李越 衡磊司法鉴定所

计算机犯罪是新型犯罪方式，技术要求较高，多是以数字形式在网络计算机上进行存储传输，产生的电子证据会潜藏在海量的正常数据之中，极易篡改、销毁，而取证提取的难度则较大。计算机犯罪者会在计算机网络中遗留证据，取证则是通过对网络中的数据信息进行识别[1]，并将获取的信息证据保存，上交认证。计算机取证则是通过扫描痕迹，对计算机网络入侵过程进行重建，将犯罪者的犯罪信息还原，作为有效的诉讼证据提交法庭。数据恢复作为计算机取证中的关键性技术，主要是包括数据恢复技术、磁盘搜索、文件格式分析等，上述技术方式的合理选择可更好取证。因此，本文就计算机取证中数据恢复的关键技术进行深入探析。

一、计算机取证中数据恢复的应用

（一）磁盘数据恢复

取证过程中需要进行丢失数据还原恢复工作，主要是针对硬盘损坏、操作失误等原因造成的数据丢失，可通过数据恢复进行补救。磁盘数据恢复是计算机数据恢复中的重要内容。磁盘作为计算机中的重要存储装置，包括硬盘与软盘两类。提前进行硬盘分区，需要对硬盘进行分区，主要划分为主分区与扩展分区，之后方可进行硬盘内数据恢复，更有利于开展系统内读写操作。

（二）NTFS数据恢复

若删除一个文件在NTFS文件系统内，不仅需要删除文件，也需将文件所述文件夹内的目录项删除，此时INDX记录则不会有数据资料在系统内遗留存在，且后续数据也可将所删除的目录进行覆盖，在空闲目录上进行操作时，定位目录项难度较大，需要花费较长时间才可以实现数据区的再分配。MFT中有所需文件的储存痕迹，TNDX记录无此情况。磁盘被格式化后，数据仍会存留痕迹，清除并不彻底。存储索引表内，文件存放是否具备连续性，直接决定文件内数据是否可完全恢复[2]。NTFS文件系统内进行数据恢复操作时，需要先将分区定位打开，将MFT内相关存储信息，对文件所具备的属性进行明确，判断文件的完整性。文件若完整，则可在新文件内直接导入，若信息已经被其他文件覆盖，则无法恢复。

（三）FAT32数据恢复

Windows系统中若文件删除至回收站内，不会删除文件，而是改变父目录。若想彻底删除文件，可通过将回收站内文件清空，或者按住“shift键”+“delete键”，可达到删除目的，将文件删除后也可恢复。彻底删除文件后，FAT32系统并未执行清零操作，硬盘中储存的数据仍有保留，此时可进行文件恢复。文件删除后，内容不变，文件占用簇被其他文件所使用，一旦呗覆盖则会导致文件彻底消失，此时无法进行恢复操作。若没有相邻同级文件搜索时，上下范围内进行查询，一旦发现非相邻同级文件夹目录项未被删除，可重新建立文件，主要是以起始位置簇的高16位对删除文件簇进行重建[3]。根据被删除的相邻同级文件，文件父目录应以起始高16位进行重建，在磁盘内查询。若阐述的文件FDT记录项被覆盖，则无法通过上述方式进行修复。修复时需要转变思路，恢复数据值，也可寻找具有明显特征的字符串进行恢复操作。

二、磁盘全文搜索取证技术

（一）扇区读写技术

硬盘文件内空间分配单位最小是簇，多为4KB，文件空间占用相比于理论值较多，空间内文件删除后会留下痕迹，因此，通过全文搜索，寻找此类文件的盲区，可找到仍在时效内的文件资料。

（二）快速搜索算法

DF算法是硬盘内的常用匹配算法，操作较为简单，优化KMP算法，BM算法在进行匹配时，方向是从右往左，此方向与KMP算法不同，可有效避免相互对。BM算法中采用两条启发性规则，分别为坏字符规范与好后缀规则。

（三）字符串编码转换

磁盘中文字的保存可通过不同步编码实现，全文搜索系统中多表现为数据形式。因此，在查找文字时，需要考虑多种编码情况的存在。各类编码也会形成数据字典，文件搜索时，则可根据数据字典进行转化，恢复所需要的文件内容。

（四）全文搜索取证系统

通过搜索算法、编码转换算法，查找硬盘内的字符串时，不限定字符串所在位置，提前确定关键字、字符串后，可开展文件搜索获取证据。利用全文搜索，使匹配结果的精确性提升。以往取证时，取证人员多是利用磁盘所具有的全文搜索功能对所需文件进行查询，搜索速度慢，近年来计算机取证中应用全文搜索，有效提升数据获取的速度。但是，硬盘中涉及的内容较多，复杂烦琐，针对大范围获取所需证据数据时，此时利用全文搜索，可通过快速匹配，使数据检索效率大幅提升[4]。

三、结束语

综上所述，计算机取证工作不断成熟完善，计算机取证技术也日趋成熟，根据文件保存与删除情况，选择最佳的数据恢复技术，可使文件内数据恢复速度加快，更好进行数据挖掘，更有利于计算机犯罪取证工作开展。