Коли Ви видаляєте файл із жорсткого диска комп’ютера, він ніколи не втрачається. Приклавши достатньо зусиль і технічної майстерності, часто вдається відновити документи та фотографії, які раніше вважалися знищеними. Це є корисним інструментом для правоохоронних органів, але як вони реально працюють? Читайте у статті.

Перш ніж перейти до теми, варто обговорити нудні процедурні та юридичні аспекти комп’ютерної криміналістики в контексті правоохоронних органів.

По-перше, давайте розвіємо старий міф про те, що правоохоронцю завжди потрібен ордер на огляд цифрового пристрою, наприклад телефону чи комп’ютера.

Багато юрисдикцій дозволяють митникам та імміграційним службовцям перевіряти електронні пристрої без дозволу. Прикордонники також іноді можуть досліджувати вміст пристроїв без ордеру. Зокрема, за певних обставин, коли є нагальна потреба – наприклад, у справі про тероризм.

Але в кінцевому підсумку, незалежно від того, “як”, коли пристрій захоплений, це являє собою початок тривалого процесу, який починається з того, що ноутбук або телефон виймають у поліетиленовий пакет, стійкий до несанкціонованого втручання.

Поліція повинна дотримуватися набору правил та процедур, щоб забезпечити допустимість доказів. Команди з комп’ютерної криміналістики документують кожен свій крок, щоб у разі потреби вони могли повторити ті самі кроки та досягти однакових результатів. Вони використовують специфічні інструменти для забезпечення цілісності файлів.

Незважаючи на юридичні проблеми, завжди цікаво відзначити безліч факторів, які можуть визначити простоту вилучення видалених файлів правоохоронними органами. До них відносяться тип використовуваного диска, чи мало місце шифрування, і файлова система диска.

Візьміть, наприклад, жорсткі диски. Хоча вони значною мірою були перевершені швидшими твердотільними накопичувачами (SSD), механічні накопичувачі жорсткого диска (HDD) були переважаючим механізмом зберігання протягом 30 років.

HDD використовували магнітні платівки для зберігання даних. Якщо ви коли-небудь розбирали жорсткий диск, Ви, напевно, спостерігали, як вони схожі на компакт-диски.

Під час використання вони обертаються з неймовірною швидкістю – зазвичай це 5400 або 7200 об/хв, а в деяких випадках – швидкістю 15000 об/хв. Спеціальні “головки” переміщується до певної частини диску і перетворюють електричний струм у магнітне поле, тим самим змінюючи властивості диску.

Але що відбувається при видаленні файлу?

Коли запис цього файлу видалено, він не зникає, залишається фізично присутніми. А видаляється він остаточно лише коли нові дані додаються до конкретного місця.

Зрештою, його видалення вимагатиме, щоб магнітна головка фізично перемістилася до того місця та перезаписала дані. Це може перешкоджати іншим програмам та уповільнювати роботу комп’ютера. Що стосується жорстких дисків, простіше просто робити вигляд, що видалені файли просто не існують.

Твердотільний накопичувач всередині портативного ПК

Звичайно, SSD бувають різні. Вони не містять рухомих частин. Натомість файли представлені у вигляді електронів, утримуваних трильйонами мікроскопічних плаваючих затворних транзисторів.  Вони спільно поєднуються, утворюючи флеш-чипи NAND.

SSD мають певну схожість з жорсткими дисками, оскільки файли видаляються лише коли вони перезаписані. Однак деякі ключові відмінності неминуче ускладнюють роботу фахівців з комп’ютерної криміналістики. Як і жорсткі диски, SSD впорядковують дані блоками, розміри яких залежать від виробників.

Ключова відмінність тут полягає в тому, що для запису даних на SSD блок повинен бути повністю порожнім від вмісту. Щоб переконатися, що на SSD є постійний потік доступних блоків, комп’ютер видає щось, що називається ” команда TRIM “, яка повідомляє SSD, які блоки більше не потрібні.

Для слідчих це означає, що, намагаючись знайти видалені файли на SSD, вони можуть виявити, що накопичувач невинно поставив їх далеко за межі їх досяжності.

SSD-диски також можуть розкидати файли в декілька блоків на диску, щоб зменшити кількість зносу, що виникає під час щоденного використання. Оскільки SSD можуть витримати лише обмежену кількість записів, важливо, щоб вони розподілялися через накопичувач, а не в невеликому місці. Ця технологія називається вирівнюванням зносу.

У той час як жорсткі диски майже завжди змінюються і підключаються через стандартні інтерфейси, наприклад IDE або SATA, деякі виробники ноутбуків вирішують фізично паяти накопичувач до материнської плати машини.

Отже, на закінчення: так, правоохоронні органи можуть отримати файли, які Ви видалили. Однак прогрес технології зберігання та шифрування дещо ускладнили завдання.

Однак технічні проблеми часто можна подолати. Що стосується цифрових розслідувань, то найбільша проблема, з якою стикаються правоохоронні органи, – це не механізми SSD-накопичувачів, а брак ресурсів.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ОГЛЯД УСІХ ПЛАНШЕТІВ ВІД APPLE: ЯКИЙ IPAD ВАРТИЙ ВАШОЇ УВАГИ?

ЯК ЛЕГКО ПЕРЕЙТИ З ANDROID НА IOS? ІНСТРУКЦІЯ

ЯК ШУКАТИ ТА ВІДКРИВАТИ БУДЬ-ЯКІ ФАЙЛИ НА ВАШОМУ КОМП’ЮТЕРІ ЧЕРЕЗ КОМАНДНИЙ РЯДОК?

ОГЛЯД П’ЯТИ ФУНКЦІЙ ANDROID 11, ЧЕРЕЗ ЯКІ ВАРТО ОНОВИТИСЯ

ЯК ПЕРЕВІРИТИ ОПЕРАТИВНУ ПАМ’ЯТЬ НА ПОМИЛКИ ТА ВИПРАВИТИ ЇХ? – ІНСТРУКЦІЯ

Нагадаємо, в Україні розпочав роботу новий електронний сервіс check.gov.ua, який дозволяє перевіряти оплату державних послуг онлайн без надання паперових квитанцій. За допомогою сервісу можна перевіряти квитанції в електронній формі, а не надавати їх в паперовому вигляді з мокрою печаткою до відповідних державних органів.

Зауважте, 39-річний мешканець села Олешник, що на Закарпатті, розробив шкідливе програмне забезпечення для зламу екаунтів користувачів соцмереж. Придбавши програму через створений чоловіком канал у загальнодоступному месенджері, та встановивши на свій гаджет, клієнти отримували змогу зламувати мережеві екаунти користувачів соцмереж.

Також Facebook тестує нову функцію для Messenger, яка дозволяє краще захищати Ваші повідомлення від сторонніх очей. Користувачеві потрібно буде підтвердити свою особу, використовуючи Face ID, Touch ID або свій пароль, перш ніж він зможе переглянути свою папку “Вхідні”, навіть якщо телефон уже розблокований.

Окрім цього, Twitter оголосив, що видалив понад 30 000 облікових записів, які проводили державну пропаганду. Ідентифікована як така, що належить Китаю, найбільша з трьох мереж містила 23 750 облікових записів. Мережа займалася цілою низкою маніпулятивних скоординованих заходів, в основному використовуючи різні китайські мови та діалекти для поширення геополітичних наративів, сприятливих для Комуністичної партії Китаю.

До речі, останні оновлення для Windows 10 підвищують безпеку платформи, але, на жаль, вони також містять неприємні помилки, які роблять неможливим друк, викликаючи збої у принтерів. Звіти користувачів на Reddit та форумі Microsoft Answers показують, що проблема стосується різних моделей принтерів HP, Canon, Panasonic, Brother та Ricoh.