數(shù)據(jù)恢復(fù)技術(shù)在工商行政執(zhí)法電子取證中的應(yīng)用

葉永利　董海（煙臺(tái)市工商行政管理局　煙臺(tái)　64000）(煙臺(tái)開(kāi)發(fā)區(qū)發(fā)展改革和經(jīng)濟(jì)信息化局　煙臺(tái)　64000)

數(shù)據(jù)恢復(fù)技術(shù)在工商行政執(zhí)法電子取證中的應(yīng)用

葉永利1董海2
（煙臺(tái)市工商行政管理局煙臺(tái)264000）1
(煙臺(tái)開(kāi)發(fā)區(qū)發(fā)展改革和經(jīng)濟(jì)信息化局煙臺(tái)264000)2

摘要電子證據(jù)在工商行政執(zhí)法中的作用日益凸顯，由于其信息以數(shù)字方式儲(chǔ)存，并且電磁介質(zhì)極易受到損壞，數(shù)據(jù)一旦破壞，我們可能將承受巨大的損失。針對(duì)各種軟硬件平臺(tái)，無(wú)論是從文件的誤刪除，還是存儲(chǔ)設(shè)備的嚴(yán)重破壞，行之有效的數(shù)據(jù)恢復(fù)工作都可以在一定程度上將數(shù)據(jù)進(jìn)行恢復(fù)。數(shù)據(jù)恢復(fù)技術(shù)是通過(guò)各種技術(shù)手段把丟失或遭到破壞的部分?jǐn)?shù)據(jù)還原成正常數(shù)據(jù)。本文闡述了數(shù)據(jù)恢復(fù)技術(shù)的基本概念和數(shù)據(jù)恢復(fù)技術(shù)的原理。總結(jié)了數(shù)據(jù)恢復(fù)的方法與常用工具軟件。

關(guān)鍵詞工商行政執(zhí)法電子證據(jù)數(shù)據(jù)恢復(fù)原理數(shù)據(jù)恢復(fù)技術(shù)工具軟件

隨著電子商務(wù)的普及和發(fā)展，我國(guó)網(wǎng)絡(luò)市場(chǎng)交易規(guī)模、交易量呈現(xiàn)井噴式發(fā)展態(tài)勢(shì)。市場(chǎng)主體的經(jīng)營(yíng)領(lǐng)域由線下拓展到線上，經(jīng)營(yíng)資料和經(jīng)營(yíng)活動(dòng)記錄也開(kāi)始呈現(xiàn)電子材料逐步取代書(shū)式材料之勢(shì)。在工商行政執(zhí)法中，越來(lái)越頻繁地需要利用電子證據(jù)認(rèn)定違法事實(shí)，確定違法程度。

商品交易的違法行為的證據(jù)多以計(jì)算機(jī)數(shù)據(jù)形式存在，并通過(guò)計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行存儲(chǔ)、處理和傳輸，工商執(zhí)法尤其是涉網(wǎng)案件的取證工作需要從計(jì)算機(jī)設(shè)備中提取數(shù)據(jù)。甚至需要從已被刪除、加密或破壞的文件中獲取信息。在工商部門(mén)在行政執(zhí)法過(guò)程中，保存、固定及使用“電子證據(jù)”對(duì)于案件審理、查處起關(guān)鍵作用，因此研究電子證據(jù)與傳統(tǒng)的書(shū)面證據(jù)、物證的不同特征，探索數(shù)據(jù)恢復(fù)技術(shù)在“電子證據(jù)”獲取中的應(yīng)用有重要意義。記錄備份有關(guān)數(shù)據(jù)既有技術(shù)層面的需要，也有法律層面的要求。

一、工商行政執(zhí)法中涉網(wǎng)案件取證工作現(xiàn)狀

在涉網(wǎng)案件的工商行政執(zhí)法取證中，所涉及的電子證據(jù)分為本地硬盤(pán)存儲(chǔ)的電子證據(jù)、手機(jī)存儲(chǔ)的證據(jù)、web網(wǎng)頁(yè)展示的電子證據(jù)、遠(yuǎn)程存儲(chǔ)或云存儲(chǔ)的電子證據(jù)。

計(jì)算機(jī)本地取證是指對(duì)經(jīng)營(yíng)主體保存于計(jì)算機(jī)或者手機(jī)本地的信息數(shù)據(jù)源證據(jù)進(jìn)行收集、獲取的手段。主要有office文檔文件、、涉案照片、電子合同、核算應(yīng)用軟件、數(shù)據(jù)庫(kù)文件、歷史記錄、緩存信息等。硬盤(pán)、U盤(pán)、各種存儲(chǔ)卡、多媒體播放器等商品經(jīng)銷臺(tái)賬以及保存在本地硬盤(pán)中的聊天記錄、電子郵件備份、發(fā)表在網(wǎng)站上的帖子在本地電腦的緩存文件等。

電子證據(jù)的存在離不開(kāi)電腦等電子設(shè)備的支持，如果沒(méi)有相應(yīng)的的電子設(shè)備硬件，都只能停留在各種電子存儲(chǔ)介質(zhì)中，無(wú)法播放、檢索、顯現(xiàn)，也不能為法庭所認(rèn)可和采信。此外，電子證據(jù)的展示還離不開(kāi)特定的系統(tǒng)軟件環(huán)境。如果軟件環(huán)境發(fā)生變化，則存儲(chǔ)在電子介質(zhì)上的信息可能顯現(xiàn)不出來(lái)，或者難以正確地顯現(xiàn)出來(lái)。這一特點(diǎn)要求執(zhí)法人員在收集電子證據(jù)的時(shí)候，既要收集存在于計(jì)算機(jī)軟硬件上的電子證據(jù)，也要收集其它相關(guān)外圍設(shè)備中的電子證據(jù)；既收集文本，也收集圖形、圖像、動(dòng)畫(huà)、音頻、視頻等媒體信息。同時(shí)，還應(yīng)當(dāng)保存相應(yīng)的硬件軟件以保全該證據(jù)的運(yùn)行環(huán)境，使之能夠在必要的時(shí)候以打印、屏顯等方式顯示出來(lái)。

二、電子證據(jù)特征

由于網(wǎng)絡(luò)商品交易的虛擬性和隱蔽性，現(xiàn)流行的動(dòng)態(tài)網(wǎng)頁(yè)、電子郵件等電子數(shù)據(jù)都是調(diào)用數(shù)據(jù)庫(kù)數(shù)據(jù)，動(dòng)態(tài)展示內(nèi)容，具有易刪除、易修改的特性，工商行政管理機(jī)關(guān)在網(wǎng)絡(luò)商品交易監(jiān)管中，對(duì)網(wǎng)絡(luò)商品交易違法行為的調(diào)查取證，對(duì)電子證據(jù)的收集、固定和審查，往往成為查處網(wǎng)絡(luò)商品交易違法行為過(guò)程中的的瓶頸和關(guān)鍵環(huán)節(jié)。

1、電子證據(jù)具有非直觀性，需要借助各種硬件和軟件系統(tǒng)，也就是要有數(shù)據(jù)展示的環(huán)境才能判讀和保存。電子證據(jù)實(shí)際是計(jì)算機(jī)數(shù)據(jù)，它是由計(jì)算機(jī)識(shí)別的各種代碼和編碼組成，必須借助計(jì)算機(jī)操作系統(tǒng)或者某種特定的軟件將其展示可以直接讀取的文字、數(shù)據(jù)、表格、圖像或聲音視頻信息。因此這就要求我們?cè)谑占{(diào)取電子證據(jù)時(shí)，須將相對(duì)應(yīng)的系統(tǒng)環(huán)境一同保全，以便將來(lái)搭建合理的環(huán)境恢復(fù)數(shù)據(jù)，獲取電子證據(jù)。

2、電子證據(jù)具有可傳輸性，可以通過(guò)網(wǎng)絡(luò)快速傳播。電子證據(jù)是一組電子數(shù)據(jù)信息，可以通過(guò)網(wǎng)絡(luò)傳遞，并且傳輸?shù)臄?shù)據(jù)是完全一樣可校驗(yàn)的，因此電子取證可以遠(yuǎn)程網(wǎng)絡(luò)獲取。

3、電子證據(jù)具有易改動(dòng)性，容易遭到修改或破壞或者刪除。電子數(shù)據(jù)信息實(shí)質(zhì)上是代碼排列在各種電子存儲(chǔ)載體上，通過(guò)計(jì)算機(jī)系統(tǒng)進(jìn)行讀寫(xiě)，由于人為或非人為因素有可能導(dǎo)致信息不完整不真實(shí)，或無(wú)法判讀，人為有意或者無(wú)意的對(duì)數(shù)據(jù)的改動(dòng)，非人為的如病毒、軟件沖突等，也有可能導(dǎo)致數(shù)據(jù)信息被損壞。

4、電子證據(jù)具有多樣性，能夠以不同形式存在。電子證據(jù)可以通過(guò)電腦程序存在和展示，能夠以文字、圖片、圖像、聲音視頻等多種格式，并且可以通過(guò)電腦程序轉(zhuǎn)化格式。

第三方指提供互聯(lián)網(wǎng)接入服務(wù)商和提供網(wǎng)絡(luò)交易平臺(tái)服務(wù)的經(jīng)營(yíng)者等保存的所有平臺(tái)經(jīng)營(yíng)業(yè)戶的信息和交易信息，其中關(guān)于涉嫌違法當(dāng)事人經(jīng)營(yíng)行為的相關(guān)數(shù)據(jù)記錄備份，以及后臺(tái)數(shù)據(jù)庫(kù)的存儲(chǔ)數(shù)據(jù)。可以作為電子證據(jù)調(diào)取相關(guān)數(shù)據(jù)。

三、工商系統(tǒng)電子證據(jù)取證工作中存在的主要問(wèn)題

1、硬件裝備相對(duì)落后，無(wú)法跟上信息化產(chǎn)品更新步伐。用于拷貝復(fù)制數(shù)據(jù)使用普通的硬盤(pán)、移動(dòng)硬盤(pán)。這種設(shè)備數(shù)據(jù)傳輸速度慢，效率低，讀寫(xiě)性能差，而且安全性、可靠性不能保證。不滿足《電子數(shù)據(jù)儲(chǔ)存介質(zhì)寫(xiě)保護(hù)設(shè)備要求》中關(guān)于寫(xiě)保護(hù)設(shè)備的技術(shù)要求和關(guān)于逐比特復(fù)制的要求；無(wú)法保證源盤(pán)數(shù)據(jù)和復(fù)制盤(pán)數(shù)據(jù)的同一性。

2、信息專業(yè)方面技術(shù)人才比較匾乏。科學(xué)技術(shù)進(jìn)步日新月異，即使有一定電腦知識(shí)的執(zhí)法干部，加之沒(méi)有得力的硬件工具支持，面對(duì)電子證據(jù)進(jìn)行固定、取證時(shí)只能是捉襟見(jiàn)肘。

目前電子取證的普遍做法是：

3、檢查“我最近的文檔”。從從事經(jīng)營(yíng)活動(dòng)的計(jì)算機(jī)中，使用Windows系列操作程序的計(jì)算機(jī)，點(diǎn)擊左下角“開(kāi)始”按鈕。找到“我最近的文檔”欄，點(diǎn)開(kāi)它會(huì)列出按順序該計(jì)算機(jī)最近使用過(guò)的文檔，不同的操作系統(tǒng)顯示數(shù)量不同，一般為10～20個(gè)條目。在檢查過(guò)程中，首先抓屏，記錄下最近打開(kāi)的文檔的名稱和順序，要注意不能輕易點(diǎn)擊打開(kāi)某一條目文件。因?yàn)榇蜷_(kāi)某一文件后，該文件就變成了最近的文檔，會(huì)改變?cè)械男蛄小?/p>

4、檢查“計(jì)算機(jī)桌面文件”。在工商執(zhí)法實(shí)踐中發(fā)現(xiàn)，一般經(jīng)營(yíng)主體的人員習(xí)慣于將常用文件放置在計(jì)算機(jī)桌面上，并主要使用Word、Excel等Office文檔。從程序中查找財(cái)務(wù)核算軟件、ERP信息管理軟件、存貨管理軟件等經(jīng)營(yíng)業(yè)務(wù)軟件，有時(shí)候在桌面也會(huì)有軟件的快捷鏈接方式。因此，執(zhí)法人員在檢查中首先應(yīng)對(duì)違法經(jīng)營(yíng)主體的計(jì)算機(jī)桌面進(jìn)行查看、分析。

5、檢查財(cái)務(wù)核算、庫(kù)存管理、ERP等應(yīng)用軟件。通過(guò)涉案人員的配合進(jìn)入到財(cái)務(wù)核算軟件、庫(kù)存管理等記錄經(jīng)營(yíng)信息的軟件進(jìn)行檢查，取得違法經(jīng)營(yíng)主體的收入、支出、費(fèi)用、購(gòu)銷貨數(shù)量等多項(xiàng)數(shù)據(jù)信息。

針對(duì)文件被刪除后的處理，需要采取數(shù)據(jù)恢復(fù)的方法：

四、數(shù)據(jù)恢復(fù)原理

對(duì)于Windows文件系統(tǒng)來(lái)說(shuō)，通常從鍵盤(pán)上按DELETE鍵“刪除文件”只是改變文件在FAT中的鏈接指向，也就是清除了一個(gè)鏈接。修改文件的首字節(jié)，并把文件所占區(qū)域標(biāo)記為未分配，而并不破壞文件本身，“格式化”也不是刪除數(shù)據(jù)區(qū)data中的數(shù)據(jù)，只是重寫(xiě)了FAT表。絕大部分的DATA區(qū)的數(shù)據(jù)并沒(méi)有被改變，只要沒(méi)有覆蓋這個(gè)文件。

五、數(shù)據(jù)恢復(fù)的攻略

1、數(shù)據(jù)被DELETE的數(shù)據(jù)恢復(fù)

此時(shí)數(shù)據(jù)進(jìn)入回收站，可以通過(guò)打開(kāi)回收站，選擇文件，點(diǎn)擊鼠標(biāo)右鍵選擇恢復(fù)選項(xiàng)，恢復(fù)刪除的數(shù)據(jù)。

2、數(shù)據(jù)被SHIFT+DELETE的數(shù)據(jù)恢復(fù)

使用數(shù)據(jù)恢復(fù)的工具軟件EasyRecovery、FinalData或其他工具軟件，選取并加載需要恢復(fù)的硬盤(pán)分區(qū)掃描。軟件會(huì)將所有刪除的文件按照物理順序顯示出來(lái)。它主要是在內(nèi)存中重建文件分區(qū)表使數(shù)據(jù)能夠安全地傳輸?shù)狡渌?qū)動(dòng)器中。你可以從被病毒破壞或是已經(jīng)格式化的硬盤(pán)中恢復(fù)數(shù)據(jù)。

3、當(dāng)硬盤(pán)出現(xiàn)壞道時(shí)的數(shù)據(jù)恢復(fù)

當(dāng)硬盤(pán)吱嘎響或者計(jì)算機(jī)系統(tǒng)莫名的出現(xiàn)藍(lán)屏可以推測(cè)硬盤(pán)有壞道。如果硬盤(pán)出現(xiàn)壞道，可以在純DOS狀態(tài)下嘗試是否可讀取，DOS對(duì)文件的讀取的能力相對(duì)Windows較強(qiáng)，當(dāng)DOS讀不出的文件時(shí)，在出現(xiàn)提示后（Retry）多試幾次或許就可以讀出了。如果這種方法不行，那么可以判斷此扇區(qū)確已損壞。此時(shí)應(yīng)將該硬盤(pán)作為從盤(pán)掛附在另一臺(tái)電腦中，再使用DiskGenius、RecoverNT、FinalRecovery或其他數(shù)據(jù)恢復(fù)工具進(jìn)行數(shù)據(jù)讀取。

4、硬盤(pán)誤格式化的數(shù)據(jù)恢復(fù)

無(wú)論是DOS系統(tǒng)下使用Format命令還是是在Windows環(huán)境下針對(duì)從盤(pán)進(jìn)行格式化。格式化的操作并沒(méi)有把硬盤(pán)上的文件數(shù)據(jù)真正清除，而僅是重寫(xiě)了FAT分區(qū)表，由此可以借助FinalRecovery等工具軟件來(lái)有效恢復(fù)被格式化過(guò)的硬盤(pán)上的數(shù)據(jù)。

5、優(yōu)盤(pán)和各種usb設(shè)備的數(shù)據(jù)恢復(fù)

移動(dòng)設(shè)備的數(shù)據(jù)恢復(fù)通常借助FinalData等軟件工具實(shí)現(xiàn)。雙擊打開(kāi)FinalData，軟件，單擊“文件”菜單中的“打開(kāi)”命令；在“選擇驅(qū)動(dòng)器”對(duì)話框中選擇優(yōu)盤(pán)或者USB設(shè)備的盤(pán)符后單擊“確定”按鈕開(kāi)始掃描；待掃描結(jié)束后，找回的文件會(huì)顯示在“丟失的目錄”或“丟失的文件”內(nèi)。選中所有需要恢復(fù)的文件；單擊“文件”菜單下的“恢復(fù)”命令，彈出“選擇目錄保存”對(duì)話框，確定保存路徑后單擊“保存”按鈕就可以了。

6、硬盤(pán)克隆常用方法和工具

從涉案的計(jì)算機(jī)硬盤(pán)中完整采集出所有數(shù)據(jù)，通常運(yùn)用硬盤(pán)克隆機(jī)或者數(shù)據(jù)獲取軟件兩種方法。

（1）運(yùn)用硬盤(pán)克隆機(jī)獲取證據(jù)運(yùn)用硬盤(pán)克隆機(jī)方法是從硬盤(pán)中采集數(shù)據(jù)時(shí)最直接的方法。將硬盤(pán)從計(jì)算機(jī)上拆卸下來(lái)，然后用取證專用的硬盤(pán)克隆機(jī)有條件的單位可以用快速取證箱制作原硬盤(pán)的克隆品。這中操作要保證目標(biāo)盤(pán)有足夠的空間，也就是目標(biāo)盤(pán)的物理空間要大于源數(shù)據(jù)盤(pán)。

（2）硬盤(pán)數(shù)據(jù)采集方法：拆除進(jìn)行數(shù)據(jù)取證的原硬盤(pán)；使用預(yù)檢設(shè)備檢查原硬盤(pán)，一是確保無(wú)物理故障；二是確保原盤(pán)數(shù)據(jù)可讀取。然后對(duì)目標(biāo)硬盤(pán)進(jìn)行格式化處理，復(fù)制原硬盤(pán)數(shù)據(jù)到目標(biāo)硬盤(pán)。如果原硬盤(pán)有故障最好在預(yù)處理設(shè)備上進(jìn)行預(yù)處理，防止數(shù)據(jù)采集過(guò)程中出現(xiàn)故障。推薦使用Norton Ghost

六、數(shù)據(jù)恢復(fù)方法和工具

數(shù)據(jù)恢復(fù)的方式可分為硬件恢復(fù)方式與軟件恢復(fù)方式。

硬件恢復(fù)可分為硬件替代、硬件固件修復(fù)、盤(pán)片三種恢復(fù)方式。硬件替代就是用同型號(hào)的好硬件替代壞硬件達(dá)到恢復(fù)數(shù)據(jù)的目的。固件是硬盤(pán)廠家寫(xiě)在硬盤(pán)中的初始化程序。盤(pán)片讀取就是用專門(mén)的數(shù)據(jù)恢復(fù)設(shè)備對(duì)其掃描，讀出盤(pán)片上的數(shù)據(jù)。

軟件恢復(fù)可分為系統(tǒng)恢復(fù)與文件恢復(fù)。系統(tǒng)級(jí)恢復(fù)就是操作系統(tǒng)文件受到破壞，導(dǎo)致系統(tǒng)不能啟動(dòng)，無(wú)法進(jìn)入系統(tǒng)用正常方式查看文件。利用各種修復(fù)軟件修復(fù)系統(tǒng)文件，使系統(tǒng)工作正常。或者使用虛擬系統(tǒng)啟動(dòng)計(jì)算機(jī)，進(jìn)行簡(jiǎn)單文件操作。文件級(jí)恢復(fù)，就是恢復(fù)硬盤(pán)上損壞丟失的用戶數(shù)據(jù)文件，文件級(jí)恢復(fù)一般用工具軟件恢復(fù)數(shù)據(jù)。這些工具進(jìn)行恢復(fù)的工作原理是利用激光束對(duì)盤(pán)面上的磁信號(hào)進(jìn)行掃描，根據(jù)反射的不同的數(shù)字信號(hào)發(fā)射不同的信號(hào)，然后再通過(guò)專門(mén)的軟件分析來(lái)進(jìn)行數(shù)據(jù)恢復(fù)。

目前用于數(shù)據(jù)恢復(fù)的工具軟件主要有R-Studio、EasyRecovery、Recover My Files、FinalData、Norton、DiskGenius、RecoverNT、FinalRecovery等。每個(gè)工具使用方式各有不同，恢復(fù)效果也會(huì)有一定的差別。，其中EasyRecovery、Recover My Files、FinalData支持NTFS、FAT12/16/32文件系統(tǒng)，能夠重建損毀的RAID陣列，為磁盤(pán)、分區(qū)、目錄生成鏡像文件，恢復(fù)刪除分區(qū)上的文件。推薦使用FinalData。它具有操作簡(jiǎn)單、速度快、搜索準(zhǔn)確等特點(diǎn)，支持的系統(tǒng)有Windows操作系統(tǒng)外，UNIX系統(tǒng)、linux系統(tǒng)。支持克隆整個(gè)硬盤(pán)，并能夠完整地顯示和編輯任何一種文件類型的二進(jìn)制內(nèi)容。

七、手機(jī)取證

這里主要介紹一下MOBILedit Forensic軟件的使用。首先它幾乎支持所有手機(jī)，目前主流手機(jī)操作系統(tǒng)是Android 和ios系統(tǒng)。MOBILedit Forensic支持不同的手機(jī)，包括如三星，HTC，諾基亞，索尼，LG普通手機(jī)。它還支持所有的智能手機(jī)操作系統(tǒng)，包括Android，iPhone，Windows Mobile CDMA手機(jī)。

從iPhones和Androids中提取數(shù)據(jù)。MOBILedit能夠檢索已安裝的應(yīng)用程序的列表，并為您提供訪問(wèn)所有應(yīng)用程序數(shù)據(jù)，例如Dropbox，Evernote，Skype，WhatsApp等。如果可能的話，它甚至能夠從移動(dòng)應(yīng)用程序檢索已刪除的數(shù)據(jù)。

1、從手機(jī)和SIM卡中完整提取數(shù)據(jù)

使用MOBILedit Forensic可以查看、搜索或檢索手機(jī)中的所有數(shù)據(jù)。這些數(shù)據(jù)包括拔號(hào)記錄、電話簿、文字消息、彩信、文件、日歷、備注、提醒以及Skype，Dropbox，Evernote等應(yīng)用程序數(shù)據(jù)。它也可以檢索所有的手機(jī)信息。也能夠從手機(jī)擷取已刪除的數(shù)據(jù)和繞過(guò)開(kāi)機(jī)密碼，PIN碼和手機(jī)備份加密。

2、使用鎖定文件的方法繞過(guò)iOS開(kāi)機(jī)密碼

針對(duì)iOS硬件加密的數(shù)據(jù)，MOBILedit Forensic能夠透過(guò)這層保護(hù)來(lái)檢索數(shù)據(jù)。它支持導(dǎo)入在犯罪嫌疑人電腦上找到的鎖定文件。當(dāng)iOS設(shè)備連接到電腦，并通過(guò)輸入密碼授權(quán)時(shí)電腦會(huì)生成這些文件。可以消除所要取證手機(jī)的原始SIM卡中的PIN碼。它也丟棄了過(guò)時(shí)及不可靠的取證屏蔽袋。可以復(fù)制SIM卡。

3、無(wú)需手機(jī)檢查電話數(shù)據(jù)

大多數(shù)iOS用戶都在使用iTunes，特別是對(duì)于管理音樂(lè)。他們中的大多數(shù)至少已將他們的iPhone手機(jī)和iTunes連接了一次。所以，即使沒(méi)有手機(jī)作為證據(jù)，你仍然可以獲取手機(jī)數(shù)據(jù)，因?yàn)槟J(rèn)狀態(tài)下的iTunes都會(huì)自動(dòng)備份任何連接iPhone手機(jī)。MOBILedit Forensic獲取這些iTunes的備份文件，并提供了完整提取，包括聯(lián)系人，短信，錄音，鈴聲，記事本，日歷，照片，視頻，以及他們的應(yīng)用程序數(shù)據(jù)的功能。

4、通過(guò)數(shù)據(jù)線連接Androids系統(tǒng)遇到問(wèn)題？可以通過(guò)Wi-Fi來(lái)連接它們

有些Android手機(jī)，尤其是山寨機(jī)，無(wú)法通過(guò)電纜連接到電腦上，或者因?yàn)檫B接端口損壞而不可用，或者因?yàn)槟承╊A(yù)先安裝的安全軟件，如，防火墻，防病毒等，能夠通過(guò)Wi-Fi來(lái)連接這些手機(jī)，并可進(jìn)行完整的邏輯提取。

電子證據(jù)包含的數(shù)據(jù)信息往往很大，而且數(shù)據(jù)類型往往雜亂無(wú)章，通常收集的所有證據(jù)需要進(jìn)行提取、整理和篩選后才能被使用。一般使用成熟的軟件工具比如DGC等幫助篩選整理。在全面分析的基礎(chǔ)上進(jìn)行數(shù)據(jù)挖掘和整合，使之清晰呈現(xiàn)案情相關(guān)信息。

參考文獻(xiàn)

［1］艾紹新. Windows數(shù)據(jù)恢復(fù)技術(shù)在電子取證中的應(yīng)用研究［D］.東北石油大學(xué)，2013.

［2］王笑強(qiáng).數(shù)據(jù)恢復(fù)技術(shù)成為電子取證的核心技術(shù)［J］.計(jì)算機(jī)安全，2009，12：75-76.

［3］王旸.電子證據(jù)采集系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.天津大學(xué)，2010.

［4］游君臣，彭尚源.基于數(shù)據(jù)恢復(fù)技術(shù)的計(jì)算機(jī)取證應(yīng)用［J］.甘肅科技，2005，09：53-55.

［5］黃步根.數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證［J］.計(jì)算機(jī)安全，2006，06：79-80.

［6］劉愫衛(wèi).數(shù)據(jù)恢復(fù)技術(shù)及其實(shí)踐研究［J］.科技信息，2006，08：151-152.

［7］程優(yōu).數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證系統(tǒng)中的應(yīng)用［J］.電子技術(shù)與軟件工程，2014，20：212-213.

［8］潘大四，凌彥.電子證據(jù)取證流程監(jiān)管系統(tǒng)研究與實(shí)現(xiàn)［J］.電腦知識(shí)與技術(shù)（學(xué)術(shù)交流），2007，13：86-88.

Application of Data Recovery Technology in the Electronic Evidence Collection of Industrial & Commercial Administrative Law Enforcement

Ye Yongli1Dong Hai2
（Yantai Industrial and Commercial BureauYantai264000）1
(Developing Reform & Economic Informatization Bureau, Yantai Development ZoneYantai264000)2

AbstractThe role of electronic evidence in the law enforcement of industrial and commercial administration is increasingly prominent，because the information is stored in a digital way，and the electromagnetic medium is extremely vulnerable to damage，and once the data is destroyed，we may suffer from huge losses. For all kinds of software and hardware platform，whether from the file of the error，or storage device of the serious damage，the effective data recovery work can be to a certain extent，the data will be restored. Data recovery technology is to restore the lost or damaged part of the data into normal data by various techniques. This paper introduces the basic concept of data recovery technology，and expounds the principle of data recovery technology. Summarizes the method of data recovery and common tools software.

KeywordsIndustry and commerceAdministrative law enforcementElectronic evidence Data recoveryPrincipleData recovery technologyTool software

中圖分類號(hào)TP309

文獻(xiàn)標(biāo)識(shí)碼B

文章編號(hào)160202-7201

作者簡(jiǎn)介

葉永利：性別：男，學(xué)歷：研究生，職稱：中級(jí)，出生：1980 年5月13日，單位：煙臺(tái)市工商行政管理局。

董海：性別：男，學(xué)歷：研究生，職稱：中級(jí)，出生：1977.11.12，單位：煙臺(tái)開(kāi)發(fā)區(qū)發(fā)展改革和經(jīng)濟(jì)信息化局。