เจาะลึกเทคนิค “File Carving” กู้ข้อมูลที่คิดว่าหายไปแล้วในโลกดิจิทัล
ในยุคที่ข้อมูลคือขุมทรัพย์ ไม่ว่าจะเป็นข้อมูลส่วนตัว ไฟล์งานสำคัญ หรือแม้แต่หลักฐานทางคดี ความจริงที่หลายคนอาจไม่รู้คือ การลบไฟล์ทิ้งไป ไม่ได้หมายความว่าข้อมูลนั้นจะหายไปตลอดกาลทันที
เหมือนกับการฉีกกระดาษทิ้ง เศษกระดาษเหล่านั้นยังคงอยู่ในถังขยะดิจิทัล รอคอยการถูกรวบรวมกลับคืนมา
นี่คือจุดกำเนิดของหนึ่งในเทคนิคสำคัญใน นิติวิทยาศาสตร์ดิจิทัล ที่เรียกว่า “File Carving”
“File Carving” คืออะไร ทำไมต้องรู้จัก?
File carving คือกระบวนการที่ใช้ในการกู้คืนไฟล์จากอุปกรณ์จัดเก็บข้อมูล โดยไม่สนใจโครงสร้างของ ระบบไฟล์ (file system) ที่ถูกใช้งานอยู่
หัวใจของเทคนิคนี้คือการค้นหา “ลายนิ้วมือดิจิทัล” ของไฟล์แต่ละประเภท ซึ่งก็คือ ส่วนหัว (header) และ ส่วนท้าย (footer) ของไฟล์นั้นๆ
ไม่ว่าจะเป็นไฟล์รูปภาพ เอกสาร หรือวิดีโอ ล้วนมีรูปแบบข้อมูลเฉพาะตัวที่โปรแกรมสามารถตรวจจับได้จากพื้นที่ว่างที่เหลืออยู่บนฮาร์ดดิสก์ หรือแม้แต่ในส่วนที่ถูกจัดสรรว่าเป็นข้อมูลที่ “ลบไปแล้ว”
เทคนิคนี้มีประโยชน์มหาศาล ทั้งในการกู้คืนหลักฐานสำคัญในคดีอาชญากรรมทางคอมพิวเตอร์ การตรวจสอบข้อมูลที่ถูกปกปิด หรือแม้แต่การกู้คืนไฟล์สำคัญที่ผู้ใช้งานเผลอลบไปเองโดยไม่ตั้งใจ
เป็นเหมือนการค้นหาชิ้นส่วนปริศนา แล้วนำมาประกอบกันใหม่ให้กลับมาเป็นไฟล์ที่สมบูรณ์อีกครั้ง
PhotoRec ผู้ช่วยกู้ไฟล์จากความเสียหาย
เมื่อพูดถึงเครื่องมือที่ใช้ในการทำ file carving ชื่อของ PhotoRec มักจะถูกกล่าวถึงเป็นอันดับแรกๆ
PhotoRec เป็นโปรแกรมที่โดดเด่นในการกู้คืนไฟล์ที่สูญหาย หรือเสียหาย โดยเฉพาะไฟล์ที่เกี่ยวกับสื่อบันเทิง ไม่ว่าจะเป็นรูปภาพ วิดีโอ หรือแม้แต่เอกสารบางชนิด
จุดเด่นสำคัญของมันคือการทำงานแบบ “ไม่ขึ้นกับระบบไฟล์” (file system independent) ทำให้สามารถกู้ข้อมูลได้จากอุปกรณ์ที่เสียหายอย่างหนัก มีปัญหากับพาร์ติชั่น หรือแม้กระทั่งหลังจากที่ไดรฟ์ถูกฟอร์แมตไปแล้ว
PhotoRec จะสแกนหา ลายเซ็น (signature) ของไฟล์ต่างๆ จากข้อมูลดิบ (raw data) แล้วพยายามรวบรวมข้อมูลเหล่านั้นกลับมาประกอบเป็นไฟล์เดิมให้มากที่สุด
Foremost เครื่องมืออเนกประสงค์สำหรับการแกะสลักไฟล์
อีกหนึ่งเครื่องมือที่มีประสิทธิภาพสูงไม่แพ้กันคือ Foremost
Foremost ถูกออกแบบมาเพื่อการกู้คืนไฟล์ประเภทต่างๆ โดยอาศัยการค้นหาจาก ส่วนหัว (header) และ ส่วนท้าย (footer) ของไฟล์เช่นเดียวกับ PhotoRec
แต่ความพิเศษของ Foremost อยู่ที่ความยืดหยุ่น สามารถกำหนดประเภทไฟล์ที่ต้องการกู้คืนได้อย่างละเอียดผ่าน ไฟล์กำหนดค่า (configuration file)
ผู้ใช้งานสามารถระบุได้ว่าต้องการค้นหาไฟล์ประเภทใดบ้าง เช่น .jpg, .doc, .zip ซึ่งทำให้การค้นหามีความแม่นยำและตรงจุดตามความต้องการ
Foremost จึงเป็นเครื่องมือที่มีประโยชน์มากสำหรับการสืบสวนดิจิทัล ที่ต้องการค้นหาไฟล์ประเภทเฉพาะเจาะจง
ทั้ง PhotoRec และ Foremost แม้จะมีแนวคิดพื้นฐานคล้ายกัน แต่ก็มีจุดเด่นและการใช้งานที่เสริมกันได้เป็นอย่างดี
PhotoRec อาจเหมาะกับการกู้ไฟล์จำนวนมากจากอุปกรณ์ที่เสียหายหนัก เพื่อพยายามดึงข้อมูลที่เหลือออกมาให้ได้มากที่สุด
ขณะที่ Foremost อาจเป็นทางเลือกที่ดีกว่าสำหรับการค้นหาไฟล์ประเภทที่เจาะจงและมีความต้องการที่ชัดเจน
โดยรวมแล้ว file carving คือเทคนิคพื้นฐานที่ทรงพลัง ซึ่งแสดงให้เห็นว่าข้อมูลที่ถูกลบไปแล้วไม่ได้หายไปไหน เพียงแค่อาจมองไม่เห็นด้วยตาเปล่า และยังคงรอการถูกกู้คืนด้วยวิธีการที่เหมาะสมอยู่ในโลกดิจิทัลเสมอ