簡論計算機數據恢復技術在犯罪偵查中的應用
摘 要:隨著科技的進步與發展,在計算機犯罪案件中,犯罪分子往往破壞現場、毀滅證據,以逃脫罪責。數據恢復技術具有將被破壞的數據還原為原始數據的功能。把數據恢復技術應用于計算機犯罪偵查中,將為我們有效地打擊計算機犯罪開辟一條新的途徑。
關鍵詞:計算機;數據恢復;計算機犯罪偵查;電子證據;數據比對
在計算機犯罪案件的偵查過程中,犯罪分子往往會想方設法將作案的痕跡抹掉,以逃脫罪責。由于電子設備的特點,犯罪分子在實施犯罪的過程中,很容易做到破壞現場、毀滅證據。同信息技術一起發展起來的數據恢復技術具有將被刪除或破壞的數據還原為原始數據的能力。掌握了數據恢復技術,我們就能夠恢復計算機犯罪案件的作案現場,找到犯罪分子的作案證據,從而為有效地打擊計算機犯罪提供技術保證。
首先,我們來了解一下計算機數據恢復的原理:從廣義上說,駐留在計算機存儲介質上的信息都是數據。任何使這些數據發生主觀意愿之外的變化都可視為破壞。數據恢復就是將遭到破壞的數據還原為正常數據的過程。當我們對磁盤等存儲介質上的文件進行刪除操作,或對磁盤進行格式化時,磁盤上的數據并沒有真正從磁盤上消失,一般情況下,這些數據是可以恢復的。這是由存儲介質的結構和數據在存儲介質上的存放方式所決定的。一般要將硬盤分成主引導扇區MBR、操作系統引導扇區DBR、文件分配表FAT、根目錄區DIR和數據區Data等五部分。DATA區是真正作用上的存放數據的地方,位于DIR之后,占據硬盤的大部分空間。一般情況下,數據區的數據都是不會被破壞的,除非進行了擦除或進行了低級格式化。一個文件被刪除之后,它并不是真正地從磁盤上抹掉全部數據,而僅僅是把文件頭中的前兩個代碼(文件名的第一個字符,與文件內容無關)做了修改,這一信息映射在文件分配表中,在分配表中做出該文件刪除的標記,而這個文件中的全部數據仍保存在磁盤上原來的簇中,除非被后來保存的其他數據覆蓋。既然文件被刪除后,其中的全部數據仍保存在磁盤上、文件分配表中也還存有它的信息,那么,這個文件就有恢復的機會。具體的做法是將文件頭找出來,恢復或重寫原來的前兩個代碼,在文件分配表中重新映射一下,這個文件就被恢復了。
接下來我們再來看一下數據恢復的策略:一般地說,常用的數據恢復策略有如下三種:利用系統自身的還原功能恢復數據、使用專業的數據恢復軟件以及軟件和硬件結合進行數據恢復。
1、利用系統自身的還原功能恢復數據:有些操作系統和應用程序自身帶有數據還原和記錄用戶操作信息的功能,利用這些功能就可以達到數據恢復的目的。如操作系統的回收站就具有數據還原的功能,在通常的情況下,數據被刪除,常常只是刪除到回收站中,數據仍駐留在磁盤上。如果沒有清空回收站,就可以利用回收站的還原功能非常容易地將數據恢復到原來的位置。一些系統軟件和應用軟件中對已操作過的文件也有相應的記錄,如果能找到這些記錄,用不著完全恢復原始數據就可以發現線索或認定犯罪事實。
2、使用專業的數據恢復軟件:在文件被刪除(并從回收站中清除)、FAT表或者磁盤根區被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁盤根目錄區不可讀或對磁盤格式化造成全部文件信息丟失的情況下,可以借助數據恢復軟件如EasyRecovery、FinalData和Norton Utility等進行數據恢復。
3、軟件和硬件結合恢復數據的策略:當文件破壞比較嚴重或磁盤有物理損傷時,單純使用軟件恢復數據可能難以達到預期的效果。這種情況下,最好的策略是將數據恢復工具軟件和專門的數據恢復儀器結合起來進行數據恢復。
最后,我們再來研究一下計算機犯罪偵查中使用數據恢復技術的原則與策略:1、要根據具體的情況合理選擇數據恢復技術和策略,選擇數據恢復的技術和策略時要考慮的因素有:犯罪現場中機器所使用的操作系統、網絡環境以及存儲介質的種類和結構等。不同的操作系統可能使用不同的文件系統,而不同的文件系統決定數據在存儲介質上不同的存儲方式。不同的存儲介質其數據的存放方式和存取方式也不盡相同,進行數據恢復時也要考慮這個因素。2、進行數據恢復前要做好數據備份。進行數據恢復是要冒一定風險的,因為如果犯罪嫌疑人做了手腳或自己操作不當,不但不能恢復數據還可能破壞要恢復的數據,造成無法挽回的損失。因此每一步操作都要有明確的目的,在進行操作之前要考慮好做完該步驟之后能達到什么目的,可能造成什么后果,能不能回退到上一狀態。特別是對一些破壞性操作,一定要考慮周到。只要條件允許,就一定要在操作之前,進行數據備份。3、進行數據恢復的每一個步驟要嚴格依照法律規定的程序,確保得到的數據可以作為具有法律效力的電子證據,由于計算機中的數據具有可修改性、多重性、可滅失性和技術性等特點,任何一點失誤或疏漏都可能造成電子證據失去法律效力。因此在進行數據恢復的過程中,要詳細記錄操作的策略、使用的工具(包括軟件和硬件)、操作的每一個步驟甚至包括存儲介質運輸和保存
的過程與策略等,這對防止在法庭上辯護方試圖針對后來重新組裝的系統和介質中儲存信息的合法性提出異議是十分必要的。4、與數據比對技術結合使用,在計算機犯罪偵查取證過程中應用數據恢復技術不同于一般的數據恢復,在一般情況下沒有必要追求百分之百的恢復,因為我們的目的是認定犯罪,只要得到的數據能夠充分證明犯罪事實就可以了。要確定這些數據同我們已經掌握的數據具有同一性,就要利用數據比對技術進行對比分析,通過數據比對技術能夠認定其統一性就行了。
綜上所述,隨著信息技術的發展,計算機犯罪的技術性越來越強,獲取電子證據的難度越來越大,給警方的偵查破案工作帶來越來越大的壓力。如果將數據恢復技術應用于計算機犯罪偵查,可以為警方獲取電子證據開辟一條新的途徑,這對有效地打擊計算機犯罪將會起
到重要的作用。利用一定的科學策略并遵循一定的工作程序將會取得更多的案件線索和各種電子證據,這對有效打擊計算機犯罪將會起到非常重要的作用。數據恢復技術還有待于做更深一步的研究,如,在處理有物理損壞的硬盤、查找文件碎片及對特殊文件的分析等方面取證進展將對于計算機取證具有十分重要的作用。
參考文獻
[1] 戴士劍,涂彥暉編著.數據恢復技術[M]. 電子工業出版社, 2005
[2] 涂彥暉,戴士劍編著.數據安全與編程技術[M]. 清華大學出版社, 2005
[3] (美)DavidA.Solomom,(美)MarkE.Russinovich著,詹劍鋒等譯.Windows 2000內部揭密[M]. 機械工業出版社, 2001
[4] 尤晉元等編著.Windows操作系統原理[M]. 機械工業出版社, 2001
[5] 姜靈敏編著.微機硬盤管理技術[M]. 人民郵電出版社, 1999
【簡論計算機數據恢復技術在犯罪偵查中的應用】相關文章:
簡論計算機多媒體技術應用03-23
簡論計算機輔助審計在稅收征管審計中的應用11-18
數據加密技術在計算機網絡安全中的應用03-23
試論職務犯罪偵查中的人權保障程序12-11
簡論高校專業技術課程教學中教學技藝的應用03-06
計算機存儲技術對GIS數據管理的應用論文03-08
網絡編碼中數據通信技術的應用論文03-17
論計算機數據在化工企業中的應用架構技11-18
- 相關推薦