吳漢勇，陸克思佳，田一粟，李文卿

（南京森林警察學(xué)院，江蘇 南京 210023）

計(jì)算機(jī)全面普及的今天，越來越多刑事案件中的犯罪嫌疑人會(huì)利用計(jì)算機(jī)進(jìn)行犯罪活動(dòng)，而在對這些刑事案件的偵查過程中，對涉案計(jì)算機(jī)的勘驗(yàn)檢查至關(guān)重要。在對計(jì)算機(jī)勘查所獲取的證據(jù)中，最主要的就是電子證據(jù)。電子證據(jù)是網(wǎng)絡(luò)犯罪偵查中的用詞，而在法律文書中，電子證據(jù)被表述為電子數(shù)據(jù)。因此，通用意義上的電子證據(jù)即為訴訟中的電子數(shù)據(jù)。在2012年修訂的《中華人民共和國刑事訴訟法》、2013年實(shí)施的《中華人民共和國民事訴訟法》、2014年11月1日修訂將于2015年5月1日實(shí)施的《中華人民共和國行政訴訟法》中，電子數(shù)據(jù)已經(jīng)正式成為一項(xiàng)證據(jù)分類。因此，避免了曾經(jīng)在訴訟過程中電子數(shù)據(jù)不能夠直接證明犯罪事實(shí)和相關(guān)證據(jù)證明力不足的尷尬。在偵查過程中，電子數(shù)據(jù)信息量大，包含的信息多，很容易從中尋找到犯罪線索和犯罪證據(jù)。電子數(shù)據(jù)較物證書證等傳統(tǒng)證據(jù)具有許多特殊性：一是表現(xiàn)形式多樣性。電子數(shù)據(jù)一般是通過顯像設(shè)備以文字、圖形、視頻圖像資料等形式呈現(xiàn)在用戶面前，因此多能直接反映犯罪嫌疑人的犯罪事實(shí)或作案過程。二是依賴介質(zhì)性。電子數(shù)據(jù)的本質(zhì)是二進(jìn)制的“0”和“1”按一定規(guī)則組成的，而這些代碼都必須通過電磁方式或者光學(xué)方式產(chǎn)生記錄和傳輸，因此無論是電子數(shù)據(jù)的存儲(chǔ)還是傳遞都離不開光電磁介質(zhì)，如光盤、軟盤、硬盤、U盤等。三是客觀穩(wěn)定性。計(jì)算機(jī)是精密設(shè)備，如果排除人為因素和軟硬件故障等因素，電子數(shù)據(jù)相比物證書證證人證言，不會(huì)像物證那樣受環(huán)境影響而改變，不會(huì)如書證那樣在記錄的時(shí)候出現(xiàn)筆誤，不會(huì)像證人證言出現(xiàn)誤傳、誤導(dǎo)、誤記或帶有主觀性等情況。電子數(shù)據(jù)易于備份，不容易損毀丟失，加之電子數(shù)據(jù)本身的屬性和MD5或者HASH值如同人的指紋一樣，不同數(shù)據(jù)必然會(huì)有不同的MD5或者HASH值，并且可以利用這樣的唯一性進(jìn)行同一認(rèn)定。四是易破壞性。由于電子數(shù)據(jù)的依賴介質(zhì)性，電子數(shù)據(jù)必須依托于存儲(chǔ)介質(zhì)，因此介質(zhì)一旦損毀，其中保存的數(shù)據(jù)也就相應(yīng)被破壞了。其次，電子數(shù)據(jù)一旦經(jīng)由人為操作或者出現(xiàn)軟硬件錯(cuò)誤，電子數(shù)據(jù)極易遭到人為破壞和丟失。

隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用，人們對計(jì)算機(jī)技術(shù)掌握程度越來越高。許多犯罪嫌疑人為了掩飾犯罪，在實(shí)施犯罪后，對計(jì)算機(jī)及其附屬設(shè)備進(jìn)行數(shù)據(jù)刪除或者格式化等操作，甚至進(jìn)行物理性的破壞，導(dǎo)致數(shù)據(jù)無法直接獲取。因此，只有利用數(shù)據(jù)恢復(fù)技術(shù)對已經(jīng)刪除破壞的數(shù)據(jù)進(jìn)行復(fù)原提取，才能獲取線索證據(jù)，更好地打擊犯罪，為訴訟的順利進(jìn)行提供幫助。在PC市場中，Windows操作系統(tǒng)的全球占有率為91.48%，在發(fā)展中國家其占有率更高，在實(shí)際偵查工作中，涉及的計(jì)算機(jī)幾乎全部是Windows系統(tǒng)的計(jì)算機(jī)，由于不同操作系統(tǒng)的計(jì)算機(jī)文件系統(tǒng)構(gòu)成不盡相同，所以本文主要論述Windows系統(tǒng)的計(jì)算機(jī)數(shù)據(jù)恢復(fù)。

一、電子數(shù)據(jù)損毀的情形

（一）數(shù)據(jù)在物理環(huán)境下的損毀

由于數(shù)據(jù)的依賴介質(zhì)性，因此在物理環(huán)境下，數(shù)據(jù)的存儲(chǔ)介質(zhì)被損毀就會(huì)導(dǎo)致存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)不同程度地被損毀。

就機(jī)械硬盤而言，有如下幾種原因會(huì)導(dǎo)致機(jī)械硬盤的損毀：一是硬盤盤片磨損。機(jī)械硬盤在進(jìn)行讀寫數(shù)據(jù)時(shí)，整個(gè)盤片處于高速旋轉(zhuǎn)狀態(tài)中，如果忽然切斷電源，將使磁頭與盤片猛烈摩擦。盤體受到劇烈震動(dòng)、溫度氣壓的變化也會(huì)使得磁頭或者盤體變形磨損盤片。二是磁盤受到強(qiáng)磁場的磁化。磁場是損毀硬盤數(shù)據(jù)的隱形殺手，如音箱、手機(jī)、電臺(tái)等附近的強(qiáng)磁場可能磁化附近的硬盤。三是讀寫負(fù)荷過大。硬盤是個(gè)消耗品，從出廠通電那一刻起就開始消耗硬盤的壽命，大文件的讀寫會(huì)加速硬盤產(chǎn)生壞道從而損壞。

就SSD（固態(tài)硬盤）而言，由于SSD的工作原理和傳統(tǒng)機(jī)械硬盤不一樣，SSD沒有像機(jī)械硬盤一樣的盤片，取而代之的是固態(tài)電子存儲(chǔ)芯片陣列和主控芯片。因此，主控芯片一旦損壞或者固態(tài)電子存儲(chǔ)芯片達(dá)到其壽命，其中的數(shù)據(jù)就會(huì)損毀。

（二）數(shù)據(jù)在虛擬環(huán)境下的損毀

虛擬環(huán)境中數(shù)據(jù)大多是在計(jì)算機(jī)系統(tǒng)內(nèi)操作的過程中損毀的，一般分為如下幾種情況：一是病毒對數(shù)據(jù)的破壞。計(jì)算機(jī)病毒被激發(fā)后，通過攻擊系統(tǒng)區(qū)（主引導(dǎo)扇區(qū)、Boot扇區(qū)、目錄文件分配區(qū)）的內(nèi)容，導(dǎo)致無法開機(jī)或者文件丟失。有些病毒則直接破壞數(shù)據(jù)區(qū)內(nèi)的用戶數(shù)據(jù)，如刪除文件、修改文件、替換文件、刪除部分程序代碼等。二是用戶主動(dòng)對數(shù)據(jù)的操作。如刪除文件（從回收站永久刪除）、覆蓋文件或者對整個(gè)分區(qū)乃至磁盤進(jìn)行格式化。

二、數(shù)據(jù)恢復(fù)的原理

由于許多犯罪嫌疑人具有一定的反偵查意識，有的犯罪嫌疑人掌握了一定的計(jì)算機(jī)技術(shù)，會(huì)對案件相關(guān)數(shù)據(jù)刪除，對存儲(chǔ)相關(guān)數(shù)據(jù)的磁盤進(jìn)行格式化等操作。事實(shí)上，刪除和格式化的操作實(shí)際上并不是真正地抹去所有的數(shù)據(jù)，可以進(jìn)行恢復(fù)操作。

（一）數(shù)據(jù)存儲(chǔ)原理

談到數(shù)據(jù)刪除和數(shù)據(jù)恢復(fù)必然要談數(shù)據(jù)存儲(chǔ)原理，以最普遍使用的Windows系統(tǒng)來說：硬盤需要經(jīng)過一系列的處理，然后才能存儲(chǔ)數(shù)據(jù)。首先是低級格式化，為硬盤劃分磁道、安排扇區(qū)，然后對它進(jìn)行分區(qū)。分區(qū)完成后就是寫入硬盤的主引導(dǎo)記錄MBR和分區(qū)表并在分區(qū)表中記錄分區(qū)信息（在GPT分區(qū)結(jié)構(gòu)中，分區(qū)完成后會(huì)寫入MBR類似的標(biāo)記--PMBR和分區(qū)表和備份分區(qū)表，并在其中記錄各分區(qū)的信息）。分區(qū)完成后，分區(qū)的磁盤文件格式一般是RAW格式的分區(qū)，分區(qū)后還要將各分區(qū)進(jìn)行高級格式化，按順序?qū)⒎謪^(qū)劃分為目錄文件分配區(qū)和數(shù)據(jù)區(qū)，目錄文件分配區(qū)內(nèi)記錄著每一個(gè)文件的屬性、大小及其在數(shù)據(jù)區(qū)的位置等。在向硬盤中存儲(chǔ)文件時(shí)，系統(tǒng)首先會(huì)在目錄文件分配區(qū)內(nèi)記錄文件名稱、大小，以及文件在數(shù)據(jù)區(qū)的起始位置，然后開始向數(shù)據(jù)區(qū)寫入文件的真正內(nèi)容，從而完成一個(gè)文件的存儲(chǔ)。

（二）數(shù)據(jù)刪除和恢復(fù)原理

當(dāng)刪除文件的時(shí)候，Windows只不過是把這個(gè)文件在目錄文件分配區(qū)的名稱和位置等記錄成空白區(qū)域，等待下次寫入。此時(shí)，真正的文件并沒有刪除，只不過是目錄文件分配區(qū)中的索引被修改。

當(dāng)用Fdisk命令對硬盤分區(qū)進(jìn)行刪除操作或者用Format命令進(jìn)行格式化后，數(shù)據(jù)區(qū)的內(nèi)容并沒有丟失，F(xiàn)disk命令只是刪除了原有分區(qū)表，F(xiàn)ormat命令只是刪除了文件分配表。數(shù)據(jù)恢復(fù)正是利用以上原理，通過一定的算法掃描出已經(jīng)刪除的文件，檢測不同的文件類型，將數(shù)據(jù)零散地恢復(fù)出來，命名也多和原文件不同。由此，在涉案Windows系統(tǒng)計(jì)算機(jī)中被犯罪嫌疑人破壞的數(shù)據(jù)才能夠得以恢復(fù)，并作為線索證據(jù)推進(jìn)偵查起訴工作。

三、數(shù)據(jù)恢復(fù)的方法

根據(jù)數(shù)據(jù)被破壞刪除的方式，可以將數(shù)據(jù)恢復(fù)分為硬件恢復(fù)和軟件恢復(fù)。當(dāng)然，還有其他的恢復(fù)方式，如利用軟件自帶的自動(dòng)備份功能恢復(fù)以及從云端恢復(fù)數(shù)據(jù)。

（一）硬件恢復(fù)

硬件恢復(fù)就是硬盤或者其他存儲(chǔ)介質(zhì)出現(xiàn)物理性損傷，如有磁盤出現(xiàn)壞道、機(jī)械硬盤的磁盤主控制芯片損壞等。因此，通過常規(guī)手段無法獲取其中存儲(chǔ)的數(shù)據(jù)，我們可以通過硬件恢復(fù)的方法，通過修復(fù)磁道或者修復(fù)替換磁盤主控制芯片來恢復(fù)硬盤中存儲(chǔ)的數(shù)據(jù)。硬件恢復(fù)需要購買一些專業(yè)設(shè)備（電烙鐵，各種硬盤芯片以及電路板等），再加之還需要懂一些電路知識，因此在日常使用和偵查活動(dòng)中，由于設(shè)備條件和技術(shù)限制，硬件恢復(fù)使用得較少。

（二）軟件恢復(fù)

該恢復(fù)方法是硬盤本身沒有物理損傷，而是由于犯罪嫌疑人進(jìn)行數(shù)據(jù)刪除破壞或者病毒對文件的破壞造成的數(shù)據(jù)丟失，如格式化、重新分區(qū)。通過一系列軟件如 FinalDate、Easyrecovery、DiskGenius和360文件恢復(fù)等對已刪除的數(shù)據(jù)進(jìn)行掃描恢復(fù)的方法叫軟件恢復(fù)。這些軟件界面好，操作簡便，但在執(zhí)行計(jì)算機(jī)現(xiàn)場勘查的過程中有時(shí)會(huì)遇到犯罪嫌疑人把系統(tǒng)文件也刪除或者格式化，導(dǎo)致計(jì)算機(jī)無法正常啟動(dòng)，可以修改CMOS中的引導(dǎo)驅(qū)動(dòng)器，用移動(dòng)存儲(chǔ)設(shè)備中的系統(tǒng)如 Windows8/8.1（Windows8以及Windows8.1中集成的WindowsToGo技術(shù)是可以支持安裝在移動(dòng)存儲(chǔ)設(shè)備的）和PE系統(tǒng)引導(dǎo)開機(jī)來進(jìn)行軟件恢復(fù)操作。

（三）其他方法

除上述兩種主要恢復(fù)方法外，還有利用軟件自動(dòng)備份功能恢復(fù)，如Windows7、Windows8/8.1系統(tǒng)中有自動(dòng)備份功能，在安裝一些軟件或者對涉及系統(tǒng)文件的修改，系統(tǒng)會(huì)自動(dòng)備份當(dāng)前設(shè)置和文件，選擇其中的備份文件進(jìn)行恢復(fù)。

另一種恢復(fù)方法是云恢復(fù)。云是網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺(tái)技術(shù)、應(yīng)用技術(shù)等的總稱。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，云在日常生活和辦公中越來越普及，云存儲(chǔ)為數(shù)據(jù)的安全性和可靠性提供了保障，因此在進(jìn)行計(jì)算機(jī)犯罪現(xiàn)場勘查時(shí)，云技術(shù)可以用于數(shù)據(jù)恢復(fù)和偵查取證。如微軟公司的一款辦公軟件OneDrive，會(huì)自動(dòng)同步將用戶文檔以及圖片等信息上傳到云端，雖然本地文件已經(jīng)被刪除，但是在獲取到了用戶入口（賬號密碼）后，就可以進(jìn)入云存儲(chǔ)空間將數(shù)據(jù)恢復(fù)下載。

四、數(shù)據(jù)恢復(fù)時(shí)勘查取證的方法

恢復(fù)數(shù)據(jù)的目的是為偵查提供線索，為訴訟提供證據(jù)。為了保證所恢復(fù)出來的電子數(shù)據(jù)的法庭證明力，在進(jìn)行數(shù)據(jù)恢復(fù)時(shí)要特別注意勘查取證的方法和要求：

（一）現(xiàn)場保護(hù)的方法

1.確認(rèn)計(jì)算機(jī)狀態(tài)，正確處置。首先要判斷現(xiàn)場是否有繼續(xù)受到的安全威脅及擴(kuò)大損害的可能性，并采取正確的應(yīng)急處置辦法。

2.保持現(xiàn)場“靜態(tài)”。保持系統(tǒng)的原始狀態(tài)，即到達(dá)現(xiàn)場之初的開關(guān)機(jī)狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運(yùn)行狀態(tài)。要保持計(jì)算機(jī)現(xiàn)場處于靜態(tài)，就要避免計(jì)算機(jī)進(jìn)入休眠狀態(tài)；注意觀察系統(tǒng)運(yùn)行狀態(tài)，防備外部攻擊和自毀程序的啟動(dòng)；注意觀察搜集呈離散狀態(tài)的紙張、電磁介質(zhì)；注意對小型、異形存儲(chǔ)設(shè)備的管控。

3.控制現(xiàn)場人員。無論是犯罪嫌疑人、被害人還是案件無關(guān)人員，任何人不得觸碰計(jì)算機(jī)系統(tǒng)及外圍設(shè)備，不得接觸現(xiàn)場電源總成，防止系統(tǒng)狀態(tài)被改變、文件和數(shù)據(jù)被增刪、取出或安放移動(dòng)存儲(chǔ)等，防止證據(jù)或線索的破壞和滅失。

4.保護(hù)原始物證。未經(jīng)案件偵查人員同意，禁止任何人攜帶電子存儲(chǔ)介質(zhì)、紙張及其他證據(jù)離開現(xiàn)場。

（二）現(xiàn)場勘查的合法性要求

恢復(fù)數(shù)據(jù)要遵循合法性要求。合法性要求在數(shù)據(jù)恢復(fù)中主要體現(xiàn)在主體合法、程序合法和證據(jù)合法。第一，主體合法。公安部《計(jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子數(shù)據(jù)檢查規(guī)則》第6條規(guī)定：“執(zhí)行計(jì)算機(jī)犯罪現(xiàn)場勘驗(yàn)與電子數(shù)據(jù)檢查任務(wù)的人員，應(yīng)當(dāng)具備計(jì)算機(jī)現(xiàn)場勘驗(yàn)與電子數(shù)據(jù)檢查的專業(yè)知識和技能?！敝黧w合法主要是指在數(shù)據(jù)恢復(fù)的過程中，操作該恢復(fù)過程需要兩名以上具備相關(guān)專業(yè)技能的偵查員。如此，才能保證恢復(fù)出來的電子數(shù)據(jù)在訴訟中的證明效力。第二，程序合法。取證過程中，取證時(shí)要使用硬盤只讀鎖，在硬盤中的原有數(shù)據(jù)保持不變的情況下，準(zhǔn)備容量足夠的移動(dòng)硬盤來拷貝硬盤，避免恢復(fù)過程中數(shù)據(jù)溢出導(dǎo)致恢復(fù)數(shù)據(jù)不完整。第三，證據(jù)合法。需要進(jìn)行恢復(fù)操作的數(shù)據(jù)大多存儲(chǔ)在硬盤、U盤中，為保證有關(guān)權(quán)利人的合法權(quán)益，電子取證的對象應(yīng)該是可能受攻擊、被入侵而被封存的計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)，必須在海量的數(shù)據(jù)中區(qū)分哪些是與證明案件事實(shí)有關(guān)聯(lián)的信息，哪些是無關(guān)數(shù)據(jù)，哪些是因感染特種木馬留下的記錄“痕跡”。尤其要注意，在檢查時(shí)只有被懷疑可能涉及國家秘密的電子文件資料才能作為被取證調(diào)查的對象打開查看，其他與案件事實(shí)無關(guān)的數(shù)據(jù)，不能任意檢索查看?！吨腥A人民共和國刑事訴訟法》第五十二條規(guī)定：“對涉及國家秘密、商業(yè)秘密、個(gè)人隱私的證據(jù)，應(yīng)當(dāng)保密。”偵查人員在恢復(fù)數(shù)據(jù)的過程中，對涉及國家秘密、商業(yè)機(jī)密、個(gè)人隱私的數(shù)據(jù)需要進(jìn)行保密封存。

根據(jù)最高人民法院的法律解釋:原始證據(jù)的證明力大于傳來證據(jù)的證明力。電子數(shù)據(jù)具有易復(fù)制性，在恢復(fù)過程中數(shù)據(jù)需要復(fù)制一次甚至多次，為了保證數(shù)據(jù)的原始性，在提取證據(jù)的時(shí)候需要記錄相關(guān)文件的MD5和HASH值以保證所提取證據(jù)的原始性，增強(qiáng)恢復(fù)數(shù)據(jù)的證明力。因此，保證數(shù)據(jù)的原始性，也是保證證據(jù)合法性的重要方法。

（三）對計(jì)算機(jī)的內(nèi)部現(xiàn)場和外部現(xiàn)場的勘查

1.外部現(xiàn)場勘查。首先，任何對環(huán)境的改變應(yīng)在照相之后進(jìn)行。拍攝各部件的連接情況，通?？刹捎迷诰€纜兩頭貼標(biāo)簽、標(biāo)明序號的方法。這一方法不僅可以明確地看出設(shè)備連接情況，還可以為日后重建現(xiàn)場提供可靠的依據(jù)。其次，徹底搜查散在的移動(dòng)存儲(chǔ)介質(zhì)，包括軟盤、光盤、U盤等。如果現(xiàn)場計(jì)算機(jī)處于關(guān)機(jī)狀態(tài)，在光驅(qū)內(nèi)可能存留有光盤。對于搜查到的存儲(chǔ)介質(zhì)可以進(jìn)行預(yù)覽，注意不能用現(xiàn)場遺留的計(jì)算機(jī)，而應(yīng)該使用自帶的筆記本電腦，在保證存儲(chǔ)介質(zhì)處于只讀狀態(tài)時(shí)方可預(yù)覽。對于有嫌疑的介質(zhì)，應(yīng)立即備份，并編號、封存、扣押。搜查現(xiàn)場的文書材料，是否有打印文檔、書寫記錄、日常工作記錄（記錄系統(tǒng)操作人員的交接和重要操作內(nèi)容）等。在實(shí)際偵查工作中發(fā)現(xiàn)，有部分人習(xí)慣將難以記住的用戶名和密碼寫在紙上，粘貼在顯示器側(cè)面、底座以及鍵盤的下部等隱蔽位置。這些用戶名和密碼有時(shí)候恰恰是數(shù)據(jù)恢復(fù)的突破口。云恢復(fù)方法正是利用獲取到的用戶名和密碼來把云端的數(shù)據(jù)恢復(fù)到本地。最后，外部現(xiàn)場的物理證據(jù)的搜集和取證，指紋、筆跡、以及微量物證也是在對涉案計(jì)算機(jī)所在現(xiàn)場勘查和取證不可忽略的重要傳統(tǒng)證據(jù)。

2.內(nèi)部現(xiàn)場勘查。首先，在內(nèi)部現(xiàn)場勘查取證工作中，最重要的就是提取易失數(shù)據(jù)，雖然數(shù)據(jù)恢復(fù)技術(shù)就是用來進(jìn)行恢復(fù)的，但恢復(fù)并不是萬能的，有些重要數(shù)據(jù)一旦丟失就再也不能找回。所謂易失數(shù)據(jù)，是指存在于開機(jī)狀態(tài)下的計(jì)算機(jī)系統(tǒng)中，包含有當(dāng)前系統(tǒng)信息、內(nèi)存數(shù)據(jù)、臨時(shí)數(shù)據(jù)、進(jìn)程、網(wǎng)絡(luò)端口、虛擬內(nèi)存等信息的數(shù)據(jù)，在計(jì)算機(jī)休眠、關(guān)閉電源后，這些數(shù)據(jù)信息就有可能改變或丟失。在進(jìn)行數(shù)據(jù)恢復(fù)之前，要對已經(jīng)存在的數(shù)據(jù)進(jìn)行提取固定和備份，重點(diǎn)是網(wǎng)站的歷史記錄信息（歷史記錄、COOKIES等）、聊天記錄（包括QQ等社交軟件和聊天室的遺留信息）以及緩存的文件（可從中提取破解相關(guān)賬戶密碼）。將原有的相關(guān)數(shù)據(jù)提取固定后再進(jìn)行數(shù)據(jù)恢復(fù)，可以保證數(shù)據(jù)的完整性，以防原有數(shù)據(jù)遭到恢復(fù)出來的數(shù)據(jù)覆蓋。

（四）電子證據(jù)的固定與轉(zhuǎn)化

數(shù)據(jù)恢復(fù)后還需要進(jìn)行固定和轉(zhuǎn)化證據(jù)，雖然在《中華人民共和國訴訟法》中，視聽資料和電子數(shù)據(jù)已經(jīng)作為證據(jù)的一種重要形式，但是由于電子數(shù)據(jù)本身固有的復(fù)雜性、抽象性、不穩(wěn)定性和易滅失性等特性，造成了電子證據(jù)在法律訴訟中的可采信度較低。因此，應(yīng)根據(jù)案件偵查起訴需要將電子數(shù)據(jù)轉(zhuǎn)化成其他證據(jù)類型：

1.純數(shù)據(jù)類（包括操作記錄）：對顯示器拍照或者截圖固定并附上相關(guān)數(shù)據(jù)的MD5或HASH值，并對數(shù)據(jù)進(jìn)行分析，作出分析結(jié)論，作為書證使用。

2.視聽文件類（包括圖片、視頻、音頻）：對顯示器拍照或截取代表性的圖片，附上相關(guān)數(shù)據(jù)的MD5或HASH值，將其中的電子數(shù)據(jù)通過相關(guān)設(shè)備和軟件轉(zhuǎn)化成為視聽資料。

3.純文字類：對顯示器拍照或截圖固定，附上相關(guān)數(shù)據(jù)的MD5或HASH值，打印出來作為書證使用。

結(jié)語

隨著科技發(fā)展，計(jì)算機(jī)技術(shù)的應(yīng)用越來越廣泛，在各種違法犯罪中，涉及計(jì)算機(jī)的案件也越來越多。在這些案件中，許多證據(jù)和線索都隱藏在計(jì)算機(jī)中。但是，電子數(shù)據(jù)非常容易受到人為的修改和破壞，導(dǎo)致在偵查過程中難以發(fā)現(xiàn)。因此，掌握計(jì)算機(jī)相關(guān)技術(shù)已經(jīng)成為偵查人員的必修課，而數(shù)據(jù)恢復(fù)技術(shù)正是這門必修課中的重要一章。

[1]艾紹新.Windows數(shù)據(jù)恢復(fù)技術(shù)在電子取證中的應(yīng)用研究[D].大慶:東北石油大學(xué),2013.

[2]劉長文.數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)犯罪偵查中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(3).

[3]張棟.重視運(yùn)用數(shù)據(jù)恢復(fù)技術(shù)手段[N].檢察日報(bào),2014-02-17(3).

[4]李喆.計(jì)算機(jī)犯罪現(xiàn)場及現(xiàn)場電子數(shù)據(jù)處理研究[J].技術(shù)研究20 12(5).

[5]黃步根.數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證[J].計(jì)算機(jī)安全,2006(6).