Всі користувачі Windows знають, що для того, щоб стерти файл, його треба помістити в кошик.
Багато з користувачів обізнані, що кошик треба очистити.
Однак про те, що ж відбувається після очищення кошика, люди зазвичай не замислюються.
Для того щоб зрозуміти, чому очищення кошика зберігає можливість відновлення файлу, спробуємо розібратися в питанні, як виглядає запис файлу на жорсткий диск і його видалення звідти.
Вінчестер комп'ютера при форматуванні розбивається на радіальні сектора і концентричні доріжки. Всі вони пронумеровані, тому можна вважати, що кожна точка фізичної поверхні диска має свої координати. Це дозволяє комп'ютеру при зверненні до файлової системи безпомилково знаходити потрібні файли і їх фрагменти. У момент, коли фізично проводиться магнітний запис на жорсткий диск комп'ютера, інформація про координати і імені записаного файлу з'являється і в спеціальному розділі, який можна уподібнити таблиці, що фіксує положення файлів і їх прив'язку до поверхні диска. Отже, можна сказати, що в момент запису відбувається дві події: файл фізично записується на жорсткий диск і інформація про нього заноситься в таблицю.
У момент стирання файлу інформація про нього з таблиці видаляється. Тим самим комп'ютер дозволяє запис нової інформації на цю ділянку диска. Але на самому диску файл залишається. Фізичне видалення файлу з жорсткого диска відбудеться лише тоді, коли на його місце буде записана інша файл. З кожним днем ємність вінчестерів, доступних на ринку, збільшується. Відповідно, ймовірність, що файл буде «затертий» після видалення, стає все менше.
Розуміння цих обставин породило появу двох типів програм - тих, які стирають файл без можливості відновлення, і програм діаметрально протилежної призначення - тих, які відновлюють файли, видалені з жорсткого диска штатними засобами операційної системи.
Програми, що стирають файли без можливості їх відновлення (наприклад, Steganos Security Suite з сайту www.steganos.com), видаляють документи з поверхні жорсткого диска, потім записують на їх місце довільні фрагменти інформації, після чого їх також видаляють. Цей цикл, в залежності від обраного рівня секретності, повторюється у деяких програм від 12 до 36 разів. Причому, ті з них, які знищують інформацію без можливості її відновлення, часто можуть працювати в двох режимах: вони стирають чи безпосередньо ті файли, які відзначили як об'єкти видалення, або стирають «порожній простір» - ті самі файли, які видалені з таблиці, але збережені на поверхні диска. Робота по стирання «порожнього простору» на сучасному комп'ютері з сучасними вінчестерами може займати до десяти годин і більше. На практиці найпростіше запускати цю програму на ніч або на вихідні дні, щоб вона свідомо встигла впоратися з роботою.
Програми по відновленню стертою інформації (за умови, що її прали, як ми вже говорили, штатними засобами Windows) «дивляться» на поверхню жорсткого диска і знову записують в таблицю ту інформацію, яка на жорсткому диску міститься фактично.
Прикладом такої програми може служити R-Undelete (www.r-undelete.com). Таким чином, відновлені файли знову відображаються в «Провіднику» і стають доступні для роботи користувача.
Ми не будемо зупинятися докладно на конкретних програмах цих груп, оскільки їх досить багато і всі вони детально описані в Інтернеті. Так, наприклад, програми з відновлення даних легко знаходяться по елементарному запитом:
«Програма відновлення стертих файлів».