0

文字

繁 | 简

0

科技能源透視科學電腦資訊

磁碟格式化檔案就沒了嗎？數位鑑識如何找回失落的檔案？

活躍星系核・2018/08/23 ・2465字・閱讀時間約 5 分鐘・SR值 535

・七年級

相關標籤：

熱門標籤：

文／慕容峰│從事數位鑑識工作多年，在分析證物的過程中，彷佛側耳傾聽證物娓娓道來一般，同時審慎客觀地仔細分析察看，即便是旁枝末節也不輕易放過，浸淫其中而樂此不疲。

說起數位鑑識（Digital Forensics），多數人是丈二金剛摸不著頭，搞不清楚它是什麼來著。但只要提及熱門的 CSI 犯罪調查影集，大家便能心領神會，甚至還可以憶及相關橋段，引發熱烈討論。

磁碟格式化時會發生什麼事？

沒錯，只要是與電子跡證有關的，便是數位鑑識的範疇。而由於電子跡證具有易遭污染破壞的特性，因此，簡而言之，數位鑑識科學便是用嚴謹的程序及工具，對電子跡證進行提取並加以分析，以還原犯罪事實及手法的科學。

而在一椿涉及犯罪的調查案件中，任何具有儲存電子跡證的儲存媒體，例如手機、硬碟、隨身碟、CD/DVD、記憶卡等等，皆是不可輕忽的證物。以下且讓筆者以 Windows 平台為例，來為各位說明磁碟格式化的奧秘。

各位應該都有將硬碟或隨身碟進行磁碟格式化（disk formatting）的經驗，如下圖所示。

在真正開始進行前，還會彈出一個視窗讓使用者進行確認：

只見不一會兒功夫便完成格式化，會彈出如下圖的確認訊息。

被格式化後的分區之中，其原有的內容竟已不復存在，成了空空如也的狀態，如下圖所示。

由於格式化一個硬碟分區的效果，看起來就像是轉瞬間刪除掉該分區裡的資料夾及檔案一般。因此，在進行格式化前，使用者應該都會先確認已做好備份工作的前置作業，才會放心地進行格式化。

磁碟如何存放資料？「檔案系統」的秘密

在這看似已空無一物的硬碟分區之中，其實背後還藏著秘密。在此先賣個關子，且容我先為各位說明傳統硬碟與資料的關係。當使用者在電腦上建立檔案輸入內容時，傳統機械式硬碟如何儲存數據呢？由物理層面來看，是因為磁頭於磁盤上繪出正負極磁性不同的「圖畫」所致，這些便是使用者所儲存在硬碟中的資料。因此，要傾刻間徹底清除硬碟裡的所有資料，就必須要「消磁」。

而從邏輯層面來看，硬碟存放資料與「檔案系統」（Filesystem）有所關聯。舉凡你在檔案總管之中進行資料夾或檔案的增刪修改，皆是在檔案系統的機制下進行。我接下來以圖書館的書目館藏來做比喻，大家應該有到圖書館借書的經驗，通常到了館內，來到「檢索區」使用電腦進行書目館藏的查詢，便可知道你想要借的書是否在館內，且是位於哪個區域的哪個架上。這些書是依循一定規則經過分類編目的，而能快速地查找到其所在位置則是索引（Index）的效果。

如同圖書館裡的大量館藏受館藏系統管理，儲存在硬碟中的檔案，也受到檔案系統管理。而使用者只要透過檔案總管，就像使用館藏系統一樣便能輕鬆進行相關操作。簡而言之，檔案系統有維護著一個表格，存放著目前有哪些資料夾或檔案，及其名稱與所存放的位置等資訊。

各位可以想像一下，若此刻館藏系統因故關閉無法使用，你要如何才能找到想借的書呢？也許有人會說，很簡單啊，問館員或自己到處逛，應該也可以找的到。把此情境搬到電腦之中，就如同把前述檔案系統所維護的那張「表」給拿掉，此時檔案總管中還能看到目前有哪些資料夾或檔案嗎？答案絕對是否定的。

如此一來，各位便可以理解了，磁碟格式化的效果就如同把圖書館的館藏系統關閉，讓你無法藉由系統進行查詢了。而此時雖然看似什麼書都查不到了，但其實書還在架上並沒有不見。因此，硬碟分區格式化之後，只是失去了記錄相關資訊的目錄罷了，資料本體仍存放在原處。

各位可能或多或少都曾有過不慎將存有資料的裝置進行格式化的經驗，現在聽了上述解說，你便可以了解到要對遭到格式化的儲存裝置進行資料救援，並非難如登天，關鍵就在於找回檔案系統維護的那個「表」即可。只要有了那個目錄，想找到格式化前登記在案的那些資料夾和檔案，就輕而易舉不費吹灰之力了。

找回檔案配置「表」，就復原了檔案！

至於如何找到那張「表」？聰明的讀者應該已經猜到它肯定是個檔案才是。沒錯，而不同檔案系統的管理機制有所不同，其代表檔案配置的表也不同，以 NTFS 檔案系統而言，那張表叫做「MFT」；而 FAT 檔案系統的表則叫 FAT（File Allocation Table）。

也許有人會說他根本沒在檔案總管中看過這些檔案，的確，這配置表是屬於系統保護檔案，無法藉由檔案總管存取，但仍可透過鑑識工具或資料救援工具進行存取。

我們再把焦點拉回前述我們已完成格式化的隨身碟，儘管看似空無一物，沒有任何檔案或資料夾存在其中，但經以專業工具進行回復，竟能順利找到那些代表檔案配置的「表」了，如下圖所示。

也許有讀者會感到好奇，找到的表不只一張，那究竟哪個表能讓我們回復出最多的資料呢？專業回復工具會把可回復資料最多的表列為最高優先，如上圖的分析結果所示。

接下來我們就來看看這張表能否按圖索驥找出那些仍然存在的資料夾及檔案，果然沒有令我們失望，分析結果如下圖所示。只要挑選欲回復的資料夾或檔案加以匯出，便可完成資料救援工作了。

在一椿電腦犯罪調查案中，若鑑識人員發現證物電腦的整顆硬碟或特定分區，裡頭竟是空無一物，便會合理懷疑可能是遭到有心人士進行格式化等滅證行為發生。為了找出與案情相關的線索，以還原犯罪事實及手法，鑑識人員便會採用專業鑑識工具進行資料還原，再對還原出的檔案內容進行分析，釐清相關案情。

數位鑑識是門嚴謹的科學，各位應該聽過一句俗諺「The footprint in the sand shows where you have been.」這與常言道：「凡走過必留下痕跡」毫無二致。至此相信各位對數位鑑識科學應有了進一步的認識，下回將為各位進一步說明檔案刪除的奧秘，敬請期待。

參考資料：

維基百科──數位鑑識
維基百科──磁碟格式化
維基百科──檔案系統
microsoft──Master File Table
microsoft──FAT File System

發表意見

文章難易度

剛好

太難

所有討論 0

登入與大家一起討論

活躍星系核

754 篇文章・ 93 位粉絲

活躍星系核（active galactic nucleus, AGN）是一類中央核區活動性很強的河外星系。這些星系比普通星系活躍，在從無線電波到伽瑪射線的全波段裡都發出很強的電磁輻射。本帳號發表來自各方的投稿。附有資料出處的科學好文，都歡迎你來投稿喔。 Email: contact@pansci.asia

TRENDING 熱門討論

即時熱門

0

文字

0

為什麼被刪除的檔案還有機會被救回來？檔案刪除時到底發生了什麼事？

活躍星系核・2019/04/12 ・2759字・閱讀時間約 5 分鐘・SR值 522

・七年級

相關標籤：

熱門標籤：

慕容峰│從事數位鑑識工作多年，在分析證物的過程中，彷佛側耳傾聽證物娓娓道來一般，同時審慎客觀地仔細分析察看，即便是旁枝末節也不輕易放過，浸淫其中而樂此不疲。

當提到不小心刪除檔案了，多數人的直覺反應會是「完蛋了」，接下來的念頭通常是「還救的回來嗎？」在回答這個問題之前，先讓要大家了解的是，當檔案被建立或刪除時，背後的處理機制有何玄機。

檔案系統的機制就像是餐廳的訂位系統

儘管檔案系統（File System）的種類眾多，常見的如 FAT、NTFS、Ext2/3/4、HFS/HFS+，但以數位鑑識的觀點來看待這些檔案系統，當掌握了其特性之後，你會發現它們其實很單純，皆是有著猶如餐廳訂位系統般的運作機制。

大家應該都有在餐廳訂位的經驗，當訂位完成時，訂位系統已註記了你所預訂的是哪一廳的哪些座次，這就與檔案系統的機制不謀而合。為了單純化起見，以下就以 FAT 這個檔案系統為例以有效地說明。

當檔案被建立時，檔案系統會記錄此檔案的相關屬性值及儲存資料內容。而存放資料內容的基本單位，便是所謂的「cluster」，我們可以把它想像成是一個個的容器，即猶如一個個的餐廳座位一樣。當檔案愈大，就好比是聚餐的參與者愈多，需要更多的座位一般，檔案系統就會為其配置更多的 cluster以存放該檔案的資料內容。

此外還會在「directory entry」記錄此檔案的檔案名稱、副檔名、起始 cluster 號碼，及檔案大小等屬性值。並於FAT表註記該檔案所佔用的 cluster 編號是幾號到幾號。此一目的在於標記這些 cluster 已被佔用，就像是餐廳的座位若已被訂走就無法將其再開放讓其它人來訂一樣，如此才能確保檔案系統運作順遂。

當然了，一個資料量很大的檔案所佔用的 cluster 號碼可不見得是連號的哦，這部份亦可由FAT表中看出端倪。就算不是連號各位也不用為檔案系統操心，在FAT表中的記錄足可以串連出一個檔案所佔用的所有 cluster 無誤。

如下圖所示，D槽的磁碟標籤為「Disk」，目前裡頭有 2 個檔案，分別為「file1.txt」及「_News.txt」，留意一下 2 個檔案的大小。由於txt是明文形式的檔案內容，以這種純文字檔來為各位說明最是簡明易懂。

或許有人會有疑問，怎知道這 2 個檔案各是佔用了多少 cluster 呢？沒錯，這就牽涉到 D 槽在格式化之初，所選擇的「配置單位大小」。下圖便是 D槽這個分區目前的配置狀況，由「Bytes per cluster: 2048」可清楚的得知一個 cluster 的大小是 2048 bytes，至於「sector」在此暫不論及，以免讀者們混淆不清就更是摸不著頭緒了。

我們就先來看看 file1.txt 好了，使用hex editor工具來查看 D 槽，file1.txt的資料內容及hex值如下圖所示，而其檔案大小為0.6KB，對照前述D槽的cluster資訊，便可輕易推導出file1.txt只佔用了一個cluster。

那要如何得知它佔用的是哪一個cluster呢？接著我們來看一下directory entry，如下圖所示，紅色框住部份便是file1.txt的相關屬性記錄，而其中綠色框住部份的「02 00」，便是此檔案的起始cluster號碼，由於其為Little Endian的定序。經轉換後得知file1.txt的起始cluster號碼為「2」。

接著我們便可定位到FAT表中的cluster 2，如下圖紅色框住部份所示的值，即是file1.txt這個檔案在檔案系統中的「訂位記錄」了。

但由於這檔案很小僅佔用了一個cluster，我們再看看_News.txt有何不同。_News.txt的文本內容及hex值如下圖所示，此檔案的大小為2.9KB。

聰明的讀者們至此應該已經知道了，它佔用了一個以上的cluster，那要如何得知它佔用了哪些個cluster呢？如同前述的作法，我們要先得知它的起始cluster才行。來看一下它的directory entry便知道了，如下圖所示，_News.txt的起始cluster號碼是「5」。

再定位到FAT表中的cluster 5，如下圖紅色框住部份所示的值，其中「06 00」即表示它不僅佔用了cluster 5，同時也佔用了cluster 6。而其後的「FF FF」即表示結尾之意。

或許會有讀者感到好奇，file1.txt的起始cluster是2，且它只佔用一個cluster，而_News.txt的起始cluster卻是5，為何不是3呢？原因很簡單，因為cluster 3及cluster 4早就被佔用了，如下圖所示，佔用這2個cluster的分別是資源回收筒及其下的檔案desktop.ini。

刪除檔案所產生的變化

那刪除檔案會產生何種變化呢？如同餐廳訂位系統一樣，若用餐畢離席時，原本被佔用的座位就可以空了出來，再開放給其它人訂位。我們就來看一下把file1.txt及_News.txt 刪除之後的變化，如下圖所示，此時 D 槽在檔案總管中已空無一物。

若查看 file1.txt的 directory entry，發現 file1.txt 的檔案名稱已變的不易辨識，沒錯，原因即就在於下圖紅色框住的值已變成了「E5」之故。

那麼 _News.txt 是不是也有相同的變化呢？是的，其directory entry的起始值也變成了「E5」，這便是FAT檔案系統中檔案遭到刪除後所呈現的特徵值。

值得留意的是，除此之外，其它像是副檔名、起始 cluster、檔案大小等屬性值並未受到影響。但是，剛為各位說明了這 2 個檔案既被刪除，其原本佔用的cluster就該釋出而不能繼續佔用了，我們接著觀察一下 FAT 表是否有相應的變化。如下圖紅色框住部份所示，沒錯，這 2 個檔案本來佔用的 cluster 皆已被註記為「00 00」，代表已釋出，那些cluster可再被其它新進來的檔案去佔用了。

當然了，一般人最關心的仍是，有沒有機會救回這 2 個檔案的原有資料內容呢？答案是「有機會」的，只要是在尚未被新資料內容給覆蓋之前，都有機會可救回。下圖所示便是 file1.txt 的資料內容，目前仍完好如初。

再看_News.txt的內容如下圖所示，亦是完好如初。因為當刪除檔案之時，資料本體尚在，只是儲存資料的容器遭釋出可允許新資料寫入。這也就是我們常說的，傳統硬碟（SSD除外）的資料救援有著較高的成功機率之故。

但要留意的是，究竟是比較早刪還是比較晚刪的檔案內容易遭到覆蓋，則未有定論，畢竟這是作業系統及檔案系統在進行處理，非人為能夠介入決定。

數位鑑識是一門嚴謹的科學，當鑑識人員對電子跡證的本質有了更深入的了解，便能在需要對證物中的遭刪除資料進行回復時，採取穩當而有效的措施。

參考資料

Forensic Wiki – FAT
Forensic Wiki – Recovering deleted data
Forensic Wiki – Little endian