Может ли правоохранительный орган действительно восстановить удаленные файлы?

Когда вы удаляете файл с жесткого диска вашего компьютера, он никогда не исчезает. При достаточных усилиях и технических навыках часто удается восстановить документы и фотографии, которые ранее считались стертыми. Эти компьютерные исследования являются полезным инструментом для правоохранительных органов, но как они на самом деле работают?

Создание правовой основы

Прежде чем мы углубимся в технические проблемы, стоит обсудить скучные процедурные и правовые аспекты компьютерной криминалистики в контексте правоприменения.

Во-первых, давайте развеем старый миф о том, что сотруднику правоохранительных органов всегда требуется ордер для проверки цифрового устройства, такого как телефон или компьютер. Хотя это часто имеет место, множество «лазеек» (из-за отсутствия лучшего слова) можно найти в структуре закона.

Многие юрисдикции, такие как Великобритания и США, разрешают сотрудникам таможни и иммиграционной службы проверять электронные устройства без ордера. Американские пограничники могут также осматривать содержимое устройств без ордера, если есть неизбежная нить улик, которые подтверждаются решение 11-го округа от 2018 года,

По сравнению со своими американскими коллегами, полицейские из Великобритании, как правило, имеют больше возможностей для захвата содержимого устройств без необходимости доводить дело до судьи или магистрата. Они могут, например, загрузить содержимое телефона с помощью законодательного акта, называемого Закон о полиции и уголовных доказательствах (ПАСЕ)независимо от того, предъявлены ли какие-либо обвинения. Тем не менее, если полиция в конечном итоге решит, что она хочет изучить содержание, им необходимо получить разрешение суда.

законодательство также дает полиции США право осматривать устройства без ордера в определенных обстоятельствах, когда есть срочная необходимость – например, в случае терроризма или когда есть реальный страх, что ребенок может быть подвергнут сексуальной эксплуатации.

Но, в конечном счете, независимо от того, «как», когда компьютер захвачен, он просто представляет собой начало длительного процесса, который начинается с извлечения ноутбука или телефона в пластиковый пакет, защищенный от несанкционированного доступа, и часто заканчивается подтверждением того, что зал суда.

Полиция должна придерживаться набора правил и процедур для обеспечения допустимости доказательств. Группы компьютерной криминалистики документируют каждый свой шаг, чтобы при необходимости они могли повторять одни и те же шаги и достигать одинаковых результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является «блокировщик записи», который предназначен для того, чтобы специалисты-криминалисты могли извлекать информацию без непреднамеренного изменения проверяемых доказательств.

Именно эта правовая основа и процедурная строгость определяют, будет ли расследование компьютерной экспертизы успешным, а не техническая сложность.

Движущиеся Платформы, Движущиеся Случаи

Несмотря на юридические вопросы, всегда интересно отметить множество факторов, которые могут определить легкость, с которой правоохранительные органы могут восстановить удаленные файлы. К ним относятся тип используемого диска, было ли установлено шифрование, и файловая система диска.

Возьмите жесткие диски, например. Хотя они были в значительной степени превзойдены более быстрыми твердотельными накопителями (SSD), механические жесткие диски (HDD) были преобладающим механизмом хранения более 30 лет.

Жесткие диски использовали магнитные пластины для хранения данных. Если вы когда-нибудь разбирали жесткий диск, вы, вероятно, видели, как они выглядят как компакт-диски. Они круглые и серебристого цвета.

При использовании эти пластины вращаются с невероятной скоростью – обычно 5400 или 7200 об / мин, а в некоторых случаях – до 15000 об / мин. К этим пластинам подключены специальные «головки», которые выполняют операции чтения и записи. Когда вы сохраняете файл на диск, эта «головка» перемещается к определенной части диска и преобразует электрический ток в магнитное поле, изменяя таким образом свойства диска.

Но откуда он знает, куда идти? Ну, он смотрит на то, что называется таблицей размещения, которая содержит запись каждого файла, хранящегося на диске. Но что происходит, когда файл удаляется?

Краткий ответ? Немного.

Вот длинный ответ: запись для этого файла удаляется, что позволяет перезаписывать пространство, занимаемое на жестком диске. Тем не менее, данные по-прежнему физически присутствуют на магнитных пластинах и действительно удаляются, только когда новые данные добавляются в это конкретное место на блюде.

В конце концов, удаление этого потребовало бы, чтобы магнитная головка физически переместилась в это место на блюде и перезаписала его. Это может помешать работе других приложений и снизить производительность компьютера. Что касается жестких дисков, проще сделать вид, что удаленные файлы просто не существуют.

Это делает восстановление удаленных файлов намного проще для правоохранительных органов. Им просто нужно воссоздать недостающие части в таблице размещения, что можно сделать с помощью бесплатных инструментов, в том числе Recuva,

СВЯЗАННЫЙ: Как восстановить удаленный файл: окончательное руководство

Твердое (государство) как скала

Конечно, SSD разные. Они не содержат движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. Все вместе они образуют флеш-чипы NAND.

Твердотельные накопители имеют некоторые сходства с жесткими дисками, поскольку файлы удаляются только после перезаписи. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов по компьютерной криминалистике. Как и в случае с жесткими дисками, твердотельные накопители организуют данные в блоках, размер которых сильно различается у разных производителей.

Основное отличие здесь заключается в том, что для записи данных на SSD блок должен быть полностью пустым. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдает то, что называется «командой TRIM», которая сообщает SSD, какие блоки больше не требуются.

Для исследователей это означает, что, когда они пытаются найти удаленные файлы на SSD, они могут обнаружить, что накопитель невинно делает их далеко за пределами их досягаемости.

SSD-накопители также могут распределять файлы по нескольким блокам на диске, чтобы уменьшить степень износа, возникающего при повседневном использовании. Поскольку твердотельные накопители могут выдерживать только ограниченное число операций записи, важно, чтобы они были распределены по диску, а не в небольшом месте. Эта технология называется выравнивание износа, и, как известно, усложняет жизнь профессионалам в области криминалистики.

Кроме того, существует тот факт, что твердотельные накопители зачастую сложнее изобразить, потому что вы часто физически не можете удалить их с устройства.

В то время как жесткие диски почти всегда можно заменить и подключить через стандартные интерфейсы, такие как IDE или SATA, некоторые производители ноутбуков предпочитают физически припаять хранилище к материнской плате машины. Это делает извлечение содержимого судебно-медицинской экспертизой намного сложнее для сотрудников правоохранительных органов.

Реальные Осложнения

Итак, в заключение: да, правоохранительные органы могут восстановить удаленные файлы. Однако достижения в области технологий хранения и широко распространенного шифрования несколько усложнили ситуацию.

Тем не менее, технические проблемы часто можно преодолеть. Когда дело доходит до цифровых расследований, самой большой проблемой, с которой сталкиваются правоохранительные органы, являются не механизмы SSD-накопителей, а их нехватка ресурсов.

Не хватает подготовленных специалистов, чтобы сделать работу. И в результате многие полицейские силы по всему миру сталкиваются с огромным отставанием необработанных телефонов, ноутбуков и серверов.

Запрос закона о свободе информации от газеты США Времена показал, что 32 полицейских сил по всей Англии и Уэльсе имеют более 12 000 устройств, ожидающих экспертизы, Время обработки устройства там варьируется от одного месяца до года.

И это имеет последствия. Основой любой справедливой системы уголовного правосудия является то, что обвиняемым предоставляется быстрое судебное разбирательство. Как говорится, задержка правосудия – это отказ в правосудии. Этот принцип настолько принципиально важен, что даже представлен в Шестой поправке к Конституции США.

К сожалению, это не проблема, которую легко решить, не тратя больше денег силами на набор и обучение. Вы не можете решить это с помощью большего количества технологий.