电子数据概述

电子数据概述

作者：陈超沈燕峰

来源：《科技风》2016年第22期

摘要：回顾信息技术发展历史，从结绳记事，到电子计算机的诞生，从电话网络，到三网融合，从云计算，到物联网，伴随着技术的飞速发展，人类信息时代的生活越来越美好。但是，也正是计算机网络的无处不在，它也同样不可避免地被牵涉到种种非法事件中，从而在美好的背后，存在着各种各样的丑恶，尤其是形形色色的犯罪。正所谓天网恢恢，犯罪分子在计算机上的任何活动，都必然会留下印迹。本文主要研究电子数据，来阐述其作用。

关键词：电子数据；证人证言；犯罪

一、电子证据调查概念

（一）证据

2012刑讼法第四十八条指出证据的定义：即证据是可以用于证明案件事实的材料。

由八部分组成证据，具体包括：物证；书证；证人证言；被害人陈述；犯罪嫌疑人、被告人供述和辩解；鉴定意见；勘验、检查、辨认、侦查实验等笔录；视听资料、电子数据。

（二）电子数据

电子证据和传统证据相比较而言，其存在形式比较独特，主要在各种媒介上面以光，电和磁信号等物理形式存在。在形成、存在和利用电子证据过程中，主要依靠电子设备或者电子技术，存在的形式为电子类，使用时需要利用电子技术方可实现。由此可知，电子证据才突出了“电子”一词，而且也因此与常规的证据有所区别。

在国际方面，通常会应用“Computer Forensics”、“computer evidence”、“digital evidence ”、“electrionic evidence”等术语。“Computer Forensics”是“Forensics”的一个分支。此分支为自然科学范畴，相关犯罪与其他合法证据主要利用技术手段获取。“forensics”的本意主要指“辩论练习，辩论术”，而“Forensic”的本意指“法庭的，论争的：与法庭或公众论争有关的；用于或适于法庭或公众论争的，辩论的，修饰的”。

我们国家主要使用术语进行描述，包括电子取证，电子鉴定，以及电子数据和电子物征等等。国内外关于这方面的内容基本相同，在本质上的区别不大。

（三）电子数据主要特点

狭义的电子证据，即计算机犯罪的电子证据与传统证据相比较而言，具有更为突出的特点，在很多著作中几乎都总结电子证据的特点，目前业界内公认的包括下述几个特点：

1.易变性特点

电子证据与传统证据相比较而言，主要特点表现为受高科技含量影响比较脆弱。电子证据的存储形式为电和磁等。证据更容易被变更和修改，一旦电子证据被修改，因无映像文件和副本相对照，所以进行判断和查清时比较困难。

2.多样性特点

在输出电子证据过程中，具有各种各样的表现形式，包括大量多媒体信息，如视频，音频，动画和图像等等，这些信息可加密编译，也可为交互式的，对待证事实和形成过程可以更加完整，直观，生动而清楚的反映出来。

3.虚拟化特点

几乎全部信息在计算机内部都具有数字化特点。实质上，电子证据本身就是一些二进制排列信息，主要按编码规则处理而成，计算的机的某种功能主要利用二进制编码对系列化电脉冲信号进行转换而成，识别时很难通过肉眼来实现。

4.依赖性特点

电子证据必须依赖于高科技设备，在形成，提取，识别和存储，传输和再现电子证据时都需要高科技设备。

二、取证的流程

一般调查电子证据包括五个基本流程：

1）在调查和取证之前，进行辨认和准备；

2）收集相关证据；

3）采取复制或者镜像的方式保全和固定证据；

4）分析和检查证据；

5）证据报告。

三、电子取证

电子取证技术在调查电子数据过程当中，恢复数据技术是经常使用的技术，其中恢复数据的技术包括两种，即介质数据恢复，介质物理故障修复。本文将在下述内容中重点讲解介质数据恢复技术。

修复介质物理故障：这种故障一般指CMOS对磁盘不识别；经常会出现磁头撞击的声音，类似“咔嚓咔嚓”的声音；电机通电之后没有声音，也不运转；因磁头出现错位，使数据的读写出现问题；经常出现读写困难，格式式困难，死机和启动困难等问题；有进自检可以通过，但此硬盘却在“磁盘管理”中寻不到；计算机电路板的烧痕非常明显等等。磁盘物理故障包括如下分类内容：磁头老化和烧坏、盘体出现问题，电机故障、零磁道损坏、盘片被划，芯片断线断针等。固件损坏或者信息丢失等等。

恢复介质数据技术：系统和硬盘出现故障；系统启动过程不正常、分区表和密码及权限丢失、MBR和BOOT区丢失；误操作故障、格式化和克隆误操作、分区误删除、被病毒损坏、受黑客的攻击、操作PQ、RAID失败等等；Office系列Word、Excel、Access、PowerPoint文件Microsoft受到损失、修复SQL与Oracle数据库文件、修复Foxbase/foxpro的dbf数据库文件数据；对邮件Outlook Express dbx等文件进行损坏，修复Outlook pst文件的内容；修复受损的媒体文件MPEG、asf、RM等等等。

根据文件系统不同，可将介质分成NTFS，FAT，HFS，EXT4等：根据介质按种类的不同，可将介质分为硬盘，U盘，SD卡、各种电子存储卡等。

我们在很多恢复数据的案例中发现，大多数数据的恢复需要采用介质数据恢复技术，很少使用介质物理故障修复技术。

其中格式化、删除和覆盖三种情况是介质数据恢复中经常使用的。

1）删除操作：这种操作方法比较简单，删除某文件过程中，在文件的分配表中，系统只在文件前方标明删除标志。代表此文件已进行删除操作，说明系统已释放占用的空间，此空间可被其他文件使用。由此可知，如果我们误删除了某个文件，希望将数据恢复时，只要使用工具去掉删除标志就能够实现，可以恢复数据。但是并没有新文件写入系统，新的内容也没有覆盖文件占用空间。

2）格式化操作：此操作方法和删除操作比较接近，两者都对文件的分配表进行操作，但格式化操作仅仅把删除标志加至全部文件，或者直接清空文件分配表，系统表明无任何内容存在于硬盘的分区上。而在数据区并未进行格式化操作。尽管目录消失，不过仍然有内容。利用工具和数据恢复技术，可以及时恢复丢失的数据。

3）覆盖操作：如果把删除标志记在某文件之后，将有新的文件写入所占用的空间，新内容很有可能被新文件覆盖或者占用。