李越 衡磊司法鑒定所
計(jì)算機(jī)犯罪是新型犯罪方式,技術(shù)要求較高,多是以數(shù)字形式在網(wǎng)絡(luò)計(jì)算機(jī)上進(jìn)行存儲(chǔ)傳輸,產(chǎn)生的電子證據(jù)會(huì)潛藏在海量的正常數(shù)據(jù)之中,極易篡改、銷毀,而取證提取的難度則較大。計(jì)算機(jī)犯罪者會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)中遺留證據(jù),取證則是通過對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行識(shí)別[1],并將獲取的信息證據(jù)保存,上交認(rèn)證。計(jì)算機(jī)取證則是通過掃描痕跡,對計(jì)算機(jī)網(wǎng)絡(luò)入侵過程進(jìn)行重建,將犯罪者的犯罪信息還原,作為有效的訴訟證據(jù)提交法庭。數(shù)據(jù)恢復(fù)作為計(jì)算機(jī)取證中的關(guān)鍵性技術(shù),主要是包括數(shù)據(jù)恢復(fù)技術(shù)、磁盤搜索、文件格式分析等,上述技術(shù)方式的合理選擇可更好取證。因此,本文就計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)的關(guān)鍵技術(shù)進(jìn)行深入探析。
取證過程中需要進(jìn)行丟失數(shù)據(jù)還原恢復(fù)工作,主要是針對硬盤損壞、操作失誤等原因造成的數(shù)據(jù)丟失,可通過數(shù)據(jù)恢復(fù)進(jìn)行補(bǔ)救。磁盤數(shù)據(jù)恢復(fù)是計(jì)算機(jī)數(shù)據(jù)恢復(fù)中的重要內(nèi)容。磁盤作為計(jì)算機(jī)中的重要存儲(chǔ)裝置,包括硬盤與軟盤兩類。提前進(jìn)行硬盤分區(qū),需要對硬盤進(jìn)行分區(qū),主要?jiǎng)澐譃橹鞣謪^(qū)與擴(kuò)展分區(qū),之后方可進(jìn)行硬盤內(nèi)數(shù)據(jù)恢復(fù),更有利于開展系統(tǒng)內(nèi)讀寫操作。
若刪除一個(gè)文件在NTFS文件系統(tǒng)內(nèi),不僅需要?jiǎng)h除文件,也需將文件所述文件夾內(nèi)的目錄項(xiàng)刪除,此時(shí)INDX記錄則不會(huì)有數(shù)據(jù)資料在系統(tǒng)內(nèi)遺留存在,且后續(xù)數(shù)據(jù)也可將所刪除的目錄進(jìn)行覆蓋,在空閑目錄上進(jìn)行操作時(shí),定位目錄項(xiàng)難度較大,需要花費(fèi)較長時(shí)間才可以實(shí)現(xiàn)數(shù)據(jù)區(qū)的再分配。MFT中有所需文件的儲(chǔ)存痕跡,TNDX記錄無此情況。磁盤被格式化后,數(shù)據(jù)仍會(huì)存留痕跡,清除并不徹底。存儲(chǔ)索引表內(nèi),文件存放是否具備連續(xù)性,直接決定文件內(nèi)數(shù)據(jù)是否可完全恢復(fù)[2]。NTFS文件系統(tǒng)內(nèi)進(jìn)行數(shù)據(jù)恢復(fù)操作時(shí),需要先將分區(qū)定位打開,將MFT內(nèi)相關(guān)存儲(chǔ)信息,對文件所具備的屬性進(jìn)行明確,判斷文件的完整性。文件若完整,則可在新文件內(nèi)直接導(dǎo)入,若信息已經(jīng)被其他文件覆蓋,則無法恢復(fù)。
Windows系統(tǒng)中若文件刪除至回收站內(nèi),不會(huì)刪除文件,而是改變父目錄。若想徹底刪除文件,可通過將回收站內(nèi)文件清空,或者按住“shift鍵”+“delete鍵”,可達(dá)到刪除目的,將文件刪除后也可恢復(fù)。徹底刪除文件后,F(xiàn)AT32系統(tǒng)并未執(zhí)行清零操作,硬盤中儲(chǔ)存的數(shù)據(jù)仍有保留,此時(shí)可進(jìn)行文件恢復(fù)。文件刪除后,內(nèi)容不變,文件占用簇被其他文件所使用,一旦唄覆蓋則會(huì)導(dǎo)致文件徹底消失,此時(shí)無法進(jìn)行恢復(fù)操作。若沒有相鄰?fù)壩募阉鲿r(shí),上下范圍內(nèi)進(jìn)行查詢,一旦發(fā)現(xiàn)非相鄰?fù)壩募A目錄項(xiàng)未被刪除,可重新建立文件,主要是以起始位置簇的高16位對刪除文件簇進(jìn)行重建[3]。根據(jù)被刪除的相鄰?fù)壩募?,文件父目錄?yīng)以起始高16位進(jìn)行重建,在磁盤內(nèi)查詢。若闡述的文件FDT記錄項(xiàng)被覆蓋,則無法通過上述方式進(jìn)行修復(fù)。修復(fù)時(shí)需要轉(zhuǎn)變思路,恢復(fù)數(shù)據(jù)值,也可尋找具有明顯特征的字符串進(jìn)行恢復(fù)操作。
硬盤文件內(nèi)空間分配單位最小是簇,多為4KB,文件空間占用相比于理論值較多,空間內(nèi)文件刪除后會(huì)留下痕跡,因此,通過全文搜索,尋找此類文件的盲區(qū),可找到仍在時(shí)效內(nèi)的文件資料。
DF算法是硬盤內(nèi)的常用匹配算法,操作較為簡單,優(yōu)化KMP算法,BM算法在進(jìn)行匹配時(shí),方向是從右往左,此方向與KMP算法不同,可有效避免相互對。BM算法中采用兩條啟發(fā)性規(guī)則,分別為壞字符規(guī)范與好后綴規(guī)則。
磁盤中文字的保存可通過不同步編碼實(shí)現(xiàn),全文搜索系統(tǒng)中多表現(xiàn)為數(shù)據(jù)形式。因此,在查找文字時(shí),需要考慮多種編碼情況的存在。各類編碼也會(huì)形成數(shù)據(jù)字典,文件搜索時(shí),則可根據(jù)數(shù)據(jù)字典進(jìn)行轉(zhuǎn)化,恢復(fù)所需要的文件內(nèi)容。
通過搜索算法、編碼轉(zhuǎn)換算法,查找硬盤內(nèi)的字符串時(shí),不限定字符串所在位置,提前確定關(guān)鍵字、字符串后,可開展文件搜索獲取證據(jù)。利用全文搜索,使匹配結(jié)果的精確性提升。以往取證時(shí),取證人員多是利用磁盤所具有的全文搜索功能對所需文件進(jìn)行查詢,搜索速度慢,近年來計(jì)算機(jī)取證中應(yīng)用全文搜索,有效提升數(shù)據(jù)獲取的速度。但是,硬盤中涉及的內(nèi)容較多,復(fù)雜煩瑣,針對大范圍獲取所需證據(jù)數(shù)據(jù)時(shí),此時(shí)利用全文搜索,可通過快速匹配,使數(shù)據(jù)檢索效率大幅提升[4]。
綜上所述,計(jì)算機(jī)取證工作不斷成熟完善,計(jì)算機(jī)取證技術(shù)也日趨成熟,根據(jù)文件保存與刪除情況,選擇最佳的數(shù)據(jù)恢復(fù)技術(shù),可使文件內(nèi)數(shù)據(jù)恢復(fù)速度加快,更好進(jìn)行數(shù)據(jù)挖掘,更有利于計(jì)算機(jī)犯罪取證工作開展。