簡(jiǎn)論計算機數據恢復技術(shù)在犯罪偵查中的應用

　　摘 要：隨著(zhù)科技的進(jìn)步與發(fā)展，在計算機犯罪案件中，犯罪分子往往破壞現場(chǎng)、毀滅證據，以逃脫罪責。數據恢復技術(shù)具有將被破壞的數據還原為原始數據的功能。把數據恢復技術(shù)應用于計算機犯罪偵查中，將為我們有效地打擊計算機犯罪開(kāi)辟一條新的途徑。

　　關(guān)鍵詞：計算機;數據恢復;計算機犯罪偵查;電子證據;數據比對

　　在計算機犯罪案件的偵查過(guò)程中，犯罪分子往往會(huì )想方設法將作案的痕跡抹掉，以逃脫罪責。由于電子設備的特點(diǎn)，犯罪分子在實(shí)施犯罪的過(guò)程中，很容易做到破壞現場(chǎng)、毀滅證據。同信息技術(shù)一起發(fā)展起來(lái)的數據恢復技術(shù)具有將被刪除或破壞的數據還原為原始數據的能力。掌握了數據恢復技術(shù)，我們就能夠恢復計算機犯罪案件的作案現場(chǎng)，找到犯罪分子的作案證據，從而為有效地打擊計算機犯罪提供技術(shù)保證。

　　首先，我們來(lái)了解一下計算機數據恢復的原理：從廣義上說(shuō)，駐留在計算機存儲介質(zhì)上的信息都是數據。任何使這些數據發(fā)生主觀(guān)意愿之外的變化都可視為破壞。數據恢復就是將遭到破壞的數據還原為正常數據的過(guò)程。當我們對磁盤(pán)等存儲介質(zhì)上的文件進(jìn)行刪除操作，或對磁盤(pán)進(jìn)行格式化時(shí)，磁盤(pán)上的數據并沒(méi)有真正從磁盤(pán)上消失，一般情況下，這些數據是可以恢復的。這是由存儲介質(zhì)的結構和數據在存儲介質(zhì)上的存放方式所決定的。一般要將硬盤(pán)分成主引導扇區MBR、操作系統引導扇區DBR、文件分配表FAT、根目錄區DIR和數據區Data等五部分。DATA區是真正作用上的存放數據的地方，位于DIR之后，占據硬盤(pán)的大部分空間。一般情況下，數據區的數據都是不會(huì )被破壞的，除非進(jìn)行了擦除或進(jìn)行了低級格式化。一個(gè)文件被刪除之后，它并不是真正地從磁盤(pán)上抹掉全部數據，而僅僅是把文件頭中的前兩個(gè)代碼(文件名的第一個(gè)字符，與文件內容無(wú)關(guān))做了修改，這一信息映射在文件分配表中，在分配表中做出該文件刪除的標記，而這個(gè)文件中的全部數據仍保存在磁盤(pán)上原來(lái)的簇中，除非被后來(lái)保存的其他數據覆蓋。既然文件被刪除后，其中的全部數據仍保存在磁盤(pán)上、文件分配表中也還存有它的信息，那么，這個(gè)文件就有恢復的機會(huì )。具體的做法是將文件頭找出來(lái)，恢復或重寫(xiě)原來(lái)的前兩個(gè)代碼，在文件分配表中重新映射一下，這個(gè)文件就被恢復了。

　　接下來(lái)我們再來(lái)看一下數據恢復的策略：一般地說(shuō)，常用的數據恢復策略有如下三種：利用系統自身的還原功能恢復數據、使用專(zhuān)業(yè)的數據恢復軟件以及軟件和硬件結合進(jìn)行數據恢復。

　　1、利用系統自身的還原功能恢復數據：有些操作系統和應用程序自身帶有數據還原和記錄用戶(hù)操作信息的功能，利用這些功能就可以達到數據恢復的目的。如操作系統的回收站就具有數據還原的功能，在通常的情況下，數據被刪除，常常只是刪除到回收站中，數據仍駐留在磁盤(pán)上。如果沒(méi)有清空回收站，就可以利用回收站的還原功能非常容易地將數據恢復到原來(lái)的位置。一些系統軟件和應用軟件中對已操作過(guò)的文件也有相應的記錄，如果能找到這些記錄，用不著(zhù)完全恢復原始數據就可以發(fā)現線(xiàn)索或認定犯罪事實(shí)。

　　2、使用專(zhuān)業(yè)的數據恢復軟件：在文件被刪除(并從回收站中清除)、FAT表或者磁盤(pán)根區被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁盤(pán)根目錄區不可讀或對磁盤(pán)格式化造成全部文件信息丟失的情況下，可以借助數據恢復軟件如EasyRecovery、FinalData和Norton Utility等進(jìn)行數據恢復。

　　3、軟件和硬件結合恢復數據的策略：當文件破壞比較嚴重或磁盤(pán)有物理?yè)p傷時(shí)，單純使用軟件恢復數據可能難以達到預期的效果。這種情況下，最好的策略是將數據恢復工具軟件和專(zhuān)門(mén)的數據恢復儀器結合起來(lái)進(jìn)行數據恢復。

　　最后，我們再來(lái)研究一下計算機犯罪偵查中使用數據恢復技術(shù)的原則與策略：1、要根據具體的情況合理選擇數據恢復技術(shù)和策略，選擇數據恢復的技術(shù)和策略時(shí)要考慮的因素有：犯罪現場(chǎng)中機器所使用的操作系統、網(wǎng)絡(luò )環(huán)境以及存儲介質(zhì)的種類(lèi)和結構等。不同的操作系統可能使用不同的文件系統，而不同的文件系統決定數據在存儲介質(zhì)上不同的存儲方式。不同的存儲介質(zhì)其數據的存放方式和存取方式也不盡相同，進(jìn)行數據恢復時(shí)也要考慮這個(gè)因素。2、進(jìn)行數據恢復前要做好數據備份。進(jìn)行數據恢復是要冒一定風(fēng)險的，因為如果犯罪嫌疑人做了手腳或自己操作不當，不但不能恢復數據還可能破壞要恢復的數據，造成無(wú)法挽回的損失。因此每一步操作都要有明確的目的，在進(jìn)行操作之前要考慮好做完該步驟之后能達到什么目的，可能造成什么后果，能不能回退到上一狀態(tài)。特別是對一些破壞性操作，一定要考慮周到。只要條件允許，就一定要在操作之前，進(jìn)行數據備份。3、進(jìn)行數據恢復的每一個(gè)步驟要嚴格依照法律規定的程序，確保得到的數據可以作為具有法律效力的電子證據，由于計算機中的數據具有可修改性、多重性、可滅失性和技術(shù)性等特點(diǎn)，任何一點(diǎn)失誤或疏漏都可能造成電子證據失去法律效力。因此在進(jìn)行數據恢復的過(guò)程中，要詳細記錄操作的策略、使用的工具(包括軟件和硬件)、操作的每一個(gè)步驟甚至包括存儲介質(zhì)運輸和保存

　　的過(guò)程與策略等，這對防止在法庭上辯護方試圖針對后來(lái)重新組裝的系統和介質(zhì)中儲存信息的合法性提出異議是十分必要的。4、與數據比對技術(shù)結合使用，在計算機犯罪偵查取證過(guò)程中應用數據恢復技術(shù)不同于一般的數據恢復，在一般情況下沒(méi)有必要追求百分之百的恢復，因為我們的目的是認定犯罪，只要得到的數據能夠充分證明犯罪事實(shí)就可以了。要確定這些數據同我們已經(jīng)掌握的數據具有同一性，就要利用數據比對技術(shù)進(jìn)行對比分析，通過(guò)數據比對技術(shù)能夠認定其統一性就行了。

　　綜上所述，隨著(zhù)信息技術(shù)的發(fā)展，計算機犯罪的技術(shù)性越來(lái)越強，獲取電子證據的難度越來(lái)越大，給警方的偵查破案工作帶來(lái)越來(lái)越大的壓力。如果將數據恢復技術(shù)應用于計算機犯罪偵查，可以為警方獲取電子證據開(kāi)辟一條新的途徑，這對有效地打擊計算機犯罪將會(huì )起

　　到重要的作用。利用一定的科學(xué)策略并遵循一定的工作程序將會(huì )取得更多的案件線(xiàn)索和各種電子證據，這對有效打擊計算機犯罪將會(huì )起到非常重要的作用。數據恢復技術(shù)還有待于做更深一步的研究，如，在處理有物理?yè)p壞的硬盤(pán)、查找文件碎片及對特殊文件的分析等方面取證進(jìn)展將對于計算機取證具有十分重要的作用。

　　參考文獻

　　[1] 戴士劍，涂彥暉編著(zhù).數據恢復技術(shù)[M]. 電子工業(yè)出版社， 2005

　　[2] 涂彥暉，戴士劍編著(zhù).數據安全與編程技術(shù)[M]. 清華大學(xué)出版社， 2005

　　[3] (美)DavidA.Solomom，(美)MarkE.Russinovich著(zhù)，詹劍鋒等譯.Windows 2000內部揭密[M]. 機械工業(yè)出版社， 2001

　　[4] 尤晉元等編著(zhù).Windows操作系統原理[M]. 機械工業(yè)出版社， 2001

　　[5] 姜靈敏編著(zhù).微機硬盤(pán)管理技術(shù)[M]. 人民郵電出版社， 1999

【簡(jiǎn)論計算機數據恢復技術(shù)在犯罪偵查中的應用】相關(guān)文章：

簡(jiǎn)論計算機多媒體技術(shù)應用03-23

簡(jiǎn)論計算機多媒體技術(shù)在影視后期制作中的應用論文12-07

簡(jiǎn)論計算機輔助審計在稅收征管審計中的應用11-18

數據加密技術(shù)在計算機網(wǎng)絡(luò )安全中的應用03-23

試論職務(wù)犯罪偵查中的人權保障程序12-11

簡(jiǎn)論高校專(zhuān)業(yè)技術(shù)課程教學(xué)中教學(xué)技藝的應用03-06

計算機存儲技術(shù)對GIS數據管理的應用論文03-08

網(wǎng)絡(luò )編碼中數據通信技術(shù)的應用論文03-17

論計算機數據在化工企業(yè)中的應用架構技11-18