Могут ли правоохранительные органы восстановить удаленные вами файлы?

Распадающийся жесткий диск.

Даниэль Красон / Shutterstock.com



Когда вы удаляете файл с жесткого диска компьютера, он никогда не исчезает. Приложив достаточно усилий и технических навыков, часто можно восстановить документы и фотографии, которые ранее считались стертыми. Эти компьютерные криминалистические исследования - полезный инструмент для правоохранительных органов, но как они на самом деле работают?

Создание правовой основы

Прежде чем мы углубимся в технические проблемы, стоит обсудить скучные процедурные и юридические аспекты компьютерной криминалистики в контексте правоохранительных органов.





Во-первых, давайте развеем старый миф о том, что сотруднику правоохранительных органов всегда требуется ордер на проверку цифрового устройства, такого как телефон или компьютер. Хотя это часто бывает, в структуре закона можно найти множество лазеек (за неимением лучшего слова).

Многие юрисдикции, такие как Великобритания и США, разрешают таможенным и иммиграционным служащим проверять электронные устройства без ордера. Американские пограничники также могут исследовать содержимое устройств без ордера, если есть неминуемая нить уничтожения улик, как подтверждается Решение 11-го округа от 2018 г. .



По сравнению со своими американскими коллегами, британские полицейские, как правило, имеют больше возможностей для изъятия содержимого устройств, не обращаясь к судье или магистрату. Например, они могут загружать содержимое телефона с помощью законодательного акта, называемого Закон о полиции и доказательствах по уголовным делам (ПАСЕ) , независимо от того, предъявлено ли какое-либо обвинение. Однако, если полиция в конечном итоге решит, что она желает изучить содержимое, ей потребуется разрешение суда.

Реклама

Законодательство также дает британской полиции право проверять устройства без ордера в определенных обстоятельствах, когда есть острая необходимость, например, в случае терроризма или когда существует реальный страх того, что ребенок может быть подвергнут сексуальной эксплуатации.

Но в конечном итоге, независимо от того, как именно, захват компьютера представляет собой всего лишь начало длительного процесса, который начинается с извлечения ноутбука или телефона в устойчивый к взлому пластикового пакета, и часто заканчивается представлением доказательств в зале суда. .



Полиция должна придерживаться набора правил и процедур для обеспечения допустимости доказательств. Команды компьютерной криминалистики документируют каждый свой шаг, чтобы при необходимости они могли повторить те же шаги и добиться тех же результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является блокировщик записи, который позволяет экспертам-криминалистам извлекать информацию без непреднамеренного изменения исследуемых доказательств.

Успешность компьютерного криминалистического расследования определяется правовой основой и строгостью процедур, а не технической сложностью.

Подвижные тарелки, подвижные ящики

Крупный план механического компьютера

Майк Молс / Shutterstock.com

Несмотря на юридические проблемы, всегда интересно отметить множество факторов, которые могут определить, с какой легкостью удаленные файлы могут быть восстановлены правоохранительными органами. К ним относятся тип используемого диска, независимо от того, шифрование была на месте, и файловая система диска.

Возьмем, к примеру, жесткие диски. Хотя их в значительной степени превзошли более быстрые твердотельные накопители (SSD) механические жесткие диски (HDD) были преобладающим механизмом хранения более 30 лет.

Реклама

На жестких дисках для хранения данных использовались магнитные пластины. Если вы когда-нибудь разбирали жесткий диск, вы, вероятно, заметили, как они немного похожи на компакт-диски. Они круглые и серебристого цвета.

При использовании эти пластины вращаются с невероятной скоростью - обычно 5400 или 7200 об / мин, а в некоторых случаях даже 15000 об / мин. К этим пластинам подключены специальные головки, выполняющие операции чтения и записи. Когда вы сохраняете файл на накопитель, эта головка перемещается к определенной части диска и преобразует электрический ток в магнитное поле, тем самым изменяя свойства диска.

Но как он узнает, куда идти? Что ж, он смотрит на так называемую таблицу распределения, которая содержит запись каждого файла, хранящегося на диске. Но что происходит при удалении файла?

Краткий ответ? Немного.

Вот длинный ответ: запись для этого файла удаляется, позволяя позже перезаписать место, которое она занимала на жестком диске. Однако данные остаются физически присутствующими на магнитных пластинах и по-настоящему удаляются только тогда, когда новые данные добавляются в это конкретное место на пластине.

В конце концов, для его удаления потребуется, чтобы магнитная головка физически переместилась в это место на пластине и перезаписала его. Это может затруднить работу других приложений и снизить производительность компьютера. Что касается жестких дисков, проще просто притвориться, что удаленных файлов просто не существует .

Что делает восстановление удаленных файлов намного проще для правоохранительных органов. Им просто нужно воссоздать недостающие части в таблице распределения, что можно сделать с помощью бесплатных инструментов, в том числе рекавери .

СВЯЗАННЫЙ: Как восстановить удаленный файл: полное руководство

Твердое тело (состояние) как скала

Твердотельный накопитель внутри портативного компьютера.

monte_a / Shutterstock.com

Конечно, SSD бывают разные. В них нет движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. В совокупности они объединяются, чтобы сформировать Флэш-чипы NAND .

Реклама

Твердотельные накопители имеют некоторое сходство с жесткими дисками, поскольку файлы удаляются только тогда, когда они перезаписываются. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов по компьютерной криминалистике. Как и жесткие диски, твердотельные накопители организуют данные в блоки, размер которых сильно различается в зависимости от производителя.

Ключевое отличие здесь в том, что для записи данных на SSD блок должен быть полностью пуст от содержимого. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдает что-то, называемое Команда TRIM , который сообщает SSD, какие блоки больше не требуются.

Для исследователей это означает, что когда они пытаются найти удаленные файлы на SSD, они могут обнаружить, что диск невинно поместил их далеко за пределы их досягаемости.

Твердотельные накопители также могут распределять файлы по нескольким блокам на диске, чтобы уменьшить износ, вызываемый повседневным использованием. Так как SSD могут выдерживать только ограниченное количество операций записи. , важно, чтобы они были распределены по всему диску, а не в небольшом месте. Эта технология называется выравнивание износа, и, как известно, усложняет жизнь профессионалам в области цифровой криминалистики.

Во-вторых, образ твердотельных накопителей зачастую сложнее создать, поскольку их зачастую невозможно удалить с устройства физически.

Реклама

В то время как жесткие диски почти всегда заменяемы и подключаются через стандартные интерфейсы, такие как IDE или SATA , некоторые производители ноутбуков физически припаяют накопитель к материнской плате машины. Это значительно усложняет извлечение содержимого криминалистически обоснованным способом для специалистов правоохранительных органов.

Настоящие осложнения

Итак, в заключение: да, правоохранительные органы могут восстановить удаленные вами файлы. Однако достижения в области технологий хранения и повсеместное шифрование несколько усложнили ситуацию.

Тем не менее, технические проблемы часто можно преодолеть. Когда дело доходит до цифровых расследований, самая большая проблема, с которой сталкиваются правоохранительные органы, - это не механизмы SSD-накопителей, а их отсутствие ресурсов.

Для работы не хватает подготовленных специалистов. И в результате многие полицейские силы по всему миру сталкиваются с огромным количеством необработанных телефонов, ноутбуков и серверов.

Запрос Закона о свободе информации от британской газеты Времена показал, что 32 полицейские силы в Англии и Уэльсе имеют более 12000 устройств на рассмотрении . Время обработки устройства варьируется от одного месяца до года.

И это имеет последствия. Краеугольным камнем любой справедливой системы уголовного правосудия является то, что обвиняемым предоставляется быстрое судебное разбирательство. Как говорится, отложить правосудие - значит отказать в правосудии. Этот принцип настолько фундаментально важен, что он даже представлен в Шестой поправке к конституции США.

Реклама

К сожалению, эту проблему нелегко решить, если силы не потратят больше денег на набор и обучение. Вы не можете решить эту проблему с помощью дополнительных технологий.

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ
  • & rsaquo; Функции и формулы в Microsoft Excel: в чем разница?
  • & rsaquo; Киберпонедельник 2021: лучшие технические предложения
  • & rsaquo; 5 сайтов, которые должен добавить в закладки каждый пользователь Linux
  • & rsaquo; Папке на компьютере 40 лет: как звезда Xerox создала рабочий стол
  • & rsaquo; Что такое защита от падений MIL-SPEC?
  • & rsaquo; Как найти упакованный Spotify 2021
Фотография профиля Мэтью Хьюза Мэтью Хьюз
Мэтью Хьюз - корреспондент The Register, где он освещает мобильное оборудование и другие потребительские технологии. Он также писал для The Next Web, The Daily Beast, Gizmodo UK, The Daily Dot и других.
Прочитать полную биографию

Интересные статьи