Відновлення видалених файлів, Інформаційні системи, Бази даних, статті

За допомогою спеціальних апаратних і програмних засобів можна відновити практично будь-який файл, навіть якщо поверх нього записані інші дані, диск переформатований, завантажувальний сектор засмічений, а контролер диска перестав функціонувати. Це дуже зручно, коли ви хочете відновити надзвичайно важливий файл, але нікуди не годиться, якщо не бажано, щоб ваші особисті дані прочитали сторонні. Правильне рішення залежить від того, скільки часу і грошей ви готові витратити.

Щоб зрозуміти, як відновлюються видалені дані, треба спочатку з’ясувати, як вони зберігаються. Накопичувач на жорсткому магнітному диску (НЖМД) складається з пакету дискових пластин. Збережені на пластинах дані розташовуються по концентричних колах, званим доріжками. Для доступу до різних частин жорсткого диска головки читання-запису переміщуються по поверхні пластин. Так як до даних можливий безпосередній доступ всюди на жорсткому диску, то файли або їх фрагменти можуть зберігатися на його поверхні в будь-якому місці. Розміщати їх в послідовному порядку зовсім не обов’язково.


Дані на жорстких дисках зберігаються групами (кластерами). Розміри кластерів варіюються в залежності від операційної системи і розмірів логічного тому. Якщо розмір кластера жорсткого диска становить 4 Кбайт, то навіть 1-Кбайт файл займатиме 4 Кбайт. Великі файли можуть займати сотні або тисячі кластерів, розкиданих по всьому диску. Всі ці окремі порції даних відстежуються і управляються входить до складу операційної системи файлової системою.


В даний час існує три види файлових систем, що використовуються ОС Microsoft Windows. Перша – таблиця розміщення файлів FAT (File Аllocation Тable) – була введена в системі DOS. Разом з Windows 95 з’явилася система FAT32, а випуск ОС Windows NT 4.0 супроводжувався появою файлової системи нової технології NTFS (New Тechnology File System). Всі три системи побудовані за одним і тим же принципом. Є каталог, де перераховані файли на диску і міститься покажчик початкового кластера, який фіксує початок файлу. Запис в FAT про початковий кластері містить покажчик наступного кластера і т. д., поки не буде досягнутий маркер кінця файлу.


Файл все ще тут


Коли ви за допомогою звичайної операції Windows видаляєте файл, він насправді не стирається. Якщо ви видаляєте його в системі каталогів Windows Explorer, то він виявляється в кошику. Але навіть якщо ви очищаєте кошик або дієте в обхід її, файл просто ігнорується. Перша літера імені файлу змінюється на спеціальний символ, а кластери, де містяться ці дані, позначаються як вільні, але дані все ще там. Коли ви наступного разу зберігаєте небудь файл, ці кластери можуть використовуватися для зберігання нових даних, які записуються поверх старих. Проте до цього моменту колишні дані залишаються абсолютно неушкодженими. Ви можете їх відновити за допомогою утиліти, яка діє в обхід ОС і безпосередньо зчитує записане на жорсткому диску. У нашому недавньому огляді засобів відновлення даних (www.pcmag.com/print_article/0, 3048, a = 41827,00. asp) ми розглянули чотири такі утиліти. Утиліта EasyRecovery Lite 6.0 компанії Kroll Ontrack (www.ontrack.com) удостоєна відзнаки «Редакція радить».


Якщо ви хочете відновити випадково видалений надзвичайно важливий файл, потрібно постаратися нічого не записати поверх нього. Негайно припиніть роботу на своєму комп’ютері і нічого не записуйте на диск. Не треба навіть інсталювати програму відновлення, так як все записуване на жорсткий диск може потрапити в кластери файлу, який ви хочете відновити. Якщо програма відновлення ще не інстальована, запустите її з гнучкого диска.


Якщо дані перезаписані


Після того як поверх містяться у файлі даних записана інша інформація, отримати до них доступ за допомогою програмних засобів ви вже не зможете. Але це не означає, що ці дані невідновні. Існує два способи, які все ще дозволяють прочитати перезаписані дані на жорсткому диску.


При запису на диск одного біта інформації на головку читання-запису подається сигнал, досить потужний для запису цього біта, але не такий великий, щоб впливати на сусідні ділянки. Так як потужність сигналу недостатня для насичення носія, то на абсолютну величину сигналу впливають дані, які раніше зберігалися на цьому місці. Коли біт 0 заміщається 1, інтенсивність сигналу слабкіше, ніж у випадку, якщо б раніше зберігалася 1. За допомогою спеціальних апаратних засобів можна виявити точну інтенсивність сигналу. Віднявши справжню версію сигналу, можна отримати «тінь» колишніх даних. Цей процес можна повторювати до семи раз, і тому, щоб гарантувати усунення тіньових відображень, дані необхідно заміщати більше семи разів, причому кожного разу випадково обраними даними.


У другому методі відновлення даних використовується та обставина, що головка читання-запису встановлюється при виконанні операції запису не в точності на одне і те ж місце. Це дає фахівцям можливість виявити попереднє стан у країв доріжки. Відповідні дані називають тіньовими. Повторна запис поверх даних поступово заміщає зміст цих крайових областей.


Знищення даних


Приємно знати, що віддалені дані можна при необхідності відновити, але не в тих випадках, коли ви дійсно хочете, щоб вони пропали назавжди. У «Керівництві по національній програмі промислової безпеки »(National Security Program Operating Manual), званої також документом DOD 5220.22M (www.dss.mil/isec/nispom_0195.htm), докладно викладаються критерії Міністерства оборони США з очищення жорстких дисків. У цьому керівництві передбачається триразове заміщення даних: спочатку одиночним 8-біт символом, потім його доповненням (нулі заміщуються на одиниці і навпаки) і, нарешті, випадковими символами. Однак цей метод не застосовується для очищення носіїв, що містять особливо секретну інформацію. Такі диски мають размагничиваться або знищуватися фізично.


Однак для більшості користувачів метод заміщення цілком придатний, причому є безліч утиліт, в яких він і застосовується.


Де ховаються дані


Видалення і перезапис файлів не призводять до зникнення всіх вразливих даних з жорсткого диска. Стирання повинні піддаватися всі сектори (складові кластер 512-байт сегменти), так як дані можуть ховатися в найнесподіваніших місцях. Часто в останньому кластері великого файлу знаходяться випадкові дані, звані заповнювачами файлів (file slack). Коли на жорсткому диску записана остання частина файлу і дані не заповнюють сектор цілком, він доповнюється випадково обраними даними, взятими з пам’яті і званими заповнювачами ОЗУ (RAM slack). Це може бути будь-яка інформація, сформована, проглядається або перетворена з часу останнього завантаження комп’ютера. Решта секторів, що складають кластер, містять залишки різних даних, раніше збережених в цьому місці, які називаються заповнювачами диска (Drive slack). Багато програм безпечного видалення даних не здатні належним чином прати заповнювачі файлів, які можуть містити масу конфіденційної інформації.


У файловій системі NTFS (що діє в Windows NT 4.0, 2000 і XP) файли містять множинні потоки (streams). В одному потоці укладена інформація про права доступу, а в другому – реальні дані файлу. NTFS може також містити потоки альтернативних даних (Alternative Data Streams – ADS), в яких може зберігатися все, що завгодно. Найчастіше там зберігаються мініатюрні зображення з графічних файлів. Так як багато програм безпечного видалення не заміщають вміст ADS, мініатюрні зображення можуть залишатися доступними для виведення навіть після заміщення потоку, що містить графічний файл. Детальніше про те, як запобігти збереження мініатюрних зображень, можна дізнатися, звернувшись до бази знань Microsoft Knowledge Base Article 319300 (http://support.microsoft.com).


Приховані загрози


Відомо, що правопорушники користуються потоками альтернативних даних, щоб ховати на жорстких дисках дані або віруси. Є на жорстких дисках і інші області, де можна навмисно ховати дані. Сектори на жорсткому диску формуються в процесі низькорівневого форматування, зазвичай виконується на заводі. Дефектні сектори позначаються, і тому контролер жорсткого диска не намагається робити на них запису. Складаються з секторів кластери формуються під час високорівневого форматування. Якщо при цьому виявляється дефектний сектор, то весь кластер позначається як дефектний. Однак у ньому містяться і справні сектори, в яких правопорушники можуть ховати дані.


На застарілих жорстких дисках дані можна також ховати в місцях, званих міжсекторних проміжками (sector gap). Всі доріжки містять однакове число секторів, але довжина кола зовнішніх доріжок набагато більше, ніж у внутрішніх. Більш широкі проміжки між зовнішніми секторами можна використовувати для скритного зберігання даних. На сучасних жорстких дисках ці втрати простору виключаються з допомогою методу зонної записи (zoned recording), згідно з яким число секторів регулюється в залежності від положення доріжки.


Для доступу до таких прихованим частинам жорсткого диска необхідна програма, яка, як ми згадували, діє в обхід ОС. Професійні програми криміналістів бувають дуже дорогими. Так, EnCase Forensic Edition фірми Guidance Software (www.guidancesoftware.com) коштує 2495 дол Програма Directory Snoop компанії Briggs Softworks (www.briggsoft.com / dsnoop.htm) забезпечує доступ до нижніх рівнів диска всього за 29 дол, але вона не діє в системі NTFS.


Уникайте ризику


Важливо мати на увазі, що відновити дані легше, ніж видалити їх назавжди. Якщо Ви коли-небудь ненавмисно видаляли важливий файл (а з ким цього не траплялося) то оцініть це як благо. Але якщо ви продаєте старий комп’ютер або жорсткий диск, треба скористатися утилітою безпечного видалення даних і провести перезапис кожного сектора жорсткого диска. Пам’ятайте, що переформатування не призводить до перезапису кожного сектора, і конфіденційна інформація може залишитися доступною.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*