吳琪

（吉林警察學(xué)院，吉林 長春 130117）

基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)在計算機(jī)取證中的應(yīng)用

吳琪

（吉林警察學(xué)院，吉林 長春 130117）

在計算機(jī)犯罪案件中，犯罪分子往往為掩蓋犯罪事實會想方設(shè)法抹除犯罪證據(jù)，以逃避法律追究，數(shù)據(jù)恢復(fù)技術(shù)可以將遭受破壞的數(shù)據(jù)全部或者部分還原。Winhex磁盤編輯軟件可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，在硬盤扇區(qū)數(shù)據(jù)編輯上具有強(qiáng)大優(yōu)勢及應(yīng)用的便利性，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)為計算機(jī)取證提供了可靠的技術(shù)保證。

數(shù)據(jù)恢復(fù)；Winhex；計算機(jī)取證

一、引言

在信息化進(jìn)程快速發(fā)展的今天，以計算機(jī)及其網(wǎng)絡(luò)為平臺的高科技犯罪開始成為信息時代威脅人們生活及財產(chǎn)安全的新毒瘤，犯罪手段呈現(xiàn)出日趨隱蔽性、高智能性、復(fù)雜性和跨度性等特點(diǎn)。犯罪分子為掩蓋犯罪事實，常常會人為地破壞數(shù)據(jù)或故意刪除涉案電子證據(jù)。在偵破審理計算機(jī)犯罪案件時，不完整的電子證據(jù)很難作為有效證據(jù)用于指控計算機(jī)犯罪分子，因此，一些電子物證必須借助硬盤數(shù)據(jù)恢復(fù)技術(shù)來完成電子證據(jù)的搜集、固化工作。2012年3月，《刑事訴訟法（草案）》通過了第八次修訂，將第42條改為第48條，修改為：“可以用于證明案件事實的材料，都是證據(jù)?！泵鞔_把電子證據(jù)列為第八類證據(jù)，諸如貪污、瀆職、賭球、短信詐騙、網(wǎng)絡(luò)盜號、私服外掛、網(wǎng)絡(luò)電子傳銷、軟件侵權(quán)等案件，都離不開電子取證及鑒定，針對惡意刪改數(shù)據(jù)、惡意損壞存儲載體致使數(shù)據(jù)丟失的取證技術(shù)——數(shù)據(jù)恢復(fù)取證，已經(jīng)成為公檢法部門破案、斷案、判案最重要一環(huán)。

2004年轟動一時的馬加爵殺人案，通過對犯罪嫌疑人使用的電腦硬盤數(shù)據(jù)恢復(fù)分析，最終將搜查范圍鎖定在三亞并成功將罪犯抓捕。2010年發(fā)生的“‘傀儡機(jī)’惡意攻擊服務(wù)器”的案件，犯罪嫌疑人向某將涉案的相關(guān)硬盤數(shù)據(jù)進(jìn)行了惡意刪改，致使案件遲遲達(dá)不到提起公訴的證據(jù)標(biāo)準(zhǔn)，在這種情況下，也是數(shù)據(jù)恢復(fù)取證技術(shù)成為破案和定罪的關(guān)鍵。2012年10月，天津警方運(yùn)用數(shù)據(jù)恢復(fù)電子數(shù)據(jù)取證技術(shù)將一臺數(shù)碼相機(jī)中被格式化的一組婚禮照片成功恢復(fù)，進(jìn)而破獲一起連環(huán)“盜竊案”。當(dāng)今，數(shù)據(jù)恢復(fù)取證技術(shù)在貪污受賄、瀆職犯罪、職務(wù)犯罪等電子物證獲取中更是發(fā)揮了巨大的作用。

二、數(shù)據(jù)恢復(fù)原理分析

數(shù)據(jù)恢復(fù)就是通過技術(shù)手段將不可訪問或不可獲得的數(shù)據(jù)恢復(fù)至可訪問或可獲得的數(shù)據(jù)狀態(tài)過程。硬盤數(shù)據(jù)丟失本身就是一個非常復(fù)雜的問題，要尋找并恢復(fù)因分區(qū)信息丟失或損壞、文件系統(tǒng)損壞、誤刪除、誤格式化等原因而丟失的數(shù)據(jù)，首先就要分析硬盤的結(jié)構(gòu)，對文件系統(tǒng)有所了解。

一個新硬盤只有經(jīng)過分區(qū)、格式化后，才能安裝操作系統(tǒng)進(jìn)行正常使用。分區(qū)后主引導(dǎo)記錄（MBR）就位于硬盤的0磁道0柱面1扇區(qū)。硬盤的主引導(dǎo)記錄共有512個字節(jié)，前446個字節(jié)為引導(dǎo)程序，隨后64個字節(jié)為DPT（硬盤分區(qū)表），最后兩個字節(jié)為分區(qū)的結(jié)束標(biāo)志“55AA”。通過分析MBR區(qū)的信息可初步判斷出硬盤的分區(qū)數(shù)量、每個分區(qū)的大小、起始位置、系統(tǒng)的文件類型等信息。當(dāng)主引導(dǎo)記錄遭到病毒、人為操作等破壞后，部分或全部分區(qū)則會丟失，掌握了主引導(dǎo)記錄MBR扇區(qū)的結(jié)構(gòu)，根據(jù)數(shù)據(jù)信息特征，重新推算計算分區(qū)大小及位置，按照這個結(jié)構(gòu)重建一個MBR扇區(qū)，即可恢復(fù)。

分區(qū)后，格式化程序則建立相應(yīng)的文件系統(tǒng)。根據(jù)分區(qū)大小一般將分區(qū)合理劃分為四個主要部分：DBR扇區(qū)、文件分配表FAT、根目錄DIR和數(shù)據(jù)區(qū)DATA。DBR扇區(qū)記錄整個文件系統(tǒng)的重要參數(shù)信息，包括保留扇區(qū)數(shù)、FAT表個數(shù)、每個FAT表大小、文件系統(tǒng)大小和根目錄位置等。如果DBR扇區(qū)損壞，系統(tǒng)就無法提取有關(guān)文件系統(tǒng)的各個參數(shù)及數(shù)據(jù)的管理方式，造成整個文件系統(tǒng)的數(shù)據(jù)無法讀取。FAT表用來描述文件系統(tǒng)中的每個簇的分配狀態(tài)，同時記錄為每個文件或文件夾分配的各個簇之間的關(guān)系。如果FAT表被破壞，對數(shù)據(jù)來說是非常危險的，所以一般在創(chuàng)建時程序時會自動備份FAT。根目錄是用戶數(shù)據(jù)的開始，用以存儲根目錄下建立的文件夾及文件等的目錄項，該文件夾及文件本身的實際數(shù)據(jù)內(nèi)容則存儲在數(shù)據(jù)區(qū)中。在文件系統(tǒng)分區(qū)內(nèi)建立文件時，系統(tǒng)首先根據(jù)DBR扇區(qū)內(nèi)的各個參數(shù)確定FAT表的大小、根目錄的位置和簇大小等信息。硬盤寫入文件時，系統(tǒng)首先在DIR空白區(qū)寫上文件名稱、大小和創(chuàng)建時間等信息后，然后在數(shù)據(jù)區(qū)的空白區(qū)寫上文件的真實內(nèi)容，最后將數(shù)據(jù)區(qū)的起始位置寫入DIR。當(dāng)文件分配表或DIR遭到破壞以后，系統(tǒng)無法定位到文件，雖然每個文件的真實內(nèi)容還存放在數(shù)據(jù)區(qū)，系統(tǒng)仍然會認(rèn)為文件已經(jīng)不存在，在這種情況下，可以通過技術(shù)扇區(qū)數(shù)來恢復(fù)數(shù)據(jù)。

文件被刪除時，真正存儲文件內(nèi)容的簇空間沒有發(fā)生任何改變，只是它對應(yīng)的FAT表和目錄項有所改變。格式化操作和刪除相似，都只操作文件分配表，但格式化是將所有文件都加上刪除標(biāo)志，或者將文件分配表清空，使系統(tǒng)認(rèn)為硬盤分區(qū)上不存在任何內(nèi)容。格式化操作并沒有對數(shù)據(jù)區(qū)做任何操作，目錄空了，內(nèi)容還在，所以數(shù)據(jù)也完全有可能被恢復(fù)。當(dāng)將系統(tǒng)分區(qū)格式化后，有新內(nèi)容被拷貝，新數(shù)據(jù)也只是覆蓋掉分區(qū)前那部分空間，去掉新內(nèi)容占用的空間，該分區(qū)剩余空間數(shù)據(jù)區(qū)上的無序內(nèi)容也仍然有可能被重新組織，使數(shù)據(jù)得以恢復(fù)。

三、利用Winhex進(jìn)行數(shù)據(jù)恢復(fù)

WinHex是一款在Windows下運(yùn)行的16進(jìn)制編輯軟件，專門用來對付計算機(jī)取證、數(shù)據(jù)恢復(fù)、低級數(shù)據(jù)處理、IT安全性及其各種日常緊急情況的高級工具，用來檢查和修復(fù)各種文件、恢復(fù)刪除文件、硬盤損壞、數(shù)碼相機(jī)卡損壞造成的數(shù)據(jù)丟失等，得到國外著名媒體ZDNet Software Library五星級的最高評價，擁有強(qiáng)大的系統(tǒng)效用。下面舉一個案例來分析利用WinHex進(jìn)行數(shù)據(jù)恢復(fù)的過程。

硬盤用Ghost還原誤操作或人為破壞，使硬盤中分區(qū)信息丟失，導(dǎo)致其原本應(yīng)該是兩個分區(qū)的硬盤變成了一個分區(qū)，而重要文件都在第二分區(qū)，第二個分區(qū)的丟失使原文件隨之丟失，整個硬盤只有一個系統(tǒng)分區(qū)。用戶在用Ghost恢復(fù)系統(tǒng)時可以據(jù)此原理，根據(jù)磁盤的結(jié)構(gòu)人為操作，實際上原來的第一個分區(qū)之后的分區(qū)還是存在的，只是因為分區(qū)表的改變使得分區(qū)被隱藏了，如果能夠恢復(fù)分區(qū)表的原始狀態(tài)，就能夠找回丟失的分區(qū)。對上述情況進(jìn)行模擬實驗，本文是用虛擬硬盤工具Inspro Disk創(chuàng)建一個磁盤鏡像文件，加載該文件后，對于操作系統(tǒng)來講，該虛擬磁盤與真正的物理磁盤無任何區(qū)別。鏡像文件加載后我們看到增加了“磁盤一”，如圖1所示。

圖1 虛擬磁盤加載后

對主引導(dǎo)記錄和磁盤分區(qū)表進(jìn)行分析：MBR是磁盤第一個扇區(qū)，CHS地址是0柱面，0磁頭，1扇區(qū)，LBA地址是0。具體的數(shù)據(jù)結(jié)構(gòu)如表1、表2所示。

表1 MBR扇區(qū)數(shù)據(jù)結(jié)構(gòu)

表2 磁盤分區(qū)表數(shù)據(jù)結(jié)構(gòu)

用Winhex打開“磁盤1”，通過搜索“55AA”對原來的第二個分區(qū)的開始位置進(jìn)行查找，結(jié)果在112455扇區(qū)找到一個EBR，見圖2。由此可見，112455扇區(qū)是擴(kuò)展分區(qū)的開始扇區(qū)，擴(kuò)展分區(qū)的大小通過該EBR扇區(qū)的分區(qū)表計算，進(jìn)制轉(zhuǎn)換后得63+96327=96390，得到以上信息后即可利用這些信息在MBR中重建分區(qū)表。

圖2 找到的EBR

圖3 重建后的MBR

跳轉(zhuǎn)到MBR扇區(qū)，將前面擴(kuò)展分區(qū)的信息填入分區(qū)表，并修改第一個分區(qū)的大小為原來實際大小，即112455-63=112392，見圖3。分區(qū)重建完畢后，將結(jié)果保存后MBR扇區(qū)結(jié)構(gòu)見圖4。

圖4 恢復(fù)后MBR扇區(qū)結(jié)構(gòu)

分區(qū)修改之后，卸載虛擬硬盤的鏡像文件后重新加載。打開磁盤管理后的硬盤分區(qū)已恢復(fù)為兩個分區(qū)，如圖5所示。該硬盤數(shù)據(jù)恢復(fù)成功，文件得以找回。

圖5 恢復(fù)后的“磁盤1”

四、計算機(jī)取證注意事項

一是在獲取存儲介質(zhì)中的電子證據(jù)時，應(yīng)該采用鏡像工具對存儲介質(zhì)中的所有數(shù)據(jù)信息進(jìn)行備份。因為數(shù)據(jù)恢復(fù)工作是具有一定風(fēng)險的，如果犯罪分子做了手腳或取證人員操作不當(dāng)，遭到破壞的證據(jù)可能完全不被法庭所接受。對存儲介質(zhì)的分析鑒定等取證與司法鑒定環(huán)節(jié)中只能對備份數(shù)據(jù)進(jìn)行操作，以保證電子證據(jù)的客觀性。二是計算機(jī)取證必須在法律允許的條件下，通過技術(shù)手段來獲取數(shù)據(jù)作為案件線索或具有法律效力的電子證據(jù)。三是恢復(fù)過程中使用的硬件和軟件工具都必須滿足工業(yè)標(biāo)準(zhǔn)和可靠性標(biāo)準(zhǔn)。數(shù)據(jù)寫入的介質(zhì)在分析過程中應(yīng)當(dāng)寫保護(hù)，以防止被篡改。為避免在庭審中出現(xiàn)證據(jù)的可疑性，取證人員在進(jìn)行數(shù)據(jù)恢復(fù)的過程中，應(yīng)當(dāng)詳細(xì)記錄所使用的工具、操作方法、操作的步驟以及存儲介質(zhì)的運(yùn)輸及其保存方法等。

［1］馬林.重生Windows數(shù)據(jù)恢復(fù)技術(shù)極限剖析［M］.北京：清華大學(xué)出版社，2011.

［2］張京生，汪中夏，劉偉.數(shù)字恢復(fù)方法及案例分析［M］.北京：電子工業(yè)出版社，2009.

［3］高志鵬，張志偉等.Winhex應(yīng)用與數(shù)據(jù)恢復(fù)開發(fā)秘籍［M］.北京：人民郵電出版社，2013.

［4］蔣平，黃淑華，楊莉莉.數(shù)字取證［M］.北京：清華大學(xué)出版社，2007.

［5］陳潮.電子取證中主分區(qū)表的手工恢復(fù)技術(shù)研究［J］.警察技術(shù)，2012，（1）.

［6］殷聯(lián)甫.計算機(jī)取證技術(shù)［M］.北京：科學(xué)出版社，2008.

［7］華師傅資訊.數(shù)據(jù)備份與恢復(fù)實用寶典［M］.北京：中國鐵道出版社，2008.

（責(zé)任編輯：陳尚坤）

D918.2

A

1671-0541（2014）04-0078-04

2014-05-24

吳琪（1976-），女，吉林警察學(xué)院信息工程系講師，主研研究方向：信息安全。

本文系吉林省教育廳“十一五”科研項目階段性成果。