专业文章

七个问题带你入门电子数据恢复丨反舞弊中的电子数据取证(七)

2018-10-31
分享到

最近笔者做了几次面向企业法务、监察人员的电子数据取证分享培训,分享内容从电子数据基础概念、取证方法到综合的案例分析都有涉及,而往往几个小时讲下来,最后交流互动环节提问最多的却是——“如果数据被删了,还有没有可能恢复?”、“员工归还电脑时把硬盘格式化了怎么办?”

也许是影视剧或者小说的巨大影响,在一般人眼中,电子数据取证的重点就是“恢复数据”,而且技术非常高深莫测。然而在真实的电子数据取证中,“数据恢复”却是相对比较客观单一的步骤,恢复概率的大小与介质本身密切相关,除了硬件故障需要专业设备进行“开盘”等操作,一般的数据恢复都通过软件层面来解决。

本期笔者重点挑选了几个常被问及的“高频问题”,希望通过问答的形式,以一种通俗易懂的描述,拨开电子数据恢复神秘的面纱。

【注】结合目前技术和产业发展的现状,最广泛使用的电子数据存储介质主要是磁盘(如机械硬盘)和闪存(如固态硬盘、U盘等)这两种,本期以机械硬盘为例加以说明,闪存的数据存储恢复机理在以后推送中另行介绍。

Q1 什么是电子数据恢复?

电子数据恢复就是把遭受破坏导致丢失的数据还原成正常数据的过程。

数据丢失有很多原因,其中包括硬件故障(如硬盘故障无法读取)、软件问题(程序异常致数据丢失)、黑客入侵、病毒破坏(如某种病毒会导致U盘文件异常丢失)、异常断电(如处理到一半的文档遭遇断电)、人为操作(包括误操作和故意破坏)等。

以上这些都可能需要数据恢复,甚至从某种程度讲,用户由于各种原因忘记自己把文件保存在哪里了,由技术人员通过专业的检索方法帮用户找到目标文件,也算是一种数据恢复。

Q2 我的数据被删除了还能恢复么?

这个没头没脑的问题有点难以回答,因为数据恢复不是一个正向过程,从恢复到完整的原始状态,到仅仅只是恢复部分数据碎片甚至毫无所获,这两个极端结果之间的任何情况都有可能发生。

恢复的概率和介质的实际情况紧密相关,以下列举几个判断数据能否恢复的必要不充分条件:

1、原始数据存储在哪里?

2、数据是怎么删除的?

3、数据删除后存储介质是否仍在使用过?

4、数据删除后是否有新数据写入?……

所以,要想搞清楚数据能否恢复,就要先了解一下数据是如何存储的。

Q3 数据在介质上是怎么存储的?

以机械硬盘为例,在硬盘的磁片上整齐排列着大量磁性单元,就像一个个永磁铁,这些磁性单元“S”极和“N”的朝向分别代表电子数据最基本的单位“0”和“1”。

当硬盘写入数据时,盘片高速旋转,磁头准确定位在需要修改数据的一个个磁性单元上,通过施加电压,磁性单元的磁极被逆转,实现从“0”到“1”的改变。

原理上就是这么简单!

可是这么多的0和1,操作系统是如何知道具体是哪个数据存在硬盘的什么位置呢?这就引入了现代硬盘上一个重要的概念:分区表。下面打个比方解释一下:

把整个硬盘比作一个图书馆,不同的分区就像不同的图书室,文件夹就好像一个个书架,具体数据则是一本本书。分区表就像图书馆的检索卡片,它包含了所有图书室(分区)、书架(文件夹目录)、书籍(数据)的信息,操作系统通过读取分区表,就可以将文件所处的逻辑位置(某某分区某某文件夹)和硬盘上的物理位置对应起来。

想想以前去图书馆检索图书,就能明白系统是怎么找数据的了。

Q4 数据在介质上是怎么删除的?

了解了数据的写入,我们再来看一个有趣的现象,平时在使用电脑时,你一定会注意到:写入文件的时间和文件大小成比例变化,大文件时间长,小文件时间短;但删除文件的时候,无论文件大小,几乎都是一瞬间就完成了,时间上没有明显的差别。

你有没有想过这是为什么?

这种现象是由系统删除文件的机理决定的,写入过程与时间成比例是因为数据中的每个“0”和“1”都要在磁盘上进行校验,一致的就“放行”,相反的就“逆转”,每个磁性单元都如此地遍历一次,其表象就是写入时间与文件大小成比例。而删除的过程,系统只是在分区表里将文件标注成了“不存在”,却根本没有清除数据本身,也就好比在图书馆中把图书检索卡片拿走,却没有真正在对应书架上拿走那本书!这样做大大提高删除文件的速度,改善了用户体验,而且由于硬盘上的“磁极”只有SN之分,当下次有别的文件要写入的时候,实际上未必需要修改所有的磁极指向——这也变相延长了硬盘的寿命。

Q5 数据是怎么恢复的?

介绍到这里,可能你已经能猜了,正因为机械硬盘特殊的删除机制,才给数据恢复提供了机会。我们通过专用软件将所有没被新数据覆盖的部分进行扫描,对分区表进行重建,好比图书馆的索引卡片都遗失了,只要重新清点一遍库存,就能找到尚存的所有书籍,并且建立起新的索引,数据就是这么简单就被恢复了。

绝大多数民用级别的数据恢复软件在恢复刚刚删除的文件时都能应对自如,就是基于这个原理。

Q6 硬盘格式化了可以恢复数据么?

硬盘格式化与删除文件的机理是相同的,区别仅仅在于,删除文件时系统只是删除分区表中对应文件信息,而格式化则是把整个分区表重建成空白磁盘的状态,所以原始的数据没有受到影响,通过扫描磁盘,几乎可以完整重建原来的分区表,恢复所有数据。

但如果格式化后大量写入新文件,或者长期频繁使用电脑,那就无法保证原始数据不被破坏,恢复相应文件的概率也就逐步降低了。

看完这些,是不是觉得数据恢复一下子就不神秘了呢?

Q7 数据恢复真的这么简单而没技术含量么?

数据恢复基础原理的确很简单,但实际情况千差万别,要想尽可能的恢复目标数据,远远不止上述情形这么容易。

比如,原始文件被删除后,硬盘又重新写入大量新数据,如果新数据就写在原始数据存储的磁盘位置上,覆盖了原始数据,使原始数据本身遭到破坏,那就只能对文件未被覆盖的数据残留部分进行还原恢复。

这样恢复后的文件一定是一种受损残缺的状态,可能丢失了文件头,也可能丢失了内容数据,所以正常的“打开”操作是无法完成的,要读取原始文件恢复出的部分数据,就必须借助其他工具进行数据读取、转换和拼接,这就需要技术人员具备较高的电子数据恢复知识水平,熟悉各类文件底层代码,如果是针对案件调查的电子数据恢复取证,甚至还需要调查人员有足够的案情敏感度和丰富的办案经验才能完成。

可以说,数据恢复入门非常简单,而深入则具有相当难度。

未雨绸缪还是亡羊补牢?简单介绍了一些数据恢复最基础的知识,在最后觉得还是有必要做个提醒:有果必有因,数据不会自己消失,只要及时采取措施,亡羊补牢的行动仍可以最大限度的减少损失。但,靠谱的方法还是备份,硬盘有价数据无价,只有未雨绸缪,才能真正确保数据的万无一失。

作者:星瀚内控与反舞弊法律中心 周晓鸣