数据恢复技术在计算机取证中的应用探讨

刘妍+王青

摘 要：在文章中，基于计算机取证概念以及相关技术的分析，研究数据恢复技术主要的应用方式，促进其自动取证与自动恢复工作。在这种发展情况下，不仅能为法律工作提供相关依据，还能促进计算机使用的安全性与稳定性，促进数据恢复技术的充分利用，实现计算机取证工作的科学、合理性。

关键词：数据恢复技术；计算机；取证；应用

中图分类号：TP309.2 文献标志码：A 文章编号：2095-2945（2017）23-0159-02

1 计算机取证

1.1 计算机取证的概念分析

计算机取证工作是对计算机犯罪证据进行识别，实现信息传输、保存以及分析等证据提取过程。在整体上，是对计算机系统进行扫描以及重建，在取证系统中，也是实现动态性与静态性记录工作，促进数据的恢复与还原。

1.2 计算机取证的特点研究

计算机取证工作是基于电子证据开展工作的，主要的执行目的是在计算机以及相关设备中将犯罪信息反应出来，保证能够做为法律依据。同时，电子证据也是一种计算机证据，在计算机实际运行期间，通过记录相关内容，分析真实案件和信息。而且，这些电子证据与传统的证据是不同的，电子证据具备一定的准确性、完整性以及可行性，符合现代法律制度，能够将其作为相关依据。同时，电子证据的表现形式是多种多样的，基于多媒体技术的影响，使用电子证据，能够利用文本、图形以及动画信息等充分展现出来，其含有所有的证据类型。

对于电子证据与传统证据存在的区别。第一，计算机数据是不断改变的。第二，电子数据在表面上是无法识别的，需要利用相关工具才能看到。第三，电子数据在不断传输、储存以及期间，是利用计算机技术、储存技术以及一些先进设备来完成的，但是，电子证据是无法传输与保存的。第四，在对计算机相关数据进行搜集过程中，需要对已经严重破坏的数据进行修改。

1.3 电子证据的来源和取证方法

电子证据的来源是多种多样的，其中主要包括系统日志、防火墙以及反病毒软件日志等。还包括操作系统以及数据库中存在的隐藏文件等。

对于电子证据的取证方法，可以实现数据检查方法、数据对比法以及数据分析法等。在工作执行期间，将动态取证工作作为其中的主要因素，实现静态取证工作。实现动态与静态的结合性，促进电子取证方法的综合利用，能够为电子取证工作的积极发展提供重要方向。

基于相关理论的分析，在计算机取证工作中，一些工作人员能否找到一些犯罪证据，需要对犯罪证据的覆盖特点就分析。对于取证软件来说，在对数据进行分析过程中，一定要研究文件是否与犯罪相关。在计算机取证工作中，获得电子证据还需要对动态取证技术进行研究。其中，实现计算机取证工作需要充分利用防火墙、检测技术等一些网络安全技术，促进研究工作的动态性发展。针对系统日志，需要利用第三方日志、加密技术对其研究。在对电子证据进行分析过程中，基于大量数据的分析和研究，研究一些与犯罪相关的证据，对相关性技术进行研究，在该执行下，不仅能实现工作高效率发展，促进检测算法的优化性与完整性，还能对相关的优化方法进行研究。

1.4 计算机取证技术的局限性

在我国，对计算机取证工作的研究还处于初级阶段，电子证据目前已经被认可，但是，电子证据具备的抗抵赖性、防篡改性还需要进一步分析，所以说，计算机取证在一定程度上还存在较大局限性。

第一，对于开发的取证软件，主要对磁盘进行分析，尤其是磁盘拷贝、数据被删除恢复等软件的研究。对于其他的取证工作，还在利用人工专家对其取证，从而导致计算机取证在期间产生一定错觉。第二，计算机取证工作是一种新的发展领域，各个企业和组织都为其投入大量资源，但在整体上，还没有为其构建相关标准，软件与相关工具的使用也无法促进其可靠性与有效性。一些机构在计算机取证工作中，也没有对工作人员进行认证，影响取证工作的权威性。第三，计算机取证技术与计算机技术安全自身也存在较大缺陷，会影响到证据的完整性与存在的原始性特征。

1.5 计算机取证技术的发展方向

近几年，随着黑客技术的不断提升，计算机取证技术也得以更新。为了促进取证信息具备一定的法律法规要求，基于目前的网络入侵技术和黑客技术，还需要对计算机取证工作进行研究，促进其使用的完善性。其中，计算机取证技术的发展方向主要表现为：第一，取证工具开始向着自动化、专业化方向发展。第二，取证工具和相關软件自身具备一定的安全性，保证可靠性的提升。第三，在对工具软件进行开发过程中，需要基于计算机领域以及相关理论知识进行研究，替代人工操作工作。基于无线局域网、手机等设备，一些计算机犯罪现象不断增加，其存在的犯罪形式将会以计算机、入侵检测系统等相关设备体现的，为了展现出其中的信息，需要充分利用相关工具，促进取证工作的专业性与合理性。

2 数据恢复

2.1 相关概念

数据恢复技术在使用期间，主要是将已经破坏的，存在硬件缺陷的或者无法访问、无法获取的、已经丢失的数据进行还原，使之成为正常的数据。用户在使用计算机系统过程中，当发现产生错误操作现象、病毒侵袭以及硬件产生故障问题的时候，利用数据恢复技术可以将用户一些无法读取的信息进行恢复，保证在较大程度上降低其产生的损失。

2.2 方式

数据恢复能够对已经丢失的文件进行恢复，也能将物理损伤的磁盘数据进行恢复，也能将不同操作系统中的数据实施恢复工作。对于存在的数据问题，主要分为逻辑问题和硬件问题，一般情况下，数据恢复方式为软件恢复和硬件恢复两种，目前，国际上对数据恢复技术的分类如图1所示。

对于其中的软件恢复，是利用相关软件对其恢复，没有硬件修理与数据恢复工作。比如：存在的病毒感染、错误操作以及网络删除工作等。同时，软件恢复工作还可以将其分为系统级恢复和文件级恢复。其中，对于系统级的恢复，存在的操作系统是不能启动的，需要利用各个修复软件实现修复工作，保证系统的正常运行和数据的恢复。对于文件级恢复，是储存介质上的某个应用文件破坏。比如：当DOC文件内破坏，可以利用修复软件对其修复。endprint

对于其中的硬件恢复。主要对一些硬件进行修理。当硬件破坏，需要将已经失效的数据恢复到硬件中，尤其是磁盘划伤、损伤以及一些原器件烧坏 等。硬件恢复还需要分为硬件代替、固件修复以及盘片读取等方式。其中，对于硬件替代，是使用相同型号的硬件来替代，促使其恢复。对于固件修复工作，主要是使用一些专门的修复工具，对硬盘固件进行修复，保证数据得以恢复。对于盘片读取方式，是在100级的超净工作间内对硬盘开盘工作，并利用专业设备对数据进行扫描，保证能够读出其中的数据[1]。

3 数据恢复在计算机取证中的应用

电子取证工作在实际执行期间，主要是从取证系统中获得一些原始数据，但是，并不对这些原始数据进行直接分析，在信息获取期间，减少其干扰、覆盖以及破坏现象。在取证工作中，基于信息网络系统、相关设备对数据、信息进行分析，能够促进其安全性与可靠性。在对数据进行分析期间，需要对数据进行数字签名。基于相关理论的分析和研究，相关人员在计算机取证工作中，对犯罪数据进行查找，研究其是否被覆盖，只有充分找到这些数据，才能对犯罪行为进行思考。在计算机取证系统中，应用数据恢复技术，能够促进目标与任务的有效完成。但是，在计算机取证过程中，也会产生不同的数据恢复，使用的方法也存在较大差异。一般情况下，计算机取证中的数据恢复技术在应用期间，是基于相关步骤来实现的。

在对取证工作进行检查期间，维护计算机系统目标，减少其产生的改变与破坏现象，以免数据被破坏或者计算机被感染。

在对系统中所有的目标文件进行搜索过程中，主要对存在的文件、已经删除的并且在磁盘上的文件。还包括一些没有覆盖的新文件、隐藏文件、密码保护文件以及加密文件等。

还需要最大限度的将系统与应用软件中存在的一些隐藏文件、临时文件以及交换文件等相关内容充分显示出来。

基于法律允许范围，对一些正在保护、加密文件的相关内容进行访问。

在一些特殊的区域，需要对所有的数据进行分析，该范围内存在的种类主要包括：第一，还没有分配的磁盘空间，主要是一些残留的数据。第二，文件中的“slack”空间，当文件长度没有达到簇长度整倍数，可以将其分配给文件的最后一簇。其中，还存在没有被使用的空间，其存在的文件信息可以被当作证据。

对计算机系统中的打印目标进行全方位分析，并给出相关结论。在整体上，当发现系统中存在的文件结构、文件数据以及文件信息的时候，会实现信息删除、信息隐藏以及信息保护等工作，所以，在调查期间要发现其存在的信息。

基于以上的分析可以发現，数据恢复技术能够对存在的问题进行补救，但该技术在使用期间不是一种预防对策，也不是备份措施。所以，在一定特殊情况下，一些数据是无法恢复的，将会导致数据被覆盖、磁盘被损伤以及产生低级格式化工作等[2]。

4 结束语

在计算机取证工作中，数据恢复技术为其中的主要部分。该技术在使用期间，与计算机系统实际环境存在关系，受环境不同要素的影响，计算机取证软件也会面对较大复杂性，无法促进灵活性的提升，从而影响取证工作面对的可靠特点。因此，实现自动取证以及自动恢复技术，能够促进安全智能化软件的应用，也是当前人们研究的主要话题。

参考文献：

[1]黎丽.浅谈计算机犯罪取证中数据恢复技术的应用[J].数字通信世界，2016（8）：74，95.

[2]梁效宁，黄旭，赵飞，等.监控视频数据取证与恢复技术的研究[J].计算机科学，2016，43（12）：110-113.endprint