电子物证检验鉴定中数据恢复技术探析

杨柳 魏龙飞 李程远

摘  要：电子物证鉴定技术在进步，犯罪嫌疑人的反侦察意识和技巧也在不断增强，由于网络犯罪的迅猛增加，电子数据恢复的关键性凸显，本文通过介绍数据恢复的方式和工具，来探析如何运用数据恢复技术来更好的开展电子物证鉴定工作。

关键词：电子物证;数据恢复;计算机取证;计算机犯罪

0  引言

随着计算机技术和网络技术的发展和普及，各类违法犯罪案件中越来越多地涉及有大量直接证明犯罪活动信息的电子数据，但是这类数据大部分会战案发后被删除，如果能够正确利用数据恢复工具找出犯罪数据形成证据链条，可以在犯罪侦查和法庭审判中发挥出巨大的作用。

1  数据恢复技术的作用

（1）数据恢复技术定义

数据恢复是指利用技术手段，将由于硬件损毁、人为误操作、病毒入侵、黑客攻击或者操作系统本身故障等情况而导致的电子设备中存储的丢失的电子信息或者电子数据还原恢复的过程。

（2）数据恢复的对象

电子设备通常包括计算机硬盘、内存及其他存储介质，包括移动存储器（可移动硬盘、U盘、各类软盘、磁带、光盘等）、记忆卡（如数码相机、手机、MP3、MP4、PDA等的扩展存储卡等）。

（3）数据恢复技术的关键性

随着网络技术的快速发展和职能手机的迅速普及，成为了很多犯罪案件的工具，如何通过电子物证鉴定工作提取掌握嫌疑人的犯罪方法、勾连渠道是电子物证鉴定的重要内容。电子物证鉴定技术在进步，犯罪嫌疑人的反侦察意识和技巧也在不断增强，犯罪嫌疑人会想法设法在作案后将数据和痕迹及时删除，使得有价值的证据被销毁，影响案件侦破。这就需要运用数据恢复技术，对硬盘、闪存等存储设备中被删除的数据文件进行恢复，找出电子数据与案件事实的客观联系，还原计算机犯罪案件现场，提高犯罪侦查效率和能力。

2  数据恢复方法

数据恢复一般分为两类，分别是基于硬件数据恢复和软件数据恢复。硬件数据恢复是指通过物理维修而使得硬盘或者其他存储介质正常使用，从而把无法读取的数据进行获取;软件恢复是指通过软件修复引导区等方式将存储单元或区块中未被覆盖的数据进行读取，并不设计硬件的维修和更换。

（1）基于硬件的数据恢复

硬件数据故障主要是由于电路故障、机械故障、磁盘划伤和存储介质老化而造成的数据损坏、无法读取或者识别。一般通过对存储盘片外的电路板、控制芯片等更换、修复来进行，主要使用的修复工具是PC3000、HIE（Hardware ld Extracto）等;另外一种是采取实验室的专业方法在100级以上的无尘空间拆盘更换磁头对盘片直接读取。

（2）基于软件的数据恢复

由于人为的误操作而造成的文件删除、磁盘格式化、分区表、引导扇区等信息受损、电脑突然断电而使得数据丢失，包括病毒感染和操作系统问题可以运用软件来进行恢复。软件数据恢复。公安部认可的具有法律效力的数据恢复软件有11 款：Encase、Forensic Toolkit、X-Ways Forensic、FinalData、EasyReCovery、FileRecovery、PhotoRecovery、Recover My File、Recover4all、R-Studio、Macforensiclab。

3  常用的数据恢复工具功能及比较

数据恢复工具种类很多，但是由于底层数据采用的算法不同，恢复出的数据有很大差异。要想获取较完整的数据，需要用多种工具对数据备份进行多方法取证和分析。实验室数据恢复常用的软件主要有EasyRecovery、FinalData、PhotoRecovery等。

（1）EasyRecovery

该软件功能全面，能够恢复丢失的数据以及重建文件系统，它不改变原始驱动器，通过在内存中重建文件分区表使数据能够安全的传输到其他驱动器中。软件可直接按照簇来进行硬盘扫描，对于恢复给定条件（如文件名、文件类型）的文件，优先使用EasyRecovery检验。

（2）FinalData

该软件支持FAT16/32和NTFS，可以恢复完全删除的数据和目录，并且界面非常友好，是按照windows资源管理器的模式进行排布的，非常适合初接触数据恢复用户，并且速度快捷，在一般使用中，恢复全部文件，优先使用FinalData检验。

（3）PhotoRecovery

这是一款专门恢复图片数据的软件，主要用于恢复硬盘、数码相机存储卡等上删除的图片、电影文件及声音文件等数字媒体文件。该软件专设图片预览窗口，并能及时查看所恢复出来的缩略图，非常直观和方便，还有可能恢复出已被覆盖的图片信息，恢复图像文件，优先使用PhotoRecovery检验。

4  结束语

本文主要介绍了电子物证鉴定中数据恢复方法和主要工具，以及不同取证工具的特点和优势，由于在计算机犯罪侦察中所遇到的情况不同，本文主要实际工作中的具体情况推荐较为合适的数据恢复技术和方法和工具，为其他鉴定工作中的数据恢复提供借鉴。

参考文献：

[1]仇新梁，李敏.国家电子物证检验标准分析[J].保密科学技术，2010（11）.

[2]杨永川.计算机取证 [M].北京：高等教育出版社，2008.

[3]鲍丽春.计算机数据恢复技术探讨[J].信息系统，2012（1）.