电子证据的数据恢复及实践
2016-10-21王阿宝赵欣
王阿宝 赵欣
摘 要 在司法实践中,有大量的案件需要电子文件、图形图像、影音视频等信息作为证据使用,于是经常遇到犯罪嫌疑人 使用的存储设备出现损坏或被故意删除犯罪证据,造成关键证据无法读取、甚至丢失。公安机关侦查部门就需要采用特殊 手段设法将其恢复或将其转化为正常状态的文件,从而形成有法律效力的电子证据。本文介绍了运用几种有效的数据恢 复工具,通过数据恢复的方式,提取由于各种因素导致的电子证据被删除情况,这为对电子证据的来源提供增加了一个渠道。
【关键词】数据恢复 电子证据 EnCase
电子证据的补充——数据恢复是指通过技术手段,将保存在 电脑磁盘、U 盘、移动硬盘、路由器 CF、卡、手机存储器等设备上 已经被删除数据进行恢复,并将其作为电子证据的补充。为保障 恢复的数据具有法律效力,在司法实践中,需要专业的部门在确 保数据恢复过程、恢复数据的工具、相应的操作人员都要合乎相 关规范。
1 司法实践中的电子取证工具
司法实践中所用到的电子取证工具,常见的有 En Case、Ar-gus、Sniffers、Network monitor 等,其中取证过程中必须用到的有 镜像工具和专业的取证软件。其中 En Case 是目前最常用的电 子取证工具软件,在使用的法律执行部门超过 2000 家。由于 En Case 具有较好的人机交互界面,该工具在司法、政府、军队、公司监查等领域被大量的运用,并将其作为查、管理计算机中的数据 的一种手段。调查员通过 En Case 可以高效的对计算机中的大 量证据实施,如已经删除的文件、闲散文件甚至是未分配空间中的数据。EnCase 已成司法实践中 必备的电子取证工具,用于获取、统计、分析以及展示计算机犯罪 的电子证据,为能够迅速彻底地鉴定、查找和恢复计算机犯罪证 据提供了强有力的技术手段。
2 物证鉴定中的数据恢复工具
目前物证鉴定中心使用较多的数据恢复的工具有 Disk Gen-ius、Final Data、En Case、Easy Recovery、Win Hex 等,这些工具各有其由于其针对数据恢复侧重不同,其最终的效果也各有千秋。
因此需要根据实际情况选择工具,以提高数据恢复的成功率和数据的完整性。本文着重介绍 Disk Genius 专业版、Final Data 进行
数据恢复的实验过程,从其功能、操作步骤、数据恢复效果等方面作介绍,并给出在实际司法实践中的建议。
2.1 Disk Genius 专业版数据恢复实践
Disk Genius 专业版具有磁盘备份分区表、重建分区表、重建MBR、坏道检测与修复、已删除文件或格式化后的文件恢复、备份分区为镜像文件、克隆分区或硬盘等强大功能,是 EnCase 的最 佳组合之一。
本文仅介绍 Disk Genius 的数据恢复功能模块。首先选择需 要进行数据恢复的目标磁盘 H,点击工具界面上的“恢复文件”功 能,在弹出的窗口中选择“恢复误删除的文件”或者“恢复整个分 区的文件”,也可根据需要,进一步设置“选择文件类型”,其中包 括文档类、照片类、音频类、视频类、Internet 类、图形类、压缩存档 类、邮件类和其他类型,在此根据需要选择,如果事先并未确切的 知道需要恢复的文件类型,那么可以采取类型全部选取的方式, 虽然这会导致数据恢复的花费的时间增加,当时能够确保所有可 能需要的电子证据的获得,避免遗漏部分信息,对于小容量的存 储设备通常采取恢复所有类型文件的方式。
当恢复文件的设置完成后,点击“开始”,该工具就会自动扫描目标磁盘,搜索由于各种原因导致丢失或被删除的文件夹及文件。扫描过程所需要的时间与目标磁盘的容量大小、磁盘接口类型、磁盘坏道即健康状况、当前计算机的数据处理能力有关。当对目标磁盘扫描完成后,工具软件会在窗口中列出本次扫描结果,窗口左边的目录罗列出磁盘中已识别文件、文件夹信息、目录结构等信息,右边窗口则是对当前选择的文件、文件夹的详 细描述及文件的对应的 ASCII 码值。Disk Genius 具有便捷的预 览功能,当完成对存储设备的扫描后,遗失的文件在恢复前,比较 常用的文档类、照片类、音频类等文件可以直接预览,这样便于针 对性的对特定文件采取恢复措施。最后根据工具查找到的文件情况,在需要恢复的目录或文件上点击鼠标右键,弹出菜单中选择“恢复到 ”,并根据窗口的提示将数据恢复到目标磁盘以外的存储设备上即可。
2.2 Final Data 数据恢复实践
首先运行 Final Data,选择需要进行数据恢复的目标磁盤驱动器,接着在弹出的窗口中设定目标磁盘族扫描的范围。磁盘的族——由于操作系统无法对数目庞大的磁盘扇区寻址,操作系统将磁盘上相邻的扇区组合而形成一个簇,然后再对簇进行管理。Final Data 会显示出目标存储设备的总的族的数量,在开始进行扫描前,需要设置好扫描开始和结束族的范围。如果选择了整个存储设备族的范围,那么扫描所花费的时间相对就较长。接下来选择是否需要计算丢失图像文件的大小、是否需要计算丢失 E-mail 文件的大小、是否需要计算丢失 Office 文件的大小,然后点击开始扫描即可。在确定开始扫描后,Final Data 会自动根据前面的设置条件 对目标存储设备进行扫描。同样,扫描所需要的时间与目标磁盘 的容量、接口类型、健康状况等方面因素有关。
当对目标磁盘扫描完成后,界面上会列出扫描结果,左边的目录列表包括磁盘中正常的目录及文件、已删除的目录及文件等信息,右边窗口时详细的文件信息,其中包括磁盘中已经被删除的文件详情。同过对罗列出来的文件进行筛选、预览、分析后,在需要恢复的目录或文件上点击鼠标右键,弹出菜单中选择【恢复】,根据提示将内容恢复到目标磁盘以外的存储设备上即可。
2.3 数据恢复中需要注意的事项
在对目标存储设备开展数据恢复过程中,每一步都要十分慎重,如果由于误操作造成二次破坏,这将造成恢复难度增大,甚至导致某些信息无法恢复。最重要的一点就是——数据恢复过程中绝对禁止将任何形式新数据写入源存储设备。
为确保源存储设备数据的安全性、原始性、真实性。在数据恢复中要做到以下几个方面:
(1)创建源盘的磁盘镜像,保护源盘数据的原始性、真实性。
(2)不要目标存储做 DskChk 检查,此操作很多时候会破坏数据。
(3)不要再次格式化分区,如果选择了错误分区格式化类型,会导致存储设备上大文件永久性的丢失。
(4)不要把数据直接恢复到源盘,否则极有可能将原本可以恢复的数据覆盖,导致无法恢复。
(5)阵列丢失后不要重做阵列,在挽救服务器阵列的实践中在服务器崩溃后强行让阵列上线,或者直接做 rebuilding,虽然掉线了的硬盘也能强制上线,但这些操作都是非常危险,任何写入盘的操作都有可能破坏数据。
(6)在数据恢复时,严禁往存储设备里创建新文件。建议直接把断电,然后把存储设备运行在只读模式下来开始数据恢复,避免操作系统索引、文档缩略信息的写入,导致原始数据的破坏。
3 总结
司法实践中,物证鉴定中心开展电子取证过程,必须确保电子证据的安全和法律效力,因此需要对电子证据来源的存储设备 进行保护。运用 En Case、Disk Genius 等工具创建其镜像文件, 然后通过对磁盘镜像的数据分析获得有效的电子证据。本文介绍了运用几种有效的工具软件,通过数据恢复的方式,提取由于各种因素导致的电子证据被删除情况,对电子证据的来源提供增加了一个渠道。那么公安、司法部门就需要采用特殊手段设法将其恢复或将其转换为正常状态的文件,从而形成有法律效力的电子证据。确保案件中的电子证据的安全及其法律效力问题是对网络犯罪案件定罪量刑的關键因素。我国新刑诉法和新民诉法将电子数据证据纳入了诉讼证据范围,结合我国国情,逐步完善电子证据的刑事立法,不断健全相关法律制度。
参考文献
[1]硬盘数据恢复注事项”http://bbs.tianya.cn/post-it-681005-1.shtml 2013-09-14 14:32:00.
作者单位
河南省新乡市人民检察院 河南省新乡市 453000