Якщо ви раніше дивилися кримінальне телешоу, ви, напевно, бачили, як аналітики отримують дані з телефону. Наскільки реалістичні ці процедури, і чи може поліція відновити видалені фотографії, тексти та файли з телефону? Давайте розберемося, що може зробити судовий аналітик із телефоном.
Чому відбуваються мобільні криміналістичні розслідування
Мобільне судово-медичне розслідування відбувається, коли дані по телефону мають вирішальне значення для справи. Багато інших випадків було відкрито завдяки інформації, отриманій із телефону жертви чи злочинця.
Навіть проста інформація, як одне текстове повідомлення, може допомогти слідчим вирішити справу. В інших випадках це більш складна картинка, намальована видаленими журналами викликів, позначками часу, даними геолокації та використанням програми.
Історія пошуку може виявитись викривальною. Багато типів інформації можуть допомогти поліції розкрити злочин - і телефони зберігають багато такої інформації.
Навіть якщо ви не є головним підозрюваним, поліція може захотіти заглянути в ваш телефон. Телефони, що належать жертвам злочинів, можуть надати поліції цінні дані, особливо якщо ці жертви недієздатні або зникли безвісти.
Що може знайти поліцейська криміналістика?
Криміналістичні аналітики можуть здійснювати різні види збору даних. Найпростіший відомий як "ручне отримання ", і він передбачає звичайний пошук по телефону. Це не виявляє видалених даних, тому аналітикам це не говорить багато.
"Логічне отримання" забезпечує більш докладні дані. Це передбачає передачу даних з телефону на ПК. Ця передача полегшує судовим слідчим роботу з даними, але все одно навряд чи вдасться відновити видалену інформацію.
Коли слідчі хочуть побачити приховані дані, вони використовують "отримання файлової системи". Мобільні пристрої - це великі бази даних, і отримання файлової системи дає слідчому доступ до всіх файлів у базі даних. Сюди входять приховані та кореневі файли, але все одно відсутні видалені дані.
Нарешті, є "фізичне отримання". Це найважчий вид отримання інформації, оскільки йому потрібні спеціальні інструменти для скидання копії сховища у файл. Однак це показує все - навіть видалені файли. Це дозволяє проводити такі процедури, як відновлення текстових повідомлень судово-медичного характеру.
Чи може поліція відновити видалені текстові повідомлення та засоби масової інформації?
Можливо, вам цікаво, як поліція може читати видалені текстові повідомлення. По правді кажучи, коли ви видаляєте щось зі свого телефону, воно не зникає миттєво.
Флеш-пам’ять у мобільних пристроях не видаляє файли, поки їй не потрібно відкрити місце для чогось нового. Він просто "деіндексує" його, по суті забуваючи, де він знаходиться. Він все ще зберігається, але телефон не знає, де і що це.
Якщо телефон не перезаписав видалені дані, інший компонент програмного забезпечення може знайти їх. Ідентифікувати та розшифрувати це не завжди легко, але криміналістична спільнота має надзвичайно потужні інструменти, які допомагають їм у цьому процесі.
Якщо ви щось видалили кілька місяців тому і часто користуєтесь телефоном, є велика ймовірність того, що файлова система вже перезаписала його. Якщо ви видалили його лише кілька днів тому, то більше шансів, що воно все ще є десь.
Деякі пристрої iOS, як-от новіші iPhone, роблять додатковий крок. Окрім деіндексації даних, вони також їх шифрують - і немає відомого ключа дешифрування. Це виявиться надзвичайно важким (якщо не неможливим) обійти.
Багато телефонів автоматично створюють резервні копії на комп’ютері користувача або в хмарі. Витягнути дані з цієї резервної копії може бути простіше, ніж із телефону. Ефективність цієї стратегії залежить від того, як недавно телефон виконував резервне копіювання та послугу, що використовується для зберігання файлів.
Які типи файлів можна відновити?
Типи відновлюваних файлів можуть залежати від пристрою, над яким працює судовий аналітик. Однак існує кілька основних типів, які можуть бути відновлені:
- Текстові повідомлення та повідомлення iMessages
- Історія дзвінків
- Електронні листи
- Примітки
- Контакти
- Події календаря
- Зображення та відео
Також можливо, що слідчі можуть відстежувати видалені повідомлення WhatsApp - якщо вони не були зашифровані. Якщо ви використовуєте Android для зберігання файлів, ці файли, можливо, все ще висять у сховищі.
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.
