арта памяти и фотокамера не были доступны для исследования. Офицер из Отдела цифровых расследований (Team Digitale Expertise), проводивший исследование, обнаружил, что одна из фотографий исчезла — фотография IMG_0509.JPG. Обращали на себя внимание две вещи:
1. Последний физический сектор фотографии, сделанной до исчезнувшей (IMG_0508.JPG), последовательно соединялся с первым сектором фотографии, сделанной после (IMG_0510.JPG). Чтобы объяснить это, исследователь принял тот факт, что фото IMG_0509.JPG могло быть удалено до того, как была сделана следующая фотография, и место заняла IMG_0510.JPG.
2. Были сделаны попытки, с использованием нескольких профессиональных программных продуктов (En Case, PhotoRec), найти исчезнувшую фотографию или то, что от нее осталось. Но ни одна из программ не нашла ее на копии SD-карты. Следы других 64 удаленных фотографий и четырех видеофайлов были найдены.
Предмет исследования
Каким образом можно удалить фотографию с SD-карты, чтобы получить результат, описанный выше (см. 1 и 2)?
Методика
Чтобы ответить на вопрос, мы провели серию тестов, используя следующие инструменты:
Оборудование:
1. Фотокамера Canon Powershot SX270 HS, идентичная той, что принадлежала Лисанн Фрон.
2. В качестве носителя данных — две SD-карты объемом 64 GB от SanDisk.
3. Использованный компьютер — ноутбук HP 15s-fqlxxx с Windows 10 версия 1903.
Программное обеспечение:
4. DiskGenius 5.2.1.941 х64, Eassos Technology Co., Ltd.
5. Herman FAT Recovery 3.0, Herman Software
6. MiniTool Partition Wizard 12.0, MiniTool Software Limited
7. Disk Manager 10.0.18362.1, Microsoft & VERITAS Software Corporation
С целью получить во время тестирования как можно более ясную картину мы проверили, насколько используемое нами оборудование и программное обеспечение соответствуют оригинальным приборам.
Могло бы оказаться, что прошивка фотокамеры Canon Powershot не та же, что у оригинала. Изучение этого вопроса показало, что для типа SX270 HS была выпущена только одна версия — 1.0.2.0 от 4 июня 2013 г., так что прошивка была идентичной.
До начала первого теста настройки камеры были сброшены до заводских.
SD-карта, найденная в рюкзаке, была объемом 16 GB и с файловой системой формата FAT32, а форматом карт, которые использовали мы, был exFAT. Чтобы устранить это несоответствие, мы создали на картах, используемых в тесте, новый раздел объемом 16 GB, который каждый раз форматировался в системе FAT32. Мы предположили, что эта процедура гарантирует, что используемые в исследовании карты памяти не приведут к искаженной картине.
С целью как можно точнее определить во время теста, что произошло на самом деле, каждая SD-карта перед началом каждого теста делилась на секторы при помощи MiniTool Partition Wizard, все секторы были перезаписаны нулями, а затем разделены и отформатированы описанным выше методом.
Тест А
При помощи этого теста мы хотели исследовать, возможно ли, чтобы то место, которое первоначально занимало удаленное фото, заняло фото, сделанное следующим.
Чтобы проверить это, мы сняли фотокамерой одиннадцать фотографий и посмотрели, какие секторы заполнила каждая. В таблице № 1 в левой части показано, что все фотографии были записаны в последовательность секторов в кластерах на SD-карте: в колонке, где высчитывается место для следующего файла, мы везде видим 0. В списке занятых кластеров (ОСЬ) показано, что фото 11 записано в кластер секторов от 1733 до 1908 включительно. Затем мы удалили фото 11, используя функцию удаления в фотокамере, и сделали новый снимок. Правая колонка рисунка 1 показывает, что изменилось: место в конце файла, занятого фотографией 10, не соответствует месту, которое занимает новая фотография. Не только расположение, но и размер этого промежутка почти соответствует месту, которое занимала удаленная фотография. Затем нас удивило, что фотокамера дала файлу новой фотографии то же имя, что было у удаленной фотографии. При использовании программы восстановления файлов удаленное фото могло быть найдено и полностью восстановлено. Мы повторили этот тест три раза, каждый раз получая одну и ту же картину.
Тест A показывает, что предположение, что место в памяти, которое занимала фотография, удаленная фотокамерой Powershot, затем занимает фотография, сделанная сразу после нее, и что в процессе номер фотографии пропускается, неверно.
Тест B
При помощи второго теста мы хотели исследовать, получим ли мы ту же картину, что в результате теста А, если для удаления фотографии использовать компьютер.
В этом тесте мы сначала сделали фотокамерой десять фотографий и записали место, которое они занимали, на SD-карту. В таблице № 2 в левой части можно увидеть ту же картину, что в тесте А: все фотографии записаны на SD-карту последовательно, между ними нет свободного места. Затем мы удалили («вырезали») все фотографии с SD-карты и перенесли их на жесткий диск компьютера. Затем все фотографии, за исключением фотографии 6, были снова перенесены на SD-карту. На правой стороне таблицы № 2 показано, какое место теперь занимают девять файлов. Как и показали результаты исследований Отдела цифровых расследований, приведенные выше, нет пустого пространства между фотографиями, снятыми до и после фотографии 6: фотография 5 заканчивается в кластере 1156, а фотография 7 начинается в 1157.
И снова, при помощи программы восстановления файлов фото 6 можно найти и полностью восстановить.
Тест B показывает, что есть возможность удалить фотографию при помощи компьютера так, что места, занимаемые фотографиями в памяти, выровняются, а номер фотографии будет пропущен, что можно наблюдать на найденной SD-карте.
Тест C
Так как во время проведения теста В мы заметили, что метод выбора влияет на то, куда программа запишет файлы, то решили поэкспериментировать с различными способами выбора. Мы заметили разницу между случайным и последовательным выбором.
Сначала мы выбрали те же файлы, которые использовали в тесте В, и скопировали их с компьютера на SD-карту в произвольном порядке (сначала фотографии 8, 9 и 10, затем 1, 2 и 3 и, наконец, 6 и 7; фотография 5 не была скопирована). Затем мы определили, какие секторы заняли эти файлы. Результат показан в левой части таблицы № 3. С фотографии 4 до фотографии 10 файлы записаны в последовательные секторы, фотографии с 1 по 3 помещены в последующие секторы.
Затем мы выбрали файлы так, как они хранились в компьютере, — в алфавитном порядке. Сначала — фотографии, идущие до фотографии 5 (в этом эксперименте она была оставлена), затем — фотографии с 6 по 10. В правой части рисунка 3 показаны результаты. Все фотографии были записаны по порядку, без промежутков, что соответствует картине, полученной из исследования Отдела цифровых расследований.
Сходные тесты дали одинаковые результаты.
Тест С показывает, что результаты теста В могут быть получены только при использовании определенного способа выбора и копирования.
Тест D
Так как во время исследования невозможно было обнаружить следы удаленной фотографии, в последнем тесте мы хотели выяснить, является ли это тоже тем случаем, когда удаление выполнено при помощи компьютера. Мы сделали десять фотографий (с IMG_0071.JPG до IMG_0080.JPG), скопировали их на компьютер, а затем удалили при помощи Windows Explorer с SD-карты. Затем мы записали файлы на карту без фото 75. После этого мы, используя Hetman FAT Recovery, попытались найти следы удаленных файлов. В таблице № 4 показано, что все невосстановленные файлы, в том числе фото 75 (статус «Verwijderd» = удалена), могут быть найдены и даже полностью восстановлены.
Тест D показывает, что, если фотография была удалена с SD-карты при помощи компьютера, следы удаленной фотографии всегда остаются на карте.
Тест E
С целью исследовать возможные дефекты фотокамеры, приводящие к тому, что время от времени номер файла фотографии пропускается, мы сделали несколько серий фотографий. В первой серии из 1131 снимка использовался автоспуск. Во второй и третьей сериях соответственно из 1164 и 524 снимков фотография каждый раз делалась вручную. Чтобы протестировать механическую часть, во второй серии спуск затвора сначала нажимался наполовину, как можно легче, а затем осторожно нажимался дальше, а в третьей серии спуск затвора нажимался попеременно то с переднего, то с заднего, то с левого, то с правого краев. Наконец, было сделано 8396 фотографий, частично вручную (25 процентов), частично при помощи автоспуска. Ни в одной из последовательностей номер фотографии не был пропущен.
Поиск в интернете с использованием запросов «canon powershot SX270 HS проблемы», «canon powershot SX270 HS пропуск фото» (на Google.com и Yippie.com) и на веб-сайтах с технической информацией об этой фотокамере (в том числе https://www.dpreview.com/forums/thread/3608344 и https://www.photographyblog.com/reviews/canon_powershot_sx27О_hs_review) не дал никаких оснований предполагать, что фотокамера могла бы сама пропускать фотографию.
Вопросы на различных форумах, посвященных цифровым фотокамерам (https://www.canonrumors.com и https://community.usa.canon.com), также не дали никаких ответов, указывающих в этом направлении. Благодаря тесту Е, путем поиска в интернете и экспериментов с фотокамерой было установлено, что очень маловероятно, чтобы камера из-за дефекта могла пропустить номер фотографии.
Тест F
С целью исследовать гипотезу, что картина, нарисованная Отделом цифровых расследований при помощи копии, могла произойти в том случае, если исчезнувшая фотография была сделана в тот момент, когда в фотокамере не было карты памяти, или если промежуточная фотография была записана на другую SD-карту, мы провели следующий эксперимент.