Ali je bila datoteka izbrisana? Ja. Ali je zares šlo za dobro? Morda pa tudi ne.
Jaz sem velik oboževalec zombijevih filmov in se vedno spraševala, ali bi lahko uporabili isti koncept, da bi vrnili datoteke iz mrtvih? Ne govorim o virtualni "recycle bin". To je lahko. Govorim naravnost do stvari, ki sem jih izbrisal-izbrisal-in-zdaj-to-file-in-zdaj-I-želim-prinašati nazaj. Ali je to mogoče storiti?
No, opravil sem nekaj raziskav in nekaj praktičnih testov in z veseljem poročam, da lahko v nekaterih primerih prinesete datoteke nazaj iz mrtvih. Seveda obstaja nekaj opozoril in potrebujete tudi nekaj posebnih orodij za obnovo forenzičnih podatkov (brezplačna preskušanja, ki so na voljo za namene preizkušanja), vendar bomo v to minuto dobili.
Kaj se zgodi, ko je datoteka izbrisana?
Govorimo o tem, kaj se zgodi, ko se datoteka izbriše. V številnih operacijskih sistemih se podatki o datoteki premaknejo v začasno območje za shranjevanje, kot je "recycle bin", kjer ga je mogoče obnoviti ali odstraniti, tako da je mogoče obnoviti prostor na disku. Toda kaj se resnično dogaja? V mnogih primerih je odstranjen le zapis kazalca, kamor se podatki o datoteki nahajajo na fizičnem disku. To je lahko tudi po izpraznitvi koša.
Kaj pa podatki? Je še vedno tam?
Če operacijski sistem ne uporablja neke vrste varne-brisanje funkcionalnosti, dejanski podatki morda še vedno ostanejo, ga ne morete videti v imeniku datotek, razen če imate pravo orodje, ki je (cue CSI naslovno glasbo kot rdeče- na čelnih očesih).
V preteklosti sem poskusil nekaj domnevnih orodij za obnovitev datotek. Tisti, za katerega sem ugotovil, da je najučinkoviteje pri dejanskem delu, je to, da je program R-Studio, imenovan R-Tools Technology. R-Studio je težka rešitev za reševanje forenzičnih podatkov. V ceni je od 49,99 dolarja do 899,99 dolarjev, odvisno od vrste licence, ki jo kupujete, in vrste datotečnega sistema, s katerim poskušate obnoviti podatke iz (npr. FAT32, NTFS itd.).
Na voljo je brezplačna demo kopija, ki omogoča pregledovanje vašega diska za izbrisane datoteke, ki so lahko obnovljive. Demo vam bo omogočil samo, da obnovite datoteke, ki so manjše od 64KB, vendar vsaj omogoča, da skenirate, ali je datoteka, za katero menite, da je izgubljena za dobro, še vedno mogoče povrniti.
R-orodji opozarjajo, da nikoli ne smete namestiti orodja na isto ploščo, iz katere poskušate obnoviti podatke. Razlog za to je, da ko namestite kateri koli program na disk, na katerega želite obnoviti nekaj, lahko dejanje nameščanja programske opreme napiše preko območja diska, ki vsebuje datoteko, ki jo želite obnoviti.
Ta programska oprema ni za začetnike računalnika, ampak v pravih rokah, R-studio je močna rešitev za obnovitev po nesreči po virusnem napadu, sistemskem hacku ali ko se vaš Shih Tzu odloči, da bo potegnil polno steklenico piva na vaš prenosnik . (to ni bila nesreča, to je storila namerno).
Ali lahko Badi uporabljajo ta orodja?
Verjetno se sprašujete, če kdo lahko uporabi ta forenzična orodja, da bi prinesel izbrisane datoteke, kako lahko zagotovim, da tisto, kar sem izbrisal, resnično ni bilo tako, da se slabi ljudje ne morejo vstajati z uporabo teh istih orodij? Tukaj so trije načini, kako bi bile vaše datoteke čim bolj nepopravljive.
- Uporabite datoteko ali celotno rešitev za šifriranje diska, kot je TrueCrypt (na voljo brezplačno)
- Redno uporabljajte orodje De-fragmentation na disku (ni zajamčena oblika zaščite, vendar pomaga)
- Pri formatiranju trdega diska uporabite pripomoček za brisanje varnostnega pogona, ki zapisuje nične podatke ali podatke o smeti na pogon in naredi večkratne izbrise.
Programska oprema R-tools trdi, da lahko prinese podatke iz pogona tudi po preoblikovanju in ponovnem razdeljevanju (v nekaterih primerih). Glede na to dejstvo, če prodajate računalnik, je verjetno dobra ideja, da obdržite trdi disk ali uporabite varnostno orodje za brisanje pogona, preden ga prodajate.