Az adatok helyreállítása könnyebb, mint véglegesen törölni őket - a Microsoft ablakokról szóló cikkek

Ha az Ön rendelkezésére áll csak a Windows rendszerben található eszközök, akkor a Lomtárból törölt törölt fájl örökre eltűnik. Valójában ez nem így van.

Speciális hardver és szoftver visszaállítani szinte minden fájlt, akkor is, ha meg van a tetején a többi adatot, átszerkesztett lemez, a boot szektort blokkolva van, és a merevlemez-vezérlő megszűnik működni. Ez nagyon hasznos, ha szeretné visszaállítani egy nagyon fontos fájlt, de nem ér semmit, ha nem kívánatos, hogy olvassa el a személyes adatokat kívülállók. A helyes döntés attól függ, mennyi időt és pénzt költenek hajlandóak költeni.

A törölt adatok helyreállításának megértéséhez először meg kell ismernie a tárolt adatokat. A merevlemezen (HDD) lévő merevlemez egy lemezlemez-csomagból áll. A lemezeken tárolt adatok koncentrikus körökben vannak elrendezve, ún. A merevlemez különböző részeinek eléréséhez az olvasó-írófejek mozognak a lemezek felületén. Mivel az adatok közvetlenül elérhetők a merevlemezen, a fájlok vagy azok töredékei bárhol a felületén tárolhatók. A szekvenciális sorrendbe helyezés nem szükséges.

A merevlemezen tárolt adatok csoportokban tárolódnak (klaszterek). A fürtméretek az operációs rendszertől és a logikai kötet méretétől függően változnak. Ha a merevlemez fürtmérete 4 KB, akkor akár 1 KB fájl is 4 KB. A nagy fájlok több száz vagy több ezer klaszteret foglalhatnak el a lemezen. Ezeket az egyedi adatokat az operációs rendszerben lévő fájlrendszer felügyeli és ellenőrzi.

Jelenleg a Microsoft Windows háromféle típusú fájlrendszerrel rendelkezik. Az első a FAT fájl elosztási táblázat (File Allocation Table) - be lett vezetve a DOS rendszerbe. A Windows 95-szel együtt megjelent a FAT32 rendszer, és a Windows NT 4.0 kiadását az NTFS (New Technology File System) új technológia fájlrendszerének megjelenése kísérte. Mindhárom rendszer ugyanarra az elvre épül. Van egy könyvtár, ahol a lemezen lévő fájlok szerepelnek, és tartalmazza a kezdeti fürt indexét, amely rögzíti a fájl elejét. A kezdeti fürtre vonatkozó FAT-bejegyzés a következő klaszter stb. Mutatóját tartalmazza, amíg a fájlvégjelző elérése meg nem történik.

A fájl még mindig itt van

Ha normál Windows-művelettel törli a fájlt, az nem törlődik. Ha a Windows Intéző könyvtárrendszerében törli, akkor a Lomtárban jelenik meg. De még akkor is, ha törli a kukát, vagy megkerüli azt, a fájlt egyszerűen figyelmen kívül hagyja. A fájlnév első betűje különleges karakterré változik, és az ezeket tartalmazó fürtök szabadon vannak megjelölve, de az adatok még mindig ott vannak. A következő alkalommal, amikor menteni egy fájlt, ezek a fürtök használhatók új adatok tárolására, amelyek a régi tetejére vannak írva. Mindazonáltal eddig a korábbi adatok maradtak teljesen sértetlenül. Visszaállíthatja azokat egy olyan segédprogrammal, amely megkerüli az operációs rendszert, és közvetlenül olvassa a merevlemezen rögzített adatokat. Az adat-helyreállítási eszközök legutóbbi áttekintése során négy ilyen segédprogramot vizsgáltam. A Kroll Ontrack (www.ontrack.com) Utility EasyRecovery Lite 6.0-t megtisztelő "Editorial Advise".

Ha vissza szeretné állítani a véletlenül törölt rendkívül fontos fájlt, akkor próbáljon meg semmit sem írni rajta. Azonnal hagyja abba a számítógépen végzett munkát, és ne írjon semmit a lemezre. Nem kell még telepíteni a helyreállítási programot, mivel a merevlemezre írt összes elem bejuthat a visszaállítani kívánt fájl klasztereibe. Ha a javítóprogram még nincs telepítve, indítsa el a hajlékonylemezről.

Ha az adatokat felülírják

Miután más adatokat írt a fájlban lévő adatok tetejére, már nem férhet hozzá szoftverhez. De ez nem jelenti azt, hogy ezeket az adatokat nem lehet megtéríteni. Két módon lehet még olvasni a merevlemezen felülírt adatokat.

Ha az olvasás-író fej lemezére egy darab információ kerül felírásra, olyan jelet generál, amely elég erős ahhoz, hogy rögzítse ezt a bitet, de nem olyan nagy, hogy befolyásolja a szomszédos területeket. Mivel a jelerő nem elegendő a hordozó telítődéséhez, a jel abszolút nagyságát az adott helyen korábban tárolt adatok befolyásolják. Ha a 0 bitet 1-tel kicserélik, akkor a jel erőssége gyengébb, mint korábban tárolva. Különleges hardver segítségével pontosan detektálható a jelintenzitás. A jel jelenlegi verziójának kivonásával az előző adatok "árnyékát" kaphatjuk. Ez a folyamat akár hétszer is megismételhető, ezért az árnyéktérképek eltávolítása érdekében az adatokat többször kell kicserélni, minden alkalommal, amikor véletlenszerűen kiválasztott adatokat.

Jó tudni, hogy a törölt adatok visszaállíthatók, ha szükséges, de nem olyan esetekben, amikor valóban azt szeretné, hogy eltűnjenek örökre. Az „Útmutató az Országos Ipari Biztonsági Program» (National Security Program üzemeltetési kézikönyv), más néven a dokumentumot DOD 5220.22M (www.dss.mil/isec/nispom_0195.htm), a kritériumoknak a US Department of Defense részletező tisztítására merevlemez. Ez az útmutató triszubsztituált adatok: először egy 8-bites szimbólum, akkor a komplementere (nullák helyébe egységét és fordítva), és végül random szimbólumok. Azonban ez a módszer nem használható a rendkívül érzékeny információkat tartalmazó média tisztítására. Az ilyen lemezeket demagnetizálni kell vagy fizikailag el kell pusztítani.

A legtöbb felhasználó számára azonban a csere módszer nagyon alkalmas, és számos segédprogram létezik, ahol alkalmazzák.

Az adatok elrejtése

A fájlok törlése és felülírása nem sérti meg a sérülékeny adatokat a merevlemezről. Minden ágazatot törölni kell (fürtözött 512 bájtos szegmensek), mivel az adatok rejtve lehetnek a legváratlanabb helyeken. Gyakran a nagy fájl utolsó csoportjában a véletlenszerű fájlok neve lassú. Ha a fájl utolsó része a merevlemezen van rögzítve, és az adatok nem töltik be az egész szektort, a véletlenszerűen kiválasztott adatok a memóriából és a RAM megszakításból származnak. Az összes olyan információ, amelyet az utolsó számítógépes indítás óta generált, megtekintett vagy átalakított. A klasztert alkotó többi szektor tartalmazza a korábban ezen a helyen tárolt különböző adatok maradványait, amelyeket lemezterületeknek neveznek. Számos biztonságos adat törlési program nem tudja megfelelően törölni a fájlok helyét, amelyek sok bizalmas információt tartalmazhatnak.

Ismeretes, hogy az elkövetők alternatív adatfolyamokat használnak az adatok vagy vírusok merevlemezekre való elrejtésére. Vannak más területek a merevlemezeken, ahol szándékosan elrejtheti az adatokat. A merevlemezen lévő ágazatok az alacsony szintű formázás során alakulnak ki, általában a gyárban. A hibás szektorok vannak megjelölve, ezért a merevlemez-vezérlő nem próbál meg rögzíteni őket. A magas szintű formázás során fürtalapú klaszterek alakulnak ki. Ha hibás szektort észlel, akkor a teljes klaszter hibás. Azonban jól működő ágazatokat tartalmaz, amelyekben az elkövetők elrejthetik az adatokat.

Az elavult merevlemezeken az adatok szétszedő helyeken is elrejthetők. Minden sáv ugyanazt az ágazatot tartalmazza, de a külső sávok kerülete sokkal nagyobb, mint a belső sávoké. A külső szektorok közötti szélesebb rések felhasználhatók titkos adatok tárolására. A modern merevlemezeken ezek a térbeli veszteségek kiküszöbölésre kerülnek a zonális rögzítési módszer alkalmazásával, amely szerint a szektorok száma a pálya pozíciójától függően módosul.

A merevlemez ilyen rejtett részeinek eléréséhez olyan programra van szüksége, amely - amint említettük - az operációs rendszer megkerülésével jár. Professzionális programok a törvényszéki tudósok nagyon drágák. Tehát EnCase Forensic kiadás cég Briggs Softworks (www.briggsoft.com/dsnoop.htm) Program Directory Snoop cég hozzáférést biztosít az alacsonyabb szintű lemez Guidance Software (www.guidancesoftware.com) értékben 2495 USD. A mindössze $ 29. De nem az NTFS rendszerben működik.

Fontos megjegyezni, hogy könnyebb az adatok helyreállítása, mint véglegesen törölni. Ha valaha véletlenül törölt egy fontos fájlt (és akivel nem történt meg), akkor értékelje áldásként. De ha egy használt számítógépet vagy egy merevlemezt ad el, akkor a segédprogramot biztonságosan törölni kell, és felül kell írni a merevlemez minden egyes szektorát. Ne feledje, hogy az újraformázás nem minden szektort felülír, és a bizalmas információk elérhetők maradnak.