Degital Forensics

コンピュータやスマートフォンなどの電子機器に残るデジタルデータを収集・分析し、犯罪捜査や法的紛争において証拠として活用する科学的手法のこと

A scientific method of collecting and analyzing digital data left on computers, smartphones, and other electric devices and using it as evidence in criminal investigations and legal disputes.

I asked chatGPT why deleted data can be salveged by the degital forensics?

​ファイルを削除してもデータが完全に消去されず、適切なツールを使用して回収できる主な理由は、多くのオペレーティングシステムがファイル削除時にデータそのものではなく、ファイルシステム上の参照情報（インデックス）を削除するだけだからです。​

The reason why the data isn't completely deleted when the data is deleted and such data could be retrieved by a appropriate tool is that opreting system delete only reference data（index）on file system, not delete the data itself.

具体的には、ファイルを削除すると、オペレーティングシステムはそのファイルのディレクトリエントリを削除し、ディスク上の該当データが格納されていた領域を「未使用」とマークします。しかし、実際のデータはそのままディスク上に残っています。

In a concrete example, when a data is deleted, operating system delete a directory entry of the file and mark the space the data on disk was stored as unused. However, the actual data remains on the disk.

このため、データ復旧ソフトウェアを使用すれば、削除されたファイルのデータを再度参照し、復元することが可能です。ただし、新しいデータがその領域に上書きされると、元のデータは上書きされ、復元が難しくなります。 ​

Therefore, if you use the data restoring software, you can refer the deleted data again and can retrieve the data. If new data is overwritten the space, the origin data is also overwritten and to restore the data become difficult.

このような特性から、機密情報を完全に消去する必要がある場合、単なる削除では不十分です。データを完全に消去するためには、専用のデータ消去ソフトウェアを使用してデータ領域を上書きするか、物理的にストレージ媒体を破壊する必要があります。

Because of these characteristics, mere deletion is not sufficient when sensitive information needs to be completely erased. To completely erase data, data areas must be overwritten using specialized data-erasure software or the storage medium must be phsiccaly destroyed.