【 摘 要 】 网络诞生和普及以后，产生了形形色色的计算机网络犯罪，计算机系统为新的犯罪提供了机会、场所和手段。伴随着计算机科学技术的发展，计算机网络犯罪问题将日益突出，计算机网络犯罪带来的危害也将越来越大。在计算机网络犯罪案件中，网络犯罪的证据和线索极易遭到破坏、数据极易发生变化，要想取到证据就更不容易。数据恢复技术具有将被破坏的数据还原为原始数据的功能。所以，在进行数据、软件和存储介质的勘查时，应注意备份，恢复一点，备份一点，以获取有力的证据。利用数据恢复技术发现侦查线索、获取犯罪证据成为侦破计算机网络犯罪案件的一项重要技术手段，为有效地打击计算机网络犯罪开辟了一条新的途径。

【 关键词 】 模拟审计；云计算；虚拟化；服务架构

1 引言

由于电子设备的特点，犯罪分子在实施犯罪的过程中，很容易通过网络技术破坏犯罪的证据和线索。一些技术高超，尤其是那些对网络操作系统非常熟悉的犯罪分子在实施完犯罪行为之后，常常会为自己“打扫”现场，对数据进行破坏删除，以销毁证据，逃避法律的制裁。此外，存储有犯罪证据的磁盘等物理介质，也极易遭到强磁场等物理原因的破坏。数据恢复技术具有将被删除或破坏的数据还原为原始数据的能力。掌握了数据恢复技术，恢复计算机网络犯罪案件的作案现场，找到犯罪分子的作案证据，才能为有效地打击计算机网络犯罪提供技术保证。在我们熟知的马加爵一案的侦破中，数据恢复技术就曾立下汗马功劳。

2 计算机网络犯罪的定义与犯罪现场的特点

2.1 计算机网络犯罪的定义

计算机网络犯罪是指使用网络技术进行的各种犯罪行为，它既包括针对网络的犯罪，即把网络设备作为作案对象的犯罪，如非法入侵、网络病毒、网络炸弹和破坏网络信息系统等；也包括利用网络犯罪，即以网络系统及其设备作为作案工具的犯罪，如利用网络散播反动言论、聚众闹事、发布黄色信息和盗窃、贪污等。前者系因网络产生的新的犯罪类型，可称为纯粹意义的网络犯罪，又称为狭义的网络犯罪；后者系用网络实施的传统的犯罪类型，可称为与网络相关的犯罪，又称为广义网络犯罪。

2.2 计算机网络犯罪现场的特点

一般来说，刑侦人员进行侦查办案的时候，侦查犯罪现场是非常基础、非常重要的工作，许多用于破案的侦破线索以及用于起诉罪犯的犯罪证据都是在犯罪现场发现的。犯罪现场对于侦查工作是如此重要，而信息网络跨的地域非常广，经常会有一些犯罪跨越不同的国家和地区，所以网络系统犯罪的现场应该包括犯罪分子实施犯罪所使用的终端、被害系统网络和犯罪分子在实施犯罪的过程中所发出的控制信息经过的节点。

2.2.1犯罪现场的时间、空间跨越性强

网络犯罪现场的时间、空间跨越性强，因为网络犯罪分子常常会跨过不同的网络，甚至经常跨过不同国家的网络来实施犯罪。当今互联网几乎已经连到了世界的各个角落，只要有一台连到了Internet的计算机，就可以很方便地浏览任何一台联网主机的信息。在网络给我们带来极大方便的同时，也给犯罪分子实施犯罪创造了极为便利的条件。

一些技术高超的不轨分子可能坐在家里就把远在万里之外的一些极为重要的系统给“黑”了。对于高明的黑客而言，通过网络侵入异地的银行系统，把钱转到本地自己的账户上也不难办到。这说明了网络犯罪现场的空间跨越性。

一些犯罪分子可能会编写程序，让该程序在未来的某一个时间执行。当到了预定的时间，这些程序就会自动触发并执行，产生一些非常严重的后果。最明显的就是计算机病毒，病毒被编写出来后，通过网络传播，不断地感染其他系统。一些病毒常在某些特定的日子发作，破坏计算机的软、硬件和各种重要信息。比如圣诞CIH病毒，逢12月25日爆发。可见，网络系统犯罪的时间跨越性很强。

2.2.2犯罪证据易遭破坏

网络犯罪中的证据主要是以电子数据形式存在的证据，是指依法收集的，与案件有联系的，能以其储存的文字、数据、图像等证明案件真实情况的各种电子化数据记录。

在网络犯罪中，犯罪分子所用的犯罪手段可能就是通过网络侵入其他系统，然后对一些程序或其他文件进行修改。司法机关所能够用来起诉他们的证据可能仅是一些他们登录系统或修改文件时系统对其行为所记录下来的日志。

一旦犯罪分子取得系统的控制权之后，他们就会想方设法把那些可能记录其罪行的日志进行一些他们认为需要的并且安全的修改。除此之外，由于犯罪证据是以数字的形式存在于磁盘等物理介质上，也极易受到强磁场等物理原因的破坏。

3 数据的备份与恢复

3.1 数据的备份

数据备份，就是创建数据的副本。如果原始数据被删除、覆盖或由于故障无法访问，可以使用副本恢复丢失或损坏的数据。

一般情况下，用户数据和重要的系统数据都需要备份，所以，备份一般分为两个层次：一是重要系统数据的备份，用以保证系统正常运行；二是用户数据的备份，用于保护用户各种类型的数据，防止数据丢失或遭到破坏。

3.1.1系统数据的备份方法

系统数据备份，主要有两大类方式：一种是类似于Ghost的全盘备份；另一种是类似于KV3000的关键数据备份。

3.1.2用户数据的备份方法

系统数据备份中已经包含了部分的用户数据备份。对于用户数据，由于其单纯性和零碎性，大都可直接采用压缩存档的方式进行备份，不过对于特定的数据，由于系统存储方式的不同，也需要采取一定的相应措施来完成。

3.2 数据恢复

3.2.1数据恢复的定义

电子数据恢复是指通过技术手段，将保存在台式机硬盘、笔记本硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘、数码存储卡、MP3等等设备上丢失的电子数据进行抢救和恢复的技术。

3.2.2数据恢复的原理endprint

当对磁盘等存储介质上的文件进行删除操作，或对磁盘进行格式化时，磁盘上的数据并没有真正从磁盘上消失，一般情况下，这些数据是可以恢复的。这是由存储介质的结构和数据在存储介质上的存放方式所决定的。

一般要将硬盘分成主引导扇区MBR、操作系统引导扇区DBR、文件分配表FAT、根目录区DIR和数据区DATA等五部分。DATA区是真正意义上的存放数据的地方，位于DIR之后，占据硬盘的大部分空间。一般情况下，数据区的数据都是不会被破坏的，除非进行了擦除或进行了低级格式化。一个文件被删除之后，它并不是真正地从磁盘上抹掉全部数据，而仅仅是把文件头中的前两个代码（文件名的第一个字符，与文件内容无关）做了修改，这一信息映射在文件分配表中，在分配表中做出该文件删除的标记，而这个文件中的全部数据仍保存在磁盘上原来的簇中，除非被后来保存的其他数据覆盖。既然文件被删除后，其中的全部数据仍保存在磁盘上、文件分配表中也还存有它的信息，那么，这个文件就有恢复的机会。具体的做法是将文件头找出来，恢复或重写原来的前两个代码，在文件分配表中重新映射一下，这个文件就被恢复了。

3.2.3数据恢复的方法

一般地说，常用的数据恢复方法有三种：利用系统自身的还原功能恢复数据、使用专业的数据恢复软件以及软件和硬件结合进行数据恢复。

（1）利用系统自身的还原功能恢复数据。有些操作系统和应用程序自带数据还原和记录用户操作信息的功能，利用这些功能可以达到数据恢复的目的。如操作系统的回收站就具有数据还原的功能，通常，数据被删除，通常只是删除到回收站中，数据仍驻留在磁盘上。如果没有清空回收站，就可以利用回收站的还原功能将数据恢复到原来的位置。一些系统软件和应用软件中对操作过的文件也有相应的记录，若能找到这些记录，用不着完全恢复原始数据就可以发现线索或认定犯罪事实。

（2）使用专业的数据恢复软件。在文件被删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根目录区不可读或对磁盘格式化造成全部文件信息丢失时，可以借助免费数据恢复软件如EasyRecovery、FinalData等或付费软件迅龙数据恢复软件等进行数据恢复。

（3）软件和硬件结合的恢复数据的方法。当文件破坏比较严重或磁盘有物理损坏时，仅仅使用软件恢复数据可能难以达到预期的效果。这种情况下，最好的方法是将数据恢复软件和数据恢复仪器结合起来进行数据恢复。

4 在计算机网络犯罪侦查中使用数据备份与数据恢复技术的原则及应注意的问题

4.1 一般原则

对于多数用户而言，硬盘有价，数据无价。进行数据恢复，一定要认真细致，对每一步操作都有一个明确的目的。在进行操作之前要考虑好做完这步操作能达到什么目的，可能造成什么后果，能不能回退至上一状态。特别是对于一些破坏性操作，一定要考虑周到，只要条件允许，就一定要在操作之前进行备份。

4.1.1在开始恢复数据之前首先完成几个步骤

（1）备份当前尚能工作的驱动器上所有的数据。如果C盘损坏，那么，在开始任何工作之前首先备份其他分区上的数据。

（2）将损坏的硬盘挂到一个正常工作的同样的操作系统下，如果条件不允许，取下该硬盘，安装一个新的主硬盘，再重新挂上损坏硬盘之前对主硬盘进行分区格式化，并且更改CMOS设置。

（3）调查使用者。查出在丢失数据之前发生的事情，是否有其他应用程序对磁盘进行过操作。用户最后的输入非常重要，要查出使用者做过些什么，虽然他并没有说出来。

（4）如果可能，备份所有扇区是一个非常不错的方法，可使用磁盘镜像工具CPR。

（5）要有一个好的扇区编辑工具，如WinHex。

（6）尽力得到最后使用者的尽可能多的有关关键文件的信息。

（7）先抢救最有把握的数据，恢复一点，备份一点。

（8）使用备份软件进行的数据备份，可以直接利用软件提供的恢复功能进行恢复；如果该软件没有提供恢复功能，可以通过复制手段进行覆盖恢复；对于使用复制方法进行的备份，恢复时使用复制手段覆盖即可。

4.1.2非正常恢复

一是操作系统崩溃使用Ghost备份或“系统还原”功能进行恢复；二是磁盘损坏的恢复。

软盘损坏：可用HD-COPY/BAD-COPY软件将软盘中的文件导出，然后重新复制到正常软盘上。

硬盘引导信息损坏：使用备份有硬盘分区、主引导记录等的软盘，利用杀毒软件进行恢复。

4.2 应注意的问题

（1）保护计算机网络犯罪现场，备份所有可能的系统和数据。案发后，应保护好犯罪现场。保护好犯罪发生时与计算机系统相关的软硬件及数据的状态，包括设备的配置和各种电缆的连接情况，然后及时将各种存储介质中相关的系统软件、应用软件和所有数据进行全面备份。由于现代计算机系统存储的信息量很大，这就要求取证人员具有进行备份的工具软件和海量存储设备。

（2）进行数据备份和数据恢复的每一个步骤要严格依照法律规定的程序。为保证涉案计算机系统中的数据证据的原始完整性，应在备份完成后，封存涉案的计算机及其相关的设备。由于计算机中的数据具有可修改性、多重性、可灭失性和技术性等特点，任何一点失误或疏漏都可能造成电子证据失去法律效力。因此在进行数据恢复的过程中，要详细记录操作的方法、使用的工具（包括软件和硬件）、操作的每一个步骤甚至包括存储介质运输和保存的过程与方法等。取证时，最好将摄像机与计算机连机，以获得取证全过程的记录，更好地发挥视听证据的作用。

（3）与数据比对技术结合使用。在计算机网络犯罪侦查取证过程中应用数据恢复技术不同于一般的数据恢复，在一般情况下没有必要追求百分之百的恢复，因为我们的目的是认定犯罪，只要得到的数据能够充分证明犯罪事实就可以了。要确定这些数据同我们已经掌握的数据具有同一性，就要利用数据比对技术进行对比分析，通过数据比对技术能够认定其同一性就行了。

5 结束语

综上所述，随着计算机技术的进步，掌握计算机知识的人数骤增，计算机网络犯罪的技术性也越来越强，侦察和取证也十分困难。电子数据证据极易被修改和破坏，经过变造的电子数据证据，人们往往很难发现。将数据恢复技术应用于计算机网络犯罪侦查，可以为警方获取电子证据开辟一条新的途径，这对有效地打击计算机网络犯罪将会起到重要的作用。

参考文献

[1] 杨成卫.网络安全监察与犯罪侦查[M]. 北京：中国人民公安大学出版社.2006

[2] 数据恢复服务[DB/OL].http：//www.baike.com/wiki/数据恢复服务.2014.

[3] 刘长文，王学军，张斌.数据恢复技术在计算机网络犯罪侦查中的应用[J].网络安全技术与应用.2004.

[4] 常建平，靳慧云，娄梅枝.网络安全与计算机网络犯罪[M].北京：中国人民公安大学出版社.2002.

作者简介：

蔡晓莲（1982-），女，四川富顺人，天津大学计算机学院，硕士研究生，工学硕士学位，讲师；主要研究方向和关注领域：计算机犯罪侦查。endprint