案例内容
【案情简介】
2017年8月,XX市卫生和计划生育局接到举报称该市XX镇X民工公寓医务室违法开展检查。经查证,该医务室违法开展B超检查,非法为他人施行终止妊娠手术。XX市卫生和计划生育局查封该医务室设备专用电脑一台。委托浙江千麦司法鉴定中心对该电脑中的数据进行鉴定。
【鉴定过程】
根据GB/T 29362-2012《电子物证数据搜索检验规程》、GB/T 29360-2012《电子物证数据恢复检验规程》和SF/Z JD403003-2015《计算机系统用户操作行为检验规范》,在全程录像、录屏条件下使用电子物证工作站FL-800、电子数据仿真系统、取证大师、SQL Server 2008数据库软件、R-STUDIO、FTK Imager对检材进行数据恢复提取固定。 1.检材处理 检查送检的电脑主机上的封条完好,拆开封条,将其硬盘拆下,检查硬盘外观完好,在外部贴上唯一性标识“DZXXXXXX”并拍照固定。 2.硬盘镜像 启动杀毒软件对电子数据取证工作站系统进行杀毒,确保取证塔系统安全。 将检材通过只读口连接至电子数据取证塔,使用FTK Imager对检材硬盘制作物理镜像文件,并命名为“DZ17052JC01.E01”;计算其MD5值为“eac65db7ffb64a044c470810bd3c186f”;使用取证大师对镜像文件进行检索恢复。 3.检索取证 使用取证大师对镜像文件“DZ17052JC01.E01”进行取证,对取证结果进行分析,送检的电脑上安装有名称为“超声随心所欲XP版”软件及名称为“Microsoft SQL SERVER 2000”数据库软件。检索出D盘中“cworkccs”文件内存放相关病例数据,并且其中大部分文件夹均被删除,将此文件夹内文件数据恢复至本地磁盘,发现图片文件均无法正常打开,见图2所示。 4.系统仿真及密码破解 使用电子数据仿真系统对镜像文件的系统进行仿真,绕过开机密码后操作系统中,打开“超声随心所欲XP版”软件,使用密码破解进入该软件,发现软件中有3条数据记录。打开“超声随心所欲XP版”软件的文件根目录,找到文件名为“病例.DB”的数据库文件,将文件复制到本地磁盘,见图3所示。 5.数据库文件数据分析 使用数据库读取软件“Database Tour 8”打开“病例.DB”的数据库文件,发现3条数据记录,与“超声随心所欲XP版”软件中查询的数据记录内容相同。 6.数据库文件破解读取 分析该数据库存在删除情况,但无法通过常规数据库读取软件读取,故编写读取脚本对数据库进行读取。将读取出的数据整理保存至“bl.xlsx”文件中,见图4所示。
【分析说明】
通过对检材的镜像进行取证软件分析、系统仿真分析、数据库文件内容,发现虽然数据库文件中的数据被删除,无法通过数据库读取软件正常读取,但此数据库文件是将被删除数据以特殊格式标记,因此数据依然存放于该数据库文件中,故通过编写读取的脚本对被删除数据进行恢复读取。
【鉴定意见】
通过对检材进行数据恢复提取固定,结果如下:检材中检索恢复出数据库记录共230条,有效记录199条。
