1 電子物證與數(shù)據(jù)恢復(fù)的基本知識

1.1 電子物證概念

電子物證是指以存儲于介質(zhì)載體中的電磁記錄或光電記錄對案件事實起證明作用的電子信息數(shù)據(jù)及其附屬物。因此總體上對計算機上的數(shù)據(jù)恢復(fù)，包括客戶端數(shù)據(jù)恢復(fù)和網(wǎng)絡(luò)服務(wù)器端數(shù)據(jù)恢復(fù)。

電子證據(jù)的來源很多，主要有系統(tǒng)日志IDS、防火墻、ftp、www和反病毒軟件日志，系統(tǒng)的審計記錄，網(wǎng)絡(luò)監(jiān)控流量，E-mail，Windows操作系統(tǒng)和數(shù)據(jù)庫的臨時文件或隱藏文件，數(shù)據(jù)庫的操作記錄，硬盤驅(qū)動的交換分區(qū)、slack區(qū)和空閑區(qū)，軟件設(shè)置，完成特定功能的腳本文件，Web瀏覽器數(shù)據(jù)緩沖，書簽、歷史記錄或會話日志、實時聊天記錄等。

隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等）。同時，網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗。

所以不單針對客戶機犯罪，網(wǎng)絡(luò)服務(wù)器也經(jīng)常遇到網(wǎng)絡(luò)攻擊，刪除、修改目標計算機上的數(shù)據(jù)，這些數(shù)據(jù)的丟失或許會給國家、人民造成重大損失，因此探討更多的數(shù)據(jù)恢復(fù)的方法以及在取證過程中應(yīng)遵循的一些程序和規(guī)則，就顯得尤為重要。

1.2 數(shù)據(jù)恢復(fù)基礎(chǔ)知識

不管是客戶機還是網(wǎng)絡(luò)服務(wù)器，其存儲的數(shù)據(jù)都是存儲于硬盤等存儲介質(zhì)內(nèi)，對于弄明白硬盤的結(jié)構(gòu)及數(shù)據(jù)的存儲方式，對于數(shù)據(jù)恢復(fù)會起到很大的指導(dǎo)作用。

剛生產(chǎn)出來的硬盤要先分區(qū)、格式化，然后再安裝操作系統(tǒng)。而這一過程，要將硬盤分成主引導(dǎo)（MBR）、操作系統(tǒng)引導(dǎo)記錄（DBR）、FAT表、DIR目錄區(qū)和DATA數(shù)據(jù)區(qū)等五個部分。

MBR位于整個硬盤的0磁道0柱面1扇區(qū)中，512字節(jié)的主引導(dǎo)扇區(qū)中，MBR占了446字節(jié)，另外的64字節(jié)交給DPT（硬盤分區(qū)表），最后兩個字節(jié)“55AA”是分區(qū)結(jié)束標志。

DBR位于硬盤的0磁道1柱面1扇區(qū)，是操作系統(tǒng)直接訪問的第一個扇區(qū)，它包括引導(dǎo)程序和BPB分區(qū)參數(shù)記錄表，最后結(jié)束標志為“55AA”。BPB參數(shù)塊記錄著本分區(qū)的起始扇區(qū)、結(jié)束扇區(qū)、文件存儲格式、硬盤介質(zhì)描述符、根目錄大小、FAT個數(shù)，分配單元的大小等參數(shù)。

在FAT區(qū)之后便是DIR目錄區(qū)與DATA數(shù)據(jù)區(qū)，其中目錄區(qū)起到定位的作用，通過這些目錄可以找到相應(yīng)的數(shù)據(jù)。數(shù)據(jù)區(qū)是真正存儲數(shù)據(jù)的地方。

1.3 數(shù)據(jù)恢復(fù)原理

客戶機及網(wǎng)絡(luò)服務(wù)器上存儲、處理的數(shù)據(jù)都保存在硬盤等存儲介質(zhì)內(nèi)。數(shù)據(jù)恢復(fù)總體分為軟件恢復(fù)和硬件恢復(fù)。但在電子物證檢驗中大多指的就是軟件恢復(fù)。案件中涉及到的恢復(fù)類型有格式化恢復(fù)、刪除恢復(fù)、全盤掃描恢復(fù)、底層數(shù)據(jù)解析恢復(fù)、網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)等。

數(shù)據(jù)區(qū)沒有被徹底覆蓋，保護措施到位，通過相關(guān)軟件可以順利恢復(fù)。以嫌疑人刪除操作及網(wǎng)絡(luò)黑客攻擊計算機刪除操作為例，保存在硬盤及服務(wù)器上的數(shù)據(jù)并沒被完全覆蓋，只是數(shù)據(jù)存儲空間的鏈條被刪除，真正的數(shù)據(jù)還是以二進制的方式存儲在硬盤上。這些數(shù)據(jù)不被覆蓋，就可以通過相應(yīng)的方法掃描存儲介質(zhì)，對數(shù)據(jù)進行分析、編譯，最后把丟失的數(shù)據(jù)找回來。

2 電子物證檢驗常用數(shù)據(jù)恢復(fù)方法

2.1 使用EasyRecovery軟件恢復(fù)數(shù)據(jù)

該軟件提供了非常強大的數(shù)據(jù)恢復(fù)功能，尤其是針對存儲器中的指定受損數(shù)據(jù)進行恢復(fù)效果甚佳。該軟件內(nèi)置高級恢復(fù)、刪除恢復(fù)、格式化恢復(fù)、原始恢復(fù)、繼續(xù)恢復(fù)等數(shù)據(jù)恢復(fù)方案，能夠輕松的找到丟失的恢復(fù)數(shù)據(jù)并予以有效恢復(fù)。

其專業(yè)版包括了磁盤診斷、數(shù)據(jù)恢復(fù)、文件修復(fù)、E-mail修復(fù)等全部4大類目19個項目的各種數(shù)據(jù)文件修復(fù)和磁盤診斷方案。因此取證人員利用該款軟件可以針對性的取證恢復(fù)，便于取證工作的針對性。

2.2 使用FinalData軟件恢復(fù)數(shù)據(jù)

該軟件具有強大的數(shù)據(jù)恢復(fù)功能，當文件被誤刪除、FAT表或磁盤根區(qū)被病毒侵蝕造成文件丟失、物理故障造成FAT表或者磁盤根區(qū)不可讀及磁盤格式化造成的全部數(shù)據(jù)丟失等情況下，能夠通過直接掃描目標磁盤抽取并恢復(fù)出文件信息，可以根據(jù)這些信息方便地查找和恢復(fù)自己需要的文件，甚至在數(shù)據(jù)文件已經(jīng)被部分覆蓋以后，專業(yè)版也可以將剩余部分文件恢復(fù)出來。

該軟件是專業(yè)數(shù)據(jù)恢復(fù)軟件，可以很容易地從格式化后的文件和病毒破壞的文件恢復(fù)，甚至在極端的情況下，如果目錄結(jié)構(gòu)被部分破壞也可以恢復(fù)，只要數(shù)據(jù)仍然保存在硬盤上。

2.3 使用winhex軟件手工恢復(fù)數(shù)據(jù)

該軟件是在Windows系統(tǒng)下運行的十六進制編輯軟件，此軟件功能非常強大，有完善的分區(qū)管理功能和文件管理功能，能自動分析分區(qū)鏈和文件簇鏈，能對硬盤進行不同方式不同程度的備份，甚至克隆整個硬盤；它能夠編輯任何一種文件類型的二進制內(nèi)容，其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區(qū)，是手工恢復(fù)數(shù)據(jù)的首選工具軟件。

該款軟件，需要通過底層數(shù)據(jù)的分析，找出相應(yīng)的數(shù)據(jù)區(qū)域，手動添加文件頭，因此取證人員要有較強的專業(yè)素質(zhì)。

3 數(shù)據(jù)恢復(fù)在電子物證檢驗中的應(yīng)用

數(shù)據(jù)恢復(fù)的每一個步驟都要嚴格依照法律規(guī)定的程序，確保得到的數(shù)據(jù)可以作為具有法律效力的證據(jù)。電子物證檢驗的數(shù)據(jù)具有可修改性、多重性、易失性等特點，任何一點失誤或疏漏都可能造成證據(jù)滅失。因此進行數(shù)據(jù)恢復(fù)，要詳細記錄操作的方法、步驟、使用的工具以及存儲、包裝、提取過程等。數(shù)據(jù)恢復(fù)在電子物證檢驗中的應(yīng)用有多種情況，在取證過程中也會遇到各種不同的數(shù)據(jù)恢復(fù)，采用的方法也有區(qū)別。目前，數(shù)據(jù)恢復(fù)技術(shù)在電子物證檢驗中的應(yīng)用一般按照下面步驟進行：

（1）按照電子物證現(xiàn)場勘查規(guī)則提取物證，注意提取時候的原則：對于客戶端計算機開機狀態(tài)就直接斷電，而網(wǎng)絡(luò)服務(wù)器則在開機時要按照正常的關(guān)機程序操作。保護現(xiàn)場計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染。

（2）復(fù)制客戶端計算機或服務(wù)器硬盤源盤數(shù)據(jù)或制作鏡像文件存放到目標盤內(nèi)，將源盤封存，保證數(shù)據(jù)的完整性，最大程度對原始數(shù)據(jù)的保護。

（3）對目標盤分析現(xiàn)存的正常文件和未被覆蓋的數(shù)據(jù)，以及有密碼保護的文件和加密文件。使用取證軟件的過濾功能能夠方便的得到目標盤現(xiàn)有的數(shù)據(jù)。

（4）對目標盤全盤掃描，發(fā)現(xiàn)更多可恢復(fù)數(shù)據(jù)。使用取證軟件搜索或過濾隱藏文件、臨時文件和交換文件的內(nèi)容。

（5）在目標盤上動態(tài)仿真，訪問被保護或加密文件的內(nèi)容，或者提供給極光網(wǎng)絡(luò)密碼破解系統(tǒng)。

（6）在目標盤上使用取證軟件的“搜索”功能分析未分配磁盤空間，發(fā)現(xiàn)其中的數(shù)據(jù)殘留。其中搜索時需要使用關(guān)鍵字搜索，能夠在未分配磁盤空間內(nèi)快速搜索所需內(nèi)容。

（7）同上一步驟，使用“搜索”功能分析文件中的slack空間即每單位簇內(nèi)的剩余空間內(nèi)的數(shù)據(jù)，往往會發(fā)現(xiàn)有用的證據(jù)。

（8）制作取證報告，分析取證結(jié)果，并將數(shù)據(jù)刻成光盤，附卷移送司法機關(guān)。對于具備鑒定資質(zhì)的電子物證實驗室，可以出具法庭認可的鑒定書，其可信度更大。

4 總結(jié)

數(shù)據(jù)恢復(fù)是電子物證檢驗非常重要的一個步驟，其技術(shù)博大精深，不同的軟件處理，得到的數(shù)據(jù)也有所不同，有時候只有通過分析底層二進制數(shù)據(jù)，才能獲取較好的恢復(fù)效果，因此要想從數(shù)據(jù)中得到更多的犯罪信息，只有不斷磨礪寶劍，在工作中不斷總結(jié)，為打擊犯罪盡到自己綿薄之力！