Удаленные файлы

Многие пользователи компьютеров верят, что удаления фай­ла, например из Windows Explorer, достаточно для предотвращения того, чтобы к этому файлу в будущем получил доступ кто-то другой (особенно если еще очистить «Recycle Bin»).

Если «удаленные» данные все еще физически присутствуют в системе, как мы можем найти их? Если нам повезет, может все еще существовать ссылка операционной системы на это место, что мы можем и использовать. В ранних системах Windows эта ссылка мог­ла находиться в File Allocation Table, в более поздних - в Master File Table. Если ее нет, но у нас есть представление о том, что мы ищем, можно использовать процедуру совпадения комбинации (pattern matching). Совпадение комбинации можно использовать для поиска местонахождения определенных слов или фраз (например наркоти­ки или оружие) или характеристик файла, таких, как специфические комбинации в начале файла, известные как «заголовок файла», кото­рые идентифицируют определенные типы файлов.

Recycle Bin

Recycle Bin, упомянутый выше, который существует в опера­ционных системах Windows, действует как промежуточное храни­лище удаленных пользователем файлов, которые затем могут быть восстановлены пользователем, если потребуется.

Иногда удаление данных происходит в приложении, отличном от файлового менеджера, например при удалении электронного письма из программы почтового клиента. В этих случаях легкость восстановления удаленных данных в большей мере зависит от того, как они хранились внутри приложения и какие средства доступны для восстановления. Эти средства могут предоставляться произво­дителем приложения, или, что бывает чаще, могут существовать не­большие утилиты, написанные теми, кто работает в области компью­терной экспертизы.

В ситуациях, когда подозреваемый больше не нуждается в досту­пе в систему и хочет сокрыть часть или все данные, содержащиеся в ней, он может удалить раздел и/или отформатировать диск в попыт­ке стереть все сохраненные данные. Однако это является довольно распространенной ошибкой, и хотя процедура удаления раздела или форматирования диска действительно может перезаписать некоторые важные области, она не уничтожит все существующие данные.

Пользователи, которые хотят хранить данные, но скрыть при этом их истинную природу, могут делать это несколькими различ­ными путями. Один из простейших - простое изменение имени и/или расширения файла. Так, файл, имеющий имя «naughty.jpg» в попытке избежать подозрения может превратиться в «sales.txt». И если изменение имени файла перед расширением может ввести в заблуждение, то изменение расширения можно обнаружить через процедуру анализа сигнатур. Так же как можно искать определен­ный тип файла по его заголовку, можно искать различие между заго­ловком файла и его расширением (другими словами, между тем, что файл из себя представляет, и чем он хочет выглядеть). Когда обнару­живается несовпадение, это может служить сигналом для исследова­телей, что требуется более детальный анализ файла.