📜  恢复已删除的数字证据

📅  最后修改于: 2021-08-25 17:46:40             🧑  作者: Mango

根据一项调查,所有信息中有93%从未离开过数字形式。如今,大多数信息都是完全以数字形式创建,修改和使用的。这意味着大多数电子表格和数据库都永远不会在纸上书写,并且大多数数字快照都不会被打印。在本文中,我们将讨论恢复已删除的数字证据的方法和技术。

什么是数字证据?

数字证据是指法院一方可以在审判时以数字形式存储或传输的任何信息。数字证据可以是音频文件,语音记录,通讯录和联系人列表,各种程序的备份,包括对移动设备的备份,浏览器历史记录,Cookie,数据库,压缩的归档文件(ZIP,RAR等),包括加密的归档文件等。 。

被毁的证据

在刑事或网络犯罪案件中,破坏证据的尝试非常普遍。根据以下条件,这种尝试或多或少会成功:

  • 已采取措施销毁证据。
  • 有时间销毁证据。
  • 存储设备的类型,例如磁性硬盘驱动器,闪存卡或SSD驱动器。

在本节中,我们将讨论一些销毁证据的方法和恢复销毁证据的方法

删除的文件

删除文件是销毁证据的最简单,便捷和最重要的方法之一。无论是使用“删除”按钮还是“ Ctrl +删除”按钮。恢复已删除文件的原理是基于Windows在删除文件时不会擦除其内容的事实。而是将存储已删除文件在磁盘上确切位置的文件系统记录标记为“已删除”,然后将先前由已删除文件占用的磁盘空间标记为可用-但不会被零或其他数据覆盖。

  • 可以通过分析回收站的内容来检索已删除的文件,因为它们在被擦除之前被临时存储在回收站中。
  • 如果删除的文件在回收站中没有痕迹(如“ Ctrl + Delete”命令的情况),那么在这种情况下,您可以使用商业恢复工具来恢复已删除的证据。商业示例工具之一就是DiskInternals Partition Recovery。
  • 通过分析文件系统和/或扫描整个硬盘驱动器来寻找已知文件类型的特征签名,可以成功恢复:
    • 用户删除的文件。
    • Office文档的临时副本(包括此类文档的旧版本和修订版)。
    • 许多应用程序保存的临时文件。
    • 重命名文件。
  • 存储在已删除文件中的信息可以补充从其他来源收集的数据。例如,Skype中的“ chatsync”文件夹存储内部数据,其中可能包含用户对话的大块和几位。这意味着如果存在“ chatsync”文件夹,即使删除了Skype数据库,也可以恢复用户聊天。为此目的存在许多工具,例如Belkasoft证据中心2020。

格式化硬盘

从格式化的硬盘驱动器恢复数据取决于很多参数。可以使用数据雕刻技术或使用商业数据恢复工具从格式化的硬盘驱动器中恢复信息。
有两种可能的格式化硬盘的方法:完全格式化和快速格式化

全格式–顾名思义,这通过在要格式化的分区上创建新的文件系统来初始化磁盘,并检查磁盘中的坏扇区。在Windows Vista之前,全格式操作不会将要格式化的磁盘清零。取而代之的是,Windows会简单地逐扇区扫描磁盘表面扇区。不可靠的部门将被标记为“不良”。但是,在Vista和Windows 7中,全格式操作实际上将:

  • 擦拭干净的磁盘。
  • 将零写入磁盘。
  • 读回扇区以确保可靠性。

快速格式化–除了SSD以外,这永远不会造成破坏。磁盘格式只是通过在要格式化的分区上创建新的文件系统来初始化磁盘。可以使用支持数据雕刻的数据恢复工具之一来恢复使用快速格式化方法清除的磁盘中的信息。

SSD驱动器

SSD表示固态驱动器代表了一种新的存储技术。

  • 它们的运行速度比传统驱动器快得多。
  • 他们采用了完全不同的内部存储信息方式,这使销毁信息变得更加容易,恢复信息也更加困难。

SSD中的罪魁祸首是TRIM Command 。根据一项调查,TRIM使SSD在不到3分钟的时间内完全擦除了所有已删除的信息。这意味着,一旦操作系统将其标记为已删除,TRIM命令就会将所有信息有效地归零。而且,即使使用写阻止设备也无法防止TRIM命令的影响。

当我们尝试从SSD恢复已删除的数据,甚至从完全格式化或快速格式格式化的SSD中恢复任何信息时,传统方法都没有用。这意味着仅当未发出TRIM命令或至少一个组件不支持TRIM时,才能将传统方法用于SSD中的数据恢复。这些组件包括:

  • 操作系统版本: Windows Vista和Windows 7支持TRIM Command,另一方面,Windows XP和更早版本通常不支持TRIM Command。
  • 通信接口: SATA和eSATA支持TRIM,而通过USB,LAN或FireWire连接的外部机箱则不支持。
  • 文件系统: Windows在NTFS卷上支持TRIM,但在FAT格式的磁盘上不支持TRIM。另一方面,Linux在所有类型的卷(包括使用FAT格式化的卷)上都支持TRIM。

数据雕刻

雕刻是指对硬盘驱动器的整个内容进行精确定位和顺序检查。数据雕刻的概念与文件恢复完全不同。雕刻允许:

  • 标识可能会提示某些有趣的数据可以存储在磁盘上特定位置的特定签名或模式。
  • 找到各种原本不会可用的工件。

当寻找被破坏的证据时,数据雕刻确实是惊人的。在数据雕刻的情况下,研究人员无需依赖文件,因为文件可能会被部分覆盖,碎片化和散布在磁盘周围。当我们处理文本内容时,数据雕刻具有以下功能:

  • 文本信息最容易恢复。
  • 包含文本数据的块仅用属于代表字母,数字和符号的浅范围的数值填充。
  • 在雕刻文本数据时,研究人员必须考虑各种语言和文本编码。例如,土耳其语字符集与拉丁语不同,两者都与阿拉伯语,中文或韩文文字没有任何共同之处。
  • 查找每种支持的语言的文本时,必须考虑不同的编码。
  • 通过根据特定的语言和特定的编码来分析从磁盘读取的信息,通常可以检测文本信息。

对于二进制数据:

  • 二进制数据是非常随机的。
  • 通过计算不属于给定语言/编码组合的字符数,可以很容易地检测每个文本块的开头和结尾。
  • 一旦满足设置的阈值,就假定算法已到达给定文本块的末尾。

数据雕刻的局限性–

  • 并非所有格式的数据都可以被雕刻。
  • 数据雕刻基于寻找特征签名或模式。例如,JPEG文件的开头通常带有“ JFIF”签名,然后是文件头。 ZIP存档以“ PK”开头,PDF文件以“%PDF”开头。
  • 某些文件可以是真正的二进制文件,其标头中没有任何永久性签名。例如,QQ Messenger。
  • 在大多数情况下,基于文本的文件可能会成为一个问题,因为大量的纯文本文件可以存储在PC上。
  • 如果使用特殊算法用加密性强的随机数据填充敏感信息先前占用的磁盘空间,则不能使用数据雕刻。
  • 在“偏执狂”模式下,敏感信息会被覆盖数次,以至于无法获得最佳的洁净室类型。
  • 如果敏感信息没有存储在硬盘驱动器上,而是存储在RAM中。在这种情况下,数据雕刻是不可能的。这里唯一可行的选择是“ Live RAM Analysis”。
  • 数据雕刻在SSD中非常无用且不可能。