任智敏

摘 要：电子物证检验鉴定中的数据恢复技术是获取物证线索的保障，加大电子物证检验鉴定中数据恢复技术的研究对提高犯罪案情侦查效率有着积极的作用。本文就电子物证检验鉴定中的数据恢复技术进行了相关的分析。

关键词：电子物证检验鉴定；数据恢复技术

0 引言

在社会经济以及网络技术蓬勃发展的当下，各种违法犯罪行为也日益猖獗，给社会的安定造成了极大的影响。针对这些违法犯罪行为，犯罪嫌疑人在实施犯罪行为之后会直接删除那些可以证明其犯罪行为的一些电子数据，从而给案件的侦查增加了一定的难度。而办案人员在电子物证检验鉴定中应用数据恢复技术，可以对那些被删除的电子数据进行恢复，从而搜集到与案件相关的重要线索，促进案件的早日侦破。

1 电子物证检验鉴定中数据恢复技术的重要性

电子物证是指存储于介质载体的电磁记录或光电记录的电子信息数据，电子物证是犯罪案件成立的重要证明。在网络技术飞速发展的当代，网络犯罪行为也越来越猖獗，针对犯罪行为案件，电子物证是案件侦破的关键，加强电子物证检验鉴定是犯罪案件侦破的重要手段。在电子物证检验鉴定中，为了维系电子物证的客观真实性，在获取电子物证时，应采用取证专用的数据拷贝机和电子物证检验取证技术，附加上时间相关信息数据，一次性提取和固定介质载体中的全部电子物证信息。但是电子物证很容易受到干扰，尤其是犯罪嫌疑人在实施犯罪行为后会删除或者破坏与犯罪案件相关的电子物证，使得电子物证在检验鉴定中比较难以获取全面的证据线索。而作为犯罪案件的重要线索，由于相关数据信息受到破坏，犯罪案件侦破难度就会增加。而数据恢复是指利用技术手段，将那些因人为因素而导致电子设备中存储的丢失的电子信息或电子数据还原恢复的过程。在电子物证检验鉴定中，利用数据恢复技术，可以将那些损害的硬盘、计算器内存或者其他存储介质的存储器的内容进行恢复，从而更好地方便侦查办案人员获取与案件相关的关键线索，掌握犯罪案件的相关信息，从而提高侦查效率，实现案件的早日侦破[1]。

2 电子物证检验鉴定中数据恢复技术分析

2.1 软件数据恢复

电子物证实质是电子的、电磁的、光学的、磁性的等相似性能的信息或数据信息，经输出设备显示为人们所能识别的文字、符号、图形、图像、动画、音频、视频等各种信息形式。对于犯罪嫌疑人而言，他们在实施犯罪行为后，为了将证据毁灭，会人为的破坏那些记录案件信息的介质，如对磁盘进行格式化、删除重要的文件[2]。在电子物证检验鉴定中，侦查人员碰到那些数据丢失或者损害的设备或存储介质时，数据信息就会不完整，在这种情况下，侦查人员在检验鉴定中很难获取全面的数据信息，从而难以掌握与犯罪案件相关的信息。而软件数据恢复技术作为一种实用化的电子信息应用手段，数据软件恢复技术的应用为电子物证检验鉴定工作提供了技术保障。在数据软件恢复技术的依托下，侦查人员可以对那些损害的存储介质中的数据进行恢复，让侦查人员在信息存储介质中提取全面的信息，从而尽快帮助办案人员破案。目前，我国公安部认可的具有法律效力的软件恢复工具就有Diskgenius、PhotoRecovery、EasyReCovery 、FinalData、X-Ways、Encase、Forensic、Forensic、FileRecovery、R-Studi-o、Recover4all等[3]。这些软件恢复工具为电子物证检验鉴定提供了多样性的选择，有助于获取全面的与案件相关的信息，从而提高办案效率。

2.2 硬件数据恢复

在这个网络化的时代里，网络犯罪行为也越来越多，犯罪嫌疑人为了毁灭犯罪证据，会对记录犯罪行为的电子信息进行破坏和毁灭，如对磁盘划伤，针对此类问题，侦查人员可以采用硬件数据恢复技术对数据信息进行有效的恢复。硬件数据恢复技术主要应用于机械故障、电路故障、磁盘划伤等所造成的设备内数据损害与无法识别的状态。通过硬件数据恢复技术，可以对设备内部的控制芯片与电路板进行维修或更换，如利用HIE、PC3000等工具，可以将那些已经损害的电路板重新修复好或者更新与原设备向匹配的电路板，从而将损害的部分修复过来[4]。硬件数据恢复工作在特殊情况下需要切实满足专业设备相应的要求，如在数据恢复工作中，需要保证实验室处于100级以上的无尘空间，然后利用磁头对盘片进行直接读取。通过硬件数据恢复技术恢复数据后，侦查人员可以在存储设备中提出更多的有价值的数据信息，通过对这些数据信息进行综合分析和处理，可以为案件的侦破提供有效的帮助，大大地提高案件侦破效率。

3 数据恢复技术案例分析

在电子物证检验鉴定中，会碰到计算机系统崩溃问题，一旦计算机系统崩溃，就会给提证带来难度。针对计算机系统崩溃问题，人们常用的做法就是重装系统，但是重装系统后会把原来的Ubuntu引导分区表mbr给冲掉，从而难以获取到全面的数据信息。而mbr就是把操作系统自己的引导程序读入内存并跳转到操作系统的引导程序[5]。如果原来的Ubuntu引导分区表mbr被冲掉，就会影响到计算机系统的正常运行。通过数据恢复技术，可以对原来的Ubuntu引导分区表mbr进行恢复。具体操作为：先把Ubuntu的安装光盘放进计算机驱动器内，然后启动，正常进入安装界面，打开终端并输入：sudo grub，系统接收指令后界面会变成grub>，然后找到Ubuntu的启动分区所在地，并输入find /boot/grub/stage1，回车后根据计算机界面的指示，找到Ubuntu根目录所在分区，输入grub>root （hd0，2）、grub>setup （hd0），如果界面 出现successed后再输入grub>quit，紧接着重启，重启后就可以找到计算机系统崩溃前的相关数据信息[6]。

4 结语

综上，电子物证检验鉴定是案件侦破的重要环节，是获取与案件重要线索的重要手段，加强电子物证检验鉴定工作能够切实有效地帮助办案人员开展犯罪侦查工作，从而实现案件的早日侦破。而在电子物证检验鉴定中，时常会碰到电子物证信息存储介质损坏的问题，从而为线索提取带来难度。而数据恢复技术的应用有效地解决了电子物证信息存储介质损害的问题。通过数据恢复技术，可以将损害的介质和设备中的数据信息进行恢复，从而为案件的侦破提供便利，提高犯罪侦查能力和效率。

参考文献

[1]杨柳，魏龙飞，李程远. 电子物证检验鉴定中数据恢复技术探析[J]. 科技经济市场，2014，11：189-191.

[2]沈亞铎，张炜. 物联网技术在电子物证检验鉴定实验室的应用[J]. 技术与市场，2015，08：219-221.

[3]李冬华，沈亚铎. 电子物证检验鉴定中数据恢复技术分析[J]. 技术与市场，2015，08：215-217.

[4]许怡红. 电子物证检验鉴定的数据恢复技术分析[J]. 法制博览，2016，02：139.

[5]林康立. 物联网技术在电子物证检验鉴定实验室的应用初探[J]. 信息网络安全，2010，11：66-67.

[6]李盛，朱秀云，韩杰，尹春社. 电子物证检验中常用数据恢复工具对比研究[J]. 刑事技术，2008，04：24-27-29.