吴 威

（浙江省湖州市长兴县公安局，长兴 313000）

计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程，也是对被取证系统中的动态过程和静态记录的提取、还原、恢复的过程，取得的证据具有不可抵赖性。

计算机取证主要是围绕电子证据来展开工作的，其目的就是将储存在计算机及相关设备中反映犯罪者犯罪的信息变成为有效的诉讼证据提供给法庭。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。与传统证据一样，电子证据必须是可信的、准确的、完整的、使法官信服的、符合法律法规的，即可为法庭所接受的。电子证据的表现形式是多样的，尤其是多媒体技术的出现，更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息，这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

通常情况下，操作人员在对计算机文件进行删除操作，一般是分为两种类型，一种是物理删除，其主要是指当文件的字节被磁盘内文件目录表中的操作系统修改成删除标记时，就是直接删除该文件。可是，在这一过程中，因为文件原有的储存空间中的数据信息并未被完全删除，技术人员只要对删除标记进行还原之后，就可以将删除掉的文件数据进行恢复。但是，如果一旦被其他文件占据时，势必会造成实际数据信息的损坏。这样就无法在进行恢复。另一种则是逻辑删除，这种删除方式具体是说当文件分配表中的文件目录的字节上标识了删除标记，但并未将文件数据完全删除，此时技术人员只要删除掉标记之后，即可恢复数据。

另外，若是文件在存储过程中，是保持连续不断的储存，我们就可以将完整的数据文件进行恢复。相反的，当文件的存储过程是间断的，可能只会恢复部分的数据信息，甚至还会出现无法恢复的情况，即使得到了数据文件，也是不完整的。

基于分区表被损坏的数据恢复、引导代码丢失等等更为简单，由于数据储存区一切正常，并未产生任何错误，技术人员应该立刻检查分区错误，并重建MBR或者GUID分区表。

一般来说，当文件被格式化之后，将会重新建立起操作系统引导记录区，同时还会重构文件分配表以及备份。并且，系统还会自动将未使用过的文件分配表项以及根目录簇进行彻底清除，但并不会清空掉数据区。而对于FAT32文件系统来说，文件分配表作为数据恢复的基础条件，一旦丢失，或是重建，连续的储存文件会比不连续的储存文件更容易恢复。

电子取证的要求是从取证系统或装置中获取原始数据，不对原始数据进行直接分析，信息获取过程要尽可能不干扰、覆盖和破坏原始信息和环境。取证和分析数据的信息网络系统及其辅助的设备必须安全、可靠，数据分析前需要对数据进行数字签名。从理论上讲，计算机取证人员能否找到犯罪证据取决于：有关犯罪证据必须没有被覆盖；取证软件必须能找到这些数据；取证人员能知道这些文件，并且能证明它们与犯罪有关。

数据恢复时，一般都是搜索目标磁盘中的所有文件，主要是已经被删除但仍存在于磁盘上，即还没有被新文件覆盖的文件。数据恢复是数据存储中出现问题后的一种恢复措施，在一些特殊情况下的数据可能很难被恢复，例如数据被完全覆盖，低级格式化清零，磁盘盘片严重损伤等。所以要想将这些情况下的数据恢复，必须研发出更好的数据恢复软件。

在计算机犯罪和取证分析领域，数据挖掘技术越来越多地受到研究人员的关注。计算机取证分析是从海量的数据中获取与计算机犯罪相关的有力证据的过程，它需要对不同的电子证据源的数据进行分析。使用数据挖掘技术，目的在于对海量的数据进行智能化的处理，提取出计算机安全取证所感兴趣的内容。数据挖掘本身只是取证分析的一种数据分析的技术。将数据挖掘技术应用于计算机取证的海量数据分析中，能够有效的提高取证中数据分析的速度、分析的准确性和分析的智能性，可以缩小调查范围和对象，提高办事效率。一些相关的研究实验已经充分显示出了这种方法的优越性，数据挖掘将会在今后的取证系统中占有越来越重要的地位。

随着计算机取证研究工作的不断深入和改善，计算机取证技术将会逐渐的走向成熟，取证将进一步的标准和智能，数据挖掘与取证的联系也将越来越紧密。

[1] 鲍丽春.计算机数据恢复技术探讨[J].信息系统，2015（01）：120-122.