被刪除情況，對電子證據的來源提供增加了一個渠道。那么公安、司法部門就需要采用特殊手段設法將其恢復或將其轉換為正常狀態的文件，從而形成有法律效力的電子證據。確保案件中的電子證據的安全及其法律效力問題是對網絡犯罪案件定罪量刑的關鍵因素。我國新刑訴法和新民訴法將電子數據證據納入了訴訟證據范圍，結合我國國情，逐步完善電子證據的刑事立法，不斷健全相關法律制度。

參考文獻

[1]硬盤數據恢復注事項”http：//bbs.tianya.cn/post-it-681005-1.shtml 2013-09-14 14：32：00.

作者單位

河南省新鄉市人民檢察院 河南省新鄉市 453000