- 相关推荐
简论计算机数据恢复技术在犯罪侦查中的应用
摘 要:随着科技的进步与发展,在计算机犯罪案件中,犯罪分子往往破坏现场、毁灭证据,以逃脱罪责。数据恢复技术具有将被破坏的数据还原为原始数据的功能。把数据恢复技术应用于计算机犯罪侦查中,将为我们有效地打击计算机犯罪开辟一条新的途径。
关键词:计算机;数据恢复;计算机犯罪侦查;电子证据;数据比对
在计算机犯罪案件的侦查过程中,犯罪分子往往会想方设法将作案的痕迹抹掉,以逃脱罪责。由于电子设备的特点,犯罪分子在实施犯罪的过程中,很容易做到破坏现场、毁灭证据。同信息技术一起发展起来的数据恢复技术具有将被删除或破坏的数据还原为原始数据的能力。掌握了数据恢复技术,我们就能够恢复计算机犯罪案件的作案现场,找到犯罪分子的作案证据,从而为有效地打击计算机犯罪提供技术保证。
首先,我们来了解一下计算机数据恢复的原理:从广义上说,驻留在计算机存储介质上的信息都是数据。任何使这些数据发生主观意愿之外的变化都可视为破坏。数据恢复就是将遭到破坏的数据还原为正常数据的过程。当我们对磁盘等存储介质上的文件进行删除操作,或对磁盘进行格式化时,磁盘上的数据并没有真正从磁盘上消失,一般情况下,这些数据是可以恢复的。这是由存储介质的结构和数据在存储介质上的存放方式所决定的。一般要将硬盘分成主引导扇区MBR、操作系统引导扇区DBR、文件分配表FAT、根目录区DIR和数据区Data等五部分。DATA区是真正作用上的存放数据的地方,位于DIR之后,占据硬盘的大部分空间。一般情况下,数据区的数据都是不会被破坏的,除非进行了擦除或进行了低级格式化。一个文件被删除之后,它并不是真正地从磁盘上抹掉全部数据,而仅仅是把文件头中的前两个代码(文件名的第一个字符,与文件内容无关)做了修改,这一信息映射在文件分配表中,在分配表中做出该文件删除的标记,而这个文件中的全部数据仍保存在磁盘上原来的簇中,除非被后来保存的其他数据覆盖。既然文件被删除后,其中的全部数据仍保存在磁盘上、文件分配表中也还存有它的信息,那么,这个文件就有恢复的机会。具体的做法是将文件头找出来,恢复或重写原来的前两个代码,在文件分配表中重新映射一下,这个文件就被恢复了。
接下来我们再来看一下数据恢复的策略:一般地说,常用的数据恢复策略有如下三种:利用系统自身的还原功能恢复数据、使用专业的数据恢复软件以及软件和硬件结合进行数据恢复。
1、利用系统自身的还原功能恢复数据:有些操作系统和应用程序自身带有数据还原和记录用户操作信息的功能,利用这些功能就可以达到数据恢复的目的。如操作系统的回收站就具有数据还原的功能,在通常的情况下,数据被删除,常常只是删除到回收站中,数据仍驻留在磁盘上。如果没有清空回收站,就可以利用回收站的还原功能非常容易地将数据恢复到原来的位置。一些系统软件和应用软件中对已操作过的文件也有相应的记录,如果能找到这些记录,用不着完全恢复原始数据就可以发现线索或认定犯罪事实。
2、使用专业的数据恢复软件:在文件被删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根目录区不可读或对磁盘格式化造成全部文件信息丢失的情况下,可以借助数据恢复软件如EasyRecovery、FinalData和Norton Utility等进行数据恢复。
3、软件和硬件结合恢复数据的策略:当文件破坏比较严重或磁盘有物理损伤时,单纯使用软件恢复数据可能难以达到预期的效果。这种情况下,最好的策略是将数据恢复工具软件和专门的数据恢复仪器结合起来进行数据恢复。
最后,我们再来研究一下计算机犯罪侦查中使用数据恢复技术的原则与策略:1、要根据具体的情况合理选择数据恢复技术和策略,选择数据恢复的技术和策略时要考虑的因素有:犯罪现场中机器所使用的操作系统、网络环境以及存储介质的种类和结构等。不同的操作系统可能使用不同的文件系统,而不同的文件系统决定数据在存储介质上不同的存储方式。不同的存储介质其数据的存放方式和存取方式也不尽相同,进行数据恢复时也要考虑这个因素。2、进行数据恢复前要做好数据备份。进行数据恢复是要冒一定风险的,因为如果犯罪嫌疑人做了手脚或自己操作不当,不但不能恢复数据还可能破坏要恢复的数据,造成无法挽回的损失。因此每一步操作都要有明确的目的,在进行操作之前要考虑好做完该步骤之后能达到什么目的,可能造成什么后果,能不能回退到上一状态。特别是对一些破坏性操作,一定要考虑周到。只要条件允许,就一定要在操作之前,进行数据备份。3、进行数据恢复的每一个步骤要严格依照法律规定的程序,确保得到的数据可以作为具有法律效力的电子证据,由于计算机中的数据具有可修改性、多重性、可灭失性和技术性等特点,任何一点失误或疏漏都可能造成电子证据失去法律效力。因此在进行数据恢复的过程中,要详细记录操作的策略、使用的工具(包括软件和硬件)、操作的每一个步骤甚至包括存储介质运输和保存
的过程与策略等,这对防止在法庭上辩护方试图针对后来重新组装的系统和介质中储存信息的合法性提出异议是十分必要的。4、与数据比对技术结合使用,在计算机犯罪侦查取证过程中应用数据恢复技术不同于一般的数据恢复,在一般情况下没有必要追求百分之百的恢复,因为我们的目的是认定犯罪,只要得到的数据能够充分证明犯罪事实就可以了。要确定这些数据同我们已经掌握的数据具有同一性,就要利用数据比对技术进行对比分析,通过数据比对技术能够认定其统一性就行了。
综上所述,随着信息技术的发展,计算机犯罪的技术性越来越强,获取电子证据的难度越来越大,给警方的侦查破案工作带来越来越大的压力。如果将数据恢复技术应用于计算机犯罪侦查,可以为警方获取电子证据开辟一条新的途径,这对有效地打击计算机犯罪将会起
到重要的作用。利用一定的科学策略并遵循一定的工作程序将会取得更多的案件线索和各种电子证据,这对有效打击计算机犯罪将会起到非常重要的作用。数据恢复技术还有待于做更深一步的研究,如,在处理有物理损坏的硬盘、查找文件碎片及对特殊文件的分析等方面取证进展将对于计算机取证具有十分重要的作用。
参考文献
[1] 戴士剑,涂彦晖编著.数据恢复技术[M]. 电子工业出版社, 2005
[2] 涂彦晖,戴士剑编著.数据安全与编程技术[M]. 清华大学出版社, 2005
[3] (美)DavidA.Solomom,(美)MarkE.Russinovich著,詹剑锋等译.Windows 2000内部揭密[M]. 机械工业出版社, 2001
[4] 尤晋元等编著.Windows操作系统原理[M]. 机械工业出版社, 2001
[5] 姜灵敏编著.微机硬盘管理技术[M]. 人民邮电出版社, 1999
【简论计算机数据恢复技术在犯罪侦查中的应用】相关文章:
简论高校专业技术课程教学中教学技艺的应用08-23
数据处理技术在教学管理中的应用05-25
数据挖掘在电力企业中的应用论文04-21
论析计算机技术在高校管理中的应用06-11
信息技术在美术教学中的应用05-30
简论土鸡饲养管理中的产量提高05-05
现代教育技术在物理教学中的应用论文04-21
广播电视工程中的接地技术应用论文05-27