朱华斌,刘定芳
(芜湖市公安局,安徽芜湖241000)
逻辑层数据恢复技术在侦破案件中的运用
朱华斌,刘定芳
(芜湖市公安局,安徽芜湖241000)
众多电子设备的普及,为公安机关在办案中提供了越来越多的电子数据证据,然而由于电子数据的多样、易失等特性,就需要我们更重视和掌握电子数据恢复技术,为电子数据丢失、误删除、恶意损毁的案件提供技术保障。该文通过对逻辑层数据丢失的原因及特点进行分析,以实例为线索深入探讨了逻辑层数据恢复技术在侦破案件中的运用。
逻辑层数据;恢复技术;侦破
随着手机、电脑等电子设备的普及,公安机关在办案中涉及越来越多的电子数据证据,由于电子数据的多样、易失等特性,需要重视和掌握电子数据恢复技术,为电子数据丢失、误删除、恶意损毁的案件提供技术保障。在这里我们探讨下逻辑层数据恢复技术在侦破案件中的运用。
首先了解几种典型数据丢失现象:数据文件删除、分区提示格式化、分区被格式化、文件夹乱码、剪切文件丢失、分区丢失、GHOST覆盖、电脑蓝屏等。
1)数据文件删除:数据文件删除通常有回收站删除和shift+Delete删除,这两种数据文件删除方式,在WinHex中看FAT32文件系统中文件目录表删除前后变化并不大,数据区并没有丢失,这种情况我们可以通过恢复软件将文件恢复出来。
2)分区提示格式化:硬盘1,分区2无法打开"$MFT“.Un⁃expected data at offset 2155000 and offset 2000,Res=-8,Res2=-8。
原因:文件系统破坏或主引导记录分区表破坏:人为损坏、坏道破坏(文件系统破坏)、病毒破坏(主引导记录分区表破坏)。解决方法:
(1)提示格式化对话框,点击“取消”;
(2)使用数据恢复工具快速扫描恢复;
(3)若快速扫描无法出现数据,则需通过FSR(文件签名恢复提取技术);
(4)若恢复过程“卡死”“报错”,硬盘此分区有坏道影响。
建议可以选取有效目标文件逐一恢复或磁盘对磁盘镜像。
3)分区被格式化:FAT文件系统格式化有以下三种情况:
(1)快速格式化。在格式化过程中重写引导记录,不检测磁盘坏簇,FAT表中除坏簇以外所有表项清零,根目录表清空,数据区不变。
(2)高级格式化。会重写引导记录,重新检查标记坏簇其余表项清零,清空根目录表,对数据区清零。
(3)低级格式化。介质检查;磁盘介质测试;划分磁道和扇区;对每个扇区进行编号(C/H/S);设置交叉因子;针对整块硬盘数据存储区域进行覆盖。
图1
表1
4)文件夹乱码、文件系统破坏:人为损坏、坏道破坏、病毒破坏。解决方法:文件系统容灾恢复技术。
5)剪切丢失:剪切数据时存储介质丢失。原因:断电、介质故障等;文件剪切过程分析:复制文件后删除源文件-文件删除。
6)分区丢失。主引导扇区出错,通常分区引导扇区正常。原因:人为破坏、坏道破坏、病毒破坏。解决方法:恢复分区表。
图2
7)GHOST覆盖
(1)格式化C盘(删除原有文件系统,建立新的文件系统)。
(2)写入系统镜像文件到C盘。
分析:删除+写入,覆盖部分原有删除文件;恢复方法:签名恢复:匹配文件格式恢复。
图3
8)电脑蓝屏
(1)0x000000ED错误分析:一般是磁盘存在错误导致的,或是硬盘连线接触不良、没有使用合乎该硬盘传输规格的连接线。如果在修复后,还是经常出现这个错误,很可能是硬盘损坏的前兆。
(2)0x00000023、0x00000024错误分析:0x00000023通常发生在读写FAT16或者FAT32文件系统的系统分区时,而0x00000024则是由于NTFS.sys文件出现错误(这个驱动文件的作用是容许系统读写使用NTFS文件系统的磁盘)。这两个蓝屏错误很有可能是磁盘本身存在物理损坏,或是中断要求封包(IRP)损坏而导致的。
其他原因还包括:硬盘磁盘碎片过多、文件读写操作过于频繁、数据量非常大或者是一些磁盘镜像软件或杀毒软件引起的。
(3)0x0000002EATA_BUS_ERROR错误分析:系统内存存储器奇偶校验产生错误,通常是因为有缺陷的内存(包括物理内存、二级缓存或者显卡显存)时设备驱动程序访问不存在的内存地址等原因引起的。解决方法:
(1)坏道检测,根据坏道情况恢复操作;
(2)若恢复过程中有“卡死”“报错”等现象,硬盘恢复文件有坏道影响,可以选取有效目标文件逐一恢复或磁盘对磁盘镜像。
图4
1)快速扫描:恢复删除的文件或丢失的文件、基于文件系统,杜绝文件写入。
2)签名恢复:匹配文件特定标志恢复指定类型文件,如:按JPG类型恢复、基于文件结构,缺点是恢复的文件无文件原名称且需扫描全盘区域,时间很长。
3)扫描丢失分区:利用分区引导扇区或其备份特定标志定位分区入口,快速高效恢复丢失分区文件、基于文件系统,需准确判断丢失分区。
4)文件系统容灾恢复:利用文件系统中未被破坏的目录区文件重构目录,并恢复对应文件、基于文件系统,需根据已有信息和找到的目录区文件自定义分区大小。
5)磁盘到磁盘镜像:此方法对坏道硬盘数据恢复很好、镜像工具需做到很好的规避坏道镜像数据和防止操作系统卡死。
1)恢复文件无法打开或打开报错:文件结构损坏,可以用相应的修复工具修复;恢复软件算法问题,未完全组合数据;
2)操作不当引起数据覆盖:未做任何保护措施,打开恢复数据分区内文件;
3)不清楚是否恢复完全:快速扫描-签名恢复-碎片级恢复。
201x年x月x日,x局在办理一起诈骗案中发现张x、刘x二人涉嫌伪造印章,后将二人抓获,并在其刻章店查获了用于印章刻制的电脑两台。经过初步勘察,在二人电脑中均发现了刻章软件及部分电子数据,但未发现涉案的数据,怀疑已经被删除。对犯罪嫌疑人刘x的台式兼容电脑中的硬盘进行数据恢复取证,寻找文件名为*.yz的文件。
1)数据固定:将硬盘通过只读接口连接到计算机,使用镜像软件制作硬盘镜像,保存为201x-0017.dd文件,并生成MD5校验。
2)将镜像文件201x-0017.dd导入数据恢复系统软件,在展开的镜像文件代码中检索yz文件的十六进制特征码:
0X25546869732066696C65A1AF7320747970652069732057 494E595A20666F72204D4F53484921,检索到16条记录。
图5
3)将十六进制特征码所在的扇区确定为yz文件的头,再根据yz文件代码结构位图找到文件末扇区,将文件头尾之间的代码数据打包提取出来,即为要取证的yz文件:
4)对十六条记录的yz文件特征码重复上述操作,即提取出全部的yz文件,鉴定结束。
5)使用Winhex V17.8进行取证。从检材中恢复提取出yz文件16个,其中两个文件打开展示如下:
此案例中,我们清楚地认识到数据恢复技术在侦破案件的取证中起到了重要的作用,相信运用好数据恢复技术会在更多的案件中取得更多的线索和电子证据,为我们在案件侦破中获得更多有用信息提供有力的支撑。
TP311
A
1009-3044(2017)24-0005-02
2017-07-22
朱华斌,男,安徽芜湖人,助理工程师,主要研究方向为电子物证鉴定;刘定芳,女,安徽芜湖人,助理工程师,主要研究方向为电子物证鉴定。