在一些网络传销、网络售假、商业秘密或商业贿赂案件的现场检查电子取证过程中，因为核心电子证据往往就是一份图纸文件、一个源代码文件包、一封邮件甚至是一个表格文件。经常遇到当事人为了逃避取证火速删除这些文件清空回收站的情况，如果未能及时保存并恢复证据将会使得案件的查办受阻。

常见突发情况都有哪些

因为本文讨论的是现场检查时一些突发情况的出现时，对数据的保存和恢复。所以现在为圈友们总结一下突发情况应该都有哪些，以避免出现此类情况出现。

右键删除并清空垃圾箱

点击Shift+Delete键

格式化本地硬盘

直接卸载软件

打开文件清空数据或代码

删除邮箱中的邮件

怎么采取针对性保存和恢复措施

当遇到前面提到的前4种情况，推荐大家使用专门的恢复软件如Recuva或R-studio，详细使用步骤请看下文举例。

当遇到第5种情况，如软件仍处于打开状态，则可使用快捷键ctrl+z恢复删除的数据。如软件已被当事人关闭，则可以通过临时文件找回数据，临时文件一般存在于软件的当前目录下，或C:\Documents and Settings\username\Local Settings\Temp目录下，可以根据生成时间来找，一般是保存一次生成一个临时文件。取证人员可通过查找哪个是最近的文档并进行复制保存。

当遇到第6种情况，如果仅是在本地outlook或foxmail等邮件客户端内删除邮件，则可在通过客户端回收站进行找回。如果当事人已对回收站进行了清空，则需要重新通过登陆云端服务器进行找回。

数据恢复软件使用步骤举例

今天先给圈友推荐一款免费数据恢复软件——Recuva数据恢复软件。当我们在现场检查遇到当事人进行前面所提到的前4种数据删除情况时，可以采取以下步骤进行数据保存和恢复。

1. 立即关闭目标电脑或手机。

2. 对目标电脑或手机进行硬盘镜像复制。

3. 封存目标硬盘。

4. 对复制的镜像进行加载并分析。

5. 使用Recuva数据恢复软件进行恢复。我们假设需要恢复的是当事人原保存于D盘网监研究文件夹的“网监研究公众号.docx”的文档。当事人已文档进行删除并清空回收站。

6.打开Recuva，文件类型选择恢复所有文件并勾选深度扫描。也可勾选仅恢复桌面或D盘的文档文件，提高扫描效率。

7.启动扫描，等待软件自行完成扫描后。就可以发现被删除的文档，理论上讲只要未被覆盖的文件均可以进行恢复。

8.将扫描到的未被覆盖的目标文件点击恢复即可。

其他实用数据恢复软件推荐

Easyrecovery：可完成对格式化分区磁盘和目标文件的恢复。

R-studio：可直接打开硬盘镜像并进行格式化分区磁盘和文件恢复。