第五章  数据预测与数据安全处理研究




              就代表此数据已经被删除，但是原本的数据存储区域并未发生变化。只要将删除
              的标记部分进行修改还原就可以实现数据恢复。此方面的研究应该对计算机认证
              系统重新进行设计，让其具备的数据恢复功能可以对当前使用范围最广的操作系
              统 windows 以及文件处理系统 FAT 当中得到应用。如此，此类系统的设计才能

              够发挥较强的现实作用。
                  在判定完以上事项之后，还应该对硬盘的数据管理方式进行研究。对于采用
              FAT 格式的磁盘而言，数据的存储分区都是固定的。系统首先进入主导扇区，主
              要对所有的分区进行事先判定，可以对各个分区的信息进行记录，如此就会将其

              中存在的各种现实情况进行必要的引导疏通。在格式化发生之后，在 DBR 后面
              仍然保存着 FAT 表，两者可以实现相邻排列，变动情况与分区改变情况存在密
              切关联。单一的存储位置存在对应的唯一 FTA 编码。FTA 表与 FDT 互相配合，
              掌控所有文件。会对每个簇的使用情况进行显示，决定着其中任意一个是否可以

              得到实际应用。需要注意的是，格式化展开之后，所有文件并非被真正删除，而
              是其中的 FAT 表被修改，其他部位也是通过修改几个程序达到删除目的。事实
              证明，大部分 DATA 都并未在格式化的过程中遭受破坏。这就使得原本存在的数
              据仍然被保存，只是改变了存储方式，为数据恢复工作能够正常发挥作用提供了

              可能。数据恢复技术正是在此基础之上对原本存在的各种问题进行修改，然后利
              用计算机当中的软件实现数据恢复目的。
                  （二）计算机取证与数据恢复的关联
                  两者之间的技术基础存在的差别较小，都与存储和数据有关，而且在技术与

              工作准则方面存在较为明显的联系。在二者发挥作用的过程中，都需要工作者秉
              持科学的理念，对存储部分采取相同或者类似的处理措施。但是，二者之间也存
              在一定差别，数据恢复的主要职责就是将原本已经被删除或者格式化的文件数据
              寻找回来。数据恢复之后，其中的文件并不一定与法律存在关系，也可能是用作

              商业用途。计算机取证本身便是法律事项的一个重要环节，按照科学方式获取的
              证据已经具备法律效力。数据恢复在计算机取证当中占据重要地位，进行此项活
              动的最主要目的就是为了获取电子证据。不仅如此，在犯罪分子没有使用的计算
              机当中通过数据恢复也可以获得与犯罪活动有关的信息，对案件的侦破工作形成

              较为良好的辅助作用。事实证明，此类犯罪分子本身具备较强的计算机知识技能，
              因而会在实施犯罪活动之后将其中的数据进行损毁，这就使得数据恢复存在较强


                                                                                  ·187·