恢复被删除的数字证据

根据一项调查，有93%的信息始终存在于数字形式中。如今，大多数信息都是以数字形式被创建、修改和使用的。这意味着，大多数电子表格和数据库都从未以纸质形式保存下来，而大多数数字数据也从未被打印出来。在本文中，我们将探讨一些恢复被删除的数字证据的方法和技术。
 

什么是数字证据？

数字证据指的是以数字形式存储或传输的任何信息，这些信息可以被法庭上的各方在审判过程中使用。数字证据可以包括音频文件、语音记录、地址簿和联系人列表、各种程序的备份文件（包括移动设备的备份文件）、浏览器历史记录、Cookies、数据库文件，以及压缩后的文件（如ZIP、RAR等格式），甚至包括加密后的文件等。
 

被破坏的证据

在刑事或网络犯罪案件中，试图销毁证据的行为非常常见。这种尝试的成功与否，取决于以下因素：
 

• 正在采取措施来销毁这些证据。
• 可以销毁证据的期限。
• 存储设备的类型，例如磁性硬盘、闪存卡或SSD驱动器。

在本节中，我们将讨论其中的一些内容。销毁证据的方法还有恢复被毁证据的方法. 
 

已删除的文件

删除文件是销毁证据最简单、最方便的方法之一。 无论是使用“删除”按钮，还是“Shift+删除”按钮。 删除文件的恢复原理在于：当文件被删除时，Windows系统并不会真正删除该文件的内容。 相反，系统会记录一个文件系统条目，该条目中包含了被删除文件的准确位置。这个条目会被标记为“已删除”，而之前被该文件占用的磁盘空间则会被标记为“可用”。不过，该空间不会被重新填充为零或任何其他数据。
 

• 可以通过分析回收站中的文件内容来恢复被删除的文件。因为这些文件在被删除之前，其实都是暂时存储在回收站中的。
• 如果被删除的文件在回收站中没有任何痕迹，就像使用“Shift+Delete”命令删除文件时那样，那么你可以使用商业恢复工具来恢复这些被删除的文件。其中一个典型的商业恢复工具就是DiskInternals Partition Recovery。
• 通过分析文件系统或扫描整个硬盘，可以识别出已知文件类型的特征签名。通过这种方式，我们可以成功恢复这些文件。
  
  • 由用户删除的文件。
  • Office文档的临时副本（包括这些文档的旧版本和修订版）。
  • 许多应用程序都会保存临时文件。
  • 已重命名的文件。
• 存储在被删除文件中的信息可以通过从其他来源收集的数据来补充。例如，Skype中的“chatsync”文件夹存储着内部数据，这些数据可能包含用户对话的片段和细节。这意味着，即使Skype的数据库被删除，仍然有可能恢复用户的聊天记录。为此目的，有许多工具可供使用，比如Belkasoft Evidence Center 2020。

格式化后的硬盘驱动器

从格式化的硬盘中恢复数据取决于许多因素。使用数据恢复技术或商业数据恢复工具，都可以从格式化的硬盘中恢复出有用的信息。
有两种可能的方式来格式化硬盘：完整格式与快速格式. 
完整格式 –顾名思义，这个过程是通过在要格式化的分区上创建新的文件系统来初始化磁盘的。同时，该过程还会检查磁盘上的坏扇区。在Windows Vista之前，完整的格式化操作并不会将磁盘中的数据清空。相反，Windows只是逐扇区地扫描磁盘表面。那些不可靠的扇区会被标记为“坏扇区”。不过，在Windows Vista和Windows 7中，完整的格式化操作实际上会彻底清除磁盘中的数据。
 

• 请清理磁盘上的残留物。
• 在磁盘上写入零值。
• 通过重新阅读各个部分的内容，来确保其可靠性。

快速格式化 –除了固态硬盘的情况外，这种操作从来不会造成损坏。磁盘格式化过程实际上只是通过在要格式化的分区上创建新的文件系统来初始化磁盘而已。使用快速格式化方式从磁盘中清除的信息，可以通过使用支持数据恢复功能的工具来恢复。
 

SSD硬盘

SSD指的是固态硬盘，它是一种全新的存储技术。
 

• 它们的运行速度比传统驱动器要快得多。
• 他们采用了一种完全不同的方式来存储信息。这样一来，信息的破坏就变得容易得多，而信息的恢复则变得困难得多。

导致SSD出现问题的罪魁祸首是TRIM命令根据一项调查，TRIM功能能够在不到3分钟的时间内彻底清除SSD中已删除的所有数据。这意味着，一旦操作系统将某份数据标记为已删除，TRIM命令就会立即将该数据彻底清除。此外，即使使用写阻塞技术，也无法阻止TRIM命令的生效。
当试图从SSD中恢复被删除的数据时，或者从经过全格式化或快速格式化的SSD中恢复任何信息时，传统的方法并不适用。这意味着，只有当TRIM命令未被执行，或者至少有一个组件不支持TRIM功能时，才能使用传统的方法来恢复数据。这些组件包括：
 

• 操作系统版本：另一方面，Windows Vista和Windows 7支持TRIM命令。而Windows XP及更早的版本则通常不支持TRIM命令。
• 通信接口：SATA和eSATA支持TRIM功能，而通过USB、LAN或FireWire连接的外接存储设备则不支持这一功能。
• 文件系统：Windows支持在NTFS卷上使用TRIM功能，但无法在FAT格式化的磁盘上使用该功能。而Linux则支持在所有类型的卷上使用TRIM功能，包括那些以FAT格式化的卷。

数据切割

“数据雕刻”指的是对硬盘中全部数据进行精确且有序的扫描处理。所谓“数据雕刻”，其概念与“文件恢复”完全不同。数据雕刻能够实现以下功能：
 

• 识别出那些可能表明某些有趣的数据可以被存储在磁盘上的特定位置的特征或模式。
• 能够找到那些原本无法获得的各种文物。

在寻找被破坏的证据时，数据 carving 技术确实非常有用。在数据处理过程中，调查人员不必依赖文件本身，因为文件可能会被部分覆盖、碎片化，且分散在磁盘的不同位置。在处理文本内容时，数据 carving 技术具有以下特点：
 

• 文本信息是最容易恢复的。
• 包含文本数据的块中，只包含属于浅范围的数字值，这些数字值代表了字母、数字以及符号。
• 在处理文本数据时，研究人员必须考虑各种语言以及不同的文本编码方式。例如，土耳其的字符集与拉丁字母不同，而土耳其的字符集又与阿拉伯语、汉语或韩语的文字没有任何共同之处。
• 在查找各种支持的语言中的文本时，必须考虑不同的编码方式。
• 通过以特定的语言和编码方式来分析从磁盘中读取的信息，通常可以识别出文本信息。

对于二进制数据来说：
 

• 二进制数据具有高度的随机性。
• 通过统计那些不属于特定语言或编码组合的字符数量，可以很容易地确定每个文本块的开始和结束位置。
• 一旦达到某个预设的阈值，就认为算法已经遍历了给定文本块的末尾部分。

数据切割的局限性—— 
 

• 并非所有类型的数据都可以被整理成某种格式。
• “数据切割”的原理在于寻找具有特定特征的信号或模式。例如，JPEG文件通常具有“JFIF”这样的特征签名，该签名位于文件的开头，之后才是文件头信息。而ZIP压缩包则以“PK”作为开始标志，PDF文件则以“%PDF”作为开始标志。
• 有些文件可以被称为真正的二进制文件，因为它们的头部中没有任何永久性的签名信息。例如，QQ Messenger就是这样的例子。
• 在大多数情况下，基于文本的文件可能会成为一个问题，因为计算机上存储的文本文件数量实在太多了。
• 在使用了特殊算法来用加密强度高的随机数据填充之前被敏感信息占据的磁盘空间的情况下，就不可以使用Data Carving技术了。
• 在“偏执”模式下，敏感信息会被多次覆盖，这样一来，即便是使用最先进的技术进行提取，也根本无法成功。
• 如果敏感信息并非存储在硬盘上，而是存储在RAM中，那么进行数据切割操作是不可能的。在这种情况下，唯一可行的选择就是“实时RAM分析”。
• 在SSD中，数据切割技术几乎毫无用处，甚至根本无法实现。