用事实说话 浅析网络犯罪如何取证

核心提示： 用事实说话2006年6月，我所在城市的刑侦大队，用事实说话 浅析网络犯罪如何取证(2)，来找我帮忙做一次计算机技术分析和取证，起因是当地的一个犯罪分子在劫车杀人后，在数据恢复研究领域，物理擦写是无法在还原记录的，曾经来过当地的汽车配件市场中的一个商店，买过一个零件

用事实说话

2006年6月，我所在城市的刑侦大队，来找我帮忙做一次计算机技术分析和取证。起因是当地的一个犯罪分子在劫车杀人后，曾经来过当地的汽车配件市场中的一个商店，买过一个零件，而当时卖配件的售货人员在他们使用的电脑上留有一些销售记录。我首先查看了机器上装的销售软件，该销售软件是广东开发的，操作平台是基于DOS开发的，很BT(BT在这里可以理解成“变态”)，竟然还调用了ucdos。经过一些行为分析和操作检查后，发现里面有很多记录，但是很多从登记的人员信息来看都是虚假的，更奇怪的是只有近几天的销售记录，而没有以前的。就打电话给商店老板，老板说这个电脑平时都是用来做销售记录，偶尔听听音乐的，没有人懂电脑的，经过再三的确认，或许有人误操作吧。不过这也难不倒我们，用EasyRacover(EasyRacover是一种数据恢复软件)经过近3个小时的恢复，发现了不少东西。遗憾的是还没发现有价值的信息，在一些数据库文件中发现的销售日期是近来几天的。哎，看下表都已经夜里2点了，抽颗烟，继续分析，期间用了很多工具，还是一无所获。第2天早上，朋友买来早点，等着听我的好消息，我只能两手一摆，没有结果。但是我不死心，因为从我个人研究的角度考虑，肯定还是有内在原因的，商店那边肯定还是有问题。经过再三的询问，终于才知道里面有一个销售人员懂点基本的操作，晚上趁老板不在的时候，看一些自己买的色情影碟，后来机器中了病毒，他怕老板知道，就用了那种ghost版本的winxp安装盗版光盘，哎，就是这个可怕的ghost，造成了永久不能复原，让我们在第一时间损失了获得嫌疑人第一手的信息，经过后来和一些数据恢复专家的探讨，他们说这就相当于一次物理写入，在数据恢复研究领域，物理擦写是无法在还原记录的，就是目前美国也无法完成物理擦写后的数据恢复。