關于計算機取證中數據恢復關鍵技術研究與分析

李越 衡磊司法鑒定所

計算機犯罪是新型犯罪方式，技術要求較高，多是以數字形式在網絡計算機上進行存儲傳輸，產生的電子證據會潛藏在海量的正常數據之中，極易篡改、銷毀，而取證提取的難度則較大。計算機犯罪者會在計算機網絡中遺留證據，取證則是通過對網絡中的數據信息進行識別[1]，并將獲取的信息證據保存，上交認證。計算機取證則是通過掃描痕跡，對計算機網絡入侵過程進行重建，將犯罪者的犯罪信息還原，作為有效的訴訟證據提交法庭。數據恢復作為計算機取證中的關鍵性技術，主要是包括數據恢復技術、磁盤搜索、文件格式分析等，上述技術方式的合理選擇可更好取證。因此，本文就計算機取證中數據恢復的關鍵技術進行深入探析。

一、計算機取證中數據恢復的應用

（一）磁盤數據恢復

取證過程中需要進行丟失數據還原恢復工作，主要是針對硬盤損壞、操作失誤等原因造成的數據丟失，可通過數據恢復進行補救。磁盤數據恢復是計算機數據恢復中的重要內容。磁盤作為計算機中的重要存儲裝置，包括硬盤與軟盤兩類。提前進行硬盤分區，需要對硬盤進行分區，主要劃分為主分區與擴展分區，之后方可進行硬盤內數據恢復，更有利于開展系統內讀寫操作。

（二）NTFS數據恢復

若刪除一個文件在NTFS文件系統內，不僅需要刪除文件，也需將文件所述文件夾內的目錄項刪除，此時INDX記錄則不會有數據資料在系統內遺留存在，且后續數據也可將所刪除的目錄進行覆蓋，在空閑目錄上進行操作時，定位目錄項難度較大，需要花費較長時間才可以實現數據區的再分配。MFT中有所需文件的儲存痕跡，TNDX記錄無此情況。磁盤被格式化后，數據仍會存留痕跡，清除并不徹底。存儲索引表內，文件存放是否具備連續性，直接決定文件內數據是否可完全恢復[2]。NTFS文件系統內進行數據恢復操作時，需要先將分區定位打開，將MFT內相關存儲信息，對文件所具備的屬性進行明確，判斷文件的完整性。文件若完整，則可在新文件內直接導入，若信息已經被其他文件覆蓋，則無法恢復。

（三）FAT32數據恢復

Windows系統中若文件刪除至回收站內，不會刪除文件，而是改變父目錄。若想徹底刪除文件，可通過將回收站內文件清空，或者按住“shift鍵”+“delete鍵”，可達到刪除目的，將文件刪除后也可恢復。徹底刪除文件后，FAT32系統并未執行清零操作，硬盤中儲存的數據仍有保留，此時可進行文件恢復。文件刪除后，內容不變，文件占用簇被其他文件所使用，一旦唄覆蓋則會導致文件徹底消失，此時無法進行恢復操作。若沒有相鄰同級文件搜索時，上下范圍內進行查詢，一旦發現非相鄰同級文件夾目錄項未被刪除，可重新建立文件，主要是以起始位置簇的高16位對刪除文件簇進行重建[3]。根據被刪除的相鄰同級文件，文件父目錄應以起始高16位進行重建，在磁盤內查詢。若闡述的文件FDT記錄項被覆蓋，則無法通過上述方式進行修復。修復時需要轉變思路，恢復數據值，也可尋找具有明顯特征的字符串進行恢復操作。

二、磁盤全文搜索取證技術

（一）扇區讀寫技術

硬盤文件內空間分配單位最小是簇，多為4KB，文件空間占用相比于理論值較多，空間內文件刪除后會留下痕跡，因此，通過全文搜索，尋找此類文件的盲區，可找到仍在時效內的文件資料。

（二）快速搜索算法

DF算法是硬盤內的常用匹配算法，操作較為簡單，優化KMP算法，BM算法在進行匹配時，方向是從右往左，此方向與KMP算法不同，可有效避免相互對。BM算法中采用兩條啟發性規則，分別為壞字符規范與好后綴規則。

（三）字符串編碼轉換

磁盤中文字的保存可通過不同步編碼實現，全文搜索系統中多表現為數據形式。因此，在查找文字時，需要考慮多種編碼情況的存在。各類編碼也會形成數據字典，文件搜索時，則可根據數據字典進行轉化，恢復所需要的文件內容。

（四）全文搜索取證系統

通過搜索算法、編碼轉換算法，查找硬盤內的字符串時，不限定字符串所在位置，提前確定關鍵字、字符串后，可開展文件搜索獲取證據。利用全文搜索，使匹配結果的精確性提升。以往取證時，取證人員多是利用磁盤所具有的全文搜索功能對所需文件進行查詢，搜索速度慢，近年來計算機取證中應用全文搜索，有效提升數據獲取的速度。但是，硬盤中涉及的內容較多，復雜煩瑣，針對大范圍獲取所需證據數據時，此時利用全文搜索，可通過快速匹配，使數據檢索效率大幅提升[4]。

三、結束語

綜上所述，計算機取證工作不斷成熟完善，計算機取證技術也日趨成熟，根據文件保存與刪除情況，選擇最佳的數據恢復技術，可使文件內數據恢復速度加快，更好進行數據挖掘，更有利于計算機犯罪取證工作開展。