有趣的是,倘若证物曾有进行碎片整理的痕迹,可不代表使用者就必然是心怀不轨,有做”坏事”哦~ 换言之,取证人员不能见猎心喜,”看到影子就开枪”,徒贻笑大方。取证人员要秉持科学办案,不能只以”入人于罪”为出发点,毕竟取证可是良心事业,以下我们就来探讨一下碎片整理对证物的”致命”影响。
用户常跟IT人员或网管抱怨,”工作站跑的很慢怎么工作???”最常见的处理方式除了用优化软件外,就是使用系统自带的碎片整理功能了。
在使用计算机过程,会产生各种类型文件及暂存文件,再加上使用者的增删修改等操作,躺在硬盘中的文件会有离散不连续的状况产生,因此会造成应用程序或文件操作上变的迟缓。此时若进行碎片整理通常可以改善数据不连续的状况,加快访问速度。
但这对取证人员来说,恐怕就会是个不太好的消息了,怎么说呢?因为Windows文件系统的特性,文件被删除后,只是被注记该文件的数据所占据的空间可被释放,但在被新的数据覆盖之前,原有数据仍会存在,这对取证人员来说是非常重要的线索。倘若一旦用户对证物进行过碎片整理,数据便会进行搬移以集中,而那些被删除文件的数据便可能因此遭到覆盖了。
要如何看出证物曾有进行过碎片整理呢?静态方面可透过检视prefetch的方式,动态方面则可以LiveView将证物硬盘”开机”,便可直接在接口中查看是否曾碎片整理及上一次运行是何时等等。
