APP下载

涉案计算机的数据恢复与侦查取证

2015-03-26吴汉勇陆克思佳田一粟李文卿

湖北警官学院学报 2015年9期
关键词:硬盘分区证据

吴汉勇,陆克思佳,田一粟,李文卿

(南京森林警察学院,江苏 南京 210023)

计算机全面普及的今天,越来越多刑事案件中的犯罪嫌疑人会利用计算机进行犯罪活动,而在对这些刑事案件的侦查过程中,对涉案计算机的勘验检查至关重要。在对计算机勘查所获取的证据中,最主要的就是电子证据。电子证据是网络犯罪侦查中的用词,而在法律文书中,电子证据被表述为电子数据。因此,通用意义上的电子证据即为诉讼中的电子数据。在2012年修订的《中华人民共和国刑事诉讼法》、2013年实施的《中华人民共和国民事诉讼法》、2014年11月1日修订将于2015年5月1日实施的《中华人民共和国行政诉讼法》中,电子数据已经正式成为一项证据分类。因此,避免了曾经在诉讼过程中电子数据不能够直接证明犯罪事实和相关证据证明力不足的尴尬。在侦查过程中,电子数据信息量大,包含的信息多,很容易从中寻找到犯罪线索和犯罪证据。电子数据较物证书证等传统证据具有许多特殊性:一是表现形式多样性。电子数据一般是通过显像设备以文字、图形、视频图像资料等形式呈现在用户面前,因此多能直接反映犯罪嫌疑人的犯罪事实或作案过程。二是依赖介质性。电子数据的本质是二进制的“0”和“1”按一定规则组成的,而这些代码都必须通过电磁方式或者光学方式产生记录和传输,因此无论是电子数据的存储还是传递都离不开光电磁介质,如光盘、软盘、硬盘、U盘等。三是客观稳定性。计算机是精密设备,如果排除人为因素和软硬件故障等因素,电子数据相比物证书证证人证言,不会像物证那样受环境影响而改变,不会如书证那样在记录的时候出现笔误,不会像证人证言出现误传、误导、误记或带有主观性等情况。电子数据易于备份,不容易损毁丢失,加之电子数据本身的属性和MD5或者HASH值如同人的指纹一样,不同数据必然会有不同的MD5或者HASH值,并且可以利用这样的唯一性进行同一认定。四是易破坏性。由于电子数据的依赖介质性,电子数据必须依托于存储介质,因此介质一旦损毁,其中保存的数据也就相应被破坏了。其次,电子数据一旦经由人为操作或者出现软硬件错误,电子数据极易遭到人为破坏和丢失。

随着计算机技术的广泛应用,人们对计算机技术掌握程度越来越高。许多犯罪嫌疑人为了掩饰犯罪,在实施犯罪后,对计算机及其附属设备进行数据删除或者格式化等操作,甚至进行物理性的破坏,导致数据无法直接获取。因此,只有利用数据恢复技术对已经删除破坏的数据进行复原提取,才能获取线索证据,更好地打击犯罪,为诉讼的顺利进行提供帮助。在PC市场中,Windows操作系统的全球占有率为91.48%,在发展中国家其占有率更高,在实际侦查工作中,涉及的计算机几乎全部是Windows系统的计算机,由于不同操作系统的计算机文件系统构成不尽相同,所以本文主要论述Windows系统的计算机数据恢复。

一、电子数据损毁的情形

(一)数据在物理环境下的损毁

由于数据的依赖介质性,因此在物理环境下,数据的存储介质被损毁就会导致存储在存储介质中的数据不同程度地被损毁。

就机械硬盘而言,有如下几种原因会导致机械硬盘的损毁:一是硬盘盘片磨损。机械硬盘在进行读写数据时,整个盘片处于高速旋转状态中,如果忽然切断电源,将使磁头与盘片猛烈摩擦。盘体受到剧烈震动、温度气压的变化也会使得磁头或者盘体变形磨损盘片。二是磁盘受到强磁场的磁化。磁场是损毁硬盘数据的隐形杀手,如音箱、手机、电台等附近的强磁场可能磁化附近的硬盘。三是读写负荷过大。硬盘是个消耗品,从出厂通电那一刻起就开始消耗硬盘的寿命,大文件的读写会加速硬盘产生坏道从而损坏。

就SSD(固态硬盘)而言,由于SSD的工作原理和传统机械硬盘不一样,SSD没有像机械硬盘一样的盘片,取而代之的是固态电子存储芯片阵列和主控芯片。因此,主控芯片一旦损坏或者固态电子存储芯片达到其寿命,其中的数据就会损毁。

(二)数据在虚拟环境下的损毁

虚拟环境中数据大多是在计算机系统内操作的过程中损毁的,一般分为如下几种情况:一是病毒对数据的破坏。计算机病毒被激发后,通过攻击系统区(主引导扇区、Boot扇区、目录文件分配区)的内容,导致无法开机或者文件丢失。有些病毒则直接破坏数据区内的用户数据,如删除文件、修改文件、替换文件、删除部分程序代码等。二是用户主动对数据的操作。如删除文件(从回收站永久删除)、覆盖文件或者对整个分区乃至磁盘进行格式化。

二、数据恢复的原理

由于许多犯罪嫌疑人具有一定的反侦查意识,有的犯罪嫌疑人掌握了一定的计算机技术,会对案件相关数据删除,对存储相关数据的磁盘进行格式化等操作。事实上,删除和格式化的操作实际上并不是真正地抹去所有的数据,可以进行恢复操作。

(一)数据存储原理

谈到数据删除和数据恢复必然要谈数据存储原理,以最普遍使用的Windows系统来说:硬盘需要经过一系列的处理,然后才能存储数据。首先是低级格式化,为硬盘划分磁道、安排扇区,然后对它进行分区。分区完成后就是写入硬盘的主引导记录MBR和分区表并在分区表中记录分区信息(在GPT分区结构中,分区完成后会写入MBR类似的标记--PMBR和分区表和备份分区表,并在其中记录各分区的信息)。分区完成后,分区的磁盘文件格式一般是RAW格式的分区,分区后还要将各分区进行高级格式化,按顺序将分区划分为目录文件分配区和数据区,目录文件分配区内记录着每一个文件的属性、大小及其在数据区的位置等。在向硬盘中存储文件时,系统首先会在目录文件分配区内记录文件名称、大小,以及文件在数据区的起始位置,然后开始向数据区写入文件的真正内容,从而完成一个文件的存储。

(二)数据删除和恢复原理

当删除文件的时候,Windows只不过是把这个文件在目录文件分配区的名称和位置等记录成空白区域,等待下次写入。此时,真正的文件并没有删除,只不过是目录文件分配区中的索引被修改。

当用Fdisk命令对硬盘分区进行删除操作或者用Format命令进行格式化后,数据区的内容并没有丢失,Fdisk命令只是删除了原有分区表,Format命令只是删除了文件分配表。数据恢复正是利用以上原理,通过一定的算法扫描出已经删除的文件,检测不同的文件类型,将数据零散地恢复出来,命名也多和原文件不同。由此,在涉案Windows系统计算机中被犯罪嫌疑人破坏的数据才能够得以恢复,并作为线索证据推进侦查起诉工作。

三、数据恢复的方法

根据数据被破坏删除的方式,可以将数据恢复分为硬件恢复和软件恢复。当然,还有其他的恢复方式,如利用软件自带的自动备份功能恢复以及从云端恢复数据。

(一)硬件恢复

硬件恢复就是硬盘或者其他存储介质出现物理性损伤,如有磁盘出现坏道、机械硬盘的磁盘主控制芯片损坏等。因此,通过常规手段无法获取其中存储的数据,我们可以通过硬件恢复的方法,通过修复磁道或者修复替换磁盘主控制芯片来恢复硬盘中存储的数据。硬件恢复需要购买一些专业设备(电烙铁,各种硬盘芯片以及电路板等),再加之还需要懂一些电路知识,因此在日常使用和侦查活动中,由于设备条件和技术限制,硬件恢复使用得较少。

(二)软件恢复

该恢复方法是硬盘本身没有物理损伤,而是由于犯罪嫌疑人进行数据删除破坏或者病毒对文件的破坏造成的数据丢失,如格式化、重新分区。通过一系列软件如 FinalDate、Easyrecovery、DiskGenius和360文件恢复等对已删除的数据进行扫描恢复的方法叫软件恢复。这些软件界面好,操作简便,但在执行计算机现场勘查的过程中有时会遇到犯罪嫌疑人把系统文件也删除或者格式化,导致计算机无法正常启动,可以修改CMOS中的引导驱动器,用移动存储设备中的系统如 Windows8/8.1(Windows8以及Windows8.1中集成的WindowsToGo技术是可以支持安装在移动存储设备的)和PE系统引导开机来进行软件恢复操作。

(三)其他方法

除上述两种主要恢复方法外,还有利用软件自动备份功能恢复,如Windows7、Windows8/8.1系统中有自动备份功能,在安装一些软件或者对涉及系统文件的修改,系统会自动备份当前设置和文件,选择其中的备份文件进行恢复。

另一种恢复方法是云恢复。云是网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称。随着互联网技术的发展,云在日常生活和办公中越来越普及,云存储为数据的安全性和可靠性提供了保障,因此在进行计算机犯罪现场勘查时,云技术可以用于数据恢复和侦查取证。如微软公司的一款办公软件OneDrive,会自动同步将用户文档以及图片等信息上传到云端,虽然本地文件已经被删除,但是在获取到了用户入口(账号密码)后,就可以进入云存储空间将数据恢复下载。

四、数据恢复时勘查取证的方法

恢复数据的目的是为侦查提供线索,为诉讼提供证据。为了保证所恢复出来的电子数据的法庭证明力,在进行数据恢复时要特别注意勘查取证的方法和要求:

(一)现场保护的方法

1.确认计算机状态,正确处置。首先要判断现场是否有继续受到的安全威胁及扩大损害的可能性,并采取正确的应急处置办法。

2.保持现场“静态”。保持系统的原始状态,即到达现场之初的开关机状态、网络连接状态、系统运行状态。要保持计算机现场处于静态,就要避免计算机进入休眠状态;注意观察系统运行状态,防备外部攻击和自毁程序的启动;注意观察搜集呈离散状态的纸张、电磁介质;注意对小型、异形存储设备的管控。

3.控制现场人员。无论是犯罪嫌疑人、被害人还是案件无关人员,任何人不得触碰计算机系统及外围设备,不得接触现场电源总成,防止系统状态被改变、文件和数据被增删、取出或安放移动存储等,防止证据或线索的破坏和灭失。

4.保护原始物证。未经案件侦查人员同意,禁止任何人携带电子存储介质、纸张及其他证据离开现场。

(二)现场勘查的合法性要求

恢复数据要遵循合法性要求。合法性要求在数据恢复中主要体现在主体合法、程序合法和证据合法。第一,主体合法。公安部《计算机犯罪现场勘验与电子数据检查规则》第6条规定:“执行计算机犯罪现场勘验与电子数据检查任务的人员,应当具备计算机现场勘验与电子数据检查的专业知识和技能。”主体合法主要是指在数据恢复的过程中,操作该恢复过程需要两名以上具备相关专业技能的侦查员。如此,才能保证恢复出来的电子数据在诉讼中的证明效力。第二,程序合法。取证过程中,取证时要使用硬盘只读锁,在硬盘中的原有数据保持不变的情况下,准备容量足够的移动硬盘来拷贝硬盘,避免恢复过程中数据溢出导致恢复数据不完整。第三,证据合法。需要进行恢复操作的数据大多存储在硬盘、U盘中,为保证有关权利人的合法权益,电子取证的对象应该是可能受攻击、被入侵而被封存的计算机、移动存储介质,必须在海量的数据中区分哪些是与证明案件事实有关联的信息,哪些是无关数据,哪些是因感染特种木马留下的记录“痕迹”。尤其要注意,在检查时只有被怀疑可能涉及国家秘密的电子文件资料才能作为被取证调查的对象打开查看,其他与案件事实无关的数据,不能任意检索查看。《中华人民共和国刑事诉讼法》第五十二条规定:“对涉及国家秘密、商业秘密、个人隐私的证据,应当保密。”侦查人员在恢复数据的过程中,对涉及国家秘密、商业机密、个人隐私的数据需要进行保密封存。

根据最高人民法院的法律解释:原始证据的证明力大于传来证据的证明力。电子数据具有易复制性,在恢复过程中数据需要复制一次甚至多次,为了保证数据的原始性,在提取证据的时候需要记录相关文件的MD5和HASH值以保证所提取证据的原始性,增强恢复数据的证明力。因此,保证数据的原始性,也是保证证据合法性的重要方法。

(三)对计算机的内部现场和外部现场的勘查

1.外部现场勘查。首先,任何对环境的改变应在照相之后进行。拍摄各部件的连接情况,通常可采用在线缆两头贴标签、标明序号的方法。这一方法不仅可以明确地看出设备连接情况,还可以为日后重建现场提供可靠的依据。其次,彻底搜查散在的移动存储介质,包括软盘、光盘、U盘等。如果现场计算机处于关机状态,在光驱内可能存留有光盘。对于搜查到的存储介质可以进行预览,注意不能用现场遗留的计算机,而应该使用自带的笔记本电脑,在保证存储介质处于只读状态时方可预览。对于有嫌疑的介质,应立即备份,并编号、封存、扣押。搜查现场的文书材料,是否有打印文档、书写记录、日常工作记录(记录系统操作人员的交接和重要操作内容)等。在实际侦查工作中发现,有部分人习惯将难以记住的用户名和密码写在纸上,粘贴在显示器侧面、底座以及键盘的下部等隐蔽位置。这些用户名和密码有时候恰恰是数据恢复的突破口。云恢复方法正是利用获取到的用户名和密码来把云端的数据恢复到本地。最后,外部现场的物理证据的搜集和取证,指纹、笔迹、以及微量物证也是在对涉案计算机所在现场勘查和取证不可忽略的重要传统证据。

2.内部现场勘查。首先,在内部现场勘查取证工作中,最重要的就是提取易失数据,虽然数据恢复技术就是用来进行恢复的,但恢复并不是万能的,有些重要数据一旦丢失就再也不能找回。所谓易失数据,是指存在于开机状态下的计算机系统中,包含有当前系统信息、内存数据、临时数据、进程、网络端口、虚拟内存等信息的数据,在计算机休眠、关闭电源后,这些数据信息就有可能改变或丢失。在进行数据恢复之前,要对已经存在的数据进行提取固定和备份,重点是网站的历史记录信息(历史记录、COOKIES等)、聊天记录(包括QQ等社交软件和聊天室的遗留信息)以及缓存的文件(可从中提取破解相关账户密码)。将原有的相关数据提取固定后再进行数据恢复,可以保证数据的完整性,以防原有数据遭到恢复出来的数据覆盖。

(四)电子证据的固定与转化

数据恢复后还需要进行固定和转化证据,虽然在《中华人民共和国诉讼法》中,视听资料和电子数据已经作为证据的一种重要形式,但是由于电子数据本身固有的复杂性、抽象性、不稳定性和易灭失性等特性,造成了电子证据在法律诉讼中的可采信度较低。因此,应根据案件侦查起诉需要将电子数据转化成其他证据类型:

1.纯数据类(包括操作记录):对显示器拍照或者截图固定并附上相关数据的MD5或HASH值,并对数据进行分析,作出分析结论,作为书证使用。

2.视听文件类(包括图片、视频、音频):对显示器拍照或截取代表性的图片,附上相关数据的MD5或HASH值,将其中的电子数据通过相关设备和软件转化成为视听资料。

3.纯文字类:对显示器拍照或截图固定,附上相关数据的MD5或HASH值,打印出来作为书证使用。

结语

随着科技发展,计算机技术的应用越来越广泛,在各种违法犯罪中,涉及计算机的案件也越来越多。在这些案件中,许多证据和线索都隐藏在计算机中。但是,电子数据非常容易受到人为的修改和破坏,导致在侦查过程中难以发现。因此,掌握计算机相关技术已经成为侦查人员的必修课,而数据恢复技术正是这门必修课中的重要一章。

[1]艾绍新.Windows数据恢复技术在电子取证中的应用研究[D].大庆:东北石油大学,2013.

[2]刘长文.数据恢复技术在计算机犯罪侦查中的应用[J].网络安全技术与应用,2004(3).

[3]张栋.重视运用数据恢复技术手段[N].检察日报,2014-02-17(3).

[4]李喆.计算机犯罪现场及现场电子数据处理研究[J].技术研究20 12(5).

[5]黄步根.数据恢复与计算机取证[J].计算机安全,2006(6).

猜你喜欢

硬盘分区证据
上海实施“分区封控”
HiFi级4K硬盘播放机 亿格瑞A15
Egreat(亿格瑞)A10二代 4K硬盘播放机
浪莎 分区而治
对于家庭暴力应当如何搜集证据
手上的证据
我区电视台对硬盘播出系统的应用
大空间建筑防火分区设计的探讨
手上的证据
基于SAGA聚类分析的无功电压控制分区