數據恢復技術在工商行政執法電子取證中的應用

葉永利　董海（煙臺市工商行政管理局　煙臺　64000）(煙臺開發區發展改革和經濟信息化局　煙臺　64000)

數據恢復技術在工商行政執法電子取證中的應用

葉永利1董海2
（煙臺市工商行政管理局煙臺264000）1
(煙臺開發區發展改革和經濟信息化局煙臺264000)2

摘要電子證據在工商行政執法中的作用日益凸顯，由于其信息以數字方式儲存，并且電磁介質極易受到損壞，數據一旦破壞，我們可能將承受巨大的損失。針對各種軟硬件平臺，無論是從文件的誤刪除，還是存儲設備的嚴重破壞，行之有效的數據恢復工作都可以在一定程度上將數據進行恢復。數據恢復技術是通過各種技術手段把丟失或遭到破壞的部分數據還原成正常數據。本文闡述了數據恢復技術的基本概念和數據恢復技術的原理。總結了數據恢復的方法與常用工具軟件。

關鍵詞工商行政執法電子證據數據恢復原理數據恢復技術工具軟件

隨著電子商務的普及和發展，我國網絡市場交易規模、交易量呈現井噴式發展態勢。市場主體的經營領域由線下拓展到線上，經營資料和經營活動記錄也開始呈現電子材料逐步取代書式材料之勢。在工商行政執法中，越來越頻繁地需要利用電子證據認定違法事實，確定違法程度。

商品交易的違法行為的證據多以計算機數據形式存在，并通過計算機或網絡進行存儲、處理和傳輸，工商執法尤其是涉網案件的取證工作需要從計算機設備中提取數據。甚至需要從已被刪除、加密或破壞的文件中獲取信息。在工商部門在行政執法過程中，保存、固定及使用“電子證據”對于案件審理、查處起關鍵作用，因此研究電子證據與傳統的書面證據、物證的不同特征，探索數據恢復技術在“電子證據”獲取中的應用有重要意義。記錄備份有關數據既有技術層面的需要，也有法律層面的要求。

一、工商行政執法中涉網案件取證工作現狀

在涉網案件的工商行政執法取證中，所涉及的電子證據分為本地硬盤存儲的電子證據、手機存儲的證據、web網頁展示的電子證據、遠程存儲或云存儲的電子證據。

計算機本地取證是指對經營主體保存于計算機或者手機本地的信息數據源證據進行收集、獲取的手段。主要有office文檔文件、、涉案照片、電子合同、核算應用軟件、數據庫文件、歷史記錄、緩存信息等。硬盤、U盤、各種存儲卡、多媒體播放器等商品經銷臺賬以及保存在本地硬盤中的聊天記錄、電子郵件備份、發表在網站上的帖子在本地電腦的緩存文件等。

電子證據的存在離不開電腦等電子設備的支持，如果沒有相應的的電子設備硬件，都只能停留在各種電子存儲介質中，無法播放、檢索、顯現，也不能為法庭所認可和采信。此外，電子證據的展示還離不開特定的系統軟件環境。如果軟件環境發生變化，則存儲在電子介質上的信息可能顯現不出來，或者難以正確地顯現出來。這一特點要求執法人員在收集電子證據的時候，既要收集存在于計算機軟硬件上的電子證據，也要收集其它相關外圍設備中的電子證據；既收集文本，也收集圖形、圖像、動畫、音頻、視頻等媒體信息。同時，還應當保存相應的硬件軟件以保全該證據的運行環境，使之能夠在必要的時候以打印、屏顯等方式顯示出來。

二、電子證據特征

由于網絡商品交易的虛擬性和隱蔽性，現流行的動態網頁、電子郵件等電子數據都是調用數據庫數據，動態展示內容，具有易刪除、易修改的特性，工商行政管理機關在網絡商品交易監管中，對網絡商品交易違法行為的調查取證，對電子證據的收集、固定和審查，往往成為查處網絡商品交易違法行為過程中的的瓶頸和關鍵環節。

1、電子證據具有非直觀性，需要借助各種硬件和軟件系統，也就是要有數據展示的環境才能判讀和保存。電子證據實際是計算機數據，它是由計算機識別的各種代碼和編碼組成，必須借助計算機操作系統或者某種特定的軟件將其展示可以直接讀取的文字、數據、表格、圖像或聲音視頻信息。因此這就要求我們在收集調取電子證據時，須將相對應的系統環境一同保全，以便將來搭建合理的環境恢復數據，獲取電子證據。

2、電子證據具有可傳輸性，可以通過網絡快速傳播。電子證據是一組電子數據信息，可以通過網絡傳遞，并且傳輸的數據是完全一樣可校驗的，因此電子取證可以遠程網絡獲取。

3、電子證據具有易改動性，容易遭到修改或破壞或者刪除。電子數據信息實質上是代碼排列在各種電子存儲載體上，通過計算機系統進行讀寫，由于人為或非人為因素有可能導致信息不完整不真實，或無法判讀，人為有意或者無意的對數據的改動，非人為的如病毒、軟件沖突等，也有可能導致數據信息被損壞。

4、電子證據具有多樣性，能夠以不同形式存在。電子證據可以通過電腦程序存在和展示，能夠以文字、圖片、圖像、聲音視頻等多種格式，并且可以通過電腦程序轉化格式。

第三方指提供互聯網接入服務商和提供網絡交易平臺服務的經營者等保存的所有平臺經營業戶的信息和交易信息，其中關于涉嫌違法當事人經營行為的相關數據記錄備份，以及后臺數據庫的存儲數據。可以作為電子證據調取相關數據。

三、工商系統電子證據取證工作中存在的主要問題

1、硬件裝備相對落后，無法跟上信息化產品更新步伐。用于拷貝復制數據使用普通的硬盤、移動硬盤。這種設備數據傳輸速度慢，效率低，讀寫性能差，而且安全性、可靠性不能保證。不滿足《電子數據儲存介質寫保護設備要求》中關于寫保護設備的技術要求和關于逐比特復制的要求；無法保證源盤數據和復制盤數據的同一性。

2、信息專業方面技術人才比較匾乏。科學技術進步日新月異，即使有一定電腦知識的執法干部，加之沒有得力的硬件工具支持，面對電子證據進行固定、取證時只能是捉襟見肘。

目前電子取證的普遍做法是：

3、檢查“我最近的文檔”。從從事經營活動的計算機中，使用Windows系列操作程序的計算機，點擊左下角“開始”按鈕。找到“我最近的文檔”欄，點開它會列出按順序該計算機最近使用過的文檔，不同的操作系統顯示數量不同，一般為10～20個條目。在檢查過程中，首先抓屏，記錄下最近打開的文檔的名稱和順序，要注意不能輕易點擊打開某一條目文件。因為打開某一文件后，該文件就變成了最近的文檔，會改變原有的序列。

4、檢查“計算機桌面文件”。在工商執法實踐中發現，一般經營主體的人員習慣于將常用文件放置在計算機桌面上，并主要使用Word、Excel等Office文檔。從程序中查找財務核算軟件、ERP信息管理軟件、存貨管理軟件等經營業務軟件，有時候在桌面也會有軟件的快捷鏈接方式。因此，執法人員在檢查中首先應對違法經營主體的計算機桌面進行查看、分析。

5、檢查財務核算、庫存管理、ERP等應用軟件。通過涉案人員的配合進入到財務核算軟件、庫存管理等記錄經營信息的軟件進行檢查，取得違法經營主體的收入、支出、費用、購銷貨數量等多項數據信息。

針對文件被刪除后的處理，需要采取數據恢復的方法：

四、數據恢復原理

對于Windows文件系統來說，通常從鍵盤上按DELETE鍵“刪除文件”只是改變文件在FAT中的鏈接指向，也就是清除了一個鏈接。修改文件的首字節，并把文件所占區域標記為未分配，而并不破壞文件本身，“格式化”也不是刪除數據區data中的數據，只是重寫了FAT表。絕大部分的DATA區的數據并沒有被改變，只要沒有覆蓋這個文件。

五、數據恢復的攻略

1、數據被DELETE的數據恢復

此時數據進入回收站，可以通過打開回收站，選擇文件，點擊鼠標右鍵選擇恢復選項，恢復刪除的數據。

2、數據被SHIFT+DELETE的數據恢復

使用數據恢復的工具軟件EasyRecovery、FinalData或其他工具軟件，選取并加載需要恢復的硬盤分區掃描。軟件會將所有刪除的文件按照物理順序顯示出來。它主要是在內存中重建文件分區表使數據能夠安全地傳輸到其他驅動器中。你可以從被病毒破壞或是已經格式化的硬盤中恢復數據。

3、當硬盤出現壞道時的數據恢復

當硬盤吱嘎響或者計算機系統莫名的出現藍屏可以推測硬盤有壞道。如果硬盤出現壞道，可以在純DOS狀態下嘗試是否可讀取，DOS對文件的讀取的能力相對Windows較強，當DOS讀不出的文件時，在出現提示后（Retry）多試幾次或許就可以讀出了。如果這種方法不行，那么可以判斷此扇區確已損壞。此時應將該硬盤作為從盤掛附在另一臺電腦中，再使用DiskGenius、RecoverNT、FinalRecovery或其他數據恢復工具進行數據讀取。

4、硬盤誤格式化的數據恢復

無論是DOS系統下使用Format命令還是是在Windows環境下針對從盤進行格式化。格式化的操作并沒有把硬盤上的文件數據真正清除，而僅是重寫了FAT分區表，由此可以借助FinalRecovery等工具軟件來有效恢復被格式化過的硬盤上的數據。

5、優盤和各種usb設備的數據恢復

移動設備的數據恢復通常借助FinalData等軟件工具實現。雙擊打開FinalData，軟件，單擊“文件”菜單中的“打開”命令；在“選擇驅動器”對話框中選擇優盤或者USB設備的盤符后單擊“確定”按鈕開始掃描；待掃描結束后，找回的文件會顯示在“丟失的目錄”或“丟失的文件”內。選中所有需要恢復的文件；單擊“文件”菜單下的“恢復”命令，彈出“選擇目錄保存”對話框，確定保存路徑后單擊“保存”按鈕就可以了。

6、硬盤克隆常用方法和工具

從涉案的計算機硬盤中完整采集出所有數據，通常運用硬盤克隆機或者數據獲取軟件兩種方法。

（1）運用硬盤克隆機獲取證據運用硬盤克隆機方法是從硬盤中采集數據時最直接的方法。將硬盤從計算機上拆卸下來，然后用取證專用的硬盤克隆機有條件的單位可以用快速取證箱制作原硬盤的克隆品。這中操作要保證目標盤有足夠的空間，也就是目標盤的物理空間要大于源數據盤。

（2）硬盤數據采集方法：拆除進行數據取證的原硬盤；使用預檢設備檢查原硬盤，一是確保無物理故障；二是確保原盤數據可讀取。然后對目標硬盤進行格式化處理，復制原硬盤數據到目標硬盤。如果原硬盤有故障最好在預處理設備上進行預處理，防止數據采集過程中出現故障。推薦使用Norton Ghost

六、數據恢復方法和工具

數據恢復的方式可分為硬件恢復方式與軟件恢復方式。

硬件恢復可分為硬件替代、硬件固件修復、盤片三種恢復方式。硬件替代就是用同型號的好硬件替代壞硬件達到恢復數據的目的。固件是硬盤廠家寫在硬盤中的初始化程序。盤片讀取就是用專門的數據恢復設備對其掃描，讀出盤片上的數據。

軟件恢復可分為系統恢復與文件恢復。系統級恢復就是操作系統文件受到破壞，導致系統不能啟動，無法進入系統用正常方式查看文件。利用各種修復軟件修復系統文件，使系統工作正常。或者使用虛擬系統啟動計算機，進行簡單文件操作。文件級恢復，就是恢復硬盤上損壞丟失的用戶數據文件，文件級恢復一般用工具軟件恢復數據。這些工具進行恢復的工作原理是利用激光束對盤面上的磁信號進行掃描，根據反射的不同的數字信號發射不同的信號，然后再通過專門的軟件分析來進行數據恢復。

目前用于數據恢復的工具軟件主要有R-Studio、EasyRecovery、Recover My Files、FinalData、Norton、DiskGenius、RecoverNT、FinalRecovery等。每個工具使用方式各有不同，恢復效果也會有一定的差別。，其中EasyRecovery、Recover My Files、FinalData支持NTFS、FAT12/16/32文件系統，能夠重建損毀的RAID陣列，為磁盤、分區、目錄生成鏡像文件，恢復刪除分區上的文件。推薦使用FinalData。它具有操作簡單、速度快、搜索準確等特點，支持的系統有Windows操作系統外，UNIX系統、linux系統。支持克隆整個硬盤，并能夠完整地顯示和編輯任何一種文件類型的二進制內容。

七、手機取證

這里主要介紹一下MOBILedit Forensic軟件的使用。首先它幾乎支持所有手機，目前主流手機操作系統是Android 和ios系統。MOBILedit Forensic支持不同的手機，包括如三星，HTC，諾基亞，索尼，LG普通手機。它還支持所有的智能手機操作系統，包括Android，iPhone，Windows Mobile CDMA手機。

從iPhones和Androids中提取數據。MOBILedit能夠檢索已安裝的應用程序的列表，并為您提供訪問所有應用程序數據，例如Dropbox，Evernote，Skype，WhatsApp等。如果可能的話，它甚至能夠從移動應用程序檢索已刪除的數據。

1、從手機和SIM卡中完整提取數據

使用MOBILedit Forensic可以查看、搜索或檢索手機中的所有數據。這些數據包括拔號記錄、電話簿、文字消息、彩信、文件、日歷、備注、提醒以及Skype，Dropbox，Evernote等應用程序數據。它也可以檢索所有的手機信息。也能夠從手機擷取已刪除的數據和繞過開機密碼，PIN碼和手機備份加密。

2、使用鎖定文件的方法繞過iOS開機密碼

針對iOS硬件加密的數據，MOBILedit Forensic能夠透過這層保護來檢索數據。它支持導入在犯罪嫌疑人電腦上找到的鎖定文件。當iOS設備連接到電腦，并通過輸入密碼授權時電腦會生成這些文件。可以消除所要取證手機的原始SIM卡中的PIN碼。它也丟棄了過時及不可靠的取證屏蔽袋。可以復制SIM卡。

3、無需手機檢查電話數據

大多數iOS用戶都在使用iTunes，特別是對于管理音樂。他們中的大多數至少已將他們的iPhone手機和iTunes連接了一次。所以，即使沒有手機作為證據，你仍然可以獲取手機數據，因為默認狀態下的iTunes都會自動備份任何連接iPhone手機。MOBILedit Forensic獲取這些iTunes的備份文件，并提供了完整提取，包括聯系人，短信，錄音，鈴聲，記事本，日歷，照片，視頻，以及他們的應用程序數據的功能。

4、通過數據線連接Androids系統遇到問題？可以通過Wi-Fi來連接它們

有些Android手機，尤其是山寨機，無法通過電纜連接到電腦上，或者因為連接端口損壞而不可用，或者因為某些預先安裝的安全軟件，如，防火墻，防病毒等，能夠通過Wi-Fi來連接這些手機，并可進行完整的邏輯提取。

電子證據包含的數據信息往往很大，而且數據類型往往雜亂無章，通常收集的所有證據需要進行提取、整理和篩選后才能被使用。一般使用成熟的軟件工具比如DGC等幫助篩選整理。在全面分析的基礎上進行數據挖掘和整合，使之清晰呈現案情相關信息。

參考文獻

［1］艾紹新. Windows數據恢復技術在電子取證中的應用研究［D］.東北石油大學，2013.

［2］王笑強.數據恢復技術成為電子取證的核心技術［J］.計算機安全，2009，12：75-76.

［3］王旸.電子證據采集系統的設計與實現［D］.天津大學，2010.

［4］游君臣，彭尚源.基于數據恢復技術的計算機取證應用［J］.甘肅科技，2005，09：53-55.

［5］黃步根.數據恢復與計算機取證［J］.計算機安全，2006，06：79-80.

［6］劉愫衛.數據恢復技術及其實踐研究［J］.科技信息，2006，08：151-152.

［7］程優.數據恢復技術在計算機取證系統中的應用［J］.電子技術與軟件工程，2014，20：212-213.

［8］潘大四，凌彥.電子證據取證流程監管系統研究與實現［J］.電腦知識與技術（學術交流），2007，13：86-88.

Application of Data Recovery Technology in the Electronic Evidence Collection of Industrial & Commercial Administrative Law Enforcement

Ye Yongli1Dong Hai2
（Yantai Industrial and Commercial BureauYantai264000）1
(Developing Reform & Economic Informatization Bureau, Yantai Development ZoneYantai264000)2

AbstractThe role of electronic evidence in the law enforcement of industrial and commercial administration is increasingly prominent，because the information is stored in a digital way，and the electromagnetic medium is extremely vulnerable to damage，and once the data is destroyed，we may suffer from huge losses. For all kinds of software and hardware platform，whether from the file of the error，or storage device of the serious damage，the effective data recovery work can be to a certain extent，the data will be restored. Data recovery technology is to restore the lost or damaged part of the data into normal data by various techniques. This paper introduces the basic concept of data recovery technology，and expounds the principle of data recovery technology. Summarizes the method of data recovery and common tools software.

KeywordsIndustry and commerceAdministrative law enforcementElectronic evidence Data recoveryPrincipleData recovery technologyTool software

中圖分類號TP309

文獻標識碼B

文章編號160202-7201

作者簡介

葉永利：性別：男，學歷：研究生，職稱：中級，出生：1980 年5月13日，單位：煙臺市工商行政管理局。

董海：性別：男，學歷：研究生，職稱：中級，出生：1977.11.12，單位：煙臺開發區發展改革和經濟信息化局。