법 집행 기관에서 삭제한 파일을 정말 복구할 수 있습니까?

컴퓨터의 하드 드라이브에서 파일을 삭제하면 파일이 사라지지 않습니다. 충분한 노력과 기술만 있으면 이전에 지워졌다고 생각했던 문서와 사진을 복구할 수 있는 경우가 많습니다. 이러한 컴퓨터 포렌식은 법 집행에 유용한 도구이지만 실제로 어떻게 작동합니까?

법적 기반 마련

기술적인 문제로 들어가기 전에 법 집행의 맥락에서 컴퓨터 포렌식의 지루한 절차적 및 법적 측면에 대해 논의할 가치가 있습니다.

먼저 법 집행관이 전화나 컴퓨터와 같은 디지털 장치를 조사하려면 항상 영장이 필요하다는 오래된 신화를 불식시켜 봅시다. 그런 경우가 많지만 법의 구조 내에서 많은 “허점”(더 나은 단어가 없기 때문에)을 찾을 수 있습니다.

영국 및 미국과 같은 많은 관할 구역에서는 세관 및 이민국 관리가 영장 없이 전자 기기를 검사하는 것을 허용합니다. 미국 국경 담당관은 영장 없이도 장치의 내용물을 조사할 수 있습니다. 2018년 11차 순회 판결.

미국 경찰과 비교할 때 영국 경찰은 판사나 치안판사에게 소송을 제기할 필요 없이 기기의 내용물을 압수할 수 있는 여유가 더 많은 경향이 있습니다. 예를 들어, 그들은 다음과 같은 법안을 사용하여 전화의 내용을 다운로드할 수 있습니다. 경찰 및 형사 증거법(PACE), 기소 여부와 상관없이. 그러나 경찰이 궁극적으로 내용을 조사하기로 결정하면 법원의 승인이 필요합니다.

법률 제정 또한 영국 경찰은 테러 사건과 같이 긴급한 필요가 있거나 아동이 성적 착취를 당할 수 있다는 진정한 두려움이 있는 특정 상황에서 영장 없이 기기를 조사할 권리를 부여합니다.

그러나 궁극적으로 “방법”에 관계없이 컴퓨터가 압수된 경우, 그것은 단지 랩톱이나 휴대폰을 변조 방지 비닐 봉투에서 꺼내는 것으로 시작하여 종종 증거가 제시되는 것으로 끝나는 긴 과정의 시작을 나타냅니다. 법정.

경찰은 증거의 가능성을 보장하기 위해 일련의 규칙과 절차를 준수해야 합니다. 컴퓨터 포렌식 팀은 필요한 경우 동일한 단계를 반복하고 동일한 결과를 얻을 수 있도록 모든 움직임을 문서화합니다. 그들은 파일의 무결성을 보장하기 위해 특정 도구를 사용합니다. 한 가지 예는 법의학 전문가가 조사 중인 증거를 부주의하게 수정하지 않고 정보를 추출할 수 있도록 설계된 “쓰기 차단기”입니다.

컴퓨터 포렌식 조사의 성공 여부를 결정하는 것은 기술적 정교함이 아니라 법적 근거와 절차적 엄격함입니다.

플래터 이동, 케이스 이동

법적 문제에도 불구하고, 법 집행 기관에서 삭제된 파일을 쉽게 복구할 수 있는지 여부를 결정할 수 있는 많은 요소에 주목하는 것은 항상 흥미롭습니다. 여기에는 사용 중인 디스크 유형, 암호화가 적용되었는지 여부, 드라이브의 파일 시스템이 포함됩니다.

예를 들어 하드 드라이브를 사용하십시오. 더 빠른 SSD(Solid-State Drive)가 이를 크게 앞질렀지만 기계식 하드 디스크 드라이브(HDD)는 30년 넘게 지배적인 스토리지 메커니즘이었습니다.

HDD는 자기 플래터를 사용하여 데이터를 저장했습니다. 하드 드라이브를 분해해 본 적이 있다면 CD처럼 보이는 모습을 본 적이 있을 것입니다. 원형이고 은색입니다.

사용 중일 때 이 플래터는 놀라운 속도로 회전합니다. 일반적으로 5,400 또는 7,200RPM이며 경우에 따라 15,000RPM만큼 빠릅니다. 이 플래터에는 읽기 및 쓰기 작업을 수행하는 특수 “헤드”가 연결되어 있습니다. 파일을 드라이브에 저장하면 이 “헤드”가 플래터의 특정 부분으로 이동하여 전류를 자기장으로 변환하여 플래터의 속성을 변경합니다.

그러나 어디로 가야 하는지 어떻게 알 수 있습니까? 글쎄, 그것은 디스크에 저장된 모든 파일의 레코드를 포함하는 할당 테이블이라는 것을 봅니다. 하지만 파일이 삭제되면 어떻게 됩니까?

짧은 대답? 별로.

긴 대답은 다음과 같습니다. 해당 파일의 레코드가 삭제되어 나중에 하드 드라이브에서 차지하는 공간을 덮어쓸 수 있습니다. 그러나 데이터는 마그네틱 플래터에 물리적으로 남아 있으며 플래터의 특정 위치에 새 데이터가 추가될 때만 실제로 삭제됩니다.

결국, 그것을 삭제하려면 자기 헤드가 플래터의 해당 위치로 물리적으로 이동하여 덮어써야 합니다. 이는 다른 응용 프로그램을 방해하고 컴퓨터 성능을 저하시킬 수 있습니다. 하드 드라이브에 관한 한 삭제된 파일이 존재하지 않는 척하는 것이 더 간단합니다.

따라서 법 집행 기관에서 삭제된 파일을 훨씬 쉽게 복구할 수 있습니다. 할당 테이블 내에서 누락된 부분을 다시 생성하기만 하면 됩니다. 이는 다음을 포함한 무료 도구로 수행할 수 있습니다. 레쿠바.

바위와 같은 고체(상태)

물론 SSD는 다릅니다. 움직이는 부품이 없습니다. 대신 파일은 수조 개의 미세한 플로팅 게이트 트랜지스터가 보유한 전자로 표시됩니다. 집합적으로 이들은 결합하여 NAND 플래시 칩을 형성합니다.

파일을 덮어쓸 때만 파일이 삭제된다는 점에서 SSD는 HDD와 몇 가지 유사합니다. 그러나 일부 주요 차이점은 필연적으로 컴퓨터 포렌식 전문가의 작업을 복잡하게 만듭니다. 그리고 HDD와 마찬가지로 SSD는 데이터를 블록 단위로 구성하며 제조업체마다 크기가 크게 다릅니다.

여기서 주요 차이점은 SSD가 데이터를 쓰려면 블록에 콘텐츠가 완전히 비어 있어야 한다는 것입니다. SSD에 사용 가능한 블록이 지속적으로 있는지 확인하기 위해 컴퓨터는 더 이상 필요하지 않은 블록을 SSD에 알려주는 “TRIM 명령”이라는 명령을 내립니다.

조사관에게 이는 SSD에서 삭제된 파일을 찾으려고 할 때 드라이브가 무고하게 파일을 손이 닿지 않는 곳에 둘 수 있음을 의미합니다.

SSD는 또한 드라이브의 여러 블록에 파일을 분산하여 일상적인 사용으로 인해 발생하는 마모를 줄일 수 있습니다. SSD는 제한된 수의 쓰기만 견딜 수 있기 때문에 작은 위치가 아니라 드라이브 전체에 분산되는 것이 중요합니다. 이 기술을 웨어 레벨링이라고 하며 디지털 포렌식 전문가의 삶을 힘들게 하는 것으로 알려져 있습니다.

그런 다음 SSD를 장치에서 물리적으로 제거할 수 없는 경우가 많기 때문에 SSD를 이미지화하기가 더 어렵다는 사실이 있습니다.

하드 드라이브는 거의 항상 교체할 수 있고 IDE 또는 SATA와 같은 표준 인터페이스를 통해 연결되지만 일부 랩톱 제조업체는 스토리지를 기계의 마더보드에 물리적으로 납땜하기로 선택합니다. 법 집행 전문가가 법의학적으로 건전한 방식으로 콘텐츠를 추출하는 것을 훨씬 더 어렵게 만듭니다.

실제 합병증

따라서 결론적으로 예, 법 집행 기관은 귀하가 삭제한 파일을 검색할 수 있습니다. 그러나 저장 기술의 발전과 광범위한 암호화로 인해 문제가 다소 복잡해졌습니다.

그러나 기술적인 문제는 종종 극복할 수 있습니다. 디지털 조사와 관련하여 법 집행 기관이 직면한 가장 큰 문제는 SSD 드라이브의 메커니즘이 아니라 리소스 부족입니다.

작업을 수행할 훈련된 전문가가 충분하지 않습니다. 그리고 최종 결과는 전 세계의 많은 경찰이 처리되지 않은 전화, 랩톱 및 서버의 엄청난 백로그에 직면해 있다는 것입니다.

영국 신문 타임즈의 정보 자유법 요청에 따르면 잉글랜드와 웨일즈 전역의 32개 경찰이 검사 대기 중인 12,000개 이상의 장치. 그곳에서 장치를 처리하는 데 걸리는 시간은 한 달에서 1년 이상까지 다양합니다.

그리고 그것은 결과를 가져옵니다. 모든 공정한 형사 사법 시스템의 근간은 피고인이 신속한 재판을 받을 수 있다는 것입니다. 지연된 정의는 정의가 부정된다는 말이 있듯이. 이 원칙은 근본적으로 매우 중요하여 미국 수정헌법 6조에도 명시되어 있습니다.

슬프게도 모집과 훈련에 군대가 더 많은 돈을 쓰지 않고도 쉽게 고칠 수 있는 문제는 아닙니다. 더 많은 기술로 해결할 수 없습니다.