现场检查突发情况下的证据保存和数据恢复

在一些网络传销、网络售假、商业秘密或商业贿赂案件的现场检查电子取证过程中,因为核心电子证据往往就是一份图纸文件、一个源代码文件包、一封邮件甚至是一个表格文件。经常遇到当事人为了逃避取证火速删除这些文件清空回收站的情况,如果未能及时保存并恢复证据将会使得案件的查办受阻。

常见突发情况都有哪些

因为本文讨论的是现场检查时一些突发情况的出现时,对数据的保存和恢复。所以现在为圈友们总结一下突发情况应该都有哪些,以避免出现此类情况出现。

右键删除并清空垃圾箱

点击Shift+Delete键

格式化本地硬盘

直接卸载软件

打开文件清空数据或代码

删除邮箱中的邮件

怎么采取针对性保存和恢复措施

当遇到前面提到的前4种情况,推荐大家使用专门的恢复软件如Recuva或R-studio,详细使用步骤请看下文举例。

当遇到第5种情况,如软件仍处于打开状态,则可使用快捷键ctrl+z恢复删除的数据。如软件已被当事人关闭,则可以通过临时文件找回数据,临时文件一般存在于软件的当前目录下,或C:\Documents and Settings\username\Local Settings\Temp目录下,可以根据生成时间来找,一般是保存一次生成一个临时文件。取证人员可通过查找哪个是最近的文档并进行复制保存。

当遇到第6种情况,如果仅是在本地outlook或foxmail等邮件客户端内删除邮件,则可在通过客户端回收站进行找回。如果当事人已对回收站进行了清空,则需要重新通过登陆云端服务器进行找回。

数据恢复软件使用步骤举例

今天先给圈友推荐一款免费数据恢复软件——Recuva数据恢复软件。当我们在现场检查遇到当事人进行前面所提到的前4种数据删除情况时,可以采取以下步骤进行数据保存和恢复。

1. 立即关闭目标电脑或手机。

2. 对目标电脑或手机进行硬盘镜像复制。

3. 封存目标硬盘。

4. 对复制的镜像进行加载并分析。

5. 使用Recuva数据恢复软件进行恢复。我们假设需要恢复的是当事人原保存于D盘网监研究文件夹的“网监研究公众号.docx”的文档。当事人已文档进行删除并清空回收站。

6. 打开Recuva,文件类型选择恢复所有文件并勾选深度扫描。也可勾选仅恢复桌面或D盘的文档文件,提高扫描效率。

7. 启动扫描,等待软件自行完成扫描后。就可以发现被删除的文档,理论上讲只要未被覆盖的文件均可以进行恢复。

8. 将扫描到的未被覆盖的目标文件点击恢复即可。

其他实用数据恢复软件推荐

Easyrecovery:可完成对格式化分区磁盘和目标文件的恢复。

R-studio:可直接打开硬盘镜像并进行格式化分区磁盘和文件恢复。

平时圈友在工作中如遇到数据误删除的情况

也可以使用上述软件进行恢复

关注“网监研究”(ID: e_research)

回复“数据恢复”可获取Recuva下载地址吧

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180606G0LKSW00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券