finaldata软件在电子物证检验恢复工作中的简单实验应用

摘 要：随着时展和科技进步，计算机智能犯罪逐年增加，破案难度随之增长，给公安工作带来巨大挑战。电子数据、文件等资料是计算机犯罪的重要物证，所有这些数据资料一旦被犯罪嫌疑人作案后删除，再次取证就十分困难。严峻的形势迫使我们必须做到“魔高一尺，道高一丈”。笔者经过多年对电子物证检验恢复的探讨和研究，颇感到一款名为“finaldata”的软件在恢复被删除的文件、文件夹等方面十分有效，很适合公安网络监察和电子物证检验工作中。

关键词：finaldata软件；电子物证；检验

中图分类号：TP309.3 文献标识码：A 文章编号：1674-7712 （2013） 06-0224-01

一、finaldata软件功能特点

完整的数据恢复、文件修复、磁盘诊断等工具方案，支持多种不同文件格式；修复常见的ZIP文件和windows word、excel、ppt等常用文件功能。

二、实验运行环境

1.硬件配置：Intel core cpu 3.1GHZ、2.91G RAM、500G HD、USB接口

2.操作系统：WINDOWS XP SP3

3.工具软件：finaldata V3.0（建议该软件不要安装在被检测分区，避免出现错误）

4.检材一份：U盘一个（2.0G），盘内原有一个名为“test.txt”的文件，现已被做删除操作完毕。

三、检验目的

本次实验只为用finaldata软件恢复U盘中被删除的文件，不涉及该软件其他功能项的应用。

四、实验过程

首先启动安装有WINDOWS操作系统的计算机，将被检U盘插入计算机的USB接口，利用资源管理器查看该盘，做到先入为主，如从安全起见，可以现行将该U盘制作备份防止误操作损失。

启动finaldata V3.0软件，在主画面中点击recover deleted/lost file按钮，（图1）

继续点击recover deleted file按钮，（图2）

在接下来出现的对话框中选中要检测的驱动器（盘符、路径），本次实验为U盘盘符G：，然后出现的窗口内会显示对被检测的驱动器（盘符、路径）中的已删除的文件及文件夹搜索后情况列表，因可恢复程度不同，有的文件或文件夹原有名称的第一个字符会被#代替。本次实验中，窗口内列表中显示出一个名为“#est.txt”的文件，选中该文件，点击recover按钮，在弹出窗口中选中要恢复保存文件的路径（本次实验为“桌面”），点击确定按钮。至此，对被删除文件test.txt的恢复实验工作完成。（图3）

事后经确认，恢复后生成的名为#est.txt的内容与原有被删除的test.txt内容一致，恢复成功。

五、总结

电子物证检验是公安刑事技术和网络监察领域一项新的题目，在刑事诉讼中将会起到越来越重要的作用。发现、显现、提取数据后的恢复工作，必须做到迅速、完整、准确。先进的专业性软件将是我们强有力的工具。