犯罪的形式已经发生改变,利用计算机窃取商业机密、盗取国家机密的现象十分常见。使用计算机实施犯罪活动之后,数据十分容易被篡改和销毁,给取证工作造成困扰,利用数据恢复技术对获取此类型证据具有重要意义,与此有关的研究已经全面展开。
1 数据恢复原理
计算机当中的存储部件将各种数据以电磁信号的形式进行储存。磁盘当中的磁粒子变动可以促成数据的保存。需要对其进行读取的时候,计算机就会将转换机制作用在信号上,进而转换为通常可以操作的数据。
如果数据遭到删除,计算机当中的存储部分并未将数据完全处理,仅是对其中的部分进行变动,然后作上相应的标示,数据被删除的部分便可以继续存储文件。比如在FAT系统当中,当实施删除之后,系统仅是将文件目录中的说明进行修改,添加固定的标识之后就代表此数据已经被删除,但是原本的数据存储区域并未发生变化。只要将删除的标记部分进行修改还原就可以实现数据恢复。此方面的研究应该对计算机取证系统重新进行设计,让其具备的数据恢复功能可以对当前使用范围最广的操作系统windows以及文件处理系统FAT当中得到应用。如此,此类系统的设计才能够发挥较强的现实作用。
在判定完以上事项之后,还应该对硬盘的数据管理方式进行研究。对于采用FAT格式的磁盘而言,数据的存储分区都是固定的。系统首先进入主导扇区,主要对所有的分区进行事先判定,可以对各个分区的信息进行记录,如此就会将其中存在的各种现实情况进行必要的引导疏通。在格式化发生之后,在DBR后面仍然保存着FAT表,两者可以实现相邻排列,变动情况与分区改变情况存在密切关联。单一的存储位置存在对应的唯一FTA编码。FTA表与FDT互相配合,掌控所有文件。会对每个簇的使用情况进行显示,决定着其中任意一个是否可以得到实际应用。需要注意的是,格式化展开之后,所有文件并非被真正地删除,而是其中的FAT表被修改,其他部位也是通过修改几个程序达到删除目的。事实证明,大部分DATA都并未在格式化的过程中遭受破坏。这就使得原本存在的数据仍然被保存,只是改变了存储方式,为数据恢复工作能够正常发挥作用提供了可能。数据恢复技术正是在此基础之上对原本存在的各种问题进行修改,然后利用计算机当中的软件实现数据恢复目的。
2 计算机取证与数据恢复的关联
两者之间的技术基础存在的差别较小,都与存储和数据有关,而且在技术与工作准则方面存在较为明显的联系。在二者发挥作用的过程中,都需要工作者秉持科学的理念,对存储部分采取相同或者类似的处理措施。但是,二者之间也存在一定差别,数据恢复的主要职责就是将原本已经被删除或者格式化的文件数据寻找回来。数据恢复之后,其中的文件并不一定与法律存在关系,也可能是用作商业用途。计算机取证本身便是法律事项的一个重要环节,按照科学方式获取的证据已经具备法律效力。
数据恢复在计算机取证当中占据重要地位,进行此项活动的最主要目的就是为了获取电子证据。不仅如此,在犯罪分子没有使用的计算机当中通过数据恢复也可以获得与犯罪活动有关的信息,对案件的侦破工作行程较为良好的辅助作用。事实证明,此类犯罪分子本身具备较强的计算机知识技能,因而会在实施犯罪活动之后将其中的数据进行损毁,这就使得数据恢复存在较强的必要性。当前,一些软件的数据恢复性能会对工作成果造成重大影响,因此必须对系统当中的软件功能进行扩展,尽量获得尽可能多的数据,最佳情况就是将所有数据恢复。
3 数据恢复技术在计算机取证系统中的应用
在进行系统设计之前应该对传统意义上的证据与电子证据进行对比,进而让系统设计更加符合现实要求。计算机当中的数据处于随时变动的状态,而且由于其存储方式较为特殊,不具备直观特性。电子证据与计算机存在密切关联,其发挥作用都必须在计算机的辅助之下完成,可以说,传统数据可以进行实物保存,但是此类证据只能依靠计算机技术。而且电子证据寻找的过程中,必须对其进行技术支持,即使在此种情况也会出现证据损毁的情况,使得取证工作较难完成。因此,在进行电子取证的过程中,技术人员必须选择性能较强的软件,针对其中的各个部分进行仔细研究,让相关事项可以在科学手段的辅助之下得到完成。如此才能够确保各项工作顺利完成。
应该进行相应系统的设计,让数据将恢复技术可以发挥实际功能。在进行系统设计之前,应该对硬盘信息进行判断,结合文件存储的相关原理,设计出符合现实应用要求的系统。
在各种信息判定之后,应该根据系统的功能需求设定相应的功能模块,确保数据恢复的各个环节都可以顺利实现。只读控制模块对需要进行处理的硬盘当中所有的写入信息进行搜集。同时,也会对缓存部分进行必要的处理,针对其中已经存储过的数据实施监控,避免硬盘当中原本已经存在的数据受到破坏,一旦数据出现损毁就会造成取证工作难以实现。系统当中的修复模块具备较强的修复功能,负责处理导致磁盘无法开启的一些因素。比如,盘中的一些部位由于遭受病毒侵袭就会造成本体破坏,如果达到一定程度就会造成磁盘无法启用。前两个模块起到的是确保数据恢复顺利完成,数据恢复模块便需要在其辅助之下得到改善,必须对此情况进行改进,让数据恢复模块可以顺利发挥作用。
其中的分区修复功能较为重要,使用当前最为常见的操作系统,可以实现磁盘的快速扫描,对其中受到破坏的部分进行快速修复,此种情况必须在其辅助之下得到改善。首先系统会对数据恢复日志的处理进行判定,判断是否需要进行保存,使得相关数据必须在其辅助之下得到处理。因为与磁盘有关的各种信息都记录在其中。使用者如此在日后继续对其进行操作,就可以根据其中的内容直接进行业务的处理,简化了操作步骤。然后对需要修补的部位进行扫描,选定之后便可以对此部位的有效信息进行判断。
当前,最为常用的文件处理系统是FAT,系统设计应该符合其特点,如此才能够发挥最为广泛的作用。此类文件删除之后仍然存在与文件有关的各种信息。其中的所有文件的定义形式都与i节点存在关联。实际上,文件的删除就是i节点被清除干净的象征。这也就使得数据恢复难以直接进行,可以寻找其他类型的方式进行恢复。对其文件头以及文件脚进行扫描可以很好地实现这个目的。如果两者难以寻找,就必须计算文件的长度,将其中存在的数据进行存储。
4 总结
利用计算机实施违法活动的现象已经引起社会广泛关注。计算机当中遗留的犯罪证据的提取需要在数据恢复技术的辅助之下完成。可以说,计算机取证工作在数据恢复技术的帮助下解决很多难题,必须对此进行深入研究,让计算机取证工作可以对计算机犯罪活动起到良好的遏制作用。经过本文研究证实,计算机当中的数据被删除之后并非真正消失,而是换了一种形式存储在硬盘当中,这就为数据恢复技术发挥作用提供了可能,由此入手设计计算机取证系统,使用系统当中的软件对删除的数据进行恢复,为惩治犯罪分子寻找证据。
参考文献
[1]李超.集中化检测项目灾难备份系统的建设[J].中国输血杂志,2009,15(12):115-116.
[2]王笑强.数据恢复技术成为电子取证的核心技术[J].计算机安全,2011,23(12):118-119.