【证据固定少了这一步，可能要出大事！】

来源：天鉴科技

今天我们来聊聊证据固定前一定要做的工作

诸位可以回忆一下平时工作中是如何对硬盘进行数据固定，一般来说是直接用拷贝机或者连接只读设备通过软件的方式进行证据固定。这一切看似再熟悉不过的工作流程，但在某些情况下却会产生严重的后果。

 

我们在进行硬盘证据固定时，其实在心里都默认了这块硬盘没有任何故障，是一块完好健康的硬盘。基于此认知下，对硬盘进行数据固定。但是否想过，如果这块证据盘工作状态并非正常，而是存在诸多问题。比如大量坏道、磁头老化、缺陷表爆表等。在这种情况下贸然的对证据盘进行数据固定，其后果可能会导致硬盘彻底损坏，甚者会导致盘片划伤，数据永久性丢失。

所以！对证据盘进行数据固定前对硬盘进行系统性的初检是有必要的，判断其健康状况。再根据硬盘的实际情况制定针对性的数据固定方案。

那么需要对硬盘检测哪些项目呢？

S.M.A.R.T健康监测机制

硬盘的S.M.A.R.T（Self-Monitoring Analysis and Reporting Technology:自我监测分析和报告技术），通俗来讲相当于硬盘的健康体检表。实时记录硬盘的工作状况及健康情况。比如人体的体温正常来说35~37度，如果测量体温结果为38度则认为是发烧了。一般来说S.M.A.R.T是作为硬盘的一个模块存储在SA区的，比如西部数据的21,22两个模块就是硬盘的S.M.A.R.T信息。

（图1）

如图1，可通过硬盘的S.M.A.R.T信息直观的反映出硬盘当前的工作状况即健康状况。其中包含6列内容

ID

属性名称

当前值（属性值）

最差值

临界值（阈值）

原始值

由于每个品牌硬盘的属性项不同，其数值的算法不同。所以这里我们只需知道“当前值（属性值）”一旦低于“最差值”并接近于“临界值（阈值）”则硬盘会发出警告，并且会伴随着各种故障，比如硬盘复位慢、不就绪、数据访问慢甚至会出现硬盘无法工作。上文提到的人体温度，测量结果是38度何以认定发烧？是由于给定了正常体温的范围是35-37度。

若S.M.A.R.T报警（一般我们俗称爆表），这时就需要对其进行清除才能解决问题。清除S.M.A.R.T其实就是对其中的“原始值”进行清零，硬盘再自动根据原始值生成“当前值”。从而误认为硬盘此时工作状态是正常的。

如图2西数硬盘的21号模块即S.M.A.R.T信息模块，可看到当前记录着诸多信息。此时对其清除S.M.A.R.T，再来看模块中的数据变化。

（图2）

点击“清除SMART”，图3可以看到模块数据被清空。

（图3）

但前面提到过，S.M.A.R.T信息是实时动态生成的，此时再次刷新模块，即可发现模块中的信息又被重新生成。但新生成的属性信息已不再包含警告项。如图4

（图4）

坏道情况检测

随着机械硬盘使用时间的增加，或多或少都会出现坏道。比如你的电脑是否经常卡顿、是否有过蓝屏的经历。当然其他原因也可能会导致此类现象的发生，但硬盘的原因同样不可忽视。

坏道一般情况下分两种，称之为“逻辑坏道”和“物理坏道”。无论逻辑坏道还是物理坏道，对于证据固定都会产生一定的影响。少量的坏道会延长证据固定的时间，严重的物理坏道还有可能导致硬盘数据无法固定的情况。

接下来就聊聊两种坏道的区别。在此需要提醒读者，以下观点可能会有别于你的常识理解。在此小编想说，以下仅是小编此时此刻的理解。也许随着学习的深入，日后的某一天又会推翻今天的认知。所以在此不探究观点对错的问题。

一般提到坏道，大众认知是盘片上出现了划痕，所以磁头读写数据慢才导致电脑卡顿等现象，如图5。听说过一个更离谱的说法，盘片出现了划伤，可以把盘片取出来通过设备进行抛光打磨，这样可以处理掉坏道。

（图5）

科普一下：

一、我们平时所说的坏道并非盘片上留下的划痕，下文再详细讨论；二、盘片一旦划伤，通过对盘片抛光打磨后，而硬盘还能正常读取数据是不可能的。

盘片的磁性材质层上面虽然还有石墨保护层。但是一般盘片划伤都会连同磁材料层（数据存储层）一同划伤。目前，针对盘片“内圈”和“外圈”划伤的情况，可通过“限位器”限制磁头工作区域的方式处理。

逻辑坏道

在讨论逻辑坏道之前，我们先了解一下数据扇区的结构。扇区这个词相信大家都不陌生。硬盘中最小的存储单位、512个字节等等这些词汇不自觉就到嘴边。但是看下图，其实我们认知中的512字节只是实际扇区的一部分。

（图6） 

这里讨论的是“ECC校验”。磁头在进行扇区数据写入时，会同时生成一个ECC校验值，这个数值存储在“ECC校验”区域。其目的为了验证和纠正“数据”区域中存储的数据的完整性，准确性。

一旦数据区域与ECC校验区域之间不匹配且无法纠正，则该扇区会被认为是逻辑坏道。什么情况下会出现校验不匹配呢？如图7可知，正常情况下，读写磁头与对应磁道相吻合。一旦出现轻微偏差后会导致磁头与磁道不同轨，如果偏差较大会导致读写数据缓慢，但此时还未上升到坏道层面。而一旦读写磁头与磁道出现了严重偏差，则会导致数据损坏。也就是上文说的，数据与ECC不匹配。这种情况，被认为是逻辑坏道。

（图7）

 物理坏道

再次强调一下，物理坏道不是指盘片上的划痕。我们知道硬盘也叫磁盘，顾名思义带有磁性。硬盘的数据存储原理是通过磁头对盘片上磁材质进行磁化从而实现了数据的存储过程。那这和物理坏道有什么关系呢，如图8

 （图8）

正常情况下写入的数据会通过磁头的前置放大器进行信号转换和放大，再经由磁头以磁化盘片的方式记录下来。当某个区域出现无法磁化的情况，该区域就被认定为物理坏道。

关键问题来了！我们如何判断证据盘是否存在坏道以及坏道程度。除了上文提到的S.M.A.R.T健康监测系统判断之外，常规有效地办法是对硬盘进行逻辑扫描测试。其原理是对扇区进行读操作，根据每个扇区的延迟时间判断该扇区的健康状况。

将证据盘连接至“天鉴取证恢复系统”的端口。点击“端口扫描”功能按钮。即可自动对硬盘进行坏道扫描。

（图9）

如图9，其中每个色块表示一个数据块即256个扇区。灰色表示正常扇区；绿色表示延迟较大；橙色表示警告意思是该区域有可能转变为坏道；红色则表示该区域是坏道。凭经验可以告诉大家，这块硬盘的坏道是由于1号磁头工作状态欠佳导致的。大家可以想一下是如何推断出来的。

如果工作中遇到的是这样一块证据盘，再利用常规的方式进行数据固定。则时间极长，而且极大概率在证据固定的过程中磁头会损坏，硬盘彻底不认盘。

意识到问题严重性的同时应采用正确的数据固定方法。确保故障盘通电连接，点击“端口镜像”设置好参数后开始镜像。在镜像过程中会自动跳过坏道区域，将正常区域的数据镜像出来。如图10，该方案是目前最正确且有效的方法。

（图10）

刑事电子数据取证的基本权利干预 ——基于六个典型案例的分析

微信聊天记录证据在诉讼活动中怎样取证、举证

本文始发于微信公众号（电子物证）：【证据固定少了这一步，可能要出大事！】