關(guān)于計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)關(guān)鍵技術(shù)研究與分析

李越 衡磊司法鑒定所

計(jì)算機(jī)犯罪是新型犯罪方式，技術(shù)要求較高，多是以數(shù)字形式在網(wǎng)絡(luò)計(jì)算機(jī)上進(jìn)行存儲(chǔ)傳輸，產(chǎn)生的電子證據(jù)會(huì)潛藏在海量的正常數(shù)據(jù)之中，極易篡改、銷毀，而取證提取的難度則較大。計(jì)算機(jī)犯罪者會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)中遺留證據(jù)，取證則是通過對網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行識(shí)別[1]，并將獲取的信息證據(jù)保存，上交認(rèn)證。計(jì)算機(jī)取證則是通過掃描痕跡，對計(jì)算機(jī)網(wǎng)絡(luò)入侵過程進(jìn)行重建，將犯罪者的犯罪信息還原，作為有效的訴訟證據(jù)提交法庭。數(shù)據(jù)恢復(fù)作為計(jì)算機(jī)取證中的關(guān)鍵性技術(shù)，主要是包括數(shù)據(jù)恢復(fù)技術(shù)、磁盤搜索、文件格式分析等，上述技術(shù)方式的合理選擇可更好取證。因此，本文就計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)的關(guān)鍵技術(shù)進(jìn)行深入探析。

一、計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)的應(yīng)用

（一）磁盤數(shù)據(jù)恢復(fù)

取證過程中需要進(jìn)行丟失數(shù)據(jù)還原恢復(fù)工作，主要是針對硬盤損壞、操作失誤等原因造成的數(shù)據(jù)丟失，可通過數(shù)據(jù)恢復(fù)進(jìn)行補(bǔ)救。磁盤數(shù)據(jù)恢復(fù)是計(jì)算機(jī)數(shù)據(jù)恢復(fù)中的重要內(nèi)容。磁盤作為計(jì)算機(jī)中的重要存儲(chǔ)裝置，包括硬盤與軟盤兩類。提前進(jìn)行硬盤分區(qū)，需要對硬盤進(jìn)行分區(qū)，主要?jiǎng)澐譃橹鞣謪^(qū)與擴(kuò)展分區(qū)，之后方可進(jìn)行硬盤內(nèi)數(shù)據(jù)恢復(fù)，更有利于開展系統(tǒng)內(nèi)讀寫操作。

（二）NTFS數(shù)據(jù)恢復(fù)

若刪除一個(gè)文件在NTFS文件系統(tǒng)內(nèi)，不僅需要?jiǎng)h除文件，也需將文件所述文件夾內(nèi)的目錄項(xiàng)刪除，此時(shí)INDX記錄則不會(huì)有數(shù)據(jù)資料在系統(tǒng)內(nèi)遺留存在，且后續(xù)數(shù)據(jù)也可將所刪除的目錄進(jìn)行覆蓋，在空閑目錄上進(jìn)行操作時(shí)，定位目錄項(xiàng)難度較大，需要花費(fèi)較長時(shí)間才可以實(shí)現(xiàn)數(shù)據(jù)區(qū)的再分配。MFT中有所需文件的儲(chǔ)存痕跡，TNDX記錄無此情況。磁盤被格式化后，數(shù)據(jù)仍會(huì)存留痕跡，清除并不徹底。存儲(chǔ)索引表內(nèi)，文件存放是否具備連續(xù)性，直接決定文件內(nèi)數(shù)據(jù)是否可完全恢復(fù)[2]。NTFS文件系統(tǒng)內(nèi)進(jìn)行數(shù)據(jù)恢復(fù)操作時(shí)，需要先將分區(qū)定位打開，將MFT內(nèi)相關(guān)存儲(chǔ)信息，對文件所具備的屬性進(jìn)行明確，判斷文件的完整性。文件若完整，則可在新文件內(nèi)直接導(dǎo)入，若信息已經(jīng)被其他文件覆蓋，則無法恢復(fù)。

（三）FAT32數(shù)據(jù)恢復(fù)

Windows系統(tǒng)中若文件刪除至回收站內(nèi)，不會(huì)刪除文件，而是改變父目錄。若想徹底刪除文件，可通過將回收站內(nèi)文件清空，或者按住“shift鍵”+“delete鍵”，可達(dá)到刪除目的，將文件刪除后也可恢復(fù)。徹底刪除文件后，F(xiàn)AT32系統(tǒng)并未執(zhí)行清零操作，硬盤中儲(chǔ)存的數(shù)據(jù)仍有保留，此時(shí)可進(jìn)行文件恢復(fù)。文件刪除后，內(nèi)容不變，文件占用簇被其他文件所使用，一旦唄覆蓋則會(huì)導(dǎo)致文件徹底消失，此時(shí)無法進(jìn)行恢復(fù)操作。若沒有相鄰?fù)壩募阉鲿r(shí)，上下范圍內(nèi)進(jìn)行查詢，一旦發(fā)現(xiàn)非相鄰?fù)壩募A目錄項(xiàng)未被刪除，可重新建立文件，主要是以起始位置簇的高16位對刪除文件簇進(jìn)行重建[3]。根據(jù)被刪除的相鄰?fù)壩募?，文件父目錄?yīng)以起始高16位進(jìn)行重建，在磁盤內(nèi)查詢。若闡述的文件FDT記錄項(xiàng)被覆蓋，則無法通過上述方式進(jìn)行修復(fù)。修復(fù)時(shí)需要轉(zhuǎn)變思路，恢復(fù)數(shù)據(jù)值，也可尋找具有明顯特征的字符串進(jìn)行恢復(fù)操作。

二、磁盤全文搜索取證技術(shù)

（一）扇區(qū)讀寫技術(shù)

硬盤文件內(nèi)空間分配單位最小是簇，多為4KB，文件空間占用相比于理論值較多，空間內(nèi)文件刪除后會(huì)留下痕跡，因此，通過全文搜索，尋找此類文件的盲區(qū)，可找到仍在時(shí)效內(nèi)的文件資料。

（二）快速搜索算法

DF算法是硬盤內(nèi)的常用匹配算法，操作較為簡單，優(yōu)化KMP算法，BM算法在進(jìn)行匹配時(shí)，方向是從右往左，此方向與KMP算法不同，可有效避免相互對。BM算法中采用兩條啟發(fā)性規(guī)則，分別為壞字符規(guī)范與好后綴規(guī)則。

（三）字符串編碼轉(zhuǎn)換

磁盤中文字的保存可通過不同步編碼實(shí)現(xiàn)，全文搜索系統(tǒng)中多表現(xiàn)為數(shù)據(jù)形式。因此，在查找文字時(shí)，需要考慮多種編碼情況的存在。各類編碼也會(huì)形成數(shù)據(jù)字典，文件搜索時(shí)，則可根據(jù)數(shù)據(jù)字典進(jìn)行轉(zhuǎn)化，恢復(fù)所需要的文件內(nèi)容。

（四）全文搜索取證系統(tǒng)

通過搜索算法、編碼轉(zhuǎn)換算法，查找硬盤內(nèi)的字符串時(shí)，不限定字符串所在位置，提前確定關(guān)鍵字、字符串后，可開展文件搜索獲取證據(jù)。利用全文搜索，使匹配結(jié)果的精確性提升。以往取證時(shí)，取證人員多是利用磁盤所具有的全文搜索功能對所需文件進(jìn)行查詢，搜索速度慢，近年來計(jì)算機(jī)取證中應(yīng)用全文搜索，有效提升數(shù)據(jù)獲取的速度。但是，硬盤中涉及的內(nèi)容較多，復(fù)雜煩瑣，針對大范圍獲取所需證據(jù)數(shù)據(jù)時(shí)，此時(shí)利用全文搜索，可通過快速匹配，使數(shù)據(jù)檢索效率大幅提升[4]。

三、結(jié)束語

綜上所述，計(jì)算機(jī)取證工作不斷成熟完善，計(jì)算機(jī)取證技術(shù)也日趨成熟，根據(jù)文件保存與刪除情況，選擇最佳的數(shù)據(jù)恢復(fù)技術(shù)，可使文件內(nèi)數(shù)據(jù)恢復(fù)速度加快，更好進(jìn)行數(shù)據(jù)挖掘，更有利于計(jì)算機(jī)犯罪取證工作開展。