葉永利　董海（煙臺市工商行政管理局　煙臺　64000）(煙臺開發(fā)區(qū)發(fā)展改革和經(jīng)濟信息化局　煙臺　64000)

數(shù)據(jù)恢復(fù)技術(shù)在工商行政執(zhí)法電子取證中的應(yīng)用

葉永利1董海2
（煙臺市工商行政管理局煙臺264000）1
(煙臺開發(fā)區(qū)發(fā)展改革和經(jīng)濟信息化局煙臺264000)2

摘要電子證據(jù)在工商行政執(zhí)法中的作用日益凸顯，由于其信息以數(shù)字方式儲存，并且電磁介質(zhì)極易受到損壞，數(shù)據(jù)一旦破壞，我們可能將承受巨大的損失。針對各種軟硬件平臺，無論是從文件的誤刪除，還是存儲設(shè)備的嚴重破壞，行之有效的數(shù)據(jù)恢復(fù)工作都可以在一定程度上將數(shù)據(jù)進行恢復(fù)。數(shù)據(jù)恢復(fù)技術(shù)是通過各種技術(shù)手段把丟失或遭到破壞的部分數(shù)據(jù)還原成正常數(shù)據(jù)。本文闡述了數(shù)據(jù)恢復(fù)技術(shù)的基本概念和數(shù)據(jù)恢復(fù)技術(shù)的原理。總結(jié)了數(shù)據(jù)恢復(fù)的方法與常用工具軟件。

關(guān)鍵詞工商行政執(zhí)法電子證據(jù)數(shù)據(jù)恢復(fù)原理數(shù)據(jù)恢復(fù)技術(shù)工具軟件

隨著電子商務(wù)的普及和發(fā)展，我國網(wǎng)絡(luò)市場交易規(guī)模、交易量呈現(xiàn)井噴式發(fā)展態(tài)勢。市場主體的經(jīng)營領(lǐng)域由線下拓展到線上，經(jīng)營資料和經(jīng)營活動記錄也開始呈現(xiàn)電子材料逐步取代書式材料之勢。在工商行政執(zhí)法中，越來越頻繁地需要利用電子證據(jù)認定違法事實，確定違法程度。

商品交易的違法行為的證據(jù)多以計算機數(shù)據(jù)形式存在，并通過計算機或網(wǎng)絡(luò)進行存儲、處理和傳輸，工商執(zhí)法尤其是涉網(wǎng)案件的取證工作需要從計算機設(shè)備中提取數(shù)據(jù)。甚至需要從已被刪除、加密或破壞的文件中獲取信息。在工商部門在行政執(zhí)法過程中，保存、固定及使用“電子證據(jù)”對于案件審理、查處起關(guān)鍵作用，因此研究電子證據(jù)與傳統(tǒng)的書面證據(jù)、物證的不同特征，探索數(shù)據(jù)恢復(fù)技術(shù)在“電子證據(jù)”獲取中的應(yīng)用有重要意義。記錄備份有關(guān)數(shù)據(jù)既有技術(shù)層面的需要，也有法律層面的要求。

一、工商行政執(zhí)法中涉網(wǎng)案件取證工作現(xiàn)狀

在涉網(wǎng)案件的工商行政執(zhí)法取證中，所涉及的電子證據(jù)分為本地硬盤存儲的電子證據(jù)、手機存儲的證據(jù)、web網(wǎng)頁展示的電子證據(jù)、遠程存儲或云存儲的電子證據(jù)。

計算機本地取證是指對經(jīng)營主體保存于計算機或者手機本地的信息數(shù)據(jù)源證據(jù)進行收集、獲取的手段。主要有office文檔文件、、涉案照片、電子合同、核算應(yīng)用軟件、數(shù)據(jù)庫文件、歷史記錄、緩存信息等。硬盤、U盤、各種存儲卡、多媒體播放器等商品經(jīng)銷臺賬以及保存在本地硬盤中的聊天記錄、電子郵件備份、發(fā)表在網(wǎng)站上的帖子在本地電腦的緩存文件等。

電子證據(jù)的存在離不開電腦等電子設(shè)備的支持，如果沒有相應(yīng)的的電子設(shè)備硬件，都只能停留在各種電子存儲介質(zhì)中，無法播放、檢索、顯現(xiàn)，也不能為法庭所認可和采信。此外，電子證據(jù)的展示還離不開特定的系統(tǒng)軟件環(huán)境。如果軟件環(huán)境發(fā)生變化，則存儲在電子介質(zhì)上的信息可能顯現(xiàn)不出來，或者難以正確地顯現(xiàn)出來。這一特點要求執(zhí)法人員在收集電子證據(jù)的時候，既要收集存在于計算機軟硬件上的電子證據(jù)，也要收集其它相關(guān)外圍設(shè)備中的電子證據(jù)；既收集文本，也收集圖形、圖像、動畫、音頻、視頻等媒體信息。同時，還應(yīng)當保存相應(yīng)的硬件軟件以保全該證據(jù)的運行環(huán)境，使之能夠在必要的時候以打印、屏顯等方式顯示出來。

二、電子證據(jù)特征

由于網(wǎng)絡(luò)商品交易的虛擬性和隱蔽性，現(xiàn)流行的動態(tài)網(wǎng)頁、電子郵件等電子數(shù)據(jù)都是調(diào)用數(shù)據(jù)庫數(shù)據(jù)，動態(tài)展示內(nèi)容，具有易刪除、易修改的特性，工商行政管理機關(guān)在網(wǎng)絡(luò)商品交易監(jiān)管中，對網(wǎng)絡(luò)商品交易違法行為的調(diào)查取證，對電子證據(jù)的收集、固定和審查，往往成為查處網(wǎng)絡(luò)商品交易違法行為過程中的的瓶頸和關(guān)鍵環(huán)節(jié)。

1、電子證據(jù)具有非直觀性，需要借助各種硬件和軟件系統(tǒng)，也就是要有數(shù)據(jù)展示的環(huán)境才能判讀和保存。電子證據(jù)實際是計算機數(shù)據(jù)，它是由計算機識別的各種代碼和編碼組成，必須借助計算機操作系統(tǒng)或者某種特定的軟件將其展示可以直接讀取的文字、數(shù)據(jù)、表格、圖像或聲音視頻信息。因此這就要求我們在收集調(diào)取電子證據(jù)時，須將相對應(yīng)的系統(tǒng)環(huán)境一同保全，以便將來搭建合理的環(huán)境恢復(fù)數(shù)據(jù)，獲取電子證據(jù)。

2、電子證據(jù)具有可傳輸性，可以通過網(wǎng)絡(luò)快速傳播。電子證據(jù)是一組電子數(shù)據(jù)信息，可以通過網(wǎng)絡(luò)傳遞，并且傳輸?shù)臄?shù)據(jù)是完全一樣可校驗的，因此電子取證可以遠程網(wǎng)絡(luò)獲取。

3、電子證據(jù)具有易改動性，容易遭到修改或破壞或者刪除。電子數(shù)據(jù)信息實質(zhì)上是代碼排列在各種電子存儲載體上，通過計算機系統(tǒng)進行讀寫，由于人為或非人為因素有可能導(dǎo)致信息不完整不真實，或無法判讀，人為有意或者無意的對數(shù)據(jù)的改動，非人為的如病毒、軟件沖突等，也有可能導(dǎo)致數(shù)據(jù)信息被損壞。

4、電子證據(jù)具有多樣性，能夠以不同形式存在。電子證據(jù)可以通過電腦程序存在和展示，能夠以文字、圖片、圖像、聲音視頻等多種格式，并且可以通過電腦程序轉(zhuǎn)化格式。

第三方指提供互聯(lián)網(wǎng)接入服務(wù)商和提供網(wǎng)絡(luò)交易平臺服務(wù)的經(jīng)營者等保存的所有平臺經(jīng)營業(yè)戶的信息和交易信息，其中關(guān)于涉嫌違法當事人經(jīng)營行為的相關(guān)數(shù)據(jù)記錄備份，以及后臺數(shù)據(jù)庫的存儲數(shù)據(jù)?？梢宰鳛殡娮幼C據(jù)調(diào)取相關(guān)數(shù)據(jù)。

三、工商系統(tǒng)電子證據(jù)取證工作中存在的主要問題

1、硬件裝備相對落后，無法跟上信息化產(chǎn)品更新步伐。用于拷貝復(fù)制數(shù)據(jù)使用普通的硬盤、移動硬盤。這種設(shè)備數(shù)據(jù)傳輸速度慢，效率低，讀寫性能差，而且安全性、可靠性不能保證。不滿足《電子數(shù)據(jù)儲存介質(zhì)寫保護設(shè)備要求》中關(guān)于寫保護設(shè)備的技術(shù)要求和關(guān)于逐比特復(fù)制的要求；無法保證源盤數(shù)據(jù)和復(fù)制盤數(shù)據(jù)的同一性。

2、信息專業(yè)方面技術(shù)人才比較匾乏?？茖W(xué)技術(shù)進步日新月異，即使有一定電腦知識的執(zhí)法干部，加之沒有得力的硬件工具支持，面對電子證據(jù)進行固定、取證時只能是捉襟見肘。

目前電子取證的普遍做法是：

3、檢查“我最近的文檔”。從從事經(jīng)營活動的計算機中，使用Windows系列操作程序的計算機，點擊左下角“開始”按鈕。找到“我最近的文檔”欄，點開它會列出按順序該計算機最近使用過的文檔，不同的操作系統(tǒng)顯示數(shù)量不同，一般為10～20個條目。在檢查過程中，首先抓屏，記錄下最近打開的文檔的名稱和順序，要注意不能輕易點擊打開某一條目文件。因為打開某一文件后，該文件就變成了最近的文檔，會改變原有的序列。

4、檢查“計算機桌面文件”。在工商執(zhí)法實踐中發(fā)現(xiàn)，一般經(jīng)營主體的人員習(xí)慣于將常用文件放置在計算機桌面上，并主要使用Word、Excel等Office文檔。從程序中查找財務(wù)核算軟件、ERP信息管理軟件、存貨管理軟件等經(jīng)營業(yè)務(wù)軟件，有時候在桌面也會有軟件的快捷鏈接方式。因此，執(zhí)法人員在檢查中首先應(yīng)對違法經(jīng)營主體的計算機桌面進行查看、分析。

5、檢查財務(wù)核算、庫存管理、ERP等應(yīng)用軟件。通過涉案人員的配合進入到財務(wù)核算軟件、庫存管理等記錄經(jīng)營信息的軟件進行檢查，取得違法經(jīng)營主體的收入、支出、費用、購銷貨數(shù)量等多項數(shù)據(jù)信息。

針對文件被刪除后的處理，需要采取數(shù)據(jù)恢復(fù)的方法：

四、數(shù)據(jù)恢復(fù)原理

對于Windows文件系統(tǒng)來說，通常從鍵盤上按DELETE鍵“刪除文件”只是改變文件在FAT中的鏈接指向，也就是清除了一個鏈接。修改文件的首字節(jié)，并把文件所占區(qū)域標記為未分配，而并不破壞文件本身，“格式化”也不是刪除數(shù)據(jù)區(qū)data中的數(shù)據(jù)，只是重寫了FAT表。絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變，只要沒有覆蓋這個文件。

五、數(shù)據(jù)恢復(fù)的攻略

1、數(shù)據(jù)被DELETE的數(shù)據(jù)恢復(fù)

此時數(shù)據(jù)進入回收站，可以通過打開回收站，選擇文件，點擊鼠標右鍵選擇恢復(fù)選項，恢復(fù)刪除的數(shù)據(jù)。

2、數(shù)據(jù)被SHIFT+DELETE的數(shù)據(jù)恢復(fù)

使用數(shù)據(jù)恢復(fù)的工具軟件EasyRecovery、FinalData或其他工具軟件，選取并加載需要恢復(fù)的硬盤分區(qū)掃描。軟件會將所有刪除的文件按照物理順序顯示出來。它主要是在內(nèi)存中重建文件分區(qū)表使數(shù)據(jù)能夠安全地傳輸?shù)狡渌?qū)動器中。你可以從被病毒破壞或是已經(jīng)格式化的硬盤中恢復(fù)數(shù)據(jù)。

3、當硬盤出現(xiàn)壞道時的數(shù)據(jù)恢復(fù)

當硬盤吱嘎響或者計算機系統(tǒng)莫名的出現(xiàn)藍屏可以推測硬盤有壞道。如果硬盤出現(xiàn)壞道，可以在純DOS狀態(tài)下嘗試是否可讀取，DOS對文件的讀取的能力相對Windows較強，當DOS讀不出的文件時，在出現(xiàn)提示后（Retry）多試幾次或許就可以讀出了。如果這種方法不行，那么可以判斷此扇區(qū)確已損壞。此時應(yīng)將該硬盤作為從盤掛附在另一臺電腦中，再使用DiskGenius、RecoverNT、FinalRecovery或其他數(shù)據(jù)恢復(fù)工具進行數(shù)據(jù)讀取。

4、硬盤誤格式化的數(shù)據(jù)恢復(fù)

無論是DOS系統(tǒng)下使用Format命令還是是在Windows環(huán)境下針對從盤進行格式化。格式化的操作并沒有把硬盤上的文件數(shù)據(jù)真正清除，而僅是重寫了FAT分區(qū)表，由此可以借助FinalRecovery等工具軟件來有效恢復(fù)被格式化過的硬盤上的數(shù)據(jù)。

5、優(yōu)盤和各種usb設(shè)備的數(shù)據(jù)恢復(fù)

移動設(shè)備的數(shù)據(jù)恢復(fù)通常借助FinalData等軟件工具實現(xiàn)。雙擊打開FinalData，軟件，單擊“文件”菜單中的“打開”命令；在“選擇驅(qū)動器”對話框中選擇優(yōu)盤或者USB設(shè)備的盤符后單擊“確定”按鈕開始掃描；待掃描結(jié)束后，找回的文件會顯示在“丟失的目錄”或“丟失的文件”內(nèi)。選中所有需要恢復(fù)的文件；單擊“文件”菜單下的“恢復(fù)”命令，彈出“選擇目錄保存”對話框，確定保存路徑后單擊“保存”按鈕就可以了。

6、硬盤克隆常用方法和工具

從涉案的計算機硬盤中完整采集出所有數(shù)據(jù)，通常運用硬盤克隆機或者數(shù)據(jù)獲取軟件兩種方法。

（1）運用硬盤克隆機獲取證據(jù)運用硬盤克隆機方法是從硬盤中采集數(shù)據(jù)時最直接的方法。將硬盤從計算機上拆卸下來，然后用取證專用的硬盤克隆機有條件的單位可以用快速取證箱制作原硬盤的克隆品。這中操作要保證目標盤有足夠的空間，也就是目標盤的物理空間要大于源數(shù)據(jù)盤。

（2）硬盤數(shù)據(jù)采集方法：拆除進行數(shù)據(jù)取證的原硬盤；使用預(yù)檢設(shè)備檢查原硬盤，一是確保無物理故障；二是確保原盤數(shù)據(jù)可讀取。然后對目標硬盤進行格式化處理，復(fù)制原硬盤數(shù)據(jù)到目標硬盤。如果原硬盤有故障最好在預(yù)處理設(shè)備上進行預(yù)處理，防止數(shù)據(jù)采集過程中出現(xiàn)故障。推薦使用Norton Ghost

六、數(shù)據(jù)恢復(fù)方法和工具

數(shù)據(jù)恢復(fù)的方式可分為硬件恢復(fù)方式與軟件恢復(fù)方式。

硬件恢復(fù)可分為硬件替代、硬件固件修復(fù)、盤片三種恢復(fù)方式。硬件替代就是用同型號的好硬件替代壞硬件達到恢復(fù)數(shù)據(jù)的目的。固件是硬盤廠家寫在硬盤中的初始化程序。盤片讀取就是用專門的數(shù)據(jù)恢復(fù)設(shè)備對其掃描，讀出盤片上的數(shù)據(jù)。

軟件恢復(fù)可分為系統(tǒng)恢復(fù)與文件恢復(fù)。系統(tǒng)級恢復(fù)就是操作系統(tǒng)文件受到破壞，導(dǎo)致系統(tǒng)不能啟動，無法進入系統(tǒng)用正常方式查看文件。利用各種修復(fù)軟件修復(fù)系統(tǒng)文件，使系統(tǒng)工作正常。或者使用虛擬系統(tǒng)啟動計算機，進行簡單文件操作。文件級恢復(fù)，就是恢復(fù)硬盤上損壞丟失的用戶數(shù)據(jù)文件，文件級恢復(fù)一般用工具軟件恢復(fù)數(shù)據(jù)。這些工具進行恢復(fù)的工作原理是利用激光束對盤面上的磁信號進行掃描，根據(jù)反射的不同的數(shù)字信號發(fā)射不同的信號，然后再通過專門的軟件分析來進行數(shù)據(jù)恢復(fù)。

目前用于數(shù)據(jù)恢復(fù)的工具軟件主要有R-Studio、EasyRecovery、Recover My Files、FinalData、Norton、DiskGenius、RecoverNT、FinalRecovery等。每個工具使用方式各有不同，恢復(fù)效果也會有一定的差別。，其中EasyRecovery、Recover My Files、FinalData支持NTFS、FAT12/16/32文件系統(tǒng)，能夠重建損毀的RAID陣列，為磁盤、分區(qū)、目錄生成鏡像文件，恢復(fù)刪除分區(qū)上的文件。推薦使用FinalData。它具有操作簡單、速度快、搜索準確等特點，支持的系統(tǒng)有Windows操作系統(tǒng)外，UNIX系統(tǒng)、linux系統(tǒng)。支持克隆整個硬盤，并能夠完整地顯示和編輯任何一種文件類型的二進制內(nèi)容。

七、手機取證

這里主要介紹一下MOBILedit Forensic軟件的使用。首先它幾乎支持所有手機，目前主流手機操作系統(tǒng)是Android 和ios系統(tǒng)。MOBILedit Forensic支持不同的手機，包括如三星，HTC，諾基亞，索尼，LG普通手機。它還支持所有的智能手機操作系統(tǒng)，包括Android，iPhone，Windows Mobile CDMA手機。

從iPhones和Androids中提取數(shù)據(jù)。MOBILedit能夠檢索已安裝的應(yīng)用程序的列表，并為您提供訪問所有應(yīng)用程序數(shù)據(jù)，例如Dropbox，Evernote，Skype，WhatsApp等。如果可能的話，它甚至能夠從移動應(yīng)用程序檢索已刪除的數(shù)據(jù)。

1、從手機和SIM卡中完整提取數(shù)據(jù)

使用MOBILedit Forensic可以查看、搜索或檢索手機中的所有數(shù)據(jù)。這些數(shù)據(jù)包括拔號記錄、電話簿、文字消息、彩信、文件、日歷、備注、提醒以及Skype，Dropbox，Evernote等應(yīng)用程序數(shù)據(jù)。它也可以檢索所有的手機信息。也能夠從手機擷取已刪除的數(shù)據(jù)和繞過開機密碼，PIN碼和手機備份加密。

2、使用鎖定文件的方法繞過iOS開機密碼

針對iOS硬件加密的數(shù)據(jù)，MOBILedit Forensic能夠透過這層保護來檢索數(shù)據(jù)。它支持導(dǎo)入在犯罪嫌疑人電腦上找到的鎖定文件。當iOS設(shè)備連接到電腦，并通過輸入密碼授權(quán)時電腦會生成這些文件?？梢韵∽C手機的原始SIM卡中的PIN碼。它也丟棄了過時及不可靠的取證屏蔽袋?？梢詮?fù)制SIM卡。

3、無需手機檢查電話數(shù)據(jù)

大多數(shù)iOS用戶都在使用iTunes，特別是對于管理音樂。他們中的大多數(shù)至少已將他們的iPhone手機和iTunes連接了一次。所以，即使沒有手機作為證據(jù)，你仍然可以獲取手機數(shù)據(jù)，因為默認狀態(tài)下的iTunes都會自動備份任何連接iPhone手機。MOBILedit Forensic獲取這些iTunes的備份文件，并提供了完整提取，包括聯(lián)系人，短信，錄音，鈴聲，記事本，日歷，照片，視頻，以及他們的應(yīng)用程序數(shù)據(jù)的功能。

4、通過數(shù)據(jù)線連接Androids系統(tǒng)遇到問題？可以通過Wi-Fi來連接它們

有些Android手機，尤其是山寨機，無法通過電纜連接到電腦上，或者因為連接端口損壞而不可用，或者因為某些預(yù)先安裝的安全軟件，如，防火墻，防病毒等，能夠通過Wi-Fi來連接這些手機，并可進行完整的邏輯提取。

電子證據(jù)包含的數(shù)據(jù)信息往往很大，而且數(shù)據(jù)類型往往雜亂無章，通常收集的所有證據(jù)需要進行提取、整理和篩選后才能被使用。一般使用成熟的軟件工具比如DGC等幫助篩選整理。在全面分析的基礎(chǔ)上進行數(shù)據(jù)挖掘和整合，使之清晰呈現(xiàn)案情相關(guān)信息。

參考文獻

［1］艾紹新. Windows數(shù)據(jù)恢復(fù)技術(shù)在電子取證中的應(yīng)用研究［D］.東北石油大學(xué)，2013.

［2］王笑強.數(shù)據(jù)恢復(fù)技術(shù)成為電子取證的核心技術(shù)［J］.計算機安全，2009，12：75-76.

［3］王旸.電子證據(jù)采集系統(tǒng)的設(shè)計與實現(xiàn)［D］.天津大學(xué)，2010.

［4］游君臣，彭尚源.基于數(shù)據(jù)恢復(fù)技術(shù)的計算機取證應(yīng)用［J］.甘肅科技，2005，09：53-55.

［5］黃步根.數(shù)據(jù)恢復(fù)與計算機取證［J］.計算機安全，2006，06：79-80.

［6］劉愫衛(wèi).數(shù)據(jù)恢復(fù)技術(shù)及其實踐研究［J］.科技信息，2006，08：151-152.

［7］程優(yōu).數(shù)據(jù)恢復(fù)技術(shù)在計算機取證系統(tǒng)中的應(yīng)用［J］.電子技術(shù)與軟件工程，2014，20：212-213.

［8］潘大四，凌彥.電子證據(jù)取證流程監(jiān)管系統(tǒng)研究與實現(xiàn)［J］.電腦知識與技術(shù)（學(xué)術(shù)交流），2007，13：86-88.

Application of Data Recovery Technology in the Electronic Evidence Collection of Industrial & Commercial Administrative Law Enforcement

Ye Yongli1Dong Hai2
（Yantai Industrial and Commercial BureauYantai264000）1
(Developing Reform & Economic Informatization Bureau, Yantai Development ZoneYantai264000)2

AbstractThe role of electronic evidence in the law enforcement of industrial and commercial administration is increasingly prominent，because the information is stored in a digital way，and the electromagnetic medium is extremely vulnerable to damage，and once the data is destroyed，we may suffer from huge losses. For all kinds of software and hardware platform，whether from the file of the error，or storage device of the serious damage，the effective data recovery work can be to a certain extent，the data will be restored. Data recovery technology is to restore the lost or damaged part of the data into normal data by various techniques. This paper introduces the basic concept of data recovery technology，and expounds the principle of data recovery technology. Summarizes the method of data recovery and common tools software.

KeywordsIndustry and commerceAdministrative law enforcementElectronic evidence Data recoveryPrincipleData recovery technologyTool software

中圖分類號TP309

文獻標識碼B

文章編號160202-7201

作者簡介

葉永利：性別：男，學(xué)歷：研究生，職稱：中級，出生：1980 年5月13日，單位：煙臺市工商行政管理局。

董海：性別：男，學(xué)歷：研究生，職稱：中級，出生：1977.11.12，單位：煙臺開發(fā)區(qū)發(fā)展改革和經(jīng)濟信息化局。