数据恢复技术在工商行政执法电子取证中的应用

叶永利　董海（烟台市工商行政管理局　烟台　64000）(烟台开发区发展改革和经济信息化局　烟台　64000)

数据恢复技术在工商行政执法电子取证中的应用

叶永利1董海2
（烟台市工商行政管理局烟台264000）1
(烟台开发区发展改革和经济信息化局烟台264000)2

摘要电子证据在工商行政执法中的作用日益凸显，由于其信息以数字方式储存，并且电磁介质极易受到损坏，数据一旦破坏，我们可能将承受巨大的损失。针对各种软硬件平台，无论是从文件的误删除，还是存储设备的严重破坏，行之有效的数据恢复工作都可以在一定程度上将数据进行恢复。数据恢复技术是通过各种技术手段把丢失或遭到破坏的部分数据还原成正常数据。本文阐述了数据恢复技术的基本概念和数据恢复技术的原理。总结了数据恢复的方法与常用工具软件。

关键词工商行政执法电子证据数据恢复原理数据恢复技术工具软件

随着电子商务的普及和发展，我国网络市场交易规模、交易量呈现井喷式发展态势。市场主体的经营领域由线下拓展到线上，经营资料和经营活动记录也开始呈现电子材料逐步取代书式材料之势。在工商行政执法中，越来越频繁地需要利用电子证据认定违法事实，确定违法程度。

商品交易的违法行为的证据多以计算机数据形式存在，并通过计算机或网络进行存储、处理和传输，工商执法尤其是涉网案件的取证工作需要从计算机设备中提取数据。甚至需要从已被删除、加密或破坏的文件中获取信息。在工商部门在行政执法过程中，保存、固定及使用“电子证据”对于案件审理、查处起关键作用，因此研究电子证据与传统的书面证据、物证的不同特征，探索数据恢复技术在“电子证据”获取中的应用有重要意义。记录备份有关数据既有技术层面的需要，也有法律层面的要求。

一、工商行政执法中涉网案件取证工作现状

在涉网案件的工商行政执法取证中，所涉及的电子证据分为本地硬盘存储的电子证据、手机存储的证据、web网页展示的电子证据、远程存储或云存储的电子证据。

计算机本地取证是指对经营主体保存于计算机或者手机本地的信息数据源证据进行收集、获取的手段。主要有office文档文件、、涉案照片、电子合同、核算应用软件、数据库文件、历史记录、缓存信息等。硬盘、U盘、各种存储卡、多媒体播放器等商品经销台账以及保存在本地硬盘中的聊天记录、电子邮件备份、发表在网站上的帖子在本地电脑的缓存文件等。

电子证据的存在离不开电脑等电子设备的支持，如果没有相应的的电子设备硬件，都只能停留在各种电子存储介质中，无法播放、检索、显现，也不能为法庭所认可和采信。此外，电子证据的展示还离不开特定的系统软件环境。如果软件环境发生变化，则存储在电子介质上的信息可能显现不出来，或者难以正确地显现出来。这一特点要求执法人员在收集电子证据的时候，既要收集存在于计算机软硬件上的电子证据，也要收集其它相关外围设备中的电子证据；既收集文本，也收集图形、图像、动画、音频、视频等媒体信息。同时，还应当保存相应的硬件软件以保全该证据的运行环境，使之能够在必要的时候以打印、屏显等方式显示出来。

二、电子证据特征

由于网络商品交易的虚拟性和隐蔽性，现流行的动态网页、电子邮件等电子数据都是调用数据库数据，动态展示内容，具有易删除、易修改的特性，工商行政管理机关在网络商品交易监管中，对网络商品交易违法行为的调查取证，对电子证据的收集、固定和审查，往往成为查处网络商品交易违法行为过程中的的瓶颈和关键环节。

1、电子证据具有非直观性，需要借助各种硬件和软件系统，也就是要有数据展示的环境才能判读和保存。电子证据实际是计算机数据，它是由计算机识别的各种代码和编码组成，必须借助计算机操作系统或者某种特定的软件将其展示可以直接读取的文字、数据、表格、图像或声音视频信息。因此这就要求我们在收集调取电子证据时，须将相对应的系统环境一同保全，以便将来搭建合理的环境恢复数据，获取电子证据。

2、电子证据具有可传输性，可以通过网络快速传播。电子证据是一组电子数据信息，可以通过网络传递，并且传输的数据是完全一样可校验的，因此电子取证可以远程网络获取。

3、电子证据具有易改动性，容易遭到修改或破坏或者删除。电子数据信息实质上是代码排列在各种电子存储载体上，通过计算机系统进行读写，由于人为或非人为因素有可能导致信息不完整不真实，或无法判读，人为有意或者无意的对数据的改动，非人为的如病毒、软件冲突等，也有可能导致数据信息被损坏。

4、电子证据具有多样性，能够以不同形式存在。电子证据可以通过电脑程序存在和展示，能够以文字、图片、图像、声音视频等多种格式，并且可以通过电脑程序转化格式。

第三方指提供互联网接入服务商和提供网络交易平台服务的经营者等保存的所有平台经营业户的信息和交易信息，其中关于涉嫌违法当事人经营行为的相关数据记录备份，以及后台数据库的存储数据。可以作为电子证据调取相关数据。

三、工商系统电子证据取证工作中存在的主要问题

1、硬件装备相对落后，无法跟上信息化产品更新步伐。用于拷贝复制数据使用普通的硬盘、移动硬盘。这种设备数据传输速度慢，效率低，读写性能差，而且安全性、可靠性不能保证。不满足《电子数据储存介质写保护设备要求》中关于写保护设备的技术要求和关于逐比特复制的要求；无法保证源盘数据和复制盘数据的同一性。

2、信息专业方面技术人才比较匾乏。科学技术进步日新月异，即使有一定电脑知识的执法干部，加之没有得力的硬件工具支持，面对电子证据进行固定、取证时只能是捉襟见肘。

目前电子取证的普遍做法是：

3、检查“我最近的文档”。从从事经营活动的计算机中，使用Windows系列操作程序的计算机，点击左下角“开始”按钮。找到“我最近的文档”栏，点开它会列出按顺序该计算机最近使用过的文档，不同的操作系统显示数量不同，一般为10～20个条目。在检查过程中，首先抓屏，记录下最近打开的文档的名称和顺序，要注意不能轻易点击打开某一条目文件。因为打开某一文件后，该文件就变成了最近的文档，会改变原有的序列。

4、检查“计算机桌面文件”。在工商执法实践中发现，一般经营主体的人员习惯于将常用文件放置在计算机桌面上，并主要使用Word、Excel等Office文档。从程序中查找财务核算软件、ERP信息管理软件、存货管理软件等经营业务软件，有时候在桌面也会有软件的快捷链接方式。因此，执法人员在检查中首先应对违法经营主体的计算机桌面进行查看、分析。

5、检查财务核算、库存管理、ERP等应用软件。通过涉案人员的配合进入到财务核算软件、库存管理等记录经营信息的软件进行检查，取得违法经营主体的收入、支出、费用、购销货数量等多项数据信息。

针对文件被删除后的处理，需要采取数据恢复的方法：

四、数据恢复原理

对于Windows文件系统来说，通常从键盘上按DELETE键“删除文件”只是改变文件在FAT中的链接指向，也就是清除了一个链接。修改文件的首字节，并把文件所占区域标记为未分配，而并不破坏文件本身，“格式化”也不是删除数据区data中的数据，只是重写了FAT表。绝大部分的DATA区的数据并没有被改变，只要没有覆盖这个文件。

五、数据恢复的攻略

1、数据被DELETE的数据恢复

此时数据进入回收站，可以通过打开回收站，选择文件，点击鼠标右键选择恢复选项，恢复删除的数据。

2、数据被SHIFT+DELETE的数据恢复

使用数据恢复的工具软件EasyRecovery、FinalData或其他工具软件，选取并加载需要恢复的硬盘分区扫描。软件会将所有删除的文件按照物理顺序显示出来。它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。

3、当硬盘出现坏道时的数据恢复

当硬盘吱嘎响或者计算机系统莫名的出现蓝屏可以推测硬盘有坏道。如果硬盘出现坏道，可以在纯DOS状态下尝试是否可读取，DOS对文件的读取的能力相对Windows较强，当DOS读不出的文件时，在出现提示后（Retry）多试几次或许就可以读出了。如果这种方法不行，那么可以判断此扇区确已损坏。此时应将该硬盘作为从盘挂附在另一台电脑中，再使用DiskGenius、RecoverNT、FinalRecovery或其他数据恢复工具进行数据读取。

4、硬盘误格式化的数据恢复

无论是DOS系统下使用Format命令还是是在Windows环境下针对从盘进行格式化。格式化的操作并没有把硬盘上的文件数据真正清除，而仅是重写了FAT分区表，由此可以借助FinalRecovery等工具软件来有效恢复被格式化过的硬盘上的数据。

5、优盘和各种usb设备的数据恢复

移动设备的数据恢复通常借助FinalData等软件工具实现。双击打开FinalData，软件，单击“文件”菜单中的“打开”命令；在“选择驱动器”对话框中选择优盘或者USB设备的盘符后单击“确定”按钮开始扫描；待扫描结束后，找回的文件会显示在“丢失的目录”或“丢失的文件”内。选中所有需要恢复的文件；单击“文件”菜单下的“恢复”命令，弹出“选择目录保存”对话框，确定保存路径后单击“保存”按钮就可以了。

6、硬盘克隆常用方法和工具

从涉案的计算机硬盘中完整采集出所有数据，通常运用硬盘克隆机或者数据获取软件两种方法。

（1）运用硬盘克隆机获取证据运用硬盘克隆机方法是从硬盘中采集数据时最直接的方法。将硬盘从计算机上拆卸下来，然后用取证专用的硬盘克隆机有条件的单位可以用快速取证箱制作原硬盘的克隆品。这中操作要保证目标盘有足够的空间，也就是目标盘的物理空间要大于源数据盘。

（2）硬盘数据采集方法：拆除进行数据取证的原硬盘；使用预检设备检查原硬盘，一是确保无物理故障；二是确保原盘数据可读取。然后对目标硬盘进行格式化处理，复制原硬盘数据到目标硬盘。如果原硬盘有故障最好在预处理设备上进行预处理，防止数据采集过程中出现故障。推荐使用Norton Ghost

六、数据恢复方法和工具

数据恢复的方式可分为硬件恢复方式与软件恢复方式。

硬件恢复可分为硬件替代、硬件固件修复、盘片三种恢复方式。硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的。固件是硬盘厂家写在硬盘中的初始化程序。盘片读取就是用专门的数据恢复设备对其扫描，读出盘片上的数据。

软件恢复可分为系统恢复与文件恢复。系统级恢复就是操作系统文件受到破坏，导致系统不能启动，无法进入系统用正常方式查看文件。利用各种修复软件修复系统文件，使系统工作正常。或者使用虚拟系统启动计算机，进行简单文件操作。文件级恢复，就是恢复硬盘上损坏丢失的用户数据文件，文件级恢复一般用工具软件恢复数据。这些工具进行恢复的工作原理是利用激光束对盘面上的磁信号进行扫描，根据反射的不同的数字信号发射不同的信号，然后再通过专门的软件分析来进行数据恢复。

目前用于数据恢复的工具软件主要有R-Studio、EasyRecovery、Recover My Files、FinalData、Norton、DiskGenius、RecoverNT、FinalRecovery等。每个工具使用方式各有不同，恢复效果也会有一定的差别。，其中EasyRecovery、Recover My Files、FinalData支持NTFS、FAT12/16/32文件系统，能够重建损毁的RAID阵列，为磁盘、分区、目录生成镜像文件，恢复删除分区上的文件。推荐使用FinalData。它具有操作简单、速度快、搜索准确等特点，支持的系统有Windows操作系统外，UNIX系统、linux系统。支持克隆整个硬盘，并能够完整地显示和编辑任何一种文件类型的二进制内容。

七、手机取证

这里主要介绍一下MOBILedit Forensic软件的使用。首先它几乎支持所有手机，目前主流手机操作系统是Android 和ios系统。MOBILedit Forensic支持不同的手机，包括如三星，HTC，诺基亚，索尼，LG普通手机。它还支持所有的智能手机操作系统，包括Android，iPhone，Windows Mobile CDMA手机。

从iPhones和Androids中提取数据。MOBILedit能够检索已安装的应用程序的列表，并为您提供访问所有应用程序数据，例如Dropbox，Evernote，Skype，WhatsApp等。如果可能的话，它甚至能够从移动应用程序检索已删除的数据。

1、从手机和SIM卡中完整提取数据

使用MOBILedit Forensic可以查看、搜索或检索手机中的所有数据。这些数据包括拔号记录、电话簿、文字消息、彩信、文件、日历、备注、提醒以及Skype，Dropbox，Evernote等应用程序数据。它也可以检索所有的手机信息。也能够从手机撷取已删除的数据和绕过开机密码，PIN码和手机备份加密。

2、使用锁定文件的方法绕过iOS开机密码

针对iOS硬件加密的数据，MOBILedit Forensic能够透过这层保护来检索数据。它支持导入在犯罪嫌疑人电脑上找到的锁定文件。当iOS设备连接到电脑，并通过输入密码授权时电脑会生成这些文件。可以消除所要取证手机的原始SIM卡中的PIN码。它也丢弃了过时及不可靠的取证屏蔽袋。可以复制SIM卡。

3、无需手机检查电话数据

大多数iOS用户都在使用iTunes，特别是对于管理音乐。他们中的大多数至少已将他们的iPhone手机和iTunes连接了一次。所以，即使没有手机作为证据，你仍然可以获取手机数据，因为默认状态下的iTunes都会自动备份任何连接iPhone手机。MOBILedit Forensic获取这些iTunes的备份文件，并提供了完整提取，包括联系人，短信，录音，铃声，记事本，日历，照片，视频，以及他们的应用程序数据的功能。

4、通过数据线连接Androids系统遇到问题？可以通过Wi-Fi来连接它们

有些Android手机，尤其是山寨机，无法通过电缆连接到电脑上，或者因为连接端口损坏而不可用，或者因为某些预先安装的安全软件，如，防火墙，防病毒等，能够通过Wi-Fi来连接这些手机，并可进行完整的逻辑提取。

电子证据包含的数据信息往往很大，而且数据类型往往杂乱无章，通常收集的所有证据需要进行提取、整理和筛选后才能被使用。一般使用成熟的软件工具比如DGC等帮助筛选整理。在全面分析的基础上进行数据挖掘和整合，使之清晰呈现案情相关信息。

参考文献

［1］艾绍新. Windows数据恢复技术在电子取证中的应用研究［D］.东北石油大学，2013.

［2］王笑强.数据恢复技术成为电子取证的核心技术［J］.计算机安全，2009，12：75-76.

［3］王旸.电子证据采集系统的设计与实现［D］.天津大学，2010.

［4］游君臣，彭尚源.基于数据恢复技术的计算机取证应用［J］.甘肃科技，2005，09：53-55.

［5］黄步根.数据恢复与计算机取证［J］.计算机安全，2006，06：79-80.

［6］刘愫卫.数据恢复技术及其实践研究［J］.科技信息，2006，08：151-152.

［7］程优.数据恢复技术在计算机取证系统中的应用［J］.电子技术与软件工程，2014，20：212-213.

［8］潘大四，凌彦.电子证据取证流程监管系统研究与实现［J］.电脑知识与技术（学术交流），2007，13：86-88.

Application of Data Recovery Technology in the Electronic Evidence Collection of Industrial & Commercial Administrative Law Enforcement

Ye Yongli1Dong Hai2
（Yantai Industrial and Commercial BureauYantai264000）1
(Developing Reform & Economic Informatization Bureau, Yantai Development ZoneYantai264000)2

AbstractThe role of electronic evidence in the law enforcement of industrial and commercial administration is increasingly prominent，because the information is stored in a digital way，and the electromagnetic medium is extremely vulnerable to damage，and once the data is destroyed，we may suffer from huge losses. For all kinds of software and hardware platform，whether from the file of the error，or storage device of the serious damage，the effective data recovery work can be to a certain extent，the data will be restored. Data recovery technology is to restore the lost or damaged part of the data into normal data by various techniques. This paper introduces the basic concept of data recovery technology，and expounds the principle of data recovery technology. Summarizes the method of data recovery and common tools software.

KeywordsIndustry and commerceAdministrative law enforcementElectronic evidence Data recoveryPrincipleData recovery technologyTool software

中图分类号TP309

文献标识码B

文章编号160202-7201

作者简介

叶永利：性别：男，学历：研究生，职称：中级，出生：1980 年5月13日，单位：烟台市工商行政管理局。

董海：性别：男，学历：研究生，职称：中级，出生：1977.11.12，单位：烟台开发区发展改革和经济信息化局。