Ты думаешь, удалил всё? Очистил корзину, форматнул диск, сбросил телефон до заводских настроек и спокойно спишь? Забудь. В руках форензика твой "чистый" девайс превращается в кладезь информации. Подключили к оборудованию, запустили софт - и через пару часов на экране появятся все фотки, чаты, пароли и история браузера. Включая то, что удалял полгода назад. Давай разберёмся, как это работает и где реальный предел.
"Удалить" ≠ "стереть"
Когда ты удаляешь файл, система не стирает его. Она просто помечает сектор как свободный. Файл физически остаётся на носителе. HDD - как книга, из которой вырвали страницу из оглавления: страница на месте, просто система о ней "забыла".
На HDD место остаётся нетронутым, пока не перезапишешь его. Минуты, месяцы, годы - пока не затёрто, восстановить реально.
На SSD другой механизм, но не настолько магический, как думают многие.
HDD - рай для форензика
Классический жёсткий диск - мечта следователя. Данные записываются последовательно, удаление не стирает их. Форензик вытаскивает:
Быстрое форматирование - только таблицу файлов чистит, данные остаются. Полное форматирование с нулями лучше, но некоторые фрагменты всё равно иногда вылавливаются. Один проход нулями на современном HDD делает данные практически невосстановимыми. Миф про "считывание остаточной намагниченности" - архаика 90-х.
SSD - не панацея, но сложнее
SSD использует NAND и TRIM. Удаление файла отправляет команде контроллеру: "сотрите эти блоки". И он может сделать это мгновенно. Это нужно для скорости.
Мобильная форензика
Cellebrite, MSAB XRY, Magnet AXIOM - лидеры рынка. Методы:
Даже после factory reset можно достать:
Свежие iPhone (iOS 17+) и Pixel с GrapheneOS почти не берутся - шифрование и Secure Enclave/Titan M2 делают восстановление невозможным без эксплойтов.
Алгоритм работы форензика
Инструменты: EnCase, FTK, Autopsy, X-Ways, Magnet AXIOM.
Что реально невосстановимо
Практика для выживания
Если работать с чувствительной информацией - забудь про быстрые форматы, корзины и хаки. Дисциплина и шифрование - твой единственный щит.
"Удалить" ≠ "стереть"
Когда ты удаляешь файл, система не стирает его. Она просто помечает сектор как свободный. Файл физически остаётся на носителе. HDD - как книга, из которой вырвали страницу из оглавления: страница на месте, просто система о ней "забыла".
На HDD место остаётся нетронутым, пока не перезапишешь его. Минуты, месяцы, годы - пока не затёрто, восстановить реально.
На SSD другой механизм, но не настолько магический, как думают многие.
HDD - рай для форензика
Классический жёсткий диск - мечта следователя. Данные записываются последовательно, удаление не стирает их. Форензик вытаскивает:
- Полностью удалённые файлы, если сектора не перезаписаны - с именами и путями.
- Фрагменты файлов, даже частично затёртые, через карвинг.
- Журналы файловой системы ($LogFile, $UsnJrnl) - вся история создания, переименования, удаления.
- MFT-записи в NTFS - имя, путь, размер, даты остаются даже после удаления.
- Slack space - хвосты старых файлов после записи меньших новых.
Быстрое форматирование - только таблицу файлов чистит, данные остаются. Полное форматирование с нулями лучше, но некоторые фрагменты всё равно иногда вылавливаются. Один проход нулями на современном HDD делает данные практически невосстановимыми. Миф про "считывание остаточной намагниченности" - архаика 90-х.
SSD - не панацея, но сложнее
SSD использует NAND и TRIM. Удаление файла отправляет команде контроллеру: "сотрите эти блоки". И он может сделать это мгновенно. Это нужно для скорости.
- DZAT - современные SSD стирают данные почти сразу после удаления. Окно для восстановления - минуты.
- MFT и журналы не трогаются TRIM, метаданные и история остаются.
- Wear leveling и over-provisioning - старые блоки иногда живут в недоступных областях, доступ к которым требует спецоборудования.
- Chip-off - крайняя мера: выпаиваешь чип, читаешь напрямую. Дорого и сложно, но иногда единственный способ.
Мобильная форензика
Cellebrite, MSAB XRY, Magnet AXIOM - лидеры рынка. Методы:
- Logical - контакты, звонки, фото.
- File System - все файлы, включая удалённые.
- Physical - побитовая копия памяти.
- Cloud - iCloud, Google, WhatsApp через токены.
Даже после factory reset можно достать:
- Чаты, контакты из SQLite WAL/journal.
- Миниатюры фотографий, кэш, логи, историю браузера.
Свежие iPhone (iOS 17+) и Pixel с GrapheneOS почти не берутся - шифрование и Secure Enclave/Titan M2 делают восстановление невозможным без эксплойтов.
Алгоритм работы форензика
- Изъятие - устройство в Faraday bag.
- Образ - побитовая копия через write blocker.
- Анализ файловой системы - MFT, журналы, удалённые записи.
- Карвинг - поиск по сигнатурам (JPEG, PDF, ZIP/DOCX).
- Таймлайн - хронология событий.
- RAM-анализ - если дамп снят до выключения, пароли и ключи извлекаются.
Инструменты: EnCase, FTK, Autopsy, X-Ways, Magnet AXIOM.
Что реально невосстановимо
- SSD после TRIM и сборки мусора - тело файла исчезает, MFT остаются.
- HDD после однократной перезаписи нулями - достаточно по NIST 800-88 Rev 2. 35 проходов по Гутману - пережиток 90-х.
- Криптоконтейнер с длинным паролем (VeraCrypt/LUKS).
- NVMe Crypto Erase - ключ уничтожен, данные на чипах - мусор.
- Физическое уничтожение - дегауссер, шредер.
Практика для выживания
- Шифруй до появления данных: BitLocker, LUKS, FileVault. Форензик увидит только шифртекст.
- SSD - включённый TRIM реально стирает данные.
- HDD - один проход нулями через shred/nwipe достаточно.
- SSD - Secure Erase или NVMe Sanitize.
- Телефон - шифрование + factory reset уничтожает ключ.
- RAM - при рисках выключай устройство. Дамп памяти сохраняется секунды.
Если работать с чувствительной информацией - забудь про быстрые форматы, корзины и хаки. Дисциплина и шифрование - твой единственный щит.
