T.me Когда вы удаляете файл с жёсткого диска компьютера, он никогда не исчезает. Приложив достаточно усилий и технических навыков, часто можно восстановить документы и фотографии, которые ранее считались уничтоженными. Эта компьютерная криминалистика — полезный инструмент для правоохранительных органов, но как они на самом деле работают?
Правовые основы
Прежде чем мы углубимся в технические проблемы, стоит обсудить скучные процедурные и юридические аспекты компьютерной криминалистики в контексте правоохранительных органов.
Во-первых, давайте развеем старый миф о том, что сотруднику правоохранительных органов всегда требуется ордер на проверку цифрового устройства, такого как телефон или компьютер. Хотя обычно это так и есть, в структуре закона можно найти множество «лазеек» (за неимением лучшего слова).
Многие юрисдикции, такие как Великобритания и США, разрешают таможенным и иммиграционным служащим проверять электронные устройства без ордера. Американские пограничники также могут исследовать содержимое устройств без ордера, если есть угроза уничтожения доказательств, как это подтверждено решением 11-го округа от 2018 года.
По сравнению со своими американскими коллегами, британские полицейские, как правило, имеют больше возможностей для изъятия содержимого устройств, не обращаясь за помощью к судье или магистрату. Они могут, например, загружать содержимое телефона с помощью законодательного акта, называемого Законом о полиции и доказательствах по уголовным делам (PACE), независимо от того, предъявлены ли какие-либо обвинения. Однако, если полиция в конечном итоге решит, что она желает изучить содержимое, ей потребуется разрешение суда.
Законодательство также даёт полиции Великобритании право проверять устройства без ордера в определённых обстоятельствах, когда есть острая необходимость, например, в случае терроризма или когда существуют реальные основания полагать, что ребёнок мог быть подвергнут сексуальному насилию.
Но в конечном итоге, независимо от «как», конфискация компьютера представляет собой просто начало длительного процесса, который начинается с помещения ноутбука или телефона в пластиковый пакет, защищённый от несанкционированного доступа, и часто заканчивается представлением доказательств зал суда.
Полиция должна придерживаться набора правил и процедур для обеспечения допустимости доказательств. Команды компьютерных криминалистов документируют каждое своё действие, чтобы при необходимости другие эксперты могли повторить те же шаги и добиться тех же результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является «блокировщик записи», который позволяет экспертам-криминалистам извлекать информацию с защитой от непреднамеренного изменения исследуемых доказательств.
Успешность компьютерного криминалистического расследования определяется правовой основой и строгостью процедур, а не технической сложностью.
Диски крутятся, дела мутятся
Несмотря на юридические проблемы, всегда интересно отметить множество факторов, которые могут определить, с какой лёгкостью удалённые файлы могут быть восстановлены правоохранительными органами. К ним относятся тип используемого диска, использовалось ли шифрование и файловая система диска.
Козьмем, к примеру, жёсткие диски. Хотя их в значительной степени превзошли более быстрые твердотельные накопители (SSD), механические жёсткие диски (HDD) были преобладающим механизмом хранения на протяжении более 30 лет.
На жёстких дисках для хранения данных использовались магнитные пластины. Если вы когда-нибудь разбирали жёсткий диск, то наверняка заметили, что он немного похож на компакт-диски. Они круглые и серебристого цвета.
При использовании эти пластины вращаются с невероятной скоростью — обычно 5400 или 7200 об/мин, а в некоторых случаях даже 15000 об/мин. К этим пластинам подключены специальные «головки», выполняющие операции чтения и записи. Когда вы сохраняете файл на диск, эта «головка» перемещается к определённой части диска и преобразует электрический ток в магнитное поле, тем самым изменяя свойства диска.
Но как она узнает, куда идти? Что ж, она смотрит на так называемую таблицу распределения, которая содержит запись о каждом файле, хранящегося на диске. Но что происходит, когда файл удаляется?
Краткий ответ? Немного.
Вот длинный ответ: запись об этом файле удаляется в таблице распределения, позволяя позже перезаписать место, которое он занимал на жёстком диске. Однако данные остаются физически присутствующими на магнитных пластинах и действительно удаляются только тогда, когда новые данные добавляются в это конкретное место на пластине (то есть когда происходит перезапись этого места на диске другой информацией).
В конце концов, для его действительного удаления потребовалось бы, чтобы магнитная головка физически переместилась в это место на пластине и перезаписала его. Это может снизить производительность компьютера, поскольку вместо этой бесполезной операции ему нужно выполнять чтение и запись для работающих приложений. Поэтому что касается жёстких дисков, проще притвориться, что удалённых файлов просто не существует.
Это значительно упрощает восстановление удалённых файлов для правоохранительных органов. Им просто нужно воссоздать недостающие части в таблице распределения, что можно сделать с помощью бесплатных инструментов, включая Recuva (простая программа для Windows с графическим интерфейсом), либо одной из специализированных утилит для Linux или Windows.