在一些网络传销、网络售假、商业秘密或商业贿赂案件的现场检查电子取证过程中,因为核心电子证据往往就是一份图纸文件、一个源代码文件包、一封邮件甚至是一个表格文件。经常遇到当事人为了逃避取证火速删除这些文件清空回收站的情况,如果未能及时保存并恢复证据将会使得案件的查办受阻。
常见突发情况都有哪些
因为本文讨论的是现场检查时一些突发情况的出现时,对数据的保存和恢复。所以现在为圈友们总结一下突发情况应该都有哪些,以避免出现此类情况出现。
右键删除并清空垃圾箱
点击Shift+Delete键
格式化本地硬盘
直接卸载软件
打开文件清空数据或代码
删除邮箱中的邮件
怎么采取针对性保存和恢复措施
当遇到前面提到的前4种情况,推荐大家使用专门的恢复软件如Recuva或R-studio,详细使用步骤请看下文举例。
当遇到第5种情况,如软件仍处于打开状态,则可使用快捷键ctrl+z恢复删除的数据。如软件已被当事人关闭,则可以通过临时文件找回数据,临时文件一般存在于软件的当前目录下,或C:\Documents and Settings\username\Local Settings\Temp目录下,可以根据生成时间来找,一般是保存一次生成一个临时文件。取证人员可通过查找哪个是最近的文档并进行复制保存。
当遇到第6种情况,如果仅是在本地outlook或foxmail等邮件客户端内删除邮件,则可在通过客户端回收站进行找回。如果当事人已对回收站进行了清空,则需要重新通过登陆云端服务器进行找回。
数据恢复软件使用步骤举例
今天先给圈友推荐一款免费数据恢复软件——Recuva数据恢复软件。当我们在现场检查遇到当事人进行前面所提到的前4种数据删除情况时,可以采取以下步骤进行数据保存和恢复。
1. 立即关闭目标电脑或手机。
2. 对目标电脑或手机进行硬盘镜像复制。
3. 封存目标硬盘。
4. 对复制的镜像进行加载并分析。
5. 使用Recuva数据恢复软件进行恢复。我们假设需要恢复的是当事人原保存于D盘网监研究文件夹的“网监研究公众号.docx”的文档。当事人已文档进行删除并清空回收站。
6. 打开Recuva,文件类型选择恢复所有文件并勾选深度扫描。也可勾选仅恢复桌面或D盘的文档文件,提高扫描效率。
7. 启动扫描,等待软件自行完成扫描后。就可以发现被删除的文档,理论上讲只要未被覆盖的文件均可以进行恢复。
8. 将扫描到的未被覆盖的目标文件点击恢复即可。
其他实用数据恢复软件推荐
Easyrecovery:可完成对格式化分区磁盘和目标文件的恢复。
R-studio:可直接打开硬盘镜像并进行格式化分区磁盘和文件恢复。
平时圈友在工作中如遇到数据误删除的情况
也可以使用上述软件进行恢复
关注“网监研究”(ID: e_research)
回复“数据恢复”可获取Recuva下载地址吧
领取专属 10元无门槛券
私享最新 技术干货