- Сообщения
- 93
- Реакции
- 237
Ты удалил переписку. Очистил корзину. Отформатировал диск. Может даже сбросил телефон до заводских настроек. Спишь спокойно
А потом твоё устройство попадает к форензику. Он подключает его к чемоданчику, запускает софт — и через пару часов всё что ты "удалил" лежит на экране. Фотки, чаты, пароли, история браузера. Включая то что ты удалил полгода назад
Как это работает и где реальный предел — разберём
Почему "удалить" не значит удалить
Когда ты удаляешь файл, система не стирает данные. Она просто помечает место как "свободное". Файл физически остаётся на диске — просто файловая система больше не знает про него. Как если бы ты вырвал страницу из оглавления книги, но сама страница на месте
На HDD (обычный жёсткий диск) это место будет лежать нетронутым пока туда не запишется что-то новое. Может через минуту. Может через год. Пока не перезаписано — файл восстановим
На SSD ситуация другая, но не настолько другая как многие думают
HDD — золотое дно для форензика
Классический жёсткий диск — самый благодарный для восстановления. Данные записываются последовательно на магнитные пластины. При удалении — остаются
Что форензик может достать с HDD:
- Удалённые файлы — если сектора не перезаписаны, восстанавливаются полностью с именами и путями
- Фрагменты файлов — даже если часть перезаписана, оставшиеся куски вытаскиваются через карвинг (поиск по сигнатурам — заголовкам файлов)
- История файловой системы — NTFS хранит журнал $LogFile и $UsnJrnl. Там записано что создавалось, переименовывалось, удалялось. Даже если файла нет — след в журнале есть
- MFT-записи — Master File Table в NTFS содержит метаданные каждого файла. При удалении запись помечается как "не используется", но не стирается. Имя, размер, даты, путь — всё на месте
- Slack space — если новый файл меньше старого и записан в тот же кластер, хвост старого файла остаётся. Форензик это видит
Даже после быстрого форматирования данные остаются — формат просто обнуляет таблицу файлов, не сами данные. Полное форматирование (не быстрое) перезаписывает нулями — это уже серьёзнее, но некоторые инструменты всё равно находят фрагменты
После однократной перезаписи нулями на современных HDD восстановить данные практически невозможно. Миф про "считывание остаточной намагниченности" — это из 90-х. На плотностях записи 2026 года это нереально
SSD — сложнее но не безнадёжно
SSD работает на NAND-флеш памяти. Принципиальное отличие — команда TRIM
Когда ты удаляешь файл на SSD, ОС отправляет контроллеру команду TRIM: "эти блоки больше не нужны". Контроллер может стереть их в любой момент — через секунды или минуты. Не когда-нибудь потом при перезаписи, а сейчас. Это нужно для производительности — SSD не может записывать в грязные ячейки
Три режима TRIM (определяются контроллером):
Большинство современных SSD используют DZAT. Это значит что после удаления файла данные стираются в течение минут. Окно для восстановления — узкое
Но не всё потеряно для форензика:
- MFT-записи не подвержены TRIM. Метаданные файлов (имена, даты, пути) часто сохраняются даже когда содержимое стёрто
- Журналы ФС ($LogFile, $UsnJrnl) — тоже хранятся отдельно и живут дольше
- Wear leveling — контроллер SSD распределяет запись равномерно по ячейкам. Старые копии данных могут жить в "резервных" блоках недоступных через обычный интерфейс
- Over-provisioning — SSD держит 7-15% ёмкости в резерве. Эти области недоступны пользователю, но форензик с правильным оборудованием может их прочитать напрямую с чипа
Прямое чтение NAND-чипов (chip-off) — крайний метод. Чип выпаивается, читается программатором. Дорого, сложно, но иногда единственный способ
Телефоны — Cellebrite и компания
Мобильная форензика — отдельная индустрия. Три основных игрока:
Cellebrite UFED — лидер рынка. Поддерживает тысячи моделей телефонов, планшетов, дронов, SIM-карт, GPS. Методы извлечения:
- Logical extraction — через API устройства. Контакты, звонки, SMS, фото
- File System extraction — полная файловая система. Включая удалённые файлы если место не перезаписано
- Physical extraction — побитовая копия всей памяти. Максимум данных
- Cloud extraction — данные из iCloud, Google, WhatsApp бэкапов по токенам
MSAB XRY — второй по популярности. Аналогичные возможности, иногда лучше работает с конкретными моделями Android
Magnet AXIOM — сильный в аналитике. Хорош для кросс-анализа данных из разных источников
Что достаётся с телефона после factory reset:
- SQLite базы данных мессенджеров (чаты, контакты) — часто восстановимы из WAL-файлов и journal
- Фотографии — миниатюры (thumbnails) живут отдельно от оригиналов и часто переживают удаление
- История браузера — записи в SQLite, удалённые строки восстановимы через карвинг базы
- Данные приложений — кеши, логи, преференсы
Но. Свежие iPhone (iOS 17+) и Pixel с GrapheneOS на последних патчах — реально сложны для Cellebrite. Полнодисковое шифрование + Secure Enclave/Titan M2 + правильный пароль = мало что извлечёшь без экплоита. На момент 2026 не все устройства и не все версии ОС подвержены
Что ищет форензик и как
Типичный процесс:
1. Изъятие — устройство изымается, сразу в экранированный пакет (Faraday bag) чтобы не получило команду удалённой очистки
2. Образ — побитовая копия через write blocker. Оригинал не трогается, работа идёт с копией
3. Анализ файловой системы — MFT, журналы, удалённые записи
4. Карвинг — поиск файлов по сигнатурам в неразмеченном пространстве. JPEG начинается с FF D8, PDF с %PDF, ZIP/DOCX с PK. Инструменты: Autopsy, FTK, Scalpel, PhotoRec
5. Таймлайн — восстановление хронологии событий. Когда файл создан, изменён, удалён. Из MFT timestamps, журналов, логов
6. RAM-анализ — если дамп памяти снят до выключения — пароли, ключи шифрования, открытые документы. Volatility Framework для анализа
Инструменты: EnCase, FTK (Forensic Toolkit), Autopsy (бесплатный), X-Ways Forensics, Magnet AXIOM
Что реально невосстановимо
Вот что форензик не достанет:
- SSD после TRIM + время — если прошло больше нескольких минут и контроллер выполнил сборку мусора, содержимое файлов стёрто. MFT-записи могут остаться, но тело файла — нет
- Полная перезапись на HDD — один проход нулями на современном диске достаточен. Стандарт NIST 800-88 Rev 2 (сентябрь 2025) подтверждает — для современных носителей однократная перезапись достаточна. 35 проходов по Гутману — оверкилл, этот метод создавался для дисков 90-х годов
- Криптоконтейнер с хорошим паролем — VeraCrypt/LUKS с паролем 20+ символов. Если ключ не в RAM и пароль не записан на бумажке — вскрыть нереально
- NVMe Crypto Erase — команда санитизации NVMe уничтожает ключ шифрования контроллера. Даже если данные физически на чипах — без ключа это мусор
- Физическое уничтожение — дегауссер для HDD, шредер для SSD. Очевидно, но надёжно
Практические выводы
Если работаешь с чувствительными данными:
Шифруй до того как данные появились — полнодисковое шифрование (BitLocker, LUKS, FileVault). Если диск зашифрован с самого начала, форензику достанется только шифртекст
SSD лучше HDD для безопасности — TRIM реально стирает данные. Но только если включён (обычно по умолчанию)
Для удаления с HDD — один проход перезаписи нулями (shred, nwipe). DoD 5220.22-M с тремя проходами — если хочешь перестраховаться, но NIST говорит что достаточно одного
Для SSD — Secure Erase через утилиту производителя или NVMe Sanitize. Не обычное форматирование
Телефон — включи шифрование (на Android с 10+ включено по умолчанию). Factory reset на зашифрованном устройстве уничтожает ключ — данные превращаются в мусор. Без шифрования factory reset оставляет данные восстановимыми
RAM — при изъятии устройства его стараются не выключать (чтобы снять дамп памяти). Если рисков нет — выключи устройство. Данные в RAM живут секунды после отключения питания (cold boot attack — теоретически возможен, но на практике редок в 2026)
Вопросы по теме кидайте в ветку, разберём
А потом твоё устройство попадает к форензику. Он подключает его к чемоданчику, запускает софт — и через пару часов всё что ты "удалил" лежит на экране. Фотки, чаты, пароли, история браузера. Включая то что ты удалил полгода назад
Как это работает и где реальный предел — разберём
Почему "удалить" не значит удалить
Когда ты удаляешь файл, система не стирает данные. Она просто помечает место как "свободное". Файл физически остаётся на диске — просто файловая система больше не знает про него. Как если бы ты вырвал страницу из оглавления книги, но сама страница на месте
На HDD (обычный жёсткий диск) это место будет лежать нетронутым пока туда не запишется что-то новое. Может через минуту. Может через год. Пока не перезаписано — файл восстановим
На SSD ситуация другая, но не настолько другая как многие думают
HDD — золотое дно для форензика
Классический жёсткий диск — самый благодарный для восстановления. Данные записываются последовательно на магнитные пластины. При удалении — остаются
Что форензик может достать с HDD:
- Удалённые файлы — если сектора не перезаписаны, восстанавливаются полностью с именами и путями
- Фрагменты файлов — даже если часть перезаписана, оставшиеся куски вытаскиваются через карвинг (поиск по сигнатурам — заголовкам файлов)
- История файловой системы — NTFS хранит журнал $LogFile и $UsnJrnl. Там записано что создавалось, переименовывалось, удалялось. Даже если файла нет — след в журнале есть
- MFT-записи — Master File Table в NTFS содержит метаданные каждого файла. При удалении запись помечается как "не используется", но не стирается. Имя, размер, даты, путь — всё на месте
- Slack space — если новый файл меньше старого и записан в тот же кластер, хвост старого файла остаётся. Форензик это видит
Даже после быстрого форматирования данные остаются — формат просто обнуляет таблицу файлов, не сами данные. Полное форматирование (не быстрое) перезаписывает нулями — это уже серьёзнее, но некоторые инструменты всё равно находят фрагменты
После однократной перезаписи нулями на современных HDD восстановить данные практически невозможно. Миф про "считывание остаточной намагниченности" — это из 90-х. На плотностях записи 2026 года это нереально
SSD — сложнее но не безнадёжно
SSD работает на NAND-флеш памяти. Принципиальное отличие — команда TRIM
Когда ты удаляешь файл на SSD, ОС отправляет контроллеру команду TRIM: "эти блоки больше не нужны". Контроллер может стереть их в любой момент — через секунды или минуты. Не когда-нибудь потом при перезаписи, а сейчас. Это нужно для производительности — SSD не может записывать в грязные ячейки
Три режима TRIM (определяются контроллером):
Код:
Undefined — нет гарантий, данные могут остаться
DRAT — чтение после TRIM возвращает одинаковый результат (обычно нули)
DZAT — гарантированно нули сразу после TRIMБольшинство современных SSD используют DZAT. Это значит что после удаления файла данные стираются в течение минут. Окно для восстановления — узкое
Но не всё потеряно для форензика:
- MFT-записи не подвержены TRIM. Метаданные файлов (имена, даты, пути) часто сохраняются даже когда содержимое стёрто
- Журналы ФС ($LogFile, $UsnJrnl) — тоже хранятся отдельно и живут дольше
- Wear leveling — контроллер SSD распределяет запись равномерно по ячейкам. Старые копии данных могут жить в "резервных" блоках недоступных через обычный интерфейс
- Over-provisioning — SSD держит 7-15% ёмкости в резерве. Эти области недоступны пользователю, но форензик с правильным оборудованием может их прочитать напрямую с чипа
Прямое чтение NAND-чипов (chip-off) — крайний метод. Чип выпаивается, читается программатором. Дорого, сложно, но иногда единственный способ
Телефоны — Cellebrite и компания
Мобильная форензика — отдельная индустрия. Три основных игрока:
Cellebrite UFED — лидер рынка. Поддерживает тысячи моделей телефонов, планшетов, дронов, SIM-карт, GPS. Методы извлечения:
- Logical extraction — через API устройства. Контакты, звонки, SMS, фото
- File System extraction — полная файловая система. Включая удалённые файлы если место не перезаписано
- Physical extraction — побитовая копия всей памяти. Максимум данных
- Cloud extraction — данные из iCloud, Google, WhatsApp бэкапов по токенам
MSAB XRY — второй по популярности. Аналогичные возможности, иногда лучше работает с конкретными моделями Android
Magnet AXIOM — сильный в аналитике. Хорош для кросс-анализа данных из разных источников
Что достаётся с телефона после factory reset:
- SQLite базы данных мессенджеров (чаты, контакты) — часто восстановимы из WAL-файлов и journal
- Фотографии — миниатюры (thumbnails) живут отдельно от оригиналов и часто переживают удаление
- История браузера — записи в SQLite, удалённые строки восстановимы через карвинг базы
- Данные приложений — кеши, логи, преференсы
Но. Свежие iPhone (iOS 17+) и Pixel с GrapheneOS на последних патчах — реально сложны для Cellebrite. Полнодисковое шифрование + Secure Enclave/Titan M2 + правильный пароль = мало что извлечёшь без экплоита. На момент 2026 не все устройства и не все версии ОС подвержены
Что ищет форензик и как
Типичный процесс:
1. Изъятие — устройство изымается, сразу в экранированный пакет (Faraday bag) чтобы не получило команду удалённой очистки
2. Образ — побитовая копия через write blocker. Оригинал не трогается, работа идёт с копией
3. Анализ файловой системы — MFT, журналы, удалённые записи
4. Карвинг — поиск файлов по сигнатурам в неразмеченном пространстве. JPEG начинается с FF D8, PDF с %PDF, ZIP/DOCX с PK. Инструменты: Autopsy, FTK, Scalpel, PhotoRec
5. Таймлайн — восстановление хронологии событий. Когда файл создан, изменён, удалён. Из MFT timestamps, журналов, логов
6. RAM-анализ — если дамп памяти снят до выключения — пароли, ключи шифрования, открытые документы. Volatility Framework для анализа
Инструменты: EnCase, FTK (Forensic Toolkit), Autopsy (бесплатный), X-Ways Forensics, Magnet AXIOM
Что реально невосстановимо
Вот что форензик не достанет:
- SSD после TRIM + время — если прошло больше нескольких минут и контроллер выполнил сборку мусора, содержимое файлов стёрто. MFT-записи могут остаться, но тело файла — нет
- Полная перезапись на HDD — один проход нулями на современном диске достаточен. Стандарт NIST 800-88 Rev 2 (сентябрь 2025) подтверждает — для современных носителей однократная перезапись достаточна. 35 проходов по Гутману — оверкилл, этот метод создавался для дисков 90-х годов
- Криптоконтейнер с хорошим паролем — VeraCrypt/LUKS с паролем 20+ символов. Если ключ не в RAM и пароль не записан на бумажке — вскрыть нереально
- NVMe Crypto Erase — команда санитизации NVMe уничтожает ключ шифрования контроллера. Даже если данные физически на чипах — без ключа это мусор
- Физическое уничтожение — дегауссер для HDD, шредер для SSD. Очевидно, но надёжно
Практические выводы
Если работаешь с чувствительными данными:
Шифруй до того как данные появились — полнодисковое шифрование (BitLocker, LUKS, FileVault). Если диск зашифрован с самого начала, форензику достанется только шифртекст
SSD лучше HDD для безопасности — TRIM реально стирает данные. Но только если включён (обычно по умолчанию)
Для удаления с HDD — один проход перезаписи нулями (shred, nwipe). DoD 5220.22-M с тремя проходами — если хочешь перестраховаться, но NIST говорит что достаточно одного
Для SSD — Secure Erase через утилиту производителя или NVMe Sanitize. Не обычное форматирование
Телефон — включи шифрование (на Android с 10+ включено по умолчанию). Factory reset на зашифрованном устройстве уничтожает ключ — данные превращаются в мусор. Без шифрования factory reset оставляет данные восстановимыми
RAM — при изъятии устройства его стараются не выключать (чтобы снять дамп памяти). Если рисков нет — выключи устройство. Данные в RAM живут секунды после отключения питания (cold boot attack — теоретически возможен, но на практике редок в 2026)
Вопросы по теме кидайте в ветку, разберём
