磁盘阵列取证流程与规范及相关检验技术探讨

莫天新

磁盘阵列取证流程与规范及相关检验技术探讨

莫天新

摘要：磁盘阵列技术(RAID技术)基于其低成本、低功耗、高速的存储效率，可靠的数据安全性能，受到了市场的广泛青睐。经过近几十年的发展，新的结构不断提出，RAID技术愈发成熟，其被广泛运用在计算机领域的存储系统中。磁盘阵列的存储信息属于电子数据，具有电子数据的一般特征，在对其进行调查取证时，一方面面临着与一般证据相同的取证困难，另一方面取证的专业性和数据的易失性挑战着整个调查取证及事后分析过程，因此磁盘阵列的取证过程应当有自己的独特要求。

关键词：磁盘阵列；RAID技术；调查取证

一、概述

(一)RAID技术介绍

Redundant Array of Inexpensive Disk缩写为RAID，可直接翻译为“廉价冗余磁盘阵列”，也可简称为“磁盘阵列”，是美国加州大学伯克利分校的D.A.Patterson教授在1988年提出的。①其基本原理可简单地表述为，利用两个以上的物理硬盘进行协作，在逻辑上组成一个磁盘驱动器来使用。在读写功能上，每个单盘都有单独的IDE通道，解决了传统IDE通道数据拥堵的问题；在纠错能力上，利用奇偶校验或镜像技术，可提供一定的冗余纠错能力。RAID技术不仅解决了传统模式下IDE通道上数据阻塞的问题，使得读写速度达到了普通磁盘驱动器的数倍；同时依靠数据冗余容错技术，为数据的安全提供了可靠的保障。总之，现代RAID技术以其低成本、低消耗、高速率、高可靠性等特点得到市场的认可和青睐。经过数年突飞猛进的发展，现代RAID技术日趋成熟，可分为RAID0到RAID6共七种基本的级别。不同级别的差异主要表现在数据结构有所不同，可靠性也随之不同。例如，RAID0磁盘阵列拥有最简单的结构，数据分布在不同的磁盘中，没有容错功能，所以他的可靠性最差，存储阵列利用率最高；而RAID1技术则以牺牲磁盘阵列的利用率换取高度的可靠性能，它为每一个工作盘都提供了相应的镜像，在出现错误时，只需从镜像盘中读取数据即可，因此RAID1也叫镜像阵列。RAID5不同于RAID0和RAID1两种技术，它利用奇偶校验的原理，为数据提供可靠性。奇偶校验位存在于每一个“数据块”中，而每一个条带都有一个异或公式，当某一工作盘出现无法读取的情况时，只需利用其他工作盘的信息进行异或运算便能计算出缺失数据。因此，RAID5技术能提供一定的容错功能。本文也将以RAID5技术为例进行相关的检验技术分析。

(二)我国相关的法律规定

对于我国来说，电子证据取证仍然是一个新兴的领域。面对种类繁多的电子证据，如智能手机、磁盘、邮件等具体的电子取证，立法往往捉襟见肘，不能满足取证需要。一方面，“立法层面”要求的程序统一如何克服“技术层面”②各有千秋的现实需要，这是需要解决的一个问题。电子证据种类繁多，不同的电子证据又呈现出自己不同的特色，对取证过程有着自己独特的需要，如类似于各种寄存器、内存信息等即时消失的数据，则需要上电状态下当场取证，而对于磁盘等电子数据则可以带回实验室进行分析，除此之外，手机、电子邮件等多种形式的电子数据又带来诸多问题。因此立法很难以一概全。另一方面，电子证据属于新兴领域，缺乏经验，缺乏人才，犯罪分子的几个简单的操作或者几个简单的代码便能犯下弥天大罪，而立法往往具有一定的滞后性，因此相关法律法规的完善仍需要一定的积累过程。

我国立法对于电子数据取证过程的有关规定，散见于最高法、最高检、公安部等部门的意见、通知、规定、会议纪要中，如《公安机关电子数据鉴定规则》、《计算机犯罪现场勘验与电子证据检查规则》、《人民检察院电子证据鉴定程序规则(试行)》等等。总体而言，相关立法试图在电子证据的共性上做出统一的规定，但是运用到某一类电子证据时却又难以满足需要。电子取证，应当根据不同的电子证据类型采取不同的措施。③

与普通磁盘存储器相比，磁盘阵列在数据的存储结构及各盘的组合方式上有着自己的独特之处，打破原有的阵列结构，就意味着数据的丢失。但磁盘阵列本质上又是电子数据，符合电子数据的各种特征。因此，在处理此类取证勘验时，应当遵从电子数据的一般规定，同时结合磁盘阵列的特点作出相应的变更。下文流程与规范等参考了我国现有的电子证据规定并在此基础上进行了一定的总结和扩充。

二、取证流程与规范概述

(一)取证的原则和规范

众所周知，电子证据的最大特点就是易失性，对于磁盘技术来说也具有相同的特征。一方面容易受到物理因素的影响，水电磁热等物理现象都可能使硬盘数据受损。另一方面，运行状态下简单的操作就可能读写磁盘，造成数据的外泄和覆盖。因此，对磁盘调查取证应当遵循相应的原则。

1.合法取证原则

合法取证原则包括取证主体合法及程序合法。基于磁盘阵列的专业性，取证应当在相关技术人员的参与下进行。在程序上，不仅要满足调查取证的一般性规定，在证据固定与保存，记录规则，保密规则等方面也应当根据磁盘阵列的特殊性做特殊的处理。

2.及时取证原则

存储的世界瞬息万变，简单的电信号传输就有可能瞬间改变整个磁盘的存储内容，专业领域的即时性、实时性，也对调查取证提出了要求，因此磁盘阵列的取证应当具有一定的实效性。

3.记录原则

对磁盘的调查取证，应当做相应的记录。包括但不限于调查取证时间、地点和主管人员，固定的证据极其属性，对磁盘进行了哪些操作等等。记录内容要能够达到还原整个取证过程的程度。

4.无损原则，也称无损取证原则④

无损原则包括两个方面，第一，对物理介质的无损。磁盘阵列的物理状况应当适当保存，有防水、防尘、防电、防磁等特殊处理，使用的过程中应当轻拿轻放，有一套管理制度和体系；第二，磁盘数据的无损。首先对于现场取证的，应当注意防范措施，预防突然断电、病毒感染等紧急情况，同时记录磁盘阵列的运行状况；其次，电子数据具有隐秘性和可挽救性，因此需要全面收集磁盘信息，这里的“全面收集”不仅仅指对电子数据进行全面收集，还包括收集电子数据的配套信息，另外需要进行后续实验室分析的，应首先制作磁盘镜像，尽量避免在原盘上直接操作，特别是写操作。

(二)取证的主体

磁盘阵列的调查取证具有较强的专业性，涉及较多的计算机专业技能，因此调查取证的主体应当适格，以具备相应的知识储备的专门人员为主，包括计算机专家和网络警察。此外，与案件相关的人员也可以在必要的时候取证，但是他们的取证范围仅限于对专业性和程序性要求都不高的地方。

1.计算机专家

首先这是强技术性取证的必然要求。普通人不具有相关的技术知识，当然不具有取证能力。其次，计算机技术迅猛发展，新证据层出不穷，专业的技术人员可以时刻保持对技术的新知新解。

2.网络警察

他们不一定是计算机科班出身，但是一定受过相关的专业训练，了解寻常的电子证据特点，能够快速现场反应。同时，网络类犯罪，信息瞬息万变，信息传播快，作案痕迹消失得也快，犯罪证据散见于网络各处，造成侦查的不便。网络警察掌握流行的网络技术，能在犯罪发生后进行迅速反应，定位证据。

3.其他人员

虽然计算机专家和网络警察是调查取证的主力，但是一方面他们具有一定的滞后性，需要经过案件的响应阶段，才能接触案件。而与案件相关的人员则可能亲身经历事件，他们可以在犯罪发生后，有机会在最佳的取证时间固定证据，对技术人员的侦查具有一定的补充作用。另一方面，由于他们与案件有着或多或少的关联，对自身利益的关切使得他们更容易找到电子证据，这与利用技术进行“漫无目的”的网络大搜索相比，具有更高的效率。

(三)磁盘阵列取证的基本流程

《公安机关执法细则》对于计算机类犯罪的现场勘验规定了“保护现场”“收集证据”“提取、固定易丢失数据”“在线分析”“提取、固定证物”五个过程，但在实际的取证过程中，结合调查的需要及磁盘阵列的实际情况，磁盘阵列的取证过程应当有着不同的要求，通常应包含以下几个方面：

1.现场处置

在磁盘类取证的案件中，第一到达现场的处置人员应当具备初步的电子取证和知识，如设备的保护及固定。现场处置应当做好隔离与防护工作。首先确保人机物三者的隔离，防止对磁盘的更改，控制电力设施，预防断电影响，有必要进行信号屏蔽的要做好屏蔽工作，尤其应当注意防止通过终端程序读写磁盘。其次保护好现场设备，防止人为毁坏等情况。

2.证据识别

在该过程中，调查人员应根据证据的相关性原则，对涉事的磁盘设备进行初步的证据识别，确认哪些与所涉案件有关，哪些无关，制定出相应的调查计划，形成调查取证的报告。

3.证据固定

证据固定的方式有很多种，如打印、复制、录音录像拍照等。在存储磁盘正常的情况下，对于文档类文件，一般应当打印，以书证的形式进行固定。对于不能打印的文件，应当进行复制，复制在专用的U盘、光盘、软盘等存储介质中。需要指出的是，为避免电子证据在固定后遭到修改，在进行复制时，应当优先选择未经使用的只读性存储介质。对于上诉文档文件进行调查取证的，应当记录文件的相关属性，如存储目录、存储时间等。如果阵列磁盘出现问题，一时无法现场固定，可以对设备进行封存，进行实验室分析。

4.证据的记录和封存

在调查取证时，应当对调查的过程作记录。电子证据要附有提取、复制过程的有关文字说明，注明提取复制时的时间、地点，电子数据的规格、类别、文件格式，提取电子数据的提取人、持有人和保管人。相对人应当签字确认，相对人不签字的，应当注明。取证现场要有见证人，符合调查取证的相关法律规定。需要封存的，应当依照法律的相关规定进行封存，以供将来分析。

5.实验室分析

对于带回实验室的存储磁盘，应当根据设备的具体情况进行分析。首先，如果磁盘能够正常的读取，应当作出磁盘镜像，然后通过磁盘镜像进行相关证据的分析。其次，磁盘无法正常读取时，如果所涉问题能够通过容错技术解决，如RAID5类型有一个磁盘损坏，可用新磁盘进行替换，通过冗余校验技术，读出完整的磁盘数据；如果所涉问题超过了容错范围，则需要进行相关数据恢复技术，尽可能地恢复潜在数据。

6.出具报告

将检验分析的结果形成报告并返还原被检验物品。

三、相关的检验技术——磁盘阵列技术的实验室分析

此处以RAID5为例，对磁盘阵列技术的实验室分析，进行简单的探讨。

(一)RAID5的基本原理

与其他级别的结构不同，RAID5采用的是块交错式奇偶校验的模式(如图1)，校验位均匀地分布式地排列在各个块之中，其数据大小相当于一个“块”那么大小。

图1　RAID5数据分布图⑤

以图1为例，磁盘1-4在物理上是相互独立的磁盘，他们共同组成磁盘阵列，在逻辑上属于一个磁盘。读写数据时，处理器可同时访问磁盘1-4，因此该磁盘阵列理论上读写速度是普通磁盘的4倍。其中，Pi是校验值，Di是数据部分，每个盘块都有着相同的大小。他们之间的关系，可用如下的公式进行表示：

P1=D1+D2+D3

P2=D4+D5+D6

P3=D7+D8+D9

P4=D10+D11+D12

以此类推，其中“+”为异或运算。基于此原理，每当磁盘1-4中有一块磁盘物理受损，可根据上诉公式，进行异或运算的逆运算，从而求出缺失的数据。例如，假设磁盘1无法读取，D1数据丢失，而D2、D3、P1数据完好无损，则D1=D2+D3+P1。因此，RAID5具有一定的容错能力。

(二)实验室分析

在磁盘阵列完好无损的情况下，仅需按照常规手段调查取证即可，此处不再讨论。若磁盘阵列受损，则需要尽可能地恢复原有数据，以达到取证之目的。通常的数据恢复包括硬件恢复及软件恢复。如图2。

图2　磁盘阵列数据恢复方式结构图⑥

1.硬件代替

首先，当磁盘元器件出现问题时，可用本方法进行，如磁头顺坏、电路板芯片烧坏、闪存控制器芯片烧坏等等。若是元器件的问题，可以利用同型号的硬件代替原毁坏的元器件，以达到重新读取磁盘的目的。该方法优点是成本较低，一般市场上也容易找到相同型号的元器件，缺点是操作略微复杂。

其次，对于RAID5磁盘阵列而言，如果是一个单盘出现问题，在容错能力之内，该情况不影响正常的数据读取，可直接更换问题磁盘，进行正常的证据固定即可。对于其他级别的磁盘阵列而言，如果在容错范围之内，也可用此法直接替换问题磁盘即可。

2.固件修复

磁盘在出厂时，往往会携带固话与硬盘和盘片上的伺服软件，通常包括：引导命令、控制语句、执行语句、硬盘型号容量、大小、缺陷表、磁头和盘片电磁性能参数表等信息。⑦这些信息根据不同的磁盘情况，通常保存在电路板的芯片或者负磁道中。如果这些信息出现错误，通常导致磁盘无法读取，在这些固件进行修复时，往往会丢失一些重要的证据，因此在对该类问题进行修复之前需要采取必要的手段对原始固件和负磁道信息保存固定。

3.盘片读取

在磁盘损坏严重的情况下，若数据仍有重大的证据价值，可在适当的环境中直接对盘片进行扫描。扫描后的盘片信息记录在专门的计算机中，然后利用相应的软件进行数据分析。

需要指出的是，对于已经被覆盖的数据，仍然具有一定的恢复可能性。简单地说，通常我们认为如果磁盘某处被写“1”，则该处的磁场强度应该是1，但事实上，如果将“1”写在原来为“0”的地方，则该处的磁场强度通常小于1。同理其他情况也会有同样的磁场表现。因此，利用这一特点，借用“深层信号还原技术”⑦，用射线照射某处晶体，通过分析各种光谱现象，能够在一定的范围内寻找出原来数据的残影。此种方法通常造价较高，技术复杂，常用于军事领域。

4.软件恢复

通常情况下，可以借助软件恢复的方式将遭受破坏或者误操作导致丢失的数据找回来。在Windows、Unix等系统中软件恢复可分为系统级恢复和文件级恢复。⑦对于磁盘阵列而言，数据通常按照一定的顺序(如RAID5按照D1、D2、D3、D4……的顺序)排列在不同的单盘之中，因此，如果能将磁盘阵列中的数据按照原顺序(如D1、D2、D3、D4……)进行数据重组，就能得到完整的磁盘数据。之后再按照系统级恢复和文件级恢复的方法就能找到重要的证据。这一过程通常需要以下几步：

首先，获取镜像。根据无损原则，对磁盘阵列的实验室分析应尽量避免对原盘操作，需通过镜像技术，将原磁盘的能容复制到新的磁盘副本中，然后对该副本进行分析。这一过程包括：a.从阵列盘中逐个取出单盘；b.检查硬盘跳线，设为主盘c.将证据盘通过只读接口连接到取证计算机；d.借用相应的软件，获得单盘镜像。市场上的很多镜像软件能够达到次目的，Linux/Unix环境下可使用dd，Windows环境下可使用winhex，diskexplorer等等，可视化操作使得这一过程相对简单。

其次，数据重组。数据重组是磁盘阵列数据恢复的核心步骤，如果能够成功重组，便有可能成功获取磁盘中的原始数据。以RAID5阵列为例，对其进行重组通常需要对四个因素进行判断⑧：第一，每个条带的大小，即D1、D2等数据块的大小；第二，数据块的排列顺序；第三，校验快的循环方向；第四，左右循环的判断，同步异步的判断。值得指出的是，上述四个因素不要求每一个单盘都能完好无损的读取。在成功判断出上述四种因素之后，便可借用相应的软件对原数据进行重组，得出正确的全盘数据(如D1、D2、D3、D4……)。在不能完全重组的情况下，通常进行补零或者磁盘缺失处理，以不完整的方式尽量重组原盘数据。数据重组是数据恢复的重要一步，但是该步过程并不复杂。

第三，传统的数据恢复。系统级恢复包括对分区表及文件系统信息的修复。文件级修复通常可分为基于文件目录的数据恢复、基于文件数据特征的数据恢复和残缺数据的数据恢复。对于原磁盘阵列进行重组后的数据，便可按照传统的数据恢复方式进行分析。

四、总结

不同的RAID级别有着不同的数据结构，也有着不同的容错能力，因此在进行调查取证、实验室分析时，应当尽可能多地了解磁盘阵列的信息，了解他们的数据结构，用不同的方法获取电子证据信息。

注释：

①⑤戴士剑，刘品新.磁盘阵列的电子物证检验研究[J].信息网安全，2011，(1).

②④刘品新.电子取证的法律规则[M].北京：中国法制出版社，2010年版，第7页.

③戴莹.刑事侦查电子取证研究[M].北京：中国政法大学出版社，2013年版，第37页.

⑥沈树强.电子证据鉴定视角下的数据恢复问题探究[D].北京：中国政法大学，2010.

⑦杨永川，顾益军，张培晶等.计算机取证[M].北京：高等教育出版社，2008版，第90页.

⑧李清.RAID5磁盘阵列数据恢复[J].中国新通信，2013，(10)：4-5.

(责任编校：孙咏梅，裴媛慧)

(作者单位：中国政法大学 证据科学研究院)