24小时服务热线

400-812-7308
在线沟通,请点我 在线咨询
咨询电话:
400-812-7308
地址:
江西省南昌市青山湖区南京东路
您的位置:神州司法  >   机构动态

电子数据恢复,反舞弊调查中的电子数据取证

日期:2021-05-29

也许是影视剧或许小说的巨大影响,在一般人眼中,电子数据恢复取证的重点便是恢复数据”,并且技能非常高深莫测。然而在真实的电子数据恢复取证中,“数据恢复”却是相对比较客观单一的进程,恢复概率的巨细与介质自身密切相关,除了硬件故障需求专业设备进行“开盘”等操作,一般的数据恢复都经过软件层面来处理。

本期重点选择了几个常被问及的“高频问题”,期望经过问答的形式,以一种通俗易懂的描绘,拨开电子数据恢复恢复神秘的面纱。

结合目前技能和工业发展的现状,最广泛运用的电子数据恢复存储介质主要是磁盘(如机械硬盘)和闪存(如固态硬盘、U盘等)这两种,本期以机械硬盘为例加以阐明,闪存的数据存储恢复机理在以后推送中另行介绍。

1什么是电子数据恢复恢复

电子数据恢复恢复便是把遭受损坏导致丢掉的数据复原成正常数据的进程。数据丢掉有很多原因,其间包括硬件故障(如硬盘故障无法读取)、软件问题(程序反常致数据丢掉)、黑客侵略、病毒损坏(如某种病毒会导致U盘文件反常丢掉)、反常断电(如处理到一半的文档遭遇断电)、人为操作(包括误操作和故意损坏)等。

以上这些都或许需求数据恢复,乃至从某种程度讲,用户因为各种原因忘掉自己把文件保存在哪里了,由技能人员经过专业的检索办法帮用户找到目标文件,也算是一种数据恢复

2我的数据被删去了还能恢复么?

这个没头没脑的问题有点难以答复,因为数据恢复不是一个正向进程,从恢复到完好的原始状态,到仅仅只是恢复部分数据碎片乃至毫无所获,这两个极点成果之间的任何情况都有或许发生。

恢复的概率和介质的实际情况严密相关,以下罗列几个判别数据能否恢复的必要不充分条件:

1、原始数据存储在哪里?

2、数据是怎样删去的?

3、数据删去后存储介质是否仍在运用过?

4、数据删去后是否有新数据写入?

所以,要想搞清楚数据能否恢复,就要先了解一下数据是如何存储的。

3数据在介质上是怎样存储的?

以机械硬盘为例,在硬盘的磁片上规整摆放着很多磁性单元,就像一个个永磁铁,这些磁性单元S”极和“N”的朝向别离代表电子数据恢复最基本的单位0”和“1”。

当硬盘写入数据时,盘片高速旋转,磁头精确定位在需求修正数据的一个个磁性单元上,经过施加电压,磁性单元的磁极被逆转,实现从0”到“1”的改变。

原理上便是这么简略!

但是这么多的01,操作体系是如何知道详细是哪个数据存在硬盘的什么位置呢?这就引入了现代硬盘上一个重要的概念:分区表。下面打个比如解释一下:

把整个硬盘比作一个图书馆,不同的分区就像不同的图书室,文件夹就好像一个个书架,详细数据则是一本本书。分区表就像图书馆的检索卡片,它包含了一切图书室(分区)、书架(文件夹目录)、书本(数据)的信息,操作体系经过读取分区表,就能够将文件所处的逻辑位置(某某分区某某文件夹)和硬盘上的物理位置对应起来。

想想以前去图书馆检索图书,就能明白体系是怎样找数据的了。

4数据在介质上是怎样删去的?

了解了数据的写入,咱们再来看一个有趣的现象,平时在运用电脑时,你一定会注意到:写入文件的时间和文件巨细成份额改变,大文件时间长,小文件时间短;但删去文件的时分,不管文件巨细,简直都是一瞬间就完结了,时间上没有明显的差别。

你有没有想过这是为什么?

这种现象是由体系删去文件的机理决议的,写入进程与时间成份额是因为数据中的每个0”和“1”都要在磁盘上进行校验,共同的就“放行”,相反的就“逆转”,每个磁性单元都如此地遍历一次,其表象便是写入时间与文件巨细成份额。

而删去的进程,体系只是在分区表里将文件标注成了“不存在”,却根本没有铲除数据自身,也就比如在图书馆中把图书检索卡片拿走,却没有真实在对应书架上拿走那本书!这样做大大提高删去文件的速度,改进了用户体会,并且因为硬盘上的“磁极”只要SN之分,当下次有其他文件要写入的时分,实际上未必需求修正一切的磁极指向——这也变相延长了硬盘的寿数。

5数据是怎样恢复的?

介绍到这儿,或许你现已能猜了,正因为机械硬盘特别的删去机制,才给数据恢复提供了时机。咱们经过专用软件将一切没被新数据掩盖的部分进行扫描,对分区表进行重建,比如图书馆的索引卡片都丢掉了,只需重新清点一遍库存,就能找到尚存的一切书本,并且建立起新的索引,数据便是这么简略就被恢复了。

绝大多数民用级其他数据恢复软件在恢复刚刚删去的文件时都能应对自如,便是基于这个原理。

6硬盘格式化了能够恢复数据么?

硬盘格式化与删去文件的机理是相同的,差异仅仅在于,删去文件时体系只是删去分区表中对应文件信息,而格式化则是把整个分区表重建成空白磁盘的状态,所以原始的数据没有受到影响,经过扫描磁盘,简直能够完好重建本来的分区表,恢复一切数据。

但如果格式化后很多写入新文件,或许长期频频运用电脑,那就无法保证原始数据不被损坏,恢复相应文件的概率也就逐渐降低了。

看完这些,是不是觉得数据恢复一会儿就不神秘了呢?

7数据恢复真的这么简略而没技能含量么?

数据恢复根底原理确实很简略,但实际情况千差万别,要想尽或许的恢复目标数据,远远不止上述情形这么容易。

比如,原始文件被删去后,硬盘又重新写入很多新数据,如果新数据就写在原始数据存储的磁盘位置上,掩盖了原始数据,使原始数据自身遭到损坏,那就只能对文件未被掩盖的数据残留部分进行复原恢复

这样恢复后的文件一定是一种受损残缺的状态,或许丢掉了文件头,也或许丢掉了内容数据,所以正常的“打开”操作是无法完结的,要读取原始文件恢复出的部分数据,就必须凭借其他工具进行数据读取、转换和拼接,这就需求技能人员具备较高的电子数据恢复恢复常识水平,了解各类文件底层代码,如果是针对案件查询的电子数据恢复恢复取证,乃至还需求查询人员有满足的案情敏感度和丰厚的办案经验才干完结。

能够说,数据恢复入门非常简略,而深入则具有相当难度。

8未雨绸缪仍是亡羊补牢?

简略介绍了一些数据恢复最根底的常识,在最终觉得仍是有必要做个提醒:

有果必有因,数据不会自己消失,只需及时采纳措施,亡羊补牢的举动仍能够最大极限的减少丢失。

但,靠谱的办法仍是备份,硬盘有价数据无价,只要未雨绸缪,才干真实确保数据的满有把握。