摘 要:计算机取证中的数据恢复由于其特殊性,特别是在法律和技术上的特殊内容和要求,使其存在一定的局限性和难点,虽然与普通数据恢复在原理上相同,但还是有很大的不同。本文分析了数据恢复及其策略,计算机取证中数据恢复的特点和难点,数据恢复在计算机取证中的应用,为以后的计算机取证的公正合法性提供参考。
关键词:数据恢复;计算机取证;修复
中图分类号:TP399
信息化时代的到来,电脑的大面积普及,随之而来的很多利用计算机和网络的犯罪也越来越多,给人们的生活带来了很多负面影响,也造成了很多财产损失。为了更有效的打击犯罪分子,我们可以着手计算机和网络来找出打击罪犯的证据。然而由于数据存在易篡改、伪造、删除和破坏等理由,这使得很多有价值的数字证据被销毁,让罪犯逃离了法律的制裁。为了还原被销毁的证据,我们对计算机数据恢复进行了研究。可知,计算机数据存储在硬盘存储空间里,只要没有被新的数据覆盖,或者被覆盖的只有少部分,都可以通过数据恢复技术进行数据恢复。下面对数据恢复和计算机取证进行详细描述。
1 数据恢复及其策略
1.1 数据恢复
由于人为破坏或者是偶然因素,导致电子存储介质被破坏而不能从中提取数据,数据恢复技术则可以恢复部分或者全部的相关数据。其中,电子存储介质指的是硬盘、光感设备、移动介质和磁性卷片等。造成数据不能读取的理由可能是软件理由,可能是计算机病毒破坏了数据,可能是电力和机械设备存在故障,可能是意外情况引起的。但是只要介质没有出现严重受损的理由,只是删除数据或硬盘发生故障,都不会完全破坏数据,恢复数据的可能性很大。但当介质严重受损或数据被完全覆盖时,无法恢复数据。硬件出现异常,需要对硬件进行修复,有时可以更换故障零件,有时也可以更换制约电路来进行修复工作。对于操作失误而删除的或者是格式化而造成的数据损失,大部分数据还是存在的,只要连接环节可以通过软件来重新恢复,就可以重新读取数据。
1.2 数据恢复策略
(1)格式化文件的数据恢复。文件格式化后会自动建立新的DBR、FAT表和FAT表备份,清除多余的FAT项和根目录簇,此时并没有清空数据区。数据恢复要依靠FAT,一旦重建或者丢失,将很难恢复被覆盖的数据文件和断断续续存储的数据文件,而恢复连续的数据文件却是可以实现的,因为新文件覆盖部分只是分区前面部分的空间,而不会覆盖后面存储空间,可以恢复后半部分的内容。
(2)删除文件的数据恢复。删除的文件可以分为物理删除和逻辑删除,其中逻辑删除更容易得到恢复。逻辑删除只是在FAT文件中将要删除的内容标记上,没有完全删除文件,可以通过恢复删除标记来进行数据恢复。物理删除则有多个层面,第一种只是在操作系统里对磁盘文件进行相应字节的标记来实现删除,却没有对数据的存储空间进行清除,也可以通过恢复删除标记来进行数据恢复,但如果已经被其它新数据覆盖,则实际数据也已经被损坏,无法恢复。第二种是在FAT里清除了文件占用的簇号记录来删除数据记录的,实际文件存储空间里还是保留着的,可以通过数据恢复软件恢复。
(3)损坏分区表的数据恢复。记录扇区可能在人为破坏或者计算机、网络作用下发生错误,引起分区表的损坏、代码的丢失和结束标志的损坏等,但不影响数据存储区,很容易就可以恢复。
2 计算机取证中数据恢复的特点和难点
2.1 计算机取证中数据恢复的特点
(1)合法性。计算机取证必须符合法律规范,作为证据的数据恢复必须严格遵守计算机犯罪现场勘查与电子证据检查规则、电子数据鉴定规则进行,改过程是一个电子证据的取证过程,要求人员必须客观、公正和严谨。
(2)发现和提取更广泛。计算机取证中的数据恢复不仅是对由于计算机病毒、误操作、程序错误等的数据丢失进行恢复,还要针对其他情况进行研究,如利用专业工具进行人为的擦除数据。计算机取证要对一切可以作为证据的数据进行发现和提取,特别是对一些隐藏起来的数据的提取,如在未分配空间和Slack空间里的数据进行提取,也要对一些加密的数据或者人为损坏的存储介质中的数据进行发现和提取。
(3)内容更广泛。由于计算机取证是为侦查工作提供线索,也是为诉讼提供证据,因此要恢复的数据也更多。只要是可以作为证据的,并可以证明犯罪事实的,即使只有一点内容,一小片文件碎片也值得技术人员花时间和精力去恢复。且计算机取证还要恢复文件的各种属性信息来辅助案件,是重要的证据信息,必须进行提取。
2.2 计算机取证中数据恢复的难点
计算机取证中数据恢复的难点主要产生的理由由两方面组成,一是犯罪分子或相关嫌疑人为了逃避犯案证据而进行的故意隐藏和销毁证据的主观理由,二是由于计算机硬件设备或软件设备出现故障造成的数据丢失、损坏,如病毒对计算机的攻击等。具体难点有一下几个。
(1)文件的定位。计算机里的数据存储都是以文件形式来存放的,存储方式是文件数据和文件记录共同完成的。每个文件和文件夹都会存在一个文件记录,由文件记录来存储文件数据的存储位置和文件的各项属性信息。文件管理系统则是用来管理和存储文件的系统,决定了文件的存储路径和寻找方式。不论哪种系统,只要文件隐藏了或丢失了,最难的就是对文件进行定位,明确其存储位置。但文件存储路径被覆盖,也就找不到存储位置了。
(2)文件损坏。文件损坏可能使得已经恢复的文件无法正常打开,或者是打开文件后不能正常显示内容。文件里可能有文档文件,也可能是一些图片、视频等,不能正常打开,可能是部分文件被覆盖了,也可能是进行数据恢复时,把不同的文件进行了混合;不能正常显示,可能是文件通过加密工具处理不能用普通打开方式,否则会显示乱码。
(3)文件碎片化。由于文件会不断被删除和增加,在文件系统中对空间的合理利用会产生很多文件碎片,这会产生不连续的文件的物理存储位置,可能有两个或多个位置用于存储该文件。删除和添加操作越频繁,该区域内的文件产生的碎片也就越多,有的更是会存在数百个碎片,而碎片又没有文件类型标识,很难进行文件长度的确定和碎片的查看。
(4)文件被覆盖。文件被覆盖理论上有依据说是可以实现的,但在实际应用中还没有被证实可行。认为可行的理论依据有:新的数据很难十分精准的恰好写在原有数据上,即便是多次的随机覆盖,原有数据还是可能存在的,还是可以通过技术来重新寻找出来的;由于磁盘的磁场作用会让存储数据的介质朝着特定的方向磁化,在磁盘中写入新的数据,原有的数据介质不能完全摆脱磁性强度影响,也是可以通过技术找出原始数据来的。
3 结束语
连续存储的文件,将大大降低数据恢复难度,而不连续存储的文件则会加大难度。但数据恢复不存在绝对性,数据恢复技术如何对它有一定影响,但还是要结合实际情况,如现有的擦除痕迹软件就可以实现无数次的随即覆盖,有可能覆盖原始数据,但是要付出很多的时间成本。计算机取证中的数据恢复必须结合人员操作和数据恢复软件,并在未来的发展中,要求不断深入研究文件系统的存储结构,结合大量的实践经验,对犯罪数据进行最快速的恢复,来证明嫌疑人的犯罪事实,保证受害者的利益,也防止更多的人受到伤害。
参考文献:
[1]刘晓华.计算机犯罪取证技术及其应用[D].兰州大学,2006.
[2]黄宁宁,苏红帆.计算机取证系统核心技术分析[J].广西科学院学报,2006(04).
[3]张明旺.计算机取证中数据恢复技术探讨[J].现代计算机(专业版),2012(22).
[4]游君臣,彭尚源.基于数据恢复技术的计算机取证应用[J].甘肃科技,2005(09).
作者单位:河南省禹州市检察院,河南禹州 461670
分析对数据恢复与计算机取证
更新时间:2024-04-04
作者:用户投稿
本站原创
本站原创
点赞:5752 浏览:20072