数据恢复在检察机关自侦案件中的应用

时间:2024-01-05 点赞:45369 浏览:89282 作者原创标记本站原创

此文是一篇数据结构论文范文,关于数据结构类论文范文资料,与数据恢复在检察机关自侦案件中的应用相关研究生毕业论文开题报告。适合不知如何写数据结构及操作系统及文件方面的论文目录专业大学硕士和本科毕业论文以及数据结构类开题报告范文和职称论文的作为写作参考文献资料下载。

【摘 要 】面对高智商职务犯罪嫌疑人恶意删改数据、恶意损坏存储载体致使数据丢失的问题,通过数据恢复技术手段最大限度地还原了案件真实情况,为职务犯罪案件的顺利查办提供技术支撑,发挥了电子证据在案件初查过程中的指向作用、在案件侦查过程中的定案作用以及在案件审判过程中的佐证作用.

【关 键 词 】数据恢复,职务犯罪,检察机关

目前检察机关在电子证据分析方面又普遍存在数据恢复速度慢、分析繁琐的问题,必须不断地调整鉴定的方法与手段,以适应检察机关新的案件形式和证据形式的发展显得越来越重要,而这也对硬盘数据恢复、取证、电子物证固化技术手段提出了更高的要求.

一、数据恢复原理

数据恢复就是把由硬件缺陷导致不可访问或不可获得、或由于误操作等各种原因导致丢失的数据还原成正常数据.文件之所以能被恢复,须从硬盘的物理结构(如图1所示)、文件在硬盘上的数据结构和文件的储存原理谈起.

1.硬盘的物理结构

图1 硬盘的物理结构

2.数据结构

硬盘的一般要分成主引导扇区(MBR)、操作系统引导扇区(DBR)、文件分配表(FAT)、目录区(DIR)和数据区(DATA)五部分.硬盘的五部分中,硬盘文件的数据区虽然占了绝大部分空间,但只有在前面各部分完整存在的情况下,数据区才有实际意义.一般的删除是文件分配表中的前两个代码被系统修改,只是作了已删除的标记,同时文件所占簇号在文件分配表中的记录被清零,该文件所占空间从而得以释放.文件被删除后虽然硬盘剩余空间增加了,但文件的真实内容仍保存在数据区,新数据写入时原数据才会被新内容覆盖,而覆盖之前原数据是一直保留的.在文件删除与恢复中,文件分配表的目录区起了重要作用,系统通常会存放两份相同的文件分配表来保证数据的安全,而目录区中的信息记录了文件的起始单元、文件属性、文件大小等数据,这些信息则定位了文件数据在磁盘中的具体保存位置,其中文件的起始单元是最重要的部分.在定位文件时,操作系统会根据目录区中记录的起始单元、同时结合文件分配表区知晓文件在磁盘中的具体位置和大小.


通常,新的硬盘需分区、格式化后才能安装系统使用.如果整个硬盘分了三个区,其结构则如图2所示.

图2 硬盘的分区

硬盘分区相关数据结构的构成详解如下.

MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节).在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节,第二部分:分区表,占用了64字节,第三部分:55AA,结束标志,占用了两个字节.引导代码的作用:就是让硬盘具备可以引导的功能.如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了.EBR,也叫做扩展MBR(Extended MBR).因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法.

文件分配表(File Allocation Table,FAT),是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定.

目录区(Directory,DIR),是紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置.DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等.定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了.在DIR区之后,才是真正意义上的数据存储区,即DATA区.

数据区(DATA)虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义.我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变.

MBR、EBR是分区产生的,而每一个分区又由DBR、FAT1、FAT2、DIR、DATA等5部分组成,C盘的数据结构如图3所示.

图3 C盘的数据结构

二、数据恢复软件和方法

在取证过程中,必须首先保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染,搜索目标系统中的所有文件:包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件、受到保护的文件和加密文件,全部(或尽可能)恢复发现的已删除文件,最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容.在实际电子数据检验鉴定工作中,采用成熟稳定的工具能达到事半功倍的效果:

1.R-Studio是功能超强的数据恢复、反删除工具,采用全新恢复技术,为使用 FAT12/16/32、NTFS、NTFS5(Windows 2000系统)和 Ext2FS(Linux系统)分区的磁盘提供完整数据维护解决方案.

2.Winhex是德国人开发的五星上将级16进制编辑软件,其附带的及其变通的数据恢复功能及其强大.在掌握了文件系统基础原理之后,你会对WinHex爱不释手,不愿再使用其他数据恢复软件.WinHex是WINDOWS下数据恢复的第一数据恢复软件,进入系统,首先要用WinHex来检测判断故障.并可直接恢复剪切删除、目录无法读取、分区丢失、误克隆、加密、RAID、目录隐藏、坏扇区等大多数类型故障.

三、电子证据在检察机关应用中存在的主要问题

1.办案人员重视不够、能力不高

一方面,受固有观念制约,办案人员对传统的书证、物证敏感度较强但对电子证据缺乏重视,造成很多重要的资料没有被及时发现.另一方面,由于检察机关的技术人员对电子证据的提取还缺乏足够的专业知识,整个检察系统对此也缺乏相关的系统性培训,技术人员电子取证水平普遍较低.

2.标准欠缺、规范缺乏

电子证据是一个新的概念,最高人民检察院对于电子证据的提取也没有出台相应的标准操作流程,侦查人员和技术人员往往仅凭经验进行,有可能破坏证据的完整性,对提取证据产生影响.在勘查过程中,目标设备或系统的相关信息记录不全,如未详细记录电子设备或系统的名称、网络地址等信息,勘查时未全程录像,录像资料未保存,提取的电子证据没有清单及封存记录,导致所提取的电子证据的真实性受到质疑.

四、结语

本文通过对数据恢复技术的研究对数据恢复技术的原理进行了阐述,并介绍了数据恢复中可以使用的恢复软件为数据恢复提供了参考方法.

相关论文

检察机关在民事诉讼中的地位

该文是刑法专业民事诉讼法论文范文,主要论述了关于民事诉讼法学年毕业论文,与检察机关在民事诉讼中的地位相关论文范文,适合民事诉讼法及。

检察机关诉讼监督实践中的难点

此文是一篇刑事诉讼论文范文,刑事诉讼类有关论文范本,与检察机关诉讼监督实践中的难点相关毕业论文范文。适合不知如何写刑事诉讼及刑事诉讼。

检察机关职务犯罪侦查权性质辨析

该文为刑事诉讼类有关毕业论文的格式范文,与检察机关职务犯罪侦查权性质辨析相关法学专业毕业论文,可作为中国法律思想专业刑事诉讼论文写。