电子物证检验鉴定的数据恢复技术

电子物证检验鉴定的数据恢复技术

庄焰

天津天宏司法鉴定中心 天津市 300190

摘要：本文主要针对电子物证检验鉴定的数据恢复技术展开深入的研究，先阐述了电子物证与数据恢复的基本知识，如电子物证概念、数据恢复原理、数据恢复技术的关键性等，然后结合数据恢复技术在电子物证检验鉴定中的重要性，提出了几点切实可行的数据恢复技术，主要包括软件恢复技术、硬件数据恢复处理，进而不断提高数据恢复技术水平。

关键词:电子物证鉴定；数据恢复技术

引言：在电子技术不断发展背景下，使得人们进入到信息化时代，与此同时逐渐出现电子设备，而且已经成为人们工作和生活中的一部分，随着电子技术和电子设备不断增多，难以避免涉及到犯罪活动，为此在证明犯罪活动和侦查犯罪案件中出现电子物据这一证据。并且在进行电子检验鉴定的过程中数字恢复技术非常的关键。数据恢复指的是通过技术手段来恢复笔记本电脑上存储的移动硬盘和服务器硬盘等。所以从工作人员的角度上来看在电子检验鉴定中要想更好地鉴定，还应采取有效的应用措施加强对数据恢复技术的应用。

一、电子物证与数据恢复的基本知识

（一）电子物证概念

电子物证就是存储在介质载体中的电磁记录。基于此，在总体上进行分析，对计算机客户端数据和网络服务器数据的恢复。电子证据主要在防火墙和反病毒软件日志上体现，而且这些也作为其主要的来源，总之其来源具有一定的广泛性。

在当今社会，随着经济水平不断的提高，也使得计算机技术得到发展。有的信息很容易受到人为因素的影响进而发生泄漏的现象，或者是计算机遭到病毒的攻击。与此同时，网络实体还应经受各个方面的考验，尤其是水灾和火灾。基于此，不管是在客户犯罪还是在网络服务器等方面，其数据的泄漏会带来不利的影响，从而还应进一步加强对数据恢复方法和原理的探究。

2. 数据恢复的技术定义

数据的灭失主要就是由于硬件设备遭到破坏所导致的，数据恢复就是通过相关的技术来及时的恢复电子设备中的相关信息。由于数据灭失的原因有很多种，但是通常情况下主要有以下几种，为硬件的破坏，受人为的影响致使操作发生失误、遭到黑客的攻击。其中数据灭失原因主要就是在人为进行操作中，由于操作不够正确进而致使数据发生灭失，为此，数据恢复就是恢复删除掉的相关数据，而且在这一恢复的过程中还充分的应用了相关技术。

（三）数据恢复的对象

数据主要在存储介质中进行存储，所以存储信息的介质作为数据恢复的对象。一些犯罪嫌疑人在网络犯罪中，通常情况下，会删除掉相关的犯罪信息，但是由于信息作为存储介质的物质基础，为此在此视角下可以看出存储犯罪信息存储介质是数据恢复的对象。

（四）数据恢复原理

在进行硬件操作的过程中如果发生删除或者是格式化一定程度上是可以恢复所丢失的数据源。实际上，删除和格式化后数据还会在硬盘上出现，这时加强对数据恢复原理知识的运用，从某种程度上来看是能寻找回丢失的数据。针对整理好的文件在向硬盘中进行存储的过程中，在文件的分配表内系统会实现对文件大小和文件的名称的编写，在数据区的起始位置上，会结合数据区的空间在文件分配表上写上文件内容。进而在数据区内写上文件的内容，由此文件存放顺利的结束。对于删除这项操作进行分析，实际上实施起来非常的快，针对某个文件将其进行删除的过程中，在此文件的分配表内的前面，系统只是写上删除的标志，代表文件实现删除，尤其是空间占用问题还能实现释放。所以要想实现数据恢复，只要通过数据恢复工具去除删除标志即可，进而恢复相应数据。格式化操作与删除操作的步骤在有些环节具有相同之处，都是围绕着操作文件分配表来实施，但是在清空文件分配表等方面格式化直接进行，系统会认为在硬盘区分上无内容。在数据区上格式化操作没有操作事项，主要就是对目录表进行清空，通过数据恢复工具的应用实现对数据恢复。

（五）数据恢复技术的关键性

在网络技术迅速发展背景下，智能手机已经成为了人们生活和工作中的一部分，与之成为犯罪案件的工具，但是对于电子物证鉴定这项工作进行分析还面临着问题，其中最主要的问题就是如何全面的落实电子物证鉴定工作，将犯罪嫌疑人犯罪的方法呈现出来使其更好地了解。随着电子物证鉴定技术更加的成熟，一定程度上，逐步的提高犯罪嫌疑人反侦察能力，在作案完之后，犯罪嫌疑人会采取各种方式删除相应的数据，毁掉相应的证据，从而给案件侦破带来一定的影响。所以要想更好地恢复存储设备中的相关数据，必须要加强对数据恢复技术的应用，进而以电子数据和案件事实入手，寻找并增强这两者之间的联系，在计算机背景下，实现犯罪案件现场环境，保障犯罪侦查工作顺利的进行，使得犯罪侦查能力得到强化^[1]。

二、电子物证检验鉴定的数据恢复中常用的软件

（一）顶尖数据恢复软件

对于这种顶尖数据恢复软件进行分析，不管是U盘还是硬盘以及移动硬盘上的数据，从某种程度上来看都能够实现恢复，而且针对磁盘底层的数据，通过这种顶尖数据恢复软件还能实现相应的扫描，在这其中主要以多线程引擎的方式为主，与此同时还通过高级分析算法实现对删除文件进行构建

^[2]。而且所实施完的操作主要就是在内存中，由此防止恢复后的数据发生损坏，不断提高恢复后数据的准确性和可靠性。

（二）安易硬盘数据恢复软件

对于这种安易硬盘数据恢复软件进行分析，此软件主要就是对丢失的文件进行相应的恢复，但是此软件在对扫描文件数据信息恢复的过程中，主要以只读的模式为主，在内存中，实现对格式化前的目录文件名结构构建，针对源盘的内容不会产生任何不利的影响。还可实现对ntfs exfat分区文件的恢复，最重要的一点就是不管是在本地硬盘恢复还是在数码相机恢复等方面起到支持的作用^[3]。

三、数据恢复技术在电子物证检验鉴定中的重要性

随着科技技术迅速的发展，在人们的日常生活中，智能手机成为非常重要的电子产品，基本上人手必备一个智能手机，而且这在犯罪案件中已经成为一项工具。一些犯罪嫌疑人会及时的销毁作案的相关证据。就当前的情况来看，在电子物证鉴定的过程中，侦查人员通过电子物证检验鉴定技术的应用并了解犯罪渠道成为一项主要的工作内容。加强先进技术手段的使用，及时的恢复损毁的电子设备并实现数据还原，一定程度上在电子检验鉴定工作等方面起着非常重要的数据。基于此，数据恢复非常重要，增强案件侦查人员更好地了解相关的犯罪信息，进而制定最佳的方案实现犯罪嫌疑人追捕处理。电子物证检验鉴定的数据恢复处理技术在实际运用的过程中，对其恢复等方面进行分析主要以计算机内存和硬盘为主。基于此，在不断的应用的同时，加强对电子物证检验检定技术的改进，由此推动犯罪侦查工作有效的实施使其更好地适应这一要求。在科学技术不断发展背景下，犯罪嫌疑人增强对先进技术了解，逐渐提高自身的反侦查意识^[4]。对于一些反侦查案件进行分析，犯罪嫌疑人会及时的删除自身犯罪时运用的工具系统，进而致使销毁犯罪的证据，由此增加案件侦破工作的难度。基于此，电子物证检验检定中的数据恢复技术在案件侦破环节中起着非常重要的作用，在实施侦破案件时，一定程度上将更多的线索向公安部门传达，进而不断提高侦查工作的水平。

四、电子物证检验鉴定中数据恢复技术

在进行电子物证检验检定的过程中数据恢复技术起着非常重要的作用，而且这也是最主要的技术结构，但是仍需技术管理部分加强对最完善技术结构进行选择，其中在实际选择的过程中根据实际情况。简单的来讲在进行电子物证检验鉴定机制的过程中，从以下几个方面实现数据恢复技术处理。首先，恢复软件数据。软件的恢复其实就是全面的整合相关的区域，并积极恢复，而且在区块结构中，一定程度上实现对被覆盖数据信息的获取，使得数据处理性能得到优化，促进其更好地整合；其次，硬件数据恢复，这从技术人员的角度上来看加强对物理维修方法的使用，并以集中的方式为主，实现硬盘和存储介质为主，进而使其实现规范化管理，更好地整理设备维修相应的信息，从而不断提高应用的水平。

（一）软件恢复技术

软件数据恢复技术作为常见技术类型之一，而且应用的面非常的多，需要技术人员在加强统筹管控的基础之上，做好相应的整理工作，但是在具体实施的过程中必须要根据实际情况。从侦查人员的角度上来看在进行电子物证检验工作机制的过程中，应全面的分析所丢失的设备和存储介质，在此基础之上全面整理落实好相应的处置工作，并及时的恢复所删除掉的文件，而且还应提高对磁盘格式化重视度，将这一问题全面处理到位，进而使得信息早日恢复，不断提高信息的准确性和可靠性，使其更好地提供给侦查人员。就当前的情况来看Final Data作为主要的技术软件，而且已经逐渐的渗透在各个方面得到使用，而且加强对这一软件的应用从某种程度上来看有助于对数据恢复功能的完善，加强对磁盘根区病毒的控制，最主要的一点实现全面的扫描，不断提高文件的恢复性。对于侦查人员而言加强对 Final Data技术软件的应用便于对信息的收集，还能更好地掌握相关内容^[5]。除此之外，当前Easyrecovery也得到了使用，在存储介质中，此软件能及时的调取需要的相关数据信息，进而不断提高信息恢复的水平，具有非常强的实用性，其中此软件就是处理删除数据和格式化数据，还能实现对恢复方案的构建，不断提高数据编辑的水平，更好地恢复删除的信息。就当前的情况来看还可充分的应用winhex，在Windows系统中，对编辑软件进行执行，不管是文件管理还是分区管理能进一步的优化，还能实现对分区链条的构建，不断提高自动化水平，在任何扇区，保障软件磁盘编辑结构实现二次编辑，而且在进行手工恢复数据中从某种程度上来看可对这一软件充分使用。

（二）硬件数据恢复处理

当保障数据整合机制更加完善后，还应全面的考量各种问题，尤其是机械故障问题和电路故障问题，还应清楚存储介质老化问题并逐渐的注重起来。加强对硬件恢复技术的应用，不断提高其应用的水平，一定程度上能够使得硬件数据信息得到处理。就当前的情况来看，所谓常用的硬件处理机制就是在特殊情况下，通过PC3000和HIE技术来处理硬件设备，从而实集中处理，保障数据得到恢复，还能提高恢复的水平，适应实际情况。比如：从刑侦人员的角度上来看在进行案件侦破时，应意识到硬件数据恢复技术的重要性，并加强对硬件数据恢复技术的应用，进而在存储设备中，利用这一技术充分的调取出相应的数据，一定程度上有助于对安全侦破能力的强化，从而使其获得良好的综合效果。为此还应将数据恢复技术着重的渗透在具体工作中，进而实现对硬件存储介质维护，不断提高其安全性。

3. 常用的数据恢复工具功能及比较

数据表现形式非常的多，其中最主要的形式就是以声音和文字以及图片为主，犯罪嫌疑人当作案完之后将有价值的数据信息进行销毁，其中在进行电子物证鉴定的过程中，对于数据恢复技术进行分析其主要的目的就是恢复硬件中的相关数据，在网络技术不断发展的背景下，出现了各种数据恢复工具类型，但是在自身底层等方面进行分析，由于会运用到各种算法，所以数据恢复程度是不同的。在具体进行操作的过程中，要想实现数据的恢复，不仅要意识到数据恢复工具的重要性，还应结合实际情况选择合适的数据恢复工具进行应用，并对数据实施取证，还应做好数据分析工作，保障恢复后数据更加的可靠，不断提高数据的准确性。通常情况下，在进行数据恢复中，Easyrecovery和Final Data以及Photo Recovery作为数据恢复的主要应用软件，为此本文对这些软件积极进行研究，并加强对数据恢复功能的的分析，做出相应的比较。具体在以下几个方面表现：

首先，Easy Recovey 。Easy Recovey这种软件恢复工具应用的次数相对来说比较多，其数据等方面一定程度上实现自定义恢复，加强对内存中重建文件分区的应用，使得数据转移更好地实现，在进行电子物证检验检定的过程中，数据恢复就是实施扫描，但是在实施时应根据簇对存储介质，在具体实施时在存储介质中，除了含有案件相关电子数据之外，还有其他的数据信息，所以要想实现数据恢复，不断提高数据恢复的准确性，实际开展是可以从指定文件名入手，并加强对Easy Recovey软件的应用实施恢复，为此从某种程度上来看日后电子物证检验检定中数据恢复还应朝着专业化的方向发展。对于Easy Recovey软件进行分析，最大的特点就是能使得自定义恢复更好地实现，保障数据技术的恢复提升数据的可靠性；

其次，Final Data。将Final Data数据恢复软件与Easy Recovey软件进行对比，专业性不是很强，但是具有一定的可操作性，针对已经删除的数据和目录，在Windows资源管理器的排布模式背景下能够实现及时的恢复，自身运行速度非常的快^[6]。一些犯罪嫌疑人当作案完之后，针对相关的作案证据会进行删除，还会故意的进行隐蔽，所以需要对Final Data数据恢复软件技术的应用并实现数据恢复，当实现恢复后在进行相应的筛选；

最后，Photo Recovery。Photo Recovery恢复软件具有一定的专业性，在存储介质中，如果图片发生删除能实现及时的恢复，此软件以缩略图的形式实现恢复图片的预览，进而针对恢复的图片便于直观的看出。所以要想更好地恢复图片从工作人员的角度上来看还应提高对Photo Recovery认识并充分的应用。

结束语：总而言之，从侦查人员的角度上来看要想保障案件侦破工作顺利完成，还应提高对电子物证检验检定数据恢复技术的应用并给予高度重视，从而促进侦查工作有效的开展，使得自身的侦查能力得到强化。

参考文献：

[1]汤雷.电子物证检验鉴定的数据恢复技术分析[J].法制博览,2020(01):161-162.

[2]刘东华,张寅.标准在电子数据司法鉴定工作中的作用[J].中国标准化,2019(03):143-148.

[3]王文豪,李萍.电子物证检验鉴定的数据恢复技术分析[J].科技展望,2016,26(36):117.

[4]许怡红.电子物证检验鉴定的数据恢复技术分析[J].法制博览,2016(02):139.

[5]周兵. 刍议电子物证检验鉴定中数据恢复技术[J]. 科学与信息化(24):1.

[6]万一. 电子物证检验鉴定的数据恢复技术分析[J]. 工程技术:全文版, 2016(9):00269-00269.