谈计算机取证信息收集与数据还原

摘要：现代信息技术的发展拉近了互联网和人们的距离，目前，很多企业和政府机构都开始利用互联网来进行信息数据的采集和储存，同时各级政府和事业单位都开始加大对信息安全建设的重视程度，不断地出台相关信息安全条例来做好信息保密安全工作。就计算机犯罪的现状，展开了相应的分析。

关键词：计算机；信息收集；数据还原

互联网的发展让人们可以更加便捷地进行信息传递，不同人群之间也可以实现信息共享，国家各项基础设施建设也开始应用信息化技术，但是与此同时各种计算机病毒也开始出现，这直接影响了国家的安定，威胁社会安全。和一般的犯罪行为不同，计算机犯罪属于新兴高技术犯罪，它的犯罪证据很多都是通过计算机存储呈现出来的，像计算机记录、相关的文件、源代码等都是非常重要的电子证据。

1计算机犯罪的现状

随着计算机技术的不断革新，计算机犯罪的类型和范围也在不断地扩宽，其主要类型为网络色情犯罪、网络传销、网络诈骗等。色情犯罪主要是指通过论坛、社区以及网络游戏等娱乐渠道将淫秽信息名呈现出来，这样一来互联网中就会充斥着大量的色情信息，很多青少年在使用计算机的时候会无意间点开淫秽信息，也有的青少年由于自我保护意识不高会参与到淫秽信息的传播中，这在很大程度上影响了青少年的健康成长；网络传销和网络诈骗则是由电子商务衍生出来的，它通常是以电子货币的形式来进行网络交易的，很多不法分子出于贪欲会想要去侵占他人的财务，微信、支付宝、QQ转账等为此类犯罪提供了便利。近年来我国网络犯罪的数量有明显的上涨趋势，同时网络犯罪涉及的金额也在不断地增长，这严重威胁了我国公民的财产安全，也在很大程度上对社会安定造成了破坏。另外，从世界计算机犯罪的发展情况来看，计算机犯罪在未来有向国家机关产业渗透的趋势，如果不及时地采取有效措施来对计算机犯罪进行打压计算机犯罪的规模将会不断地扩大，甚至还会由个人犯罪向团伙犯罪的方向转变、由在区域内部犯罪演变成跨区、跨国范围，如果计算机犯罪蔓延到世界范围，再想对其进行控制将会非常困难。因此应当从计算机犯罪的传播途径着手，利用技术手段来更好地对电子证据的相关数据信息进行收集，保证电子证据的合法性[2]。与此同时，相关技术人员也应当不断地对相关技术进行革新，以便更好地应对各个领域出现的新型攻击手段和新的BUG。

2计算机取证的内容

2．1计算机取证的概念

计算机取证的概念是为了获取一些合法信息而定义的，它主要是通过对磁介质编码信息的保护、确认以及提取和归档等操作实现的。另外，计算机取证也可以实现对计算机犯罪行为的解剖，进而将计算机犯罪中实施的证据进行改变和调整，让其可以变成在法庭上具备足够说服力的电子证据，以此来帮助减少计算机犯罪行为的发生。

2．2计算机取证的特点

计算机取证最突出的特点就是高科技性，不论是在对数据信息的存储还是传输都需要通过相关的网络技术来实现；另外计算机取证还具有一定的隐蔽性，在进行信息取证的时候相关数据会被隐藏，这样一来就可以更加顺利地取得计算机犯罪的证据而不会被感知；客观性也是计算机取证最显著的特点之一，由于计算机犯罪的证据一般都不是实物，追查、跟踪的难度都很大，计算机取证可以更好有效避免由于外界因素带来的影响；动态性特征也是计算机取证的特征之一，由于计算数据本身具备一定的动态性，它会随着时间的变化发生变化，再加上计算机证据会以多种形式出现，所以计算机取证也具备一定的动态性。不仅如此，计算机的运行需要人力操作，所以为了更好地保证计算机证据的真实性，相关部门应当不断地对技术人员进行培训，从而帮助有效地对计算机犯罪行为进行遏制[3]。

2．3计算机取证的基本原则

相关技术人员在进行计算机取证的时候应当遵守及时性原则、可重现原则、安全保护原则以及多备性原则。及时性原则顾名思义就是要及时地获取相关数据，保证数据的时效性；可重现原则就是要保证得到的电子数据结果可以进行重现；安全保护原则是要保证整个证据链的完整性，让整个确证过程可以合法合规，这样一来可以确保数据的有效性；多备性原则就是为了防止数据丢失或者其他因素导致数据遭到破坏，技术人员在进行计算机取证之前就要备份数据，避免突发情况的出现。

2．4计算机取证的步骤

计算机取证需要进行的第一步工作就是明确疑似犯罪的计算机内含有哪些数字证据，同时也应当对这些可疑的计算机进行保护，这样一来就可以避免计算机出现重启或者后台运行其他程序，导致数据证据受到篡改[4]。第二步是要将获取可疑计算机内存储的数据证据，由于在取证的时候我们不知道哪些数据是有用的，哪些数据是无用的，所以为了以防万一要将所有证据都都存储在磁盘上，然后将这些信息数据进行重点保护，同时为了减少对原证物的损害；第三步就是进行证据的搬运，搬运的过程中相关人员也应当谨慎地对待证物，避免证物在运输的过程中受到损坏，否则它就不具备证物的价值；最后一步就是要对获得的证据进行详细的分析，并从中找出有效的数字证据（包括对主机数据的分析、对入侵过程的分析以及对入侵证据的提取等等），当然上述步骤都应当建立在对数据进行备份的基础上，只有这样才可以充分保证原始数据的完整性和有效性。

3数据还原

3．1对已经被删除数据的还原

从以往的计算机取证情况来看，在取证过程中如果没有及时进行取证操作就很可能会导致部分数据受到损坏甚至被删除，导致出现这种情况的原因有很多，像病毒、黑客以及取证人员操作不规范等都会导致数据的丢失，所以应当采取有效的措施来对这些已经被破坏的数据进行还原。具体地可以从磁盘的储存结构出发来对整个计算机系统进行分析，并结合文件系统管理技术来对数据还原过程进行设计[5]。首先可以设计一个系统来对信息结构进行引导，之后再对磁盘数据进行操作，可以利用NTFS来对文件在磁盘中的位置进行追踪，从而准确地对文件进行定位，要知道，在NTFS系统中想要对一个文件进行删除操作，被删除数据的目录、属性以及在整个文件中架中所占的空间大小都会发生改变，因此可以首先通过NTFS对文件进行定位，之后再根据MFT中记录的文件信息来对文件进行恢复，这样一来数据还原的效率就会得到很大程度的提升。另外，相关技术人员在对该系统进行设计的时候应当首先建立相应的模块，之后再确定整个磁盘存储的结构信息并对信息数据进行分区，获取到信息时候再进行信息数据的读取，从中获得系统的分区信息。MFT的主控文件可以通过确定磁盘的存储位置来对多个文件的记录，同时在记录的过程中NTEFA系统也会对相关的数据进行分析和记录，然后对文件进行准确地判断，确定其是否为已经被删除的文件。如果发现文件是已经被删除的，就要立即根据文件的编号来对其进行准确的恢复，恢复完成之后再将其存储在磁盘中，这样一来可以有效避免破坏证据的行为出现，减少计算机犯罪证据的损坏，提升计算机系统运行的安全性。

3．2对被格式化磁盘的还原

在磁盘的使用过程中，可能会受到外界因素（病毒、黑客）的影响而被格式化，已经被格式化的数据是没有办法被再次利用的，它们已经受到了损坏，甚至已经丢失，所以为了更好地保证计算机取证信息的安全性必须要改进相关技术来帮助提升对格式化磁盘的还原能力，进而确保计算机取证过程的有效性。但是从实际操作过程中发现，由于文件在删除操作上展示的对象不同，所以当磁盘被格式化之后，不仅磁盘内部的存储结构会受到损坏，在磁盘内还会形成数据引导区，这样一来对格式化数据的恢复难度就大大增加[6]。所以为了更好地对已经被格式化的磁盘进行有效还原相关技术人员也应当加大对磁盘还原方面的研究，不断地提升相关技术的处理水平，从而使得被格式化磁盘内的数据可以得到有效的还原。一般来说，当人们想要对一个已经格式化了的NTFS系统进行处理时程序会自动根据指令作做出相应的反应，元数据的内容就会立即被清空，同时根目录内的索引也会被清空，在这个过程中一些与系统运行相关联的数据也会受到一定的影响，但是即使所有的文件都已经被删除，只要根目录的数据索引还在数据还是存在被还原的可能性的，甚至还原的比例可以达到百分之百，所以相关人员在进行计算机取证的时候一定要合理地选择取证方式，同时也要对整个取证过程进行综合地考虑。另外，在进行计算机取证的时候，也应当充分利用文件的存储结构，并针对文件的存储结构来有针对性地进行还原操作，尽可能地保证大部分数据可以得到还原，为取证过程提供更多有效的信息，从而帮助实现对计算机犯罪行为的打压，保证计算机信息数据的安全性。

4结语

计算机取证对于维护社会稳定、打击高科技违法犯罪有着非常重要的意义。所以相关技术人员也应当紧跟时展的步伐，不断地对学习专业知识，提升自己的专业水平，更好地应对层出不穷的互联网病毒和各种黑客的袭击，提升计算机运行的安全性。同时技术人员也应当利用自己的专业知识来采取相应的措施确保证取证系统的正常运行，为打压违法犯罪提供技术保障，进而实现维护我国社会和谐、稳定发展的发展目标。

参考文献

[1]令珍兰.计算机取证的信息收集与数据还原[J].信息技术与信息化,2016,000(004):72-74.

[2]王薇.数据恢复与计算机取证[J].电子制作,2015,000(003):150-150.

[3]李永凯.对数据恢复与计算机取证的分析[J].计算机光盘软件与应用,2014,000(015):137-138.

[4]张明旺.计算机取证中数据恢复技术探讨[J].现代计算机,2012,(15):55-57.

[5]吴琪.浅析计算机犯罪取证中的数据恢复原理[J].吉林公安高等专科学校学报,2011,(2):64-67.

[6]张婷婷.试论计算机取证中的数据恢复技术[J].科技风,2017,(5):61-61.

作者：孙博 单位：苏州深鉴信息科技有限公司