簡(jiǎn)論計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)在犯罪偵查中的應(yīng)用

　　摘 要：隨著科技的進(jìn)步與發(fā)展，在計(jì)算機(jī)犯罪案件中，犯罪分子往往破壞現(xiàn)場(chǎng)、毀滅證據(jù)，以逃脫罪責(zé)。數(shù)據(jù)恢復(fù)技術(shù)具有將被破壞的數(shù)據(jù)還原為原始數(shù)據(jù)的功能。把數(shù)據(jù)恢復(fù)技術(shù)應(yīng)用于計(jì)算機(jī)犯罪偵查中，將為我們有效地打擊計(jì)算機(jī)犯罪開辟一條新的途徑。

　　關(guān)鍵詞：計(jì)算機(jī);數(shù)據(jù)恢復(fù);計(jì)算機(jī)犯罪偵查;電子證據(jù);數(shù)據(jù)比對(duì)

　　在計(jì)算機(jī)犯罪案件的偵查過程中，犯罪分子往往會(huì)想方設(shè)法將作案的痕跡抹掉，以逃脫罪責(zé)。由于電子設(shè)備的特點(diǎn)，犯罪分子在實(shí)施犯罪的過程中，很容易做到破壞現(xiàn)場(chǎng)、毀滅證據(jù)。同信息技術(shù)一起發(fā)展起來的數(shù)據(jù)恢復(fù)技術(shù)具有將被刪除或破壞的數(shù)據(jù)還原為原始數(shù)據(jù)的能力。掌握了數(shù)據(jù)恢復(fù)技術(shù)，我們就能夠恢復(fù)計(jì)算機(jī)犯罪案件的作案現(xiàn)場(chǎng)，找到犯罪分子的作案證據(jù)，從而為有效地打擊計(jì)算機(jī)犯罪提供技術(shù)保證。

　　首先，我們來了解一下計(jì)算機(jī)數(shù)據(jù)恢復(fù)的原理：從廣義上說，駐留在計(jì)算機(jī)存儲(chǔ)介質(zhì)上的信息都是數(shù)據(jù)。任何使這些數(shù)據(jù)發(fā)生主觀意愿之外的變化都可視為破壞。數(shù)據(jù)恢復(fù)就是將遭到破壞的數(shù)據(jù)還原為正常數(shù)據(jù)的過程。當(dāng)我們對(duì)磁盤等存儲(chǔ)介質(zhì)上的文件進(jìn)行刪除操作，或?qū)Υ疟P進(jìn)行格式化時(shí)，磁盤上的數(shù)據(jù)并沒有真正從磁盤上消失，一般情況下，這些數(shù)據(jù)是可以恢復(fù)的。這是由存儲(chǔ)介質(zhì)的結(jié)構(gòu)和數(shù)據(jù)在存儲(chǔ)介質(zhì)上的存放方式所決定的。一般要將硬盤分成主引導(dǎo)扇區(qū)MBR、操作系統(tǒng)引導(dǎo)扇區(qū)DBR、文件分配表FAT、根目錄區(qū)DIR和數(shù)據(jù)區(qū)Data等五部分。DATA區(qū)是真正作用上的存放數(shù)據(jù)的地方，位于DIR之后，占據(jù)硬盤的大部分空間。一般情況下，數(shù)據(jù)區(qū)的數(shù)據(jù)都是不會(huì)被破壞的，除非進(jìn)行了擦除或進(jìn)行了低級(jí)格式化。一個(gè)文件被刪除之后，它并不是真正地從磁盤上抹掉全部數(shù)據(jù)，而僅僅是把文件頭中的前兩個(gè)代碼(文件名的第一個(gè)字符，與文件內(nèi)容無關(guān))做了修改，這一信息映射在文件分配表中，在分配表中做出該文件刪除的標(biāo)記，而這個(gè)文件中的全部數(shù)據(jù)仍保存在磁盤上原來的簇中，除非被后來保存的其他數(shù)據(jù)覆蓋。既然文件被刪除后，其中的全部數(shù)據(jù)仍保存在磁盤上、文件分配表中也還存有它的信息，那么，這個(gè)文件就有恢復(fù)的機(jī)會(huì)。具體的做法是將文件頭找出來，恢復(fù)或重寫原來的前兩個(gè)代碼，在文件分配表中重新映射一下，這個(gè)文件就被恢復(fù)了。

　　接下來我們?cè)賮砜匆幌聰?shù)據(jù)恢復(fù)的策略：一般地說，常用的數(shù)據(jù)恢復(fù)策略有如下三種：利用系統(tǒng)自身的還原功能恢復(fù)數(shù)據(jù)、使用專業(yè)的數(shù)據(jù)恢復(fù)軟件以及軟件和硬件結(jié)合進(jìn)行數(shù)據(jù)恢復(fù)。

　　1、利用系統(tǒng)自身的還原功能恢復(fù)數(shù)據(jù)：有些操作系統(tǒng)和應(yīng)用程序自身帶有數(shù)據(jù)還原和記錄用戶操作信息的功能，利用這些功能就可以達(dá)到數(shù)據(jù)恢復(fù)的目的。如操作系統(tǒng)的回收站就具有數(shù)據(jù)還原的功能，在通常的情況下，數(shù)據(jù)被刪除，常常只是刪除到回收站中，數(shù)據(jù)仍駐留在磁盤上。如果沒有清空回收站，就可以利用回收站的還原功能非常容易地將數(shù)據(jù)恢復(fù)到原來的位置。一些系統(tǒng)軟件和應(yīng)用軟件中對(duì)已操作過的文件也有相應(yīng)的記錄，如果能找到這些記錄，用不著完全恢復(fù)原始數(shù)據(jù)就可以發(fā)現(xiàn)線索或認(rèn)定犯罪事實(shí)。

　　2、使用專業(yè)的數(shù)據(jù)恢復(fù)軟件：在文件被刪除(并從回收站中清除)、FAT表或者磁盤根區(qū)被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁盤根目錄區(qū)不可讀或?qū)Υ疟P格式化造成全部文件信息丟失的情況下，可以借助數(shù)據(jù)恢復(fù)軟件如EasyRecovery、FinalData和Norton Utility等進(jìn)行數(shù)據(jù)恢復(fù)。

　　3、軟件和硬件結(jié)合恢復(fù)數(shù)據(jù)的策略：當(dāng)文件破壞比較嚴(yán)重或磁盤有物理損傷時(shí)，單純使用軟件恢復(fù)數(shù)據(jù)可能難以達(dá)到預(yù)期的效果。這種情況下，最好的策略是將數(shù)據(jù)恢復(fù)工具軟件和專門的數(shù)據(jù)恢復(fù)儀器結(jié)合起來進(jìn)行數(shù)據(jù)恢復(fù)。

　　最后，我們?cè)賮硌芯恳幌掠?jì)算機(jī)犯罪偵查中使用數(shù)據(jù)恢復(fù)技術(shù)的原則與策略：1、要根據(jù)具體的情況合理選擇數(shù)據(jù)恢復(fù)技術(shù)和策略，選擇數(shù)據(jù)恢復(fù)的技術(shù)和策略時(shí)要考慮的因素有：犯罪現(xiàn)場(chǎng)中機(jī)器所使用的操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境以及存儲(chǔ)介質(zhì)的種類和結(jié)構(gòu)等。不同的操作系統(tǒng)可能使用不同的文件系統(tǒng)，而不同的文件系統(tǒng)決定數(shù)據(jù)在存儲(chǔ)介質(zhì)上不同的存儲(chǔ)方式。不同的存儲(chǔ)介質(zhì)其數(shù)據(jù)的存放方式和存取方式也不盡相同，進(jìn)行數(shù)據(jù)恢復(fù)時(shí)也要考慮這個(gè)因素。2、進(jìn)行數(shù)據(jù)恢復(fù)前要做好數(shù)據(jù)備份。進(jìn)行數(shù)據(jù)恢復(fù)是要冒一定風(fēng)險(xiǎn)的，因?yàn)槿绻�犯罪嫌疑人做了手腳或自己操作不當(dāng)，不但不能恢復(fù)數(shù)據(jù)還可能破壞要恢復(fù)的數(shù)據(jù)，造成無法挽回的損失。因此每一步操作都要有明確的目的，在進(jìn)行操作之前要考慮好做完該步驟之后能達(dá)到什么目的，可能造成什么后果，能不能回退到上一狀態(tài)。特別是對(duì)一些破壞性操作，一定要考慮周到。只要條件允許，就一定要在操作之前，進(jìn)行數(shù)據(jù)備份。3、進(jìn)行數(shù)據(jù)恢復(fù)的每一個(gè)步驟要嚴(yán)格依照法律規(guī)定的程序，確保得到的數(shù)據(jù)可以作為具有法律效力的電子證據(jù)，由于計(jì)算機(jī)中的數(shù)據(jù)具有可修改性、多重性、可滅失性和技術(shù)性等特點(diǎn)，任何一點(diǎn)失誤或疏漏都可能造成電子證據(jù)失去法律效力。因此在進(jìn)行數(shù)據(jù)恢復(fù)的過程中，要詳細(xì)記錄操作的策略、使用的工具(包括軟件和硬件)、操作的每一個(gè)步驟甚至包括存儲(chǔ)介質(zhì)運(yùn)輸和保存

　　的過程與策略等，這對(duì)防止在法庭上辯護(hù)方試圖針對(duì)后來重新組裝的系統(tǒng)和介質(zhì)中儲(chǔ)存信息的合法性提出異議是十分必要的。4、與數(shù)據(jù)比對(duì)技術(shù)結(jié)合使用，在計(jì)算機(jī)犯罪偵查取證過程中應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)不同于一般的數(shù)據(jù)恢復(fù)，在一般情況下沒有必要追求百分之百的恢復(fù)，因?yàn)槲覀兊哪康氖钦J(rèn)定犯罪，只要得到的數(shù)據(jù)能夠充分證明犯罪事實(shí)就可以了。要確定這些數(shù)據(jù)同我們已經(jīng)掌握的數(shù)據(jù)具有同一性，就要利用數(shù)據(jù)比對(duì)技術(shù)進(jìn)行對(duì)比分析，通過數(shù)據(jù)比對(duì)技術(shù)能夠認(rèn)定其統(tǒng)一性就行了。

　　綜上所述，隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)犯罪的技術(shù)性越來越強(qiáng)，獲取電子證據(jù)的難度越來越大，給警方的偵查破案工作帶來越來越大的壓力。如果將數(shù)據(jù)恢復(fù)技術(shù)應(yīng)用于計(jì)算機(jī)犯罪偵查，可以為警方獲取電子證據(jù)開辟一條新的途徑，這對(duì)有效地打擊計(jì)算機(jī)犯罪將會(huì)起

　　到重要的作用。利用一定的科學(xué)策略并遵循一定的工作程序?qū)��?huì)取得更多的案件線索和各種電子證據(jù)，這對(duì)有效打擊計(jì)算機(jī)犯罪將會(huì)起到非常重要的作用。數(shù)據(jù)恢復(fù)技術(shù)還有待于做更深一步的研究，如，在處理有物理損壞的硬盤、查找文件碎片及對(duì)特殊文件的分析等方面取證進(jìn)展將對(duì)于計(jì)算機(jī)取證具有十分重要的作用。

　　參考文獻(xiàn)

　　[1] 戴士劍，涂彥暉編著.數(shù)據(jù)恢復(fù)技術(shù)[M]. 電子工業(yè)出版社， 2005

　　[2] 涂彥暉，戴士劍編著.數(shù)據(jù)安全與編程技術(shù)[M]. 清華大學(xué)出版社， 2005

　　[3] (美)DavidA.Solomom，(美)MarkE.Russinovich著，詹劍鋒等譯.Windows 2000內(nèi)部揭密[M]. 機(jī)械工業(yè)出版社， 2001

　　[4] 尤晉元等編著.Windows操作系統(tǒng)原理[M]. 機(jī)械工業(yè)出版社， 2001

　　[5] 姜靈敏編著.微機(jī)硬盤管理技術(shù)[M]. 人民郵電出版社， 1999

【簡(jiǎn)論計(jì)算機(jī)數(shù)據(jù)恢復(fù)技術(shù)在犯罪偵查中的應(yīng)用】相關(guān)文章：

簡(jiǎn)論計(jì)算機(jī)多媒體技術(shù)應(yīng)用03-23

簡(jiǎn)論計(jì)算機(jī)多媒體技術(shù)在影視后期制作中的應(yīng)用論文12-07

簡(jiǎn)論計(jì)算機(jī)輔助審計(jì)在稅收征管審計(jì)中的應(yīng)用11-18

數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用03-23

試論職務(wù)犯罪偵查中的人權(quán)保障程序12-11

簡(jiǎn)論高校專業(yè)技術(shù)課程教學(xué)中教學(xué)技藝的應(yīng)用03-06

計(jì)算機(jī)存儲(chǔ)技術(shù)對(duì)GIS數(shù)據(jù)管理的應(yīng)用論文03-08

網(wǎng)絡(luò)編碼中數(shù)據(jù)通信技術(shù)的應(yīng)用論文03-17

論計(jì)算機(jī)數(shù)據(jù)在化工企業(yè)中的應(yīng)用架構(gòu)技11-18