Дали датотеката беше избришана? Да. Зар навистина замина за добро? Можеби не.
Јас сум голем обожавател на зомби филмови и отсекогаш се прашував дали можете да го примените истиот концепт за враќање на датотеки од мртвите? Јас не зборувам за виртуелната "recycle bin". Тоа е лесно. Зборувам директно на нештата што ги избришам-измешани-од-овој-датотека-и-сега-јас-сакате-да-донесе-тоа-назад тип. Може ли да се направи?
Па, направив некои истражувања и некои практични тестирања и среќен сум што можам да кажам дека во некои случаи може да ги вратите датотеките од мртвите. Се разбира, постојат некои ограничувања и исто така ви се потребни некои специјални алатки за наплата на форензички податоци (бесплатни испитувања достапни за тестирање), но ние ќе стигнеме до тоа за една минута.
Што се случува кога датотеката е избришана?
Ајде да разговараме за тоа што се случува кога датотеката е избришана. Во многу оперативни системи , податоците на датотеката се преместуваат во привремена област за одржување, како што е "recycle bin", каде што може да се обнови или исчисти, така што простор на дискот што го земал може да се врати. Но, што навистина се случува? Во многу случаи, само записот за покажувачот каде се наоѓаат податоците на датотеката на физичкиот диск е отстранет. Ова може да биде случај дури и по празнење на ѓубрето.
Што е со податоците? Дали е сè уште таму?
Освен ако оперативниот систем не користи некаков вид на безбедна-избрише функционалност, вистинските податоци може да останат, едноставно не можете да го видите во директориумот за датотеки, освен ако немате вистинска алатка што е (да ја напишете CSI насловната музика како црвено- нагласувајќи ги неговите очила за сонце).
Јас се обидов неколку наводни алатки за обновување на датотеки во минатото. Онаа што ја најдов да бидам најефективна, всушност, го прави она што тврди дека го прави е апликација со име R-Studio од R-Tools Technology. R-Studio е тежок решение за обновување на форензички податоци. Тоа се движи во цена од 49,99 до 899,99 американски долари во зависност од видот на лиценцата што ја купувате и од кој тип на датотечен систем се обидувате да повратат податоци од (т.е. FAT32, NTFS, итн).
Достапна е бесплатен демо-копија која ви овозможува да го скенирате вашиот диск за избришани датотеки што може да се обновуваат. Демото само ќе ви овозможи да ги вратите датотеките кои се помалку од 64KB, но барем ви овозможува да скенирате за да видите дали датотеката за која сметате дека е изгубена за добро може да се обновува.
R-алатките предупредуваат дека никогаш не треба да ја инсталирате алатката на истиот диск од кој се обидувате да закрепнете податоци. Причината за ова е затоа што кога ќе инсталирате било која програма на диск што сакате да направите нешто од, чинот на инсталирање на самиот софтвер може да напише преку областа на дискот што ја содржи датотеката што се обидувате да ја повратите.
Овој софтвер не е за почетниците на компјутерот, но во вистинските раце, R-студио е моќно решение за обновување на катастрофи по вирусниот напад, системскиот пробив или кога вашиот Shih Tzu ќе одлучи да тропа полн шише пиво на вашиот лаптоп . (тоа не беше случајно, таа го направи тоа намерно).
Дали лошите момци можат да ги користат овие алатки?
Најверојатно се прашувате дали некој може да ги користи овие форензички алатки за да ги врати избришаните датотеки, како можам да осигурам дека она што го избришам е навистина исчезна, па лошите момци не можат да го воскреснат користејќи ги истите истите алатки? Еве три начини да ги направите вашите датотеки што е можно поотворен.
- Користете датотека или решение за енкрипција на целиот диск, како што е TrueCrypt (достапно бесплатно)
- Користете алатка за де-фрагментација на дискот на редовна основа (не е загарантирана форма на заштита, но тоа помага)
- Кога форматирате хард диск, користете безбедна диск избришете алатка која пишува нули или смет на ѓубре податоци на уредот и прави повеќе избрише поминува.
Софтверот R-алатки тврди дека може да ги врати податоците од уредот дури и откако е реформатиран и редефиниран (во некои случаи). Со оглед на овој факт, ако го продавате вашиот компјутер, веројатно е добра идеја да го задржите хард дискот, или да користите безбеден уред за бришење на пред да го продадете.