Восстановление удаленных файлов

Источник: PC Magazine
Шерил Кантер

С помощью специальных аппаратных и программных средств можно восстановить практически любой файл, даже если поверх него записаны другие данные, диск переформатирован, загрузочный сектор засорен, а контроллер диска перестал функционировать. Это очень удобно, когда вы хотите восстановить чрезвычайно важный файл, но никуда не годится, если не желательно, чтобы ваши личные данные прочитали посторонние. Правильное решение зависит от того, сколько времени и денег вы готовы потратить.

Чтобы понять, как восстанавливаются удаленные данные, надо сначала выяснить, как они сохраняются. Накопитель на жестком магнитном диске (НЖМД) состоит из пакета дисковых пластин. Сохраняемые на пластинах данные располагаются по концентрическим окружностям, называемым дорожками. Для доступа к различным частям жесткого диска головки чтения-записи перемещаются по поверхности пластин. Так как к данным возможен непосредственный доступ повсюду на жестком диске, то файлы или их фрагменты могут храниться на его поверхности в любом месте. Помещать их в последовательном порядке совсем не обязательно.

Данные на жестких дисках хранятся группами (кластерами). Размеры кластеров варьируются в зависимости от операционной системы и размеров логического тома. Если размер кластера жесткого диска составляет 4 Кбайт, то даже 1-Кбайт файл будет занимать 4 Кбайт. Большие файлы могут занимать сотни или тысячи кластеров, разбросанных по всему диску. Все эти отдельные порции данных отслеживаются и управляются входящей в состав операционной системы файловой системой.

В настоящее время существует три вида файловых систем, используемых ОС Microsoft Windows. Первая - таблица размещения файлов FAT (File Аllocation Тable) - была введена в системе DOS. Вместе с Windows 95 появилась система FAT32, а выпуск ОС Windows NT 4.0 сопровождался появлением файловой системы новой технологии NTFS (New Тechnology File System). Все три системы построены по одному и тому же принципу. Имеется каталог, где перечислены файлы на диске и содержится указатель начального кластера, который фиксирует начало файла. Запись в FAT о начальном кластере содержит указатель следующего кластера и т. д., пока не будет достигнут маркер конца файла.

Файл все еще здесь

Когда вы с помощью обычной операции Windows удаляете файл, он на самом деле не стирается. Если вы удаляете его в системе каталогов Windows Explorer, то он оказывается в корзине. Но даже если вы очищаете корзину или действуете в обход ее, файл попросту игнорируется. Первая буква имени файла изменяется на специальный символ, а кластеры, где содержатся эти данные, помечаются как свободные, но данные все еще там. Когда вы в следующий раз сохраняете какой-нибудь файл, эти кластеры могут использоваться для хранения новых данных, которые записываются поверх старых. Однако до этого момента прежние данные остаются совершенно невредимыми. Вы можете их восстановить с помощью утилиты, которая действует в обход ОС и непосредственно считывает записанное на жестком диске. В нашем недавнем обзоре средств восстановления данных (www.pcmag.com/print_article/0,3048,a=41827,00.asp) мы рассмотрели четыре такие утилиты. Утилита EasyRecovery Lite 6.0 компании Kroll Ontrack (www.ontrack.com) удостоена отличия «Редакция советует».

Если вы хотите восстановить случайно удаленный чрезвычайно важный файл, нужно постараться ничего не записать поверх него. Немедленно прекратите работу на своем компьютере и ничего не записывайте на диск. Не надо даже инсталлировать программу восстановления, так как все записываемое на жесткий диск может попасть в кластеры файла, который вы хотите восстановить. Если программа восстановления еще не инсталлирована, запустите ее с гибкого диска.

Если данные перезаписаны

После того как поверх содержащихся в файле данных записана другая информация, получить к ним доступ с помощью программных средств вы уже не сможете. Но это не означает, что эти данные невосстановимы. Существует два способа, которые все еще позволяют прочитать перезаписанные данные на жестком диске.

При записи на диск одного бита информации на головку чтения-записи подается сигнал, достаточно мощный для записи этого бита, но не такой большой, чтобы воздействовать на соседние участки. Так как мощность сигнала недостаточна для насыщения носителя, то на абсолютную величину сигнала оказывают влияние данные, которые ранее хранились на этом месте. Когда бит 0 замещается 1, интенсивность сигнала слабее, чем в случае, если бы раньше хранилась 1. С помощью специальных аппаратных средств можно выявить точную интенсивность сигнала. Вычтя настоящую версию сигнала, можно получить «тень» прежних данных. Этот процесс можно повторять до семи раз, и поэтому, чтобы гарантировать устранение теневых отображений, данные необходимо замещать более семи раз, причем каждый раз случайно выбранными данными.

Во втором методе восстановления данных используется то обстоятельство, что головка чтения-записи устанавливается при выполнении операции записи не в точности на одно и то же место. Это дает специалистам возможность выявить предшествующее состояние у краев дорожки. Соответствующие данные называют теневыми. Повторная запись поверх данных постепенно замещает содержание этих краевых областей.

Уничтожение данных

Приятно знать, что удаленные данные можно при необходимости восстановить, но не в тех случаях, когда вы действительно хотите, чтобы они пропали навсегда. В «Руководстве по национальной программе промышленной безопасности» (National Security Program Operating Manual), называемой также документом DOD 5220.22M (www.dss.mil/isec/nispom_0195.htm), подробно излагаются критерии Министерства обороны США по очистке жестких дисков. В этом руководстве предусматривается трехкратное замещение данных: сначала одиночным 8-бит символом, затем его дополнением (нули замещаются на единицы и наоборот) и, наконец, случайными символами. Однако этот метод не применяется для очистки носителей, содержащих особо секретную информацию. Такие диски должны размагничиваться либо уничтожаться физически.

Однако для большинства пользователей метод замещения вполне пригоден, причем имеется множество утилит, в которых он и применяется.

Где скрываются данные

Удаление и перезапись файлов не приводят к исчезновению всех уязвимых данных с жесткого диска. Стиранию должны подвергаться все секторы (составляющие кластер 512-байт сегменты), так как данные могут скрываться в самых неожиданных местах. Часто в последнем кластере большого файла находятся случайные данные, называемые заполнителями файлов (file slack). Когда на жестком диске записана последняя часть файла и данные не заполняют сектор целиком, он дополняется случайно выбранными данными, взятыми из памяти и называемыми заполнителями ОЗУ (RAM slack). Это может быть любая информация, сформированная, просматривавшаяся или преобразованная со времени последней загрузки компьютера. Остальные секторы, составляющие кластер, содержат остатки разных данных, ранее сохраненных в этом месте, которые называются заполнителями диска (drive slack). Многие программы безопасного удаления данных не способны должным образом стирать заполнители файлов, которые могут содержать массу конфиденциальной информации.

В файловой системе NTFS (действующей в Windows NT 4.0, 2000 и XP) файлы содержат множественные потоки (streams). В одном потоке заключена информация о правах доступа, а во втором - реальные данные файла. NTFS может также содержать потоки альтернативных данных (Alternative Data Streams - ADS), в которых может храниться все, что угодно. Чаще всего там хранятся миниатюрные изображения из графических файлов. Так как многие программы безопасного удаления не замещают содержимое ADS, миниатюрные изображения могут оставаться доступными для вывода даже после замещения потока, содержащего графический файл. Подробнее о том, как предотвратить сохранение миниатюрных изображений, можно узнать, обратившись к базе знаний Microsoft Knowledge Base Article 319300 (http://support.microsoft.com).

Скрытые угрозы

Известно, что правонарушители пользуются потоками альтернативных данных, чтобы прятать на жестких дисках данные или вирусы. Есть на жестких дисках и другие области, где можно преднамеренно прятать данные. Секторы на жестком диске формируются в процессе низкоуровневого форматирования, обычно выполняемого на заводе. Дефектные секторы помечаются, и поэтому контроллер жесткого диска не пытается производить на них записи. Состоящие из секторов кластеры формируются во время высокоуровневого форматирования. Если при этом выявляется дефектный сектор, то весь кластер помечается как дефектный. Однако в нем содержатся и исправные секторы, в которых правонарушители могут прятать данные.

На устаревших жестких дисках данные можно также прятать в местах, называемых межсекторными промежутками (sector gap). Все дорожки содержат одинаковое число секторов, но длина окружности внешних дорожек намного больше, чем у внутренних. Более широкие промежутки между внешними секторами можно использовать для скрытного хранения данных. На современных жестких дисках эти потери пространства исключаются с помощью метода зонной записи (zoned recording), согласно которому число секторов регулируется в зависимости от положения дорожки.

Для доступа к таким скрытым частям жесткого диска необходима программа, которая, как мы упоминали, действует в обход ОС. Профессиональные программы криминалистов бывают очень дорогими. Так, EnCase Forensic Edition фирмы Guidance Software (www.guidancesoftware.com) стоит 2495 долл. Программа Directory Snoop компании Briggs Softworks (www.briggsoft.com/dsnoop.htm) обеспечивает доступ к нижним уровням диска всего за 29 долл., но она не действует в системе NTFS.

Избегайте риска

Важно иметь в виду, что восстановить данные легче, чем удалить их навсегда. Если вы когда-нибудь нечаянно удаляли важный файл (а с кем этого не случалось), то оцените это как благо. Но если вы продаете подержанный компьютер или жесткий диск, надо воспользоваться утилитой безопасного удаления данных и произвести перезапись каждого сектора жесткого диска. Помните, что переформатирование не приводит к перезаписи каждого сектора, и конфиденциальная информация может остаться доступной.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=4901