每當舞弊犯發現,數位鑑識專家居然把他們最不想被發現的重要檔案,從電腦黑洞的深處挖出來時,心中一定都有一個疑問:奇怪我不是明明刪得乾乾淨淨了嗎?就像剛失戀的可憐人,明明已經下定決心忘了她(他),怎麼還是忘不了呢!
要回答這個問題之前,必須先了解檔案是怎麼被儲存跟管理的。在最普遍的微軟Windows環境中,所有的檔案資訊都儲存在一張「總表」中,上面紀錄了檔案的名稱、大小、所存放的位置、日期等重要資訊。因此,當你想找昨天熬夜辛苦做的簡報,或是前天同事寄來的超級大Excel,只要搜尋檔名,Windows就會透過「總表」,找到那個檔案儲存的位置,然後從硬碟中取出來給你。
不過,刪除就是另一回事了。即使你刪除了一個檔案,甚至到資源回收桶再刪一次,都只是在「總表」上把這個檔案的相關紀錄刪除,實體上這個檔案還是儲存在硬碟當中,根本沒被抹除,必須等到作業系統決定某個新的檔案,必需要儲存在「這個」空間時,才會把那個舊檔案給刪除。
假設一顆硬碟上的儲存空間,就如一個飯店的客房。每當有客人入住,飯店櫃檯就會在一個表格(總表)中登記,某號房目前有人住;而當客人離開時,則會在表格中註記某號房沒人住了,但卻完全不去打掃房間。拖到什麼時候才打掃呢?櫃台說有新客人要入住,而且指定要住某號房的時候!
再打個浪漫的比方。假設,每個人的心中都只有一個位置(好小的硬碟空間),戀愛的時候,那個人就會佔據那個位置,然後我們會在FB上標註穩定交往、大頭貼都換成合照、專屬情侶裝等等,恨不得昭告天下(在總表標註)。一旦分手了,我們就會更改FB感情狀態、刪除合照、通話紀錄、退回紀念品等(從總表刪除),但是心中那個位置,還是被那個人暫時佔據著(實體未刪除),直到下一個人出現。(新檔案寫入)
回到正題,會有這個機制的原因之一,是因為傳統硬碟(HDD)是磁盤跟讀寫頭組成,要定位檔案位置並進行讀取、刪除或寫入,磁盤會需要極高速轉動,讀寫頭也要一直移動並變更磁盤上的磁極(沒錯就是0與1),很花費力氣(頻繁儲存開啟大量檔案你就會聽得到硬碟的哀嚎聲)。因此,能不動就不動,檔案先不刪,等真的要用再處理就好,就像前述的飯店,一個偷懶到極致,絕不浪費一絲一毫力氣的概念!
而這樣的特性自然也被數位鑑識軟體拿來使用,它們不會被總表所唬弄,而是直接掃描硬碟中還有哪些檔案,自然就很有機會發現那些被刪除的資料呢!(而且通常被刪除的都是好料)
可惜的是,這樣的好康在固態硬碟(SSD)出現後,變得比較困難。因為大多數的SSD中,都會定期清除已經在總表中被標示為刪除的檔案,就像是會定期打掃房間的飯店,或是愛恨分明的天蠍座一樣。
舞弊犯也別高興太早,不以為換成SSD就沒事,數位鑑識的工具與採證方式一直再進化,並不會遇到SSD就束手無策唷!