Dacă aveți la dispoziție numai acele instrumente care sunt incluse în Windows, atunci fișierul șters șters din coșul de reciclare a coșului de gunoi pare să fi dispărut pentru totdeauna. De fapt, nu este așa.
Utilizarea hardware și software special poate restaura aproape orice fișier, chiar dacă acesta este înregistrat pe partea de sus a altor date, disc reformatat, sectorul de boot este blocat, iar controlerul de disc încetează să funcționeze. Acest lucru este foarte util atunci când doriți să restaurați un fișier foarte important, dar este lipsit de valoare dacă nu este de dorit să citească informațiile personale din afară. Soluția corectă depinde de cât de mult timp și bani sunteți dispus să-și petreacă.
Pentru a înțelege modul de recuperare a datelor șterse, trebuie mai întâi să aflați cum sunt stocate. Unitatea hard disk de pe hard disk (HDD) constă dintr-un pachet de plăci de disc. Datele stocate pe plăci sunt aranjate în cercuri concentrice, numite urme. Pentru a accesa diferite părți ale unității de disc, capetele de citire și scriere se deplasează peste suprafața plăcilor. Deoarece datele pot fi accesate direct peste tot pe hard disk, fișierele sau fragmentele lor pot fi stocate pe suprafața lor oriunde. Pune-le într-o ordine secvențială nu este necesară.
Datele pe hard-discuri sunt stocate în grupuri (clustere). Dimensiunile clusterului variază în funcție de sistemul de operare și de dimensiunea volumului logic. Dacă mărimea cluster a hard diskului este de 4 KB, atunci chiar și un fișier 1-KB va ocupa 4 KB. Fișierele mari pot ocupa sute sau mii de clustere împrăștiate pe disc. Toate aceste fragmente individuale de date sunt monitorizate și controlate de sistemul de fișiere inclus în sistemul de operare.
În prezent, există trei tipuri de sisteme de fișiere utilizate de Microsoft Windows. Primul este tabelul de alocare a fișierelor FAT (File Alocation Table) - a fost introdus în sistemul DOS. Împreună cu Windows 95, a apărut sistemul FAT32, iar lansarea Windows NT 4.0 a fost însoțită de apariția sistemului de fișiere al noii tehnologii NTFS (New Technology File System). Toate cele trei sisteme sunt construite pe același principiu. Există un director în care fișierele de pe disc sunt listate și conțin indexul clusterului inițial, care stabilește începutul fișierului. Intrarea în FAT despre clusterul inițial conține pointerul următorului cluster, etc., până când se ajunge la marcatorul de sfârșit de fișier.
Dosarul este încă aici
Când ștergeți un fișier utilizând o operație Windows obișnuită, acesta nu este șters. Dacă îl ștergeți în sistemul de directoare Windows Explorer, acesta apare în Coșul de reciclare. Dar chiar dacă goliți gunoiul sau îl ocoliți, fișierul este pur și simplu ignorat. Prima literă a numelui fișierului este modificată la un caracter special, iar clusterele care conțin aceste date sunt marcate ca fiind gratuite, dar datele sunt încă acolo. Data viitoare când salvați un fișier, aceste clustere pot fi folosite pentru a stoca date noi care sunt scrise pe partea superioară. Cu toate acestea, până în acest moment datele anterioare rămân complet neatinsă. Aveți posibilitatea să le restaurați cu ajutorul unui utilitar care ocolește sistemul de operare și citește direct ce a fost înregistrat pe hard disk. În recenta analiză a instrumentelor de recuperare a datelor, am analizat patru astfel de utilități. Utilitate EasyRecovery Lite 6.0 de Kroll Ontrack (www.ontrack.com) este onorat cu "Editorial Advise".
Dacă doriți să restaurați un fișier extrem de important șters accidental, ar trebui să încercați să nu scrieți nimic despre el. Opriți imediat lucrul la computer și nu scrieți nimic pe disc. Nu trebuie chiar să instalați programul de recuperare, deoarece tot ceea ce scrieți pe unitatea hard disk poate ajunge în grupurile de fișiere pe care doriți să le restaurați. Dacă programul de reparare nu este încă instalat, porniți-l de pe dischetă.
Dacă datele sunt suprascrise
După ce ați scris alte informații în partea de sus a datelor conținute în fișier, nu le mai puteți accesa utilizând software-ul. Dar acest lucru nu înseamnă că aceste date nu sunt recuperabile. Există două modalități care vă permit încă să citiți datele suprascrise pe hard disk.
Când un bit de informație este scris pe discul capului de citire-scriere, este produs un semnal suficient de puternic pentru a înregistra acest bit, dar nu atât de mare încât să afecteze zonele adiacente. Deoarece puterea semnalului este insuficientă pentru a satura transportorul, magnitudinea absolută a semnalului este influențată de datele stocate anterior în acea locație. Când bitul 0 este înlocuit cu 1, intensitatea semnalului este mai slabă decât în cazul în care a fost stocată înainte. Cu ajutorul unui hardware special, este posibil să se detecteze intensitatea exactă a semnalului. Prin scăderea versiunii actuale a semnalului, puteți obține o "umbră" a datelor anterioare. Acest proces poate fi repetat de până la șapte ori și, prin urmare, pentru a asigura eliminarea hărților umbrite, datele trebuie înlocuite de mai mult de șapte ori, de fiecare dată când sunt selectate aleator date.
Mă bucur să știu că datele șterse pot fi recuperate, dacă este necesar, dar nu și în cazul în care doriți cu adevărat să le fi plecat pentru totdeauna. „Ghidul pentru Programul de Securitate Industrială» Național (Programul Național de Securitate Manual de operare), numit, de asemenea, documentul DOD 5220.22M (www.dss.mil/isec/nispom_0195.htm), criteriile Departamentului Apărării al SUA care detaliază curățarea hard disk-uri. Acest ghid furnizează date trisubstituit: în primul rând, un simbol unic de 8 biți, atunci complementul său (zerouri se înlocuiesc cu unitatea și vice-versa), și în cele din urmă simboluri aleatorii. Cu toate acestea, această metodă nu este folosită pentru medii care conțin informații sensibile în special de curățare. Aceste discuri au demagnetizat sau distruse fizic.
Cu toate acestea, pentru majoritatea utilizatorilor, metoda de înlocuire este destul de potrivită și există multe utilitare în care este aplicată.
Unde datele sunt ascunse
Ștergerea și suprascrie fișierele nu duc la dispariția tuturor datelor sensibile de pe hard disk. Abraziunea ar trebui să se supună tuturor sectoarelor (segmente cu dispersie de 512 bytes), deoarece datele pot fi ascuns în cele mai neașteptate locuri. De multe ori în ultimul cluster-ul unui fișier mare, cu date aleatoare sunt numite fișiere agregate (fișier Slackwax). În cazul în care hard disk-ul a înregistrat ultima parte a fișierului, iar datele nu umple întregul sector, este completat de substituenților selectate aleatoriu datele preluate din memoria RAM și numite (RAM Slackwax). Acesta poate fi orice informație generată, vizualizate sau convertit de la ultima dată la pornirea computerului. Restul sectoarelor care alcătuiesc cluster, conțin reziduuri ale diferitelor date stocate anterior în această locație, numit agregate de disc (unitate de Slack). Multe ștergerea securizată a programelor de date nu sunt în măsură să se spele corespunzător fișierele de agregate, care pot conține o mulțime de informații sensibile.
Se știe că delincvenții folosesc fluxuri de date alternative pentru a ascunde date sau viruși pe hard-discuri. Există și alte zone pe hard discuri în care puteți ascunde în mod deliberat date. Sectoarele de pe hard disk se formează în timpul formatării la nivel scăzut, de obicei efectuate la fabrică. Sectoarele defecte sunt marcate și, prin urmare, controlerul de hard disk nu încearcă să înregistreze pe ele. Clusterele bazate pe cluster se formează în timpul formatării la nivel înalt. Dacă se detectează un sector defect, întregul cluster este marcat ca fiind defect. Cu toate acestea, acesta conține sectoare bine funcționale în care infractorii pot ascunde datele.
Pe hard disk-urile învechite, datele pot fi ascunse și în locuri numite lacune intersectoriale. Toate pistele conțin același număr de sectoare, dar circumferința liniilor exterioare este mult mai mare decât cea a celor interioare. Diferențele mai mari între sectoarele externe pot fi folosite pentru a stoca în mod secret datele. Pe discurile hard disk moderne, aceste pierderi de spațiu sunt eliminate folosind metoda înregistrării zonate, conform căreia numărul sectoarelor este ajustat în funcție de poziția pistei.
Pentru a accesa hard disk-ul într-o astfel de parte ascunsă a software-ului necesar, care, după cum am menționat, sistemul de operare ocolitoare. software-ul medico-legale Professional poate fi foarte costisitoare. Deci, firma impacheta Edition Medicină Legală Briggs Softworks (www.briggsoft.com/dsnoop.htm) companie din cadrul Programului Directory Snoop oferă acces la nivelurile inferioare de software de orientare de disc (www.guidancesoftware.com) în valoare de 2495 USD. Pentru doar 29. $, dar nu sistemul funcționează NTFS.
Este important să rețineți că este mai ușor să recuperați date decât să le ștergeți definitiv. Dacă ați șters vreodată un fișier important (și cu cine nu sa întâmplat), atunci îl evaluați ca o binecuvântare. Dar dacă vindeți un calculator folosit sau un hard disk, trebuie să utilizați utilitarul pentru a șterge în siguranță datele și a suprascrie fiecare sector al unității hard disk. Rețineți că reformatarea nu suprascrie fiecare sector și că informațiile confidențiale pot rămâne disponibile.
Articole similare
Trimiteți-le prietenilor: