Czy usunięte pliki można odzyskać w informatyce śledczej?

Często tak. Usunięty plik znika z katalogu, ale dane fizycznie pozostają na dysku do nadpisania. Na HDD odzysk jest skuteczny długo. Na SSD trudniejszy przez TRIM. Czas od usunięcia i aktywność dysku decydują o szansach.

Jakie narzędzia są najpopularniejsze w informatyce śledczej?

Autopsy (open-source), EnCase i FTK (komercyjne standardy), Volatility (pamięć RAM), Cellebrite UFED (telefony komórkowe), Wireshark (sieć).

Informatyka śledcza — co to jest, jak działa i jakie ma zastosowania

Q: Czy dowody cyfrowe są dopuszczalne w polskim sądzie?

Tak, pod warunkiem prawidłowego zabezpieczenia i łańcucha dowodów. Biegły sądowy z informatyki śledczej wydaje opinię techniczną. KPK dopuszcza dowody elektroniczne.

Q: Czym różni się informatyka śledcza od cyberbezpieczeństwa?

Cyberbezpieczeństwo chroni systemy (prewencja). Informatyka śledcza analizuje to, co już się wydarzyło i zbiera dowody. DFIR łączy obie dziedziny.

Q: Jakie certyfikaty są ważne w informatyce śledczej?

EnCE (EnCase), GCFE i GCFA (GIAC), CHFI (EC-Council), CCE. W Polsce działa PISA (Polskie Stowarzyszenie Informatyków Śledczych) prowadzące szkolenia.

25/06/2026

Przestępca usuwa pliki z laptopa. Polityk kasuje e-maile. Pracownik kopiuje bazę klientów przed odejściem z firmy. Informatyka śledcza (digital forensics) to dziedzina, która sprawia, że skasowane nie znaczy znikło — i która potrafi udowodnić w sądzie, co dokładnie wydarzyło się na komputerze, telefonie lub serwerze.

Spis treści

Co to jest informatyka śledcza

Informatyka śledcza (ang. computer forensics, digital forensics) to interdyscyplinarna dziedzina łącząca informatykę, kryminalistykę i prawo. Jej celem jest zbieranie, zabezpieczanie, analiza i prezentacja dowodów cyfrowych w sposób, który spełnia wymogi prawne — tak, by mogły zostać użyte przed sądem.

Kluczowe zasady różniące informatykę śledczą od zwykłej analizy IT:

Integralność dowodów — każde działanie jest dokumentowane. Analiza odbywa się na kopii nośnika (obraz bitowy), nie oryginale.
Łańcuch dowodów (chain of custody) — każdy, kto miał kontakt z nośnikiem, jest odnotowany.
Odtwarzalność — każdy wniosek musi być możliwy do niezależnej weryfikacji przez innego specjalistę.

Obszary informatyki śledczej

Kryminalistyka dyskowa (disk forensics)

Analiza dysków twardych, SSD, pendriveów i kart pamięci. Obejmuje odtwarzanie usuniętych plików (plik usunięty często pozostaje na dysku do nadpisania), analizę metadanych (data i godzina dostępu, modyfikacji, tworzenia), rekonstrukcję aktywności użytkownika.

Kryminalistyka pamięci (memory forensics)

Analiza obrazu RAM — pamięci operacyjnej komputera. Potrafi ujawnić uruchomione procesy, klucze szyfrowania, hasła, fragment szyfrowanej komunikacji i malware działające tylko w pamięci (fileless malware), które nie zostawiają śladów na dysku.

Kryminalistyka sieciowa (network forensics)

Analiza logów sieciowych, zapisów ruchu (pcap), metadanych połączeń. Pozwala ustalić, z jakimi serwerami komunikował się komputer, jakie dane zostały wysóne lub odebrane.

Kryminalistyka mobilna (mobile forensics)

Wydobywanie danych z telefonów komórkowych — wiadomości SMS, komunikatory, historia połączeń, dane GPS, zdjęcia z metadanymi EXIF (zawierającymi często lokalizację), aplikacje i ich dane. Narzędzia: Cellebrite UFED, Oxygen Forensic.

Kryminalistyka chmurowa

Pozyskiwanie danych z usług chmurowych (Google Drive, iCloud, Microsoft 365) — wymaga współpracy z dostawcą (nakaz sądowy lub European Investigation Order) lub analizy lokalnych artefaktów synchronizacji.

Jak wygląda praca informatyka śledczego

Zabezpieczenie miejsca zdarzenia — izolacja nośnika, wyłączenie (lub pozostawienie włączonego, zależnie od sytuacji) komputera, dokumentacja fotograficzna.
Tworzenie obrazu forensycznego — bit-perfect kopia nośnika z weryfikacją hashów (MD5/SHA-256). Narzędzia: FTK Imager, dd.
Analiza — praca na kopii, nie oryginale. Narzędzia: Autopsy (open-source), EnCase, FTK (Forensic Toolkit), Volatility (pamięć RAM).
Dokumentacja i raport — szczegółowy raport dla klienta lub prokuratury, gotowy do prezentacji w sądzie.

Zastosowania w Polsce

Postępowania karne — cyberprzestępstwa, fraud, pornografia dziecięca, stalking, włamania.
Spory korporacyjne — kradzież tajemnicy przedsiębiorstwa, sabotaż przez pracownika, naruszenie NDA.
Sprawy pracownicze — udowodnienie lub obalenie zarzutów o wyciek danych.
Reakcja na incydenty (DFIR) — po ataku ransomware lub APT: ustalenie wektora wejścia, zakresu kompromitacji, osi czasu ataku.
Due diligence i audyty — sprawdzenie, czy dane organizacji nie wyciekły.

Narzędzia informatyki śledczej

Autopsy — open-source, platforma do analizy dysków i telefonów.
EnCase — komercyjny standard, używany przez policje na świecie.
FTK (Forensic Toolkit) — narzędzie do analizy dysków i e-mailów.
Volatility — analiza pamięci RAM (open-source).
Cellebrite UFED — standard do analizy telefonów, używany przez policję.
Wireshark — analiza ruchu sieciowego.
Kali Linux — dystrybucja z zestawem narzędzi forensic i pen-test.

Najczęściej zadawane pytania o informatykę śledczą

Czy usunięte pliki można odzyskać?

Często tak. Usunięty plik znika z listy katalogowej, ale jego dane na dysku fizycznie pozostają do nadpisania. Na HDD odzyskiwanie jest skuteczne przez długi czas. Na SSD jest trudniejsze ze względu na mechanizm TRIM i wear-leveling. Czas od usunięcia i stopień aktywności dysku decydują o szansach odzysku.

Czym różni się informatyka śledcza od cyberbezpieczeństwa?

Cyberbezpieczeństwo chroni systemy przed atakami (prewencja i detekcja). Informatyka śledcza analizuje to, co już się wydarzyło (post-mortem) i zbiera dowody. W praktyce obie dziedziny się przenikają — DFIR (Digital Forensics and Incident Response) łączy reagowanie na incydenty ze śledztwem.

Czy dowody cyfrowe są dopuszczalne w polskim sądzie?

Tak, pod warunkiem prawidłowego zabezpieczenia i udokumentowania (łańcuch dowodów). KPK dopuszcza dowody elektroniczne. Biegły sądowy z zakresu informatyki śledczej wydaje opinię techniczną. Jej wiarygodność zależy od metodyki — stąd tak ważna jest praca na kopii, nie oryginale.

Jakie są zarobki informatyka śledczego w Polsce?

Stanowisko junior digital forensics analyst zaczyna od ok. 6 000 PLN brutto. Senior z certyfikatami (EnCE, GCFE, GCFA, CHFI) zarabia 12 000-20 000 PLN brutto i więcej. W korporacjach finansowych i firmach konsultingowych stawki B2B sięgają 200-350 PLN/h. Zapotrzebowanie rośnie.

Jakie certyfikaty są ważne w informatyce śledczej?

EnCE (EnCase Certified Examiner), GCFE i GCFA (GIAC), CHFI (EC-Council), CCE (Certified Computer Examiner). W DFIR: GCIH, GCFE. Dla memory forensics: Volatility certifications. Polskie PISA (Polskie Stowarzyszenie Informatyków Śledczych) prowadzi szkolenia i certyfikacje.

Narzędzia

Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.