دورة حياة الملف الرقمي

محتوى هذا المنشور هو مسؤولية المؤلف فقط. لا تتبنى AT&T أو تؤيد أيًا من وجهات النظر أو المواقف أو المعلومات التي يقدمها المؤلف في هذه المقالة.

في العالم الرقمي، يترك كل مستند أو صورة أو مقطع فيديو أو برنامج نقوم بإنشائه أثرًا. يعد فهم دورة حياة الملف، بدءًا من إنشائه وحتى حذفه، أمرًا بالغ الأهمية لأغراض مختلفة، بما في ذلك أمان البيانات واستعادة البيانات والطب الشرعي الرقمي. تتعمق هذه المقالة في الرحلة التي يأخذها الملف داخل جهاز التخزين، وتشرح مراحل إنشائه وتخزينه والوصول إليه وحذفه المحتمل.

دورة حياة الملف

1. الإنشاء: ولادة كيان رقمي

تبدأ حياة الملف بإنشائه. يمكن أن يحدث هذا بطرق مختلفة:

تطبيقات برمجية: عندما تقوم بإنشاء مستند جديد في معالج النصوص، أو تحرير صورة في برنامج تحرير الصور، أو تسجيل مقطع فيديو، يخصص التطبيق مساحة على جهاز التخزين ويكتب البيانات المرتبطة بالملف.

التحميلات: يتضمن تنزيل ملف من الإنترنت نسخ البيانات من الخادم البعيد إلى جهاز التخزين الخاص بك.

عمليات نقل البيانات: يؤدي نسخ ملف من موقع إلى آخر على نفس الجهاز أو نقله إلى جهاز مختلف إلى إنشاء مثيل جديد للملف.

عمليات النظام: تقوم أنظمة التشغيل والتطبيقات أحيانًا بإنشاء ملفات مؤقتة أثناء العمليات المختلفة. قد يتم حذف هذه الملفات تلقائيًا عند اكتمال المهمة.

أثناء الإنشاء، يقوم نظام التشغيل بتعيين معرف فريد (غالبًا اسم ملف) للملف ويخزنه في دليل (مجلد) بالإضافة إلى معلومات إضافية حول الملف، تُعرف باسم البيانات الوصفية. تتضمن هذه البيانات التعريفية عادةً ما يلي:

حجم الملف: إجمالي مساحة التخزين التي يشغلها الملف.

تاريخ ووقت الإنشاء: الطابع الزمني لوقت إنشاء الملف لأول مرة.

تاريخ ووقت التعديل: الطابع الزمني لآخر مرة تم فيها تعديل محتوى الملف.

أذونات الوصول إلى الملفات: القيود المفروضة على من يمكنه قراءة الملف أو كتابته أو تنفيذه.

نوع الملف: معلومات حول نوع الملف (على سبيل المثال، .docx، .jpg، .exe).

2. التخزين: العثور على منزل

تحتوي أجهزة التخزين مثل محركات الأقراص الثابتة (HDDs) ومحركات الأقراص ذات الحالة الصلبة (SSD) ومحركات الأقراص المحمولة على البيانات المرتبطة بالملفات. ومع ذلك، لا يتم تخزين البيانات كتدفق مستمر للمعلومات. بدلا من ذلك، يتم تقسيمها إلى أجزاء أصغر تسمى القطاعات.

عند إنشاء ملف، يقوم نظام التشغيل بتخصيص عدد محدد من القطاعات على جهاز التخزين للاحتفاظ بمحتوى الملف. يمكن أن تتم عملية التخصيص هذه بطرق مختلفة اعتمادًا على نظام الملفات المستخدم.

فيما يلي بعض النقاط الأساسية التي يجب تذكرها حول تخزين الملفات:

التجزئة: بمرور الوقت، أثناء إنشاء الملفات وحذفها وتغيير حجمها، تصبح القطاعات المتاحة مجزأة عبر جهاز التخزين. يمكن أن يؤثر هذا التجزئة على سرعة الوصول إلى الملفات.

جدول تخصيص الملفات (FAT) أو الهياكل المشابهة: تعتمد بعض أنظمة الملفات على جدول منفصل (FAT) أو فهرس يتتبع القطاعات التي تنتمي إلى ملفات محددة.

الملفات المحذوفة: عند حذف ملف، يقوم نظام التشغيل عادةً بإزالة المرجع إلى الملف من بنية الدليل فقط. قد تظل البيانات الفعلية موجودة على جهاز التخزين حتى يتم استبدالها ببيانات جديدة.

3. الوصول: القراءة والكتابة

نحن نتفاعل مع الملفات عن طريق الوصول إليها لأغراض مختلفة، مثل قراءة مستند، أو تحرير صورة، أو تشغيل برنامج. يتضمن ذلك الخطوات التالية:

طلب نظام الملفات: عندما يحاول أحد التطبيقات الوصول إلى ملف ما، فإنه يرسل طلبًا إلى نظام التشغيل.

بحث الدليل: يقوم نظام التشغيل أولاً بتحديد موقع إدخال الملف في بنية الدليل.

جدول التخصيص أو بحث الفهرس: اعتمادًا على نظام الملفات، قد يراجع نظام التشغيل FAT أو بنية مشابهة لتحديد الموقع الفعلي لبيانات الملف على جهاز التخزين.

استرجاع البيانات: يقوم نظام التشغيل باسترداد البيانات من القطاعات المخصصة ويقدمها للتطبيق.

تعديل الملف: إذا حاول التطبيق تعديل محتوى الملف، يحتاج نظام التشغيل إلى البحث عن قطاعات جديدة لتخزين البيانات المحدثة. يمكن أن تتضمن هذه العملية الكتابة فوق البيانات الموجودة أو تخصيص قطاعات جديدة حسب المساحة المتوفرة.

4. الحذف: محو البصمة (أو ليس تمامًا)

عند حذف ملف باستخدام وظيفة الحذف في نظام التشغيل، تتضمن العملية في المقام الأول إزالة إدخال الملف من بنية الدليل. كما ذكرنا سابقًا، قد تظل البيانات الفعلية موجودة على جهاز التخزين حتى تتم الكتابة فوقها.

إليك سبب عدم اختفاء الملفات المحذوفة:

الكتابة الفوقية: حتى تتم كتابة البيانات الجديدة على القطاعات التي تحتوي على محتوى الملف المحذوف، تظل قابلة للاسترداد باستخدام برنامج استعادة البيانات. يعتمد هذا على عوامل مثل نوع جهاز التخزين ومدى فعالية استخدامه.

المساحات غير المخصصة: يتم ببساطة تمييز قطاعات الملف المحذوف على أنها “غير مخصصة”، مما يشير إلى أنه يمكن لنظام التشغيل استخدامها لتخزين البيانات الجديدة.

أنظمة الملفات المختلفة:

توفر أنظمة الملفات البنية الأساسية لتخزين وتنظيم الملفات على جهاز تخزين. فهي تحدد كيفية إنشاء الملفات وتخزينها والوصول إليها. من منظور الطب الشرعي الرقمي، يعد فهم أنظمة الملفات المختلفة أمرًا بالغ الأهمية لاستعادة الأدلة وتحليلها بشكل فعال. فيما يلي تفصيل لأنظمة الملفات الأكثر شيوعًا والاعتبارات الخاصة بالمحققين:

1. أنظمة FAT (جدول تخصيص الملفات).

الأنظمة القديمة: توجد في أجهزة التخزين القديمة مثل الأقراص المرنة ومحركات أقراص USB وبعض محركات الأقراص الثابتة المبكرة.

جدول الدهون: يعتمد على جدول رئيسي (FAT) يتتبع تخصيص البيانات داخل مجموعات (مجموعات القطاعات) على جهاز التخزين.

مزايا الطب الشرعي: هيكل بسيط نسبيا، وأسهل للتحليل.

التحديات: دعم محدود لحجم الملف في الإصدارات الأقدم، وعرضة للتجزئة، وإمكانية الكتابة فوق البيانات بعد الحذف.

2. NTFS (نظام ملفات التقنية الجديدة)

أنظمة ويندوز الحديثة: نظام الملفات الافتراضي لأنظمة تشغيل Windows الحديثة.

جدول الملفات الرئيسية (MFT): قاعدة بيانات شاملة لتتبع جميع الملفات والمجلدات الموجودة على وحدة التخزين، بما في ذلك البيانات الوصفية التفصيلية.

مزايا الطب الشرعي: تسجيل يوميات لتكامل البيانات، وأمان أفضل للملفات، ودعم الملفات ووحدات التخزين الأكبر حجمًا، وإمكانية استرداد الملفات المحذوفة.

التحديات: زيادة التعقيد مقارنة بـ FAT، واحتمال إعاقة عملية الاسترداد بسبب الكتابة الفوقية.

3. عائلة Ext (نظام الملفات الممتد).

أنظمة لينكس: نظام ملفات شائع لتوزيعات Linux. يتضمن عدة إصدارات (Ext2، Ext3، Ext4).

إينودز: يستخدم بنية بيانات تسمى “inodes” التي تخزن بيانات التعريف التفصيلية وتتبع تخصيص الملفات على جهاز التخزين.

مزايا الطب الشرعي: تسجيل اليومية (في الإصدارات الأحدث) لتكامل البيانات ودعم الملفات ووحدات التخزين الكبيرة.

التحديات: زيادة التعقيد مقارنة بنظام FAT أو إصدارات NTFS الأقدم؛ قد تحتاج أدوات الاسترداد إلى أن تكون متوافقة مع نظام التشغيل Linux.

4. HFS+ (نظام الملفات الهرمي الإضافي)

أنظمة ماك: يستخدم في أنظمة macOS الأقدم.

أشجار ب: يستخدم B-trees (هياكل البيانات لتنظيم المعلومات) لتنظيم الملفات.

مزايا الطب الشرعي: تسجيل اليوميات (اختياري)، دعم الملفات والأحجام الكبيرة.

التحديات: يُستخدم بشكل أساسي في أنظمة macOS، ومن المحتمل أن يتطلب أدوات تحليل جنائي متخصصة للتحليل.

5. APFS (نظام ملفات أبل)

أنظمة ماك الحديثة: الخيار الافتراضي في أنظمة macOS وiOS وwatchOS وtvOS الحديثة.

النسخ عند الكتابة: يستخدم آلية النسخ عند الكتابة لتعديلات البيانات، مع الحفاظ على إصدارات الملفات الأصلية.

مزايا الطب الشرعي: الأمثل لمحركات الأقراص SSD، وميزات التشفير.

التحديات: زيادة التعقيد وأدوات الطب الشرعي الناشئة بسبب الحداثة النسبية لنظام الملفات.

بعد الحذف، يختلف مصير الملفات عبر أنظمة الملفات:

في FAT، يتم وضع علامة على الملفات المحذوفة على أنها متاحة لإعادة الاستخدام، مع إمكانية استرداد بياناتها حتى تتم الكتابة فوقها.

قد يقوم NTFS بالكتابة فوق مجموعات الملفات المحذوفة، مما يعيق عملية الاسترداد، ولكن قد تبقى بعض البيانات المتبقية.

قد تحتفظ أنظمة الملفات Ext ببيانات الملفات المحذوفة حتى تتم الكتابة فوقها، مما يسهل عملية الاسترداد من المساحة غير المخصصة.

يستخدم HFS+ وAPFS تسجيل دفتر اليومية، مما قد يؤدي إلى الكتابة فوق بيانات الملفات المحذوفة بسرعة ولكن لا يزال هناك فرص للاسترداد حتى تتم الكتابة فوقها.

خاتمة

إن الفهم العميق لدورة حياة الملفات وأنظمة الملفات وتخزين الملفات المحذوفة أمر لا غنى عنه في الطب الشرعي الرقمي. إن إتقان هذه المفاهيم يزود محققي الطب الشرعي بإعادة بناء الأحداث، واستخراج الأدلة، وكشف هياكل البيانات المعقدة الحاسمة للإجراءات القانونية والاستجابة للحوادث في المجال الرقمي. من خلال الاستفادة من الأدوات والتقنيات المتخصصة، يمكن لمحللي الطب الشرعي التنقل في أنظمة الملفات المتنوعة، واستعادة القطع الأثرية المحذوفة، وتوضيح البصمة الرقمية التي خلفتها أجهزة التخزين.