0

0
0

文字

分享

0
0
0

為什麼被刪除的檔案還有機會被救回來?檔案刪除時到底發生了什麼事?

活躍星系核_96
・2019/04/12 ・2759字 ・閱讀時間約 5 分鐘 ・SR值 522 ・七年級

國民法官生存指南:用足夠的智識面對法庭裡的一切。

  • 慕容峰│從事數位鑑識工作多年,在分析證物的過程中,彷佛側耳傾聽證物娓娓道來一般,同時審慎客觀地仔細分析察看,即便是旁枝末節也不輕易放過,浸淫其中而樂此不疲。

當提到不小心刪除檔案了,多數人的直覺反應會是「完蛋了」,接下來的念頭通常是「還救的回來嗎?」在回答這個問題之前,先讓要大家了解的是,當檔案被建立或刪除時,背後的處理機制有何玄機。

檔案刪除時 Ctrl+Z 救不回來,但不代表就沒救喔。圖/wikimedia

檔案系統的機制就像是餐廳的訂位系統

儘管檔案系統(File System)的種類眾多,常見的如 FAT、NTFS、Ext2/3/4、HFS/HFS+,但以數位鑑識的觀點來看待這些檔案系統,當掌握了其特性之後,你會發現它們其實很單純,皆是有著猶如餐廳訂位系統般的運作機制。

大家應該都有在餐廳訂位的經驗,當訂位完成時,訂位系統已註記了你所預訂的是哪一廳的哪些座次,這就與檔案系統的機制不謀而合。為了單純化起見,以下就以 FAT 這個檔案系統為例以有效地說明。

檔案的過程如同你到餐廳預約席位。圖/pexels

當檔案被建立時,檔案系統會記錄此檔案的相關屬性值及儲存資料內容。而存放資料內容的基本單位,便是所謂的「cluster」,我們可以把它想像成是一個個的容器,即猶如一個個的餐廳座位一樣。當檔案愈大,就好比是聚餐的參與者愈多,需要更多的座位一般,檔案系統就會為其配置更多的 cluster以存放該檔案的資料內容。

此外還會在「directory entry」記錄此檔案的檔案名稱、副檔名、起始 cluster 號碼,及檔案大小等屬性值。並於FAT表註記該檔案所佔用的 cluster 編號是幾號到幾號。此一目的在於標記這些 cluster 已被佔用,就像是餐廳的座位若已被訂走就無法將其再開放讓其它人來訂一樣,如此才能確保檔案系統運作順遂。

當然了,一個資料量很大的檔案所佔用的 cluster 號碼可不見得是連號的哦,這部份亦可由FAT表中看出端倪。就算不是連號各位也不用為檔案系統操心,在FAT表中的記錄足可以串連出一個檔案所佔用的所有 cluster 無誤。

如下圖所示,D槽的磁碟標籤為「Disk」,目前裡頭有 2 個檔案,分別為「file1.txt」及「_News.txt」,留意一下 2 個檔案的大小。由於txt是明文形式的檔案內容,以這種純文字檔來為各位說明最是簡明易懂。

或許有人會有疑問,怎知道這 2 個檔案各是佔用了多少 cluster 呢?沒錯,這就牽涉到 D 槽在格式化之初,所選擇的「配置單位大小」。下圖便是 D槽這個分區目前的配置狀況,由「Bytes per cluster: 2048」可清楚的得知一個 cluster 的大小是 2048 bytes,至於「sector」在此暫不論及,以免讀者們混淆不清就更是摸不著頭緒了。

我們就先來看看 file1.txt 好了,使用hex editor工具來查看 D 槽,file1.txt的資料內容及hex值如下圖所示,而其檔案大小為0.6KB,對照前述D槽的cluster資訊,便可輕易推導出file1.txt只佔用了一個cluster。

那要如何得知它佔用的是哪一個cluster呢?接著我們來看一下directory entry,如下圖所示,紅色框住部份便是file1.txt的相關屬性記錄,而其中綠色框住部份的「02 00」,便是此檔案的起始cluster號碼,由於其為Little Endian的定序。經轉換後得知file1.txt的起始cluster號碼為「2」。

接著我們便可定位到FAT表中的cluster 2,如下圖紅色框住部份所示的值,即是file1.txt這個檔案在檔案系統中的「訂位記錄」了。

但由於這檔案很小僅佔用了一個cluster,我們再看看_News.txt有何不同。_News.txt的文本內容及hex值如下圖所示,此檔案的大小為2.9KB。

聰明的讀者們至此應該已經知道了,它佔用了一個以上的cluster,那要如何得知它佔用了哪些個cluster呢?如同前述的作法,我們要先得知它的起始cluster才行。來看一下它的directory entry便知道了,如下圖所示,_News.txt的起始cluster號碼是「5」。

再定位到FAT表中的cluster 5,如下圖紅色框住部份所示的值,其中「06 00」即表示它不僅佔用了cluster 5,同時也佔用了cluster 6。而其後的「FF FF」即表示結尾之意。

或許會有讀者感到好奇,file1.txt的起始cluster是2,且它只佔用一個cluster,而_News.txt的起始cluster卻是5,為何不是3呢?原因很簡單,因為cluster 3及cluster 4早就被佔用了,如下圖所示,佔用這2個cluster的分別是資源回收筒及其下的檔案desktop.ini。

刪除檔案所產生的變化

那刪除檔案會產生何種變化呢?如同餐廳訂位系統一樣,若用餐畢離席時,原本被佔用的座位就可以空了出來,再開放給其它人訂位。我們就來看一下把file1.txt及_News.txt 刪除之後的變化,如下圖所示,此時 D 槽在檔案總管中已空無一物。

若查看 file1.txt的 directory entry,發現 file1.txt 的檔案名稱已變的不易辨識,沒錯,原因即就在於下圖紅色框住的值已變成了「E5」之故。

那麼 _News.txt 是不是也有相同的變化呢?是的,其directory entry的起始值也變成了「E5」,這便是FAT檔案系統中檔案遭到刪除後所呈現的特徵值。

值得留意的是,除此之外,其它像是副檔名、起始 cluster、檔案大小等屬性值並未受到影響。但是,剛為各位說明了這 2 個檔案既被刪除,其原本佔用的cluster就該釋出而不能繼續佔用了,我們接著觀察一下 FAT 表是否有相應的變化。如下圖紅色框住部份所示,沒錯,這 2 個檔案本來佔用的 cluster 皆已被註記為「00 00」,代表已釋出,那些cluster可再被其它新進來的檔案去佔用了。

當然了,一般人最關心的仍是,有沒有機會救回這 2 個檔案的原有資料內容呢?答案是「有機會」的,只要是在尚未被新資料內容給覆蓋之前,都有機會可救回。下圖所示便是 file1.txt 的資料內容,目前仍完好如初。

再看_News.txt的內容如下圖所示,亦是完好如初。因為當刪除檔案之時,資料本體尚在,只是儲存資料的容器遭釋出可允許新資料寫入。這也就是我們常說的,傳統硬碟(SSD除外)的資料救援有著較高的成功機率之故。

但要留意的是,究竟是比較早刪還是比較晚刪的檔案內容易遭到覆蓋,則未有定論,畢竟這是作業系統及檔案系統在進行處理,非人為能夠介入決定。

數位鑑識是一門嚴謹的科學,當鑑識人員對電子跡證的本質有了更深入的了解,便能在需要對證物中的遭刪除資料進行回復時,採取穩當而有效的措施。

參考資料

文章難易度
活躍星系核_96
752 篇文章 ・ 100 位粉絲
活躍星系核(active galactic nucleus, AGN)是一類中央核區活動性很強的河外星系。這些星系比普通星系活躍,在從無線電波到伽瑪射線的全波段裡都發出很強的電磁輻射。 本帳號發表來自各方的投稿。附有資料出處的科學好文,都歡迎你來投稿喔。 Email: contact@pansci.asia

0

1
0

文字

分享

0
1
0
用這劑補好新冠預防保護力!防疫新解方:長效型單株抗體適用於「免疫低下族群預防」及「高風險族群輕症治療」
鳥苷三磷酸 (PanSci Promo)_96
・2023/01/19 ・2874字 ・閱讀時間約 5 分鐘

國民法官生存指南:用足夠的智識面對法庭裡的一切。

本文由 台灣感染症醫學會 合作,泛科學企劃執行。

  • 審稿醫生/ 台灣感染症醫學會理事長 王復德

「好想飛出國~」這句話在長達近 3 年的「鎖國」後終於實現,然而隨著各國陸續解封、確診消息頻傳,讓民眾再度興起可能染疫的恐慌,特別是一群本身自體免疫力就比正常人差的病友。

全球約有 2% 的免疫功能低下病友,包括血癌、接受化放療、器官移植、接受免疫抑制劑治療、HIV 及先天性免疫不全的患者…等,由於自身免疫問題,即便施打新冠疫苗,所產生的抗體和保護力仍比一般人低。即使施打疫苗,這群病人一旦確診,因免疫力低難清除病毒,重症與死亡風險較高,加護病房 (ICU) 使用率是 1.5 倍,死亡率則是 2 倍。

進一步來看,部分免疫低下病患因服用免疫抑制劑,使得免疫功能與疫苗保護力下降,這些藥物包括高劑量類固醇、特定免疫抑制之生物製劑,或器官移植後預防免疫排斥的藥物。國外臨床研究顯示,部分病友打完疫苗後的抗體生成情況遠低於常人,以器官移植病患來說,僅有31%能產生抗體反應。

疫苗保護力較一般人低,靠「被動免疫」補充抗新冠保護力

為什麼免疫低下族群打疫苗無法產生足夠的抗體?主因為疫苗抗體產生的機轉,是仰賴身體正常免疫功能、自行激化主動產生抗體,這即為「主動免疫」,一般民眾接種新冠疫苗即屬於此。相比之下,免疫低下病患因自身免疫功能不足,難以經由疫苗主動激化免疫功能來保護自身,因此可採「被動免疫」方式,藉由外界輔助直接投以免疫低下病患抗體,給予保護力。

外力介入能達到「被動免疫」的有長效型單株抗體,可改善免疫低下病患因原有治療而無法接種疫苗,或接種疫苗後保護力較差的困境,有效降低確診後的重症風險,保護力可持續長達 6 個月。另須注意,單株抗體不可取代疫苗接種,完成單株抗體注射後仍需維持其他防疫措施。

長效型單株抗體緊急授權予免疫低下患者使用 有望降低感染與重症風險

2022年歐盟、英、法、澳等多國緊急使用授權用於 COVID-19 免疫低下族群暴露前預防,台灣也在去年 9 月通過緊急授權,免疫低下患者專用的單株抗體,在接種疫苗以外多一層保護,能降低感染、重症與死亡風險。

從臨床數據來看,長效型單株抗體對免疫功能嚴重不足的族群,接種後六個月內可降低 83% 感染風險,效力與安全性已通過臨床試驗證實,證據也顯示針對台灣主流病毒株 BA.5 及 BA.2.75 具保護力。

六大類人可公費施打 醫界呼籲民眾積極防禦

台灣提供對 COVID-19 疫苗接種反應不佳之免疫功能低下者以降低其染疫風險,根據 2022 年 11 月疾管署公布的最新領用方案,符合施打的條件包含:

一、成人或 ≥ 12 歲且體重 ≥ 40 公斤,且;
二、六個月內無感染 SARS-CoV-2,且;
三、一周內與 SARS-CoV-2 感染者無已知的接觸史,且;
四、且符合下列條件任一者:

(一)曾在一年內接受實體器官或血液幹細胞移植
(二)接受實體器官或血液幹細胞移植後任何時間有急性排斥現象
(三)曾在一年內接受 CAR-T 治療或 B 細胞清除治療 (B cell depletion therapy)
(四)具有效重大傷病卡之嚴重先天性免疫不全病患
(五)具有效重大傷病卡之血液腫瘤病患(淋巴肉瘤、何杰金氏、淋巴及組織其他惡性瘤、白血病)
(六)感染HIV且最近一次 CD4 < 200 cells/mm3 者 。

符合上述條件之病友,可主動諮詢醫師。多數病友施打後沒有特別的不適感,少數病友會有些微噁心或疲倦感,為即時處理發生率極低的過敏性休克或輸注反應,需於輸注時持續監測並於輸注後於醫療單位觀察至少 1 小時。

目前藥品存放醫療院所部分如下,完整名單請見公費COVID-19複合式單株抗體領用方案

  • 北部

台大醫院(含台大癌症醫院)、台北榮總、三軍總醫院、振興醫院、馬偕醫院、萬芳醫院、雙和醫院、和信治癌醫院、亞東醫院、台北慈濟醫院、耕莘醫院、陽明交通大學附設醫院、林口長庚醫院、新竹馬偕醫院

  • 中部

         大千醫院、中國醫藥大學附設醫院、台中榮總、彰化基督教醫療財團法人彰化基督教醫院

  • 南部/東部

台大雲林醫院、成功大學附設醫院、奇美醫院、高雄長庚醫院、高雄榮總、義大醫院、高雄醫學大學附設醫院、花蓮慈濟

除了預防 也可用於治療確診者

長效型單株抗體不但可以增加免疫低下者的保護力,還可以用來治療「具重症風險因子且不需用氧」的輕症病患。根據臨床數據顯示,只要在出現症狀後的 5 天內投藥,可有效降低近七成 (67%) 的住院或死亡風險;如果是3天內投藥,則可大幅減少到近九成 (88%) 的住院或死亡風險,所以把握黃金時間盡早治療是關鍵。

  • 新冠治療藥物比較表:
藥名Evusheld
長效型單株抗體
Molnupiravir
莫納皮拉韋
Paxlovid
倍拉維
Remdesivir
瑞德西韋
作用原理結合至病毒的棘蛋白受體結合區域,抑制病毒進入人體細胞干擾病毒的基因序列,導致複製錯亂突變蛋白酵素抑制劑,阻斷病毒繁殖抑制病毒複製所需之酵素的活性,從而抑制病毒增生
治療方式單次肌肉注射(施打後留觀1小時)口服5天口服5天靜脈注射3天
適用對象發病5天內、具有重症風險因子、未使用氧氣之成人與兒童(12歲以上且體重至少40公斤)的輕症病患。發病5天內、具有重症風險因子、未使用氧氣之成人與兒童(12歲以上且體重至少40公斤)的輕症病患。發病5天內、具有重症風險因子、未使用氧氣之成人(18歲以上)的輕症病患。發病7天內、具有重症風險因子、未使用氧氣之成人與孩童(年齡大於28天且體重3公斤以上)的輕症病患。
*Remdesivir用於重症之適用條件和使用天數有所不同
注意事項病毒變異株藥物交互作用孕婦哺乳禁用輸注反應

免疫低下病友需有更多重的防疫保護,除了戴口罩、保持社交距離、勤洗手、減少到公共場所等非藥物性防護措施外,按時接種COVID-19疫苗,仍是最具效益之傳染病預防介入措施。若有符合施打長效型單株抗體資格的病患,應主動諮詢醫師,經醫師評估用藥效益與施打必要性。

文章難易度
鳥苷三磷酸 (PanSci Promo)_96
161 篇文章 ・ 270 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

0
0

文字

分享

0
0
0
磁碟格式化檔案就沒了嗎?數位鑑識如何找回失落的檔案?
活躍星系核_96
・2018/08/23 ・2465字 ・閱讀時間約 5 分鐘 ・SR值 535 ・七年級

國民法官生存指南:用足夠的智識面對法庭裡的一切。

  • 文/慕容峰│從事數位鑑識工作多年,在分析證物的過程中,彷佛側耳傾聽證物娓娓道來一般,同時審慎客觀地仔細分析察看,即便是旁枝末節也不輕易放過,浸淫其中而樂此不疲。

說起數位鑑識(Digital Forensics),多數人是丈二金剛摸不著頭,搞不清楚它是什麼來著。但只要提及熱門的 CSI 犯罪調查影集,大家便能心領神會,甚至還可以憶及相關橋段,引發熱烈討論。

磁碟格式化時會發生什麼事?

沒錯,只要是與電子跡證有關的,便是數位鑑識的範疇。而由於電子跡證具有易遭污染破壞的特性,因此,簡而言之,數位鑑識科學便是用嚴謹的程序及工具,對電子跡證進行提取並加以分析,以還原犯罪事實及手法的科學。

而在一椿涉及犯罪的調查案件中,任何具有儲存電子跡證的儲存媒體,例如手機、硬碟、隨身碟、CD/DVD、記憶卡等等,皆是不可輕忽的證物。以下且讓筆者以 Windows 平台為例,來為各位說明磁碟格式化的奧秘。

各位應該都有將硬碟或隨身碟進行磁碟格式化(disk formatting)的經驗,如下圖所示。

在真正開始進行前,還會彈出一個視窗讓使用者進行確認:

只見不一會兒功夫便完成格式化,會彈出如下圖的確認訊息。

被格式化後的分區之中,其原有的內容竟已不復存在,成了空空如也的狀態,如下圖所示。

由於格式化一個硬碟分區的效果,看起來就像是轉瞬間刪除掉該分區裡的資料夾及檔案一般。因此,在進行格式化前,使用者應該都會先確認已做好備份工作的前置作業,才會放心地進行格式化。

磁碟如何存放資料?「檔案系統」的秘密

在這看似已空無一物的硬碟分區之中,其實背後還藏著秘密。在此先賣個關子,且容我先為各位說明傳統硬碟與資料的關係。當使用者在電腦上建立檔案輸入內容時,傳統機械式硬碟如何儲存數據呢?由物理層面來看,是因為磁頭於磁盤上繪出正負極磁性不同的「圖畫」所致,這些便是使用者所儲存在硬碟中的資料。因此,要傾刻間徹底清除硬碟裡的所有資料,就必須要「消磁」。

而從邏輯層面來看,硬碟存放資料與「檔案系統」(Filesystem)有所關聯。舉凡你在檔案總管之中進行資料夾或檔案的增刪修改,皆是在檔案系統的機制下進行。我接下來以圖書館的書目館藏來做比喻,大家應該有到圖書館借書的經驗,通常到了館內,來到「檢索區」使用電腦進行書目館藏的查詢,便可知道你想要借的書是否在館內,且是位於哪個區域的哪個架上。這些書是依循一定規則經過分類編目的,而能快速地查找到其所在位置則是索引(Index)的效果。

如同圖書館裡的大量館藏受館藏系統管理,儲存在硬碟中的檔案,也受到檔案系統管理。而使用者只要透過檔案總管,就像使用館藏系統一樣便能輕鬆進行相關操作。簡而言之,檔案系統有維護著一個表格,存放著目前有哪些資料夾或檔案,及其名稱與所存放的位置等資訊。

各位可以想像一下,若此刻館藏系統因故關閉無法使用,你要如何才能找到想借的書呢?也許有人會說,很簡單啊,問館員或自己到處逛,應該也可以找的到。把此情境搬到電腦之中,就如同把前述檔案系統所維護的那張「表」給拿掉,此時檔案總管中還能看到目前有哪些資料夾或檔案嗎?答案絕對是否定的。

如此一來,各位便可以理解了,磁碟格式化的效果就如同把圖書館的館藏系統關閉,讓你無法藉由系統進行查詢了。而此時雖然看似什麼書都查不到了,但其實書還在架上並沒有不見。因此,硬碟分區格式化之後,只是失去了記錄相關資訊的目錄罷了,資料本體仍存放在原處。

各位可能或多或少都曾有過不慎將存有資料的裝置進行格式化的經驗,現在聽了上述解說,你便可以了解到要對遭到格式化的儲存裝置進行資料救援,並非難如登天,關鍵就在於找回檔案系統維護的那個「表」即可。只要有了那個目錄,想找到格式化前登記在案的那些資料夾和檔案,就輕而易舉不費吹灰之力了。

找回檔案配置「表」,就復原了檔案!

至於如何找到那張「表」?聰明的讀者應該已經猜到它肯定是個檔案才是。沒錯,而不同檔案系統的管理機制有所不同,其代表檔案配置的表也不同,以 NTFS 檔案系統而言,那張表叫做「MFT」;而 FAT 檔案系統的表則叫 FAT(File Allocation Table)。

也許有人會說他根本沒在檔案總管中看過這些檔案,的確,這配置表是屬於系統保護檔案,無法藉由檔案總管存取,但仍可透過鑑識工具或資料救援工具進行存取。

我們再把焦點拉回前述我們已完成格式化的隨身碟,儘管看似空無一物,沒有任何檔案或資料夾存在其中,但經以專業工具進行回復,竟能順利找到那些代表檔案配置的「表」了,如下圖所示。

也許有讀者會感到好奇,找到的表不只一張,那究竟哪個表能讓我們回復出最多的資料呢?專業回復工具會把可回復資料最多的表列為最高優先,如上圖的分析結果所示。

接下來我們就來看看這張表能否按圖索驥找出那些仍然存在的資料夾及檔案,果然沒有令我們失望,分析結果如下圖所示。只要挑選欲回復的資料夾或檔案加以匯出,便可完成資料救援工作了。

在一椿電腦犯罪調查案中,若鑑識人員發現證物電腦的整顆硬碟或特定分區,裡頭竟是空無一物,便會合理懷疑可能是遭到有心人士進行格式化等滅證行為發生。為了找出與案情相關的線索,以還原犯罪事實及手法,鑑識人員便會採用專業鑑識工具進行資料還原,再對還原出的檔案內容進行分析,釐清相關案情。

數位鑑識是門嚴謹的科學,各位應該聽過一句俗諺「The footprint in the sand shows where you have been.」這與常言道:「凡走過必留下痕跡」毫無二致。至此相信各位對數位鑑識科學應有了進一步的認識,下回將為各位進一步說明檔案刪除的奧秘,敬請期待。

參考資料:

活躍星系核_96
752 篇文章 ・ 100 位粉絲
活躍星系核(active galactic nucleus, AGN)是一類中央核區活動性很強的河外星系。這些星系比普通星系活躍,在從無線電波到伽瑪射線的全波段裡都發出很強的電磁輻射。 本帳號發表來自各方的投稿。附有資料出處的科學好文,都歡迎你來投稿喔。 Email: contact@pansci.asia

0

0
0

文字

分享

0
0
0
為什麼被刪除的檔案還有機會被救回來?檔案刪除時到底發生了什麼事?
活躍星系核_96
・2019/04/12 ・2759字 ・閱讀時間約 5 分鐘 ・SR值 522 ・七年級

國民法官生存指南:用足夠的智識面對法庭裡的一切。

  • 慕容峰│從事數位鑑識工作多年,在分析證物的過程中,彷佛側耳傾聽證物娓娓道來一般,同時審慎客觀地仔細分析察看,即便是旁枝末節也不輕易放過,浸淫其中而樂此不疲。

當提到不小心刪除檔案了,多數人的直覺反應會是「完蛋了」,接下來的念頭通常是「還救的回來嗎?」在回答這個問題之前,先讓要大家了解的是,當檔案被建立或刪除時,背後的處理機制有何玄機。

檔案刪除時 Ctrl+Z 救不回來,但不代表就沒救喔。圖/wikimedia

檔案系統的機制就像是餐廳的訂位系統

儘管檔案系統(File System)的種類眾多,常見的如 FAT、NTFS、Ext2/3/4、HFS/HFS+,但以數位鑑識的觀點來看待這些檔案系統,當掌握了其特性之後,你會發現它們其實很單純,皆是有著猶如餐廳訂位系統般的運作機制。

大家應該都有在餐廳訂位的經驗,當訂位完成時,訂位系統已註記了你所預訂的是哪一廳的哪些座次,這就與檔案系統的機制不謀而合。為了單純化起見,以下就以 FAT 這個檔案系統為例以有效地說明。

檔案的過程如同你到餐廳預約席位。圖/pexels

當檔案被建立時,檔案系統會記錄此檔案的相關屬性值及儲存資料內容。而存放資料內容的基本單位,便是所謂的「cluster」,我們可以把它想像成是一個個的容器,即猶如一個個的餐廳座位一樣。當檔案愈大,就好比是聚餐的參與者愈多,需要更多的座位一般,檔案系統就會為其配置更多的 cluster以存放該檔案的資料內容。

此外還會在「directory entry」記錄此檔案的檔案名稱、副檔名、起始 cluster 號碼,及檔案大小等屬性值。並於FAT表註記該檔案所佔用的 cluster 編號是幾號到幾號。此一目的在於標記這些 cluster 已被佔用,就像是餐廳的座位若已被訂走就無法將其再開放讓其它人來訂一樣,如此才能確保檔案系統運作順遂。

當然了,一個資料量很大的檔案所佔用的 cluster 號碼可不見得是連號的哦,這部份亦可由FAT表中看出端倪。就算不是連號各位也不用為檔案系統操心,在FAT表中的記錄足可以串連出一個檔案所佔用的所有 cluster 無誤。

如下圖所示,D槽的磁碟標籤為「Disk」,目前裡頭有 2 個檔案,分別為「file1.txt」及「_News.txt」,留意一下 2 個檔案的大小。由於txt是明文形式的檔案內容,以這種純文字檔來為各位說明最是簡明易懂。

或許有人會有疑問,怎知道這 2 個檔案各是佔用了多少 cluster 呢?沒錯,這就牽涉到 D 槽在格式化之初,所選擇的「配置單位大小」。下圖便是 D槽這個分區目前的配置狀況,由「Bytes per cluster: 2048」可清楚的得知一個 cluster 的大小是 2048 bytes,至於「sector」在此暫不論及,以免讀者們混淆不清就更是摸不著頭緒了。

我們就先來看看 file1.txt 好了,使用hex editor工具來查看 D 槽,file1.txt的資料內容及hex值如下圖所示,而其檔案大小為0.6KB,對照前述D槽的cluster資訊,便可輕易推導出file1.txt只佔用了一個cluster。

那要如何得知它佔用的是哪一個cluster呢?接著我們來看一下directory entry,如下圖所示,紅色框住部份便是file1.txt的相關屬性記錄,而其中綠色框住部份的「02 00」,便是此檔案的起始cluster號碼,由於其為Little Endian的定序。經轉換後得知file1.txt的起始cluster號碼為「2」。

接著我們便可定位到FAT表中的cluster 2,如下圖紅色框住部份所示的值,即是file1.txt這個檔案在檔案系統中的「訂位記錄」了。

但由於這檔案很小僅佔用了一個cluster,我們再看看_News.txt有何不同。_News.txt的文本內容及hex值如下圖所示,此檔案的大小為2.9KB。

聰明的讀者們至此應該已經知道了,它佔用了一個以上的cluster,那要如何得知它佔用了哪些個cluster呢?如同前述的作法,我們要先得知它的起始cluster才行。來看一下它的directory entry便知道了,如下圖所示,_News.txt的起始cluster號碼是「5」。

再定位到FAT表中的cluster 5,如下圖紅色框住部份所示的值,其中「06 00」即表示它不僅佔用了cluster 5,同時也佔用了cluster 6。而其後的「FF FF」即表示結尾之意。

或許會有讀者感到好奇,file1.txt的起始cluster是2,且它只佔用一個cluster,而_News.txt的起始cluster卻是5,為何不是3呢?原因很簡單,因為cluster 3及cluster 4早就被佔用了,如下圖所示,佔用這2個cluster的分別是資源回收筒及其下的檔案desktop.ini。

刪除檔案所產生的變化

那刪除檔案會產生何種變化呢?如同餐廳訂位系統一樣,若用餐畢離席時,原本被佔用的座位就可以空了出來,再開放給其它人訂位。我們就來看一下把file1.txt及_News.txt 刪除之後的變化,如下圖所示,此時 D 槽在檔案總管中已空無一物。

若查看 file1.txt的 directory entry,發現 file1.txt 的檔案名稱已變的不易辨識,沒錯,原因即就在於下圖紅色框住的值已變成了「E5」之故。

那麼 _News.txt 是不是也有相同的變化呢?是的,其directory entry的起始值也變成了「E5」,這便是FAT檔案系統中檔案遭到刪除後所呈現的特徵值。

值得留意的是,除此之外,其它像是副檔名、起始 cluster、檔案大小等屬性值並未受到影響。但是,剛為各位說明了這 2 個檔案既被刪除,其原本佔用的cluster就該釋出而不能繼續佔用了,我們接著觀察一下 FAT 表是否有相應的變化。如下圖紅色框住部份所示,沒錯,這 2 個檔案本來佔用的 cluster 皆已被註記為「00 00」,代表已釋出,那些cluster可再被其它新進來的檔案去佔用了。

當然了,一般人最關心的仍是,有沒有機會救回這 2 個檔案的原有資料內容呢?答案是「有機會」的,只要是在尚未被新資料內容給覆蓋之前,都有機會可救回。下圖所示便是 file1.txt 的資料內容,目前仍完好如初。

再看_News.txt的內容如下圖所示,亦是完好如初。因為當刪除檔案之時,資料本體尚在,只是儲存資料的容器遭釋出可允許新資料寫入。這也就是我們常說的,傳統硬碟(SSD除外)的資料救援有著較高的成功機率之故。

但要留意的是,究竟是比較早刪還是比較晚刪的檔案內容易遭到覆蓋,則未有定論,畢竟這是作業系統及檔案系統在進行處理,非人為能夠介入決定。

數位鑑識是一門嚴謹的科學,當鑑識人員對電子跡證的本質有了更深入的了解,便能在需要對證物中的遭刪除資料進行回復時,採取穩當而有效的措施。

參考資料

文章難易度
活躍星系核_96
752 篇文章 ・ 100 位粉絲
活躍星系核(active galactic nucleus, AGN)是一類中央核區活動性很強的河外星系。這些星系比普通星系活躍,在從無線電波到伽瑪射線的全波段裡都發出很強的電磁輻射。 本帳號發表來自各方的投稿。附有資料出處的科學好文,都歡迎你來投稿喔。 Email: contact@pansci.asia