電子物證檢驗鑒定中數據恢復技術探析

任智敏

摘 要：電子物證檢驗鑒定中的數據恢復技術是獲取物證線索的保障，加大電子物證檢驗鑒定中數據恢復技術的研究對提高犯罪案情偵查效率有著積極的作用。本文就電子物證檢驗鑒定中的數據恢復技術進行了相關的分析。

關鍵詞：電子物證檢驗鑒定；數據恢復技術

0 引言

在社會經濟以及網絡技術蓬勃發展的當下，各種違法犯罪行為也日益猖獗，給社會的安定造成了極大的影響。針對這些違法犯罪行為，犯罪嫌疑人在實施犯罪行為之后會直接刪除那些可以證明其犯罪行為的一些電子數據，從而給案件的偵查增加了一定的難度。而辦案人員在電子物證檢驗鑒定中應用數據恢復技術，可以對那些被刪除的電子數據進行恢復，從而搜集到與案件相關的重要線索，促進案件的早日偵破。

1 電子物證檢驗鑒定中數據恢復技術的重要性

電子物證是指存儲于介質載體的電磁記錄或光電記錄的電子信息數據，電子物證是犯罪案件成立的重要證明。在網絡技術飛速發展的當代，網絡犯罪行為也越來越猖獗，針對犯罪行為案件，電子物證是案件偵破的關鍵，加強電子物證檢驗鑒定是犯罪案件偵破的重要手段。在電子物證檢驗鑒定中，為了維系電子物證的客觀真實性，在獲取電子物證時，應采用取證專用的數據拷貝機和電子物證檢驗取證技術，附加上時間相關信息數據，一次性提取和固定介質載體中的全部電子物證信息。但是電子物證很容易受到干擾，尤其是犯罪嫌疑人在實施犯罪行為后會刪除或者破壞與犯罪案件相關的電子物證，使得電子物證在檢驗鑒定中比較難以獲取全面的證據線索。而作為犯罪案件的重要線索，由于相關數據信息受到破壞，犯罪案件偵破難度就會增加。而數據恢復是指利用技術手段，將那些因人為因素而導致電子設備中存儲的丟失的電子信息或電子數據還原恢復的過程。在電子物證檢驗鑒定中，利用數據恢復技術，可以將那些損害的硬盤、計算器內存或者其他存儲介質的存儲器的內容進行恢復，從而更好地方便偵查辦案人員獲取與案件相關的關鍵線索，掌握犯罪案件的相關信息，從而提高偵查效率，實現案件的早日偵破[1]。

2 電子物證檢驗鑒定中數據恢復技術分析

2.1 軟件數據恢復

電子物證實質是電子的、電磁的、光學的、磁性的等相似性能的信息或數據信息，經輸出設備顯示為人們所能識別的文字、符號、圖形、圖像、動畫、音頻、視頻等各種信息形式。對于犯罪嫌疑人而言，他們在實施犯罪行為后，為了將證據毀滅，會人為的破壞那些記錄案件信息的介質，如對磁盤進行格式化、刪除重要的文件[2]。在電子物證檢驗鑒定中，偵查人員碰到那些數據丟失或者損害的設備或存儲介質時，數據信息就會不完整，在這種情況下，偵查人員在檢驗鑒定中很難獲取全面的數據信息，從而難以掌握與犯罪案件相關的信息。而軟件數據恢復技術作為一種實用化的電子信息應用手段，數據軟件恢復技術的應用為電子物證檢驗鑒定工作提供了技術保障。在數據軟件恢復技術的依托下，偵查人員可以對那些損害的存儲介質中的數據進行恢復，讓偵查人員在信息存儲介質中提取全面的信息，從而盡快幫助辦案人員破案。目前，我國公安部認可的具有法律效力的軟件恢復工具就有Diskgenius、PhotoRecovery、EasyReCovery 、FinalData、X-Ways、Encase、Forensic、Forensic、FileRecovery、R-Studi-o、Recover4all等[3]。這些軟件恢復工具為電子物證檢驗鑒定提供了多樣性的選擇，有助于獲取全面的與案件相關的信息，從而提高辦案效率。

2.2 硬件數據恢復

在這個網絡化的時代里，網絡犯罪行為也越來越多，犯罪嫌疑人為了毀滅犯罪證據，會對記錄犯罪行為的電子信息進行破壞和毀滅，如對磁盤劃傷，針對此類問題，偵查人員可以采用硬件數據恢復技術對數據信息進行有效的恢復。硬件數據恢復技術主要應用于機械故障、電路故障、磁盤劃傷等所造成的設備內數據損害與無法識別的狀態。通過硬件數據恢復技術，可以對設備內部的控制芯片與電路板進行維修或更換，如利用HIE、PC3000等工具，可以將那些已經損害的電路板重新修復好或者更新與原設備向匹配的電路板，從而將損害的部分修復過來[4]。硬件數據恢復工作在特殊情況下需要切實滿足專業設備相應的要求，如在數據恢復工作中，需要保證實驗室處于100級以上的無塵空間，然后利用磁頭對盤片進行直接讀取。通過硬件數據恢復技術恢復數據后，偵查人員可以在存儲設備中提出更多的有價值的數據信息，通過對這些數據信息進行綜合分析和處理，可以為案件的偵破提供有效的幫助，大大地提高案件偵破效率。

3 數據恢復技術案例分析

在電子物證檢驗鑒定中，會碰到計算機系統崩潰問題，一旦計算機系統崩潰，就會給提證帶來難度。針對計算機系統崩潰問題，人們常用的做法就是重裝系統，但是重裝系統后會把原來的Ubuntu引導分區表mbr給沖掉，從而難以獲取到全面的數據信息。而mbr就是把操作系統自己的引導程序讀入內存并跳轉到操作系統的引導程序[5]。如果原來的Ubuntu引導分區表mbr被沖掉，就會影響到計算機系統的正常運行。通過數據恢復技術，可以對原來的Ubuntu引導分區表mbr進行恢復。具體操作為：先把Ubuntu的安裝光盤放進計算機驅動器內，然后啟動，正常進入安裝界面，打開終端并輸入：sudo grub，系統接收指令后界面會變成grub>，然后找到Ubuntu的啟動分區所在地，并輸入find /boot/grub/stage1，回車后根據計算機界面的指示，找到Ubuntu根目錄所在分區，輸入grub>root （hd0，2）、grub>setup （hd0），如果界面 出現successed后再輸入grub>quit，緊接著重啟，重啟后就可以找到計算機系統崩潰前的相關數據信息[6]。

4 結語

綜上，電子物證檢驗鑒定是案件偵破的重要環節，是獲取與案件重要線索的重要手段，加強電子物證檢驗鑒定工作能夠切實有效地幫助辦案人員開展犯罪偵查工作，從而實現案件的早日偵破。而在電子物證檢驗鑒定中，時常會碰到電子物證信息存儲介質損壞的問題，從而為線索提取帶來難度。而數據恢復技術的應用有效地解決了電子物證信息存儲介質損害的問題。通過數據恢復技術，可以將損害的介質和設備中的數據信息進行恢復，從而為案件的偵破提供便利，提高犯罪偵查能力和效率。

參考文獻

[1]楊柳，魏龍飛，李程遠. 電子物證檢驗鑒定中數據恢復技術探析[J]. 科技經濟市場，2014，11：189-191.

[2]沈亞鐸，張煒. 物聯網技術在電子物證檢驗鑒定實驗室的應用[J]. 技術與市場，2015，08：219-221.

[3]李冬華，沈亞鐸. 電子物證檢驗鑒定中數據恢復技術分析[J]. 技術與市場，2015，08：215-217.

[4]許怡紅. 電子物證檢驗鑒定的數據恢復技術分析[J]. 法制博覽，2016，02：139.

[5]林康立. 物聯網技術在電子物證檢驗鑒定實驗室的應用初探[J]. 信息網絡安全，2010，11：66-67.

[6]李盛，朱秀云，韓杰，尹春社. 電子物證檢驗中常用數據恢復工具對比研究[J]. 刑事技術，2008，04：24-27-29.