<<
>>

Удаленные файлы

Многие пользователи компьютеров верят, что удаления фай­ла, например из Windows Explorer, достаточно для предотвращения того, чтобы к этому файлу в будущем получил доступ кто-то другой (особенно если еще очистить «Recycle Bin»).

К счастью для компью­терных экспертов, удаление файла таким способом оставляет воз­можность для восстановления данных. Это связано с тем, что когда файл удаляется, сами данные при этом сохранятся в системе. Опера­ционная система просто помечает файл как удаленный, и простран­ство на диске, занимаемое этим файлом, становится доступным для хранения других данных. Пока эта область не будет перезаписана, данные, принадлежащие удаленному файлу, остаются на диске. Ис­пользуя соответствующие инструменты и методику, данные можно восстановить. Даже в случаях, когда эта область на диске перезапи­сывается данными из другого файла, но исходный файл перезаписан не полностью, все еще остается возможность восстановить часть удаленного файла.

Если «удаленные» данные все еще физически присутствуют в системе, как мы можем найти их? Если нам повезет, может все еще существовать ссылка операционной системы на это место, что мы можем и использовать. В ранних системах Windows эта ссылка мог­ла находиться в File Allocation Table, в более поздних - в Master File Table. Если ее нет, но у нас есть представление о том, что мы ищем, можно использовать процедуру совпадения комбинации (pattern matching). Совпадение комбинации можно использовать для поиска местонахождения определенных слов или фраз (например наркоти­ки или оружие) или характеристик файла, таких, как специфические комбинации в начале файла, известные как «заголовок файла», кото­рые идентифицируют определенные типы файлов.

Recycle Bin

Recycle Bin, упомянутый выше, который существует в опера­ционных системах Windows, действует как промежуточное храни­лище удаленных пользователем файлов, которые затем могут быть восстановлены пользователем, если потребуется.

Recycle Bin пред­ставляет огромный интерес для компьютерных экспертов из-за на­личия специального файла, называемого INFO, или INFO2, который используется операционной системой для записи деталей о файлах, перемещенных в Recycle Bin. Среди других деталей в этом файле со­держатся исходное расположение файлов до удаления, а также дата и время их удаления. При очистке Recycle Bin этот файл удаляется вместе с остальными, но его содержимое можно восстановить спо­собом, описанным выше при условии, что оно не перезаписано дру­гим файлом.

Иногда удаление данных происходит в приложении, отличном от файлового менеджера, например при удалении электронного письма из программы почтового клиента. В этих случаях легкость восстановления удаленных данных в большей мере зависит от того, как они хранились внутри приложения и какие средства доступны для восстановления. Эти средства могут предоставляться произво­дителем приложения, или, что бывает чаще, могут существовать не­большие утилиты, написанные теми, кто работает в области компью­терной экспертизы.

В ситуациях, когда подозреваемый больше не нуждается в досту­пе в систему и хочет сокрыть часть или все данные, содержащиеся в ней, он может удалить раздел и/или отформатировать диск в попыт­ке стереть все сохраненные данные. Однако это является довольно распространенной ошибкой, и хотя процедура удаления раздела или форматирования диска действительно может перезаписать некоторые важные области, она не уничтожит все существующие данные.

Пользователи, которые хотят хранить данные, но скрыть при этом их истинную природу, могут делать это несколькими различ­ными путями. Один из простейших - простое изменение имени и/или расширения файла. Так, файл, имеющий имя «naughty.jpg» в попытке избежать подозрения может превратиться в «sales.txt». И если изменение имени файла перед расширением может ввести в заблуждение, то изменение расширения можно обнаружить через процедуру анализа сигнатур. Так же как можно искать определен­ный тип файла по его заголовку, можно искать различие между заго­ловком файла и его расширением (другими словами, между тем, что файл из себя представляет, и чем он хочет выглядеть). Когда обнару­живается несовпадение, это может служить сигналом для исследова­телей, что требуется более детальный анализ файла.

<< | >>
Источник: П.В. Лещев, Р.Р. Юлдашев. КРИМИНАЛИСТИКА: ИСПОЛЬЗОВАНИЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ В ЭКСПЕРТНЫХ ИССЛЕДОВАНИЯХ Учебное пособие. 2013

Еще по теме Удаленные файлы:

  1. 7.1. Как встречать милиционеров. Первые действия работников
  2. ПРОЕКТНАЯ ЗАДАЧА № 6. ЗАПУСК В ПРОИЗВОДСТВО
  3. ПРОЕКТНАЯ ЗАДАЧА № 8. ОБСЛУЖИВАНИЕ СИСТЕМЫ
  4. ПРОЕКТНАЯ ЗАДАЧА № 25. ВЗАИМОДЕЙСТВИЕ С ПОСТАВЩИКОМ
  5. 23.5 СРАВНИТЕЛЬНЫЙ АНАЛИЗ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ УПРАВЛЕНИЯ ПРОЕКТАМИ
  6. СПЕЦИФИКА КОММУНИКАЦИОННОГО ОБМЕНА ЗНАНИЯМИ (ПЕРЕДАЧИ ЗНАНИЙ)
  7. Принципы обучающихся организаций
  8. § 2.3. Технические и программные средства, применяемые экспертом для сбора и обработки необходимой ему информации
  9. §4.4 Идентификация средств звукозаписи
  10. 19.2. Личная информационная система
  11. 28.4. Класс судебных инженерно-технических экспертиз
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Акционерное право - Бюджетная система - Горное право‎ - Гражданский процесс - Гражданское право - Гражданское право зарубежных стран - Договорное право - Европейское право‎ - Жилищное право - Законы и кодексы - Избирательное право - Информационное право - Исполнительное производство - История политических учений - Коммерческое право - Конкурсное право - Конституционное право зарубежных стран - Конституционное право России - Криминалистика - Криминалистическая методика - Криминальная психология - Криминология - Международное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Образовательное право - Оперативно-розыскная деятельность - Права человека - Право интеллектуальной собственности - Право собственности - Право социального обеспечения - Право юридических лиц - Правовая статистика - Правоведение - Правовое обеспечение профессиональной деятельности - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Римское право - Семейное право - Социология права - Сравнительное правоведение - Страховое право - Судебная психиатрия - Судебная экспертиза - Судебное дело - Судебные и правоохранительные органы - Таможенное право - Теория и история государства и права - Транспортное право - Трудовое право - Уголовное право - Уголовный процесс - Философия права - Финансовое право - Экологическое право‎ - Ювенальное право - Юридическая антропология‎ - Юридическая периодика и сборники - Юридическая техника - Юридическая этика -