磁碟格式化檔案就沒了嗎？數位鑑識如何找回失落的檔案？

本文與  益福生醫 合作，泛科學企劃執行

昨晚，你又在床上翻來覆去、無法入眠了嗎？這或許是現代社會最普遍的深夜共鳴。儘管換了昂貴的乳膠枕、拉上百分之百遮光的窗簾，甚至在腦海中數了幾百隻羊，大腦的那個「睡眠開關」卻彷彿生鏽般卡住。這種渴望休息卻睡不著的過程，讓失眠成了一場耗損身心的極限馬拉松 。

皮質醇：你體內那位「永不熄滅」的深夜警報器

要理解失眠，我們得先認識身體的一套精密防衛系統：下視丘-垂體-腎上腺軸（HPA axis） 。這套系統原本是演化給我們的禮物，讓我們在面對劍齒虎或突如其來的危險時，能迅速進入「戰鬥或快逃」的備戰狀態。當這套系統啟動，腎上腺就會分泌皮質醇 (壓力荷爾蒙)，這種荷爾蒙能調動能量、提高警覺性，讓我們在危機中保持清醒 。

然而，現代人的「劍齒虎」不再是野獸，而是無止盡的專案進度、電子郵件與職場競爭。對於長期處於高壓或高強度工作環境的人們來說，身體的警報系統可能處於一種「切換不掉」的狀態。

在理想的狀態下，人類的生理時鐘像是一場精確的接力賽。入夜後，身體會進入「修復模式」，此時壓力荷爾蒙「皮質醇」的濃度應該降至最低點，讓「睡眠荷爾蒙」褪黑激素（Melatonin）接棒主導。褪黑激素不僅負責傳遞「天黑了」的訊號，它還能抑制腦中負責維持清醒的食慾素（Orexin）神經元，幫助大腦順利關閉覺醒開關。

然而，當壓力介入時，這場接力賽就會變成跑不完的馬拉松賽。研究指出，長期的高壓環境會導致 HPA 軸過度活化，使得夜間皮質醇異常分泌。這不僅會抑制褪黑激素的分泌，更會讓食慾素在深夜裡持續活化，強迫大腦維持在「高覺醒狀態（Hyperarousal）」。 這種令人崩潰的狀態就是，明明你已經累到不行，但大腦卻像停不下來的發電機！

長期的睡眠不足會導致體內促發炎細胞激素上升，而發炎反應又會進一步活化 HPA 軸，分泌更多皮質醇來試圖消炎，高濃度的皮質醇會進一步干擾深層睡眠與快速動眼期（REM），導致睡眠品質變得低弱又破碎，最終形成「壓力－發炎－失眠」的惡行循環。也就是說，你不是在跟睡眠上的意志力作對，而是在跟失控的生理長期鬥爭。

從腸道重啟好眠開關：PS150 菌株如何調校你的生理時鐘

面對這種煞車失靈的失眠困局，科學家們將目光投向了人體內另一個繁榮的生態系：腸道。腸道與大腦之間存在著一條雙向通訊的高速公路，這就是「菌-腸-腦軸 (Microbiome-Gut-Brain Axis, MGBA)」，而某些特殊菌株不僅能幫助消化、排便，更能透過神經與內分泌途徑與大腦對話，直接參與調節我們的壓力調節與睡眠節律。這種菌株被科學家稱為「精神益生菌」（Psychobiotics）。

在眾多研究菌株中，發酵乳桿菌 Limosilactobacillus fermentum PS150 的表現格外引人注目。PS150菌株源於亞洲益生菌權威「蔡英傑教授」團隊的專業研發，累積多年功能性菌株研發經驗的科學成果。針對臨床常見的「初夜效應」（First Night Effect, FNE），也就是現代人因出差、換床或環境改變導致的入睡困難，俗稱認床。科學家在進行實驗時發現，補充 PS150 菌株能顯著恢復非快速動眼期（NREM）的睡眠長度，且入睡更快，起床後也更容易清醒。更重要的是，不同於常見的藥物助眠手段（如抗組織胺藥物 DIPH）容易造成快速動眼期（REM）剝奪或導致睡眠破碎化，PS150 菌株展現出一種更為「溫和且自然」的調節力，它能有效縮短入睡所需的時間，並恢復睡眠中代表深層修復的「Delta 波」能量。

科學家發現，即便將 PS150 菌株經過特殊的熱處理（Heat-treated），轉化為不具活性但保有關鍵成分的「後生元」（Postbiotics），其生物活性依然能與活菌媲美 。HT-PS150 技術解決了益生菌在儲存與攝取過程中容易失去活性的痛點，讓這些腸道通訊員能更穩定地發揮作用 。

在臨床實驗中，科學家觀察到一個耐人尋味的現象：當詢問受試者的主觀感受時，往往會遇到強大的「安慰劑效應」，無論是服用 HT-PS150 還是安慰劑的人，主觀上大多表示睡眠變好了。這種「體感上的進步」有時會掩蓋真相，讓人分不清是心理作用還是真實效益。

然而，客觀的生理數據（Biomarkers）卻揭開了關鍵的差異。在排除主觀偏誤後，實驗數據顯示 HT-PS150 組有更高比例的人（84.6%）出現了夜間褪黑激素分泌增加，且壓力荷爾蒙（皮質醇）顯著下降，這證明了菌株確實啟動了體內的睡眠調控系統，而不僅僅是心理安慰。

最值得關注的是，對於那些失眠指數較高（ISI ≧ 8）的族群，這種「生理修復」與「主觀體感」終於達成了一致。這群人在補充 HT-PS150 後，不僅生理標記改善，連原本嚴重困擾的主觀睡眠效率、持續時間，以及焦慮感也出現了顯著的進步。

了解更多PS150助眠益生菌：https://lihi3.me/KQ4zi

重新定義深層睡眠：構建全方位的深夜修復計畫

睡眠從來就不只是單純的休息，而是一場生理功能的全面重整。想要重獲高品質的睡眠，關鍵在於為自己建立一個全方位的修復生態系。

這套系統的基石，始於良好的生活習慣。從減少睡前數位螢幕的干擾、優化室內環境，到作息調整。當我們透過規律作息來穩定神經系統，並輔以現代科學對於 PS150 菌株的調節力發現，身體便能更順暢地啟動睡眠開關，回歸自然的運作節律。

與其將失眠視為意志力的抗爭，不如將其看作是生理機能與腸道微生態的深度溝通。透過生活作息的調整與科學實證的支持，每個人都能擁有掌控睡眠的主動權。現在就從優化生活型態開始，為自己按下那個久違的、如嬰兒般香甜的關機鍵吧。

本文由 肺纖維化(菜瓜布肺)社團衛教 合作，泛科學撰文

在現代醫學的警示清單裡，乳癌、大腸癌這些疾病大家都不陌生；但有一個「隱蔽且致命」的威脅卻常被忽視，那就是「肺纖維化」。其中最常見的類型「特發性肺纖維化」（IPF），其預後往往不太樂觀，確診後的五年存活率甚至比許多常見的癌症還低。

首先，我們得先破解一個迷思：肺纖維化並不是單一疾病，而是許多種間質性肺病的共同表現。當我們聽到「肺纖維化」，腦中常浮現「菜瓜布肺」的形象，患者的肺部外觀充滿一個個空洞與疤痕，像極了乾燥的絲瓜。這精準描繪了肺部組織逐漸硬化、失去彈性的過程。

更重要的是，IPF 這類肺纖維化的威脅在於「不可逆」的特性，一旦形成就很難逆轉。這跟部分 COVID-19 康復者身上、仍有機會復原的肺纖維化，是兩種完全不同的概念。

肺部為何會變成「菜瓜布」？

為什麼好端端的肺會變成菜瓜布？這其實是一場身體修復機制失控的結果。

「纖維化」的組織，就是肺部間質組織（interstitium）的疤痕化。間質是圍繞在肺泡周圍，包含血管與支持肺部結構的結締組織。在正常情況下，肺部損傷後會啟動修復機制，並再生健康組織。但在肺纖維化的患者體內，這套修復機制卻「當機」了。

身體會不斷地發出訊號，導致負責修復工作的「纖維母細胞」（fibroblasts）被過度活化，進而失控地沉積膠原蛋白疤痕組織，最終在肺部形成永久性的纖維化。

科學家發現，這個過程之所以棘手，在於它是一個「惡性循環」，肺部同時存在著「發炎反應」與「纖維化」這兩條路徑 ，它們相互加乘，演變成難以阻斷的強大破壞力。

雖然特發性肺纖維化 (IPF) 的具體成因不明 ，但已知某些特定族群的風險更高。例如抽菸，特定年齡與性別(50歲以上男性)、長期暴露於粉塵環境的工作者(農業、畜牧業、採礦業…)、胃食道逆流者。此外，患有自體免疫疾病（如類風濕性關節炎、乾燥症、硬皮症、皮肌炎/多發性肌炎，）的患者，他們併發肺纖維化的機率遠高於一般人，必須特別警覺。

打斷惡性循環的挑戰，為何只對抗「纖維化」還不夠？

面對這個不可逆的疾病，醫學界長年束手無策，直到 2014 年才迎來一道曙光。美國 FDA 批准了兩種機制不同的新藥：Nintedanib 和 Pirfenidone。這兩種藥物的出現是治療史上的分水嶺，首度被證實能夠「延緩」IPF 患者肺功能的惡化速度。

然而，這場戰役尚未結束。現有的治療雖然帶來了希望，卻也凸顯了「未被滿足的醫療需求」。從機制上來看，這些藥物主要抑制的是「纖維化路徑」。

這讓科學界開始思考這個未被滿足的棘手問題：既然疾病的本質是「發炎」與「纖維化」的雙重打擊，那麼，我們是否能找到「同時抑制」這兩條路徑的全新策略，從而更有效地打斷這個惡性循環？

找到同時調控「發炎」與「纖維化」的新靶點

為了解決難題，科學家將目光鎖定在一個細胞內的酵素：磷酸二酯酶 4B（PDE4B）。

為什麼鎖定它？讓我們看看它的「雙重作用」機制：

1. 關鍵位置： PDE4B 同時存在於免疫細胞（與發炎有關）與纖維母細胞（與纖維化有關）當中。
2. 作用機制： PDE4B 的主要工作是降解細胞內一種叫 cAMP（環磷酸腺苷） 的訊號分子。cAMP 可以被視為細胞內的「穩定信號」。
3. 雙重抑制： 當我們使用藥物抑制了 PDE4B 的活性，細胞內的 cAMP 就不會被分解，濃度會隨之升高。高濃度的 cAMP 能穩定免疫細胞和纖維母細胞，同時產生抗發炎與抗纖維化的雙重效應。

簡單來說，鎖定並抑制 PDE4B，就像是同時抑制了免疫風暴與纖維化的工程，有望從雙從抑制打擊這個惡性循環。

全球臨床試驗帶來的新希望

近十年來，全球在肺纖維化領域投入了大量的臨床試驗，我們相信，在科學家逐步破解肺纖維化惡性循環的複雜難題後，期盼未來能為無數患者爭取到更安全、健康的生活與未來。

最後，我們必須再次提醒，特發性肺纖維化（IPF）與漸進性肺纖維化（PPF）是極具破壞性、且不可逆的疾病。面對這個比癌症更致命的對手，雖然現有的治療手段能延緩惡化，但無法逆轉已經形成的肺部疤痕組織，因此「早期診斷、早期治療」仍是對抗肺纖維化最重要的黃金時刻。

• 慕容峰│從事數位鑑識工作多年，在分析證物的過程中，彷佛側耳傾聽證物娓娓道來一般，同時審慎客觀地仔細分析察看，即便是旁枝末節也不輕易放過，浸淫其中而樂此不疲。

當提到不小心刪除檔案了，多數人的直覺反應會是「完蛋了」，接下來的念頭通常是「還救的回來嗎？」在回答這個問題之前，先讓要大家了解的是，當檔案被建立或刪除時，背後的處理機制有何玄機。

檔案系統的機制就像是餐廳的訂位系統

儘管檔案系統（File System）的種類眾多，常見的如 FAT、NTFS、Ext2/3/4、HFS/HFS+，但以數位鑑識的觀點來看待這些檔案系統，當掌握了其特性之後，你會發現它們其實很單純，皆是有著猶如餐廳訂位系統般的運作機制。

大家應該都有在餐廳訂位的經驗，當訂位完成時，訂位系統已註記了你所預訂的是哪一廳的哪些座次，這就與檔案系統的機制不謀而合。為了單純化起見，以下就以 FAT 這個檔案系統為例以有效地說明。

當檔案被建立時，檔案系統會記錄此檔案的相關屬性值及儲存資料內容。而存放資料內容的基本單位，便是所謂的「cluster」，我們可以把它想像成是一個個的容器，即猶如一個個的餐廳座位一樣。當檔案愈大，就好比是聚餐的參與者愈多，需要更多的座位一般，檔案系統就會為其配置更多的 cluster以存放該檔案的資料內容。

此外還會在「directory entry」記錄此檔案的檔案名稱、副檔名、起始 cluster 號碼，及檔案大小等屬性值。並於FAT表註記該檔案所佔用的 cluster 編號是幾號到幾號。此一目的在於標記這些 cluster 已被佔用，就像是餐廳的座位若已被訂走就無法將其再開放讓其它人來訂一樣，如此才能確保檔案系統運作順遂。

當然了，一個資料量很大的檔案所佔用的 cluster 號碼可不見得是連號的哦，這部份亦可由FAT表中看出端倪。就算不是連號各位也不用為檔案系統操心，在FAT表中的記錄足可以串連出一個檔案所佔用的所有 cluster 無誤。

如下圖所示，D槽的磁碟標籤為「Disk」，目前裡頭有 2 個檔案，分別為「file1.txt」及「_News.txt」，留意一下 2 個檔案的大小。由於txt是明文形式的檔案內容，以這種純文字檔來為各位說明最是簡明易懂。

或許有人會有疑問，怎知道這 2 個檔案各是佔用了多少 cluster 呢？沒錯，這就牽涉到 D 槽在格式化之初，所選擇的「配置單位大小」。下圖便是 D槽這個分區目前的配置狀況，由「Bytes per cluster: 2048」可清楚的得知一個 cluster 的大小是 2048 bytes，至於「sector」在此暫不論及，以免讀者們混淆不清就更是摸不著頭緒了。

我們就先來看看 file1.txt 好了，使用hex editor工具來查看 D 槽，file1.txt的資料內容及hex值如下圖所示，而其檔案大小為0.6KB，對照前述D槽的cluster資訊，便可輕易推導出file1.txt只佔用了一個cluster。

那要如何得知它佔用的是哪一個cluster呢？接著我們來看一下directory entry，如下圖所示，紅色框住部份便是file1.txt的相關屬性記錄，而其中綠色框住部份的「02 00」，便是此檔案的起始cluster號碼，由於其為Little Endian的定序。經轉換後得知file1.txt的起始cluster號碼為「2」。

接著我們便可定位到FAT表中的cluster 2，如下圖紅色框住部份所示的值，即是file1.txt這個檔案在檔案系統中的「訂位記錄」了。

但由於這檔案很小僅佔用了一個cluster，我們再看看_News.txt有何不同。_News.txt的文本內容及hex值如下圖所示，此檔案的大小為2.9KB。

聰明的讀者們至此應該已經知道了，它佔用了一個以上的cluster，那要如何得知它佔用了哪些個cluster呢？如同前述的作法，我們要先得知它的起始cluster才行。來看一下它的directory entry便知道了，如下圖所示，_News.txt的起始cluster號碼是「5」。

再定位到FAT表中的cluster 5，如下圖紅色框住部份所示的值，其中「06 00」即表示它不僅佔用了cluster 5，同時也佔用了cluster 6。而其後的「FF FF」即表示結尾之意。

或許會有讀者感到好奇，file1.txt的起始cluster是2，且它只佔用一個cluster，而_News.txt的起始cluster卻是5，為何不是3呢？原因很簡單，因為cluster 3及cluster 4早就被佔用了，如下圖所示，佔用這2個cluster的分別是資源回收筒及其下的檔案desktop.ini。

刪除檔案所產生的變化

那刪除檔案會產生何種變化呢？如同餐廳訂位系統一樣，若用餐畢離席時，原本被佔用的座位就可以空了出來，再開放給其它人訂位。我們就來看一下把file1.txt及_News.txt 刪除之後的變化，如下圖所示，此時 D 槽在檔案總管中已空無一物。

若查看 file1.txt的 directory entry，發現 file1.txt 的檔案名稱已變的不易辨識，沒錯，原因即就在於下圖紅色框住的值已變成了「E5」之故。

那麼 _News.txt 是不是也有相同的變化呢？是的，其directory entry的起始值也變成了「E5」，這便是FAT檔案系統中檔案遭到刪除後所呈現的特徵值。

值得留意的是，除此之外，其它像是副檔名、起始 cluster、檔案大小等屬性值並未受到影響。但是，剛為各位說明了這 2 個檔案既被刪除，其原本佔用的cluster就該釋出而不能繼續佔用了，我們接著觀察一下 FAT 表是否有相應的變化。如下圖紅色框住部份所示，沒錯，這 2 個檔案本來佔用的 cluster 皆已被註記為「00 00」，代表已釋出，那些cluster可再被其它新進來的檔案去佔用了。

當然了，一般人最關心的仍是，有沒有機會救回這 2 個檔案的原有資料內容呢？答案是「有機會」的，只要是在尚未被新資料內容給覆蓋之前，都有機會可救回。下圖所示便是 file1.txt 的資料內容，目前仍完好如初。

再看_News.txt的內容如下圖所示，亦是完好如初。因為當刪除檔案之時，資料本體尚在，只是儲存資料的容器遭釋出可允許新資料寫入。這也就是我們常說的，傳統硬碟（SSD除外）的資料救援有著較高的成功機率之故。

但要留意的是，究竟是比較早刪還是比較晚刪的檔案內容易遭到覆蓋，則未有定論，畢竟這是作業系統及檔案系統在進行處理，非人為能夠介入決定。

數位鑑識是一門嚴謹的科學，當鑑識人員對電子跡證的本質有了更深入的了解，便能在需要對證物中的遭刪除資料進行回復時，採取穩當而有效的措施。

參考資料

• Forensic Wiki – FAT
• Forensic Wiki – Recovering deleted data
• Forensic Wiki – Little endian