淺談數(shù)據(jù)恢復(fù)在檢察機(jī)關(guān)自偵案件中的應(yīng)用

【摘要】面對(duì)高智商職務(wù)犯罪嫌疑人惡意刪改數(shù)據(jù)、惡意損壞存儲(chǔ)載體致使數(shù)據(jù)丟失的問題，通過數(shù)據(jù)恢復(fù)技術(shù)手段最大限度地還原了案件真實(shí)情況，為職務(wù)犯罪案件的順利查辦提供技術(shù)支撐，發(fā)揮了電子證據(jù)在案件初查過程中的指向作用、在案件偵查過程中的定案作用以及在案件審判過程中的佐證作用。

【關(guān)鍵詞】數(shù)據(jù)恢復(fù);職務(wù)犯罪;檢察機(jī)關(guān)

目前檢察機(jī)關(guān)在電子證據(jù)分析方面又普遍存在數(shù)據(jù)恢復(fù)速度慢、分析繁瑣的問題，必須不斷地調(diào)整鑒定的方法與手段，以適應(yīng)檢察機(jī)關(guān)新的案件形式和證據(jù)形式的發(fā)展顯得越來越重要，而這也對(duì)硬盤數(shù)據(jù)恢復(fù)、取證、電子物證固化技術(shù)手段提出了更高的要求。

一、數(shù)據(jù)恢復(fù)原理

數(shù)據(jù)恢復(fù)就是把由硬件缺陷導(dǎo)致不可訪問或不可獲得、或由于誤操作等各種原因?qū)е聛G失的數(shù)據(jù)還原成正常數(shù)據(jù)。文件之所以能被恢復(fù)，須從硬盤的物理結(jié)構(gòu)（如圖1所示）、文件在硬盤上的數(shù)據(jù)結(jié)構(gòu)和文件的儲(chǔ)存原理談起。

1.硬盤的物理結(jié)構(gòu)

圖1 硬盤的物理結(jié)構(gòu)

2.數(shù)據(jù)結(jié)構(gòu)

硬盤的一般要分成主引導(dǎo)扇區(qū)（MBR）、操作系統(tǒng)引導(dǎo)扇區(qū)（DBR）、文件分配表（FAT）、目錄區(qū)（DIR）和數(shù)據(jù)區(qū)（DATA）五部分。硬盤的五部分中，硬盤文件的數(shù)據(jù)區(qū)雖然占了絕大部分空間，但只有在前面各部分完整存在的情況下，數(shù)據(jù)區(qū)才有實(shí)際意義。一般的刪除是文件分配表中的前兩個(gè)代碼被系統(tǒng)修改，只是作了已刪除的標(biāo)記，同時(shí)文件所占簇號(hào)在文件分配表中的記錄被清零，該文件所占空間從而得以釋放。文件被刪除后雖然硬盤剩余空間增加了，但文件的真實(shí)內(nèi)容仍保存在數(shù)據(jù)區(qū)，新數(shù)據(jù)寫入時(shí)原數(shù)據(jù)才會(huì)被新內(nèi)容覆蓋，而覆蓋之前原數(shù)據(jù)是一直保留的。在文件刪除與恢復(fù)中，文件分配表的目錄區(qū)起了重要作用，系統(tǒng)通常會(huì)存放兩份相同的文件分配表來保證數(shù)據(jù)的安全;而目錄區(qū)中的信息記錄了文件的起始單元、文件屬性、文件大小等數(shù)據(jù)，這些信息則定位了文件數(shù)據(jù)在磁盤中的具體保存位置，其中文件的起始單元是最重要的部分。在定位文件時(shí)，操作系統(tǒng)會(huì)根據(jù)目錄區(qū)中記錄的起始單元、同時(shí)結(jié)合文件分配表區(qū)知曉文件在磁盤中的具體位置和大小。

通常，新的硬盤需分區(qū)、格式化后才能安裝系統(tǒng)使用。如果整個(gè)硬盤分了三個(gè)區(qū)，其結(jié)構(gòu)則如圖2所示。

圖2 硬盤的分區(qū)

硬盤分區(qū)相關(guān)數(shù)據(jù)結(jié)構(gòu)的構(gòu)成詳解如下。

MBR，即主引導(dǎo)紀(jì)錄，位于整個(gè)硬盤的0柱面0磁道1扇區(qū)，共占用了63個(gè)扇區(qū)，但實(shí)際只使用了1個(gè)扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導(dǎo)記錄中，MBR又可分為三部分：第一部分：引導(dǎo)代碼，占用了446個(gè)字節(jié);第二部分：分區(qū)表，占用了64字節(jié);第三部分：55AA，結(jié)束標(biāo)志，占用了兩個(gè)字節(jié)。引導(dǎo)代碼的作用：就是讓硬盤具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失，分區(qū)表還在，那么這個(gè)硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個(gè)硬盤自己不能夠用來啟動(dòng)進(jìn)系統(tǒng)了。EBR，也叫做擴(kuò)展MBR（Extended MBR）。因?yàn)橹饕龑?dǎo)記錄MBR最多只能描述4個(gè)分區(qū)項(xiàng)，如果想要在一個(gè)硬盤上分多于4個(gè)區(qū)，就要采用擴(kuò)展MBR的辦法。

文件分配表（File Allocation Table，F(xiàn)AT），是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)，為了數(shù)據(jù)安全起見，F(xiàn)AT一般做兩個(gè)，第二FAT為第一FAT的備份， FAT區(qū)緊接在OBR之后，其大小由本分區(qū)的大小及文件分配單元的大小決定。

目錄區(qū)（Directory，DIR），是緊接在第二FAT表之后，只有FAT還不能定位文件在磁盤中的位置，F(xiàn)AT還必須和DIR配合才能準(zhǔn)確定位文件的位置。DIR記錄著每個(gè)文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時(shí)，操作系統(tǒng)根據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區(qū)之后，才是真正意義上的數(shù)據(jù)存儲(chǔ)區(qū)，即DATA區(qū)。

數(shù)據(jù)區(qū)（DATA）雖然占據(jù)了硬盤的絕大部分空間，但沒有了前面的各部分，它對(duì)于我們來說，也只能是一些枯燥的二進(jìn)制代碼，沒有任何意義。我們通常所說的格式化程序（指高級(jí)格式化，例如DOS下的Format程序），并沒有把DATA區(qū)的數(shù)據(jù)清除，只是重寫了FAT表而已，至于分區(qū)硬盤，也只是修改了MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變。

MBR、EBR是分區(qū)產(chǎn)生的，而每一個(gè)分區(qū)又由DBR、FAT1、FAT2、DIR、DATA等5部分組成，C盤的數(shù)據(jù)結(jié)構(gòu)如圖3所示。

圖3 C盤的數(shù)據(jù)結(jié)構(gòu)

二、數(shù)據(jù)恢復(fù)軟件和方法

在取證過程中，必須首先保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染;搜索目標(biāo)系統(tǒng)中的所有文件：包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件、受到密碼保護(hù)的文件和加密文件;全部（或盡可能）恢復(fù)發(fā)現(xiàn)的已刪除文件;最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件、臨時(shí)文件和交換文件的內(nèi)容。在實(shí)際電子數(shù)據(jù)檢驗(yàn)鑒定工作中，采用成熟穩(wěn)定的工具能達(dá)到事半功倍的效果：

1.R-Studio是功能超強(qiáng)的數(shù)據(jù)恢復(fù)、反刪除工具，采用全新恢復(fù)技術(shù)，為使用 FAT12/16/32、NTFS、NTFS5（Windows 2000系統(tǒng)）和 Ext2FS（Linux系統(tǒng)）分區(qū)的磁盤提供完整數(shù)據(jù)維護(hù)解決方案。

2.Winhex是德國(guó)人開發(fā)的五星上將級(jí)16進(jìn)制編輯軟件，其附帶的及其變通的數(shù)據(jù)恢復(fù)功能及其強(qiáng)大。在掌握了文件系統(tǒng)基礎(chǔ)原理之后，你會(huì)對(duì)WinHex愛不釋手，不愿再使用其他數(shù)據(jù)恢復(fù)軟件。WinHex是WINDOWS下數(shù)據(jù)恢復(fù)的第一數(shù)據(jù)恢復(fù)軟件，進(jìn)入系統(tǒng)，首先要用WinHex來檢測(cè)判斷故障。并可直接恢復(fù)剪切刪除、目錄無法讀取、分區(qū)丟失、誤克隆、加密、RAID、目錄隱藏、壞扇區(qū)等大多數(shù)類型故障。

三、電子證據(jù)在檢察機(jī)關(guān)應(yīng)用中存在的主要問題

1.辦案人員重視不夠、能力不高

一方面，受固有觀念制約，辦案人員對(duì)傳統(tǒng)的書證、物證敏感度較強(qiáng)但對(duì)電子證據(jù)缺乏重視，造成很多重要的資料沒有被及時(shí)發(fā)現(xiàn)。另一方面，由于檢察機(jī)關(guān)的技術(shù)人員對(duì)電子證據(jù)的提取還缺乏足夠的專業(yè)知識(shí)，整個(gè)檢察系統(tǒng)對(duì)此也缺乏相關(guān)的系統(tǒng)性培訓(xùn)，技術(shù)人員電子取證水平普遍較低。

2.標(biāo)準(zhǔn)欠缺、規(guī)范缺乏

電子證據(jù)是一個(gè)新的概念，最高人民檢察院對(duì)于電子證據(jù)的提取也沒有出臺(tái)相應(yīng)的標(biāo)準(zhǔn)操作流程，偵查人員和技術(shù)人員往往僅憑經(jīng)驗(yàn)進(jìn)行，有可能破壞證據(jù)的完整性，對(duì)提取證據(jù)產(chǎn)生影響。在勘查過程中，目標(biāo)設(shè)備或系統(tǒng)的相關(guān)信息記錄不全，如未詳細(xì)記錄電子設(shè)備或系統(tǒng)的名稱、網(wǎng)絡(luò)地址等信息，勘查時(shí)未全程錄像，錄像資料未保存，提取的電子證據(jù)沒有清單及封存記錄，導(dǎo)致所提取的電子證據(jù)的真實(shí)性受到質(zhì)疑。

四、結(jié)語(yǔ)

本文通過對(duì)數(shù)據(jù)恢復(fù)技術(shù)的研究對(duì)數(shù)據(jù)恢復(fù)技術(shù)的原理進(jìn)行了闡述，并介紹了數(shù)據(jù)恢復(fù)中可以使用的恢復(fù)軟件為數(shù)據(jù)恢復(fù)提供了參考方法。

參考文獻(xiàn)

[1]劉偉.數(shù)據(jù)恢復(fù)技術(shù)深度揭秘[M].北京：電子工業(yè)出版社，2010：56-59.

[2]高志鵬，張志偉.識(shí)數(shù)尋蹤：WinHex應(yīng)用與數(shù)據(jù)恢復(fù)開發(fā)秘籍[M].北京：人民郵電出版社，2013：102-105.

[3]戴士劍.數(shù)據(jù)恢復(fù)技術(shù)[M].北京：電子工業(yè)出版社，2005：80-86.