数据恢复技术成为电子取证的核心技术|360数据恢复大师手机版

　　电子数据,广义的讲是指以物理形式存储于计算机系统内部及其存储器当中的指令和资料,包括计算机程序和程序运行过程所处理的信息资料;狭义的讲则指的是存储于计算机系统中的除计算机程序外的一切信息资料,即那些由计算机系统所有者及用户采集并输入计算机系统的,非系统本身运行不可缺少的信息。对电子数据证据的保护、确认、提取和归档就是所谓的电子取证。
　　社会信息化催生了一种边缘的计算机技术――计算机数据恢复技术,这是一种跨软硬件平台的技术,主要应用于计算机周边各种存储设备,包括硬盘、软盘、磁带、U盘等移动存储设备中,是对损坏数据的恢复技术,一般分为软件修复技术和硬件修复技术。
　　软件修复技术主要针对可以正常进行读写操作的存储设备,包括对分区表及文件系统信息的修补技术,比如FAT32系统的引导扇区、FAT表、目录表以及UNIX系统中的超级块等。这些信息一旦受损或丢失,就看不到系统分区,系统中的文件就无法正常读取。
　　硬件修复技术是针对无法进行读写操作的存储设备,主要是硬盘。硬盘是由三部分组成的,分别是存储数据的盘片、为读取盘片而设的硬件和固化于硬件和盘片上的伺服软件。在这三个部分里,任何部分有故障都会造成硬盘加电后无法读取数据,而我们可以通过硬件更换技术、软件重建技术和盘片读取技术解决问题,修复数据。
　　
　　数据恢复与电子取证的异同点
　　
　　首先,数据恢复与电子取证所需的数据类型以及对数据完整性的要求不同。计算机数据恢复技术所恢复的数据主要是应用数据,包括客户专有的文本文件、数据表文件、照片文件、图像文件、视频文件、电子邮件以及数据库文件等,客户不但关心文件的内容,同时也需要文件的完整,即可以正常使用。相反,电子取证不但需要应用数据,还需要系统数据,这些数据包括普通文件、隐含文件、临时文件、日志文件注册表、交换文件或页面文件、浏览器的历史和收藏夹、被删除的文件以及垃圾文件夹等,而且这些数据不一定完整,即便是一个时间、某个数据片或几个字节,对抓获罪犯都可能是至关重要的。
　　其次,就是数据恢复难度的不同。计算机数据恢复所处理的数据丢失,主要是意外事件造成的,而犯罪发生后的电子取证所处理的数据丢失,往往是犯罪嫌疑人为了毁灭证据而故意做的,取证的难度随着犯罪嫌疑人计算机水平的提高而增加。
　　同时,电子取证与计算机数据恢复有很多相同点。在进行操作前都需要保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染,都需要全部或尽可能恢复特殊的文件或数据块。从本质上说,两者都是从信息存储设备中提取电子数据,只是服务的对象不同。电子数据证据取证是国家专有的,是公检法机关针对犯罪分子而言的;数据恢复则是广泛的,可以向社会服务。因此,计算机数据恢复技术完全可以应用于电子数据证据的取证,进而成为犯罪发生后电子数据证据取证最有效的手段。只要按照专门的步骤,运用适当的计算机数据恢复技术,提供的电子数据证据是可信的、准确的、完整的、符合法律法规的,即可为法庭所接受,就可以达到电子数据证据取证的目的。
　　
　　应用前景
　　
　　根据这些区别,我们可以看出,从总体的修复难度以及文件类型的复杂程度、某些类型文件的理解深度等方面,电子数据证据取证的技术要求是高于计算机数据恢复的。计算机数据恢复只针对数据本身,电子数据证据取证还要求工程师对操作系统有深刻的理解。所以,这就要求计算机数据恢复针对电子取证的这些技术特点去研究和发展。
　　电子数据证据出现在法庭上,在我国只是近10年左右的事情,开展电子数据取证技术的研究,对于计算机科学的发展、电子数据取证法律法规的健全和电子数据取证工作的规范化都具有十分重要的意义。根据国内信息化的发展水平及对电子取证的要求,国家信息中心信息安全研究与服务中心在两年前就开始了这方面专门技术的研究,在处理有物理损坏的硬盘、查找文件碎片及对特殊文件的分析等方面取得了一些成果,为公检法机关解决了大量的取证问题。