劉妍+王青

摘 要：在文章中，基于計(jì)算機(jī)取證概念以及相關(guān)技術(shù)的分析，研究數(shù)據(jù)恢復(fù)技術(shù)主要的應(yīng)用方式，促進(jìn)其自動取證與自動恢復(fù)工作。在這種發(fā)展情況下，不僅能為法律工作提供相關(guān)依據(jù)，還能促進(jìn)計(jì)算機(jī)使用的安全性與穩(wěn)定性，促進(jìn)數(shù)據(jù)恢復(fù)技術(shù)的充分利用，實(shí)現(xiàn)計(jì)算機(jī)取證工作的科學(xué)、合理性。

關(guān)鍵詞：數(shù)據(jù)恢復(fù)技術(shù)；計(jì)算機(jī)；取證；應(yīng)用

中圖分類號：TP309.2 文獻(xiàn)標(biāo)志碼：A 文章編號：2095-2945（2017）23-0159-02

1 計(jì)算機(jī)取證

1.1 計(jì)算機(jī)取證的概念分析

計(jì)算機(jī)取證工作是對計(jì)算機(jī)犯罪證據(jù)進(jìn)行識別，實(shí)現(xiàn)信息傳輸、保存以及分析等證據(jù)提取過程。在整體上，是對計(jì)算機(jī)系統(tǒng)進(jìn)行掃描以及重建，在取證系統(tǒng)中，也是實(shí)現(xiàn)動態(tài)性與靜態(tài)性記錄工作，促進(jìn)數(shù)據(jù)的恢復(fù)與還原。

1.2 計(jì)算機(jī)取證的特點(diǎn)研究

計(jì)算機(jī)取證工作是基于電子證據(jù)開展工作的，主要的執(zhí)行目的是在計(jì)算機(jī)以及相關(guān)設(shè)備中將犯罪信息反應(yīng)出來，保證能夠做為法律依據(jù)。同時，電子證據(jù)也是一種計(jì)算機(jī)證據(jù)，在計(jì)算機(jī)實(shí)際運(yùn)行期間，通過記錄相關(guān)內(nèi)容，分析真實(shí)案件和信息。而且，這些電子證據(jù)與傳統(tǒng)的證據(jù)是不同的，電子證據(jù)具備一定的準(zhǔn)確性、完整性以及可行性，符合現(xiàn)代法律制度，能夠?qū)⑵渥鳛橄嚓P(guān)依據(jù)。同時，電子證據(jù)的表現(xiàn)形式是多種多樣的，基于多媒體技術(shù)的影響，使用電子證據(jù)，能夠利用文本、圖形以及動畫信息等充分展現(xiàn)出來，其含有所有的證據(jù)類型。

對于電子證據(jù)與傳統(tǒng)證據(jù)存在的區(qū)別。第一，計(jì)算機(jī)數(shù)據(jù)是不斷改變的。第二，電子數(shù)據(jù)在表面上是無法識別的，需要利用相關(guān)工具才能看到。第三，電子數(shù)據(jù)在不斷傳輸、儲存以及期間，是利用計(jì)算機(jī)技術(shù)、儲存技術(shù)以及一些先進(jìn)設(shè)備來完成的，但是，電子證據(jù)是無法傳輸與保存的。第四，在對計(jì)算機(jī)相關(guān)數(shù)據(jù)進(jìn)行搜集過程中，需要對已經(jīng)嚴(yán)重破壞的數(shù)據(jù)進(jìn)行修改。

1.3 電子證據(jù)的來源和取證方法

電子證據(jù)的來源是多種多樣的，其中主要包括系統(tǒng)日志、防火墻以及反病毒軟件日志等。還包括操作系統(tǒng)以及數(shù)據(jù)庫中存在的隱藏文件等。

對于電子證據(jù)的取證方法，可以實(shí)現(xiàn)數(shù)據(jù)檢查方法、數(shù)據(jù)對比法以及數(shù)據(jù)分析法等。在工作執(zhí)行期間，將動態(tài)取證工作作為其中的主要因素，實(shí)現(xiàn)靜態(tài)取證工作。實(shí)現(xiàn)動態(tài)與靜態(tài)的結(jié)合性，促進(jìn)電子取證方法的綜合利用，能夠?yàn)殡娮尤∽C工作的積極發(fā)展提供重要方向。

基于相關(guān)理論的分析，在計(jì)算機(jī)取證工作中，一些工作人員能否找到一些犯罪證據(jù)，需要對犯罪證據(jù)的覆蓋特點(diǎn)就分析。對于取證軟件來說，在對數(shù)據(jù)進(jìn)行分析過程中，一定要研究文件是否與犯罪相關(guān)。在計(jì)算機(jī)取證工作中，獲得電子證據(jù)還需要對動態(tài)取證技術(shù)進(jìn)行研究。其中，實(shí)現(xiàn)計(jì)算機(jī)取證工作需要充分利用防火墻、檢測技術(shù)等一些網(wǎng)絡(luò)安全技術(shù)，促進(jìn)研究工作的動態(tài)性發(fā)展。針對系統(tǒng)日志，需要利用第三方日志、加密技術(shù)對其研究。在對電子證據(jù)進(jìn)行分析過程中，基于大量數(shù)據(jù)的分析和研究，研究一些與犯罪相關(guān)的證據(jù)，對相關(guān)性技術(shù)進(jìn)行研究，在該執(zhí)行下，不僅能實(shí)現(xiàn)工作高效率發(fā)展，促進(jìn)檢測算法的優(yōu)化性與完整性，還能對相關(guān)的優(yōu)化方法進(jìn)行研究。

1.4 計(jì)算機(jī)取證技術(shù)的局限性

在我國，對計(jì)算機(jī)取證工作的研究還處于初級階段，電子證據(jù)目前已經(jīng)被認(rèn)可，但是，電子證據(jù)具備的抗抵賴性、防篡改性還需要進(jìn)一步分析，所以說，計(jì)算機(jī)取證在一定程度上還存在較大局限性。

第一，對于開發(fā)的取證軟件，主要對磁盤進(jìn)行分析，尤其是磁盤拷貝、數(shù)據(jù)被刪除恢復(fù)等軟件的研究。對于其他的取證工作，還在利用人工專家對其取證，從而導(dǎo)致計(jì)算機(jī)取證在期間產(chǎn)生一定錯覺。第二，計(jì)算機(jī)取證工作是一種新的發(fā)展領(lǐng)域，各個企業(yè)和組織都為其投入大量資源，但在整體上，還沒有為其構(gòu)建相關(guān)標(biāo)準(zhǔn)，軟件與相關(guān)工具的使用也無法促進(jìn)其可靠性與有效性。一些機(jī)構(gòu)在計(jì)算機(jī)取證工作中，也沒有對工作人員進(jìn)行認(rèn)證，影響取證工作的權(quán)威性。第三，計(jì)算機(jī)取證技術(shù)與計(jì)算機(jī)技術(shù)安全自身也存在較大缺陷，會影響到證據(jù)的完整性與存在的原始性特征。

1.5 計(jì)算機(jī)取證技術(shù)的發(fā)展方向

近幾年，隨著黑客技術(shù)的不斷提升，計(jì)算機(jī)取證技術(shù)也得以更新。為了促進(jìn)取證信息具備一定的法律法規(guī)要求，基于目前的網(wǎng)絡(luò)入侵技術(shù)和黑客技術(shù)，還需要對計(jì)算機(jī)取證工作進(jìn)行研究，促進(jìn)其使用的完善性。其中，計(jì)算機(jī)取證技術(shù)的發(fā)展方向主要表現(xiàn)為：第一，取證工具開始向著自動化、專業(yè)化方向發(fā)展。第二，取證工具和相關(guān)軟件自身具備一定的安全性，保證可靠性的提升。第三，在對工具軟件進(jìn)行開發(fā)過程中，需要基于計(jì)算機(jī)領(lǐng)域以及相關(guān)理論知識進(jìn)行研究，替代人工操作工作?；跓o線局域網(wǎng)、手機(jī)等設(shè)備，一些計(jì)算機(jī)犯罪現(xiàn)象不斷增加，其存在的犯罪形式將會以計(jì)算機(jī)、入侵檢測系統(tǒng)等相關(guān)設(shè)備體現(xiàn)的，為了展現(xiàn)出其中的信息，需要充分利用相關(guān)工具，促進(jìn)取證工作的專業(yè)性與合理性。

2 數(shù)據(jù)恢復(fù)

2.1 相關(guān)概念

數(shù)據(jù)恢復(fù)技術(shù)在使用期間，主要是將已經(jīng)破壞的，存在硬件缺陷的或者無法訪問、無法獲取的、已經(jīng)丟失的數(shù)據(jù)進(jìn)行還原，使之成為正常的數(shù)據(jù)。用戶在使用計(jì)算機(jī)系統(tǒng)過程中，當(dāng)發(fā)現(xiàn)產(chǎn)生錯誤操作現(xiàn)象、病毒侵襲以及硬件產(chǎn)生故障問題的時候，利用數(shù)據(jù)恢復(fù)技術(shù)可以將用戶一些無法讀取的信息進(jìn)行恢復(fù)，保證在較大程度上降低其產(chǎn)生的損失。

2.2 方式

數(shù)據(jù)恢復(fù)能夠?qū)σ呀?jīng)丟失的文件進(jìn)行恢復(fù)，也能將物理損傷的磁盤數(shù)據(jù)進(jìn)行恢復(fù)，也能將不同操作系統(tǒng)中的數(shù)據(jù)實(shí)施恢復(fù)工作。對于存在的數(shù)據(jù)問題，主要分為邏輯問題和硬件問題，一般情況下，數(shù)據(jù)恢復(fù)方式為軟件恢復(fù)和硬件恢復(fù)兩種，目前，國際上對數(shù)據(jù)恢復(fù)技術(shù)的分類如圖1所示。

對于其中的軟件恢復(fù)，是利用相關(guān)軟件對其恢復(fù)，沒有硬件修理與數(shù)據(jù)恢復(fù)工作。比如：存在的病毒感染、錯誤操作以及網(wǎng)絡(luò)刪除工作等。同時，軟件恢復(fù)工作還可以將其分為系統(tǒng)級恢復(fù)和文件級恢復(fù)。其中，對于系統(tǒng)級的恢復(fù)，存在的操作系統(tǒng)是不能啟動的，需要利用各個修復(fù)軟件實(shí)現(xiàn)修復(fù)工作，保證系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的恢復(fù)。對于文件級恢復(fù)，是儲存介質(zhì)上的某個應(yīng)用文件破壞。比如：當(dāng)DOC文件內(nèi)破壞，可以利用修復(fù)軟件對其修復(fù)。endprint

對于其中的硬件恢復(fù)。主要對一些硬件進(jìn)行修理。當(dāng)硬件破壞，需要將已經(jīng)失效的數(shù)據(jù)恢復(fù)到硬件中，尤其是磁盤劃傷、損傷以及一些原器件燒壞 等。硬件恢復(fù)還需要分為硬件代替、固件修復(fù)以及盤片讀取等方式。其中，對于硬件替代，是使用相同型號的硬件來替代，促使其恢復(fù)。對于固件修復(fù)工作，主要是使用一些專門的修復(fù)工具，對硬盤固件進(jìn)行修復(fù)，保證數(shù)據(jù)得以恢復(fù)。對于盤片讀取方式，是在100級的超凈工作間內(nèi)對硬盤開盤工作，并利用專業(yè)設(shè)備對數(shù)據(jù)進(jìn)行掃描，保證能夠讀出其中的數(shù)據(jù)[1]。

3 數(shù)據(jù)恢復(fù)在計(jì)算機(jī)取證中的應(yīng)用

電子取證工作在實(shí)際執(zhí)行期間，主要是從取證系統(tǒng)中獲得一些原始數(shù)據(jù)，但是，并不對這些原始數(shù)據(jù)進(jìn)行直接分析，在信息獲取期間，減少其干擾、覆蓋以及破壞現(xiàn)象。在取證工作中，基于信息網(wǎng)絡(luò)系統(tǒng)、相關(guān)設(shè)備對數(shù)據(jù)、信息進(jìn)行分析，能夠促進(jìn)其安全性與可靠性。在對數(shù)據(jù)進(jìn)行分析期間，需要對數(shù)據(jù)進(jìn)行數(shù)字簽名。基于相關(guān)理論的分析和研究，相關(guān)人員在計(jì)算機(jī)取證工作中，對犯罪數(shù)據(jù)進(jìn)行查找，研究其是否被覆蓋，只有充分找到這些數(shù)據(jù)，才能對犯罪行為進(jìn)行思考。在計(jì)算機(jī)取證系統(tǒng)中，應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)，能夠促進(jìn)目標(biāo)與任務(wù)的有效完成。但是，在計(jì)算機(jī)取證過程中，也會產(chǎn)生不同的數(shù)據(jù)恢復(fù)，使用的方法也存在較大差異。一般情況下，計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)在應(yīng)用期間，是基于相關(guān)步驟來實(shí)現(xiàn)的。

在對取證工作進(jìn)行檢查期間，維護(hù)計(jì)算機(jī)系統(tǒng)目標(biāo)，減少其產(chǎn)生的改變與破壞現(xiàn)象，以免數(shù)據(jù)被破壞或者計(jì)算機(jī)被感染。

在對系統(tǒng)中所有的目標(biāo)文件進(jìn)行搜索過程中，主要對存在的文件、已經(jīng)刪除的并且在磁盤上的文件。還包括一些沒有覆蓋的新文件、隱藏文件、密碼保護(hù)文件以及加密文件等。

還需要最大限度的將系統(tǒng)與應(yīng)用軟件中存在的一些隱藏文件、臨時文件以及交換文件等相關(guān)內(nèi)容充分顯示出來。

基于法律允許范圍，對一些正在保護(hù)、加密文件的相關(guān)內(nèi)容進(jìn)行訪問。

在一些特殊的區(qū)域，需要對所有的數(shù)據(jù)進(jìn)行分析，該范圍內(nèi)存在的種類主要包括：第一，還沒有分配的磁盤空間，主要是一些殘留的數(shù)據(jù)。第二，文件中的“slack”空間，當(dāng)文件長度沒有達(dá)到簇長度整倍數(shù)，可以將其分配給文件的最后一簇。其中，還存在沒有被使用的空間，其存在的文件信息可以被當(dāng)作證據(jù)。

對計(jì)算機(jī)系統(tǒng)中的打印目標(biāo)進(jìn)行全方位分析，并給出相關(guān)結(jié)論。在整體上，當(dāng)發(fā)現(xiàn)系統(tǒng)中存在的文件結(jié)構(gòu)、文件數(shù)據(jù)以及文件信息的時候，會實(shí)現(xiàn)信息刪除、信息隱藏以及信息保護(hù)等工作，所以，在調(diào)查期間要發(fā)現(xiàn)其存在的信息。

基于以上的分析可以發(fā)現(xiàn)，數(shù)據(jù)恢復(fù)技術(shù)能夠?qū)Υ嬖诘膯栴}進(jìn)行補(bǔ)救，但該技術(shù)在使用期間不是一種預(yù)防對策，也不是備份措施。所以，在一定特殊情況下，一些數(shù)據(jù)是無法恢復(fù)的，將會導(dǎo)致數(shù)據(jù)被覆蓋、磁盤被損傷以及產(chǎn)生低級格式化工作等[2]。

4 結(jié)束語

在計(jì)算機(jī)取證工作中，數(shù)據(jù)恢復(fù)技術(shù)為其中的主要部分。該技術(shù)在使用期間，與計(jì)算機(jī)系統(tǒng)實(shí)際環(huán)境存在關(guān)系，受環(huán)境不同要素的影響，計(jì)算機(jī)取證軟件也會面對較大復(fù)雜性，無法促進(jìn)靈活性的提升，從而影響取證工作面對的可靠特點(diǎn)。因此，實(shí)現(xiàn)自動取證以及自動恢復(fù)技術(shù)，能夠促進(jìn)安全智能化軟件的應(yīng)用，也是當(dāng)前人們研究的主要話題。

參考文獻(xiàn)：

[1]黎麗.淺談計(jì)算機(jī)犯罪取證中數(shù)據(jù)恢復(fù)技術(shù)的應(yīng)用[J].數(shù)字通信世界，2016（8）：74，95.

[2]梁效寧，黃旭，趙飛，等.監(jiān)控視頻數(shù)據(jù)取證與恢復(fù)技術(shù)的研究[J].計(jì)算機(jī)科學(xué)，2016，43（12）：110-113.endprint