Как спецслужбы восстанавливают удаленные файлы

Обновлено: 07.07.2024

Когда вы удаляете файл с жесткого диска вашего компьютера, он никогда не исчезает. При достаточных усилиях и технических навыках часто удается восстановить документы и фотографии, которые ранее считались стертыми. Эти компьютерные исследования являются полезным инструментом для правоохранительных органов, но как они на самом деле работают?

Создание правовой основы

Прежде чем мы углубимся в технические проблемы, стоит обсудить скучные процедурные и правовые аспекты компьютерной криминалистики в контексте правоприменения.

Во-первых, давайте развеем старый миф о том, что сотруднику правоохранительных органов всегда требуется ордер для проверки цифрового устройства, такого как телефон или компьютер. Хотя это часто имеет место, множество «лазеек» (из-за отсутствия лучшего слова) можно найти в структуре закона.

Многие юрисдикции, такие как Великобритания и США, разрешают сотрудникам таможни и иммиграционной службы проверять электронные устройства без ордера. Американские пограничники могут также осматривать содержимое устройств без ордера, если есть неизбежная нить улик, которые подтверждаются решение 11-го округа от 2018 года,

По сравнению со своими американскими коллегами, полицейские из Великобритании, как правило, имеют больше возможностей для захвата содержимого устройств без необходимости доводить дело до судьи или магистрата. Они могут, например, загрузить содержимое телефона с помощью законодательного акта, называемого Закон о полиции и уголовных доказательствах (ПАСЕ)независимо от того, предъявлены ли какие-либо обвинения. Тем не менее, если полиция в конечном итоге решит, что она хочет изучить содержание, им необходимо получить разрешение суда.

Но, в конечном счете, независимо от того, «как», когда компьютер захвачен, он просто представляет собой начало длительного процесса, который начинается с извлечения ноутбука или телефона в пластиковый пакет, защищенный от несанкционированного доступа, и часто заканчивается подтверждением того, что зал суда.

Полиция должна придерживаться набора правил и процедур для обеспечения допустимости доказательств. Группы компьютерной криминалистики документируют каждый свой шаг, чтобы при необходимости они могли повторять одни и те же шаги и достигать одинаковых результатов. Они используют специальные инструменты для обеспечения целостности файлов. Одним из примеров является «блокировщик записи», который предназначен для того, чтобы специалисты-криминалисты могли извлекать информацию без непреднамеренного изменения проверяемых доказательств.

Именно эта правовая основа и процедурная строгость определяют, будет ли расследование компьютерной экспертизы успешным, а не техническая сложность.

Движущиеся Платформы, Движущиеся Случаи

Несмотря на юридические вопросы, всегда интересно отметить множество факторов, которые могут определить легкость, с которой правоохранительные органы могут восстановить удаленные файлы. К ним относятся тип используемого диска, было ли установлено шифрование, и файловая система диска.

Возьмите жесткие диски, например. Хотя они были в значительной степени превзойдены более быстрыми твердотельными накопителями (SSD), механические жесткие диски (HDD) были преобладающим механизмом хранения более 30 лет.

Жесткие диски использовали магнитные пластины для хранения данных. Если вы когда-нибудь разбирали жесткий диск, вы, вероятно, видели, как они выглядят как компакт-диски. Они круглые и серебристого цвета.

Но откуда он знает, куда идти? Ну, он смотрит на то, что называется таблицей размещения, которая содержит запись каждого файла, хранящегося на диске. Но что происходит, когда файл удаляется?

Краткий ответ? Немного.

Вот длинный ответ: запись для этого файла удаляется, что позволяет перезаписывать пространство, занимаемое на жестком диске. Тем не менее, данные по-прежнему физически присутствуют на магнитных пластинах и действительно удаляются, только когда новые данные добавляются в это конкретное место на блюде.

В конце концов, удаление этого потребовало бы, чтобы магнитная головка физически переместилась в это место на блюде и перезаписала его. Это может помешать работе других приложений и снизить производительность компьютера. Что касается жестких дисков, проще сделать вид, что удаленные файлы просто не существуют.

Это делает восстановление удаленных файлов намного проще для правоохранительных органов. Им просто нужно воссоздать недостающие части в таблице размещения, что можно сделать с помощью бесплатных инструментов, в том числе Recuva,

СВЯЗАННЫЙ: Как восстановить удаленный файл: окончательное руководство

Твердое (государство) как скала

Конечно, SSD разные. Они не содержат движущихся частей. Вместо этого файлы представлены в виде электронов, удерживаемых триллионами микроскопических транзисторов с плавающим затвором. Все вместе они образуют флеш-чипы NAND.

Твердотельные накопители имеют некоторые сходства с жесткими дисками, поскольку файлы удаляются только после перезаписи. Однако некоторые ключевые отличия неизбежно усложняют работу специалистов по компьютерной криминалистике. Как и в случае с жесткими дисками, твердотельные накопители организуют данные в блоках, размер которых сильно различается у разных производителей.

Основное отличие здесь заключается в том, что для записи данных на SSD блок должен быть полностью пустым. Чтобы гарантировать, что SSD имеет постоянный поток доступных блоков, компьютер выдает то, что называется «командой TRIM», которая сообщает SSD, какие блоки больше не требуются.

Для исследователей это означает, что, когда они пытаются найти удаленные файлы на SSD, они могут обнаружить, что накопитель невинно делает их далеко за пределами их досягаемости.

SSD-накопители также могут распределять файлы по нескольким блокам на диске, чтобы уменьшить степень износа, возникающего при повседневном использовании. Поскольку твердотельные накопители могут выдерживать только ограниченное число операций записи, важно, чтобы они были распределены по диску, а не в небольшом месте. Эта технология называется выравнивание износа, и, как известно, усложняет жизнь профессионалам в области криминалистики.

Кроме того, существует тот факт, что твердотельные накопители зачастую сложнее изобразить, потому что вы часто физически не можете удалить их с устройства.

В то время как жесткие диски почти всегда можно заменить и подключить через стандартные интерфейсы, такие как IDE или SATA, некоторые производители ноутбуков предпочитают физически припаять хранилище к материнской плате машины. Это делает извлечение содержимого судебно-медицинской экспертизой намного сложнее для сотрудников правоохранительных органов.

Реальные Осложнения

Итак, в заключение: да, правоохранительные органы могут восстановить удаленные файлы. Однако достижения в области технологий хранения и широко распространенного шифрования несколько усложнили ситуацию.

Тем не менее, технические проблемы часто можно преодолеть. Когда дело доходит до цифровых расследований, самой большой проблемой, с которой сталкиваются правоохранительные органы, являются не механизмы SSD-накопителей, а их нехватка ресурсов.

Не хватает подготовленных специалистов, чтобы сделать работу. И в результате многие полицейские силы по всему миру сталкиваются с огромным отставанием необработанных телефонов, ноутбуков и серверов.

Запрос закона о свободе информации от газеты США Времена показал, что 32 полицейских сил по всей Англии и Уэльсе имеют более 12 000 устройств, ожидающих экспертизы, Время обработки устройства там варьируется от одного месяца до года.

К сожалению, это не проблема, которую легко решить, не тратя больше денег силами на набор и обучение. Вы не можете решить это с помощью большего количества технологий.

Как судебные эксперты получают удаленные данные с вашего телефона?

Правда немного отличается. Но что, собственно, может судебно-медицинская экспертиза восстановить с вашего телефона? Как это делается? Зачем удалять данные из памяти? Есть много вопросов на эту тему, поэтому я немного покопался, чтобы найти ответы.

Для чего могут потребоваться эти данные?

Почему телефон или планшет могут подвергнуться судебному расследованию? Во многих случаях информация, снятая с телефона, может помочь в раскрытии преступления. Еще в 2014 году, когда в Москве без вести пропали две девочки, цифровая судебная экспертиза помогла полиции найти похитителя. Во многих других случаях информация, полученная из телефона жертвы или преступника, помогала расследованию.

Получение данных с телефона

Важно отметить, что ваше мобильное устройство могут подвергнуть исследованию даже если вас не подозревают в совершении преступления. Телефоны, принадлежащие жертвам преступлений, также могут предоставлять полиции очень ценные данные, особенно если эти жертвы являются недееспособными или пропавшими без вести.

Типы сбора данных

Существует ряд стратегий, которые могут использовать судебные эксперты. Самый простой способ известен как «ручной сбор», и он включает в себя использование интерфейса для изучения содержимого устройства. Это требует много времени и часто не очень полезно, потому что все, что было удалено, не отображается в стандартном интерфейсе.

Логическое получение предоставляет более подробные данные. Этот тип получения информации предполагает передачу как можно большего количества данных через стандартные каналы передачи, такие как те, которые будут использоваться для синхронизации телефона с компьютером. Этот тип получения информации позволяет судебным экспертам работать с данными на телефоне, но вряд ли сможет восстановить много удаленной информации.

Типы сбора данных

Когда следователи хотели бы просмотреть удаленные данные, требуется получение файловой системы. Мы рассмотрим, как этот тип получения информации может мгновенно восстановить удаленные элементы. Мобильные устройства - это в основном большие базы данных, и получение файловой системы дает эксперту доступ ко всем файлам в базе данных. Существует также множество инструментов судебной экспертизы, которые способны анализировать данные этого типа, что облегчает работу эксперта.

Наконец, есть физическое приобретение. Это самое сложное приобретение, поскольку оно включает чтение физических данных на чипе и перенос их на другое устройство, на котором можно работать. Для этого требуются программисты, а иногда и инструменты для удаления самого чипа с телефона. Это очень сложно, но это также дает экспертам больше данных для работы.

Как удаленные файлы могут быть восстановлены?

Возможно, вам интересно, как часть программного обеспечения может найти файлы, которые вы удалили. Если вы знаете, как работают накопители на компьютере, вы уже знакомы с основами. Флэш-память в мобильных устройствах фактически не удаляет файлы, пока не закончится пространство для чего-то нового. Эта информация просто «деиндексируется», по сути телефон забывает, где она находится, но она по-прежнему сохраняется в телефоне.

Поэтому, если эти данные не были перезаписаны, специальное программное обеспечение может их найти. Идентификация и декодирование не всегда просты, но лаборатории судебно-медицинской экспертизы обладают чрезвычайно мощными инструментами, которые помогают им в этом процессе.

восстановление удаленных файлов

Чем позже вы что-то удалили, тем менее вероятно, что это будет перезаписано. Если вы удалили что-то несколько месяцев назад, и вы много используете свой телефон, есть хорошая вероятность, что файловая система уже перезаписала этот файл. Если вы удалили что-то только несколько дней назад, шансы того, что этот файл все еще где-то там выше.

Некоторые устройства iOS, такие как новые iPhone, делают дополнительный шаг. Помимо деиндексирования данных, они также шифруют их. И экспертам будет чрезвычайно сложно (если не невозможно) обойти эту защиту.

Один из способов, по которым эксперты-криминалисты могут получать удаленные данные, фактически допускает сам телефон и резервное копирование. Многие телефоны автоматически синхронизируют все информацию с компьютером пользователя или облаком. Извлечения данных из этой резервной копии может быть проще, чем на телефоне. Очевидно, что эффективность этой стратегии зависит от того, как давно была создана резервная копия телефона и облачная служба, используемая для хранения файлов.

Какие типы файлов могут быть восстановлены?

Типы восстанавливаемых файлов могут зависеть от устройства, над которым работает криминалист. Однако существует несколько основных типов, которые могут быть восстановлены:

Что такое шифрование?

Шифрование мобильных устройств представляет серьезную проблему для судебного эксперта. Если было применено сильное шифрование, и нет способа получить ключ шифрования, будет сложно или почти невозможно получить какие-либо данные с телефона. iTunes даже просит пользователей шифровать резервные копии, которые они делают на своих компьютерах.

шифрование телефона

Хотя это делает телефоны менее полезными для следователей, есть некоторые способы преодолеть шифрование. Некоторые телефоны имеют встроенные бэкдоры, которые позволяют профессионалам получить доступ к файлам. Другие эксперты могут взломать ваш пароль шифрования.

Однако, если квалификация эксперта оставляет желать лучшего он не сможет прочесть эти зашифрованные файлы. Если вас беспокоит судебно-медицинская экспертиза вашего телефона (например, вы журналист с секретными источниками), рекомендуется использовать самые безопасные настройки шифрования.

Является ли любая ваша информация действительно безопасной?

В конце концов, нет никаких гарантий, когда дело доходит до судебного расследования. Для обеих сторон. Невозможно полностью защитить каждую часть данных на телефоне от умного и опытного эксперта. И нет доступа к данным на каждом телефоне.

Но существует множество разнообразных инструментов. Они разработаны специально для противодействия постоянно меняющемуся ландшафту защиты данных.

Как всегда, я рекомендую те же самые вещи, если вы хотите сохранить свои данные в безопасности. Шифруйте все. Будьте осторожны, где и как вы создаете резервную копию. Используйте надежные пароли. И, если это вообще возможно, не делайте ничего, что поставит вас в поле зрения правоохранителей.

Вы шифруете свой телефон? Вас беспокоит безопасность данных на ваших мобильных устройствах? Поделитесь своими мыслями в комментариях ниже!


Восстановление и уничтожение данных — две стороны одной медали. Чтобы знать, когда и как можно вернуть себе информацию, надо понимать и как она может быть уничтожена безвозвратно. А в некоторых ситуациях бывает просто необходимо: например, уничтожение корпоративной информации при утилизации оборудования, уничтожение ваших личных данных при передаче диска в пользование друзьям или продаже, а может быть вы раз и навсегда хотите удалить историю переписки с любовницей ;) Считается, что лучшие специалисты по восстановлению данных работают в спецслужбах, поэтому мы сформулировали вопрос именно таким образом: как уничтожить информацию с диска так, чтобы её не восстановили ни копы из отдела «К», ни Q из Джеймса Бонда, ни даже наши специалисты из StoreLab.

Уничтожение данных программным методом

Если вы хотите ещё использовать жёсткий диск после уничтожения данных, и никуда не тропитесь, то стоит посмотреть в сторону программных методов удаления данных.

Полная перезапись диска

Существует много алгоритмов для уничтожения данных через полную перезапись диска. Но все они сводятся к N-кратному форматированию и записи на него двоичных единиц, нулей и псевдослучайных чисел. Так как скорость записи на диск обычно не превышает 70 MB/s, то вооружившись калькулятором мы посчитаем, сколько нам потребуется времени?
Формула достаточно простая: Объём диска (MB) / Скорость записи * Количество циклов = Секунды;
500000 / 70 * 7 = 50000 (сек.).
Из этого мы можем сделать вывод, что диск объёмом в 500 GB будет “стираться” около 13 часов. Но стоит ли нам использовать 7 циклов перезаписи? Современные носители информации не оставляют остаточной намагниченности после перезаписи данных. Поэтому нам хватит и одного цикла. Значит времени нам понадобится не 13 часов, а всего лишь 1.5.
Операционные системы имеют инструменты для полного удаления файлов.

Вместо "c:" необходимо указать букву логического раздела.
Для Windows Vista и старше, предыдущие поколения Windows удаляют только служебную информацию.

Вместо "/dev/sda" необходимо указать адрес устройства для форматирования.

Частичная перезапись данных

Используя прямое подключение к жёсткому диску на нижнем уровне через API драйвера диска или собственный драйвер, можно быстро испортить информацию, перезаписывая промежутки данных псевдослучайными числами. Напрямую указывая адрес памяти, в который выполнять запись, мы не нуждаемся в полной перезаписи диска. Также через API драйвера диска можно получить адреса, в которых хранится информация, и перезаписывать только эту область памяти. Данный способ самый сложный в своём исполнении, но с другой стороны позволяет быстро уничтожить только конфиденциальную информацию, сохраняя работоспособность диска.
Работа с драйвером предполагает 2 стадии. Первая — это получение адреса и длину данных, обычно один файл записан в разных местах на диске, поэтому мы получим массив адресов и массив длин. Второй шаг — это запись псевдослучайных чисел в данные области памяти, запись необходимо производить также через драйвер, для того, чтобы операционная система не заблокировала или не перенаправила запись данных в другую область диска.

Уничтожение данных вместе с диском

Усложним задачу: представим, что у нас нет времени на безопасное для диска уничтожение данных. В таком случае единственное что вам может помочь — уничтожение самого диска. А если быть точным, то нужно уничтожить только блины, на которые записывается информация.

Механическое уничтожение данных



На картинке показан жёсткий диск после помещения его в устройство для давления жётских дисков (EDR Solutions) .
Раз и навсегда уничтожить данные получится, если испортить блины жёсткого диска. Сложно и зачастую невозможно восстановить данные с поцарапанных дисков, не забудьте держать рядом с собой отвёртку, ведь вам придётся снять крышку жёсткого диска и ею же можно жёсткий диск поцарапать. Естественно, данные будут стёрты в тех местах, где была проведена царапина и смежных с ней. В остальных местах данные можно будет восстановить в лаборатории. Не жалейте свои силы на царапины, лёгкие полоски не уничтожат данные даже в местах, где побывала ваша отвёртка. А если погнуть блин, как показано на картинке, то ваши данные уже точно никем никогда не будут восстановлены.

Но уронить диск на пол будет недостаточно. Да, он не определится компьютером, но данные успешно восстановят в лаборатории. HDD диск не переживёт падения со стола, причём в выключенном состоянии высота безопасного падения больше, чем во время работы диска. SSD были разработаны с расчётом на такой случай, даже падение из окна первого-второго этажа не убьёт диск. Это достигается за счёт того, что в SSD нет подвижных элементов, все действия выполняет контроллер. Информация по прежнему может быть прочитана программным или непрограммным способом.

Современные диски сделаны из стекла с магнитным напылением. Достаточно снять крышку диска, вытащить магнитный диск и сломать его. Диск из стекла лёгко ломается, но стоит соблюдать меры безопасности, дабы не порезаться. Слом диска приведёт к разрушению всего слоя напыление и восстановить данные уже не представится возможным.

Физически


«То, что не убивает нас, делает нас сильнее.» Логично будет предположить и обратное: то, что не делает нас сильнее, убивает нас. Из предыдущей статьи вы могли узнать, что охлаждение диска отрицательно влияет на его работу. Но можно ли его так убить? Положив в морозильную камеру ваш носитель важной информации, вы его не убиваете. В ваших руках “бомба” замедленного действия — диск будет работать и с него можно будет прочитать информацию программным способом. Когда же диск сломается, то все данные без особого труда восстанавливаются в “чистой комнате”.
А что диски думают о нагревании? Среди всех устройств диска нас интересуют только блины. Материал, которым покрыт блин, способен размагничиваться при температуре 450 °C. При нагревании магнитный слой должен окисляться и становиться зелёного цвета. Ещё один негативный для диска, но положительный для нас результат даёт температура более 660 °C.
При такой температуре начинает плавиться алюминий — основа блина жёсткого диска. Температуру в 750 °C в домашних условиях можно получить от пламени свечи или горящей спички. Для достижения максимальной температуры необходимо пламя подставить самым краем к блину.
Также размагнитить диск можно с помощью электромагнита, воздействуя на блин переменным магнитным полем с увеличением расстояния от магнита до диска. Для таких целей было разработано специальное оборудование «Устройства уничтожения информации». Воздействуя импульсами на жёсткие диски, они полностью размагничивают диск, что приводит к невозможности восстановить какие-либо данные на нём. Данные устройства уничтожают всё за 2-3 секунды.

Химически

Как вы уже, наверное, поняли, чтобы уничтожить данные — нужно уничтожить магнитный слой блина жёсткого диска. На диск достаточно вылить любой жидкости, которая способна изменять свойства ферромагнетиков. Чтобы изменить строение оксида хрома (ферромагнетик, которым покрывают блины жёстких дисков, — магнитный слой диска), необходимо вылить на него соляную кислоту или воду при температуре 100 °C.

Как полиция находит удаленные с телефона данные?

Думаете, что сложный пароль и стирание памяти телефона защитит конфиденциальную информацию на вашем смартфоне? Подумайте еще раз.

Эксперты могут получить все, что угодно с любого телефона. Полиция часто конфискует смартфон и анализирует такие данные как неприличные фото, и видео, историю браузера, календаря событий, звонки чтобы выяснить обстоятельства самоубийства или убийства, сообщает «TG Daily».

Все что пользователь удал из своего телефона, можно восстановить.

«Если пользователь все удалил из телефона, это затруднит задачу, но не означает что это невозможно», говорит судебный аналитик из консалтинговой компании TCS Кортни Ланкастер.

У судебных аналитиков десятки инструментов, которые позволяют получить доступ к множеству слоев данных на устройстве.

Так называемый «физический» анализ, как правило, позволяет получить удаленную информацию, которая скрыта глубоко в памяти смартфона. Когда пользователь сохраняет фотографию, операционная система устройства дублирует файл в разных местах - в виде эскизов, которые можно просмотреть, даже если исходного файла нет.

С помощью физического анализа можно восстановить файлы которые передавались с помощью специальной программы Snapchat которая после просмотра сразу удаляет файл.

Ланкастер говорит, что восстановление может занять много времени, но это стоит затраченных усилий.

Понимая это, преступники, чтобы не скомпрометировать себя в суде пытаются уничтожить данные со своих телефонов. Это может замедлить работу судебных экспертов, но они достанут данные. Микросхемы памяти всегда можно извлечь и проанализировать.

«Физические повреждения не всегда могут повредить данным», говорит Ланкастер. «Данные хранятся глубоко в чипе, поэтому мы не так сильно беспокоимся по поводу наружной оболочки. Даже вода не всегда уничтожает данные».

Как правило, экспертам удается восстановить данные из смартфона.

С такими инструментами, как компьютер компании Cellebrite, правоохранительные органы просто подключают телефон и скачивают память устройства в течение нескольких секунд. Если установлен пароль, это занимает немного дольше времени, но программы могут взломать код или обойти защиту относительно быстро.

Устройства для восстановления данных доступны не только правоохранительным органам, есть десятки устройств, классом ниже, которые можно купить eBay, многие из них доступны в пределах тысячи долларов. Но профессиональные инструменты могут стоить больше десяти тысяч долларов.

Читайте также: