計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)關(guān)鍵技術(shù)研究與分析

吳 威

（浙江省湖州市長(zhǎng)興縣公安局，長(zhǎng)興 313000）

計(jì)算機(jī)取證是對(duì)計(jì)算機(jī)犯罪證據(jù)的識(shí)別獲取、傳輸、保存、分析和提交認(rèn)證過(guò)程，實(shí)質(zhì)是一個(gè)詳細(xì)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過(guò)程，也是對(duì)被取證系統(tǒng)中的動(dòng)態(tài)過(guò)程和靜態(tài)記錄的提取、還原、恢復(fù)的過(guò)程，取得的證據(jù)具有不可抵賴(lài)性。

計(jì)算機(jī)取證主要是圍繞電子證據(jù)來(lái)展開(kāi)工作的，其目的就是將儲(chǔ)存在計(jì)算機(jī)及相關(guān)設(shè)備中反映犯罪者犯罪的信息變成為有效的訴訟證據(jù)提供給法庭。電子證據(jù)也稱(chēng)為計(jì)算機(jī)證據(jù)，是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的，以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是可信的、準(zhǔn)確的、完整的、使法官信服的、符合法律法規(guī)的，即可為法庭所接受的。電子證據(jù)的表現(xiàn)形式是多樣的，尤其是多媒體技術(shù)的出現(xiàn)，更使電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫(huà)、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計(jì)算機(jī)證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類(lèi)型。

通常情況下，操作人員在對(duì)計(jì)算機(jī)文件進(jìn)行刪除操作，一般是分為兩種類(lèi)型，一種是物理刪除，其主要是指當(dāng)文件的字節(jié)被磁盤(pán)內(nèi)文件目錄表中的操作系統(tǒng)修改成刪除標(biāo)記時(shí)，就是直接刪除該文件。可是，在這一過(guò)程中，因?yàn)槲募械膬?chǔ)存空間中的數(shù)據(jù)信息并未被完全刪除，技術(shù)人員只要對(duì)刪除標(biāo)記進(jìn)行還原之后，就可以將刪除掉的文件數(shù)據(jù)進(jìn)行恢復(fù)。但是，如果一旦被其他文件占據(jù)時(shí)，勢(shì)必會(huì)造成實(shí)際數(shù)據(jù)信息的損壞。這樣就無(wú)法在進(jìn)行恢復(fù)。另一種則是邏輯刪除，這種刪除方式具體是說(shuō)當(dāng)文件分配表中的文件目錄的字節(jié)上標(biāo)識(shí)了刪除標(biāo)記，但并未將文件數(shù)據(jù)完全刪除，此時(shí)技術(shù)人員只要?jiǎng)h除掉標(biāo)記之后，即可恢復(fù)數(shù)據(jù)。

另外，若是文件在存儲(chǔ)過(guò)程中，是保持連續(xù)不斷的儲(chǔ)存，我們就可以將完整的數(shù)據(jù)文件進(jìn)行恢復(fù)。相反的，當(dāng)文件的存儲(chǔ)過(guò)程是間斷的，可能只會(huì)恢復(fù)部分的數(shù)據(jù)信息，甚至還會(huì)出現(xiàn)無(wú)法恢復(fù)的情況，即使得到了數(shù)據(jù)文件，也是不完整的。

基于分區(qū)表被損壞的數(shù)據(jù)恢復(fù)、引導(dǎo)代碼丟失等等更為簡(jiǎn)單，由于數(shù)據(jù)儲(chǔ)存區(qū)一切正常，并未產(chǎn)生任何錯(cuò)誤，技術(shù)人員應(yīng)該立刻檢查分區(qū)錯(cuò)誤，并重建MBR或者GUID分區(qū)表。

一般來(lái)說(shuō)，當(dāng)文件被格式化之后，將會(huì)重新建立起操作系統(tǒng)引導(dǎo)記錄區(qū)，同時(shí)還會(huì)重構(gòu)文件分配表以及備份。并且，系統(tǒng)還會(huì)自動(dòng)將未使用過(guò)的文件分配表項(xiàng)以及根目錄簇進(jìn)行徹底清除，但并不會(huì)清空掉數(shù)據(jù)區(qū)。而對(duì)于FAT32文件系統(tǒng)來(lái)說(shuō)，文件分配表作為數(shù)據(jù)恢復(fù)的基礎(chǔ)條件，一旦丟失，或是重建，連續(xù)的儲(chǔ)存文件會(huì)比不連續(xù)的儲(chǔ)存文件更容易恢復(fù)。

電子取證的要求是從取證系統(tǒng)或裝置中獲取原始數(shù)據(jù)，不對(duì)原始數(shù)據(jù)進(jìn)行直接分析，信息獲取過(guò)程要盡可能不干擾、覆蓋和破壞原始信息和環(huán)境。取證和分析數(shù)據(jù)的信息網(wǎng)絡(luò)系統(tǒng)及其輔助的設(shè)備必須安全、可靠，數(shù)據(jù)分析前需要對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名。從理論上講，計(jì)算機(jī)取證人員能否找到犯罪證據(jù)取決于：有關(guān)犯罪證據(jù)必須沒(méi)有被覆蓋；取證軟件必須能找到這些數(shù)據(jù)；取證人員能知道這些文件，并且能證明它們與犯罪有關(guān)。

數(shù)據(jù)恢復(fù)時(shí)，一般都是搜索目標(biāo)磁盤(pán)中的所有文件，主要是已經(jīng)被刪除但仍存在于磁盤(pán)上，即還沒(méi)有被新文件覆蓋的文件。數(shù)據(jù)恢復(fù)是數(shù)據(jù)存儲(chǔ)中出現(xiàn)問(wèn)題后的一種恢復(fù)措施，在一些特殊情況下的數(shù)據(jù)可能很難被恢復(fù)，例如數(shù)據(jù)被完全覆蓋，低級(jí)格式化清零，磁盤(pán)盤(pán)片嚴(yán)重?fù)p傷等。所以要想將這些情況下的數(shù)據(jù)恢復(fù)，必須研發(fā)出更好的數(shù)據(jù)恢復(fù)軟件。

在計(jì)算機(jī)犯罪和取證分析領(lǐng)域，數(shù)據(jù)挖掘技術(shù)越來(lái)越多地受到研究人員的關(guān)注。計(jì)算機(jī)取證分析是從海量的數(shù)據(jù)中獲取與計(jì)算機(jī)犯罪相關(guān)的有力證據(jù)的過(guò)程，它需要對(duì)不同的電子證據(jù)源的數(shù)據(jù)進(jìn)行分析。使用數(shù)據(jù)挖掘技術(shù)，目的在于對(duì)海量的數(shù)據(jù)進(jìn)行智能化的處理，提取出計(jì)算機(jī)安全取證所感興趣的內(nèi)容。數(shù)據(jù)挖掘本身只是取證分析的一種數(shù)據(jù)分析的技術(shù)。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于計(jì)算機(jī)取證的海量數(shù)據(jù)分析中，能夠有效的提高取證中數(shù)據(jù)分析的速度、分析的準(zhǔn)確性和分析的智能性，可以縮小調(diào)查范圍和對(duì)象，提高辦事效率。一些相關(guān)的研究實(shí)驗(yàn)已經(jīng)充分顯示出了這種方法的優(yōu)越性，數(shù)據(jù)挖掘?qū)?huì)在今后的取證系統(tǒng)中占有越來(lái)越重要的地位。

隨著計(jì)算機(jī)取證研究工作的不斷深入和改善，計(jì)算機(jī)取證技術(shù)將會(huì)逐漸的走向成熟，取證將進(jìn)一步的標(biāo)準(zhǔn)和智能，數(shù)據(jù)挖掘與取證的聯(lián)系也將越來(lái)越緊密。

[1] 鮑麗春.計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)探討[J].信息系統(tǒng)，2015（01）：120-122.