Когда вы удаляете файл с жесткого диска компьютера, он никогда не исчезает. При достаточных усилиях и технических навыках часто можно восстановить документы и фотографии, которые ранее считались уничтоженными. Компьютерные криминалисты являются полезным инструментом для правоохранительных органов, но как они действительно работают?
Создание правовой основы
Прежде чем перейти к техническим деталям, стоит обсудить скучные процедурные и правовые аспекты компьютерной криминалистики в контексте правоприменения.
Давайте развеем старый миф о том, что для сотрудника правоохранительных органов, чтобы изучить цифровое устройство, такое как телефон или компьютер, всегда требуется ордер. Хотя это происходит достаточно часто, множество «лазеек» (за неимением лучшего слова) можно найти в структуре закона.
Многие страны, в том числе Соединенное Королевство и Соединенные Штаты, разрешают таможенным и иммиграционным должностным лицам проверять электронные устройства без предъявления ордера. Американские пограничники также могут изучить содержимое устройств без ордера.
По сравнению с американскими коллегами, британские полицейские, как правило, имеют больше свободы действий в изучении содержимого устройств и могут, например, загрузить содержимое телефона или ноутбука на сторонний носитель.
Законодательство также предоставляет полиции Соединенного королевства право проверять устройства без предъявления ордера в определенных обстоятельствах. Например, это необходимо в случае терроризма, или когда существует реальная угроза того, что ребенок может подвергнуться сексуальному насилию.
Но, в конечном счете, процедура конфискации компьютера, которая представляет собой начало длительного процесса, начинается с помещения ноутбука или телефона в защищенный от взлома пластиковый пакет и часто заканчивается доказательствами, представленными в зале суда.
Полиция придерживается комплекса правил и процедур, обеспечивающих приемлемость доказательств. Команды компьютерной криминалистики документируют каждый свой шаг, чтобы при необходимости они могли повторить те же шаги и достичь тех же результатов. Компьютерные криминалисты используют специальные инструменты для обеспечения целостности файлов. Одним из таких примеров является «блокиратор записи», который разработан, чтобы позволить судебным специалистам извлекать информацию без непреднамеренного изменения исследуемых доказательств.
Именно эта правовая основа и процедурная строгость определяют, будет ли расследование, проводимое компьютерными криминалистами, успешным.
Несмотря на юридические проблемы, всегда интересно отметить множество факторов, которые определяют легкость, с которой удаленные файлы могут быть восстановлены правоохранительными органами. К ним относятся тип используемого диска, наличие шифрования и файловая система диска.
Жесткие диски (HDD)
Возьмем, к примеру, жесткие диски. Хотя они в значительной степени были превзойдены более быстрыми твердотельными накопителями (SSD), механические жесткие диски (HDD) являлись механизмом хранения данных на протяжении более 30 лет.
В жестких дисках используются магнитные пластины для хранения данных. Если вы когда-либо разбирали жесткий диск, вы, вероятно, заметили, как они похожи на компакт-диски — круглые и серебристого цвета.
При использовании эти диски вращаются с невероятной скоростью-обычно 5400 или 7200 об / мин, а в некоторых случаях и до 15 000 об / мин. Считывание информации с этих дисков производится специальными подвижными магнитными головками, которые выполняют операции чтения и записи. Когда вы сохраняете (записываете) файл на диске, эта головка перемещается к определенной части диска и преобразует электрический ток в магнитное поле, тем самым изменяя свойства этого участка диска. При извлечении (чтении) информации процесс повторяется в обратную сторону, т.е. головка считывает с данной части диска магнитные изменения участка, преобразуя их в электрические импульсы.
Но откуда магнитная головка знает, куда идти? Адрес места определяется тем, что называется таблицей распределения, которая содержит запись каждого файла, хранящегося на диске. Что происходит, когда файл удаляется?
Короткий ответ: почти ничего.
Вот длинный ответ: запись для этого файла удаляется, позволяя впоследствии перезаписать пространство, которое он занимал на жестком диске. Тем не менее, данные остаются физически присутствующими на магнитных пластинах и удаляются только тогда, когда новые данные добавляются к этому конкретному местоположению на диске.
В конце концов, удаление файла потребует, чтобы магнитная головка физически переместилась в это место на диске и перезаписала его. Это может затруднить работу других приложений и снизить производительность компьютера. Что касается жестких дисков, то компьютеру проще просто «притвориться», что удаленные файлы больше не существуют.
Это упрощает восстановление удаленных файлов для правоохранительных органов. Они должны воссоздать недостающие части в таблице распределения, что можно сделать с помощью специальных инструментов, включая программу «Recuva» .
Твердотельный накопитель (SSD)
Конечно, твердотельные накопители отличаются от механических тем, что не содержат никаких движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. В совокупности они объединяются, чтобы сформировать флэш-чипы NAND .
SSD -накопители имеют некоторое сходство с жесткими дисками, поскольку файлы удаляются только тогда, когда они перезаписываются. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов компьютерной криминалистики. И как жесткие диски, твердотельные накопители организуют данные в блоках, причем размер и порядок их размещения сильно варьируется между производителями накопителей.
Ключевое отличие здесь заключается в том, что для записи данных на SSD блок должен быть полностью пустым от содержимого. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдает что-то под названием «Команда обрезки», которая сообщает SSD, какие блоки больше не требуются.
Для исследователей это означает, если они пытаются найти удаленные файлы на SSD, то могут обнаружить, что компьютер невинно поместил файлы на диске далеко за пределы их досягаемости.
Твердотельные накопители также могут разбрасывать файлы по нескольким блокам на диске, чтобы уменьшить количество износа, вызванного ежедневным использованием. Поскольку SSD-накопители выдерживают только конечное число операций записи, важно, чтобы файлы были распределены по всему дисководу, а не в конкретном месте. Эта технология называется выравниванием износа и, как известно, делает жизнь трудной для профессионалов цифровой криминалистики.
Кроме того, SSD -диски сложнее вмонтировать в компьютер, поэтому вы физически не можете удалить их с устройства.
В то время как жесткие диски почти всегда заменяются и подключаются через стандартные интерфейсы, такие как IDE или SATA , некоторые производители ноутбуков предпочитают физически припаять хранилище к материнской плате машины. Это делает извлечение содержимого намного сложнее для профессионалов правоохранительных органов.
Заключение
Итак: да, правоохранительные органы могут извлекать файлы, которые вы удалили. Однако прогресс в технологии хранения данных и широкое распространение шифрования несколько усложнили процесс извлечения данных.
Тем не менее, технические проблемы могут быть преодолены. Когда речь заходит о цифровых расследованиях, самая большая проблема, с которой сталкиваются правоохранительные органы, не механизмы SSD -дисков, а скорее нехватка их ресурсов.
Для выполнения этой работы не хватает квалифицированных специалистов. И конечным результатом является то, что многие полицейские силы по всему миру сталкиваются с сокрушительным отставанием необработанных телефонов, ноутбуков и серверов.
Запрос от британской газеты «The Times» показал, что 32 полицейских подразделения по всей Англии и Уэльсу имеют более 12 000 устройств, ожидающих исследования. Время обработки устройства там варьируется от одного месяца до года.
И это имеет свои последствия. Краеугольным камнем любой справедливой системы уголовного правосудия является то, что обвиняемым предоставляется возможность быстрого судебного разбирательства. Как говорится, отсрочка правосудия — это отказ в правосудии. Этот принцип настолько важен, что он даже представлен в шестой поправке к Конституции США.
К сожалению, эту проблему нелегко решить без больших затрат денег на организацию процесса и обучение.
Вы же можете решить эту проблему с помощью применения и использования более высоких технологий.
Источник: