數(shù)據(jù)恢復(fù)技術(shù)在計算機取證系統(tǒng)中的應(yīng)用

程優(yōu)

摘 要 計算機技術(shù)的發(fā)展，讓各個行業(yè)的信息化進(jìn)程不斷深入，使工作方式發(fā)生根本性轉(zhuǎn)變。利用計算機實施犯罪的情況逐漸增多，在整個社會范圍內(nèi)造成嚴(yán)重的負(fù)面影響，對各個層面的安全造成較為嚴(yán)重的威脅。為此，利用計算機取證系統(tǒng)搜索犯罪分子在計算機當(dāng)中遺留的電子證據(jù)，已經(jīng)成為當(dāng)前研究的重點。本文對數(shù)據(jù)恢復(fù)原理的內(nèi)容進(jìn)行分析，然后解讀了計算機取證與數(shù)據(jù)恢復(fù)之間存在的關(guān)系，最后利用系統(tǒng)設(shè)計的方式闡述了數(shù)據(jù)恢復(fù)技術(shù)在計算機取證系統(tǒng)中的應(yīng)用情況。

【關(guān)鍵詞】數(shù)據(jù)恢復(fù)技術(shù) 計算機取證系統(tǒng) 計算機犯罪

犯罪的形式已經(jīng)發(fā)生改變，利用計算機竊取商業(yè)機密、盜取國家機密的現(xiàn)象十分常見。使用計算機實施犯罪活動之后，數(shù)據(jù)十分容易被篡改和銷毀，給取證工作造成困擾，利用數(shù)據(jù)恢復(fù)技術(shù)對獲取此類型證據(jù)具有重要意義，與此有關(guān)的研究已經(jīng)全面展開。

1 數(shù)據(jù)恢復(fù)原理

計算機當(dāng)中的存儲部件將各種數(shù)據(jù)以電磁信號的形式進(jìn)行儲存。磁盤當(dāng)中的磁粒子變動可以促成數(shù)據(jù)的保存。需要對其進(jìn)行讀取的時候，計算機就會將轉(zhuǎn)換機制作用在信號上，進(jìn)而轉(zhuǎn)換為通常可以操作的數(shù)據(jù)。

如果數(shù)據(jù)遭到刪除，計算機當(dāng)中的存儲部分并未將數(shù)據(jù)完全處理，僅是對其中的部分進(jìn)行變動，然后作上相應(yīng)的標(biāo)示，數(shù)據(jù)被刪除的部分便可以繼續(xù)存儲文件。比如在FAT系統(tǒng)當(dāng)中，當(dāng)實施刪除之后，系統(tǒng)僅是將文件目錄中的說明進(jìn)行修改，添加固定的標(biāo)識之后就代表此數(shù)據(jù)已經(jīng)被刪除，但是原本的數(shù)據(jù)存儲區(qū)域并未發(fā)生變化。只要將刪除的標(biāo)記部分進(jìn)行修改還原就可以實現(xiàn)數(shù)據(jù)恢復(fù)。此方面的研究應(yīng)該對計算機取證系統(tǒng)重新進(jìn)行設(shè)計，讓其具備的數(shù)據(jù)恢復(fù)功能可以對當(dāng)前使用范圍最廣的操作系統(tǒng)windows以及文件處理系統(tǒng)FAT當(dāng)中得到應(yīng)用。如此，此類系統(tǒng)的設(shè)計才能夠發(fā)揮較強的現(xiàn)實作用。

在判定完以上事項之后，還應(yīng)該對硬盤的數(shù)據(jù)管理方式進(jìn)行研究。對于采用FAT格式的磁盤而言，數(shù)據(jù)的存儲分區(qū)都是固定的。系統(tǒng)首先進(jìn)入主導(dǎo)扇區(qū)，主要對所有的分區(qū)進(jìn)行事先判定，可以對各個分區(qū)的信息進(jìn)行記錄，如此就會將其中存在的各種現(xiàn)實情況進(jìn)行必要的引導(dǎo)疏通。在格式化發(fā)生之后，在DBR后面仍然保存著FAT表，兩者可以實現(xiàn)相鄰排列，變動情況與分區(qū)改變情況存在密切關(guān)聯(lián)。單一的存儲位置存在對應(yīng)的唯一FTA編碼。FTA表與FDT互相配合，掌控所有文件。會對每個簇的使用情況進(jìn)行顯示，決定著其中任意一個是否可以得到實際應(yīng)用。需要注意的是，格式化展開之后，所有文件并非被真正地刪除，而是其中的FAT表被修改，其他部位也是通過修改幾個程序達(dá)到刪除目的。事實證明，大部分DATA都并未在格式化的過程中遭受破壞。這就使得原本存在的數(shù)據(jù)仍然被保存，只是改變了存儲方式，為數(shù)據(jù)恢復(fù)工作能夠正常發(fā)揮作用提供了可能。數(shù)據(jù)恢復(fù)技術(shù)正是在此基礎(chǔ)之上對原本存在的各種問題進(jìn)行修改，然后利用計算機當(dāng)中的軟件實現(xiàn)數(shù)據(jù)恢復(fù)目的。

2 計算機取證與數(shù)據(jù)恢復(fù)的關(guān)聯(lián)

兩者之間的技術(shù)基礎(chǔ)存在的差別較小，都與存儲和數(shù)據(jù)有關(guān)，而且在技術(shù)與工作準(zhǔn)則方面存在較為明顯的聯(lián)系。在二者發(fā)揮作用的過程中，都需要工作者秉持科學(xué)的理念，對存儲部分采取相同或者類似的處理措施。但是，二者之間也存在一定差別，數(shù)據(jù)恢復(fù)的主要職責(zé)就是將原本已經(jīng)被刪除或者格式化的文件數(shù)據(jù)尋找回來。數(shù)據(jù)恢復(fù)之后，其中的文件并不一定與法律存在關(guān)系，也可能是用作商業(yè)用途。計算機取證本身便是法律事項的一個重要環(huán)節(jié)，按照科學(xué)方式獲取的證據(jù)已經(jīng)具備法律效力。

數(shù)據(jù)恢復(fù)在計算機取證當(dāng)中占據(jù)重要地位，進(jìn)行此項活動的最主要目的就是為了獲取電子證據(jù)。不僅如此，在犯罪分子沒有使用的計算機當(dāng)中通過數(shù)據(jù)恢復(fù)也可以獲得與犯罪活動有關(guān)的信息，對案件的偵破工作行程較為良好的輔助作用。事實證明，此類犯罪分子本身具備較強的計算機知識技能，因而會在實施犯罪活動之后將其中的數(shù)據(jù)進(jìn)行損毀，這就使得數(shù)據(jù)恢復(fù)存在較強的必要性。當(dāng)前，一些軟件的數(shù)據(jù)恢復(fù)性能會對工作成果造成重大影響，因此必須對系統(tǒng)當(dāng)中的軟件功能進(jìn)行擴(kuò)展，盡量獲得盡可能多的數(shù)據(jù)，最佳情況就是將所有數(shù)據(jù)恢復(fù)。

3 數(shù)據(jù)恢復(fù)技術(shù)在計算機取證系統(tǒng)中的應(yīng)用

在進(jìn)行系統(tǒng)設(shè)計之前應(yīng)該對傳統(tǒng)意義上的證據(jù)與電子證據(jù)進(jìn)行對比，進(jìn)而讓系統(tǒng)設(shè)計更加符合現(xiàn)實要求。計算機當(dāng)中的數(shù)據(jù)處于隨時變動的狀態(tài)，而且由于其存儲方式較為特殊，不具備直觀特性。電子證據(jù)與計算機存在密切關(guān)聯(lián)，其發(fā)揮作用都必須在計算機的輔助之下完成，可以說，傳統(tǒng)數(shù)據(jù)可以進(jìn)行實物保存，但是此類證據(jù)只能依靠計算機技術(shù)。而且電子證據(jù)尋找的過程中，必須對其進(jìn)行技術(shù)支持，即使在此種情況也會出現(xiàn)證據(jù)損毀的情況，使得取證工作較難完成。因此，在進(jìn)行電子取證的過程中，技術(shù)人員必須選擇性能較強的軟件，針對其中的各個部分進(jìn)行仔細(xì)研究，讓相關(guān)事項可以在科學(xué)手段的輔助之下得到完成。如此才能夠確保各項工作順利完成。

應(yīng)該進(jìn)行相應(yīng)系統(tǒng)的設(shè)計，讓數(shù)據(jù)將恢復(fù)技術(shù)可以發(fā)揮實際功能。在進(jìn)行系統(tǒng)設(shè)計之前，應(yīng)該對硬盤信息進(jìn)行判斷，結(jié)合文件存儲的相關(guān)原理，設(shè)計出符合現(xiàn)實應(yīng)用要求的系統(tǒng)。

在各種信息判定之后，應(yīng)該根據(jù)系統(tǒng)的功能需求設(shè)定相應(yīng)的功能模塊，確保數(shù)據(jù)恢復(fù)的各個環(huán)節(jié)都可以順利實現(xiàn)。只讀控制模塊對需要進(jìn)行處理的硬盤當(dāng)中所有的寫入信息進(jìn)行搜集。同時，也會對緩存部分進(jìn)行必要的處理，針對其中已經(jīng)存儲過的數(shù)據(jù)實施監(jiān)控，避免硬盤當(dāng)中原本已經(jīng)存在的數(shù)據(jù)受到破壞，一旦數(shù)據(jù)出現(xiàn)損毀就會造成取證工作難以實現(xiàn)。系統(tǒng)當(dāng)中的修復(fù)模塊具備較強的修復(fù)功能，負(fù)責(zé)處理導(dǎo)致磁盤無法開啟的一些因素。比如，盤中的一些部位由于遭受病毒侵襲就會造成本體破壞，如果達(dá)到一定程度就會造成磁盤無法啟用。前兩個模塊起到的是確保數(shù)據(jù)恢復(fù)順利完成，數(shù)據(jù)恢復(fù)模塊便需要在其輔助之下得到改善，必須對此情況進(jìn)行改進(jìn)，讓數(shù)據(jù)恢復(fù)模塊可以順利發(fā)揮作用。

其中的分區(qū)修復(fù)功能較為重要，使用當(dāng)前最為常見的操作系統(tǒng)，可以實現(xiàn)磁盤的快速掃描，對其中受到破壞的部分進(jìn)行快速修復(fù)，此種情況必須在其輔助之下得到改善。首先系統(tǒng)會對數(shù)據(jù)恢復(fù)日志的處理進(jìn)行判定，判斷是否需要進(jìn)行保存，使得相關(guān)數(shù)據(jù)必須在其輔助之下得到處理。因為與磁盤有關(guān)的各種信息都記錄在其中。使用者如此在日后繼續(xù)對其進(jìn)行操作，就可以根據(jù)其中的內(nèi)容直接進(jìn)行業(yè)務(wù)的處理，簡化了操作步驟。然后對需要修補的部位進(jìn)行掃描，選定之后便可以對此部位的有效信息進(jìn)行判斷。

當(dāng)前，最為常用的文件處理系統(tǒng)是FAT，系統(tǒng)設(shè)計應(yīng)該符合其特點，如此才能夠發(fā)揮最為廣泛的作用。此類文件刪除之后仍然存在與文件有關(guān)的各種信息。其中的所有文件的定義形式都與i節(jié)點存在關(guān)聯(lián)。實際上，文件的刪除就是i節(jié)點被清除干凈的象征。這也就使得數(shù)據(jù)恢復(fù)難以直接進(jìn)行，可以尋找其他類型的方式進(jìn)行恢復(fù)。對其文件頭以及文件腳進(jìn)行掃描可以很好地實現(xiàn)這個目的。如果兩者難以尋找，就必須計算文件的長度，將其中存在的數(shù)據(jù)進(jìn)行存儲。

4 總結(jié)

利用計算機實施違法活動的現(xiàn)象已經(jīng)引起社會廣泛關(guān)注。計算機當(dāng)中遺留的犯罪證據(jù)的提取需要在數(shù)據(jù)恢復(fù)技術(shù)的輔助之下完成。可以說，計算機取證工作在數(shù)據(jù)恢復(fù)技術(shù)的幫助下解決很多難題，必須對此進(jìn)行深入研究，讓計算機取證工作可以對計算機犯罪活動起到良好的遏制作用。經(jīng)過本文研究證實，計算機當(dāng)中的數(shù)據(jù)被刪除之后并非真正消失，而是換了一種形式存儲在硬盤當(dāng)中，這就為數(shù)據(jù)恢復(fù)技術(shù)發(fā)揮作用提供了可能，由此入手設(shè)計計算機取證系統(tǒng)，使用系統(tǒng)當(dāng)中的軟件對刪除的數(shù)據(jù)進(jìn)行恢復(fù)，為懲治犯罪分子尋找證據(jù)。

參考文獻(xiàn)

[1]李超.集中化檢測項目災(zāi)難備份系統(tǒng)的建設(shè)[J].中國輸血雜志，2009，15（12）：115-116.

[2]王笑強.數(shù)據(jù)恢復(fù)技術(shù)成為電子取證的核心技術(shù)[J].計算機安全，2011，23（12）：118-119.

[3]薛琴.基于FinalData的數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的應(yīng)用[J].警察技術(shù)，2012，05（04）：115-116.

[4]王中杉，劉乃琦，秦科，等.取證系統(tǒng)中數(shù)據(jù)恢復(fù)關(guān)鍵技術(shù)研究[J].計算機應(yīng)用研究，2010，21（09）：156-157.

[5]李俊莉.數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的應(yīng)用[J].南陽師范學(xué)院學(xué)報，2011，（09）：115-116.

[6]姚麗麗.淺談計算機數(shù)據(jù)恢復(fù)技術(shù)的原理與實現(xiàn)[J].黑龍江科技信息，2011，24（07）：112-113.

作者單位

重慶市人民檢察院第二分院 重慶市 404100endprint