1、1关于电子物证检验鉴定中数据恢复技术探析摘 要:我国的案件侦查坚持证据原则,但是随着犯罪分子的反侦察意识的提高,犯罪分子故意毁灭犯罪证据,给案件的侦破增加了难度,为给案件的侦破提供技术支持,积极发展数据恢复技术,努力保证数据的完整性,对电子物证检验鉴定工作具有重要意义。电子物证检验鉴定中数据恢复技术分为基于硬件的数据恢复和基于软件的数据恢复两个方面,通过技术手段将被删除的数据进行最大程度的恢复,还原违法犯罪事实本来面目,更好地打击违法犯罪,维护社会稳定。 关键词:电子物证;检验鉴定;数据恢复;网络犯罪 随着经济的发展和网络技术的发展,网络犯罪的发生频率大幅度增加,犯罪分子利用计算机技术侵犯个人
2、和企业的合法经济权益,犯罪后将犯罪的数据进行删除,使证据灭失,给案件的侦破增加了难度,如何根据具体的案件事实,进行数据的恢复,将极大有利于案件的侦破,网络犯罪相较于传统犯罪具有隐蔽性,如何在物证检验鉴定技术实现创新,以数据恢复为例,探究电子物证检验鉴定技术对于犯罪侦破的巨大意义。1 数据恢复技术的概述 1.1 数据恢复的技术定义 数据的灭失基于物理的硬件损坏或者软件的操作,数据恢复是指利用各种技术手段,对原本储存在电子设备中的电子信息和电子数据进行2恢复的过程。因为数据灭失的原因不同,数据灭失的原因可能是硬件损坏、人为误操作、病毒入侵、黑客攻击或者操作系统本事的故障,我们这里提到的数据灭失是犯
3、罪分子为了毁灭犯罪证据对数据进行的删除,所以数据灭失的原因就排除了误操作和操作系统本身的故障,原因是人为对硬件和软件的操作导致数据灭失,基于此,数据恢复是利用技术手段对人为删除数据进行恢复的过程。 1.2 数据恢复的对象 因为数据依存于存储介质,所以数据恢复的对象是各种能储存信息的介质,包括计算机硬盘、内存和其他存储介质。虽然在实际的网络犯罪过程中,犯罪分子会将某些自我建立的局域网的信息进行删除,但是因为本身信息需要存储介质的物质基础,所以我们将数据恢复的对象定性为一切存储犯罪信息的存储介质。 1.3 数据恢复的重要性 网络犯罪的猖獗的外部环境即网络技术的发展和智能手机的普及,犯罪分子利用技术
4、手段对个人和企业的经济利益进行侵犯,为了隐蔽犯罪事实,会对犯罪时的电子数据和电子信息进行删除,这些信息能够反映出犯罪分子的手法和犯罪手段,利用这些数据能够掌握犯罪分子的具体犯罪动态和犯罪事实,有利于案件的侦破;数据灭失意味着证据丧失,我国坚持证据原则,无证据则无法对犯罪分子做出判决;加之犯罪分子的反侦察意识提高,犯罪分子对犯罪痕迹进行毁灭,甚至能使侦查人员陷入误区,通过数据恢复这一技术手段,能够提高侦查效率。 2 数据恢复的方法 3犯罪分子对于数据的删除主要是针对存储介质破坏和通过软件对数据进行删除,数据删除的方法不同对应数据的恢复方法也不同,我国的电子物证检验鉴定中的数据恢复技术通常可以分为
5、两类,基于硬件的数据恢复和基于软件的恢复。 2.1 基于硬件的数据恢复 犯罪分子为了毁灭犯罪证据,对于记录犯罪行为的电子信息进行毁灭,通常会对存储介质进行毁坏。技术人员会根据实际情况对于被破坏的存储介质进行维修或者数据的导出。如果存储介质的被破坏程度较低,工作人员会对其进行修护,保证存储介质的正常使用,从而进行信息的有效提取;如果储存介质的被破坏程度较高,工作人员无法使其正常使用,但是可以通过对关键位置的更换,实现信息的导出;虽然两者都是基于硬件的恢复,区别在于因为存储介质的被破坏程度不同,通过修复或者更换部件,使其实现信息的提取。基于硬件的数据恢复是建立在存储介质可以进行修复的基础上的,如果
6、存储介质被直接灭失,数据是无法恢复的。 2.2 基于软件的数据恢复 犯罪分子为了毁灭犯罪证据,会人为操作导致磁盘格式化、文件删除、分区表信息受损,基于此为了保证数据的完整性,实现软件的数据恢复。电子物证检验鉴定中数据恢复通过技手段,实现存储介质的信息恢复,为侦查人员提供技术支持,提高案件的侦破效率。软件的数据恢复是建立在存储介质没有受到物理破坏的基础的前提下,对人为删除的数据进行技术恢复的过程,相较于硬件恢复,基于软件的数据恢复的成4功率较高,因为存储介质没有受到物理破坏保证了数据的客观存在,人为的删除某种意义也只是数据的形式发生变化。 随着网络技术的发展,软件恢复工具很多,但我国公安部门认可
7、的具有法律效力的软件恢复工具有 EasyRecovery、Tooltit、Encase 等,基于软件的数据恢复主要是应用公安部门认可的具有法律效力的软件恢复工具,保证了程序的合法性。 在现实情况下的网络犯罪中,犯罪分子对于证据的毁灭不只是停留在单纯的硬件损坏及人为删除数据,而是在人为删除数据后对存储介质进行物理破坏,犯罪分子的反侦察意识和能力增强,这给电子物证检验鉴定中数据恢复增加了难度,基于这样的情况,我们需要根据实际情况,进行技术的创新,实现数据的恢复。 3 常用的数据恢复工具功能及比较 数据表现形式多种多样,具体表现为声音、文字、图片、音频等形式,犯罪分子毁灭数据,电子物证检验鉴定中数据
8、恢复中的核心技术在于基于软件的数据恢复,随着网络技术的发展,数据恢复工具的种类多种多样,根据本身底层采用的算法不同,所以数据恢复的差异很大,在实际操作过程中,对于数据的恢复需要采用多种数据恢复工具,对数据进行全方位的取证和分析,保证恢复后数据的完整性。我们选用常用的数据恢复软件 EasyRecovery、FinalData、PhotoRecovery 来进行比较,探究常用的数据恢复功能及比较。 3.1 EasyRecovery EasyRecovery 是一种较为常用的软件恢复工具,它可以自定义恢复5数据,通过内存中重建文件分区来实现数据的转移,在实际的电子物证检验鉴定中数据恢复,按照簇对存储
9、介质进行扫描,在实际过程中,整个存储介质中并不是全部都是与案件相关的电子数据或电子信息,我们为了提高数据恢复的效率和准确率,可以采用 EasyRecovery 对指定的文件名和文件类型进行恢复,通过对恢复给定条件上的限制,未来的电子物证检验鉴定中数据恢复应坚持专门化和高效化,EasyRecovery 的优势在于可以实现自定义恢复保证数据恢复的准确性和效率。 3.2 FinalData FinalData 相较于 EasyRecovery 而言,专业性降低,但是操作性提高,采用 Windows 资源管理器的排布模式,交互界面友好,本身支持FAT16/32 和 NTFS,能够实现完全删除的数据和目
10、录的恢复,本身的运行速度快捷,在实际犯罪中,因为犯罪分子故意隐蔽证据,需要对全部数据进行恢复后,进行甄选,对于全部数据恢复时,一般采用 FinalData进行检验。 3.3 PhotoRecovery PhotoRecovery 专门性较强,专门用于图片的恢复,用于恢复存储介质中的图片,该软件能够对即将恢复的图片进行缩略图预览,直观形象查看即将恢复的图片,在图片的恢复中优先采用 PhotoRecovery。 4 结语 随着网络技术的发展,网络犯罪猖獗,犯罪分子的反侦察意识提高,对犯罪证据进行毁灭,使反映其犯罪行为的电子数据和电子信息灭失,为了保证案件的顺利侦破,发展电子物证检验鉴定中数据恢复技术,针6对已灭失的数据进行恢复,还原违法犯罪事实本来面目,对维护社会和谐和稳定意义重大。 参考文献 1 胡丹.电子物证检验鉴定中数据恢复技术探讨J.科学导报,2015, (19):220-220. 2 许怡红.电子物证检验鉴定的数据恢复技术分析J.法制博览,2016, (2):139. 3 李娜,王牧.电子物证检验常见数据恢复工具比较研究J.科技展望,2014, (13):5-5. 作者简介 先以丁?牙生(1980) ,男,新疆喀什市人,新疆生产建设兵团第三师公安局网安支队,研究方向:电子物证检验鉴定技术。
