刍议电子物证检验鉴定中数据恢复技术

2020-09-17 13:41周兵
科学与信息化 2020年24期
关键词:数据恢复

周兵

摘 要 案件侦查以证据为原则,但因为犯罪分子反侦察意识的提升,很多的犯罪证据并不能有效保存下来,这大大增加了案件审理的难度。随着信息技术的发展,针对电子物证检验鉴定的数据恢复技术越来越先进,可以最大限度地还原犯罪案件。本文先对常用的数据恢复工具与功能做一简要阐述,进而重点从基于硬件的数据恢复技术、基于软件的数据恢复技术两方面对电子物证检验鉴定中数据恢复技术做系统分析综述。

关键词 电子物证;检验鉴定;数据恢复

高智商的犯罪嫌疑人犯罪手段更加高明,基于作案技巧和反侦察手段的不断提升,犯罪嫌疑人往往在实施犯罪后会对相关的数据信息进行删除,有用的犯罪证据一旦删除即会对案件的有效侦破产生影响[1]。就现阶段电子物证检验鉴定中数据恢复技术应用情况来看,主要分为两种,即基于硬件的数据恢复技术和基于软件的数据恢复技术。作为利用技术手段对人为删除数据进行恢复的过程,数据恢复的对象主要是各种储存信息的介质,比如计算机硬盘和内存。借助于先进的信息技术,可以最大程度恢复被删除数据,这对于更好打击罪犯,维护社会安全稳定具有重要的意义。因此,明确和掌握电子物证检验鉴定中数据恢复技术尤为重要。

1常用的数据恢复工具与功能

数据的表现形式主要有声音、文字、音频及图片等,电子物证检验鉴定中数据恢复的重点和难点在于如何基于数据和底层算法,采用多种数据恢复技术工具对数据实现全方位的取证和分析,以此获得最真实、有效的犯罪数据。但鉴于数据恢复工具具有多样化,且本身底层所采用的算法均有所不同,因而针对具体的数据形式选择适用的数据恢复工具也同样重要。就现阶段数据恢复工具来看,最为常用的有EasyRecovery、FinalData、PhotoRecovery三种,三种数据恢复软件均有良好的应用效果。

EasyRecovery是当前阶段最为常用的软件恢复工具,其优势之一在于可以自定义恢复数据,能够通过在内存中重建文件分区实现数据的转移目的。鉴于数据存储介质中并不是所有的数据信息均与案件有所关联,因而在实际开展数据分析和恢复过程中为了有效提升数据恢复的准确性和有效性,通过可以借助EasyRecovery对指定的文件夹或者文件名进行恢复,实践应用效果显著。可以说,未来的电子物证检验鉴定中数据恢复必然会朝着这个方向发展,逐渐专门化和高效化。FinalData的缺点在于专业性较低,特别是与EasyRecovery相比,其专业性更低。不过,借助于Windows资源管理器的排布模式,良好的交互界面,且本身支持FAT16/32和NTFS,所以FinalData的操作性可以大大提升,可以对已经完全删除的数据和目录进行恢复,本身的恢复速度也很快。在电子物证检验鉴定中数据恢复过程中,因为犯罪分子会故意隐蔽证据,故需要对恢复后的数据进行甄别,此时FinalData可以发挥优势,更好保证数据的完整性和有效性。PhotoRecovery是一种针对性很强的恢复软件,主要用于存储介质中图片的恢复,其优势在于可以对即将恢复的图片进行缩略图浏览,可以更加直观地查看节将修复的图片,因而,针对图片类的犯罪信息恢复可以优先选择PhotoRecovery[2]。

2电子物证检验鉴定中数据恢复技术

犯罪分子所进行的数据信息删除主要是针对存储介质破坏和软件,不同的数据删除方式所需要的恢复技术也有所不同,但就现阶段我国电子物证鉴定中的数据恢复技术应用情况来看,主要包括基于软件的數据恢复和基于硬件的数据恢复。

在基于硬件的数据恢复中,往往犯罪分子为了有效毁灭犯罪数据,会对有记录犯罪信息的存储设备进行毁灭,即对存储介质进行破坏。这就需要恢复人员根据实际破坏情况对存储介质进行维修或者导出数据,如果信息存储介质的破坏程度小,则恢复人员可以直接对其进行修复,正常使用存储设备,进而获得有用的信息。但是如果存储设备被犯罪分子破坏的程度高,则恢复人员无法直接使用,只能对关键布置进行修复和更换,最大程度实现有用数据的导出。两种方式均属于基于硬件的数据恢复技术,但实际应用领域有很大的差异,因而在数据恢复时需要根据存储介质被破坏程度的大小合理选择恢复技术。还有一点,如果存储介质被犯罪分子直接灭失,则数据恢复无从谈起,这对于案件审查极为不利。

在基于软件的数据恢复中,犯罪分子为了更好地毁灭证据,人为操作下往往会对磁盘格式、文件删除及分区表信息等造成严重的损坏,这同样对数据恢复极为不利。电子物证检验鉴定中的数据恢复技术可以通过支持手段最大限度实现存储介质的信息恢复,能够大大提升案件侦破效率与质量。因此,为了保证数据的完整性,需要进行软件的数据恢复。不过在基于软件的数据恢复中,其前提是存储介质并未受到物理破坏,相比于基于硬件的数据恢复,基于软件的数据恢复成功率更高,其根本原因在于存储介质在没有受到物理破坏的情况下,犯罪分子对数据信息的删除只是对数据形式产生了改变,犯罪数据仍然客观存在。

3结束语

可以明确认识到的一点是,犯罪分子有能力在犯罪后对犯罪信息存储介质进行物理损坏,会大大阻碍案件侦破,降低案件侦破效率。因此,数据恢复至关重要,只有不断发展数据恢复技术,才可以有效提升电子物证检验鉴定的工作效率与质量。这要求必须给予数据恢复技术充分的重视,针对犯罪分子犯罪心态和行为,加强新型数据恢复技术和工具的研发,保证数据恢复技术的实用性与先进性,可以对所涉及的犯罪行为进行全方位、系统化的分析恢复,以此利用数据恢复技术恢复犯罪嫌疑人留下的数据信息,起到侦破案件、维护社会安全稳定的目的。

参考文献

[1] 张斐.司法鉴定中电子物证检材管理的编码问题研究[J].中国人民公安大学学报:自然科学版,2019,25(2):44-48.

[2] 刘波.电子数据鉴定意见质证难的破解之道[J].重庆邮电大学学报(社会科学版),2018,30(1):44-52.

猜你喜欢
数据恢复
常见硬盘数据丢失的分析与恢复
浅议数据安全与恢复
基于Android—x86的windows恢复系统研究与设计
Windows操作平台下的数据恢复技术
Redis基于RDB+AOF的数据恢复策略研究
浅析数据恢复技术
数据备份技术
Windows下数据恢复的一点认识
服务器数据备份和恢复研究
浅谈计算机数据恢复