基于Winhex的数据恢复技术在计算机取证中的应用

吴琪

（吉林警察学院，吉林 长春 130117）

基于Winhex的数据恢复技术在计算机取证中的应用

吴琪

（吉林警察学院，吉林 长春 130117）

在计算机犯罪案件中，犯罪分子往往为掩盖犯罪事实会想方设法抹除犯罪证据，以逃避法律追究，数据恢复技术可以将遭受破坏的数据全部或者部分还原。Winhex磁盘编辑软件可以编辑物理磁盘或逻辑磁盘的任意扇区，在硬盘扇区数据编辑上具有强大优势及应用的便利性，是手工恢复数据的首选工具软件。基于Winhex的数据恢复技术为计算机取证提供了可靠的技术保证。

数据恢复；Winhex；计算机取证

一、引言

在信息化进程快速发展的今天，以计算机及其网络为平台的高科技犯罪开始成为信息时代威胁人们生活及财产安全的新毒瘤，犯罪手段呈现出日趋隐蔽性、高智能性、复杂性和跨度性等特点。犯罪分子为掩盖犯罪事实，常常会人为地破坏数据或故意删除涉案电子证据。在侦破审理计算机犯罪案件时，不完整的电子证据很难作为有效证据用于指控计算机犯罪分子，因此，一些电子物证必须借助硬盘数据恢复技术来完成电子证据的搜集、固化工作。2012年3月，《刑事诉讼法（草案）》通过了第八次修订，将第42条改为第48条，修改为：“可以用于证明案件事实的材料，都是证据。”明确把电子证据列为第八类证据，诸如贪污、渎职、赌球、短信诈骗、网络盗号、私服外挂、网络电子传销、软件侵权等案件，都离不开电子取证及鉴定，针对恶意删改数据、恶意损坏存储载体致使数据丢失的取证技术——数据恢复取证，已经成为公检法部门破案、断案、判案最重要一环。

2004年轰动一时的马加爵杀人案，通过对犯罪嫌疑人使用的电脑硬盘数据恢复分析，最终将搜查范围锁定在三亚并成功将罪犯抓捕。2010年发生的“‘傀儡机’恶意攻击服务器”的案件，犯罪嫌疑人向某将涉案的相关硬盘数据进行了恶意删改，致使案件迟迟达不到提起公诉的证据标准，在这种情况下，也是数据恢复取证技术成为破案和定罪的关键。2012年10月，天津警方运用数据恢复电子数据取证技术将一台数码相机中被格式化的一组婚礼照片成功恢复，进而破获一起连环“盗窃案”。当今，数据恢复取证技术在贪污受贿、渎职犯罪、职务犯罪等电子物证获取中更是发挥了巨大的作用。

二、数据恢复原理分析

数据恢复就是通过技术手段将不可访问或不可获得的数据恢复至可访问或可获得的数据状态过程。硬盘数据丢失本身就是一个非常复杂的问题，要寻找并恢复因分区信息丢失或损坏、文件系统损坏、误删除、误格式化等原因而丢失的数据，首先就要分析硬盘的结构，对文件系统有所了解。

一个新硬盘只有经过分区、格式化后，才能安装操作系统进行正常使用。分区后主引导记录（MBR）就位于硬盘的0磁道0柱面1扇区。硬盘的主引导记录共有512个字节，前446个字节为引导程序，随后64个字节为DPT（硬盘分区表），最后两个字节为分区的结束标志“55AA”。通过分析MBR区的信息可初步判断出硬盘的分区数量、每个分区的大小、起始位置、系统的文件类型等信息。当主引导记录遭到病毒、人为操作等破坏后，部分或全部分区则会丢失，掌握了主引导记录MBR扇区的结构，根据数据信息特征，重新推算计算分区大小及位置，按照这个结构重建一个MBR扇区，即可恢复。

分区后，格式化程序则建立相应的文件系统。根据分区大小一般将分区合理划分为四个主要部分：DBR扇区、文件分配表FAT、根目录DIR和数据区DATA。DBR扇区记录整个文件系统的重要参数信息，包括保留扇区数、FAT表个数、每个FAT表大小、文件系统大小和根目录位置等。如果DBR扇区损坏，系统就无法提取有关文件系统的各个参数及数据的管理方式，造成整个文件系统的数据无法读取。FAT表用来描述文件系统中的每个簇的分配状态，同时记录为每个文件或文件夹分配的各个簇之间的关系。如果FAT表被破坏，对数据来说是非常危险的，所以一般在创建时程序时会自动备份FAT。根目录是用户数据的开始，用以存储根目录下建立的文件夹及文件等的目录项，该文件夹及文件本身的实际数据内容则存储在数据区中。在文件系统分区内建立文件时，系统首先根据DBR扇区内的各个参数确定FAT表的大小、根目录的位置和簇大小等信息。硬盘写入文件时，系统首先在DIR空白区写上文件名称、大小和创建时间等信息后，然后在数据区的空白区写上文件的真实内容，最后将数据区的起始位置写入DIR。当文件分配表或DIR遭到破坏以后，系统无法定位到文件，虽然每个文件的真实内容还存放在数据区，系统仍然会认为文件已经不存在，在这种情况下，可以通过技术扇区数来恢复数据。

文件被删除时，真正存储文件内容的簇空间没有发生任何改变，只是它对应的FAT表和目录项有所改变。格式化操作和删除相似，都只操作文件分配表，但格式化是将所有文件都加上删除标志，或者将文件分配表清空，使系统认为硬盘分区上不存在任何内容。格式化操作并没有对数据区做任何操作，目录空了，内容还在，所以数据也完全有可能被恢复。当将系统分区格式化后，有新内容被拷贝，新数据也只是覆盖掉分区前那部分空间，去掉新内容占用的空间，该分区剩余空间数据区上的无序内容也仍然有可能被重新组织，使数据得以恢复。

三、利用Winhex进行数据恢复

WinHex是一款在Windows下运行的16进制编辑软件，专门用来对付计算机取证、数据恢复、低级数据处理、IT安全性及其各种日常紧急情况的高级工具，用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等，得到国外著名媒体ZDNet Software Library五星级的最高评价，拥有强大的系统效用。下面举一个案例来分析利用WinHex进行数据恢复的过程。

硬盘用Ghost还原误操作或人为破坏，使硬盘中分区信息丢失，导致其原本应该是两个分区的硬盘变成了一个分区，而重要文件都在第二分区，第二个分区的丢失使原文件随之丢失，整个硬盘只有一个系统分区。用户在用Ghost恢复系统时可以据此原理，根据磁盘的结构人为操作，实际上原来的第一个分区之后的分区还是存在的，只是因为分区表的改变使得分区被隐藏了，如果能够恢复分区表的原始状态，就能够找回丢失的分区。对上述情况进行模拟实验，本文是用虚拟硬盘工具Inspro Disk创建一个磁盘镜像文件，加载该文件后，对于操作系统来讲，该虚拟磁盘与真正的物理磁盘无任何区别。镜像文件加载后我们看到增加了“磁盘一”，如图1所示。

图1 虚拟磁盘加载后

对主引导记录和磁盘分区表进行分析：MBR是磁盘第一个扇区，CHS地址是0柱面，0磁头，1扇区，LBA地址是0。具体的数据结构如表1、表2所示。

表1 MBR扇区数据结构

表2 磁盘分区表数据结构

用Winhex打开“磁盘1”，通过搜索“55AA”对原来的第二个分区的开始位置进行查找，结果在112455扇区找到一个EBR，见图2。由此可见，112455扇区是扩展分区的开始扇区，扩展分区的大小通过该EBR扇区的分区表计算，进制转换后得63+96327=96390，得到以上信息后即可利用这些信息在MBR中重建分区表。

图2 找到的EBR

图3 重建后的MBR

跳转到MBR扇区，将前面扩展分区的信息填入分区表，并修改第一个分区的大小为原来实际大小，即112455-63=112392，见图3。分区重建完毕后，将结果保存后MBR扇区结构见图4。

图4 恢复后MBR扇区结构

分区修改之后，卸载虚拟硬盘的镜像文件后重新加载。打开磁盘管理后的硬盘分区已恢复为两个分区，如图5所示。该硬盘数据恢复成功，文件得以找回。

图5 恢复后的“磁盘1”

四、计算机取证注意事项

一是在获取存储介质中的电子证据时，应该采用镜像工具对存储介质中的所有数据信息进行备份。因为数据恢复工作是具有一定风险的，如果犯罪分子做了手脚或取证人员操作不当，遭到破坏的证据可能完全不被法庭所接受。对存储介质的分析鉴定等取证与司法鉴定环节中只能对备份数据进行操作，以保证电子证据的客观性。二是计算机取证必须在法律允许的条件下，通过技术手段来获取数据作为案件线索或具有法律效力的电子证据。三是恢复过程中使用的硬件和软件工具都必须满足工业标准和可靠性标准。数据写入的介质在分析过程中应当写保护，以防止被篡改。为避免在庭审中出现证据的可疑性，取证人员在进行数据恢复的过程中，应当详细记录所使用的工具、操作方法、操作的步骤以及存储介质的运输及其保存方法等。

［1］马林.重生Windows数据恢复技术极限剖析［M］.北京：清华大学出版社，2011.

［2］张京生，汪中夏，刘伟.数字恢复方法及案例分析［M］.北京：电子工业出版社，2009.

［3］高志鹏，张志伟等.Winhex应用与数据恢复开发秘籍［M］.北京：人民邮电出版社，2013.

［4］蒋平，黄淑华，杨莉莉.数字取证［M］.北京：清华大学出版社，2007.

［5］陈潮.电子取证中主分区表的手工恢复技术研究［J］.警察技术，2012，（1）.

［6］殷联甫.计算机取证技术［M］.北京：科学出版社，2008.

［7］华师傅资讯.数据备份与恢复实用宝典［M］.北京：中国铁道出版社，2008.

（责任编辑：陈尚坤）

D918.2

A

1671-0541（2014）04-0078-04

2014-05-24

吴琪（1976-），女，吉林警察学院信息工程系讲师，主研研究方向：信息安全。

本文系吉林省教育厅“十一五”科研项目阶段性成果。