如果是採用詐騙集團的毀壞數位證據的手段,就是全毀,至少拿到的第一手證物,DIR是全沒有檔案的。
但這整起事件是只有關鍵110分鐘影片不見,其它不相關的影片都在,就表示有命令面(長官) + 技術面(工程人員)的支撐力道。
事後再向調查局進行數位鑑識及影片還原,102/07/21軍方說法還原回來的還是黑畫面,
不管如何調查局還是有保留一份完整磁區的硬碟數位資料,因為這是鑑識人員的基本動作,至少我看到新聞是有講到這一段,該保留證物也密封送交法務部保存
來看一下檔案在硬碟基本架構,圖中的目錄區就是我們一般在Dir 或是在檔案總管看到的檔案列表,而FAT區是關於硬碟中每一個sector以固定 size來畫分後的編號表,有一些大的檔案一個Sector是無法填滿,所以會有好幾個Sector來組合成一個檔案,圖中FILE就佔了4個Sector,而FAT只是一張表格,真正的資料是在資料區中。
如果只是一般的檔案刪除動作,其是把目錄區FILE刪除,FAT區的Sector編號改成"可使用"狀況,意謂著等待下一個檔案的寫入及佔用。
請記著,如果是馬上刪除檔案,緊接著進行檔案還原成功率最高,但如果還是同一顆硬碟,持續錄影,那表示極有可能下一個影片會佔用到"前一個影片"的資料區,那就會有造成無法成功還原完整的影片檔。
而這個事件在發生後,如果影片是被刪除,在事隔多日後,極有可能"關鍵影片"已被其它錄影檔覆蓋,但今天這是影片檔,就算是有幾個sector被覆蓋掉了,還是有一些未被覆蓋,而這些未被覆蓋的影片檔還是可以被還原回來。
除非是真的遇到高手了
就怕這位技術 人員有意徹底刪除檔案,在有足夠的時間進行大量反復的刪除及覆蓋的動作,那這些關鍵影片,可能就真的永遠消失在人世間。
檔案粉碎機( File Shredder)
http://www.fileshredder.org/
這種工具很多,知道的人並不多,但軍方很重視這方面的刪除技術 ,畢竟是國防極密,所以國軍在刪除檔案方面有一定的要求,只是一般我們刪除一個檔案不到幾微秒,因為只是刪除目錄區及FAT區,而真正的徹底刪除檔案是直接殺到資料區,而且不只覆寫一次,最高的標準是覆寫35次。
以時間換取徹底刪除的功效,如果禁閉室的錄影檔是採用軍規的刪除技術,那影片檔案將永遠消失,只是本來拿來保護國家機密的技術,被拿來刪除對軍方的不利證據,真是令人心寒。
願仲丘好走
南無阿彌陀佛
南無阿彌陀佛
南無阿彌陀佛
