淺談數(shù)據(jù)恢復技術在電子物證檢驗中的應用

1 電子物證與數(shù)據(jù)恢復的基本知識

1.1 電子物證概念

電子物證是指以存儲于介質載體中的電磁記錄或光電記錄對案件事實起證明作用的電子信息數(shù)據(jù)及其附屬物。因此總體上對計算機上的數(shù)據(jù)恢復，包括客戶端數(shù)據(jù)恢復和網(wǎng)絡服務器端數(shù)據(jù)恢復。

電子證據(jù)的來源很多，主要有系統(tǒng)日志IDS、防火墻、ftp、www和反病毒軟件日志，系統(tǒng)的審計記錄，網(wǎng)絡監(jiān)控流量，E-mail，Windows操作系統(tǒng)和數(shù)據(jù)庫的臨時文件或隱藏文件，數(shù)據(jù)庫的操作記錄，硬盤驅動的交換分區(qū)、slack區(qū)和空閑區(qū)，軟件設置，完成特定功能的腳本文件，Web瀏覽器數(shù)據(jù)緩沖，書簽、歷史記錄或會話日志、實時聊天記錄等。

隨著計算機技術的飛速發(fā)展，信息網(wǎng)絡已經成為社會發(fā)展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等）。同時，網(wǎng)絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。

所以不單針對客戶機犯罪，網(wǎng)絡服務器也經常遇到網(wǎng)絡攻擊，刪除、修改目標計算機上的數(shù)據(jù)，這些數(shù)據(jù)的丟失或許會給國家、人民造成重大損失，因此探討更多的數(shù)據(jù)恢復的方法以及在取證過程中應遵循的一些程序和規(guī)則，就顯得尤為重要。

1.2 數(shù)據(jù)恢復基礎知識

不管是客戶機還是網(wǎng)絡服務器，其存儲的數(shù)據(jù)都是存儲于硬盤等存儲介質內，對于弄明白硬盤的結構及數(shù)據(jù)的存儲方式，對于數(shù)據(jù)恢復會起到很大的指導作用。

剛生產出來的硬盤要先分區(qū)、格式化，然后再安裝操作系統(tǒng)。而這一過程，要將硬盤分成主引導（MBR）、操作系統(tǒng)引導記錄（DBR）、FAT表、DIR目錄區(qū)和DATA數(shù)據(jù)區(qū)等五個部分。

MBR位于整個硬盤的0磁道0柱面1扇區(qū)中，512字節(jié)的主引導扇區(qū)中，MBR占了446字節(jié)，另外的64字節(jié)交給DPT（硬盤分區(qū)表），最后兩個字節(jié)“55AA”是分區(qū)結束標志。

DBR位于硬盤的0磁道1柱面1扇區(qū)，是操作系統(tǒng)直接訪問的第一個扇區(qū)，它包括引導程序和BPB分區(qū)參數(shù)記錄表，最后結束標志為“55AA”。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結束扇區(qū)、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數(shù)，分配單元的大小等參數(shù)。

在FAT區(qū)之后便是DIR目錄區(qū)與DATA數(shù)據(jù)區(qū)，其中目錄區(qū)起到定位的作用，通過這些目錄可以找到相應的數(shù)據(jù)。數(shù)據(jù)區(qū)是真正存儲數(shù)據(jù)的地方。

1.3 數(shù)據(jù)恢復原理

客戶機及網(wǎng)絡服務器上存儲、處理的數(shù)據(jù)都保存在硬盤等存儲介質內。數(shù)據(jù)恢復總體分為軟件恢復和硬件恢復。但在電子物證檢驗中大多指的就是軟件恢復。案件中涉及到的恢復類型有格式化恢復、刪除恢復、全盤掃描恢復、底層數(shù)據(jù)解析恢復、網(wǎng)絡數(shù)據(jù)恢復等。

數(shù)據(jù)區(qū)沒有被徹底覆蓋，保護措施到位，通過相關軟件可以順利恢復。以嫌疑人刪除操作及網(wǎng)絡黑客攻擊計算機刪除操作為例，保存在硬盤及服務器上的數(shù)據(jù)并沒被完全覆蓋，只是數(shù)據(jù)存儲空間的鏈條被刪除，真正的數(shù)據(jù)還是以二進制的方式存儲在硬盤上。這些數(shù)據(jù)不被覆蓋，就可以通過相應的方法掃描存儲介質，對數(shù)據(jù)進行分析、編譯，最后把丟失的數(shù)據(jù)找回來。

2 電子物證檢驗常用數(shù)據(jù)恢復方法

2.1 使用EasyRecovery軟件恢復數(shù)據(jù)

該軟件提供了非常強大的數(shù)據(jù)恢復功能，尤其是針對存儲器中的指定受損數(shù)據(jù)進行恢復效果甚佳。該軟件內置高級恢復、刪除恢復、格式化恢復、原始恢復、繼續(xù)恢復等數(shù)據(jù)恢復方案，能夠輕松的找到丟失的恢復數(shù)據(jù)并予以有效恢復。

其專業(yè)版包括了磁盤診斷、數(shù)據(jù)恢復、文件修復、E-mail修復等全部4大類目19個項目的各種數(shù)據(jù)文件修復和磁盤診斷方案。因此取證人員利用該款軟件可以針對性的取證恢復，便于取證工作的針對性。

2.2 使用FinalData軟件恢復數(shù)據(jù)

該軟件具有強大的數(shù)據(jù)恢復功能，當文件被誤刪除、FAT表或磁盤根區(qū)被病毒侵蝕造成文件丟失、物理故障造成FAT表或者磁盤根區(qū)不可讀及磁盤格式化造成的全部數(shù)據(jù)丟失等情況下，能夠通過直接掃描目標磁盤抽取并恢復出文件信息，可以根據(jù)這些信息方便地查找和恢復自己需要的文件，甚至在數(shù)據(jù)文件已經被部分覆蓋以后，專業(yè)版也可以將剩余部分文件恢復出來。

該軟件是專業(yè)數(shù)據(jù)恢復軟件，可以很容易地從格式化后的文件和病毒破壞的文件恢復，甚至在極端的情況下，如果目錄結構被部分破壞也可以恢復，只要數(shù)據(jù)仍然保存在硬盤上。

2.3 使用winhex軟件手工恢復數(shù)據(jù)

該軟件是在Windows系統(tǒng)下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能，能自動分析分區(qū)鏈和文件簇鏈，能對硬盤進行不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制內容，其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復數(shù)據(jù)的首選工具軟件。

該款軟件，需要通過底層數(shù)據(jù)的分析，找出相應的數(shù)據(jù)區(qū)域，手動添加文件頭，因此取證人員要有較強的專業(yè)素質。

3 數(shù)據(jù)恢復在電子物證檢驗中的應用

數(shù)據(jù)恢復的每一個步驟都要嚴格依照法律規(guī)定的程序，確保得到的數(shù)據(jù)可以作為具有法律效力的證據(jù)。電子物證檢驗的數(shù)據(jù)具有可修改性、多重性、易失性等特點，任何一點失誤或疏漏都可能造成證據(jù)滅失。因此進行數(shù)據(jù)恢復，要詳細記錄操作的方法、步驟、使用的工具以及存儲、包裝、提取過程等。數(shù)據(jù)恢復在電子物證檢驗中的應用有多種情況，在取證過程中也會遇到各種不同的數(shù)據(jù)恢復，采用的方法也有區(qū)別。目前，數(shù)據(jù)恢復技術在電子物證檢驗中的應用一般按照下面步驟進行：

（1）按照電子物證現(xiàn)場勘查規(guī)則提取物證，注意提取時候的原則：對于客戶端計算機開機狀態(tài)就直接斷電，而網(wǎng)絡服務器則在開機時要按照正常的關機程序操作。保護現(xiàn)場計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染。

（2）復制客戶端計算機或服務器硬盤源盤數(shù)據(jù)或制作鏡像文件存放到目標盤內，將源盤封存，保證數(shù)據(jù)的完整性，最大程度對原始數(shù)據(jù)的保護。

（3）對目標盤分析現(xiàn)存的正常文件和未被覆蓋的數(shù)據(jù)，以及有密碼保護的文件和加密文件。使用取證軟件的過濾功能能夠方便的得到目標盤現(xiàn)有的數(shù)據(jù)。

（4）對目標盤全盤掃描，發(fā)現(xiàn)更多可恢復數(shù)據(jù)。使用取證軟件搜索或過濾隱藏文件、臨時文件和交換文件的內容。

（5）在目標盤上動態(tài)仿真，訪問被保護或加密文件的內容，或者提供給極光網(wǎng)絡密碼破解系統(tǒng)。

（6）在目標盤上使用取證軟件的“搜索”功能分析未分配磁盤空間，發(fā)現(xiàn)其中的數(shù)據(jù)殘留。其中搜索時需要使用關鍵字搜索，能夠在未分配磁盤空間內快速搜索所需內容。

（7）同上一步驟，使用“搜索”功能分析文件中的slack空間即每單位簇內的剩余空間內的數(shù)據(jù)，往往會發(fā)現(xiàn)有用的證據(jù)。

（8）制作取證報告，分析取證結果，并將數(shù)據(jù)刻成光盤，附卷移送司法機關。對于具備鑒定資質的電子物證實驗室，可以出具法庭認可的鑒定書，其可信度更大。

4 總結

數(shù)據(jù)恢復是電子物證檢驗非常重要的一個步驟，其技術博大精深，不同的軟件處理，得到的數(shù)據(jù)也有所不同，有時候只有通過分析底層二進制數(shù)據(jù)，才能獲取較好的恢復效果，因此要想從數(shù)據(jù)中得到更多的犯罪信息，只有不斷磨礪寶劍，在工作中不斷總結，為打擊犯罪盡到自己綿薄之力！