數據恢復技術在涉案計算機偵查取證中的應用研究

趙明明 吳霞

摘要：

互聯網等高科技給犯罪分子提供了多元化的犯罪途徑，近年來，我國犯罪案數量呈倍增長，加上犯罪分子有著較強的反偵察意識，懂得如何銷毀存儲設備中的犯罪證據，導致公安機關偵查證據愈發困難。眾所周知，一重要的電子證據丟失亦或是損毀都難以定罪犯罪分子，對此，如何恢復電子數據這是當前偵查人員要重視的問題，文中對涉案計算機偵查取證中運用數據恢復技術進行了探討，目的是為給公安偵查案件恢復犯罪證據提供更多幫助。

關鍵詞：

數據恢復;偵查取證;計算機

中圖分類號：

D918;TP309.3

文獻標識碼：

A

文章編號：

1672-9129（2020）15-0016-02

在網絡計算機普遍運用到我國各個領域后，犯罪分子活動是一日比一日猖獗，已經嚴重的影響我國社會的穩定，特別是最近兩年的詐騙案件引得群眾內心恐慌，生怕自己成為下一個被騙之人，為了有效打擊犯罪分子的行為，公安機關和偵查人員就要不斷的學習各種先進的高科技，唯有如此，才可偵破案件。結合2017年統計數據顯示，與計算機有關的違反犯罪活動在我國刑事案件中占有96.3%的比重，且每年都在增多，這個數據無疑是令人震驚的，一旦犯罪分子利用高科技去銷毀證據，公安機關難以偵破，均會令我國社會變得動蕩。如何快速恢復丟失亦或損毀的電子證據，這是公安機關最大的挑戰，因電子數據具有特殊性質，在計算機取證中平常的軟件無法復原重要證據，所以，新時代對取證人員在數據恢復原理、數據恢復技術以及數據恢復工具的運用等方面有了更高的標準，以下是詳細概述。

1對數據恢復的基本原理探索

因犯罪嫌疑人反偵查技術強，在計算機等先進設備上舍得投資，因此，他們掌握的計算機技術遠遠的高于我國公安機關和偵查部門，一旦他們動手銷毀了自己犯罪的電子證據，偵查人員都難以找到定罪的依據，為了應對這一問題，偵查人員要懂得恢復電子證據的技術，掌握數據恢復原理。

1.1數據存儲原理。論及數據刪除和恢復必然牽扯數據存儲原理，以當前最普遍的Windows系統來講：硬盤自出廠至存儲數據需經過三個處理環節，第一，低級格式化處理，廠家出售的硬盤未經過任何處理，難以存儲數據，要對盤體設置好磁道和扇區;第二，磁盤分區處理，即硬盤分區，把磁盤的整體存儲空間分割成獨立的區域;第三，高級格式化處理，完成磁盤分區后，要建立對應的獨立邏輯驅動器，分區是為讓用戶知道引導代碼的地址，讓計算機的系統可正常導入本驅動器，因此，搭建文件系統是應用存儲設備必不可少的環節。一般來說，在Windows操作系統下，高級格式化類型有兩種，一種是FAT32文件系統，另一種是NTFS文件系統。若結合順序而言可把分區設置為目錄文件分配區與數據區，其中目錄文件分配區存儲了各個文件的名稱、數據大小、相關屬性等資料，要是用戶想要在硬盤中存儲數據，通常都會在目錄文件分配區中選擇一個起始位置，然后再數據區編寫文件內容，從而完成存儲文件的需求。

1.2數據刪除和恢復原理。在選擇刪除文件時，Windows僅僅只刪除了文件記錄于目錄文件分配區的名稱和位置等信息。事實上，這一步驟并未刪除真正的數據，就是修改了目錄文件分配區的索引，不管是Fdisk命令除亦或是Format命令去刪除硬盤分區、格式化硬盤分區都不會丟失數據區內存存儲的數據內容，這是由于Fdisk命令刪除的只是原有分區表，而Format命令刪除的則是文件分配表。偵查機關快速恢復數據便是掌握了這一原理，經過一定算法去對刪除的文件進行掃描，恢復零散的數據，從而給偵查犯罪案件當成是起訴的線索。

2公安機關怎樣進行數據恢復

現如今，公安機關和偵查部門可恢復數據的軟件以及取證的工具類型越來越多，但重要犯罪數據的復原并非是百分百的，以下是對常用數據恢復技術的介紹。

2.1根據文件簽名完成數據恢復。數據恢復軟件在恢復丟失和損毀數據時會掃描數據區，經過對比各簇的若干起始字節和特征庫的值來對存儲數據的文件類型進行確定，它主要是利用了存儲文件簽署名都是固定的十六進制值的原理，在計算機技術中.doc，.docx，.jpg等都是比較常見的文件類型，根據這個簽名值就可搜索。

2.2搜索文件關鍵字。犯罪分子為了防止犯罪者證據被公安偵查到，一般都會利用黑客技術去刪除與案件有關的電子數據，雖說刪除的數據仍舊是存儲在內存條的扇區中，在伴隨著存儲數據類型的增多，很有可能會覆蓋電子證據，加上電子證據大都是碎片的形式，每個扇區存儲位置不同，想要將原始的數據復原無疑是比較困難的。對此，偵查人員就要按照和案件有關的信息設定關鍵詞，然后在使用WinHex軟件搜索磁盤，提恢相關數據恢復文件，給公安人員破案提供主要線索。

3探索數據恢復技術在涉案計算機取證當中的實踐探討

公安機關和偵查機關在設計系統前，要對比傳統證據和電子證據的差異，提高系統設計的針對性和有效性，確保設計的系統更符合現代取證需求。眾所周知，計算機內的數據并非是一成不變的，加上數據保存方式過于特別，所以，很容易丟失和損毀重要證據，犯罪人員若是利用計算機犯罪，那么所有的犯罪記錄必然是在計算機內，這一點是有別于傳統犯罪證據的，更加大了偵查人員調查案件的難度，所以，公安機關和偵查機關想要拿到足夠的電子證據去捉拿犯罪分子，技術人員就要掌握各種高科技取證技術，否則只會被犯罪分子玩弄于股掌之間。

在設計相關系統的過程中，要充分發揮數據恢復技術的作用。

3.1利用文件簽名恢復查找電子證據。案情介紹：辦案民警接到學生報案，調查其學費被不法分子所騙案件，在調查中他們發現有團伙冒充學校給學生發送詐騙短信，為了找到相關證據，民警深入做了調查，可卻犯罪嫌疑人察覺，立即銷毀了數據，導致民警部門雖然拿到了計算機硬盤，卻無法根據證據將團隊一網打盡，根據嫌疑人提供的證據，相關涉案人員的名單都保存在一個Word文件中，可是民警在人工搜索后并未找出這一文件，只能利用取證軟件去恢復犯罪證據，最后發現一個較為可疑的簽名文件，在分析這個文件，發現它是一個圖片，圖片中可清晰的看見其中一些犯罪分子的名字，也是這一證據最終幫助民警把所有的犯罪分子給抓捕，追回學生被騙學費的。

3.2利用關鍵字搜索電子證據。案情介紹：公安機關在調查某個公司機密被泄露的案件，在扣押嫌疑人電腦設備后，卻并未找到其犯罪證據，即便是利用一些取證技術復原，證據也不充分，結合案件性質來說，這個案件可能會和金錢有關聯，于是民警就從這一點入手去搜查犯罪嫌疑人名下的銀行卡信息，運用Winhex軟件搜索銀行卡有關的詞匯，查到犯罪嫌疑人的電腦中存在數據碎片，甚至還有很多犯罪信息，這些都給公安機關調查提供了線索，找到和其有著現金交易的對象。由此可見，對于公安機關和偵查機關而言，以關鍵詞搜索相關重要電子證據也是一種恢復犯罪證據的手段，公安機關和偵查機關只有掌握了這些技術，方可真正的破案，提高其偵查案件的效率，打擊我國的犯罪分子，保護人民群眾的財產安全。

4結語

當前，計算機已經變成不少違法犯罪分子詐騙的主要工具，伴隨著涉案金額的不斷提高，違法犯罪活動已經給人民群眾的財產安全造成了巨大的威脅。為了確保人民群眾生活的穩定性，打壓犯罪分子違法行為是必要的，可是我國財政部門資金有限，各個城市的公安機關和偵查機關掌握的計算機技術可能遠不如販子分子先進，所以，近年來的跨國犯罪案件令相關部門非常頭疼，因為犯罪分子不僅懂得如何利用先進技術犯罪，更懂得如何去銷毀重要的犯罪證據，導致公安機關和偵查機關想要提取計算機內遺留的證據難度頗高，即便是有計算機技術的輔助，難度也沒有降低多少。因此，深入分析計算機取證對數據恢復技術的運用是重要的，只有發揮其作用，才可真正的遏制出計算機犯罪活動，經過本文的實踐，我們能夠發現計算機內刪除數據其實并未真的消失，它還保存在硬盤的數據區，警察和偵查人員是有機會恢復犯罪證據，定罪犯罪分子的。

參考文獻：

[1]尹毅嫻.計算機硬盤的數據恢復技術[J].電子技術與軟件工程，2017（13）

[2]張婷婷.試論計算機取證中的數據恢復技術[J].科技風，2017（05）

[3]薄光明.計算機數據恢復技術研究[J].科技創新與應用，2018（24）