2024年5月10日金曜日

【消えたファイルの復元方法】削除データ復元のしくみと復元ソフト機能比較

【消えたファイルの復元方法】削除データ復元のしくみと復元ソフト機能比較

【消えたファイルの復元方法】削除データ復元のしくみと復元ソフト機能比較

削除データの復元
削除データの復元

削除ファイルを復元するためにデータ復旧ソフトがあることは、このページをお読みの方であればご存じだと思います。そして、企業のITシステム部門の方やパソコン修理業者さんであれば、データ復元ツールを複数持っていることも珍しくないはずです。そういえば、どうして複数の復元ソフトを試すのでしょうか? それはソフトによって結果が違うからですよね。

消えたデータを復活させる場面では、復元ソフトの結果だけを見て成功か失敗かを判断するのが一般的です。「復元できたらラッキー!」という軽いニーズのときは、それでも充分でしょう。ところが法人組織でのトラブル・事故や、裁判・訴訟などの重大な事案においては同じようにはいきません。とくに組織内で重大ミスとして取りあげられている場合や、法律・就業規則に沿った判断が必要とされるような場面では、データ復旧ソフトの結果だけを根拠に「復元できない」という結論を出しても、それだけで通用する確率は低いでしょう。むしろトラブル相手との関係が泥沼化するきっかけにさえなりかねません。

また、システム障害により事業が停止している場合においても、復旧は最優先課題です。「データ復元ソフトでは復元できませんでした。」という結果報告だけでトラブル対応を終結させられるなんてことは、まず無いでしょう。なぜなら、トラブルは解決していないからです。むしろ復元ソフトの結果待ちの時間が経過しただけで一歩も先に進んでいません。

ちなみに、「データ復旧ソフトを使っても復元が無理だった」からといってあきらめるのはまだ早いです。なぜなら、ソフトを使ったファイル復元には、どうしても技術的な「限界」があるからです。データ復元の専門家が個別にきちんと対応する場合には、復元ツールの機能とは解析技術もアプローチも異なりますから、復元ソフトの限界だからといって絶望的というわけではありません。

そこで、このページでは削除されたファイルやフォルダの復元が必要なときに、データ復元ソフトがどこまで復元できるのか、あるいはどのような状況では復元できないのかを解説しています。復元ソフトが復元できない理由が明確になれば、消えたデータを追跡するために必要なことが見えてくるでしょう。

1.ファイル記録のしくみ

ファイル記録のしくみ(NTFS):ファイルレコードのポインタとデータ本体の関連構造及びバイナリ

まず前提として、このページではWindowsパソコンで主に使用されているNTFS形式のフォーマット区画における1KBより大きい文書、表計算、写真などのファイルを例に解説しています。

ファイルは普段の見た目なら名前が付いています。アイコンのすぐそばにファイル名が書かれていますよね。しかしコンピュータ内部ではファイル名とデータ本体は別々の離れた場所に記録されます。ファイル名は「ファイルレコード」内の情報として記録され、「データ本体」はファイルレコード外の情報として、ファイルレコードとは異なる場所に記録されています。

  • ファイル名
  • タイムスタンプ(作成日時・更新日時・アクセス日時)
  • データ本体の場所(ポインタ)

記録場所が別々とはいえ「ファイルレコード」と「データ本体」は、ペア(対・組み合わせ)で管理されています。いいかえると、ひとつのファイルは、ひとつの「ファイルレコード」とひとつの「データ本体」から構成されています。上のスライドの左側には、「ファイルレコード」が、ファイル名とタイムスタンプとデータ本体の場所という3つの情報を持っていることが描かれています。このうち「データ本体の場所」は、ファイルレコードから離れた位置にある「データ本体」の場所のことです。つまりファイルレコードにはデータ本体の場所を示す役割があるということです。まさに矢印のように行き先を指し示す機能がありますので、このページでは「ファイルレコード内のデータ本体の場所」情報のことを、「ポインタ」と呼ぶことにします。

スライドの左側には、ファイルレコードのポインタがデータ本体の場所を指しています。この状況をバイナリデータ表示したのがスライド右側の図です。スライド右側の上部は、「ファイルレコード」の実態をバイナリデータとして表示させたものです。すなわちファイルレコードそのものです。普段のパソコン操作では、こうしたバイナリデータは見えませんが、コンピュータ内部ではこのようになっています。黄色でハイライトされた箇所は、上から順にタイムスタンプ1、タイムスタンプ2,ファイル名(P7020205.JPG)です。そして、ファイルレコードのほぼ末端に位置する情報がポインタです。「42 A2 07 80 64 15 0D」という表記の箇所です。

そのポインタが指し示している先は、スライド右側下部の図にある「データ本体」です。このスライドではJPG画像データの先頭のみが表示されています。JPG画像ファイルサイズ自体は本当はもっと大きいのですが、全データを描画するとスライドから大きくはみ出してしまいますので、先頭部分のみに省略した図になっています。

あらためてファイルレコードとデータ本体の記録のしくみを振り返ってみます。「ファイルレコード」にはファイル名とタイムスタンプ(作成日時、更新日時、アクセス日時など)とポインタが保存されています。そしてポインタは「データ本体」の位置を指し示しています。なお、このようなパソコン内部でのファイル管理のしくみ(機能)のことは「ファイルシステム」と呼ばれています。

以上がWindowsパソコン内部におけるファイル記録のしくみです。ここではNTFSというファイルシステムについて解説しましたが、MacやLinuxなどでも基本的には似たしくみです。パソコンやサーバだけでなく、スマホ(Android・iPhone)やタブレットも同様ですし、ドライブレコーダーやデジタルカメラにおいてもそうです。ファイルとしてデータを記録するデジタル機器では、このようなファイルシステムが内部で機能しています。

2.ファイル削除のしくみ

ファイル削除のしくみ(NTFS):削除後のファイルレコード(バイナリ)の残存

さて、次はファイル削除のしくみです。ここでいう削除とは、ごみ箱にファイルが残ったままの状態ではありません。ごみ箱を空にしたり、あるいはごみ箱を経由することなくShift + Delで消してしまう削除のことです。

スライド左側の図は、ファイルレコードがもつ情報に、字消し線が引かれています。つまり"消された"ということを表しています。また、データ本体についてもひとつ前のスライドでは濃いグレーでしたが、このスライドでは薄いグレーに色が変わっています。これも"消された"ことを表しています。ここではファイルが削除された、ということが描かれています。でも、見ての通り、字消し線があってもファイルレコード内の情報は判別できますし、データ本体も色が薄くなっていますが実体は認識はできますよね。これがまさにファイル削除直後の状況を表しています。つまり削除されたということは分かるものの、元のデータは残っているという状況です。

スライド右側上図は、削除されたファイルのファイルレコードをバイナリデータとして表示したものです。削除前のバイナリデータと比べてみると、ほとんど変化がないことが分かります。ファイル名もタイムスタンプもポインタも、削除前と変化がありません。よく見比べると、このスライドでピンク色にハイライトされた箇所には違いが生じたことが分かります。ここはファイルが削除済み状態であるか否かを記録するもので、"00 00"はこのファイルレコードの管理対象ファイルは削除済みであることを示しています。でも、ファイル名やポインタはそのまま残っています。つまり、パソコン操作でファイルを削除したからといって必ずしも直ちにファイルレコードが消滅してしまう仕様ではないことが分かります。

改めてポインタを見てみましょう。削除前と全く変わっていませんね。変化無くそのまま残っています。このポインタが消えずに残っているなら、ファイルを削除した後でもファイルレコードのバイナリデータを見ればデータ本体の場所を特定することができるはず。さあ、いよいよ削除ファイルの復元が近づいてきました。

3.ファイル復元のしくみ

ファイル復元のしくみ(NTFS):ファイルレコードとデータ本体のペアが残存しているとき復元できる

削除済みファイルのファイルレコードにポインタがあれば、データ本体の場所を把握することができます。あとはデータ本体が残存しているかどうかです。もしファイルレコードもデータ本体も残存しているならば、削除されたファイルを復元するための材料は充分に整っていることになります。つまり削除済みファイルを復元できるということです。

スライド右側上部は、削除済みファイルのファイルレコードです。そしてポインタが指し示す先にはデータ本体が見えています。たとえパソコン操作でファイルを削除してから10年以上経過したとしても、この図のようにファイルレコードとデータ本体のペアが存在する限り、ファイルの復元は可能です。

削除済みのファイルを復元したいとき、まずは該当のファイルレコードを探し出し、次にそのファイルレコードのポインタが指し示す先にあるデータ本体を見つけて、これら2つの情報を統合させてファイルとして出力する。これがファイルシステムが使用するファイルレコードを活用した削除済みファイルの復元のしくみです。特に決まった呼び名があるわけではありませんが、弊社ではこの復元アプローチのことをファイルシステム解析によるデータ復旧及びデータ復元としています。

削除済みファイルの復元方法としてははオーソドックスなアプローチであり、市販のデータ復旧ソフトや捜査機関が用いるデジタルフォレンジック解析ツールにも同様の機能が搭載されています。

4.削除ファイルを復元できないとき

ファイル復元できないとき(NTFS):データ本体が消滅していれば復元できない

前項ではファイルレコードとデータ本体が残存していれば、削除済みファイルであっても復元できることをご説明いたしました。では、データ本体が消滅してしまっていた場合、どうなるのでしょうか?答えは明白です。復元できません。

どんなに高性能なデータ復旧ソフトでも、完全消滅したデータを復活させることはありません。ファイルレコードのポインタが示す位置に存在していたデータ本体が何らかの要因で消滅し、バイナリデータとしての残存が無いのであれば、その消滅したファイルを復元することはできません。もしかすると復元ソフトの製品カタログやWebページに、高い復元成功率が書かれているかもしれませんが、あいにく関係ありません。

それでも消えたファイルの復元を諦められない場面があるかもしれません。そのときは解析アプローチを変えることにより可能性を広げることはできます。あくまでここでは、ファイルレコードのポインタが示す先にあったデータ本体が消滅した場合には、その消滅データを復元することは科学的にできない、ということをご説明しています。ですので、データ復旧ソフトでスキャンしたら消失ファイルが検出されたけれども、いざファイルを開いてみようとしたらエラーで開くことができない、という状況のときはファイルレコードのみ残存し、データ本体が消滅している可能性が高く、その前提においては復元は見込めないということになります。

だからといって、欲しいデータの復元に対するギブアップ宣告ではありません。もしデータ復旧ソフトで期待通りの結果が得られないときには、ソフトでは復元できない理由をバイナリデータレベルで調べるなど、アプローチをかえて解析する方法がまだまだあります。特に不正や犯罪などのデジタル証拠や、行方不明者の行き先の手がかりを探す場面などにおいては、削除ファイルの復元は、数ある解析アプローチのひとつにすぎません。こうした判断は捜査機関等における証拠品の鑑定でも同じです。

あらためて話を主テーマに戻しますと、このスライドではデータ本体が消滅している場合には、ファイルレコードがあったとしても、正常なファイルとして復元することができない状況を表しています。データ復旧ソフトを用いた削除ファイルの復元を目指すアプローチにおいては、このような限界ラインもあるということです。

5.断片化ファイルのしくみ(ファイルシステム)

断片化ファイル管理のしくみ(NTFS):ファイルレコードには断片数分のポインタがあり、断片を連結させる機能を有する

さて、ここでは断片化が生じたファイルについてご説明します。データ本体は容量(サイズ)がある程度大きなものになると、ハードディスクやSSDなどの媒体に記録されるときに、2か所以上に分割されることがあります。つまり、データ本体は必ずしも1か所にデータ本体の全てが保存されるのではなく、ひとつのデータ本体が複数の断片に分割されて、それぞれが連続しない分離した状態で媒体に書き込まれることあります。

そのように、ファイルが複数の断片に分割された状態は「断片化」と呼ばれています。フラグメントされた状態などとも表現されます。ファイルの断片化は、それほど珍しいことではありません。数MB程度の文書ファイルでも発生することはあり、データ本体の容量が大きくなるほど断片化する確率は高まります。なお、デフラグというは断片化を解消するための機能もOSには備わっています。断片化化状態にあるファイルは読み書きのアクセス時間が長くなりがちですので、パソコン動作のスピードアップを目的として実施されることがあります。

スライド左側の図は、データ本体が3断片化していて、ひとつのファイルレコードが断片1~3までのポインタを3つもっていることを表しています。そしてスライド右側最上部の図は、ファイルレコード終端部分のバイナリデータです。ポインタが3つあり、断片1~3までをそれぞれ指し示しています。

  • ファイルレコード内のポインタ1 -> ファイルの断片1
  • ファイルレコード内のポインタ2 -> ファイルの断片2
  • ファイルレコード内のポインタ3 -> ファイルの断片3

このように断片化が生じたファイルの場合であっても、ファイルレコードにはファイル名・タイムスタンプ・ポインタがあります。そして、ファイルレコードは断片数と同じ数のポインタをもつことによって、分割された断片をひとつのファイルとして扱うことができます。この機能があることによってパソコンユーザは断片化の有無を意識することなく、ファイル操作を行うことができます。

ファイルレコードには断片化したファイルの断片を連結させるという大切な機能も備わっています。削除ファイルに断片化が生じていた場合であっても、ファイルレコードがあれば複数の断片を連結してひとつのファイルとしての復元に期待を持つことができます。ただし、断片化が生じていたファイルのファイルレコードが消滅してしまうと、断片を見つけることができず、しかも仮に見つかったとしても連結の順序が不明です。ファイルシステム解析による復元は基本的には見込めません。ファイルレコードは削除ファイルの復元を目指すときにはぜひとも確保したいものです。

6.ファイルカービング解析による削除済みファイルの復元

ファイルカービング解析による復元(ファイルシステムに依存しない)

削除ファイルの復元には、ファイルレコードが重要な役割を果たすことを前項までで説明しています。でも、削除という処理がなされた以上、ファイルレコードもデータ本体同様に、いつまでも残存するわけではなく、いつかは消滅するでしょう。ここでいう消滅とは再現不可能な残存データの抹消です。バイナリデータとしての記録すら無くなる状況のことです。消失ファイルの復元を行う場面においてファイルレコードが見つからないということは、充分にあり得ます。

そんなときはファイルカービング解析の出番です。他にも、「Raw Recovery」、「ファイルヘッダ切り出し」、「拡張子スキャン」などの呼ばれ方もあるかと思いますが、当ページでは「ファイルカービング(File Carving)」で統一します。

この解析法は、ファイルシステムの仕様に依存しません。つまりファイルレコードを参照すること無くデータ本体を検出しようとするアプローチです。内容はスライドにある通り「ファイルの種類ごとに特有のファイルヘッダ情報に基づいてデータ本体の場所を検出し、ある程度の精度でファイルを出力する方法」です。具体的にはキーワード検索のようにファイルヘッダ情報を指定し、検索がヒットした位置をデータ本体の先頭になるようにファイル出力する、というファイル復元技術です。

さて、スライド右下図のバイナリデータは、JPG画像の先頭部分です。黄色でハイライトされている3バイト(FF D8 FF)が、JPGファイル形式のデータ本体に特有のファイルヘッダです。ファイルカービング解析では、ポインタを参照することなくファイルヘッダ情報だけを頼りにデータ本体の記録位置を探します。同じ画像データというジャンルだったとしてもGIFやBMPのように画像形式が異なればファイルヘッダは異なりますので、ファイルカービング解析を行うにあたってはあらかじめ検出したいファイルヘッダを知っている必要がありますが、通常はデータ復旧ソフトが予めプログラム内部に様々なファイルヘッダ情報を蓄えています。このファイルカービング解析には次のような特性があります。

  • ファイル名は復元されない
  • ファイル名は復元ソフトが連番等を付与する
  • 誤検出を避けずらい
  • 復元されない破損ファイルも含まれる
  • ファイルフッタのあるJPG画像は、比較的復元精度は高い

まず、ファイルレコードを参照しませんので、検出されたデータ本体のファイル名が判明することがありません。そのためファイルカービング解析によって出力されるファイル名は元々のオリジナルファイル名ではないものになります。その際、カービングツールは何らかのルールに沿ってファイル名を付与することが多く、例えば"0001.jpg"や、"0002.jpg"のように連番になることがあります。この命名ルールは使用するデータ復旧ソフトの仕様次第ですが、オリジナルのファイル名が復元されないからといって、プログラムの機能が未熟であるというものではありません。ファイルカービング解析においては、これが仕様です。

つづいて、ファイルカービング解析においては検出結果には誤検出もある程度は含まれます。たまたまファイルヘッダ情報が一致する無関係なデータがあった場合には、検索条件に一致しさえすれば検出されるのが仕様ですので、結果的には誤検出なわけですが、だからといって復元ソフトの機能が未熟であるとは言い切れません。さらに、誤検出があるということは見つかったそのデータは本来は目的のデータではないわけですので、ダブルクリックしたりアプリケーションから開こうとしても開くことはできません。だいたいこういうときは「ファイルが破損しています」という主旨のエラーメッセージが出ます。ユーザ目線ではエラーしか表示させない邪魔な存在ですが、誤検出されたファイルにしてみれば間違い電話がかかってきたようなものですからいい迷惑なわけです。ということで、消失ファイルの検出や復元という局面においてファイルカービング解析は正解のヒットもあれば、不正解のヒットもあるという特性があります。

ただし、ここまではファイルヘッダについてのみ言及してきましたが、例えばJPG形式にはファイルフッタというデータ本体の終端部分にも特有の情報があります。このことにより、JPG画像をファイルカービング解析で検出するときには、ファイルヘッダとファイルフッタの位置を特定できるため、他のファイル形式に比べても誤検出が少ないので、わりと精度の高い復元結果を得られがちです。これは写真画像を復元したいユーザにとっては良い情報です。

7.ファイルカービング解析の特性(誤検出)

ファイルカービング解析の特性(誤検出)

前項でも述べましたが、ファイルカービング解析には誤検出がつきものです。このスライドではその具体例を提示しています。スライドの左半分はファイルヘッダ"FF D8 FF"からファイルフッタ"FF D9"までの、ひとつの連続するバイナリデータを出力したようすを表しています。バイナリデータの下にクリーンルーム内の顕微鏡が写った写真がありますが、これがファイルカービング解析によって復元されたJPG画像です。写真画像として開くことができています。

つづいて、スライド右半分について見てみましょう。こちらも先ほどと同じくファイルヘッダ"FF D8 FF"からファイルフッタ"FF D9"までが、ひとつの連続するバイナリデータ領域として検出されたため、"carved-001.jpg"というファイル名を付与して出力したものです。ところがスライド右下にあるようなエラーメッセージだけが表示されて、JPG画像としては開くことができていません。ファイルヘッダとファイルフッタは正常なJPG画像と全く同じなのに、です。

いったい何がJPG画像として誤検出されたのかを調べてみたところ、実はJPG画像とは関係のない圧縮された文書ファイルの一部分であることが判明しました。このように、ファイルカービング解析では検索条件と一致さえすれば写真ですらないデータでさえもJPG画像として検出されてしまいます。検索条件を厳しく設定すれば、誤検出は減りますが目的のファイルが見つかる可能性も下がります。逆に検索条件を緩く設定すれば、目的のファイルが見つかる可能性は上がりますが、それと同時に誤検出数も増えます。複数のデータ復旧ソフトを利用されたことがある方なら、経験的にご存知かもしれません。

ちなみに、データ復旧ソフトやデジタルフォレンジック解析ツールより高い精度のファイルカービング解析もあります。誤検出を減らしつつ、検出漏れを抑えたデータ検出のための技術です。汎用性が無いため市販ツールへの実装は現実的ではありません。復旧ソフトやDF解析ツールの限界を超える本格的な調査が必要な場面では非常に有用かつ現実的な解析技術です。

8.ファイルカービング解析の特性(断片化ファイル)

ファイルカービング解析の特性(断片化ファイルの復元)

ファイルレコードを活用した削除ファイルの復元や、ファイルカービング解析の仕様と特性については前項までに解説した通りです。ここでは削除データを復元するにあたり、断片化ファイルのファイルカービング解析について説明します。

繰り返しになりますが、ファイルレコードが消滅してる状況において、削除ファイルを復元するにはファイルカービング解析は有効です。むしろデータ復旧ソフトがもつ最終手段です。では、削除ファイルが断片化ファイルだった場合を想定してみましょう。

ファイルが断片化している場合であっても、ファイルカービング解析によりファイルヘッダを含む第1断片は検出されるでしょう。ところが第2断片や第3断片はファイルヘッダを含んでいないため、ファイルカービング解析の検索条件に一致しません。つまり検出対象にはなっていないめ、見つかることがありません。そのため削除された断片化ファイルを復元したいときにはファイルレコードが必要です。ですが何らかの事由で該当のファイルレコードが消滅している場合には、そのファイルの復元はすくなくともデータ復旧ソフトでは不可能です。これは復元仕様の限界を超えているからです。

あるいは、ファイルレコードが残存していたとしても、ひとつでも断片が消滅していれば、ファイルを正常に復元することは不可能です。ですので、断片化を生じていたファイルが削除されている場合においては、データ復旧ソフトを使ったファイル復元は容易ではないと判断せざるを得ません。復元できなくても諦めがつくようなファイルならまだ良いかもしれませんが、断片化を生じるファイルには次のような特徴があります。

  • 更新頻度が高い
  • ファイル容量が大きい

まず更新頻度が高いというのは、日常的に繰り返し編集や更新をしているファイルです。エクセルのような表計算ファイルならシートを追加しながら情報の追記が日々行われているかもしれません。一般的に更新頻度の高いファイルは重要性が高い傾向にありますので、消失時の損害やダメージは強くなりがちです。

次にファイル容量について。エクセルもそうですが日常的な情報更新やレコード追加があるようなデータベース系のファイルは特にファイルサイズが大きくなりやすいです。それでいて更新頻度も高いため断片化も生じやすい環境にあるといえます。たとえばMS SQLサーバのデータベースファイル(MDF, LDF)は更新頻度が高く、尚且つサイズも大容量化することが珍しくありませんのでファイル消失トラブル時に復元が必要なときには、ファイルレコードが消滅するよりも早いタイミングで取り組むことが大切になります。ただ、概ねデータベース系のファイルはバックアップ体制の整っていることも多く、ファイルサーバに比べるとファイルレコードの更新数が少ない傾向にありますし、消失トラブルの検知タイミングも早いでしょうから、取り返しのつかない状況に陥る見込みはそれほど高くないと考えて良いかもしれません。

ですが、Outlookのメールデータ(PSTファイル)においては、かなり現実的かつ重大なトラブルにつながりやすいです。メールですので更新頻度はユーザデータのなかでもトップクラスでしょうし、ファイル容量もオフィスドキュメント系の数百倍以上あることがほとんどです。むしろPSTファイルが断片化しない状況は想定しずらいほどですので、Outlookメールについて特に誤消去などのトラブルが発覚した際には、早期対処が望ましいといえます。なお、ここでの早期対処とは早めにデータ復旧ソフトを使うことを推奨しているわけでは決してございません。

ファイル消失時に問題が深刻になりがちがファイルほど、断片化を起こしていやすいものです。しかしデータ復旧ソフトがもつ2つの復元機能のうちファイルカービング解析は、あいにく断片化ファイルに対してはほぼ無力です。これは復元ソフトの性能が足りないのではなく、ファイル復元原理と合致しないために生じる現象です。

9.データ復旧ソフトの復元性能の比較

データ復旧ソフトの復元性能の比較(データ復旧ソフトが削除ファイルを復元する機能の比較)

削除済みファイルを復元する際に、データ復旧ソフトが一般的にもっている2つの機能(ファイルシステム解析・ファイルカービング解析)が、2つのファイル構成要素(ファイルレコード・データ本体)の残存状況の組み合わせによって、どのような復元見込みがあるかをまとめたのがこのスライドの表です。

なお、この表は復旧ソフトの性能の良い悪いを比べるためのものではありません。データが消えている状況と、それに対するデータ復元のしくみがどのようにマッチしたときに、データが元通りに復元されるのか、あるいは破損ファイルとしてエラー表示される結果をどのように捉えるべきなのかについて、科学的に正しく理解するための参考になればと作成したものです。

ファイルシステム解析カービング解析
ファイルレコード:あり
データ本体   :あり
ファイルレコード:あり
データ本体   :無し
××
ファイルレコード:無し
データ本体   :あり
×
ファイルレコード:無し
データ本体   :無し
××
データ復旧ソフトの復元性能の比較

10.まとめ

このページでは削除データの復元について、一般的なデータ復旧ソフトや復元サービスを用いた場合を想定し、その復元のしくみや復元見込み等について解説してまいりましたが、データ復旧の専門技術者が取り組む場合には、データ復元の可能性は当ページに記載してあるよりも高く見込めますのでどうか誤解等ございませんようお願い申し上げます。

そして、これから復元ソフトで削除ファイルを探す予定の方がこのページをお読みでしたら、その消失したデータが重要であればあるほど、復元ソフトはご利用されないことをお勧めします。理由は、データ復旧ソフトが前項のスライドの表の一番下の行の状態(ファイルレコード:無し&データ本体:無し)にしてしまうリスクがあるからです。つまり復元ソフトが復元を不可能にしてしまう現象です。

当ページは、あくまで裁判の証拠資料や不正調査及び重大なITシステムトラブルが発生した場合等において、消失データの復元に取り組む際にデータ復旧ソフトやデジタルフォレンジック解析ツールを用いて得られた結果や、見込まれる復元結果についての理解のサポートになれば、という主旨で作成しました。とはいえ実際に裁判資料として活用される場合には、例外等を個別に考慮する必要性もありますので、状況に応じてご参照いただくか、当方までお問い合わせください。

繰り返しとなりますがこのページの記載内容は、当社における消失データの解析技術の限界ラインを示すものではございません。むしろ復旧ソフト等で復元できなかった場合であっても、ファイル復元以外のアプローチで解析することによって、目的の情報の復元や証拠集めができる可能性はまだまだありますので、あきらめられない場合にはどうぞご相談ください。

11.当ページ記載事項の講義・講演

このページの資料は、以下の講演・講義での解説に下垣内太が使用したスライドの一部です。

0 件のコメント:

コメントを投稿

説話集『宇治拾遺物語』「後の千金」に書かれた名言(13世紀頃)[今週の防災格言339] | 防災意識を育てるWEBマガジン「思則有備(しそくゆうび)」

説話集『宇治拾遺物語』「後の千金」に書かれた名言(13世紀頃)[今週の防災格言339] | 防災意識を育てるWEBマガジン「思則有備(しそくゆうび)」     kou子力学 ⁦‪@kou5600‬⁩ ⁦‪@news24ntv‬⁩  『宇治拾遺物語(編者未詳)』巻十五 第一九六話「...