浅谈数据恢复技术在电子物证检验中的应用

1 电子物证与数据恢复的基本知识

1.1 电子物证概念

电子物证是指以存储于介质载体中的电磁记录或光电记录对案件事实起证明作用的电子信息数据及其附属物。因此总体上对计算机上的数据恢复，包括客户端数据恢复和网络服务器端数据恢复。

电子证据的来源很多，主要有系统日志IDS、防火墙、ftp、www和反病毒软件日志，系统的审计记录，网络监控流量，E-mail，Windows操作系统和数据库的临时文件或隐藏文件，数据库的操作记录，硬盘驱动的交换分区、slack区和空闲区，软件设置，完成特定功能的脚本文件，Web浏览器数据缓冲，书签、历史记录或会话日志、实时聊天记录等。

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。

所以不单针对客户机犯罪，网络服务器也经常遇到网络攻击，删除、修改目标计算机上的数据，这些数据的丢失或许会给国家、人民造成重大损失，因此探讨更多的数据恢复的方法以及在取证过程中应遵循的一些程序和规则，就显得尤为重要。

1.2 数据恢复基础知识

不管是客户机还是网络服务器，其存储的数据都是存储于硬盘等存储介质内，对于弄明白硬盘的结构及数据的存储方式，对于数据恢复会起到很大的指导作用。

刚生产出来的硬盘要先分区、格式化，然后再安装操作系统。而这一过程，要将硬盘分成主引导（MBR）、操作系统引导记录（DBR）、FAT表、DIR目录区和DATA数据区等五个部分。

MBR位于整个硬盘的0磁道0柱面1扇区中，512字节的主引导扇区中，MBR占了446字节，另外的64字节交给DPT（硬盘分区表），最后两个字节“55AA”是分区结束标志。

DBR位于硬盘的0磁道1柱面1扇区，是操作系统直接访问的第一个扇区，它包括引导程序和BPB分区参数记录表，最后结束标志为“55AA”。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数，分配单元的大小等参数。

在FAT区之后便是DIR目录区与DATA数据区，其中目录区起到定位的作用，通过这些目录可以找到相应的数据。数据区是真正存储数据的地方。

1.3 数据恢复原理

客户机及网络服务器上存储、处理的数据都保存在硬盘等存储介质内。数据恢复总体分为软件恢复和硬件恢复。但在电子物证检验中大多指的就是软件恢复。案件中涉及到的恢复类型有格式化恢复、删除恢复、全盘扫描恢复、底层数据解析恢复、网络数据恢复等。

数据区没有被彻底覆盖，保护措施到位，通过相关软件可以顺利恢复。以嫌疑人删除操作及网络黑客攻击计算机删除操作为例，保存在硬盘及服务器上的数据并没被完全覆盖，只是数据存储空间的链条被删除，真正的数据还是以二进制的方式存储在硬盘上。这些数据不被覆盖，就可以通过相应的方法扫描存储介质，对数据进行分析、编译，最后把丢失的数据找回来。

2 电子物证检验常用数据恢复方法

2.1 使用EasyRecovery软件恢复数据

该软件提供了非常强大的数据恢复功能，尤其是针对存储器中的指定受损数据进行恢复效果甚佳。该软件内置高级恢复、删除恢复、格式化恢复、原始恢复、继续恢复等数据恢复方案，能够轻松的找到丢失的恢复数据并予以有效恢复。

其专业版包括了磁盘诊断、数据恢复、文件修复、E-mail修复等全部4大类目19个项目的各种数据文件修复和磁盘诊断方案。因此取证人员利用该款软件可以针对性的取证恢复，便于取证工作的针对性。

2.2 使用FinalData软件恢复数据

该软件具有强大的数据恢复功能，当文件被误删除、FAT表或磁盘根区被病毒侵蚀造成文件丢失、物理故障造成FAT表或者磁盘根区不可读及磁盘格式化造成的全部数据丢失等情况下，能够通过直接扫描目标磁盘抽取并恢复出文件信息，可以根据这些信息方便地查找和恢复自己需要的文件，甚至在数据文件已经被部分覆盖以后，专业版也可以将剩余部分文件恢复出来。

该软件是专业数据恢复软件，可以很容易地从格式化后的文件和病毒破坏的文件恢复，甚至在极端的情况下，如果目录结构被部分破坏也可以恢复，只要数据仍然保存在硬盘上。

2.3 使用winhex软件手工恢复数据

该软件是在Windows系统下运行的十六进制编辑软件，此软件功能非常强大，有完善的分区管理功能和文件管理功能，能自动分析分区链和文件簇链，能对硬盘进行不同方式不同程度的备份，甚至克隆整个硬盘；它能够编辑任何一种文件类型的二进制内容，其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区，是手工恢复数据的首选工具软件。

该款软件，需要通过底层数据的分析，找出相应的数据区域，手动添加文件头，因此取证人员要有较强的专业素质。

3 数据恢复在电子物证检验中的应用

数据恢复的每一个步骤都要严格依照法律规定的程序，确保得到的数据可以作为具有法律效力的证据。电子物证检验的数据具有可修改性、多重性、易失性等特点，任何一点失误或疏漏都可能造成证据灭失。因此进行数据恢复，要详细记录操作的方法、步骤、使用的工具以及存储、包装、提取过程等。数据恢复在电子物证检验中的应用有多种情况，在取证过程中也会遇到各种不同的数据恢复，采用的方法也有区别。目前，数据恢复技术在电子物证检验中的应用一般按照下面步骤进行：

（1）按照电子物证现场勘查规则提取物证，注意提取时候的原则：对于客户端计算机开机状态就直接断电，而网络服务器则在开机时要按照正常的关机程序操作。保护现场计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染。

（2）复制客户端计算机或服务器硬盘源盘数据或制作镜像文件存放到目标盘内，将源盘封存，保证数据的完整性，最大程度对原始数据的保护。

（3）对目标盘分析现存的正常文件和未被覆盖的数据，以及有密码保护的文件和加密文件。使用取证软件的过滤功能能够方便的得到目标盘现有的数据。

（4）对目标盘全盘扫描，发现更多可恢复数据。使用取证软件搜索或过滤隐藏文件、临时文件和交换文件的内容。

（5）在目标盘上动态仿真，访问被保护或加密文件的内容，或者提供给极光网络密码破解系统。

（6）在目标盘上使用取证软件的“搜索”功能分析未分配磁盘空间，发现其中的数据残留。其中搜索时需要使用关键字搜索，能够在未分配磁盘空间内快速搜索所需内容。

（7）同上一步骤，使用“搜索”功能分析文件中的slack空间即每单位簇内的剩余空间内的数据，往往会发现有用的证据。

（8）制作取证报告，分析取证结果，并将数据刻成光盘，附卷移送司法机关。对于具备鉴定资质的电子物证实验室，可以出具法庭认可的鉴定书，其可信度更大。

4 总结

数据恢复是电子物证检验非常重要的一个步骤，其技术博大精深，不同的软件处理，得到的数据也有所不同，有时候只有通过分析底层二进制数据，才能获取较好的恢复效果，因此要想从数据中得到更多的犯罪信息，只有不断磨砺宝剑，在工作中不断总结，为打击犯罪尽到自己绵薄之力！