电子数据概述

陈超 沈燕峰

摘 要：回顾信息技术发展历史，从结绳记事，到电子计算机的诞生，从电话网络，到三网融合，从云计算，到物联网，伴随着技术的飞速发展，人类信息时代的生活越来越美好。但是，也正是计算机网络的无处不在，它也同样不可避免地被牵涉到种种非法事件中，从而在美好的背后，存在着各种各样的丑恶，尤其是形形色色的犯罪。正所谓天网恢恢，犯罪分子在计算机上的任何活动，都必然会留下印迹。本文主要研究电子数据，来阐述其作用。

关键词：电子数据；证人证言；犯罪

一、电子证据调查概念

（一）证据

2012刑讼法第四十八条指出证据的定义：即证据是可以用于证明案件事实的材料 。

由八部分组成证据，具体包括：物证；书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定意见；勘验、检查、辨认、侦查实验等笔录；视听资料、电子数据。

（二）电子数据

电子证据和传统证据相比较而言，其存在形式比较独特，主要在各种媒介上面以光，电和磁信号等物理形式存在。在形成、存在和利用电子证据过程中，主要依靠电子设备或者电子技术，存在的形式为电子类，使用时需要利用电子技术方可实现。由此可知，电子证据才突出了“电子”一词，而且也因此与常规的证据有所区别。

在国际方面，通常会应用“Computer Forensics”、“computer evidence”、“digital evidence ”、“electrionic evidence”等术语。“Computer Forensics”是“Forensics”的一个分支。此分支为自然科学范畴，相关犯罪与其他合法证据主要利用技术手段获取。“forensics”的本意主要指“辩论练习，辩论术”，而“Forensic”的本意指“法庭的，论争的：与法庭或公众论争有关的；用于或适于法庭或公众论争的，辩论的，修饰的”。

我们国家主要使用术语进行描述，包括电子取证，电子鉴定，以及电子数据和电子物征等等。国内外关于这方面的内容基本相同，在本质上的区别不大。

（三）电子数据主要特点

狭义的电子证据，即计算机犯罪的电子证据与传统证据相比较而言，具有更为突出的特点，在很多著作中几乎都总结电子证据的特点，目前业界内公认的包括下述几个特点：

1.易变性特点

电子证据与传统证据相比较而言，主要特点表现为受高科技含量影响比较脆弱。电子证据的存储形式为电和磁等。证据更容易被变更和修改，一旦电子证据被修改，因无映像文件和副本相对照，所以进行判断和查清时比较困难。

2.多样性特点

在输出电子证据过程中，具有各种各样的表现形式，包括大量多媒体信息，如视频，音频，动画和图像等等，这些信息可加密编译，也可为交互式的，对待证事实和形成过程可以更加完整，直观，生动而清楚的反映出来。

3.虚拟化特点

几乎全部信息在计算机内部都具有数字化特点。实质上，电子证据本身就是一些二进制排列信息，主要按编码规则处理而成，计算的机的某种功能主要利用二进制编码对系列化电脉冲信号进行转换而成，识别时很难通过肉眼来实现。

4.依赖性特点

电子证据必须依赖于高科技设备，在形成，提取，识别和存储，传输和再现电子证据时都需要高科技设备。

二、取证的流程

一般调查电子证据包括五个基本流程：

1）在调查和取证之前，进行辨认和准备；

2）收集相关证据；

3）采取复制或者镜像的方式保全和固定证据；

4）分析和检查证据；

5）证据报告。

三、电子取证

电子取证技术在调查电子数据过程当中，恢复数据技术是经常使用的技术，其中恢复数据的技术包括两种，即介质数据恢复，介质物理故障修复。本文将在下述内容中重点讲解介质数据恢复技术。

修复介质物理故障：这种故障一般指CMOS对磁盘不识别； 经常会出现磁头撞击的声音，类似“咔嚓咔嚓”的声音； 电机通电之后没有声音，也不运转；因磁头出现错位，使数据的读写出现问题；经常出现读写困难，格式式困难，死机和启动困难等问题； 有進自检可以通过，但此硬盘却在“磁盘管理”中寻不到；计算机电路板的烧痕非常明显等等。磁盘物理故障包括如下分类内容：磁头老化和烧坏、盘体出现问题，电机故障、零磁道损坏、盘片被划，芯片断线断针等。固件损坏或者信息丢失等等。

恢复介质数据技术：系统和硬盘出现故障；系统启动过程不正常、分区表和密码及权限丢失、MBR和BOOT区丢失；误操作故障、格式化和克隆误操作、分区误删除、被病毒损坏、受黑客的攻击、操作PQ、RAID失败等等；Office系列Word、Excel、Access、PowerPoint文件Microsoft受到损失 、 修复SQL与Oracle数据库文件、修复Foxbase/foxpro的dbf数据库文件数据；对邮件Outlook Express dbx等文件进行损坏，修复Outlook pst文件的内容；修复受损的媒体文件MPEG、asf、RM等等等。

根据文件系统不同，可将介质分成NTFS，FAT，HFS，EXT4等：根据介质按种类的不同，可将介质分为硬盘，U盘，SD卡、各种电子存储卡等。

我们在很多恢复数据的案例中发现，大多数数据的恢复需要采用介质数据恢复技术，很少使用介质物理故障修复技术。

其中格式化、删除和覆盖三种情况是介质数据恢复中经常使用的。

1）删除操作：这种操作方法比较简单，删除某文件过程中，在文件的分配表中，系统只在文件前方标明删除标志。代表此文件已进行删除操作，说明系统已释放占用的空间，此空间可被其他文件使用。由此可知，如果我们误删除了某个文件 ，希望将数据恢复时，只要使用工具去掉删除标志就能够实现，可以恢复数据。但是并没有新文件写入系统，新的内容也没有覆盖文件占用空间。

2）格式化操作：此操作方法和删除操作比较接近，两者都对文件的分配表进行操作，但格式化操作仅仅把删除标志加至全部文件，或者直接清空文件分配表，系统表明无任何内容存在于硬盘的分区上。而在数据区并未进行格式化操作。尽管目录消失，不过仍然有内容。利用工具和数据恢复技术，可以及时恢复丢失的数据。

3）覆盖操作：如果把删除标志记在某文件之后，将有新的文件写入所占用的空间，新内容很有可能被新文件覆盖或者占用。

我们在实际的调查和取证时，类似的问题经常会遇到，所以在恢复数据以前，应当进行很多前提工作。比如，先要了解删除的计算机数据属于什么状态。进而针对不同的状况进行不同的调整工作。

现针对上述论点进行以下实验，仅供参考；

实验环境：分别安装两台计算机，系统为WINDOWS XP和7两部分，对NTFS进行分区，计算机中存储着视频，音频和图片，以及WORD文件。

实验目的：格式化操作系统为WINDOWS XP 和 WINDOWS 7两种，并且比较数据的恢复状况。

恢复软件：即磁盘猎手diskhunter

恢复效果：能够恢复全部数据的是XP系统。但全部数据都无法恢复的是WIN 7系统。

结论：通过上述实验结果可知，当对两种系统进行快速格式化操作时，应用了不同的技术方法和手段。实际在XP系统中，格式化就是删除操作。而WIN 7操作系统中，格式化就是覆盖操作。

综上所述，如果我们对硬盘的基本原理能够充分掌握，再恢复相关数据就更加容易了。

四、手机取证

伴随不断应用和发展的电子技术，在人们的日常生活中，手机那些不断翻新的功能也显得非常重要，不过，手机也成为了一种新型的犯罪工具，非常值得人们警醒，通过手机进行造谣，售假和诈骗等行为日益增多。所以，国家法律机构针对此类手机犯罪案件，急需要采取新的技术手段，而手机取证就是其中一个非常关键的技术手段。提取存储在手机中的内存卡，SIM卡相关电子证据，如短信等，并且进行提取、分析和保护。接受法庭证据的全过程就是对有价值的线索或者案件进行整理。

在取证环境比较健全的情况下，利用科学合理的方法从相关设备和手机对数字证据进行恢复，称为手机取证。该技术学科是交叉性的，涉及多方面的知识，具体包括手机软件和硬件知识，移动通信和计算机知识，以及法律知识等等。由于涉及到的知识范围很广泛，从调查取证与研究人员的角度判断，这种挑战性都很高。我们利用手机进行调查和取证的过程中，应当对以下四项基本原则严格遵守：

1）以手机中可移动存储介质数据没有变化，手机设备数据不改变为基础，对可疑的物品进行获取。

2）将信息从手机设备以及外围装置的存储器进行镜像获取的过程，称为提取数据。

3）检查及分析前一时期提取的数据复本，称为检查分析。而取证工具主要指把SMS短消息，电话本，通话记录等信息利用取证工具将数据恢复成可理解的形式。并对数据代表的意义与来源，即数据代表的全部信息进行完整的描述，由取证专家或者调查人员深入研究和分析已经恢复的信息，积极寻求有利的证据，对犯罪的过程进行重建。

4）对取证时全部调查结论与操作流程进行详细摘要过程称为报告展示，主要目标为，将数字证据提供给司法诉讼。通过详细记录检查结果，操作结果生成报告，所以，在管理方面，必须采取严格的校验和记录方法，严格使用全部原始证据。由操作人员使用的工具，进行的活动序列以及提取的数字证属性等组成报告的全部内容，并对操作时间，采取信号屏蔽措施等等进行标注。

在实际手机调查取证过程中。根据手机种类不同，可以将手机分成两个种类，即山寨和智能手机。利用智能手机取证更加方便。我们能够非常容易的恢复和提取手机中数据。这些数据包括WIFI应用情况、陌陌、阿里旺旺、联系人和短信等等。

五、电子数据发展方向

将来计算机取证技术的发展方向如下所示：

（一）取证范围更加广泛，手机取证是将来的发展趋势

目前计算机犯罪几乎无处不在，不但包括台式机，很多犯罪目标还包括大理的便携式计算机，移动设备和手机等等。并且在不同各类的设备上分布着各种不同形式的犯罪证据，这些证据包括路由器，入侵检测系统，计算机等等。应当根据不同的信息格式与硬件信息对取证工具进行开发，进而寻求相应证据。未来每一个人都会用到手机。手机将来会取代电脑，实现移动化办公过程。

（二）标准化取证过程和工具

因为人们非常重视计算机的取证工作，针对该领域，不少机构及组织都投入了大量的人力物力，比如Getslack、TCT、FTK、EnCase、DiskSearch32、DRIVESPY、DiskSig、FileCNVT、ForensiX等。不过，由于规范及标准并不统一，使用软件的人员无法比较这些工具的可靠性和有效性。由此可知，将逐渐实现标准化的工具取证过程，使取证工作的可操作性与可靠性得到提升。

（三）中心存储取证操作

因为现在硬盘的容量大大增加，使用取证工具分析单独硬盘的数据比较复杂，并且会占据很多时间，为有效对此问题进行解决。如今主要采取中心存储和并行处理的方法，分析大容量介质数据。

参考文献：

[1] 张德森.电子物证真实性判断与研究.廣东公安科技[J].2008，04.

[2] 赵双峰，费金龙.Windows NTFS下数据恢复的研究与实现[J].计算机工程与设计，2008.

[3] 高志鹏，张志伟，孙云峰.WINHEX应用与数据恢复开发秘籍.人民邮电出版社[M].2013.

[4] 戴士剑，涂彦晖.数据恢复技术[M].北京：电子工业出版社，2003.

作者简介：

陈超（1985-），男，江苏苏州人，江苏省苏州市公安局吴中分局，本科，职称：助理工程师；研究方向：电子物证检验；

沈燕峰（1986-），男，江苏苏州人，江苏省苏州市公安局吴中分局，本科，助理工程师，研究方向：电子物证检验。