電子數據概述

陳超 沈燕峰

摘 要：回顧信息技術發展歷史，從結繩記事，到電子計算機的誕生，從電話網絡，到三網融合，從云計算，到物聯網，伴隨著技術的飛速發展，人類信息時代的生活越來越美好。但是，也正是計算機網絡的無處不在，它也同樣不可避免地被牽涉到種種非法事件中，從而在美好的背后，存在著各種各樣的丑惡，尤其是形形色色的犯罪。正所謂天網恢恢，犯罪分子在計算機上的任何活動，都必然會留下印跡。本文主要研究電子數據，來闡述其作用。

關鍵詞：電子數據；證人證言；犯罪

一、電子證據調查概念

（一）證據

2012刑訟法第四十八條指出證據的定義：即證據是可以用于證明案件事實的材料 。

由八部分組成證據，具體包括：物證；書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定意見；勘驗、檢查、辨認、偵查實驗等筆錄；視聽資料、電子數據。

（二）電子數據

電子證據和傳統證據相比較而言，其存在形式比較獨特，主要在各種媒介上面以光，電和磁信號等物理形式存在。在形成、存在和利用電子證據過程中，主要依靠電子設備或者電子技術，存在的形式為電子類，使用時需要利用電子技術方可實現。由此可知，電子證據才突出了“電子”一詞，而且也因此與常規的證據有所區別。

在國際方面，通常會應用“Computer Forensics”、“computer evidence”、“digital evidence ”、“electrionic evidence”等術語。“Computer Forensics”是“Forensics”的一個分支。此分支為自然科學范疇，相關犯罪與其他合法證據主要利用技術手段獲取。“forensics”的本意主要指“辯論練習，辯論術”，而“Forensic”的本意指“法庭的，論爭的：與法庭或公眾論爭有關的；用于或適于法庭或公眾論爭的，辯論的，修飾的”。

我們國家主要使用術語進行描述，包括電子取證，電子鑒定，以及電子數據和電子物征等等。國內外關于這方面的內容基本相同，在本質上的區別不大。

（三）電子數據主要特點

狹義的電子證據，即計算機犯罪的電子證據與傳統證據相比較而言，具有更為突出的特點，在很多著作中幾乎都總結電子證據的特點，目前業界內公認的包括下述幾個特點：

1.易變性特點

電子證據與傳統證據相比較而言，主要特點表現為受高科技含量影響比較脆弱。電子證據的存儲形式為電和磁等。證據更容易被變更和修改，一旦電子證據被修改，因無映像文件和副本相對照，所以進行判斷和查清時比較困難。

2.多樣性特點

在輸出電子證據過程中，具有各種各樣的表現形式，包括大量多媒體信息，如視頻，音頻，動畫和圖像等等，這些信息可加密編譯，也可為交互式的，對待證事實和形成過程可以更加完整，直觀，生動而清楚的反映出來。

3.虛擬化特點

幾乎全部信息在計算機內部都具有數字化特點。實質上，電子證據本身就是一些二進制排列信息，主要按編碼規則處理而成，計算的機的某種功能主要利用二進制編碼對系列化電脈沖信號進行轉換而成，識別時很難通過肉眼來實現。

4.依賴性特點

電子證據必須依賴于高科技設備，在形成，提取，識別和存儲，傳輸和再現電子證據時都需要高科技設備。

二、取證的流程

一般調查電子證據包括五個基本流程：

1）在調查和取證之前，進行辨認和準備；

2）收集相關證據；

3）采取復制或者鏡像的方式保全和固定證據；

4）分析和檢查證據；

5）證據報告。

三、電子取證

電子取證技術在調查電子數據過程當中，恢復數據技術是經常使用的技術，其中恢復數據的技術包括兩種，即介質數據恢復，介質物理故障修復。本文將在下述內容中重點講解介質數據恢復技術。

修復介質物理故障：這種故障一般指CMOS對磁盤不識別； 經常會出現磁頭撞擊的聲音，類似“咔嚓咔嚓”的聲音； 電機通電之后沒有聲音，也不運轉；因磁頭出現錯位，使數據的讀寫出現問題；經常出現讀寫困難，格式式困難，死機和啟動困難等問題； 有進自檢可以通過，但此硬盤卻在“磁盤管理”中尋不到；計算機電路板的燒痕非常明顯等等。磁盤物理故障包括如下分類內容：磁頭老化和燒壞、盤體出現問題，電機故障、零磁道損壞、盤片被劃，芯片斷線斷針等。固件損壞或者信息丟失等等。

恢復介質數據技術：系統和硬盤出現故障；系統啟動過程不正常、分區表和密碼及權限丟失、MBR和BOOT區丟失；誤操作故障、格式化和克隆誤操作、分區誤刪除、被病毒損壞、受黑客的攻擊、操作PQ、RAID失敗等等；Office系列Word、Excel、Access、PowerPoint文件Microsoft受到損失 、 修復SQL與Oracle數據庫文件、修復Foxbase/foxpro的dbf數據庫文件數據；對郵件Outlook Express dbx等文件進行損壞，修復Outlook pst文件的內容；修復受損的媒體文件MPEG、asf、RM等等等。

根據文件系統不同，可將介質分成NTFS，FAT，HFS，EXT4等：根據介質按種類的不同，可將介質分為硬盤，U盤，SD卡、各種電子存儲卡等。

我們在很多恢復數據的案例中發現，大多數數據的恢復需要采用介質數據恢復技術，很少使用介質物理故障修復技術。

其中格式化、刪除和覆蓋三種情況是介質數據恢復中經常使用的。

1）刪除操作：這種操作方法比較簡單，刪除某文件過程中，在文件的分配表中，系統只在文件前方標明刪除標志。代表此文件已進行刪除操作，說明系統已釋放占用的空間，此空間可被其他文件使用。由此可知，如果我們誤刪除了某個文件 ，希望將數據恢復時，只要使用工具去掉刪除標志就能夠實現，可以恢復數據。但是并沒有新文件寫入系統，新的內容也沒有覆蓋文件占用空間。

2）格式化操作：此操作方法和刪除操作比較接近，兩者都對文件的分配表進行操作，但格式化操作僅僅把刪除標志加至全部文件，或者直接清空文件分配表，系統表明無任何內容存在于硬盤的分區上。而在數據區并未進行格式化操作。盡管目錄消失，不過仍然有內容。利用工具和數據恢復技術，可以及時恢復丟失的數據。

3）覆蓋操作：如果把刪除標志記在某文件之后，將有新的文件寫入所占用的空間，新內容很有可能被新文件覆蓋或者占用。

我們在實際的調查和取證時，類似的問題經常會遇到，所以在恢復數據以前，應當進行很多前提工作。比如，先要了解刪除的計算機數據屬于什么狀態。進而針對不同的狀況進行不同的調整工作。

現針對上述論點進行以下實驗，僅供參考；

實驗環境：分別安裝兩臺計算機，系統為WINDOWS XP和7兩部分，對NTFS進行分區，計算機中存儲著視頻，音頻和圖片，以及WORD文件。

實驗目的：格式化操作系統為WINDOWS XP 和 WINDOWS 7兩種，并且比較數據的恢復狀況。

恢復軟件：即磁盤獵手diskhunter

恢復效果：能夠恢復全部數據的是XP系統。但全部數據都無法恢復的是WIN 7系統。

結論：通過上述實驗結果可知，當對兩種系統進行快速格式化操作時，應用了不同的技術方法和手段。實際在XP系統中，格式化就是刪除操作。而WIN 7操作系統中，格式化就是覆蓋操作。

綜上所述，如果我們對硬盤的基本原理能夠充分掌握，再恢復相關數據就更加容易了。

四、手機取證

伴隨不斷應用和發展的電子技術，在人們的日常生活中，手機那些不斷翻新的功能也顯得非常重要，不過，手機也成為了一種新型的犯罪工具，非常值得人們警醒，通過手機進行造謠，售假和詐騙等行為日益增多。所以，國家法律機構針對此類手機犯罪案件，急需要采取新的技術手段，而手機取證就是其中一個非常關鍵的技術手段。提取存儲在手機中的內存卡，SIM卡相關電子證據，如短信等，并且進行提取、分析和保護。接受法庭證據的全過程就是對有價值的線索或者案件進行整理。

在取證環境比較健全的情況下，利用科學合理的方法從相關設備和手機對數字證據進行恢復，稱為手機取證。該技術學科是交叉性的，涉及多方面的知識，具體包括手機軟件和硬件知識，移動通信和計算機知識，以及法律知識等等。由于涉及到的知識范圍很廣泛，從調查取證與研究人員的角度判斷，這種挑戰性都很高。我們利用手機進行調查和取證的過程中，應當對以下四項基本原則嚴格遵守：

1）以手機中可移動存儲介質數據沒有變化，手機設備數據不改變為基礎，對可疑的物品進行獲取。

2）將信息從手機設備以及外圍裝置的存儲器進行鏡像獲取的過程，稱為提取數據。

3）檢查及分析前一時期提取的數據復本，稱為檢查分析。而取證工具主要指把SMS短消息，電話本，通話記錄等信息利用取證工具將數據恢復成可理解的形式。并對數據代表的意義與來源，即數據代表的全部信息進行完整的描述，由取證專家或者調查人員深入研究和分析已經恢復的信息，積極尋求有利的證據，對犯罪的過程進行重建。

4）對取證時全部調查結論與操作流程進行詳細摘要過程稱為報告展示，主要目標為，將數字證據提供給司法訴訟。通過詳細記錄檢查結果，操作結果生成報告，所以，在管理方面，必須采取嚴格的校驗和記錄方法，嚴格使用全部原始證據。由操作人員使用的工具，進行的活動序列以及提取的數字證屬性等組成報告的全部內容，并對操作時間，采取信號屏蔽措施等等進行標注。

在實際手機調查取證過程中。根據手機種類不同，可以將手機分成兩個種類，即山寨和智能手機。利用智能手機取證更加方便。我們能夠非常容易的恢復和提取手機中數據。這些數據包括WIFI應用情況、陌陌、阿里旺旺、聯系人和短信等等。

五、電子數據發展方向

將來計算機取證技術的發展方向如下所示：

（一）取證范圍更加廣泛，手機取證是將來的發展趨勢

目前計算機犯罪幾乎無處不在，不但包括臺式機，很多犯罪目標還包括大理的便攜式計算機，移動設備和手機等等。并且在不同各類的設備上分布著各種不同形式的犯罪證據，這些證據包括路由器，入侵檢測系統，計算機等等。應當根據不同的信息格式與硬件信息對取證工具進行開發，進而尋求相應證據。未來每一個人都會用到手機。手機將來會取代電腦，實現移動化辦公過程。

（二）標準化取證過程和工具

因為人們非常重視計算機的取證工作，針對該領域，不少機構及組織都投入了大量的人力物力，比如Getslack、TCT、FTK、EnCase、DiskSearch32、DRIVESPY、DiskSig、FileCNVT、ForensiX等。不過，由于規范及標準并不統一，使用軟件的人員無法比較這些工具的可靠性和有效性。由此可知，將逐漸實現標準化的工具取證過程，使取證工作的可操作性與可靠性得到提升。

（三）中心存儲取證操作

因為現在硬盤的容量大大增加，使用取證工具分析單獨硬盤的數據比較復雜，并且會占據很多時間，為有效對此問題進行解決。如今主要采取中心存儲和并行處理的方法，分析大容量介質數據。

參考文獻：

[1] 張德森.電子物證真實性判斷與研究.廣東公安科技[J].2008，04.

[2] 趙雙峰，費金龍.Windows NTFS下數據恢復的研究與實現[J].計算機工程與設計，2008.

[3] 高志鵬，張志偉，孫云峰.WINHEX應用與數據恢復開發秘籍.人民郵電出版社[M].2013.

[4] 戴士劍，涂彥暉.數據恢復技術[M].北京：電子工業出版社，2003.

作者簡介：

陳超（1985-），男，江蘇蘇州人，江蘇省蘇州市公安局吳中分局，本科，職稱：助理工程師；研究方向：電子物證檢驗；

沈燕峰（1986-），男，江蘇蘇州人，江蘇省蘇州市公安局吳中分局，本科，助理工程師，研究方向：電子物證檢驗。