当你从电脑硬盘上删除一个文件时,它永远不会真正消失。通过足够的努力和技术技巧,通常可以恢复以前认为已删除的文档和照片。这些计算机取证是执法部门的有用工具,但它们到底是如何工作的呢?...
当你从电脑硬盘上删除一个文件时,它永远不会真正消失。通过足够的努力和技术技巧,通常可以恢复以前认为已删除的文档和照片。这些计算机取证是执法部门的有用工具,但它们到底是如何工作的呢?
奠定法律基础
在我们进入技术杂草之前,有必要在执法的背景下讨论计算机取证的枯燥的程序和法律方面。
首先,让我们破除一个古老的神话,即执法人员检查电话或电脑等数字设备时总是需要搜查令。虽然这种情况经常发生,但在法律结构中可以发现大量的“漏洞”(因为没有更好的词)。
许多司法管辖区,如英国和美国,允许海关和移民官员在没有搜查令的情况下检查电子设备。美国边防官员也可以在没有搜查令的情况下检查装置的内容,如果有证据即将被销毁,这一点得到了2018年第11巡回法庭判决的确认。
与美国同行相比,英国警察倾向于在不必向法官或地方法官提起诉讼的情况下,有更大的余地来攫取设备的内容。例如,他们可以使用一项名为《警察和刑事证据法》(PACE)的立法下载**内容,而不管是否提出任何指控。然而,如果警方最终决定要检查内容,他们需要**的签字。
立法也赋予英国警方在某些情况下,如恐怖主义案件,或真正担心儿童可能被性剥削的情况下,无需搜查令而检查设备的权利。
但归根结底,不管“如何”,当一台电脑被扣押时,它仅仅代表着一个漫长过程的开始,从一台笔记本电脑或一部**被放在一个防篡改的塑料袋中取出开始,最后往往是在法庭上出示证据。
警方必须遵守一套规则和程序,以确保证据的可采性。计算机鉴证小组记录他们的一举一动,以便在必要时重复同样的步骤并取得同样的结果。他们使用特定的工具来确保文件的完整性。一个例子是“写拦截器”,它的目的是让法医专业人员提取信息,而不会无意中修改正在检查的证据。
决定计算机取证调查是否成功的是法律依据和严格的程序,而不是技术上的复杂程度。
移动盘子,移动箱子
尽管存在法律问题,但值得注意的是,许多因素可以决定执法部门恢复已删除文件的难易程度。其中包括正在使用的磁盘类型、加密是否到位以及驱动器的文件系统。
以硬盘为例。尽管高速固态驱动器(ssd)已经在很大程度上超越了这一点,但在过去30多年中,机械硬盘驱动器(hdd)一直是主要的存储机制。
硬盘使用磁碟来存储数据。如果你曾经拆卸过硬盘,你可能会发现它们看起来有点像CD。它们是圆形的,银色的。
在使用时,这些盘片以难以置信的速度旋转,通常是5400或7200转/分,在某些情况下,速度高达15000转/分。与这些盘片相连的是执行读写操作的特殊“磁头”。将文件保存到驱动器时,此“磁头”会移动到盘片的特定部分,并将电流转换为磁场,从而改变盘片的属性。
但它怎么知道去哪里?嗯,它看一个叫做分配表的东西,它包含了磁盘上存储的每个文件的记录。但是当一个文件被删除时会发生什么呢?
简单的答案是什么?不多。
答案很长:该文件的记录将被删除,从而允许稍后覆盖它在硬盘上占用的空间。然而,这些数据仍然物理地存在于磁碟上,只有当新的数据被添加到磁碟上的特定位置时,才会被真正删除。
毕竟,删除它需要磁头物理地移动到盘片上的那个位置并覆盖它。这可能会妨碍其他应用程序,降低计算机的性能。就硬盘而言,假装删除的文件根本不存在更简单。
这使得恢复删除的文件更容易执法。他们只需要在分配表中重新创建缺失的部分,这可以通过免费工具完成,包括Recuva。
相关:如何恢复删除的文件:最终指南
固体(状态)如岩石
当然,固态硬盘是不同的。它们不包含运动部件。取而代之的是,文件被表示为由数以万亿计的微型浮栅晶体管所持有的电子。总的来说,这些结合起来形成NAND闪存芯片。
SSD与HDD有一些相似之处,因为文件只有在被覆盖时才会被删除。然而,一些关键的差异不可避免地使计算机取证专业人员的工作复杂化。和hdd一样,ssd也以块的形式组织数据,大小因**商而异。
这里的关键区别在于,SSD要写入数据,块必须完全没有内容。为了确保SSD具有恒定的可用块流,计算机发出一个称为“TRIM命令”的命令,通知SSD哪些块不再需要。
对于调查人员来说,这意味着当他们试图在SSD上查找已删除的文件时,他们可能会发现驱动器无意中将这些文件放在了他们够不着的地方。
SSD还可以将文件分散在驱动器的多个块上,以减少日常使用中产生的磨损量。因为SSD只能承受有限的写入次数,所以它们必须分布在整个驱动器中,而不是在一个小的位置。这项技术被称为磨损均衡,并已被称为使生活艰难的数字取证专业人士。
还有一个事实是,固态硬盘通常很难成像,因为你通常无法从设备上移除它们。
尽管硬盘驱动器几乎总是可更换的,并通过标准接口(如IDE或SATA)连接,但一些笔记本电脑**商选择将存储器物理焊接到机器主板上。对于执法人员来说,用一种可靠的方法提取内容要困难得多。
真正的并发症
所以,总而言之:是的,执法部门可以检索你删除的文件。然而,存储技术的进步和广泛的加密使事情变得有些复杂。
然而,技术问题往往是可以克服的。说到数字调查,执法部门面临的最大挑战不是SSD驱动器的机制,而是它们缺乏资源。
没有足够训练有素的专业人员来做这项工作。最终的结果是,世界各地的许多警察部队都面临着大量未经处理的**、笔记本电脑和服务器的积压。
《英国时报》的《信息自由法案》要求《****》显示,英国和威尔士的32支警力有12000多套设备有待审查。在那里处理设备的时间各不相同,从一个月到一年多不等。
这会产生后果。任何公平的刑事司法制度的基石都是被告人能得到迅速的审判。俗话说,拖延正义就是拒绝正义。这一原则非常重要,甚至在美国宪法第六修正案中也有体现。
可悲的是,如果军队不把更多的钱花在招募和训练上,这不是一个容易解决的问题。你不能用更多的技术来解决它。
