計算機數(shù)據(jù)恢復技術在犯罪偵查中的應用淺析

尚新聞 賈浩

摘 要：隨著科技的進步與發(fā)展，在計算機犯罪案件中，犯罪分子往往破壞現(xiàn)場、毀滅證據(jù)，以逃脫罪責。數(shù)據(jù)恢復技術具有將被破壞的數(shù)據(jù)還原為原始數(shù)據(jù)的功能。把數(shù)據(jù)恢復技術應用于計算機犯罪偵查中，將為我們有效地打擊計算機犯罪開辟一條新的途徑。

關鍵詞：計算機；數(shù)據(jù)恢復；計算機犯罪偵查；電子證據(jù)；數(shù)據(jù)比對

在計算機犯罪案件的偵查過程中，犯罪分子往往會想方設法將作案的痕跡抹掉，以逃脫罪責。由于電子設備的特點，犯罪分子在實施犯罪的過程中，很容易做到破壞現(xiàn)場、毀滅證據(jù)。同信息技術一起發(fā)展起來的數(shù)據(jù)恢復技術具有將被刪除或破壞的數(shù)據(jù)還原為原始數(shù)據(jù)的能力。掌握了數(shù)據(jù)恢復技術，我們就能夠恢復計算機犯罪案件的作案現(xiàn)場，找到犯罪分子的作案證據(jù)，從而為有效地打擊計算機犯罪提供技術保證。

首先，我們來了解一下計算機數(shù)據(jù)恢復的原理：從廣義上說，駐留在計算機存儲介質(zhì)上的信息都是數(shù)據(jù)。任何使這些數(shù)據(jù)發(fā)生主觀意愿之外的變化都可視為破壞。數(shù)據(jù)恢復就是將遭到破壞的數(shù)據(jù)還原為正常數(shù)據(jù)的過程。當我們對磁盤等存儲介質(zhì)上的文件進行刪除操作，或?qū)Υ疟P進行格式化時，磁盤上的數(shù)據(jù)并沒有真正從磁盤上消失，一般情況下，這些數(shù)據(jù)是可以恢復的。這是由存儲介質(zhì)的結構和數(shù)據(jù)在存儲介質(zhì)上的存放方式所決定的。一般要將硬盤分成主引導扇區(qū)MBR、操作系統(tǒng)引導扇區(qū)DBR、文件分配表FAT、根目錄區(qū)DIR和數(shù)據(jù)區(qū)Data等五部分。DATA區(qū)是真正意義上的存放數(shù)據(jù)的地方，位于DIR之后，占據(jù)硬盤的大部分空間。一般情況下，數(shù)據(jù)區(qū)的數(shù)據(jù)都是不會被破壞的，除非進行了擦除或進行了低級格式化。一個文件被刪除之后，它并不是真正地從磁盤上抹掉全部數(shù)據(jù)，而僅僅是把文件頭中的前兩個代碼（文件名的第一個字符，與文件內(nèi)容無關）做了修改，這一信息映射在文件分配表中，在分配表中做出該文件刪除的標記，而這個文件中的全部數(shù)據(jù)仍保存在磁盤上原來的簇中，除非被后來保存的其他數(shù)據(jù)覆蓋。既然文件被刪除后，其中的全部數(shù)據(jù)仍保存在磁盤上、文件分配表中也還存有它的信息，那么，這個文件就有恢復的機會。具體的做法是將文件頭找出來，恢復或重寫原來的前兩個代碼，在文件分配表中重新映射一下，這個文件就被恢復了。

接下來我們再來看一下數(shù)據(jù)恢復的方法：一般地說，常用的數(shù)據(jù)恢復方法有如下三種：利用系統(tǒng)自身的還原功能恢復數(shù)據(jù)、使用專業(yè)的數(shù)據(jù)恢復軟件以及軟件和硬件結合進行數(shù)據(jù)恢復。

1、利用系統(tǒng)自身的還原功能恢復數(shù)據(jù)：有些操作系統(tǒng)和應用程序自身帶有數(shù)據(jù)還原和記錄用戶操作信息的功能，利用這些功能就可以達到數(shù)據(jù)恢復的目的。如操作系統(tǒng)的回收站就具有數(shù)據(jù)還原的功能，在通常的情況下，數(shù)據(jù)被刪除，常常只是刪除到回收站中，數(shù)據(jù)仍駐留在磁盤上。如果沒有清空回收站，就可以利用回收站的還原功能非常容易地將數(shù)據(jù)恢復到原來的位置。一些系統(tǒng)軟件和應用軟件中對已操作過的文件也有相應的記錄，如果能找到這些記錄，用不著完全恢復原始數(shù)據(jù)就可以發(fā)現(xiàn)線索或認定犯罪事實。

2、使用專業(yè)的數(shù)據(jù)恢復軟件：在文件被刪除（并從回收站中清除）、FAT表或者磁盤根區(qū)被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁盤根目錄區(qū)不可讀或?qū)Υ疟P格式化造成全部文件信息丟失的情況下，可以借助數(shù)據(jù)恢復軟件如EasyRecovery、FinalData和Norton Utility等進行數(shù)據(jù)恢復。

3、軟件和硬件結合恢復數(shù)據(jù)的方法：當文件破壞比較嚴重或磁盤有物理損傷時，單純使用軟件恢復數(shù)據(jù)可能難以達到預期的效果。這種情況下，最好的方法是將數(shù)據(jù)恢復工具軟件和專門的數(shù)據(jù)恢復儀器結合起來進行數(shù)據(jù)恢復。

最后，我們再來研究一下計算機犯罪偵查中使用數(shù)據(jù)恢復技術的原則與方法：1、要根據(jù)具體的情況合理選擇數(shù)據(jù)恢復技術和方法，選擇數(shù)據(jù)恢復的技術和方法時要考慮的因素有：犯罪現(xiàn)場中機器所使用的操作系統(tǒng)、網(wǎng)絡環(huán)境以及存儲介質(zhì)的種類和結構等。不同的操作系統(tǒng)可能使用不同的文件系統(tǒng)，而不同的文件系統(tǒng)決定數(shù)據(jù)在存儲介質(zhì)上不同的存儲方式。不同的存儲介質(zhì)其數(shù)據(jù)的存放方式和存取方式也不盡相同，進行數(shù)據(jù)恢復時也要考慮這個因素。2、進行數(shù)據(jù)恢復前要做好數(shù)據(jù)備份。進行數(shù)據(jù)恢復是要冒一定風險的，因為如果犯罪嫌疑人做了手腳或自己操作不當，不但不能恢復數(shù)據(jù)還可能破壞要恢復的數(shù)據(jù)，造成無法挽回的損失。因此每一步操作都要有明確的目的，在進行操作之前要考慮好做完該步驟之后能達到什么目的，可能造成什么后果，能不能回退到上一狀態(tài)。特別是對一些破壞性操作，一定要考慮周到。只要條件允許，就一定要在操作之前，進行數(shù)據(jù)備份。3、進行數(shù)據(jù)恢復的每一個步驟要嚴格依照法律規(guī)定的程序，確保得到的數(shù)據(jù)可以作為具有法律效力的電子證據(jù)，由于計算機中的數(shù)據(jù)具有可修改性、多重性、可滅失性和技術性等特點，任何一點失誤或疏漏都可能造成電子證據(jù)失去法律效力。因此在進行數(shù)據(jù)恢復的過程中，要詳細記錄操作的方法、使用的工具（包括軟件和硬件）、操作的每一個步驟甚至包括存儲介質(zhì)運輸和保存

的過程與方法等，這對防止在法庭上辯護方試圖針對后來重新組裝的系統(tǒng)和介質(zhì)中儲存信息的合法性提出異議是十分必要的。4、與數(shù)據(jù)比對技術結合使用，在計算機犯罪偵查取證過程中應用數(shù)據(jù)恢復技術不同于一般的數(shù)據(jù)恢復，在一般情況下沒有必要追求百分之百的恢復，因為我們的目的是認定犯罪，只要得到的數(shù)據(jù)能夠充分證明犯罪事實就可以了。要確定這些數(shù)據(jù)同我們已經(jīng)掌握的數(shù)據(jù)具有同一性，就要利用數(shù)據(jù)比對技術進行對比分析，通過數(shù)據(jù)比對技術能夠認定其統(tǒng)一性就行了。

綜上所述，隨著信息技術的發(fā)展，計算機犯罪的技術性越來越強，獲取電子證據(jù)的難度越來越大，給警方的偵查破案工作帶來越來越大的壓力。如果將數(shù)據(jù)恢復技術應用于計算機犯罪偵查，可以為警方獲取電子證據(jù)開辟一條新的途徑，這對有效地打擊計算機犯罪將會起

到重要的作用。利用一定的科學方法并遵循一定的工作程序?qū)〉酶嗟陌讣€索和各種電子證據(jù)，這對有效打擊計算機犯罪將會起到非常重要的作用。數(shù)據(jù)恢復技術還有待于做更深一步的研究，如，在處理有物理損壞的硬盤、查找文件碎片及對特殊文件的分析等方面取證進展將對于計算機取證具有十分重要的意義。

參考文獻

[1] 戴士劍，涂彥暉編著.數(shù)據(jù)恢復技術[M]. 電子工業(yè)出版社， 2005

[2] 涂彥暉，戴士劍編著.數(shù)據(jù)安全與編程技術[M]. 清華大學出版社， 2005

[3] （美）DavidA.Solomom，（美）MarkE.Russinovich著，詹劍鋒等譯.Windows 2000內(nèi)部揭密[M]. 機械工業(yè)出版社， 2001

[4] 尤晉元等編著.Windows操作系統(tǒng)原理[M]. 機械工業(yè)出版社， 2001

[5] 姜靈敏編著.微機硬盤管理技術[M]. 人民郵電出版社， 1999

作者簡介

尚新聞，新鄉(xiāng)職業(yè)技術學院，講師，河南新鄉(xiāng)。

賈浩，河南省人民檢察院，河南鄭州。