Когда вы удаляете файл с жесткого диска вашего компьютера, он никогда полностью не исчезает. При достаточных усилиях и технических навыках часто можно восстановить документы и фотографии, которые ранее считались уничтоженными. Эти компьютерные криминалисты являются полезным инструментом для правоохранительных органов, но как они действительно работают?

Создание правовой основы

Прежде чем мы перейдем к техническим сорнякам, стоит обсудить скучные процедурные и правовые аспекты компьютерной криминалистики в контексте правоприменения.

Во-первых, давайте развеем старый миф о том, что ордер всегда требуется для сотрудника правоохранительных органов, чтобы изучить цифровое устройство, такое как телефон или компьютер. Хотя это часто происходит, множество «лазеек» (за неимением лучшего слова) можно найти в структуре закона.

Многие страны, такие как Соединенное Королевство и Соединенные Штаты, разрешают таможенным и иммиграционным должностным лицам проверять электронные устройства без предъявления ордера. Американские пограничники также могут изучить содержимое устройств без ордера, если есть неизбежная нить доказательств, которые будут уничтожены, как утверждается в решении 11-го контура от 2018 года.

По сравнению с их американскими коллегами, британские полицейские, как правило, имеют больше свободы действий, чтобы просмотреть содержимое устройств. Они могут, например, загрузить содержимое телефона с помощью законодательного акта под названием «Закон О полиции и доказательствах по уголовным делам (PACE)», независимо от того, выдвигаются ли какие-либо обвинения.

Законодательство также предоставляет полиции Соединенного королевства право проверять устройства без предъявления ордера в определенных обстоятельствах, когда это необходимо в срочном порядке, например в случае терроризма, или когда существует реальная угроза того, что ребенок может подвергнуться сексуальной эксплуатации.

Но в конечном счете, независимо от «как», когда компьютер конфискуется. И он представляет собой начало длительного процесса, который начинается с помещение ноутбука или телефона в защищенный от взлома пластиковом пакете, а часто заканчивается доказательствами, представленными в зале суда.

Полиция должна придерживаться комплекса правил и процедур, обеспечивающих приемлемость доказательств. Команды компьютерной криминалистики документируют каждый свой шаг, чтобы при необходимости они могли повторить те же шаги и достичь тех же результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является «блокиратор записи», который разработан, чтобы позволить судебно-медицинским специалистам извлекать информацию без непреднамеренного изменения исследуемых доказательств.

Именно эта правовая основа и процедурная строгость определяют, будет ли расследование компьютерной криминалистики успешным.

Восстановление и извлечение данных с жесткого диска

Несмотря на юридические проблемы, всегда интересно отметить множество факторов, которые могут определить легкость, с которой удаленные файлы могут быть восстановлены правоохранительными органами. К ним относятся тип используемого диска, наличие шифрования и файловая система диска.

Возьмем, к примеру, жесткие диски. Хотя они в значительной степени были превзойдены более быстрыми твердотельными накопителями (SSD), механические жесткие диски (HDD) были преобладающим механизмом хранения данных на протяжении более 30 лет.

Жесткие диски использовали магнитные пластины для хранения данных. Если вы когда-либо разбирали жесткий диск, вы, вероятно, заметили, как они немного похожи на компакт-диски. Они круглые и серебристого цвета.

При использовании эти пластинки вращаются с невероятной скоростью-обычно 5400 или 7200 об / мин, а в некоторых случаях и до 15 000 об / мин. К этим пластинкам подключены специальные «головки», которые выполняют операции чтения и записи. Когда вы сохраняете файл на диске, эта «головка» перемещается к определенной части тарелки и преобразует электрический ток в магнитное поле, тем самым изменяя свойства тарелки.

Но откуда он знает, куда идти? Ну, он смотрит на то, что называется таблицей распределения, которая содержит запись каждого файла, хранящегося на диске. Но что происходит, когда файл удаляется?

Короткий ответ. Немного.

Вот длинный ответ: запись для этого файла удаляется, позволяя впоследствии перезаписать пространство, которое он занимал на жестком диске. Тем не менее, данные остаются физически присутствующими на магнитных пластинах и только тогда действительно удаляются, когда новые данные добавляются к этому конкретному местоположению на пластине.

В конце концов, удаление его потребует, чтобы магнитная головка физически переместилась в это место и перезаписала его. Это может затруднить работу других приложений и снизить производительность компьютера. Что касается жестких дисков, то проще просто притвориться, что удаленные файлы просто не существуют.

Это делает восстановление удаленных файлов намного проще для правоохранительных органов. Они просто должны воссоздать недостающие части в таблице распределения, что можно сделать с помощью бесплатных инструментов.

Накопители SSD

Конечно, твердотельные накопители значительно отличаются. Они не содержат никаких движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. В совокупности они объединяются, чтобы сформировать флэш-чипы NAND.

SSD-накопители имеют некоторое сходство с жесткими дисками, поскольку файлы удаляются только тогда, когда они перезаписываются. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов компьютерной криминалистики. И как жесткие диски, твердотельные накопители организуют данные в блоках, причем размер сильно варьируется между производителями.

Ключевое отличие здесь заключается в том, что для записи данных на SSD блок должен быть полностью пустым от содержимого. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдает что-то под названием «Команда обрезки», которая сообщает SSD, какие блоки больше не требуются.

Для исследователей это означает, что когда они пытаются найти удаленные файлы на SSD, они могут обнаружить, что диск невинно поместил их далеко за пределы их досягаемости.

Твердотельные накопители также могут разбрасывать файлы по нескольким блокам на диске, чтобы уменьшить количество износа, вызванного ежедневным использованием. Поскольку SSD-накопители могут выдержать только конечное число операций записи, важно, чтобы они были распределены по всему диску, а не в небольшом месте. Эта технология называется выравниванием износа и, как известно, делает жизнь трудной для профессионалов цифровой криминалистики.

В то время как жесткие диски почти всегда заменяются и подключаются через стандартные интерфейсы, такие как IDE или SATA, некоторые производители ноутбуков предпочитают физически припаять хранилище к материнской плате машины. Это делает извлечение содержимого судебно-здравым способом намного сложнее для профессионалов правоохранительных органов.

Настоящие осложнения

Итак, в заключение. Да, правоохранительные органы могут извлекать файлы, которые вы удалили. Однако прогресс в технологии хранения данных и широкое распространение шифрования несколько усложнили вопросы.

Тем не менее, технические проблемы часто могут быть преодолены. Когда речь заходит о цифровых расследованиях, самая большая проблема, с которой сталкиваются правоохранительные органы, – это не механизмы SSD-дисков, а скорее их нехватка ресурсов.

Для выполнения этой работы не хватает квалифицированных специалистов. И конечным результатом является то, что многие полицейские силы по всему миру сталкиваются с сокрушительным отставанием необработанных телефонов, ноутбуков и серверов.

К примеру, 32 полицейские силы по всей Англии и Уэльсу имеют более 12 000 устройств, ожидающих рассмотрения. Время обработки устройства там варьируется от одного месяца до более чем года.

И это имеет свои последствия. Краеугольным камнем любой справедливой системы уголовного правосудия является то, что обвиняемым предоставляется возможность быстрого судебного разбирательства. Как говорится, отсрочка правосудия – это отказ в правосудии.

3 2 votes
Article Rating
Поделиться