Удаление файлов, повреждение файловой системы, форматирование разделов — все это привычные сценарии, с которыми сталкивается специалист в области цифровой криминалистики. Ему важно не только зафиксировать факт потери информации, но и попытаться восстановить ее. Программа «Мобильный Криминалист» предоставляет два разных инструмента: восстановление удаленных файлов и файловый карвинг*. Оба метода позволяют получить доступ к утерянным данным, но работают по-разному и подходят для различных задач. В этой статье мы разберемся, как они реализованы в модуле «МК Скаут» и в каких ситуациях каждый из них наиболее эффективен.
Что на самом деле происходит при удалении файла
Удаление файла в большинстве файловых систем не означает немедленного стирания его содержимого с диска. Как правило, система просто помечает пространство, где находился файл, как «свободное» для последующей записи. До момента, когда это пространство будет занято другими данными, информация остается доступной — при условии использования правильных инструментов. На этом принципе и основана функция восстановления: она ищет «удаленные» записи в файловых таблицах и восстанавливает связанное с ними содержимое.
Удален — не значит, исчез
Функционал восстановления удаленных файлов реализован в «МК Скаут» и предназначен для работы с доступными файловыми системами: FAT16, FAT32, exFAT и NTFS. Он особенно эффективен, если данные были удалены недавно и структура файловой системы не нарушена. Опция используется при исследовании как образов, так и внешних накопителей. Также она может быть актуальна при работе с запущенными системами, но только в том случае, если модулю предоставлены повышенные привилегии — без них он не сможет получить низкоуровневый доступ к памяти устройства.
Функция восстановления удаленных файлов — это классический инструмент цифровой криминалистики. Записи о ранее существовавших, но удаленных файлах могут сохраняться в системных таблицах (например, в FAT или NTFS) даже после удаления самого файла, и именно они становятся отправной точкой для восстановления.
В «Мобильном Криминалисте» пользователь может включить автоматическое восстановление по умолчанию или активировать функцию восстановления данных вручную по необходимости. При этом восстановленные файлы автоматически включаются в общий список найденных объектов. Если такие файлы связаны с каким-либо приложением, это позволит увидеть более полную картину. Также в конфигураторе профилей поиска предусмотрена возможность задать отдельное условие фильтрации по восстановленным файлам.
Такой подход удобен своей точностью: если запись о файле сохранилась, то восстановление предоставляет полный объем информации. Однако он не эффективен, если таблицы файловой системы повреждены или перезаписаны. В этих случаях на помощь приходит карвинг — метод, основанный на поиске файлов по сигнатурам, характерным для их начала или структуры.
Файловый карвинг: план Б
В модуле «МК Скаут» программы «МК Десктоп» реализована поддержка карвинга файлов для файловой системы NTFS. Поддерживаются форматы: JSON, XML, INI, YAML, RTF, обычные текстовые файлы, а также системные артефакты Windows — такие как Prefetch и LNK. Это особенно важно при изучении активности владельца исследуемого устройства в системе.
Для активации опции на этапе настройки профиля поиска необходимо отметить диски и разделы, для которых планируется применить карвинг, а затем во вкладке «Файлы» конфигуратора можно указать, какие типы данных будут ему подлежать.
Файлы, найденные методом карвинга, сохраняются в отдельную директорию, имя которой формируется по смещению сектора. Это помогает понять физическое расположение объекта на диске. Временные метки у таких файлов отсутствуют, так как они недоступны вне структуры файловой системы. Программа, при возможности, определяет тип содержимого, и если он соответствует одному из поддерживаемых форматов, отображает его корректно (например, как JSON или XML). По итогам поиска, строка с восстановленными карвингом файлами отмечается специальной иконкой.
Восстановление Prefetch-файлов позволяет получить информацию о запуске исполняемых файлов в операционной системе Windows, включая уже удаленные. Это полезно, например, при анализе активности программ, использовавшихся для маскировки следов. Аналогично, найденные LNK-файлы содержат информацию о документах и приложениях, с которыми работал владелец исследуемого устройства. Текстовые файлы, извлеченные методом карвинга, также представляют ценность — они могут содержать фрагменты переписки, конфигурации или логов и другие данные, позволяющие восстановить контекст действий владельца устройства.
Сценарии применения: что и когда использовать
Выбор между восстановлением и карвингом зависит от состояния исследуемого носителя и целей анализа. Если структура файловой системы сохранена, целесообразно сначала попытаться восстановить файлы. Этот метод обеспечивает извлечение файлов вместе с их метаданными (при наличии), что особенно полезно для временного анализа и подготовки отчетов.
Однако важно учитывать, что восстановление удаленных файлов — это вероятностный процесс. Возможны ситуации, когда файл все еще физически присутствует на диске, но не обнаруживается, поскольку его запись в файловой таблице была перезаписана или повреждена. Бывает и обратная ситуация: структура файла восстанавливается (например, имя и путь), но содержимое уже частично или полностью замещено другими данными. В таких случаях восстановленный файл может оказаться неполным или поврежденным.
Именно поэтому в реальной практике оба метода — восстановление и карвинг — часто применяются совместно: сначала используется восстановление как способ извлечения доступных файлов, затем — карвинг, позволяющий заглянуть в неиспользуемые области диска.
Для наглядности, ключевые различия между подходами представлены в таблице:
Особенности реализации в «Мобильном Криминалисте»
Таким образом, восстановление удаленных файлов и файловый карвинг — это не альтернативные, а взаимодополняющие подходы к извлечению данных в криминалистике. Поддержка обоих методов в модуле «Мобильного Криминалиста» «МК Скаут» реализована с акцентом на практическое применение и удобство. Пользователь может запускать их в рамках одного поискового профиля*. Вместе они позволяют извлечь максимум информации из цифровых носителей, даже если на первый взгляд кажется, что все потеряно.
* Карвинг доступен только в «МК Десктоп».
Таким образом, восстановление удаленных файлов и файловый карвинг — это не альтернативные, а взаимодополняющие подходы к извлечению данных в криминалистике. Поддержка обоих методов в модуле «Мобильного Криминалиста» «МК Скаут» реализована с акцентом на практическое применение и удобство. Пользователь может запускать их в рамках одного поискового профиля*. Вместе они позволяют извлечь максимум информации из цифровых носителей, даже если на первый взгляд кажется, что все потеряно.
* Карвинг доступен только в «МК Десктоп».
