RM新时代有限公司-首页

隨著(zhù)網(wǎng)絡(luò )存儲、云計算、物聯(lián)網(wǎng)、視頻監控等信息技術(shù)在人們日常工作、學(xué)習、生活中的應用，各類(lèi)存儲介質(zhì)成為人們生活工作不可或缺的一個(gè)部分，海量數據存儲在計算機、網(wǎng)絡(luò )服務(wù)器及各種存儲介質(zhì)中，而一旦因各種原因導致數據丟失、毀壞，能否將其恢復就成了是否能夠挽回損失的關(guān)鍵。與此同時(shí),相關(guān)利用計算機及網(wǎng)絡(luò )制作、復制傳播色情、淫穢物品案件,網(wǎng)上詐騙、敲詐勒索、網(wǎng)絡(luò )電子傳銷(xiāo)、利用互聯(lián)網(wǎng)危害國家安全等案件逐年遞增,已折射出我國司法在打擊電子數據犯罪工作中面臨的巨大挑戰.而打擊電子數據犯罪的有效辦法就是找到具有法律效力的證據,2012年修改通過(guò)的《刑事訴訟法》和《民事訴訟法》都已將“電子數據”列為新的一類(lèi)證據，由此電子數據取證和司法鑒定在刑事、民事訴逐漸呈現重要作用.計算機上的資料被貪污主體人為惡意刪除,如何通過(guò)找回硬盤(pán)數據來(lái)取證;硬盤(pán)被瀆職主體敲打變形,怎樣通過(guò)提取電子數據證明其瀆職;監控設備“昨天的肇事逃逸視頻”被“今天的常規交通畫(huà)面”覆蓋,什么技術(shù)可以將“暫不可見(jiàn)”的“逃逸證據”重見(jiàn)天日.信息時(shí)代,電子數據恢復不但應用于人們的日常工作.生活和學(xué)習中，還成了公檢法部門(mén)破案、斷案、判案的重要一環(huán)，也成為各個(gè)行政、執法機關(guān)最重視的一種電子數據取證與司法鑒定技術(shù)手段。

1電子數據恢復取證與司法鑒定現狀

目前,中國雖然通過(guò)修改《刑事訴訟法》和《民事訴訟法》.已經(jīng)將“電子數據”列為新的--類(lèi)證據,但是對電子數據取證的操作規范并沒(méi)有法律規定,電子數據恢復的技術(shù)和服務(wù)標準更是缺失,公安部于2009年4月7日發(fā)布了《電子物證數據恢復檢驗技術(shù)規范》,而該標準不適用于犯罪現場(chǎng)勘查,同時(shí)該規范也只是簡(jiǎn)單.地對數據恢復軟件的名稱(chēng)進(jìn)行了認可;最高人民檢察院于2009年4月下發(fā)了《人民檢察院電子證據鑒定程序規則(試行)》,但該規則沒(méi)有涉及到電子數據恢復及其工作規范在國家標準《信息系統災難恢復規范》(GB/T20988-2007)中也沒(méi)有涉及到電子數據恢復.在學(xué)術(shù)研究界,對電子數據恢復取證進(jìn)行研究代表性的主要有杜江等I"]研究的公安部科技計劃創(chuàng )新項目:計算機取證中的數據恢復技術(shù)研究,但只針對文件系統分區表為損壞的情況進(jìn)行數據恢復,也沒(méi)有具體恢復算法和步驟;西安電子科技大學(xué)胡躍對基于Windows平臺磁盤(pán)取證系統數據恢復子系統研究與實(shí)現，但只針對數據恢復取證中的碎片進(jìn)行分析，沒(méi)有將電子數據恢復取證流程規范化，也沒(méi)有法律監督;中國政法大學(xué)沈樹(shù)強8對電子證據鑒定視角下的數據恢復問(wèn)題研究,但只針對電子數據恢復流程進(jìn)行了研究,沒(méi)有將司法實(shí)踐中的電子數據恢復技術(shù)和工作流程相結合，也沒(méi)有法律監督.而各法律實(shí)務(wù)部門(mén)和第三方的電子數據司法鑒定人員一般采用

FTK,DataRecovery,FinalData等國外數據恢復軟件進(jìn)行電子數據恢復取證和司法鑒定,而中國對這些數據恢復軟件并沒(méi)有進(jìn)行資質(zhì)、合法性及其數據恢復操作規范進(jìn)行軟件測評,各公安、檢察機關(guān)及第三方的電子數據司法鑒定人員往往依據行業(yè)經(jīng)驗或自行制定的數據恢復方法進(jìn)行電子數據取證和司法鑒定,因此鑒定結論的法律效力很難得到保證,電子數據作為證據的公正性、權威性.中立性受到質(zhì)疑,這勢必造成在涉及電子數據作為證據的司法實(shí)踐中影響該類(lèi)案件的判罰尺度,不利于該類(lèi)案件的審理,甚至不利于。打擊犯罪、保護受害人.因此,基于國內數據恢復在電子數據取證與司法鑒定訴訟案件中的應用情況,借鑒國外數據恢復取證與司法鑒定的相關(guān)標準和程序,建立統一的適應于公檢法系統的電子數據恢復取證與司法鑒定標準與工作流程成為一個(gè)亟待解決的問(wèn)題。

2電子數據恢復取證與司法鑒定模型

數據恢復分為邏輯類(lèi)恢復和物理類(lèi)恢復，物理類(lèi)數據恢復可通過(guò)維修法和替換法實(shí)現存儲介質(zhì)的正常識別,然后進(jìn)行物理鏡像后,便可通過(guò)邏輯類(lèi)恢復數據,因此本文主要對邏輯類(lèi)數據恢復進(jìn)行研究.在數據被刪除后,如果沒(méi)有進(jìn)行覆蓋操作,可利用原有文件屬性通過(guò)對文件定位實(shí)現數據恢復;在已知文件類(lèi)型的情況下,可利用已建立的文件特征字知識庫,通過(guò)文件特征字進(jìn)行關(guān)聯(lián)快速實(shí)現數據恢復;對于部分被覆蓋的殘留數據碎片進(jìn)行數據分析、挖掘,利用基于SVM的碎片分類(lèi)器對碎片進(jìn)行分類(lèi),再用上下文區域碎片重組算法對碎片重組,提高了數據恢復成功率.電子數據恢復取證與司法鑒定模型將理論和司法實(shí)務(wù)操作相結.

合,將數據恢復的技術(shù)性和電子數據取證與司法鑒定程序的法律性相結合,從而既提高了數據恢復的效率，也提高了恢復出的電子數據的法律效力。

2.1電子數據恢復取證與司法鑒定模型

電子數據恢復取證與司法鑒定模型如圖1所示,模型按司法鑒定實(shí)務(wù)將電子數據恢復取證與司法鑒定流程分為數據恢復取證與司法鑒定委托、鑒定機構受理、基于時(shí)間戳的多人數字簽名、數據恢復介質(zhì)的鏡像與哈希校驗、數據恢復取證與司法鑒定、撰寫(xiě)鑒定報告、鑒定人出庭進(jìn)行證據呈堂.為保證介質(zhì)的客觀(guān)性、原始性、完整性需要有鑒定委托人、申請人和鑒定機構等多人進(jìn)行數字簽名,該簽名有政法CA頒發(fā)的證書(shū)和基于時(shí)間基準服務(wù)器的時(shí)間戳所形成;為了保證原始數據的再現性,提高證明力,數據恢復取證一般都需要對原始介質(zhì)進(jìn)行位對位鏡像和哈希校驗,然后利用鏡像進(jìn)行數據恢復;對電子數據恢復取證與司法鑒定的全程實(shí)施監督,保證數據恢復取證與司法鑒定出的電子數據在訴訟案件中的可采性力、證明力、法律效力和證據鏈的完整性.在電子數據恢復操作實(shí)務(wù)中,基于Windows平臺下的FAT和NTFS文件系統,針對文件分區表沒(méi)有損壞的文件系統,利用文件定位算法快速、精準實(shí)現數據恢復取證與司法鑒定;針對大容量硬盤(pán),利用文件特征字可快速高效地恢復特定類(lèi)型的文件;針對由于犯人嫌疑人惡意將文件分成碎片隱藏文件及文件分區表?yè)p壞的情況,利用基于SVM的碎片分類(lèi)器對文檔碎片進(jìn)行分類(lèi),再利用上下文區域重組算法重組文檔碎片.電子數據恢復取證與司法鑒定操作完成后,需要鑒定機構人員撰寫(xiě)鑒定報告,進(jìn)行證據呈堂,并在必要時(shí)出庭質(zhì)證。

2.2基于文件定位的數據恢復取證與司法鑒定，MBR(主引導記錄)磁盤(pán)分區是目前使用最為廣泛的一種分區結構、所以論文主要針對MBR磁盤(pán)分區進(jìn)行文件定位數據恢復.在MBR磁盤(pán)分區中,分區表占64字節,而每個(gè)分區占16字節,故最大可存放4個(gè)主分區,當硬盤(pán)的存儲容量比較大,并且需要建立更多磁盤(pán)分區時(shí),就必須使用擴展分區,用EBR(擴展引導記錄)表示,MBR磁盤(pán)分區的整體結構見(jiàn)圖2所示。

從圖2可以看出主磁盤(pán)分區通過(guò)MBR中分區表進(jìn)行定位,而擴展分區之間通過(guò)指針結構形成一個(gè)單向鏈表實(shí)現定位.在FAT16的每個(gè)分區表中包括DBR,FAT1/2,FDT和DATA,而FAT32文件系統的FDT

在數據區.NTFS的DBR包含在$BOOT文件中,和文件有關(guān)的信息被稱(chēng)為屬性,以文件記錄的形式存放在$MFT中,NTFS文件系統位置結構如圖3所示。用WinHex:t1] 對MBR磁盤(pán)分區常見(jiàn)的文件系統進(jìn)行分析,文件的定位算法如下:

1)通過(guò)查找MBR/EBR中的分區表信息,獲取每個(gè)分區的分區類(lèi)型和該分區的DBR起始扇區數(相對偏移地址一般為63號扇區);

2)讀取DBR的BPB(相對偏移地址:0DH ,0EH-0FH,10H,11H-12H和16H-17H)分別獲取每簇扇區

數、DBR保留扇區數、FAT個(gè)數、根目錄項數(-般為512)和每FAT扇區數;IF分區類(lèi)型為FAT32 ,則讀取DBR的BPB相對偏移地址24H-27H獲取每FAT扇區數;IF分區類(lèi)型為NTFS,則讀取DBR的BPB相對偏移地址30H-37H獲取$MFT起始簇號,跳轉到第4步;

3)FDT的起始扇區數= DBR起始扇區數+ DBR保留扇區數+FAT個(gè)數*每FAT包含的扇區數，FDT占用扇區數= (根目錄項數*32)/ 512.從FDT的起始位置查找已被刪除的文件名(第1個(gè)字節變?yōu)?/span>E5),直到找到為止,則該目錄項相對偏移地址1AH-1BH,1CH-1FH處的數據即為該文件在DATA區的起始簇號和大小;IF分區類(lèi)型為FAT 32,則需要將該目錄項相對偏移地址14H-15H(高位)、1AH-1BH(低位)兩處的數據合并作為該文件在DATA區的起始簇號,因為在DATA區中,簇從2開(kāi)始編號,文件的起始扇區數= FDT的起始扇區數+FDT占用扇區數(文件系統為FAT32時(shí)為0)+(起始簇號-2)*每簇扇區數，跳轉到第5步;

4)FDT起始扇區數= DBR起始扇區數+ $MFT起始簇號*每簇扇區數+5* 2(5為目錄文件的記錄

號,2為每個(gè)文件記錄所占的扇區數),從FDT起始位置使用Unicode編碼向下搜索已被刪除的文件名,直到找到該文件的文件記錄(30屬性的相對偏移地址42H為該文件名),從80屬性的相對偏移地址08H獲取常駐屬性,IF常駐屬性=0,則相對偏移地址10H-13H,14H-15H處的數據即為該文件大小和起始位置;ELSE相對偏移地址30H-37H,40H處字節的高4位數據即為該文件大小和DataRun起始簇號,文件的起始扇區數= DBR起始扇區數+ Data Run起始簇號*每簇扇區數;

5)跳轉到已刪除文件的起始扇區位置,按上步獲取的文件大小,復制該文件內容,按原有文件類(lèi)型保存為一個(gè)新文件,即可完成數據恢復?；谖募ㄎ坏臄祿謴?/span>,可精準恢復被刪除的文件,NTFS文件系統中,不論文件是否連續存放,文件./目錄被刪除后都可通過(guò)該文件記錄找到起始簇號進(jìn)行數據恢復,但當要刪除的文件比較多時(shí),需要逐個(gè)恢復,工作效率比較低。

2.3基于文件特征字的數據恢復取證與司法鑒定

通常要恢復的電子數據都是特定的文件格式，比如*.doc.*.xls.*.jpg.*.mpg等格式,而在司法辦

案中往往要處理很多硬盤(pán).并且容量比較大,因此為提高工作效率,可基于文件首、尾部特征掃描文件系統的數據區,進(jìn)而確定文件的起始和結束位置.優(yōu)先快速恢復所需要的特定文件.文獻[5]利用word文件的頭部和尾部特征實(shí)現對* . doc文件的數據恢復.用WinHex抓取的* .jpgl°]文件的首尾特征字如圖4、圖5所示,從圖中可以看出* . jpg文件的頭部特征字為0x FFD8FFE000104A464946 ,尾部特征字為0xFFD90000。參照上述方法可求得其他類(lèi)型文件的首、尾特征字,從而建立基于文件首、尾特征字的文件特征數據庫,實(shí)現基于文件特征字的數據恢復取證與司法鑒定,文件特征數據庫表見(jiàn)表1所示,缺省大小為一1時(shí)表示沒(méi)有缺省大小,位置為0表示從起始向后查找,為一1表示從文件最后向前查找.當文件不連續存儲時(shí),在NTFS文件系統中需要借助文件記錄獲取文件存儲后續數據塊,實(shí)現特定文件的數據恢復。

2.4基于文檔碎片重組的數據恢復取證與司法鑒定

在電子數據取證與司法鑒定中,由于犯罪當事人刪除、格式化、文件交叉覆蓋等人為破壞，形成文檔碎片，導致許多存于文件系統元信息無(wú)法描述的未分配區域的電子數據無(wú)法被提取,尤其是當文件頭被覆蓋的情況下,基于文件特征的數據恢復將無(wú)法正確地進(jìn)行數據恢復. Metz等針對文檔隨機碎片問(wèn)題，提出了SmartCarving框架圖,見(jiàn)圖6所示.

該框架將文檔碎片恢復分為預處理、碎片收集和碎片重組3個(gè)階段,預處理階段主要處理被壓縮或被加密的數據,排除已有文件占用的簇;碎片收集主要用于對數據塊碎片進(jìn)行分類(lèi);碎片重組是根據碎片分類(lèi)的結果,重組碎片成文件.為提高文檔數據塊分類(lèi)的正確率,有效進(jìn)行文檔重組,進(jìn)而提高數據恢復的成功率，本文在SmartCarving框架模型的基礎上,對碎片收集中文檔分類(lèi)和碎片重組進(jìn)行了研究,提出了基于SVM的碎片分類(lèi)器。

2.4.1 基于SVM的碎片分類(lèi)器

在碎片收集階段主要是對大量碎片進(jìn)行文件分類(lèi),目前對碎片進(jìn)行分類(lèi)主要有基于距離的分類(lèi)和基于機器學(xué)習的分類(lèi).基于距離的分類(lèi)主要是利用不同的文件類(lèi)型.其字節頻率分布度(filefingerprints)不同和連續性字節差異性的特性進(jìn)行文件分類(lèi),這種方法需要對每一個(gè)文件類(lèi)型都建立基于字節頻率統計的文件指紋模型，然后設定閥值，如果某個(gè)文件數據塊與某一個(gè)模型的距離低于設定的閥值,則判定為對應的文件類(lèi)型,但該方法中很難確定一個(gè)比較理想的閥值,另外對于那些字節頻率比較相似的文件也很難正確識別.基于機器學(xué)習的分類(lèi)主要是在統計的基礎上建立機器學(xué)習模型對文件數據塊進(jìn)行分類(lèi),目前最具有泛化能力和最小容錯率的支持向量機( supported vector machines,SVM)分類(lèi)算法的研究廣受關(guān)注,應用與碎片分類(lèi)描述如下，本文首先利用Pearson相關(guān)系數對包含有Office系列文件.JPEG、C++源碼等文件的DFRWS 2007碎片映像數據度量碎片之間的相關(guān)性,訓練SVM模型,公式如下:

mn是訓練集中的碎片個(gè)數,R(i)是第i個(gè)文件特征字與已知對應文件類(lèi)標(類(lèi)型標準值)的相關(guān)性,X...是第k個(gè)碎片的第i個(gè)特征字,X是第i個(gè)特征字的平均值,Y,,Y分別為第k個(gè)碎片的類(lèi)標值和整個(gè)碎片的類(lèi)標值.文件特征字包括以下幾個(gè)。

1)文件首尾部特征字;2)針對普通文本和圖片的信息熵;3)字節/字符頻率分布特征,即文件中每個(gè)字節/字符的取值范圍的統計特征;4)上下文連續字節變化度,即數據塊中連續字節之間的平均連續性統計特征由公式(1)知，|R(i)|的變化在0和1之間，值越大,表面該特征對于分類(lèi)的貢獻就越大.根據相關(guān)度量，利用SVM-SFS[9]方法計算每個(gè)特征字的權重，從而針對各個(gè)文件類(lèi)型建立基于SVM的多特征字分類(lèi)器。

2.4.2

碎片重組

文檔碎片重組就是對同-一類(lèi)型的碎片確定連接順序,然后組合成多個(gè)不同的文件.利用文件首部特征字和文件摘要信息(文件長(cháng)度、時(shí)間等文件屬性信息)可以確定文件頭碎片.而新型文件系統的特點(diǎn)是盡量減少碎片，因此同一個(gè)文件的碎片多以2分存在,分成3,4個(gè)甚至多個(gè)碎片的情況很少見(jiàn),并且在2分的情況下一般都是從一塊連續的區域向鄰近的區域空間擴展存儲.為此,本文提出了一個(gè)上下文區域碎片重組算法如下:

1)確定某個(gè)文件頭碎片所在區域的地址;

2)利用基于SVM的碎片分類(lèi)器從該區域起始地址開(kāi)始順序向后(前)查找,至到不屬于該文件類(lèi)型的碎片,則上述碎片在存儲介質(zhì)上的邏輯存放順序即為碎片重組的順序;

3)跳過(guò)不屬于該文件類(lèi)型的碎片,根據文件碎片頭部中的文件大小，然后利用碎片分類(lèi)器順序浮動(dòng)跳躍向后(前)查找相同類(lèi)型文件的數據碎片區域,并且該區域的大小應該等于該文件剩余大小;

4)如果第2片區域大小小于該文件剩余大小,則有可能是碎片被分成2片以上,則重復步驟3),至到查找到該文件全部碎片至，當出現大小一樣的不同碎片區域或沒(méi)有找到剩余大小的碎片區域時(shí),可利用時(shí)間相同或相近的文件特性進(jìn)行碎片關(guān)聯(lián)和重組。

3實(shí)驗及結果分析

為了驗證電子數據恢復取證與司法鑒定模型的工作效率,選用DFRWS2007發(fā)布的數據映像作為實(shí)驗數據，大小為256M,該數據映像主要包括OfficeWord,Excel,PDF,BMP,JPEG等文件類(lèi)型.利用Winhex提供的腳本開(kāi)發(fā)技術(shù)和API函數[10]將模型中的算法應用于Winhex中進(jìn)行原型實(shí)現,然后應用電子數據取證.與司法鑒定中常用數據恢復軟件FTK 1. 50b, Data Recovery6. 10. 07 ,Final Data 3.0對該數據映像進(jìn)行數據恢復分析比較。實(shí)驗環(huán)境: Intel(R)Core(TM)酷睿i5 M520@2. 40GHz雙核,內存2 G,硬盤(pán)250 G, Windows 7 Professional.根據文件類(lèi)型出現的概率,實(shí)驗中從文檔和圖片兩大類(lèi)文件類(lèi)型中分別選擇了Word和JPEG文件類(lèi)型進(jìn)行數據恢復和分析,結果如表2,3所示。

從表2,3可以看出,對于Word,JPEG文件來(lái)說(shuō),電子數據恢復取證與司法鑒定模型中用到的文件定位、文件特征字和文檔碎片恢復綜合方法,無(wú)論在掃描、恢復時(shí)間上還是在恢復成功率上都比一般通用數據恢復軟件的效率要高.就數據恢復成功率上差不太多,但是在時(shí)間上則大大節省了時(shí)間,這在政法機關(guān)進(jìn)行大量數據文檔恢復時(shí)尤其如此。

結論

本文在對電子數據恢復取證與司法鑒定現狀進(jìn)行分析的基礎上,提出一種電子數據恢復取證與司法鑒定模型，該模型按電子數據司法鑒定實(shí)務(wù)將電子數據恢復取證與司法鑒定流程化和標準化,使用多人數字簽名、原始介質(zhì)位對位鏡像和哈希校驗來(lái)提高電子數據的證明力;通過(guò)對電子數據取證與司法鑒定全程進(jìn)行流程監管與操作監督,保證恢復的電子數據在訴訟案件中的可采性力、證明力、法律效力和證據鏈的完整性。模型在數據恢復實(shí)踐中,基于當前Windows平臺主要使用的FAT和NTFS文件系統,針對文件系統分區表未損壞的情況，提出了文件定位算法快速恢復;針對法律實(shí)務(wù)中需要恢復的特定文件類(lèi)型,提出了文件特征字算法進(jìn)行數據精準、高效恢復;而對于實(shí)踐中難于恢復的數據碎片,利用基于SVM的碎片分類(lèi)器對碎片進(jìn)行分類(lèi),再用上下文區域碎片重組算法對碎片重組,提高了數據恢復成功率.實(shí)驗結果表明,該模型中所用到的數據恢復算法能夠針對實(shí)踐中不同的情況下進(jìn)行有針對性數據恢復,尤其是司法實(shí)踐中遇到大量文件需要恢復時(shí)將大大節省時(shí)間,提高工作效率,這在法律實(shí)務(wù)中很可能會(huì )有很大幫助。

下一步工作將重點(diǎn)研究其他文件系統,比如針對大容量U盤(pán)的ExFAT文件系統、Linux的Ext文件系統(包括Android手機的YAFFS文件系統)、蘋(píng)果機的HFS+文件系統(包括移動(dòng)終端文件系統I0S);還包括其他類(lèi)型文件的特征字,豐富文件類(lèi)型特征字知識庫;并進(jìn)一步尋找更有效的碎片分類(lèi)挖掘及關(guān)聯(lián)重組算法。