电子数据恢复在司法取证案例中的研究
王剑雄 高维星
摘 要 随着科学技术的不断发展,数据已经成为了人们最为宝贵的财富,电子数据恢复成为公检法部门破案、断案、判案重要的一环,也成为各个行政、执法机关最重要的一种电子数据取证与司法鉴定技术手段。基于Winhex的电子数据恢复技术为司法取证提供了可靠的技术保证,本文通过实例演示Winhex恢复电子数据的过程。
关键词 电子数据恢复 司法取证 Winhex
中图分类号:TP393.08 文献标识码:A
0引言
随着信息化进程快速发展,信息技术在人们日常工作、学习、生活中扮演着越来越重要的角色,各类存储介质成为人们生活工作不可或缺的一个部分,海量数据存储在计算机、网络服务器及各种存储介质中,犯罪分子为了毁灭违法行为的电子数据,人为地删除或是恶意地破坏电子数据,在侦破审理计算机犯罪案件时,不完整的电子证据很难作为有效证据用于指控计算机犯罪分子,因此,借助硬盘数据恢复技术,完成司法案例中电子证据的搜集、固化工作,对于打击犯罪和公正执法有重大意义。
1硬盘结构
硬盘结构主要由主引导扇区MBR,操作系统引导扇区DBR,文件分配表FAT,目录区DIR,数据区DATA组成。
MBR是由分区程序产生的,不同的操作系统该扇区可能是不相同的。其位于硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR( Main Boot Record)和分区表DPT( Disk Purtition Table)。
DBR通常位于硬盘的0磁道1柱面1扇区,是操作系统可直接访问的第一个扇区,它包括一个引导程序和一个BPB( BIOS Parameter Block)的本分区参数记录表。
FAT在Windows中被称为虚拟文件分配表,其大小由本分区的大小及文件分配单元的大小决定。
DIR紧接在第二FAT表之后,记录着每个文件(目录)的起始单元、文件的属性等。
DATA是真正意义上的数据存储区,数据区的数据可分为两个部分;可见数据和不可见数据。可见数据是指这些文件数据在DIR中有相应的记录信息,可以被某程序找到。反之,不可见数据是不能被某程序所找到看到的数据。不可见数据的再现也是重要的证据来源。
2数据恢复原理分析
数据恢复就是通过技术手段将不可访问或不可获得的数据恢复至可访问或可获得的数据状态过程。通常,以存储介质是否能够完全正常工作为依据将数据恢复分为两大部分:硬恢复和软恢复。
硬恢复:主要针对硬件故障而丢失的数据,如硬盘、U盘、光盘、磁带、数码产品等损坏或者硬盘固件系统问题等导致的系统不认盘,恢复起来一般难度较大。这时要注意不要尝试对硬盘反复加电,也就不会人为造成更大面积的划伤,这样还有可能恢复大部分数据。
软恢复:主要是恢复操作系统、文件系统层的数据。这种丢失主要是软件逻辑故障、病毒木马、误操作等造成的数据丢失,物理介质没有发生实质性的损坏,一般来说这种情况下是可以修复的,一些专用的数据恢复软件都具备这 种能力。
硬盘数据丢失本身就是一个非常复杂的问题,要寻找并恢复因分区信息丢失或损坏、文件系统损坏、误删除、误格式化等原因而丢失的数据,首先就要分析硬盘的结构,对文件系统有所了解。一个新硬盘只有经过分区、格式化后,才能安装操作系统进行正常使用。MBR(主引导记录)磁盘分区是目前使用最为广泛的一种分区结构,在MBR磁盘分区中,分区表占64字节,而每个分区占16字节,故最大可存放4个主分区,当硬盘的存储容量比较大,并且需要建立更多磁盘分区时,就必须使用扩展分区,用EBR(扩展引导记录)表示。
3利用Winhex進行数据恢复的应用案例
Winhex是X-Ways公同出品的一款十六进制编辑、磁盘编辑软件,其公同网站对其功能介绍如下,可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑。支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统。可支持取组RAID及动态磁盘,附带数据恢复功能。下面用案例来分析利用WinHex进行数据恢复的过程。
警察进入犯罪嫌疑人公司取证时,犯罪嫌疑人为避免计算机硬盘中犯罪证据被警方发现,将硬盘人为破坏,使硬盘中分区信息丢失,导致其原本应该是两个分区的硬盘变成了一个分区,而重要文件都在第二分区,第二个分区的丢失使原文件随之丢失。为了取得关键证据,对上述情况进行实验,虚拟磁盘加载后,对主引导记录和磁盘分区表进行分析:MBR是磁盘第一个扇区,找到目录数据后,双击起始扇区将十六进制转到0扇区,可以看到扇区的末尾,发现扇区的末尾已经不是“55AA”,于是将末尾2个字节改回“55 AA”并保存,如图1所示,于是达到利用Winhex恢复数据的功能。如果是其它错误,同样是利用硬盘储存的特定规律和特征找到错误后,进行改正达到数据恢复的作用。
4总结
当前随着计算机普及应用,大量重要的信息数据存放在计算机及其存储介质上,当电子数据人为或意外丢失时,利用一定的科学方法并遵循一定的工作程序将会取得更多的案件线索和各种电子证据,这对有效打击计算机犯罪将起到非常重要的作用。数据恢复技术还有待于做更深一步的研究,如处理有物理损坏的硬盘、查找文件碎片及对特殊文件的分析等方面的取证,将对于数据恢复的研究具有十分重要的意义。
参考文献
[1] 马林.重生Windows数据恢复技术极限剖析[M].北京:清华大学出版社,2011.
[2] 刘伟.数据恢复技术深度揭秘[M].北京:电子工业出版社,2010.