王劍雄　高維星

摘 要 隨著科學(xué)技術(shù)的不斷發(fā)展，數(shù)據(jù)已經(jīng)成為了人們最為寶貴的財(cái)富，電子數(shù)據(jù)恢復(fù)成為公檢法部門(mén)破案、斷案、判案重要的一環(huán)，也成為各個(gè)行政、執(zhí)法機(jī)關(guān)最重要的一種電子數(shù)據(jù)取證與司法鑒定技術(shù)手段?；赪inhex的電子數(shù)據(jù)恢復(fù)技術(shù)為司法取證提供了可靠的技術(shù)保證，本文通過(guò)實(shí)例演示W(wǎng)inhex恢復(fù)電子數(shù)據(jù)的過(guò)程。

關(guān)鍵詞 電子數(shù)據(jù)恢復(fù) 司法取證 Winhex

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

0引言

隨著信息化進(jìn)程快速發(fā)展，信息技術(shù)在人們?nèi)粘９ぷ?、學(xué)習(xí)、生活中扮演著越來(lái)越重要的角色，各類(lèi)存儲(chǔ)介質(zhì)成為人們生活工作不可或缺的一個(gè)部分，海量數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器及各種存儲(chǔ)介質(zhì)中，犯罪分子為了毀滅違法行為的電子數(shù)據(jù)，人為地刪除或是惡意地破壞電子數(shù)據(jù)，在偵破審理計(jì)算機(jī)犯罪案件時(shí)，不完整的電子證據(jù)很難作為有效證據(jù)用于指控計(jì)算機(jī)犯罪分子，因此，借助硬盤(pán)數(shù)據(jù)恢復(fù)技術(shù)，完成司法案例中電子證據(jù)的搜集、固化工作，對(duì)于打擊犯罪和公正執(zhí)法有重大意義。

1硬盤(pán)結(jié)構(gòu)

硬盤(pán)結(jié)構(gòu)主要由主引導(dǎo)扇區(qū)MBR，操作系統(tǒng)引導(dǎo)扇區(qū)DBR，文件分配表FAT，目錄區(qū)DIR，數(shù)據(jù)區(qū)DATA組成。

MBR是由分區(qū)程序產(chǎn)生的，不同的操作系統(tǒng)該扇區(qū)可能是不相同的。其位于硬盤(pán)的0磁道0柱面1扇區(qū)，包括硬盤(pán)主引導(dǎo)記錄MBR（ Main Boot Record）和分區(qū)表DPT（ Disk Purtition Table）。

DBR通常位于硬盤(pán)的0磁道1柱面1扇區(qū)，是操作系統(tǒng)可直接訪問(wèn)的第一個(gè)扇區(qū)，它包括一個(gè)引導(dǎo)程序和一個(gè)BPB（ BIOS Parameter Block）的本分區(qū)參數(shù)記錄表。

FAT在Windows中被稱(chēng)為虛擬文件分配表，其大小由本分區(qū)的大小及文件分配單元的大小決定。

DIR緊接在第二FAT表之后，記錄著每個(gè)文件（目錄）的起始單元、文件的屬性等。

DATA是真正意義上的數(shù)據(jù)存儲(chǔ)區(qū)，數(shù)據(jù)區(qū)的數(shù)據(jù)可分為兩個(gè)部分；可見(jiàn)數(shù)據(jù)和不可見(jiàn)數(shù)據(jù)?？梢?jiàn)數(shù)據(jù)是指這些文件數(shù)據(jù)在DIR中有相應(yīng)的記錄信息，可以被某程序找到。反之，不可見(jiàn)數(shù)據(jù)是不能被某程序所找到看到的數(shù)據(jù)。不可見(jiàn)數(shù)據(jù)的再現(xiàn)也是重要的證據(jù)來(lái)源。

2數(shù)據(jù)恢復(fù)原理分析

數(shù)據(jù)恢復(fù)就是通過(guò)技術(shù)手段將不可訪問(wèn)或不可獲得的數(shù)據(jù)恢復(fù)至可訪問(wèn)或可獲得的數(shù)據(jù)狀態(tài)過(guò)程。通常，以存儲(chǔ)介質(zhì)是否能夠完全正常工作為依據(jù)將數(shù)據(jù)恢復(fù)分為兩大部分：硬恢復(fù)和軟恢復(fù)。

硬恢復(fù)：主要針對(duì)硬件故障而丟失的數(shù)據(jù)，如硬盤(pán)、U盤(pán)、光盤(pán)、磁帶、數(shù)碼產(chǎn)品等損壞或者硬盤(pán)固件系統(tǒng)問(wèn)題等導(dǎo)致的系統(tǒng)不認(rèn)盤(pán)，恢復(fù)起來(lái)一般難度較大。這時(shí)要注意不要嘗試對(duì)硬盤(pán)反復(fù)加電，也就不會(huì)人為造成更大面積的劃傷，這樣還有可能恢復(fù)大部分?jǐn)?shù)據(jù)。

軟恢復(fù)：主要是恢復(fù)操作系統(tǒng)、文件系統(tǒng)層的數(shù)據(jù)。這種丟失主要是軟件邏輯故障、病毒木馬、誤操作等造成的數(shù)據(jù)丟失，物理介質(zhì)沒(méi)有發(fā)生實(shí)質(zhì)性的損壞，一般來(lái)說(shuō)這種情況下是可以修復(fù)的，一些專(zhuān)用的數(shù)據(jù)恢復(fù)軟件都具備這 種能力。

硬盤(pán)數(shù)據(jù)丟失本身就是一個(gè)非常復(fù)雜的問(wèn)題，要尋找并恢復(fù)因分區(qū)信息丟失或損壞、文件系統(tǒng)損壞、誤刪除、誤格式化等原因而丟失的數(shù)據(jù)，首先就要分析硬盤(pán)的結(jié)構(gòu)，對(duì)文件系統(tǒng)有所了解。一個(gè)新硬盤(pán)只有經(jīng)過(guò)分區(qū)、格式化后，才能安裝操作系統(tǒng)進(jìn)行正常使用。MBR（主引導(dǎo)記錄）磁盤(pán)分區(qū)是目前使用最為廣泛的一種分區(qū)結(jié)構(gòu)，在MBR磁盤(pán)分區(qū)中，分區(qū)表占64字節(jié)，而每個(gè)分區(qū)占16字節(jié)，故最大可存放4個(gè)主分區(qū)，當(dāng)硬盤(pán)的存儲(chǔ)容量比較大，并且需要建立更多磁盤(pán)分區(qū)時(shí)，就必須使用擴(kuò)展分區(qū)，用EBR（擴(kuò)展引導(dǎo)記錄）表示。

3利用Winhex進(jìn)行數(shù)據(jù)恢復(fù)的應(yīng)用案例

Winhex是X-Ways公同出品的一款十六進(jìn)制編輯、磁盤(pán)編輯軟件，其公同網(wǎng)站對(duì)其功能介紹如下，可以對(duì)硬盤(pán)、軟盤(pán)、CD-ROM、DVD、ZIP及各種存儲(chǔ)卡進(jìn)行編輯。支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系統(tǒng)?？芍С秩〗MRAID及動(dòng)態(tài)磁盤(pán)，附帶數(shù)據(jù)恢復(fù)功能。下面用案例來(lái)分析利用WinHex進(jìn)行數(shù)據(jù)恢復(fù)的過(guò)程。

警察進(jìn)入犯罪嫌疑人公司取證時(shí)，犯罪嫌疑人為避免計(jì)算機(jī)硬盤(pán)中犯罪證據(jù)被警方發(fā)現(xiàn)，將硬盤(pán)人為破壞，使硬盤(pán)中分區(qū)信息丟失，導(dǎo)致其原本應(yīng)該是兩個(gè)分區(qū)的硬盤(pán)變成了一個(gè)分區(qū)，而重要文件都在第二分區(qū)，第二個(gè)分區(qū)的丟失使原文件隨之丟失。為了取得關(guān)鍵證據(jù)，對(duì)上述情況進(jìn)行實(shí)驗(yàn)，虛擬磁盤(pán)加載后，對(duì)主引導(dǎo)記錄和磁盤(pán)分區(qū)表進(jìn)行分析：MBR是磁盤(pán)第一個(gè)扇區(qū)，找到目錄數(shù)據(jù)后，雙擊起始扇區(qū)將十六進(jìn)制轉(zhuǎn)到0扇區(qū)，可以看到扇區(qū)的末尾，發(fā)現(xiàn)扇區(qū)的末尾已經(jīng)不是“55AA”，于是將末尾2個(gè)字節(jié)改回“55 AA”并保存，如圖1所示，于是達(dá)到利用Winhex恢復(fù)數(shù)據(jù)的功能。如果是其它錯(cuò)誤，同樣是利用硬盤(pán)儲(chǔ)存的特定規(guī)律和特征找到錯(cuò)誤后，進(jìn)行改正達(dá)到數(shù)據(jù)恢復(fù)的作用。

4總結(jié)

當(dāng)前隨著計(jì)算機(jī)普及應(yīng)用，大量重要的信息數(shù)據(jù)存放在計(jì)算機(jī)及其存儲(chǔ)介質(zhì)上，當(dāng)電子數(shù)據(jù)人為或意外丟失時(shí)，利用一定的科學(xué)方法并遵循一定的工作程序?qū)?huì)取得更多的案件線索和各種電子證據(jù)，這對(duì)有效打擊計(jì)算機(jī)犯罪將起到非常重要的作用。數(shù)據(jù)恢復(fù)技術(shù)還有待于做更深一步的研究，如處理有物理?yè)p壞的硬盤(pán)、查找文件碎片及對(duì)特殊文件的分析等方面的取證，將對(duì)于數(shù)據(jù)恢復(fù)的研究具有十分重要的意義。

參考文獻(xiàn)

[1] 馬林.重生Windows數(shù)據(jù)恢復(fù)技術(shù)極限剖析[M].北京：清華大學(xué)出版社，2011.

[2] 劉偉.數(shù)據(jù)恢復(fù)技術(shù)深度揭秘[M].北京：電子工業(yè)出版社，2010.