كما نعلم جميعاً أن الأدلة الجنائية الحاسوبية مفيدة جداً لإنفاذ وتطبيق القانون، ولكن هل يمكن للحكومات استعادة الملفات التي تم حذفها بشكل نهائي؟..يعتقد البعض أنه عندما يقوم بحذف الملفات من محرك الأقراص الصلب فإنه بذلك قد طمسها ولا يمكن استعادتها، ولكن الأمر مختلف تماماً حيث أنه مع ما يكفي من الجهد والمهارة الفنية، غالباً يمكن استعادة الملفات والمستندات والصور المحذوفة. وهنا يأتي السؤال المهم، كيف تتم استعادة الملفات المحذوفة، وهل يمكن فعلاً استرداد الملفات المحذوفة في جميع الحالات؟ هذا ما سوف نتعرف عليه في هذا المقال.
بكل تأكيد تعطي بعض السلطات القضائية الحق لمسؤوليها بفحص الأجهزة الإلكترونية في معظم القضايا، حتى أنه في بعض الحالات يمكن أن تقوم الحكومات بفحص الأجهزة الالكترونية بدون إذن للحصول على الأدلة، ومع ذلك فإنه يجب أن تلتزم الشرطة بمجموعة من القواعد والإجراءات لضمان مقبولية الأدلة. في النهاية هذه كلها أمور قضائية لا دخل لنا بها، ولذا سوف نقوم بمناقشة الأمور التقنية التي تخصنا.
اولاً، لكي تكون على دراية بالصورة كاملة، فهناك الكثير من العوامل التي تعتمد عليها عملية استرجاع الملفات المحذوفة، وهي التي تحدد أيضاً مدى سهولة وصعوبة استرجاع هذه الملفات؛ ومن أهم هذه العوامل هو نوع القرص الصلب المستخدم، وما إذا تم تشفيره مسبقاً أم لا؟ فعلى سبيل المثال هناك العديد من أنواع الأقراص الصلبة مثل محركات الأقراص الصلبة "SSD" التي تتميز بالسرعات العالية، ومحركات الأقراص الثابتة الميكانيكية "HDD" التي كانت تعتبر آلية التخزين السائدة لكثير من السنوات، وكلاً منهما يؤثر بشكل كبير جداً على عملية استعادة الملفات المحذوفة، ولكن ما السبب في ذلك؟ والحقيقة أنه لكي تتمكن من معرفة السبب، فيجب أولاُ أن تعلم كيف تتم إدارة عمليات الكتابة والحذف في الأقراص الصلبة.
كيف تقوم الأقراص الصلبة بإدارة عمليات الكتابة والحذف
بدايةً، يجب أن تعلم أن محركات الأقراص الثابتة "HDD" تستخدم جزء معين يسمى بالأطباق المغناطسية لتخزين البيانات الخاصة بك، إذا سبق لك أن قمت بتفكيك أحد الأقراص الصلبة فستلاحظ وجود جزء دائري وفضي اللون، هذه هي الأطباق المغناطسية. تدور هذه الأطباق بسرعات عالية جداً تتراوح ما بين 5400 إلى 7200 دوره في الدقيقة أثناء الاستخدام، بل إن هناك بعض الأقراص يمكن أن تدور بسرعة 15000 دورة في الدقيقة، شيء خيالي!
ويرتبط بهذه الأطباق رؤوس مسئولة عن عمليات القراءة والكتابة، فعادةً عندما تقوم بحفظ ملف معين ينتقل الرأس إلى جزء معين من الطبق ويقوم بتحويل التيار الكهربي إلى تيار مغناطيسي لإتمام عمليات القراءة والكتابة. ولكن كيف تتمكن هذه الرؤوس من عمل ذلك مع عدد لا نهائي من الملفات المختلفة؟! والحقيقة أنها تقوم تلقائياً بالبحث في شيء يسمى جدول التخصيص "allocation table" والذي يحتوي على سجل مخصص لكل ملف مخزن على القرص الصلب.
والان بعد توضيح كيفية إدارة الأقراص الصلبة لعمليات الكتابة وحفظ البيانات نتنقل إلى الجزء الآخر، وهو الذي سنوضح فيه ما الذي يحدث عند حذف أحد الملفات. كما ذكرنا أن كل ملف له سجل مخصص على القرص الصلب، وبالتالي فإنه عند حذف أحد الملفات يتم حذف السجل الخاص بهذا الملف على القرص الصلب، وبناءاً عليه، فإن المساحة التي كان يشغلها هذا الملف أصبحت فارغة ويمكن الكتابة عليها في وقتٍ لاحق لتخزين ملفات أخرى.
ومع ذلك فإن البيانات الخاصة بهذا الملف لا يتم حذفها نهائياً حيث أنها تكون موجودة فعلياً على الأطباق المغناطسية ولا يتم حذفها إلا بعد إضافة بيانات جديدة إلى هذا الموقع المحدد على الطبق المغناطيسي. وهذا الذي يجعل أمر استعادة الملفات المحذوفة من الأقراص الصلبة "HDD" سهل نسبياً. يمكنك أيضاً معرفة المزيد حول آلية عمل برامج الريكفري وكيف تستطيع استعادة ما تم حذفه من ملفات، حيث تناولنا ذلك بالتفصيل في موضوع سابق.
إقرأ أيضاً:تجربتنا الناجحة لاستعادة الصور والفيديوهات المحذوفة من الفلاشة
هل آلية عمل الأقراص الصلبة "SSD" مثل "HDD" أم أنها مختلفة؟
الأقراص الصلبة "SSD" مختلفة تماماً عن الأقراص الصلبة "HDD"، وهي تمثل عائق كبير للحكومات في عملية استعادة الملفات المحذوفة، حيث أنها لا تحتوي على أي رؤوس متحركة ولا أطباق مغناطسية. فبدلاً من ذلك تقوم بتمثيل الملفات على هيئة إلكترونات تحتفظ بها تريليونات من الترانزستورات العائمة، وتتحد هذه الترانزستورات لتكوين رقائق تسمى "NAND flash chips". انها عملية معقدة نوعًا ما، ولكن بشكل عام طبيعة عمل وحدات SSD والمختلفة عن الـ HDD تجعلها قادرة على محو آثر الملفات المحذوفة.
بجانب أن أقراص SSD لن تقوم بكتابة أي بيانات جديدة، إلا عندما تكون الكتلة أو المساحة خالية تماماً من المحتوى. وللتأكد من أن الأقراص الصلبة تحتوي على تدفق مستمر دائماً من الكتل المتاحة، فإن الجهاز يُصدر أمر يسمى “TRIM command” والذي يُعلم أقراص SSD بالكتل التي لم تعد مطلوبة. وبناءاً على ذلك فإن البيانات المحذوفة تصبح بعيدة إلى حد كبير عن أيدي الحكومة والمحققين. ونظراً إلى أن أقراص SDD يمكنها تحمل عدد محدود من عمليات الكتابة، فإنه من المهم توزيعها عبر محرك الأقراص، ولذلك فإنها تقوم بتفرقة الملفات إلى كتل متعددة عبر محرك الأقراص لتقليل التآكل والتلف الناتج عن الاستخدام اليومي.
وتسمى هذه التقنية بضبط التآكل "wear leveling" وقد عُرف عنها أنها تجعل أمر استعادة الملفات المحذوفة صعب إلى حد كبير. كل هذه الأمور بجانب أنه في الغالب لا يمكن إزالة أقراص SSD فعلياً من الجهاز، حيث أن بعض الشركات المصنعة تختار لحام أقراص التخزين فعلياً على اللوحة الأم للجهاز، مما يجعل استخراج المحتويات بطريقة سليمة أصعب بكثير على المتخصصين في إنفاذ القانون. وهذا على عكس الأقراص الثابتة التي تكون دائماً قابلة للاستبدال.
المضاعفات والتحديات الحقيقية
بعد كل هذه الأمور وفي ختام مقالنا يمكن أن نقول، أنه بالفعل يمكن للحكومات في بعض الأحيان استرداد الملفات التي قمت بحذفها من جهازك، ومع ذلك فقد أدى التقدم في تكتولوجيا التخزين والتشفير إلى تعقيد الأمور إلى حد كبير. ومع ذلك يمكن في كثير من الأحيان التغلب على هذه المشاكل التقنية. ولكن المشكلة الأساسية عندما يتعلق الأمر بالتحقيقات الرقمية هي أن الحكومات لا تمتلك الآليات والموارد الكافية، ليس هناك ما يكفي من المهنيين المدرَبين للقيام بهذه الأعمال والنتيجة النهائية هي أن العديد من قوات الشرطة حول العالم تواجه تراكماً ساحقاً في الهواتف وأجهزة الكمبيوتر المحمولة والخوادم غير المجهزة. وللأسف هذه المشكلة لا يمكن حلها بدون إنفاق المزيد من الأموال لتدريب الأشخاص والحصول على أشخاص لديهم القدرة المهنية لأداء هذه الأعمال.
تعليقات
إرسال تعليق