关于电子物证检验鉴定中数据恢复技术探析.docVIP

关于电子物证检验鉴定中数据恢复技术探析 　　摘 要：我国的案件侦查坚持证据原则，但是随着犯罪分子的反侦察意识的提高，犯罪分子故意毁灭犯罪证据，给案件的侦破增加了难度，为给案件的侦破提供技术支持，积极发展数据恢复技术，努力保证数据的完整性，对电子物证检验鉴定工作具有重要意义。电子物证检验鉴定中数据恢复技术分为基于硬件的数据恢复和基于软件的数据恢复两个方面，通过技术手段将被删除的数据进行最大程度的恢复，还原违法犯罪事实本来面目，更好地打击违法犯罪，维护社会稳定。 　　关键词：电子物证；检验鉴定；数据恢复；网络犯罪 　　随着经济的发展和网络技术的发展，网络犯罪的发生频率大幅度增加，犯罪分子利用计算机技术侵犯个人和企业的合法经济权益，犯罪后将犯罪的数据进行删除，使证据灭失，给案件的侦破增加了难度，如何根据具体的案件事实，进行数据的恢复，将极大有利于案件的侦破，网络犯罪相较于传统犯罪具有隐蔽性，如何在物证检验鉴定技术实现创新，以数据恢复为例，探究电子物证检验鉴定技术对于犯罪侦破的巨大意义。 　　1 数据恢复技术的概述 　　1.1 数据恢复的技术定义 　　数据的灭失基于物理的硬件损坏或者软件的操作，数据恢复是指利用各种技术手段，对原本储存在电子设备中的电子信息和电子数据进行恢复的过程。因为数据灭失的原因不同，数据灭失的原因可能是硬件损坏、人为误操作、病毒入侵、黑客攻击或者操作系统本事的故障，我们这里提到的数据灭失是犯罪分子为了毁灭犯罪证据对数据进行的删除，所以数据灭失的原因就排除了误操作和操作系统本身的故障，原因是人为对硬件和软件的操作导致数据灭失，基于此，数据恢复是利用技术手段对人为删除数据进行恢复的过程。 　　1.2 数据恢复的对象 　　因为数据依存于存储介质，所以数据恢复的对象是各种能储存信息的介质，包括计算机硬盘、内存和其他存储介质。虽然在实际的网络犯罪过程中，犯罪分子会将某些自我建立的局域网的信息进行删除，但是因为本身信息需要存储介质的物质基础，所以我们将数据恢复的对象定性为一切存储犯罪信息的存储介质。 　　1.3 数据恢复的重要性 　　网络犯罪的猖獗的外部环境即网络技术的发展和智能手机的普及，犯罪分子利用技术手段对个人和企业的经济利益进行侵犯，为了隐蔽犯罪事实，会对犯罪时的电子数据和电子信息进行删除，这些信息能够反映出犯罪分子的手法和犯罪手段，利用这些数据能够掌握犯罪分子的具体犯罪动态和犯罪事实，有利于案件的侦破；数据灭失意味着证据丧失，我国坚持证据原则，无证据则无法对犯罪分子做出判决；加之犯罪分子的反侦察意识提高，犯罪分子对犯罪痕迹进行毁灭，甚至能使侦查人员陷入误区，通过数据恢复这一技术手段，能够提高侦查效率。 　　2 数据恢复的方法 　　犯罪分子对于数据的删除主要是针对存储介质破坏和通过软件对数据进行删除，数据删除的方法不同对应数据的恢复方法也不同，我国的电子物证检验鉴定中的数据恢复技术通常可以分为两类，基于硬件的数据恢复和基于软件的恢复。 　　2.1 基于硬件的数据恢复 　　犯罪分子为了毁灭犯罪证据，对于记录犯罪行为的电子信息进行毁灭，通常会对存储介质进行毁坏。技术人员会根据实际情况对于被破坏的存储介质进行维修或者数据的导出。如果存储介质的被破坏程度较低，工作人员会对其进行修护，保证存储介质的正常使用，从而进行信息的有效提取；如果储存介质的被破坏程度较高，工作人员无法使其正常使用，但是可以通过对关键位置的更换，实现信息的导出；虽然两者都是基于硬件的恢复，区别在于因为存储介质的被破坏程度不同，通过修复或者更换部件，使其实现信息的提取。基于硬件的数据恢复是建立在存储介质可以进行修复的基础上的，如果存储介质被直接灭失，数据是无法恢复的。 　　2.2 基于软件的数据恢复 　　犯罪分子为了毁灭犯罪证据，会人为操作导致磁盘格式化、文件删除、分区表信息受损，基于此为了保证数据的完整性，实现软件的数据恢复。电子物证检验鉴定中数据恢复通过技手段，实现存储介质的信息恢复，为侦查人员提供技术支持，提高案件的侦破效率。软件的数据恢复是建立在存储介质没有受到物理破坏的基础的前提下，对人为删除的数据进行技术恢复的过程，相较于硬件恢复，基于软件的数据恢复的成功率较高，因为存储介质没有受到物理破坏保证了数据的客观存在，人为的删除某种意义也只是数据的形式发生变化。 　　随着网络技术的发展，软件恢复工具很多，但我国公安部门认可的具有法律效力的软件恢复工具有EasyRecovery、Tooltit、Encase等，基于软件的数据恢复主要是应用公安部门认可的具有法律效力的软件恢复工具，保证了程序的合法性。 　　在现实情况下的网络犯罪中，犯罪分子对于证据的毁灭不只是停留在单纯的硬件损坏及人为删除数据，而是在人为删除数据