精品文档(可编辑) 值得下载
对数据恢复与计算机取证的分析
摘 要:计算机取证中的数据恢复由于其特殊性,特别是在法律和技术上的特殊内容和要求,使其存在一定的局限性和难点,虽然与普通数据恢复在原理上相同,但还是有很大的不同。本文分析了数据恢复及其方法,计算机取证中数据恢复的特点和难点,数据恢复在计算机取证中的应用,为以后的计算机取证的公正合法性提供参考。
关键词:数据恢复;计算机取证;修复
中图分类号:TP399
信息化时代的到来,电脑的大面积普及,随之而来的很多利用计算机和网络的犯罪也越来越多,给人们的生活带来了很多负面影响,也造成了很多财产损失。为了更有效的打击犯罪分子,我们可以着手计算机和网络来找出打击罪犯的证据。然而由于数据存在易篡改、伪造、删除和破坏等问题,这使得很多有价值的数字证据被销毁,让罪犯逃离了法律的制裁。为了还原被销毁的证据,我们对计算机数据恢复进行了研究。可知,计算机数据存储在硬盘存储空间里,只要没有被新的数据覆盖,或者被覆盖的只有少部分,都可以通过数据恢复技术进行数据恢复。下面对数据恢复和计算机取证进行详细描述。
1 数据恢复及其方法
1.1 数据恢复
由于人为破坏或者是偶然因素,导致电子存储介质被破坏而不能从中提取数据,数据恢复技术则可以恢复部分或者全部的相关数据。其中,电子存储介质指的是硬盘、光感设备、移动介质和磁性卷片等。造成数据不能读取的原因可能是软件问题,可能是计算机病毒破坏了数据,可能是电力和机械设备存在故障,可能是意外情况引起的。但是只要介质没有出现严重受损的问题,只是删除数据或硬盘发生故障,都不会完全破坏数据,恢复数据的可能性很大。但当介质严重受损或数据被完全覆盖时,无法恢复数据。硬件出现异常,需要对硬件进行修复,有时可以更换故障零件,有时也可以更换控制电路来进行修复工作。对于操作失误而删除的或者是格式化而造成的数据损失,大部分数据还是存在的,只要连接环节可以通过软件来重新恢复,就可以重新读取数据。
1.2 数据恢复方法
(1)格式化文件的数据恢复。文件格式化后会自动建立新的DBR、FAT表和FAT表备份,清除多余的FAT项和根目录簇,此时并没有清空数据区。数据恢复要依靠FAT,一旦重建或者丢失,将很难恢复被覆盖的数据文件和断断续续存储的数据文件,而恢复连续的数据文件却是可以实现的,因为新文件覆盖部分只是分区前面部分的空间,而不会覆盖后面存储空间,可以恢复后半部分的内容。
(2)删除文件的数据恢复。删除的文件可以分为物理删除和逻辑删除,其中逻辑删除更容易得到恢复。逻辑删除只是在FAT文件中将要删除的内容标记上,没有完全删除文件,可以通过恢复删除标记来进行数据恢复。物理删除则有多个层面,第一种只是在操作系统里对磁盘文件进行相应字节的标记来实现删除,却没有对数据的存储空间进行清除,也可以通过恢复删除标记来进行数据恢复,但如果已经被其它新数据覆盖,则实际数据也已经被损坏,无法恢复。第二种是在FAT里清除了文件占用的簇号记录来删除数据记录的,实际文件存储空间里还是保留着的,可以通过数据恢复软件恢复。
(3)损坏分区表的数据恢复。记录扇区可能在人为破坏或者计算机、网络作用下发生错误,引起分区表的损坏、代码的丢失和结束标志的损坏等,但不影响数据存储区,很容易就可以恢复。
2 计算机取证中数据恢复的特点和难点
2.1 计算机取证中数据恢复的特点
(1)合法性。计算机取证必须符合法律规范,作为证据的数据恢复必须严格遵守公安部计算机犯罪现场勘查与电子证据检查规则、电子数据鉴定规则进行,改过程是一个电子证据的取证过程,要求人员必须客观、公正和严谨。
(2)发现和提取更广泛。计算机取证中的数据恢复不仅是对由于计算机病毒、误操作、程序错误等的数据丢失进行恢复,还要针对其他情况进行研究,如利用专业工具进行人为的擦除数据。计算机取证要对一切可以作为证据的数据进行发现和提取,特别是对一些隐藏起来的数据的提取,如在未分配空间和Slack空间里的数据进行提取,也要对一些加密的数据或者人为损坏的存储介质中的数据进行发现和提取。
(3)内容更广泛。由于计算机取证是为侦查工作提供线索,也是为诉讼提供证据,因此要恢复的数据也更多。只要是可以作为证据的,并可以证明犯罪事实的,即使只有一点内容,一小片文件碎片也值得技术人员花时间和精力去恢复。且计算机取证还要恢复文件的各种属性信息来辅助案件,是重要的证据信息,必须进行提取。
2.2 计算机取证中数据恢复的难点
计算机取证中数据恢复的难点主要产生的原因由两方面组成,一是犯罪分子或相关嫌疑人为了逃避犯案证据而进行的故意隐藏和销毁证据的主观原因,二是由于计算机硬件设备或软件设备出
1562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
