数据恢复技术在涉案计算机侦查取证中的应用研究

2020-12-08 02:14赵明明吴霞
数码设计 2020年15期
关键词:侦查人员犯罪分子公安机关

赵明明 吴霞

摘要:

互联网等高科技给犯罪分子提供了多元化的犯罪途径,近年来,我国犯罪案数量呈倍增长,加上犯罪分子有着较强的反侦察意识,懂得如何销毁存储设备中的犯罪证据,导致公安机关侦查证据愈发困难。众所周知,一重要的电子证据丢失亦或是损毁都难以定罪犯罪分子,对此,如何恢复电子数据这是当前侦查人员要重视的问题,文中对涉案计算机侦查取证中运用数据恢复技术进行了探讨,目的是为给公安侦查案件恢复犯罪证据提供更多帮助。

关键词:

数据恢复;侦查取证;计算机

中图分类号:

D918;TP309.3

文献标识码:

A

文章编号:

1672-9129(2020)15-0016-02

在网络计算机普遍运用到我国各个领域后,犯罪分子活动是一日比一日猖獗,已经严重的影响我国社会的稳定,特别是最近两年的诈骗案件引得群众内心恐慌,生怕自己成为下一个被骗之人,为了有效打击犯罪分子的行为,公安机关和侦查人员就要不断的学习各种先进的高科技,唯有如此,才可侦破案件。结合2017年统计数据显示,与计算机有关的违反犯罪活动在我国刑事案件中占有96.3%的比重,且每年都在增多,这个数据无疑是令人震惊的,一旦犯罪分子利用高科技去销毁证据,公安机关难以侦破,均会令我国社会变得动荡。如何快速恢复丢失亦或损毁的电子证据,这是公安机关最大的挑战,因电子数据具有特殊性质,在计算机取证中平常的软件无法复原重要证据,所以,新时代对取证人员在数据恢复原理、数据恢复技术以及数据恢复工具的运用等方面有了更高的标准,以下是详细概述。

1对数据恢复的基本原理探索

因犯罪嫌疑人反侦查技术强,在计算机等先进设备上舍得投资,因此,他们掌握的计算机技术远远的高于我国公安机关和侦查部门,一旦他们动手销毁了自己犯罪的电子证据,侦查人员都难以找到定罪的依据,为了应对这一问题,侦查人员要懂得恢复电子证据的技术,掌握数据恢复原理。

1.1数据存储原理。论及数据删除和恢复必然牵扯数据存储原理,以当前最普遍的Windows系统来讲:硬盘自出厂至存储数据需经过三个处理环节,第一,低级格式化处理,厂家出售的硬盘未经过任何处理,难以存储数据,要对盘体设置好磁道和扇区;第二,磁盘分区处理,即硬盘分区,把磁盘的整体存储空间分割成独立的区域;第三,高级格式化处理,完成磁盘分区后,要建立对应的独立逻辑驱动器,分区是为让用户知道引导代码的地址,让计算机的系统可正常导入本驱动器,因此,搭建文件系统是应用存储设备必不可少的环节。一般来说,在Windows操作系统下,高级格式化类型有两种,一种是FAT32文件系统,另一种是NTFS文件系统。若结合顺序而言可把分区设置为目录文件分配区与数据区,其中目录文件分配区存储了各个文件的名称、数据大小、相关属性等资料,要是用户想要在硬盘中存储数据,通常都会在目录文件分配区中选择一个起始位置,然后再数据区编写文件内容,从而完成存储文件的需求。

1.2数据删除和恢复原理。在选择删除文件时,Windows仅仅只删除了文件记录于目录文件分配区的名称和位置等信息。事实上,这一步骤并未删除真正的数据,就是修改了目录文件分配区的索引,不管是Fdisk命令除亦或是Format命令去删除硬盘分区、格式化硬盘分区都不会丢失数据区内存存储的数据内容,这是由于Fdisk命令删除的只是原有分区表,而Format命令删除的则是文件分配表。侦查机关快速恢复数据便是掌握了这一原理,经过一定算法去对删除的文件进行扫描,恢复零散的数据,从而给侦查犯罪案件当成是起诉的线索。

2公安机关怎样进行数据恢复

现如今,公安机关和侦查部门可恢复数据的软件以及取证的工具类型越来越多,但重要犯罪数据的复原并非是百分百的,以下是对常用数据恢复技术的介绍。

2.1根据文件签名完成数据恢复。数据恢复软件在恢复丢失和损毁数据时会扫描数据区,经过对比各簇的若干起始字节和特征库的值来对存储数据的文件类型进行确定,它主要是利用了存储文件签署名都是固定的十六进制值的原理,在计算机技术中.doc,.docx,.jpg等都是比较常见的文件类型,根据这个签名值就可搜索。

2.2搜索文件关键字。犯罪分子为了防止犯罪者证据被公安侦查到,一般都会利用黑客技术去删除与案件有关的电子数据,虽说删除的数据仍旧是存储在内存条的扇区中,在伴随着存储数据类型的增多,很有可能会覆盖电子证据,加上电子证据大都是碎片的形式,每个扇区存储位置不同,想要将原始的数据复原无疑是比较困难的。对此,侦查人员就要按照和案件有关的信息设定关键词,然后在使用WinHex软件搜索磁盘,提恢相关数据恢复文件,给公安人员破案提供主要线索。

3探索数据恢复技术在涉案计算机取证当中的实践探讨

公安机关和侦查机关在设计系统前,要对比传统证据和电子证据的差异,提高系统设计的针对性和有效性,确保设计的系统更符合现代取证需求。众所周知,计算机内的数据并非是一成不变的,加上数据保存方式过于特别,所以,很容易丢失和损毁重要证据,犯罪人员若是利用计算机犯罪,那么所有的犯罪记录必然是在计算机内,这一点是有别于传统犯罪证据的,更加大了侦查人员调查案件的难度,所以,公安机关和侦查机关想要拿到足够的电子证据去捉拿犯罪分子,技术人员就要掌握各种高科技取证技术,否则只会被犯罪分子玩弄于股掌之间。

在设计相关系统的过程中,要充分发挥数据恢复技术的作用。

3.1利用文件签名恢复查找电子证据。案情介绍:办案民警接到学生报案,调查其学费被不法分子所骗案件,在调查中他们发现有团伙冒充学校给学生发送诈骗短信,为了找到相关证据,民警深入做了调查,可却犯罪嫌疑人察觉,立即销毁了数据,导致民警部门虽然拿到了计算机硬盘,却无法根据证据将团队一网打尽,根据嫌疑人提供的证据,相关涉案人员的名单都保存在一个Word文件中,可是民警在人工搜索后并未找出这一文件,只能利用取证软件去恢复犯罪证据,最后发现一个较为可疑的签名文件,在分析这个文件,发现它是一个图片,图片中可清晰的看见其中一些犯罪分子的名字,也是这一证据最终帮助民警把所有的犯罪分子给抓捕,追回学生被骗学费的。

3.2利用关键字搜索电子证据。案情介绍:公安机关在调查某个公司机密被泄露的案件,在扣押嫌疑人电脑设备后,却并未找到其犯罪证据,即便是利用一些取证技术复原,证据也不充分,结合案件性质来说,这个案件可能会和金钱有关联,于是民警就从这一点入手去搜查犯罪嫌疑人名下的银行卡信息,运用Winhex软件搜索银行卡有关的词汇,查到犯罪嫌疑人的电脑中存在数据碎片,甚至还有很多犯罪信息,这些都给公安机关调查提供了线索,找到和其有着现金交易的对象。由此可见,对于公安机关和侦查机关而言,以关键词搜索相关重要电子证据也是一种恢复犯罪证据的手段,公安机关和侦查机关只有掌握了这些技术,方可真正的破案,提高其侦查案件的效率,打擊我国的犯罪分子,保护人民群众的财产安全。

4结语

当前,计算机已经变成不少违法犯罪分子诈骗的主要工具,伴随着涉案金额的不断提高,违法犯罪活动已经给人民群众的财产安全造成了巨大的威胁。为了确保人民群众生活的稳定性,打压犯罪分子违法行为是必要的,可是我国财政部门资金有限,各个城市的公安机关和侦查机关掌握的计算机技术可能远不如贩子分子先进,所以,近年来的跨国犯罪案件令相关部门非常头疼,因为犯罪分子不仅懂得如何利用先进技术犯罪,更懂得如何去销毁重要的犯罪证据,导致公安机关和侦查机关想要提取计算机内遗留的证据难度颇高,即便是有计算机技术的辅助,难度也没有降低多少。因此,深入分析计算机取证对数据恢复技术的运用是重要的,只有发挥其作用,才可真正的遏制出计算机犯罪活动,经过本文的实践,我们能够发现计算机内删除数据其实并未真的消失,它还保存在硬盘的数据区,警察和侦查人员是有机会恢复犯罪证据,定罪犯罪分子的。

参考文献:

[1]尹毅娴.计算机硬盘的数据恢复技术[J].电子技术与软件工程,2017(13)

[2]张婷婷.试论计算机取证中的数据恢复技术[J].科技风,2017(05)

[3]薄光明.计算机数据恢复技术研究[J].科技创新与应用,2018(24)

猜你喜欢
侦查人员犯罪分子公安机关
拜访朋友
公安部印发《公安机关执法公开规定》的通知
关于流窜犯罪案件的分析及侦查措施的运用
侦查人员的出庭作证存在的问题与对策
浅谈自首制度
论DNA技术在森林刑事案件中的应用
侦查人员出庭作证的困境及完善策略
对群众挂失申报和丢失招领是怎么收费的?
脑筋转个弯