.
XyberSec

XyberSec • Join Our Growing Community Of Kerala Hackers

സൈബര്‍ കുറ്റകൃത്യങ്ങളുടെ സാങ്കേതിക തെളിവുകള്‍

ഹാർഡ് ഡിസ്കുകളിൽ നിന്നും എന്തെങ്കിലും ഡിലീറ്റ് ആയിപോയിക്കഴിഞ്ഞാൽ എന്തു ചെയ്യും ?

ഡിലീറ്റ് ആയിപ്പോയ എല്ലാം തന്നെ ഹാർഡ് ഡിസ്കുകളിൽ നിന്നൊ മറ്റേതൊരു സ്റ്റോറേജ് ഡിവൈസുകളിൽ നിന്നൊ റിക്കവർ ചെയ്തെടുക്കാൻ സാധിക്കും . എന്നാല് ഇവ അനലൈസ് ചെയ്യാനും അതിനുള്ളില് നിന്നും ഡിലീറ്റ് ചെയ്തതും ഫോര്‍മാറ്റു (Deleted and Formatted) ചെയ്തു കഴിഞ്ഞതുമായ ഡാറ്റ റിട്രീവ് ചെയ്യാനും കഴിഞ്ഞാല് മാത്രമെ ഇവ കൊണ്ട് എന്തെങ്കിലും പ്രയോജനമുള്ളു. ഇതിനായി ഹാര്‍ഡ് ഡിസ്കുകളുടെ പ്രവര്‍ത്തനം നല്ല രീതിയില് അറിഞ്ഞിരിക്കേണ്ടതു അത്യാവശ്യമാണ്.

ഹാര്‍ഡ് ഡിസ്കില് നിന്നും ഒരു ഫയല് ഡിലീറ്റ് ചെയ്യുമ്പോള് എന്താണ് സംഭവിക്കുന്നതെന്നറിയണ്ടെ?

ഒരു ഡാറ്റ ഹാര്‍ഡ് ഡിസ്കില് റൈറ്റ് ചെയ്യുന്നതോടൊപ്പം തന്നെ ഒരു സൂചിക (Index) കൂടി അതില് ക്രിയേറ്റ് ചെയ്യപ്പെടുന്നു. ഈ സൂചികയാണ് ഹാര്‍ഡ് ഡിസ്കില് ഒരു ഫയല് നിലവിലുണ്ട് എന്നു നമ്മളെ അറിയിക്കുന്നത്. ഇതിന്റെ അടിസ്ഥാനത്തില് ഫയല് ഏതു പാര്‍ട്ടീഷനിലാണ് റൈറ്റ് ചെയ്യിരിക്കുന്നതു എന്നറിയാന് സാധിക്കും. ഒരു ഫയല് ഡിലീറ്റ് ചെയ്യുന്നതോട് കൂടി ഈ സൂചിക മാത്രമായിരിക്കും അവിടെ നിന്നും നീക്കം ചെയ്യപ്പെടുന്നത്. ഡാറ്റ അവിടെ നിന്നും നീക്കം ചെയ്യുകയൊ ഒന്നും തന്നെ സംഭവിക്കുന്നില്ല. ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഈ ഡാറ്റയുടെ മുകളില് ഓവര് റൈറ്റ് (Over Write) ചെയ്യുമ്പോള് മാത്രമാണ് ഇവിടെ നിന്നും ഡാറ്റ യഥാര്‍ഥത്തില് നീക്കം ചെയ്യപ്പെടുന്നത്. പ്ലാറ്ററുകളിലൂടെ ഹെഡ്, ട്രാക്കുകളും സെക്ടറുകളും ക്ലസ്റ്ററുകളും വഴി കറങ്ങി വീണ്ടും അവിടെ എത്തുമ്പോള് മാത്രമായിരിക്കും ഇതു സംഭവിക്കുന്നതു. അതു കൊണ്ട് തന്നെ റീസൈക്കിള് ബിന്നില് നിന്നും ഡിലീറ്റ് ചെയ്ത വിവരങ്ങളും മറ്റും നമുക്ക് വീണ്ടെടുക്കാന് സാധിക്കും. ഇതു വഴി ഒരു ക്രൈം ചെയ്തിട്ടുണ്ടെങ്കില് നശിപ്പിച്ച ഡാറ്റയുടെ വിവരങ്ങളും മറ്റും നമുക്ക് പ്രത്യേകം തയ്യാര് ചെയ്ത സോഫ്റ്റ് വെയറുകള് വഴി വീണ്ടെടുക്കാന് കഴിയും.

വിന്‌ഡോസിലെ റീസൈക്കിള് ബിന്നുകളുടെ (Recylce Bin) യഥാര്‍ത്ഥ ഉദ്ദേശം ഉപയോക്താവ് നീക്കം ചെയ്ത ഡാറ്റ ആവശ്യമെങ്കില് തിരികെ എടുക്കുന്നതിനു വേണ്ടിയാണ്. റീസ്റ്റോര് ഓപ്ഷന് വഴിയാണ് ഇതു സാധ്യമാക്കുന്നത്. ഡിലീറ്റ് ചെയ്തതിനു ശേഷം റീസൈക്കിള് ബിന്നില് നിന്നും ഫയലിനെ ഡിലീറ്റ് ചെയ്തു കഴിഞ്ഞാ‍ലും എഴുതപ്പെട്ട ഡാറ്റയുടെ സൂചിക അവിടെ നിന്നും നീക്കം ചെയ്യപ്പെടുന്നില്ല. പകരം അതു വിന്‍‌ഡോസിന്റെ ഹിഡന്‍ റീസൈക്കിള് ഫോള്‍ഡറില് പോയി സ്ഥിതി ചെയ്യുന്നു.
ഒരു ഹാര്‍ഡ് ഡിസ്ക് ഫോര്‍മാറ്റ് ചെയ്തു കഴിഞ്ഞാലും ഇതിലുള്ള വിവരങ്ങള് നശിക്കുന്നില്ല, എന്നാല് ഫോര്‍മാറ്റ് ചെയ്യുന്നതോട് കൂടി ഫയല് സിസ്റ്റം മാറുകയും അതോടുകൂടീ സാധാരണ സോഫ്റ്റ് വെയറുകളുപയോഗിച്ച് നീക്കം ചെയ്യപ്പെട്ട ഫയലുകള് റിട്രീവു ചെയ്യാനും സാധിക്കുകയില്ല.. ഫയല് സിസ്റ്റം മാറുന്നതോട് കൂടി ഹാര്‍ഡ് ഡിസ്കുകളുടെ സ്വാഭാവം (Characteristics) മാറുകയും ,ഇന്‍ഡക്സ് ലിസ്റ്റില് നിന്നും നീക്കം ചെയ്യപ്പെട്ട ഫയലുകള് സാധാരണ സോഫ്റ്റ് വെയറുകളുപയോഗിച്ച് എടുക്കുവാനും സാധിക്കാതെ വരുന്നു. ഇതിനായി വളരെയധികം അഡ്വാന്‍സ്ഡ് ആയിട്ടുള്ള സോഫ്റ്റ് വെയറുകള് ഇന്നു ലഭ്യമാണ്. ഇത്തരം സോഫ്റ്റ് വെയറുകള് ഉപയോഗിച്ച് ഓവര് റൈറ്റ് ചെയ്ത ഫയലുകളുടെ വിവരങ്ങള് വരെ ഇന്നു നമുക്ക് ശേഖരിക്കാന് സാധിക്കും. ഏകദേശം 8 തവണയോളം ഓവറ് റൈറ്റ് ചെയ്ത ഡാറ്റയുടെ വിവരങ്ങള് വരെ ശേഖരിക്കാന് കഴിയുന്ന സോഫ്റ്റ് വെയറുകള് ഇന്ന് നിലവിലുണ്ട്.
ഹാര്‍ഡ് ഡിസ്ക് കത്തിച്ചു കളഞ്ഞാലും പ്ലാറ്ററുകളീല് അല്പമെങ്കിലും കാന്തിക സ്വഭാവം നിലനില്ക്കുന്നെണ്ടെങ്കില് അതില് നിന്നും വിവരങ്ങള് ശേഖരിക്കാനായി സാധിക്കുന്ന സോഫ്റ്റ് വെയറുകള് ലഭ്യമാണ്. എന്നാല് ഇവ സാധാരണ ഗതിയില് ഒരു സാധാരണ ഉപഭോക്താവിനു വാങ്ങുവാനൊ മറ്റൊ സാധിക്കുകയില്ല. ഫോറന്‍സിക് ആവശ്യത്തീനായിട്ടാണ് ഇത്തരം സോഫ്റ്റ് വെയറുകള് ഉപയോഗിക്കുന്നത്.

ഒരു കമ്പ്യൂട്ടറ് ഉപയോഗിച്ചു നടത്തുന്ന എല്ലാ വിധ പ്രവര്‍ത്തികളും സിസ്റ്റത്തില് ലോഗ് (Log)ചെയ്യുന്നുണ്ടാകും. ഈ ലോഗ് വിവരങ്ങള് ഡിലീറ്റ് ചെയ്തു കഴിഞ്ഞാലും അതിനെ ഹാര്‍ഡ് ഡിസ്കില് നിന്നും ശേഖരിച്ച് എന്തൊക്കെ പ്രവര്‍ത്തികളാണ് അതില് നടത്തിയിരിക്കുന്നതെന്നു അറിയാന് സാധിക്കും.

Enjoying these posts? Subscribe for more
Subscribe now

Subscribe to be notified of new content and support XyberSec! You'll be a part of the community helping keep this site independent and ad-free.

You've successfully subscribed to XyberSec
Great! Next, complete checkout for full access to XyberSec
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.