任智敏

摘 要：電子物證檢驗(yàn)鑒定中的數(shù)據(jù)恢復(fù)技術(shù)是獲取物證線索的保障，加大電子物證檢驗(yàn)鑒定中數(shù)據(jù)恢復(fù)技術(shù)的研究對提高犯罪案情偵查效率有著積極的作用。本文就電子物證檢驗(yàn)鑒定中的數(shù)據(jù)恢復(fù)技術(shù)進(jìn)行了相關(guān)的分析。

關(guān)鍵詞：電子物證檢驗(yàn)鑒定；數(shù)據(jù)恢復(fù)技術(shù)

0 引言

在社會(huì)經(jīng)濟(jì)以及網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展的當(dāng)下，各種違法犯罪行為也日益猖獗，給社會(huì)的安定造成了極大的影響。針對這些違法犯罪行為，犯罪嫌疑人在實(shí)施犯罪行為之后會(huì)直接刪除那些可以證明其犯罪行為的一些電子數(shù)據(jù)，從而給案件的偵查增加了一定的難度。而辦案人員在電子物證檢驗(yàn)鑒定中應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)，可以對那些被刪除的電子數(shù)據(jù)進(jìn)行恢復(fù)，從而搜集到與案件相關(guān)的重要線索，促進(jìn)案件的早日偵破。

1 電子物證檢驗(yàn)鑒定中數(shù)據(jù)恢復(fù)技術(shù)的重要性

電子物證是指存儲(chǔ)于介質(zhì)載體的電磁記錄或光電記錄的電子信息數(shù)據(jù)，電子物證是犯罪案件成立的重要證明。在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的當(dāng)代，網(wǎng)絡(luò)犯罪行為也越來越猖獗，針對犯罪行為案件，電子物證是案件偵破的關(guān)鍵，加強(qiáng)電子物證檢驗(yàn)鑒定是犯罪案件偵破的重要手段。在電子物證檢驗(yàn)鑒定中，為了維系電子物證的客觀真實(shí)性，在獲取電子物證時(shí)，應(yīng)采用取證專用的數(shù)據(jù)拷貝機(jī)和電子物證檢驗(yàn)取證技術(shù)，附加上時(shí)間相關(guān)信息數(shù)據(jù)，一次性提取和固定介質(zhì)載體中的全部電子物證信息。但是電子物證很容易受到干擾，尤其是犯罪嫌疑人在實(shí)施犯罪行為后會(huì)刪除或者破壞與犯罪案件相關(guān)的電子物證，使得電子物證在檢驗(yàn)鑒定中比較難以獲取全面的證據(jù)線索。而作為犯罪案件的重要線索，由于相關(guān)數(shù)據(jù)信息受到破壞，犯罪案件偵破難度就會(huì)增加。而數(shù)據(jù)恢復(fù)是指利用技術(shù)手段，將那些因人為因素而導(dǎo)致電子設(shè)備中存儲(chǔ)的丟失的電子信息或電子數(shù)據(jù)還原恢復(fù)的過程。在電子物證檢驗(yàn)鑒定中，利用數(shù)據(jù)恢復(fù)技術(shù)，可以將那些損害的硬盤、計(jì)算器內(nèi)存或者其他存儲(chǔ)介質(zhì)的存儲(chǔ)器的內(nèi)容進(jìn)行恢復(fù)，從而更好地方便偵查辦案人員獲取與案件相關(guān)的關(guān)鍵線索，掌握犯罪案件的相關(guān)信息，從而提高偵查效率，實(shí)現(xiàn)案件的早日偵破[1]。

2 電子物證檢驗(yàn)鑒定中數(shù)據(jù)恢復(fù)技術(shù)分析

2.1 軟件數(shù)據(jù)恢復(fù)

電子物證實(shí)質(zhì)是電子的、電磁的、光學(xué)的、磁性的等相似性能的信息或數(shù)據(jù)信息，經(jīng)輸出設(shè)備顯示為人們所能識別的文字、符號、圖形、圖像、動(dòng)畫、音頻、視頻等各種信息形式。對于犯罪嫌疑人而言，他們在實(shí)施犯罪行為后，為了將證據(jù)毀滅，會(huì)人為的破壞那些記錄案件信息的介質(zhì)，如對磁盤進(jìn)行格式化、刪除重要的文件[2]。在電子物證檢驗(yàn)鑒定中，偵查人員碰到那些數(shù)據(jù)丟失或者損害的設(shè)備或存儲(chǔ)介質(zhì)時(shí)，數(shù)據(jù)信息就會(huì)不完整，在這種情況下，偵查人員在檢驗(yàn)鑒定中很難獲取全面的數(shù)據(jù)信息，從而難以掌握與犯罪案件相關(guān)的信息。而軟件數(shù)據(jù)恢復(fù)技術(shù)作為一種實(shí)用化的電子信息應(yīng)用手段，數(shù)據(jù)軟件恢復(fù)技術(shù)的應(yīng)用為電子物證檢驗(yàn)鑒定工作提供了技術(shù)保障。在數(shù)據(jù)軟件恢復(fù)技術(shù)的依托下，偵查人員可以對那些損害的存儲(chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行恢復(fù)，讓偵查人員在信息存儲(chǔ)介質(zhì)中提取全面的信息，從而盡快幫助辦案人員破案。目前，我國公安部認(rèn)可的具有法律效力的軟件恢復(fù)工具就有Diskgenius、PhotoRecovery、EasyReCovery 、FinalData、X-Ways、Encase、Forensic、Forensic、FileRecovery、R-Studi-o、Recover4all等[3]。這些軟件恢復(fù)工具為電子物證檢驗(yàn)鑒定提供了多樣性的選擇，有助于獲取全面的與案件相關(guān)的信息，從而提高辦案效率。

2.2 硬件數(shù)據(jù)恢復(fù)

在這個(gè)網(wǎng)絡(luò)化的時(shí)代里，網(wǎng)絡(luò)犯罪行為也越來越多，犯罪嫌疑人為了毀滅犯罪證據(jù)，會(huì)對記錄犯罪行為的電子信息進(jìn)行破壞和毀滅，如對磁盤劃傷，針對此類問題，偵查人員可以采用硬件數(shù)據(jù)恢復(fù)技術(shù)對數(shù)據(jù)信息進(jìn)行有效的恢復(fù)。硬件數(shù)據(jù)恢復(fù)技術(shù)主要應(yīng)用于機(jī)械故障、電路故障、磁盤劃傷等所造成的設(shè)備內(nèi)數(shù)據(jù)損害與無法識別的狀態(tài)。通過硬件數(shù)據(jù)恢復(fù)技術(shù)，可以對設(shè)備內(nèi)部的控制芯片與電路板進(jìn)行維修或更換，如利用HIE、PC3000等工具，可以將那些已經(jīng)損害的電路板重新修復(fù)好或者更新與原設(shè)備向匹配的電路板，從而將損害的部分修復(fù)過來[4]。硬件數(shù)據(jù)恢復(fù)工作在特殊情況下需要切實(shí)滿足專業(yè)設(shè)備相應(yīng)的要求，如在數(shù)據(jù)恢復(fù)工作中，需要保證實(shí)驗(yàn)室處于100級以上的無塵空間，然后利用磁頭對盤片進(jìn)行直接讀取。通過硬件數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)數(shù)據(jù)后，偵查人員可以在存儲(chǔ)設(shè)備中提出更多的有價(jià)值的數(shù)據(jù)信息，通過對這些數(shù)據(jù)信息進(jìn)行綜合分析和處理，可以為案件的偵破提供有效的幫助，大大地提高案件偵破效率。

3 數(shù)據(jù)恢復(fù)技術(shù)案例分析

在電子物證檢驗(yàn)鑒定中，會(huì)碰到計(jì)算機(jī)系統(tǒng)崩潰問題，一旦計(jì)算機(jī)系統(tǒng)崩潰，就會(huì)給提證帶來難度。針對計(jì)算機(jī)系統(tǒng)崩潰問題，人們常用的做法就是重裝系統(tǒng)，但是重裝系統(tǒng)后會(huì)把原來的Ubuntu引導(dǎo)分區(qū)表mbr給沖掉，從而難以獲取到全面的數(shù)據(jù)信息。而mbr就是把操作系統(tǒng)自己的引導(dǎo)程序讀入內(nèi)存并跳轉(zhuǎn)到操作系統(tǒng)的引導(dǎo)程序[5]。如果原來的Ubuntu引導(dǎo)分區(qū)表mbr被沖掉，就會(huì)影響到計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。通過數(shù)據(jù)恢復(fù)技術(shù)，可以對原來的Ubuntu引導(dǎo)分區(qū)表mbr進(jìn)行恢復(fù)。具體操作為：先把Ubuntu的安裝光盤放進(jìn)計(jì)算機(jī)驅(qū)動(dòng)器內(nèi)，然后啟動(dòng)，正常進(jìn)入安裝界面，打開終端并輸入：sudo grub，系統(tǒng)接收指令后界面會(huì)變成grub>，然后找到Ubuntu的啟動(dòng)分區(qū)所在地，并輸入find /boot/grub/stage1，回車后根據(jù)計(jì)算機(jī)界面的指示，找到Ubuntu根目錄所在分區(qū)，輸入grub>root （hd0，2）、grub>setup （hd0），如果界面 出現(xiàn)successed后再輸入grub>quit，緊接著重啟，重啟后就可以找到計(jì)算機(jī)系統(tǒng)崩潰前的相關(guān)數(shù)據(jù)信息[6]。

4 結(jié)語

綜上，電子物證檢驗(yàn)鑒定是案件偵破的重要環(huán)節(jié)，是獲取與案件重要線索的重要手段，加強(qiáng)電子物證檢驗(yàn)鑒定工作能夠切實(shí)有效地幫助辦案人員開展犯罪偵查工作，從而實(shí)現(xiàn)案件的早日偵破。而在電子物證檢驗(yàn)鑒定中，時(shí)常會(huì)碰到電子物證信息存儲(chǔ)介質(zhì)損壞的問題，從而為線索提取帶來難度。而數(shù)據(jù)恢復(fù)技術(shù)的應(yīng)用有效地解決了電子物證信息存儲(chǔ)介質(zhì)損害的問題。通過數(shù)據(jù)恢復(fù)技術(shù)，可以將損害的介質(zhì)和設(shè)備中的數(shù)據(jù)信息進(jìn)行恢復(fù)，從而為案件的偵破提供便利，提高犯罪偵查能力和效率。

參考文獻(xiàn)

[1]楊柳，魏龍飛，李程遠(yuǎn). 電子物證檢驗(yàn)鑒定中數(shù)據(jù)恢復(fù)技術(shù)探析[J]. 科技經(jīng)濟(jì)市場，2014，11：189-191.

[2]沈亞鐸，張煒. 物聯(lián)網(wǎng)技術(shù)在電子物證檢驗(yàn)鑒定實(shí)驗(yàn)室的應(yīng)用[J]. 技術(shù)與市場，2015，08：219-221.

[3]李冬華，沈亞鐸. 電子物證檢驗(yàn)鑒定中數(shù)據(jù)恢復(fù)技術(shù)分析[J]. 技術(shù)與市場，2015，08：215-217.

[4]許怡紅. 電子物證檢驗(yàn)鑒定的數(shù)據(jù)恢復(fù)技術(shù)分析[J]. 法制博覽，2016，02：139.

[5]林康立. 物聯(lián)網(wǎng)技術(shù)在電子物證檢驗(yàn)鑒定實(shí)驗(yàn)室的應(yīng)用初探[J]. 信息網(wǎng)絡(luò)安全，2010，11：66-67.

[6]李盛，朱秀云，韓杰，尹春社. 電子物證檢驗(yàn)中常用數(shù)據(jù)恢復(fù)工具對比研究[J]. 刑事技術(shù)，2008，04：24-27-29.