王阿寶 趙欣

摘 要 在司法實踐中，有大量的案件需要電子文件、圖形圖像、影音視頻等信息作為證據(jù)使用，于是經(jīng)常遇到犯罪嫌疑人 使用的存儲設備出現(xiàn)損壞或被故意刪除犯罪證據(jù)，造成關鍵證據(jù)無法讀取、甚至丟失。公安機關偵查部門就需要采用特殊 手段設法將其恢復或將其轉化為正常狀態(tài)的文件，從而形成有法律效力的電子證據(jù)。本文介紹了運用幾種有效的數(shù)據(jù)恢 復工具，通過數(shù)據(jù)恢復的方式，提取由于各種因素導致的電子證據(jù)被刪除情況，這為對電子證據(jù)的來源提供增加了一個渠道。

【關鍵詞】數(shù)據(jù)恢復 電子證據(jù) EnCase

電子證據(jù)的補充——數(shù)據(jù)恢復是指通過技術手段，將保存在 電腦磁盤、U 盤、移動硬盤、路由器 CF、卡、手機存儲器等設備上 已經(jīng)被刪除數(shù)據(jù)進行恢復，并將其作為電子證據(jù)的補充。為保障 恢復的數(shù)據(jù)具有法律效力，在司法實踐中，需要專業(yè)的部門在確 保數(shù)據(jù)恢復過程、恢復數(shù)據(jù)的工具、相應的操作人員都要合乎相 關規(guī)范。

1 司法實踐中的電子取證工具

司法實踐中所用到的電子取證工具，常見的有 En Case、Ar-gus、Sniffers、Network monitor 等，其中取證過程中必須用到的有 鏡像工具和專業(yè)的取證軟件。其中 En Case 是目前最常用的電 子取證工具軟件，在使用的法律執(zhí)行部門超過 2000 家。由于 En Case 具有較好的人機交互界面，該工具在司法、政府、軍隊、公司監(jiān)查等領域被大量的運用，并將其作為查、管理計算機中的數(shù)據(jù) 的一種手段。調查員通過 En Case 可以高效的對計算機中的大 量證據(jù)實施，如已經(jīng)刪除的文件、閑散文件甚至是未分配空間中的數(shù)據(jù)。EnCase 已成司法實踐中 必備的電子取證工具，用于獲取、統(tǒng)計、分析以及展示計算機犯罪 的電子證據(jù)，為能夠迅速徹底地鑒定、查找和恢復計算機犯罪證 據(jù)提供了強有力的技術手段。

2 物證鑒定中的數(shù)據(jù)恢復工具

目前物證鑒定中心使用較多的數(shù)據(jù)恢復的工具有 Disk Gen-ius、Final Data、En Case、Easy Recovery、Win Hex 等，這些工具各有其由于其針對數(shù)據(jù)恢復側重不同，其最終的效果也各有千秋。

因此需要根據(jù)實際情況選擇工具，以提高數(shù)據(jù)恢復的成功率和數(shù)據(jù)的完整性。本文著重介紹 Disk Genius 專業(yè)版、Final Data 進行

數(shù)據(jù)恢復的實驗過程，從其功能、操作步驟、數(shù)據(jù)恢復效果等方面作介紹，并給出在實際司法實踐中的建議。

2.1 Disk Genius 專業(yè)版數(shù)據(jù)恢復實踐

Disk Genius 專業(yè)版具有磁盤備份分區(qū)表、重建分區(qū)表、重建MBR、壞道檢測與修復、已刪除文件或格式化后的文件恢復、備份分區(qū)為鏡像文件、克隆分區(qū)或硬盤等強大功能，是 EnCase 的最 佳組合之一。

本文僅介紹 Disk Genius 的數(shù)據(jù)恢復功能模塊。首先選擇需 要進行數(shù)據(jù)恢復的目標磁盤 H，點擊工具界面上的“恢復文件”功 能，在彈出的窗口中選擇“恢復誤刪除的文件”或者“恢復整個分 區(qū)的文件”，也可根據(jù)需要，進一步設置“選擇文件類型”，其中包 括文檔類、照片類、音頻類、視頻類、Internet 類、圖形類、壓縮存檔 類、郵件類和其他類型，在此根據(jù)需要選擇，如果事先并未確切的 知道需要恢復的文件類型，那么可以采取類型全部選取的方式， 雖然這會導致數(shù)據(jù)恢復的花費的時間增加，當時能夠確保所有可 能需要的電子證據(jù)的獲得，避免遺漏部分信息，對于小容量的存 儲設備通常采取恢復所有類型文件的方式。

當恢復文件的設置完成后，點擊“開始”，該工具就會自動掃描目標磁盤，搜索由于各種原因導致丟失或被刪除的文件夾及文件。掃描過程所需要的時間與目標磁盤的容量大小、磁盤接口類型、磁盤壞道即健康狀況、當前計算機的數(shù)據(jù)處理能力有關。當對目標磁盤掃描完成后，工具軟件會在窗口中列出本次掃描結果，窗口左邊的目錄羅列出磁盤中已識別文件、文件夾信息、目錄結構等信息，右邊窗口則是對當前選擇的文件、文件夾的詳 細描述及文件的對應的 ASCII 碼值。Disk Genius 具有便捷的預 覽功能，當完成對存儲設備的掃描后，遺失的文件在恢復前，比較 常用的文檔類、照片類、音頻類等文件可以直接預覽，這樣便于針 對性的對特定文件采取恢復措施。最后根據(jù)工具查找到的文件情況，在需要恢復的目錄或文件上點擊鼠標右鍵，彈出菜單中選擇“恢復到 ”，并根據(jù)窗口的提示將數(shù)據(jù)恢復到目標磁盤以外的存儲設備上即可。

2.2 Final Data 數(shù)據(jù)恢復實踐

首先運行 Final Data，選擇需要進行數(shù)據(jù)恢復的目標磁盤驅動器，接著在彈出的窗口中設定目標磁盤族掃描的范圍。磁盤的族——由于操作系統(tǒng)無法對數(shù)目龐大的磁盤扇區(qū)尋址，操作系統(tǒng)將磁盤上相鄰的扇區(qū)組合而形成一個簇，然后再對簇進行管理。Final Data 會顯示出目標存儲設備的總的族的數(shù)量，在開始進行掃描前，需要設置好掃描開始和結束族的范圍。如果選擇了整個存儲設備族的范圍，那么掃描所花費的時間相對就較長。接下來選擇是否需要計算丟失圖像文件的大小、是否需要計算丟失 E-mail 文件的大小、是否需要計算丟失 Office 文件的大小，然后點擊開始掃描即可。在確定開始掃描后，F(xiàn)inal Data 會自動根據(jù)前面的設置條件 對目標存儲設備進行掃描。同樣，掃描所需要的時間與目標磁盤 的容量、接口類型、健康狀況等方面因素有關。

當對目標磁盤掃描完成后，界面上會列出掃描結果，左邊的目錄列表包括磁盤中正常的目錄及文件、已刪除的目錄及文件等信息，右邊窗口時詳細的文件信息，其中包括磁盤中已經(jīng)被刪除的文件詳情。同過對羅列出來的文件進行篩選、預覽、分析后，在需要恢復的目錄或文件上點擊鼠標右鍵，彈出菜單中選擇【恢復】，根據(jù)提示將內容恢復到目標磁盤以外的存儲設備上即可。

2.3 數(shù)據(jù)恢復中需要注意的事項

在對目標存儲設備開展數(shù)據(jù)恢復過程中，每一步都要十分慎重，如果由于誤操作造成二次破壞，這將造成恢復難度增大，甚至導致某些信息無法恢復。最重要的一點就是——數(shù)據(jù)恢復過程中絕對禁止將任何形式新數(shù)據(jù)寫入源存儲設備。

為確保源存儲設備數(shù)據(jù)的安全性、原始性、真實性。在數(shù)據(jù)恢復中要做到以下幾個方面：

（1）創(chuàng)建源盤的磁盤鏡像，保護源盤數(shù)據(jù)的原始性、真實性。

（2）不要目標存儲做 DskChk 檢查，此操作很多時候會破壞數(shù)據(jù)。

（3）不要再次格式化分區(qū)，如果選擇了錯誤分區(qū)格式化類型，會導致存儲設備上大文件永久性的丟失。

（4）不要把數(shù)據(jù)直接恢復到源盤，否則極有可能將原本可以恢復的數(shù)據(jù)覆蓋，導致無法恢復。

（5）陣列丟失后不要重做陣列，在挽救服務器陣列的實踐中在服務器崩潰后強行讓陣列上線，或者直接做 rebuilding，雖然掉線了的硬盤也能強制上線，但這些操作都是非常危險，任何寫入盤的操作都有可能破壞數(shù)據(jù)。

（6）在數(shù)據(jù)恢復時，嚴禁往存儲設備里創(chuàng)建新文件。建議直接把斷電，然后把存儲設備運行在只讀模式下來開始數(shù)據(jù)恢復，避免操作系統(tǒng)索引、文檔縮略信息的寫入，導致原始數(shù)據(jù)的破壞。

3 總結

司法實踐中，物證鑒定中心開展電子取證過程，必須確保電子證據(jù)的安全和法律效力，因此需要對電子證據(jù)來源的存儲設備 進行保護。運用 En Case、Disk Genius 等工具創(chuàng)建其鏡像文件， 然后通過對磁盤鏡像的數(shù)據(jù)分析獲得有效的電子證據(jù)。本文介紹了運用幾種有效的工具軟件，通過數(shù)據(jù)恢復的方式，提取由于各種因素導致的電子證據(jù)被刪除情況，對電子證據(jù)的來源提供增加了一個渠道。那么公安、司法部門就需要采用特殊手段設法將其恢復或將其轉換為正常狀態(tài)的文件，從而形成有法律效力的電子證據(jù)。確保案件中的電子證據(jù)的安全及其法律效力問題是對網(wǎng)絡犯罪案件定罪量刑的關鍵因素。我國新刑訴法和新民訴法將電子數(shù)據(jù)證據(jù)納入了訴訟證據(jù)范圍，結合我國國情，逐步完善電子證據(jù)的刑事立法，不斷健全相關法律制度。

參考文獻

[1]硬盤數(shù)據(jù)恢復注事項”http：//bbs.tianya.cn/post-it-681005-1.shtml 2013-09-14 14：32：00.

作者單位

河南省新鄉(xiāng)市人民檢察院 河南省新鄉(xiāng)市 453000