磁碟格式化檔案就沒了嗎？數位鑑識如何找回失落的檔案？

• 慕容峰│從事數位鑑識工作多年，在分析證物的過程中，彷佛側耳傾聽證物娓娓道來一般，同時審慎客觀地仔細分析察看，即便是旁枝末節也不輕易放過，浸淫其中而樂此不疲。

當提到不小心刪除檔案了，多數人的直覺反應會是「完蛋了」，接下來的念頭通常是「還救的回來嗎？」在回答這個問題之前，先讓要大家了解的是，當檔案被建立或刪除時，背後的處理機制有何玄機。

檔案系統的機制就像是餐廳的訂位系統

儘管檔案系統（File System）的種類眾多，常見的如 FAT、NTFS、Ext2/3/4、HFS/HFS+，但以數位鑑識的觀點來看待這些檔案系統，當掌握了其特性之後，你會發現它們其實很單純，皆是有著猶如餐廳訂位系統般的運作機制。

大家應該都有在餐廳訂位的經驗，當訂位完成時，訂位系統已註記了你所預訂的是哪一廳的哪些座次，這就與檔案系統的機制不謀而合。為了單純化起見，以下就以 FAT 這個檔案系統為例以有效地說明。

當檔案被建立時，檔案系統會記錄此檔案的相關屬性值及儲存資料內容。而存放資料內容的基本單位，便是所謂的「cluster」，我們可以把它想像成是一個個的容器，即猶如一個個的餐廳座位一樣。當檔案愈大，就好比是聚餐的參與者愈多，需要更多的座位一般，檔案系統就會為其配置更多的 cluster以存放該檔案的資料內容。

此外還會在「directory entry」記錄此檔案的檔案名稱、副檔名、起始 cluster 號碼，及檔案大小等屬性值。並於FAT表註記該檔案所佔用的 cluster 編號是幾號到幾號。此一目的在於標記這些 cluster 已被佔用，就像是餐廳的座位若已被訂走就無法將其再開放讓其它人來訂一樣，如此才能確保檔案系統運作順遂。

當然了，一個資料量很大的檔案所佔用的 cluster 號碼可不見得是連號的哦，這部份亦可由FAT表中看出端倪。就算不是連號各位也不用為檔案系統操心，在FAT表中的記錄足可以串連出一個檔案所佔用的所有 cluster 無誤。

如下圖所示，D槽的磁碟標籤為「Disk」，目前裡頭有 2 個檔案，分別為「file1.txt」及「_News.txt」，留意一下 2 個檔案的大小。由於txt是明文形式的檔案內容，以這種純文字檔來為各位說明最是簡明易懂。

或許有人會有疑問，怎知道這 2 個檔案各是佔用了多少 cluster 呢？沒錯，這就牽涉到 D 槽在格式化之初，所選擇的「配置單位大小」。下圖便是 D槽這個分區目前的配置狀況，由「Bytes per cluster: 2048」可清楚的得知一個 cluster 的大小是 2048 bytes，至於「sector」在此暫不論及，以免讀者們混淆不清就更是摸不著頭緒了。

我們就先來看看 file1.txt 好了，使用hex editor工具來查看 D 槽，file1.txt的資料內容及hex值如下圖所示，而其檔案大小為0.6KB，對照前述D槽的cluster資訊，便可輕易推導出file1.txt只佔用了一個cluster。

那要如何得知它佔用的是哪一個cluster呢？接著我們來看一下directory entry，如下圖所示，紅色框住部份便是file1.txt的相關屬性記錄，而其中綠色框住部份的「02 00」，便是此檔案的起始cluster號碼，由於其為Little Endian的定序。經轉換後得知file1.txt的起始cluster號碼為「2」。

接著我們便可定位到FAT表中的cluster 2，如下圖紅色框住部份所示的值，即是file1.txt這個檔案在檔案系統中的「訂位記錄」了。

但由於這檔案很小僅佔用了一個cluster，我們再看看_News.txt有何不同。_News.txt的文本內容及hex值如下圖所示，此檔案的大小為2.9KB。

聰明的讀者們至此應該已經知道了，它佔用了一個以上的cluster，那要如何得知它佔用了哪些個cluster呢？如同前述的作法，我們要先得知它的起始cluster才行。來看一下它的directory entry便知道了，如下圖所示，_News.txt的起始cluster號碼是「5」。

再定位到FAT表中的cluster 5，如下圖紅色框住部份所示的值，其中「06 00」即表示它不僅佔用了cluster 5，同時也佔用了cluster 6。而其後的「FF FF」即表示結尾之意。

或許會有讀者感到好奇，file1.txt的起始cluster是2，且它只佔用一個cluster，而_News.txt的起始cluster卻是5，為何不是3呢？原因很簡單，因為cluster 3及cluster 4早就被佔用了，如下圖所示，佔用這2個cluster的分別是資源回收筒及其下的檔案desktop.ini。

刪除檔案所產生的變化

那刪除檔案會產生何種變化呢？如同餐廳訂位系統一樣，若用餐畢離席時，原本被佔用的座位就可以空了出來，再開放給其它人訂位。我們就來看一下把file1.txt及_News.txt 刪除之後的變化，如下圖所示，此時 D 槽在檔案總管中已空無一物。

若查看 file1.txt的 directory entry，發現 file1.txt 的檔案名稱已變的不易辨識，沒錯，原因即就在於下圖紅色框住的值已變成了「E5」之故。

那麼 _News.txt 是不是也有相同的變化呢？是的，其directory entry的起始值也變成了「E5」，這便是FAT檔案系統中檔案遭到刪除後所呈現的特徵值。

值得留意的是，除此之外，其它像是副檔名、起始 cluster、檔案大小等屬性值並未受到影響。但是，剛為各位說明了這 2 個檔案既被刪除，其原本佔用的cluster就該釋出而不能繼續佔用了，我們接著觀察一下 FAT 表是否有相應的變化。如下圖紅色框住部份所示，沒錯，這 2 個檔案本來佔用的 cluster 皆已被註記為「00 00」，代表已釋出，那些cluster可再被其它新進來的檔案去佔用了。

當然了，一般人最關心的仍是，有沒有機會救回這 2 個檔案的原有資料內容呢？答案是「有機會」的，只要是在尚未被新資料內容給覆蓋之前，都有機會可救回。下圖所示便是 file1.txt 的資料內容，目前仍完好如初。

再看_News.txt的內容如下圖所示，亦是完好如初。因為當刪除檔案之時，資料本體尚在，只是儲存資料的容器遭釋出可允許新資料寫入。這也就是我們常說的，傳統硬碟（SSD除外）的資料救援有著較高的成功機率之故。

但要留意的是，究竟是比較早刪還是比較晚刪的檔案內容易遭到覆蓋，則未有定論，畢竟這是作業系統及檔案系統在進行處理，非人為能夠介入決定。

數位鑑識是一門嚴謹的科學，當鑑識人員對電子跡證的本質有了更深入的了解，便能在需要對證物中的遭刪除資料進行回復時，採取穩當而有效的措施。

參考資料

• Forensic Wiki – FAT
• Forensic Wiki – Recovering deleted data
• Forensic Wiki – Little endian

在上集的李世光老師說故事中，NASA的工程師以「If you cannot fight it, join it」的思維出發，聰明地捨棄柏油和水泥，為承載火箭的履帶車鋪了一條不容易產生皺摺（corrugation）、又能輕鬆整理的石頭路，火箭才能夠一路平穩地從棚廠前往發射台，背著人類的太空夢飛向宇宙。

在1970年代，NASA工程師為了避免地面的皺摺改變了鋪路的材料，到了1980年代，車道上的皺褶也讓深陷磁碟機出廠危機的IBM科學家找到解決方法，讓磁碟機的性能持續提升，迅速全面取代磁帶機在電腦記憶體的地位，並且促進商業資訊的連結。所以corrugation是個考試必考的重要的現象嗎？No no（搖手指），他們從生活現象聯想到的解決辦法，是在說明科普知識對科學家來說有多重要！這故事要從磁帶機和磁碟機的身世說起，很久很久以前……

Think Out of the Box，磁碟機海放磁帶機

電腦使用磁帶機的歷史可以追朔到1950年代初期，發明於1928年的磁帶是一條又長又軟的塑膠帶，上面有用來存資料的磁性物質，磁帶機讀取或改寫磁帶上的資料時，就像拉開一條捲尺尋找某個刻度，如果要修改一次資料，就要捲動一段長長的磁帶才能找到資料存放的位置；在家用電腦開始普及的1980年代，當時最先進的磁帶機運轉速度可以達到超過音速的每秒350公尺以上！假設某筆資料存在磁帶的1000公尺處，只要約三秒鐘就可以讀到資料，這種比超音速飛機還快的驚人速度，「以科技的角度來看，實在很不得了！」李老師說。

雖然磁帶機已經加足馬力跑到音速，但三秒鐘讀一筆資料的速度對一秒鐘幾十萬上下的商業市場來說還是太緩慢了。想像你去銀行要存入現金到自己的帳戶，銀行電腦中已經有你的身分證字號、帳號、存款金額等資料，現在要將原本存款的1000萬增加為1001萬元，僅僅是更動這一個數字，就要等電腦跑3秒鐘，如此低速的系統絕對無法用來建構做為今日商業行為基礎的關聯性資料庫（Relational Database），這個高速運轉的世界需要更快速的記憶體。

時間到了1980年代末期，另一種形式的記憶體——磁碟機自1956年誕生於IBM後，也歷經了30年的進步，尋覓時間（seek time）縮短到14毫秒，表示磁頭從靜止、以400倍重力加速度來加速移動到資料儲存的位置，再以同樣驚人的減速度來讓磁頭停止到震動不影響資料讀取的狀態，平均只需要約百分之一秒，相較於磁帶機讀取資料所需的3秒，磁碟機簡直快到讓磁帶機看不到車尾燈。其實磁碟機的磁頭飛行時最大速率遠不及磁帶機的音速，只有不到10m/s，其迅速讀取資料的原因不是移動速度，而是幾何結構的改變：從磁帶的一維結構（線）變成磁碟片的二維結構（面），以旋轉的磁碟片搭配在上面左右擺動的磁頭，就能隨意讀取資料，不需要從頭開始尋找存取位置，讓磁碟機成為歷史上第一個大量商業化的隨機存取記憶裝置，也逐漸取代磁帶機的地位。「『Think out of the box』是很重要的，磁帶機跟磁碟機的競爭就是這樣。」李老師說。

出廠危機挑戰科學家的科普力

1980年代末期，在IBM宣布最新型磁碟機3390即將誕生後，包括台灣11家新設立的銀行，全世界都在引頸期盼，希望這個高速的記憶體能促進商業資料的連結，然而3390在正式出廠的前夕卻發生重大危機，3390幾乎難產。

「我們預計產品壽命要有7年，但出廠前估算出來產品壽命卻只有3個月！」李老師眉頭一皺，「這個產品有多值錢呢？IBM一年可以靠它賺幾十億美金！」平均出貨時間延遲一天就等於幾億台幣的營利損失，研發部門的科學家全部上緊發條，想辦法盡快排除問題。3390有以下幾個異常現象：

1. 碟片上有磁頭撞擊的規律損害。
2. 碟片上的潤滑油產生規律的油滴。
3. 磁頭黏在磁碟上，無法起飛。

若說磁帶機的成敗在磁帶的轉速，那磁碟機的奧秘就是如何讓磁頭跟碟片維持微妙的距離。磁碟機的主角是磁頭和碟片，存放資料的碟片是金屬的圓形薄片，上面鑲滿奈米等級的「小磁鐵」，資料的磁頭上有微小線圈能產生磁場，磁頭發出的磁場會改變碟片上小磁鐵的方向，電腦則把每個磁場方向的改變轉化為自己的語言：0 和 1。3390的磁頭以數十奈米的高度懸浮在碟片上空，這個飛行高度跟空氣分子間的平均間距相去不遠。為什麼要靠這麼近呢？由於距離會影響磁場大小，磁頭跟碟片靠得越近，碟片感應到的磁場面積越小，同樣面積的碟片上資訊就越密集，所以科學家要讓磁頭如下雨前的燕子一般低飛在碟片表面，盡可能提高磁碟的空間儲存密度。

要讓磁頭如燕子般優雅的飛行需要非常精密的高科技。碟片旋轉時會上下震動，以3390來說，碟片旋轉時的上下震動幅度約一兩萬奈米，而磁頭要隨時跟起起伏伏的碟片保持幾十奈米的距離，以流體力學的角度來看，難度就像駕駛波音747客機飛行在台大校園內，隨時跟地面建築物的屋頂保持 3 公尺高的距離，舉例而言，在椰林大道上低飛，遇到圖書館需要立即飛高，若一個不小心，就會撞到建築物，造成校園（碟片）和飛機（磁頭）的損傷。

由於磁碟機的構造，科學家可以理解為什麼磁頭會撞上碟片，但碟片上有打水漂痕跡般的規律損害卻讓他們百思不解。這個問題早在1980年代初期就發生過，研究團隊曾想出多種可能的原因，但都被一一否決了，科學家猛盯著磁碟機看了好幾個月，最後解開謎題的卻是數學部門的經理。這位數學和力學領域的專家摸著下巴端詳碟片的損傷，腦中閃過公車道上的皺褶（ corrugation ），察覺兩者有異曲同工之妙，於是他用磁頭阻尼器的共振頻率、速度等項目，計算磁頭撞擊磁碟片後彈跳的距離是否與事實相符，就以半張紙篇幅的算式證明了這個假設。

慢著，corrugation看起來頗眼熟，但公車道跟磁碟片有什麼關係？在得到答案前，可以先想想，為什麼台北市的公車專用道常是鋪水泥而不是柏油呢？為什麼有些馬路在紅綠燈前的路段會有謎樣的波浪？

當車子在紅綠燈前煞車，輪胎忽然擠壓柏油，會造成地面微微的凸起，下一台車經過這兒，就會彈起來，咚、咚、咚的往前撞擊地面直到靜止，而大部分車子的軸承、軸距（前後輪距離）、阻尼器（避震器）、車速、輪胎氣壓都差不多，所以車子往前彈跳的距離也差不多，經過多次的重複撞擊，地面就從上一個小小凸起漸漸變成一排波浪。公車道上的車種和停靠位置都很相似，公車停靠次數多，更容易產生地面皺摺，所以才會以水泥取代柏油，避免平坦的公車道變成崎嶇的天堂路。而碟片上的規則性損傷，就是貼地飛行的磁頭撞上碟片後往前跳動產生的結果。

專門研究磁碟機的科學家沒有想到地面皺褶跟碟片損傷的相似之處，反而是擁有力學知識的數學家突破了盲點，「其實那個人也不怎麼懂什麼是磁碟機，」李老師說，「跨領域的知識背後最強大的基礎經常是科普。」

磁頭飛行在碟片上方的高度只有數十奈米，單純以尺寸來思考，這就表示即使是一顆病毒入侵也可能會讓磁頭卡住。如同車子在柏油路上產生的顛簸，磁頭在碟片上產生第一個撞擊後會繼續往前彈跳，在碟片上產生一連串的損傷，但除了磁頭撞擊碟片的傷害，工程師還發現碟片上有油滴以相同的規則排列，這又是為什麼呢？

碟片上有一層薄薄的潤滑油，磁頭因為震動過於靠近碟片有可能會沾上潤滑油，如果發生碟片撞擊，更是會沾上潤滑油，沾有潤滑油的磁頭往前跳動就在碟片上形成一連串的油滴；科學家進一步分析油滴的性質，發現3390所用的潤滑油竟然在使用一段時間後變成黏膠了！探究其原因，不是因為黑心廠商，而是空氣剪力和撞擊造成的。原來磁頭撞擊碟片會產生超達800℃的瞬間高溫，原先所採用的長鏈潤滑油分子在高溫或高剪力的作用下被分解成短鏈分子，也就產生了黏膠的性質，一旦潤滑油變成黏膠，磁頭降落在碟片上，當然就有可能黏住而無法起飛囉。

找到了問題的方向，就能找出解決方法。在與危機搏鬥了半年後，科學家終於解決了問題，將磁頭的飛行高度調高幾個奈米，降低撞擊機率又能維持相當的空間儲存密度；再更換潤滑油，一方面選擇分子鍵結更為強韌的潤滑油，以抵抗空氣的剪力作用，一方面讓潤滑油和碟片間的聚合力大於潤滑油和磁頭材料間的聚合力，油滴就不會黏上磁頭啦！3390的危機排除，正式上市後一天內，整年的產量就被搶購一空，科學家也終於能喘口氣了。

「出現大問題時，你解決問題的工具就是科普了。」——跨領域知識就是科普的具體延伸

IBM的科學家在解決出廠危機的這段日子裡每天都在跟時間和金錢賽跑，在強大的壓力下用過往累積的知識和經驗，迅速推理、歸納、篩選出可能的原因，「但其實多人或多錢不一定可以解決問題，因為你需要的是高品質的人，而且是能整合多領域、快速思考還要當場推論的人。出現這種大問題的時候不能用太複雜的思維，你身邊有學化學、電機、分子生物……不同背景的人，你要讓他們快速瞭解這個思路為什麼正確，這時候你唯一的工具就是科普了，當然我指的是更深入的那類科普，也就是跨領域的知識。」李老師說。

其實很多高科技產品發明的關鍵是非常基礎的知識，2010年的諾貝爾物理學獎得主Andre Geim和Konstantin Novoselov就曾靠著隨手可得的膠帶，從平凡的石墨中分離出材料界的超級巨星「石墨烯」（graphene）。石墨烯是碳原子排列出了六角形平面結構，石墨是由層層疊疊的石墨烯組成的，許多科學家原先認為單層的石墨烯無法穩定存在，但Geim跟Novoselov兩人卻成功的從石墨中取得單層的石墨烯，他們用的方法不太複雜，僅是以膠帶重複撕黏石墨，讓膠帶上的石墨越撕越薄，一直撕、一直撕、一直撕，撕到最後剩下一顆原子這麼厚，就得到石墨烯啦。另一項原子等級的發明「原子力顯微鏡」，當初竟不是誕生在精密的光學桌上，而是在科學家身上的吊帶！？預知詳情，請待下回分曉～

【極光片語】專欄收錄李世光老師的訪談，每一段小故事、小物件的背後，都有饒富趣味的科學道理。吉光片羽比喻殘存的珍貴文物，象徵李世光老師在科學研發的高昂志氣和人生智慧；傳說見到極光會帶給人一輩子的好運，期待讀者在本專欄得到的啟發，都能像看見極光般感動。

• 文／慕容峰│從事數位鑑識工作多年，在分析證物的過程中，彷佛側耳傾聽證物娓娓道來一般，同時審慎客觀地仔細分析察看，即便是旁枝末節也不輕易放過，浸淫其中而樂此不疲。

說起數位鑑識（Digital Forensics），多數人是丈二金剛摸不著頭，搞不清楚它是什麼來著。但只要提及熱門的 CSI 犯罪調查影集，大家便能心領神會，甚至還可以憶及相關橋段，引發熱烈討論。

磁碟格式化時會發生什麼事？

沒錯，只要是與電子跡證有關的，便是數位鑑識的範疇。而由於電子跡證具有易遭污染破壞的特性，因此，簡而言之，數位鑑識科學便是用嚴謹的程序及工具，對電子跡證進行提取並加以分析，以還原犯罪事實及手法的科學。

而在一椿涉及犯罪的調查案件中，任何具有儲存電子跡證的儲存媒體，例如手機、硬碟、隨身碟、CD/DVD、記憶卡等等，皆是不可輕忽的證物。以下且讓筆者以 Windows 平台為例，來為各位說明磁碟格式化的奧秘。

各位應該都有將硬碟或隨身碟進行磁碟格式化（disk formatting）的經驗，如下圖所示。

在真正開始進行前，還會彈出一個視窗讓使用者進行確認：

只見不一會兒功夫便完成格式化，會彈出如下圖的確認訊息。

被格式化後的分區之中，其原有的內容竟已不復存在，成了空空如也的狀態，如下圖所示。

由於格式化一個硬碟分區的效果，看起來就像是轉瞬間刪除掉該分區裡的資料夾及檔案一般。因此，在進行格式化前，使用者應該都會先確認已做好備份工作的前置作業，才會放心地進行格式化。

磁碟如何存放資料？「檔案系統」的秘密

在這看似已空無一物的硬碟分區之中，其實背後還藏著秘密。在此先賣個關子，且容我先為各位說明傳統硬碟與資料的關係。當使用者在電腦上建立檔案輸入內容時，傳統機械式硬碟如何儲存數據呢？由物理層面來看，是因為磁頭於磁盤上繪出正負極磁性不同的「圖畫」所致，這些便是使用者所儲存在硬碟中的資料。因此，要傾刻間徹底清除硬碟裡的所有資料，就必須要「消磁」。

而從邏輯層面來看，硬碟存放資料與「檔案系統」（Filesystem）有所關聯。舉凡你在檔案總管之中進行資料夾或檔案的增刪修改，皆是在檔案系統的機制下進行。我接下來以圖書館的書目館藏來做比喻，大家應該有到圖書館借書的經驗，通常到了館內，來到「檢索區」使用電腦進行書目館藏的查詢，便可知道你想要借的書是否在館內，且是位於哪個區域的哪個架上。這些書是依循一定規則經過分類編目的，而能快速地查找到其所在位置則是索引（Index）的效果。

如同圖書館裡的大量館藏受館藏系統管理，儲存在硬碟中的檔案，也受到檔案系統管理。而使用者只要透過檔案總管，就像使用館藏系統一樣便能輕鬆進行相關操作。簡而言之，檔案系統有維護著一個表格，存放著目前有哪些資料夾或檔案，及其名稱與所存放的位置等資訊。

各位可以想像一下，若此刻館藏系統因故關閉無法使用，你要如何才能找到想借的書呢？也許有人會說，很簡單啊，問館員或自己到處逛，應該也可以找的到。把此情境搬到電腦之中，就如同把前述檔案系統所維護的那張「表」給拿掉，此時檔案總管中還能看到目前有哪些資料夾或檔案嗎？答案絕對是否定的。

如此一來，各位便可以理解了，磁碟格式化的效果就如同把圖書館的館藏系統關閉，讓你無法藉由系統進行查詢了。而此時雖然看似什麼書都查不到了，但其實書還在架上並沒有不見。因此，硬碟分區格式化之後，只是失去了記錄相關資訊的目錄罷了，資料本體仍存放在原處。

各位可能或多或少都曾有過不慎將存有資料的裝置進行格式化的經驗，現在聽了上述解說，你便可以了解到要對遭到格式化的儲存裝置進行資料救援，並非難如登天，關鍵就在於找回檔案系統維護的那個「表」即可。只要有了那個目錄，想找到格式化前登記在案的那些資料夾和檔案，就輕而易舉不費吹灰之力了。

找回檔案配置「表」，就復原了檔案！

至於如何找到那張「表」？聰明的讀者應該已經猜到它肯定是個檔案才是。沒錯，而不同檔案系統的管理機制有所不同，其代表檔案配置的表也不同，以 NTFS 檔案系統而言，那張表叫做「MFT」；而 FAT 檔案系統的表則叫 FAT（File Allocation Table）。

也許有人會說他根本沒在檔案總管中看過這些檔案，的確，這配置表是屬於系統保護檔案，無法藉由檔案總管存取，但仍可透過鑑識工具或資料救援工具進行存取。

我們再把焦點拉回前述我們已完成格式化的隨身碟，儘管看似空無一物，沒有任何檔案或資料夾存在其中，但經以專業工具進行回復，竟能順利找到那些代表檔案配置的「表」了，如下圖所示。

也許有讀者會感到好奇，找到的表不只一張，那究竟哪個表能讓我們回復出最多的資料呢？專業回復工具會把可回復資料最多的表列為最高優先，如上圖的分析結果所示。

接下來我們就來看看這張表能否按圖索驥找出那些仍然存在的資料夾及檔案，果然沒有令我們失望，分析結果如下圖所示。只要挑選欲回復的資料夾或檔案加以匯出，便可完成資料救援工作了。

在一椿電腦犯罪調查案中，若鑑識人員發現證物電腦的整顆硬碟或特定分區，裡頭竟是空無一物，便會合理懷疑可能是遭到有心人士進行格式化等滅證行為發生。為了找出與案情相關的線索，以還原犯罪事實及手法，鑑識人員便會採用專業鑑識工具進行資料還原，再對還原出的檔案內容進行分析，釐清相關案情。

數位鑑識是門嚴謹的科學，各位應該聽過一句俗諺「The footprint in the sand shows where you have been.」這與常言道：「凡走過必留下痕跡」毫無二致。至此相信各位對數位鑑識科學應有了進一步的認識，下回將為各位進一步說明檔案刪除的奧秘，敬請期待。

參考資料：

• 維基百科──數位鑑識
• 維基百科──磁碟格式化
• 維基百科──檔案系統
• microsoft──Master File Table
• microsoft──FAT File System