電子數據恢復在司法取證案例中的研究

王劍雄　高維星

摘 要 隨著科學技術的不斷發展，數據已經成為了人們最為寶貴的財富，電子數據恢復成為公檢法部門破案、斷案、判案重要的一環，也成為各個行政、執法機關最重要的一種電子數據取證與司法鑒定技術手段。基于Winhex的電子數據恢復技術為司法取證提供了可靠的技術保證，本文通過實例演示Winhex恢復電子數據的過程。

關鍵詞 電子數據恢復 司法取證 Winhex

中圖分類號：TP393.08 文獻標識碼：A

0引言

隨著信息化進程快速發展，信息技術在人們日常工作、學習、生活中扮演著越來越重要的角色，各類存儲介質成為人們生活工作不可或缺的一個部分，海量數據存儲在計算機、網絡服務器及各種存儲介質中，犯罪分子為了毀滅違法行為的電子數據，人為地刪除或是惡意地破壞電子數據，在偵破審理計算機犯罪案件時，不完整的電子證據很難作為有效證據用于指控計算機犯罪分子，因此，借助硬盤數據恢復技術，完成司法案例中電子證據的搜集、固化工作，對于打擊犯罪和公正執法有重大意義。

1硬盤結構

硬盤結構主要由主引導扇區MBR，操作系統引導扇區DBR，文件分配表FAT，目錄區DIR，數據區DATA組成。

MBR是由分區程序產生的，不同的操作系統該扇區可能是不相同的。其位于硬盤的0磁道0柱面1扇區，包括硬盤主引導記錄MBR（ Main Boot Record）和分區表DPT（ Disk Purtition Table）。

DBR通常位于硬盤的0磁道1柱面1扇區，是操作系統可直接訪問的第一個扇區，它包括一個引導程序和一個BPB（ BIOS Parameter Block）的本分區參數記錄表。

FAT在Windows中被稱為虛擬文件分配表，其大小由本分區的大小及文件分配單元的大小決定。

DIR緊接在第二FAT表之后，記錄著每個文件（目錄）的起始單元、文件的屬性等。

DATA是真正意義上的數據存儲區，數據區的數據可分為兩個部分；可見數據和不可見數據。可見數據是指這些文件數據在DIR中有相應的記錄信息，可以被某程序找到。反之，不可見數據是不能被某程序所找到看到的數據。不可見數據的再現也是重要的證據來源。

2數據恢復原理分析

數據恢復就是通過技術手段將不可訪問或不可獲得的數據恢復至可訪問或可獲得的數據狀態過程。通常，以存儲介質是否能夠完全正常工作為依據將數據恢復分為兩大部分：硬恢復和軟恢復。

硬恢復：主要針對硬件故障而丟失的數據，如硬盤、U盤、光盤、磁帶、數碼產品等損壞或者硬盤固件系統問題等導致的系統不認盤，恢復起來一般難度較大。這時要注意不要嘗試對硬盤反復加電，也就不會人為造成更大面積的劃傷，這樣還有可能恢復大部分數據。

軟恢復：主要是恢復操作系統、文件系統層的數據。這種丟失主要是軟件邏輯故障、病毒木馬、誤操作等造成的數據丟失，物理介質沒有發生實質性的損壞，一般來說這種情況下是可以修復的，一些專用的數據恢復軟件都具備這 種能力。

硬盤數據丟失本身就是一個非常復雜的問題，要尋找并恢復因分區信息丟失或損壞、文件系統損壞、誤刪除、誤格式化等原因而丟失的數據，首先就要分析硬盤的結構，對文件系統有所了解。一個新硬盤只有經過分區、格式化后，才能安裝操作系統進行正常使用。MBR（主引導記錄）磁盤分區是目前使用最為廣泛的一種分區結構，在MBR磁盤分區中，分區表占64字節，而每個分區占16字節，故最大可存放4個主分區，當硬盤的存儲容量比較大，并且需要建立更多磁盤分區時，就必須使用擴展分區，用EBR（擴展引導記錄）表示。

3利用Winhex進行數據恢復的應用案例

Winhex是X-Ways公同出品的一款十六進制編輯、磁盤編輯軟件，其公同網站對其功能介紹如下，可以對硬盤、軟盤、CD-ROM、DVD、ZIP及各種存儲卡進行編輯。支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系統。可支持取組RAID及動態磁盤，附帶數據恢復功能。下面用案例來分析利用WinHex進行數據恢復的過程。

警察進入犯罪嫌疑人公司取證時，犯罪嫌疑人為避免計算機硬盤中犯罪證據被警方發現，將硬盤人為破壞，使硬盤中分區信息丟失，導致其原本應該是兩個分區的硬盤變成了一個分區，而重要文件都在第二分區，第二個分區的丟失使原文件隨之丟失。為了取得關鍵證據，對上述情況進行實驗，虛擬磁盤加載后，對主引導記錄和磁盤分區表進行分析：MBR是磁盤第一個扇區，找到目錄數據后，雙擊起始扇區將十六進制轉到0扇區，可以看到扇區的末尾，發現扇區的末尾已經不是“55AA”，于是將末尾2個字節改回“55 AA”并保存，如圖1所示，于是達到利用Winhex恢復數據的功能。如果是其它錯誤，同樣是利用硬盤儲存的特定規律和特征找到錯誤后，進行改正達到數據恢復的作用。

4總結

當前隨著計算機普及應用，大量重要的信息數據存放在計算機及其存儲介質上，當電子數據人為或意外丟失時，利用一定的科學方法并遵循一定的工作程序將會取得更多的案件線索和各種電子證據，這對有效打擊計算機犯罪將起到非常重要的作用。數據恢復技術還有待于做更深一步的研究，如處理有物理損壞的硬盤、查找文件碎片及對特殊文件的分析等方面的取證，將對于數據恢復的研究具有十分重要的意義。

參考文獻

[1] 馬林.重生Windows數據恢復技術極限剖析[M].北京：清華大學出版社，2011.

[2] 劉偉.數據恢復技術深度揭秘[M].北京：電子工業出版社，2010.