电子物证检验常见数据恢复工具比较研究_李娜

信息工程

电子物证检验常见数据恢复工具比较研究

李

娜

王

牧

长春

（吉林省长春市公安司法鉴定中心，吉林

130122）

摘要：目的：研究分析电子物证检验经常使用的数据恢复工具。方法在数据破坏以后使用工具恢复数据。结果：四种数据恢复工具需要针对不同情况适用，才能发挥最好效果。结论：通过实验可以发现，这些数据恢复工具各有优缺点，在电子物证检验中可以针对不同情况适用，还可以综合使用，提高数据恢复率。

关键词：电子物证检验数据恢复中图分类号：D918文献标识码：A 文章编号：1672-8289（2014）13-0005-01

二十一世纪信息时代，针对计算机和网络的犯罪率不断上

升，嫌疑人破坏电子物证中的数据，让对他们不力的证据起不到有效作用。破坏的数据得不到恢复，就没有办法起诉犯罪分子。针对这种情况，目前有几种有效的数据恢复的工具，对于侦破案件很有帮助。这些数据恢复工具各有千秋，针对不同的数据破坏情况使用不同的工具，有利于数据的恢复。下面介绍几种主要的数据恢复工具，通过对比分析他们的性能、作用等方面，可以了解这些工具的优缺点，对于实际的电子物证检测有帮助。1实验的环境和条件1.1实验环境

实验环境会直接影响实验结果，要保证实验结果的准确性需要设置实验环境。实验的环境是联想台式计算机；使用英特尔处理器，内存是667MB ，把台式电脑的硬盘划分为两部分，一个作为系统部分，一个作为存储数据部分，这样分配比较合理。

运行环境：使用XP 系统。1.2对象

本实验研究的数据恢复工具，详细分析数据恢复工具的特点。

表1四种数据恢复工具

1.3实验样本和方法

1.3.1实验样本

第一个样本：把实验存储数据的部分平分为相同大小容量的区域，可以给它们命名，A 是新技术文件系统，B 是存放32位文件转换系统。

第二个样本是准备闪存一块，设置它的大小为2GB ，也采用32位文件转换系统，可是系统已经使用了一半的内存。

第三个样本：设置2G 的数据文件，有文件夹、图片文件、视频文件、压缩文件、分别为10、90、8、45个。

1.3.2方法

方法1：首先把第三个样本转移到第一个样本中的存储数据的区域AB 中去，然后把转移数据中的文件夹进行删除，分别删除45个图片文件，4个视频文件还有1个文件夹，采用四种数据恢复工具对删除的文件进行恢复，查看具体的恢复状况。

方法2：对第一个样本中存储数据的AB 区域进行格式化，在使用四种数据恢复工具查看数据还原情况。

方法3：第一个样本的存储数据AB 区域的内容全部删除，使用四种数据恢复工具恢复数据，然后把恢复情况进行对比。2结果与讨论

可以从不同的方向分析四种数据恢复工具的功能。2.1介绍数据恢复工具的情况

这四种数据恢复工具都是在windows 环境下运行，它们的功能和特点各不一样。超级数据恢复工具的运行环境很多，而且很容易操作，速度也很快，适用范围很广。专业版的Recover4All

起源比较早，系统操作简单。易数据恢复工具相较于其他数据恢复工具，功能更加的齐全，不仅可以恢复删除的数据，还可以对相关文件的破损情况进行维护。数据文件恢复工具它的搜索功能很强大，可以实现快速的搜索文件。它还可以支持数据文件的转换格式，具有恢复数据、搜索数据、存储预览文件功能。Recover4All 支持对此的文件扫描，也支持所有文件格式的转换，可以实现数据的恢复功能，可是不支持搜索、数据存储、预览文件功能。超级数据恢复不仅支持所有文件格式的转换，还支持其他操作系统，具有格式化数据恢复、搜索、预览、数据存储、修复文件的功能。简单数据恢复工具的恢复功能很强大，支持各种形式的数据恢复，还可以实现文件格式转换，具有搜索、预览、修复功能。

2.2数据扫描和恢复

（1）查看方法1的数据恢复情况

通过分析可以发现个数据恢复工具的优缺点，Recover4All 工具显示删除数据的，但是出现错误，而且没有显示其他信息。数据文件恢复预览功能很好，但是对于实验样本中删除的数据却没有显示。其他两种方法可以下显示删除数据和实验样本删除数据信息。

（2）方法2实验结果分析

对于分区的格式化恢复情况，Recover4All 、易数据恢复、文件数据恢复出现错误情况，Recover4All 工具和超级数据恢复工具能够恢复分区删除的数据，却不支持文件格式转换数据恢复。

（3）方法3分区删除数据情况，

各种数据恢复工具数据恢复情况，Recover4All 工具不可以实现分区数据删除的恢复功能，超级数据恢复工具可以恢复分区删除数据，恢复文件数量也比较多，可以实现部分目录的恢复。易数据恢复工具扫描时间较短，可以恢复文件，但是不能恢复目录。文件数据恢复工具需要花费较长时间扫描文件，可以恢复文件，不能恢复目录。2.3分析讨论

通过实验，可以了解到各数据恢复工具在各功能上有很大的差别，基本上可以恢复删除数据。

（1）电子物证检验中，扫描文件的速度对于数据恢复很重要。保证数据恢复的速度可以帮助电子物证检验节省时间，从实验中可以了解到，易数据恢复工具在扫描不同文件转换格式的时候速度还不一样的，在保证实验条件一样的情况下，Recov -er4All 扫描32位的文件转换格式慢于NTFS ，而超级数据恢复工具相反。

（2）分析每种工具的数据恢复能力。从实验中可以知道四种数据恢复工具恢复数据的程度各不一样，对于删除的数据可以恢复，对于恢复目录能力较比较差，特别是Recover4All 工具。在查找文件的时候，每种工具的速度都不一样，数据文件恢复工具查找时间比较长，易数据恢复工具相较于其他工具，恢复数据方面占有优势。

（3）恢复数据及时可以保证还原率高，这对于电子物证检验来说很重要。有的案件发生比较突然，各种数据处理不及时可能无法将罪犯绳之于法，加快数据的恢复能力，可以帮助案件发展。对于数据损坏很严重好的情况，可以选择综合各种数据恢复工具的优点，提高数据还原率。

科技展望2014/13│

5