數(shù)據(jù)恢復(fù)技術(shù)在涉案計(jì)算機(jī)偵查取證中的應(yīng)用研究

趙明明 吳霞

摘要：

互聯(lián)網(wǎng)等高科技給犯罪分子提供了多元化的犯罪途徑，近年來，我國犯罪案數(shù)量呈倍增長，加上犯罪分子有著較強(qiáng)的反偵察意識(shí)，懂得如何銷毀存儲(chǔ)設(shè)備中的犯罪證據(jù)，導(dǎo)致公安機(jī)關(guān)偵查證據(jù)愈發(fā)困難。眾所周知，一重要的電子證據(jù)丟失亦或是損毀都難以定罪犯罪分子，對(duì)此，如何恢復(fù)電子數(shù)據(jù)這是當(dāng)前偵查人員要重視的問題，文中對(duì)涉案計(jì)算機(jī)偵查取證中運(yùn)用數(shù)據(jù)恢復(fù)技術(shù)進(jìn)行了探討，目的是為給公安偵查案件恢復(fù)犯罪證據(jù)提供更多幫助。

關(guān)鍵詞：

數(shù)據(jù)恢復(fù);偵查取證;計(jì)算機(jī)

中圖分類號(hào)：

D918;TP309.3

文獻(xiàn)標(biāo)識(shí)碼：

A

文章編號(hào)：

1672-9129（2020）15-0016-02

在網(wǎng)絡(luò)計(jì)算機(jī)普遍運(yùn)用到我國各個(gè)領(lǐng)域后，犯罪分子活動(dòng)是一日比一日猖獗，已經(jīng)嚴(yán)重的影響我國社會(huì)的穩(wěn)定，特別是最近兩年的詐騙案件引得群眾內(nèi)心恐慌，生怕自己成為下一個(gè)被騙之人，為了有效打擊犯罪分子的行為，公安機(jī)關(guān)和偵查人員就要不斷的學(xué)習(xí)各種先進(jìn)的高科技，唯有如此，才可偵破案件。結(jié)合2017年統(tǒng)計(jì)數(shù)據(jù)顯示，與計(jì)算機(jī)有關(guān)的違反犯罪活動(dòng)在我國刑事案件中占有96.3%的比重，且每年都在增多，這個(gè)數(shù)據(jù)無疑是令人震驚的，一旦犯罪分子利用高科技去銷毀證據(jù)，公安機(jī)關(guān)難以偵破，均會(huì)令我國社會(huì)變得動(dòng)蕩。如何快速恢復(fù)丟失亦或損毀的電子證據(jù)，這是公安機(jī)關(guān)最大的挑戰(zhàn)，因電子數(shù)據(jù)具有特殊性質(zhì)，在計(jì)算機(jī)取證中平常的軟件無法復(fù)原重要證據(jù)，所以，新時(shí)代對(duì)取證人員在數(shù)據(jù)恢復(fù)原理、數(shù)據(jù)恢復(fù)技術(shù)以及數(shù)據(jù)恢復(fù)工具的運(yùn)用等方面有了更高的標(biāo)準(zhǔn)，以下是詳細(xì)概述。

1對(duì)數(shù)據(jù)恢復(fù)的基本原理探索

因犯罪嫌疑人反偵查技術(shù)強(qiáng)，在計(jì)算機(jī)等先進(jìn)設(shè)備上舍得投資，因此，他們掌握的計(jì)算機(jī)技術(shù)遠(yuǎn)遠(yuǎn)的高于我國公安機(jī)關(guān)和偵查部門，一旦他們動(dòng)手銷毀了自己犯罪的電子證據(jù)，偵查人員都難以找到定罪的依據(jù)，為了應(yīng)對(duì)這一問題，偵查人員要懂得恢復(fù)電子證據(jù)的技術(shù)，掌握數(shù)據(jù)恢復(fù)原理。

1.1數(shù)據(jù)存儲(chǔ)原理。論及數(shù)據(jù)刪除和恢復(fù)必然牽扯數(shù)據(jù)存儲(chǔ)原理，以當(dāng)前最普遍的Windows系統(tǒng)來講：硬盤自出廠至存儲(chǔ)數(shù)據(jù)需經(jīng)過三個(gè)處理環(huán)節(jié)，第一，低級(jí)格式化處理，廠家出售的硬盤未經(jīng)過任何處理，難以存儲(chǔ)數(shù)據(jù)，要對(duì)盤體設(shè)置好磁道和扇區(qū);第二，磁盤分區(qū)處理，即硬盤分區(qū)，把磁盤的整體存儲(chǔ)空間分割成獨(dú)立的區(qū)域;第三，高級(jí)格式化處理，完成磁盤分區(qū)后，要建立對(duì)應(yīng)的獨(dú)立邏輯驅(qū)動(dòng)器，分區(qū)是為讓用戶知道引導(dǎo)代碼的地址，讓計(jì)算機(jī)的系統(tǒng)可正常導(dǎo)入本驅(qū)動(dòng)器，因此，搭建文件系統(tǒng)是應(yīng)用存儲(chǔ)設(shè)備必不可少的環(huán)節(jié)。一般來說，在Windows操作系統(tǒng)下，高級(jí)格式化類型有兩種，一種是FAT32文件系統(tǒng)，另一種是NTFS文件系統(tǒng)。若結(jié)合順序而言可把分區(qū)設(shè)置為目錄文件分配區(qū)與數(shù)據(jù)區(qū)，其中目錄文件分配區(qū)存儲(chǔ)了各個(gè)文件的名稱、數(shù)據(jù)大小、相關(guān)屬性等資料，要是用戶想要在硬盤中存儲(chǔ)數(shù)據(jù)，通常都會(huì)在目錄文件分配區(qū)中選擇一個(gè)起始位置，然后再數(shù)據(jù)區(qū)編寫文件內(nèi)容，從而完成存儲(chǔ)文件的需求。

1.2數(shù)據(jù)刪除和恢復(fù)原理。在選擇刪除文件時(shí)，Windows僅僅只刪除了文件記錄于目錄文件分配區(qū)的名稱和位置等信息。事實(shí)上，這一步驟并未刪除真正的數(shù)據(jù)，就是修改了目錄文件分配區(qū)的索引，不管是Fdisk命令除亦或是Format命令去刪除硬盤分區(qū)、格式化硬盤分區(qū)都不會(huì)丟失數(shù)據(jù)區(qū)內(nèi)存存儲(chǔ)的數(shù)據(jù)內(nèi)容，這是由于Fdisk命令刪除的只是原有分區(qū)表，而Format命令刪除的則是文件分配表。偵查機(jī)關(guān)快速恢復(fù)數(shù)據(jù)便是掌握了這一原理，經(jīng)過一定算法去對(duì)刪除的文件進(jìn)行掃描，恢復(fù)零散的數(shù)據(jù)，從而給偵查犯罪案件當(dāng)成是起訴的線索。

2公安機(jī)關(guān)怎樣進(jìn)行數(shù)據(jù)恢復(fù)

現(xiàn)如今，公安機(jī)關(guān)和偵查部門可恢復(fù)數(shù)據(jù)的軟件以及取證的工具類型越來越多，但重要犯罪數(shù)據(jù)的復(fù)原并非是百分百的，以下是對(duì)常用數(shù)據(jù)恢復(fù)技術(shù)的介紹。

2.1根據(jù)文件簽名完成數(shù)據(jù)恢復(fù)。數(shù)據(jù)恢復(fù)軟件在恢復(fù)丟失和損毀數(shù)據(jù)時(shí)會(huì)掃描數(shù)據(jù)區(qū)，經(jīng)過對(duì)比各簇的若干起始字節(jié)和特征庫的值來對(duì)存儲(chǔ)數(shù)據(jù)的文件類型進(jìn)行確定，它主要是利用了存儲(chǔ)文件簽署名都是固定的十六進(jìn)制值的原理，在計(jì)算機(jī)技術(shù)中.doc，.docx，.jpg等都是比較常見的文件類型，根據(jù)這個(gè)簽名值就可搜索。

2.2搜索文件關(guān)鍵字。犯罪分子為了防止犯罪者證據(jù)被公安偵查到，一般都會(huì)利用黑客技術(shù)去刪除與案件有關(guān)的電子數(shù)據(jù)，雖說刪除的數(shù)據(jù)仍舊是存儲(chǔ)在內(nèi)存條的扇區(qū)中，在伴隨著存儲(chǔ)數(shù)據(jù)類型的增多，很有可能會(huì)覆蓋電子證據(jù)，加上電子證據(jù)大都是碎片的形式，每個(gè)扇區(qū)存儲(chǔ)位置不同，想要將原始的數(shù)據(jù)復(fù)原無疑是比較困難的。對(duì)此，偵查人員就要按照和案件有關(guān)的信息設(shè)定關(guān)鍵詞，然后在使用WinHex軟件搜索磁盤，提恢相關(guān)數(shù)據(jù)恢復(fù)文件，給公安人員破案提供主要線索。

3探索數(shù)據(jù)恢復(fù)技術(shù)在涉案計(jì)算機(jī)取證當(dāng)中的實(shí)踐探討

公安機(jī)關(guān)和偵查機(jī)關(guān)在設(shè)計(jì)系統(tǒng)前，要對(duì)比傳統(tǒng)證據(jù)和電子證據(jù)的差異，提高系統(tǒng)設(shè)計(jì)的針對(duì)性和有效性，確保設(shè)計(jì)的系統(tǒng)更符合現(xiàn)代取證需求。眾所周知，計(jì)算機(jī)內(nèi)的數(shù)據(jù)并非是一成不變的，加上數(shù)據(jù)保存方式過于特別，所以，很容易丟失和損毀重要證據(jù)，犯罪人員若是利用計(jì)算機(jī)犯罪，那么所有的犯罪記錄必然是在計(jì)算機(jī)內(nèi)，這一點(diǎn)是有別于傳統(tǒng)犯罪證據(jù)的，更加大了偵查人員調(diào)查案件的難度，所以，公安機(jī)關(guān)和偵查機(jī)關(guān)想要拿到足夠的電子證據(jù)去捉拿犯罪分子，技術(shù)人員就要掌握各種高科技取證技術(shù)，否則只會(huì)被犯罪分子玩弄于股掌之間。

在設(shè)計(jì)相關(guān)系統(tǒng)的過程中，要充分發(fā)揮數(shù)據(jù)恢復(fù)技術(shù)的作用。

3.1利用文件簽名恢復(fù)查找電子證據(jù)。案情介紹：辦案民警接到學(xué)生報(bào)案，調(diào)查其學(xué)費(fèi)被不法分子所騙案件，在調(diào)查中他們發(fā)現(xiàn)有團(tuán)伙冒充學(xué)校給學(xué)生發(fā)送詐騙短信，為了找到相關(guān)證據(jù)，民警深入做了調(diào)查，可卻犯罪嫌疑人察覺，立即銷毀了數(shù)據(jù)，導(dǎo)致民警部門雖然拿到了計(jì)算機(jī)硬盤，卻無法根據(jù)證據(jù)將團(tuán)隊(duì)一網(wǎng)打盡，根據(jù)嫌疑人提供的證據(jù)，相關(guān)涉案人員的名單都保存在一個(gè)Word文件中，可是民警在人工搜索后并未找出這一文件，只能利用取證軟件去恢復(fù)犯罪證據(jù)，最后發(fā)現(xiàn)一個(gè)較為可疑的簽名文件，在分析這個(gè)文件，發(fā)現(xiàn)它是一個(gè)圖片，圖片中可清晰的看見其中一些犯罪分子的名字，也是這一證據(jù)最終幫助民警把所有的犯罪分子給抓捕，追回學(xué)生被騙學(xué)費(fèi)的。

3.2利用關(guān)鍵字搜索電子證據(jù)。案情介紹：公安機(jī)關(guān)在調(diào)查某個(gè)公司機(jī)密被泄露的案件，在扣押嫌疑人電腦設(shè)備后，卻并未找到其犯罪證據(jù)，即便是利用一些取證技術(shù)復(fù)原，證據(jù)也不充分，結(jié)合案件性質(zhì)來說，這個(gè)案件可能會(huì)和金錢有關(guān)聯(lián)，于是民警就從這一點(diǎn)入手去搜查犯罪嫌疑人名下的銀行卡信息，運(yùn)用Winhex軟件搜索銀行卡有關(guān)的詞匯，查到犯罪嫌疑人的電腦中存在數(shù)據(jù)碎片，甚至還有很多犯罪信息，這些都給公安機(jī)關(guān)調(diào)查提供了線索，找到和其有著現(xiàn)金交易的對(duì)象。由此可見，對(duì)于公安機(jī)關(guān)和偵查機(jī)關(guān)而言，以關(guān)鍵詞搜索相關(guān)重要電子證據(jù)也是一種恢復(fù)犯罪證據(jù)的手段，公安機(jī)關(guān)和偵查機(jī)關(guān)只有掌握了這些技術(shù)，方可真正的破案，提高其偵查案件的效率，打擊我國的犯罪分子，保護(hù)人民群眾的財(cái)產(chǎn)安全。

4結(jié)語

當(dāng)前，計(jì)算機(jī)已經(jīng)變成不少違法犯罪分子詐騙的主要工具，伴隨著涉案金額的不斷提高，違法犯罪活動(dòng)已經(jīng)給人民群眾的財(cái)產(chǎn)安全造成了巨大的威脅。為了確保人民群眾生活的穩(wěn)定性，打壓犯罪分子違法行為是必要的，可是我國財(cái)政部門資金有限，各個(gè)城市的公安機(jī)關(guān)和偵查機(jī)關(guān)掌握的計(jì)算機(jī)技術(shù)可能遠(yuǎn)不如販子分子先進(jìn)，所以，近年來的跨國犯罪案件令相關(guān)部門非常頭疼，因?yàn)榉缸锓肿硬粌H懂得如何利用先進(jìn)技術(shù)犯罪，更懂得如何去銷毀重要的犯罪證據(jù)，導(dǎo)致公安機(jī)關(guān)和偵查機(jī)關(guān)想要提取計(jì)算機(jī)內(nèi)遺留的證據(jù)難度頗高，即便是有計(jì)算機(jī)技術(shù)的輔助，難度也沒有降低多少。因此，深入分析計(jì)算機(jī)取證對(duì)數(shù)據(jù)恢復(fù)技術(shù)的運(yùn)用是重要的，只有發(fā)揮其作用，才可真正的遏制出計(jì)算機(jī)犯罪活動(dòng)，經(jīng)過本文的實(shí)踐，我們能夠發(fā)現(xiàn)計(jì)算機(jī)內(nèi)刪除數(shù)據(jù)其實(shí)并未真的消失，它還保存在硬盤的數(shù)據(jù)區(qū)，警察和偵查人員是有機(jī)會(huì)恢復(fù)犯罪證據(jù)，定罪犯罪分子的。

參考文獻(xiàn)：

[1]尹毅嫻.計(jì)算機(jī)硬盤的數(shù)據(jù)恢復(fù)技術(shù)[J].電子技術(shù)與軟件工程，2017（13）

[2]張婷婷.試論計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)[J].科技風(fēng)，2017（05）

[3]薄光明.計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)研究[J].科技創(chuàng)新與應(yīng)用，2018（24）