朱華斌，劉定芳

(蕪湖市公安局，安徽蕪湖241000)

邏輯層數(shù)據(jù)恢復(fù)技術(shù)在偵破案件中的運(yùn)用

朱華斌，劉定芳

(蕪湖市公安局，安徽蕪湖241000)

眾多電子設(shè)備的普及，為公安機(jī)關(guān)在辦案中提供了越來越多的電子數(shù)據(jù)證據(jù)，然而由于電子數(shù)據(jù)的多樣、易失等特性，就需要我們更重視和掌握電子數(shù)據(jù)恢復(fù)技術(shù)，為電子數(shù)據(jù)丟失、誤刪除、惡意損毀的案件提供技術(shù)保障。該文通過對邏輯層數(shù)據(jù)丟失的原因及特點(diǎn)進(jìn)行分析，以實(shí)例為線索深入探討了邏輯層數(shù)據(jù)恢復(fù)技術(shù)在偵破案件中的運(yùn)用。

邏輯層數(shù)據(jù)；恢復(fù)技術(shù)；偵破

隨著手機(jī)、電腦等電子設(shè)備的普及，公安機(jī)關(guān)在辦案中涉及越來越多的電子數(shù)據(jù)證據(jù)，由于電子數(shù)據(jù)的多樣、易失等特性，需要重視和掌握電子數(shù)據(jù)恢復(fù)技術(shù)，為電子數(shù)據(jù)丟失、誤刪除、惡意損毀的案件提供技術(shù)保障。在這里我們探討下邏輯層數(shù)據(jù)恢復(fù)技術(shù)在偵破案件中的運(yùn)用。

1 常見幾種邏輯層數(shù)據(jù)丟失分析

首先了解幾種典型數(shù)據(jù)丟失現(xiàn)象：數(shù)據(jù)文件刪除、分區(qū)提示格式化、分區(qū)被格式化、文件夾亂碼、剪切文件丟失、分區(qū)丟失、GHOST覆蓋、電腦藍(lán)屏等。

1)數(shù)據(jù)文件刪除：數(shù)據(jù)文件刪除通常有回收站刪除和shift+Delete刪除，這兩種數(shù)據(jù)文件刪除方式，在WinHex中看FAT32文件系統(tǒng)中文件目錄表刪除前后變化并不大，數(shù)據(jù)區(qū)并沒有丟失，這種情況我們可以通過恢復(fù)軟件將文件恢復(fù)出來。

2)分區(qū)提示格式化：硬盤1,分區(qū)2無法打開"$MFT“.Un?expected data at offset 2155000 and offset 2000,Res=-8,Res2=-8。

原因：文件系統(tǒng)破壞或主引導(dǎo)記錄分區(qū)表破壞：人為損壞、壞道破壞(文件系統(tǒng)破壞)、病毒破壞(主引導(dǎo)記錄分區(qū)表破壞)。解決方法：

(1)提示格式化對話框，點(diǎn)擊“取消”；

(2)使用數(shù)據(jù)恢復(fù)工具快速掃描恢復(fù)；

(3)若快速掃描無法出現(xiàn)數(shù)據(jù)，則需通過FSR(文件簽名恢復(fù)提取技術(shù))；

(4)若恢復(fù)過程“卡死”“報(bào)錯”，硬盤此分區(qū)有壞道影響。

建議可以選取有效目標(biāo)文件逐一恢復(fù)或磁盤對磁盤鏡像。

3)分區(qū)被格式化：FAT文件系統(tǒng)格式化有以下三種情況：

(1)快速格式化。在格式化過程中重寫引導(dǎo)記錄，不檢測磁盤壞簇，F(xiàn)AT表中除壞簇以外所有表項(xiàng)清零，根目錄表清空，數(shù)據(jù)區(qū)不變。

(2)高級格式化。會重寫引導(dǎo)記錄，重新檢查標(biāo)記壞簇其余表項(xiàng)清零，清空根目錄表，對數(shù)據(jù)區(qū)清零。

(3)低級格式化。介質(zhì)檢查；磁盤介質(zhì)測試；劃分磁道和扇區(qū)；對每個(gè)扇區(qū)進(jìn)行編號(C/H/S)；設(shè)置交叉因子；針對整塊硬盤數(shù)據(jù)存儲區(qū)域進(jìn)行覆蓋。

圖1

表1

4)文件夾亂碼、文件系統(tǒng)破壞：人為損壞、壞道破壞、病毒破壞。解決方法：文件系統(tǒng)容災(zāi)恢復(fù)技術(shù)。

5)剪切丟失：剪切數(shù)據(jù)時(shí)存儲介質(zhì)丟失。原因：斷電、介質(zhì)故障等；文件剪切過程分析：復(fù)制文件后刪除源文件-文件刪除。

6)分區(qū)丟失。主引導(dǎo)扇區(qū)出錯，通常分區(qū)引導(dǎo)扇區(qū)正常。原因：人為破壞、壞道破壞、病毒破壞。解決方法：恢復(fù)分區(qū)表。

圖2

7)GHOST覆蓋

(1)格式化C盤(刪除原有文件系統(tǒng)，建立新的文件系統(tǒng))。

(2)寫入系統(tǒng)鏡像文件到C盤。

分析：刪除+寫入，覆蓋部分原有刪除文件；恢復(fù)方法：簽名恢復(fù)：匹配文件格式恢復(fù)。

圖3

8)電腦藍(lán)屏

(1)0x000000ED錯誤分析：一般是磁盤存在錯誤導(dǎo)致的,或是硬盤連線接觸不良、沒有使用合乎該硬盤傳輸規(guī)格的連接線。如果在修復(fù)后,還是經(jīng)常出現(xiàn)這個(gè)錯誤,很可能是硬盤損壞的前兆。

(2)0x00000023、0x00000024錯誤分析：0x00000023通常發(fā)生在讀寫FAT16或者FAT32文件系統(tǒng)的系統(tǒng)分區(qū)時(shí),而0x00000024則是由于NTFS.sys文件出現(xiàn)錯誤(這個(gè)驅(qū)動文件的作用是容許系統(tǒng)讀寫使用NTFS文件系統(tǒng)的磁盤)。這兩個(gè)藍(lán)屏錯誤很有可能是磁盤本身存在物理損壞,或是中斷要求封包(IRP)損壞而導(dǎo)致的。

其他原因還包括：硬盤磁盤碎片過多、文件讀寫操作過于頻繁、數(shù)據(jù)量非常大或者是一些磁盤鏡像軟件或殺毒軟件引起的。

(3)0x0000002EATA_BUS_ERROR錯誤分析：系統(tǒng)內(nèi)存存儲器奇偶校驗(yàn)產(chǎn)生錯誤,通常是因?yàn)橛腥毕莸膬?nèi)存(包括物理內(nèi)存、二級緩存或者顯卡顯存)時(shí)設(shè)備驅(qū)動程序訪問不存在的內(nèi)存地址等原因引起的。解決方法：

(1)壞道檢測，根據(jù)壞道情況恢復(fù)操作；

(2)若恢復(fù)過程中有“卡死”“報(bào)錯”等現(xiàn)象，硬盤恢復(fù)文件有壞道影響，可以選取有效目標(biāo)文件逐一恢復(fù)或磁盤對磁盤鏡像。

圖4

2 常用恢復(fù)方法

1)快速掃描：恢復(fù)刪除的文件或丟失的文件、基于文件系統(tǒng)，杜絕文件寫入。

2)簽名恢復(fù)：匹配文件特定標(biāo)志恢復(fù)指定類型文件，如：按JPG類型恢復(fù)、基于文件結(jié)構(gòu)，缺點(diǎn)是恢復(fù)的文件無文件原名稱且需掃描全盤區(qū)域，時(shí)間很長。

3)掃描丟失分區(qū)：利用分區(qū)引導(dǎo)扇區(qū)或其備份特定標(biāo)志定位分區(qū)入口，快速高效恢復(fù)丟失分區(qū)文件、基于文件系統(tǒng)，需準(zhǔn)確判斷丟失分區(qū)。

4)文件系統(tǒng)容災(zāi)恢復(fù)：利用文件系統(tǒng)中未被破壞的目錄區(qū)文件重構(gòu)目錄，并恢復(fù)對應(yīng)文件、基于文件系統(tǒng)，需根據(jù)已有信息和找到的目錄區(qū)文件自定義分區(qū)大小。

5)磁盤到磁盤鏡像：此方法對壞道硬盤數(shù)據(jù)恢復(fù)很好、鏡像工具需做到很好的規(guī)避壞道鏡像數(shù)據(jù)和防止操作系統(tǒng)卡死。

3 常見恢復(fù)難點(diǎn)

1)恢復(fù)文件無法打開或打開報(bào)錯：文件結(jié)構(gòu)損壞，可以用相應(yīng)的修復(fù)工具修復(fù)；恢復(fù)軟件算法問題，未完全組合數(shù)據(jù)；

2)操作不當(dāng)引起數(shù)據(jù)覆蓋：未做任何保護(hù)措施，打開恢復(fù)數(shù)據(jù)分區(qū)內(nèi)文件；

3)不清楚是否恢復(fù)完全：快速掃描-簽名恢復(fù)-碎片級恢復(fù)。

4 邏輯層數(shù)據(jù)丟失在案例中的運(yùn)用

201x年x月x日，x局在辦理一起詐騙案中發(fā)現(xiàn)張x、劉x二人涉嫌偽造印章，后將二人抓獲，并在其刻章店查獲了用于印章刻制的電腦兩臺。經(jīng)過初步勘察，在二人電腦中均發(fā)現(xiàn)了刻章軟件及部分電子數(shù)據(jù)，但未發(fā)現(xiàn)涉案的數(shù)據(jù)，懷疑已經(jīng)被刪除。對犯罪嫌疑人劉x的臺式兼容電腦中的硬盤進(jìn)行數(shù)據(jù)恢復(fù)取證，尋找文件名為*.yz的文件。

1)數(shù)據(jù)固定：將硬盤通過只讀接口連接到計(jì)算機(jī)，使用鏡像軟件制作硬盤鏡像，保存為201x-0017.dd文件,并生成MD5校驗(yàn)。

2)將鏡像文件201x-0017.dd導(dǎo)入數(shù)據(jù)恢復(fù)系統(tǒng)軟件，在展開的鏡像文件代碼中檢索yz文件的十六進(jìn)制特征碼：

0X25546869732066696C65A1AF7320747970652069732057 494E595A20666F72204D4F53484921，檢索到16條記錄。

圖5

3)將十六進(jìn)制特征碼所在的扇區(qū)確定為yz文件的頭，再根據(jù)yz文件代碼結(jié)構(gòu)位圖找到文件末扇區(qū)，將文件頭尾之間的代碼數(shù)據(jù)打包提取出來，即為要取證的yz文件：

4)對十六條記錄的yz文件特征碼重復(fù)上述操作，即提取出全部的yz文件，鑒定結(jié)束。

5)使用Winhex V17.8進(jìn)行取證。從檢材中恢復(fù)提取出yz文件16個(gè)，其中兩個(gè)文件打開展示如下：

此案例中，我們清楚地認(rèn)識到數(shù)據(jù)恢復(fù)技術(shù)在偵破案件的取證中起到了重要的作用，相信運(yùn)用好數(shù)據(jù)恢復(fù)技術(shù)會在更多的案件中取得更多的線索和電子證據(jù)，為我們在案件偵破中獲得更多有用信息提供有力的支撐。

TP311

A

1009-3044(2017)24-0005-02

2017-07-22

朱華斌，男，安徽蕪湖人，助理工程師，主要研究方向?yàn)殡娮游镒C鑒定；劉定芳，女，安徽蕪湖人，助理工程師，主要研究方向?yàn)殡娮游镒C鑒定。