Якщо у вашому розпорядженні тільки ті кошти, які входять в Windows, то стертий файл, видалений з сміттєвого кошика Recycle Bin, здається зниклим назавжди. Насправді це не так.
За допомогою спеціальних апаратних і програмних засобів можна відновити практично будь-який файл, навіть якщо поверх нього записані інші дані, диск переформатований, завантажувальний сектор засмічений, а контролер диска перестав функціонувати. Це дуже зручно, коли ви хочете відновити надзвичайно важливий файл, але нікуди не годиться, якщо не бажано, щоб ваші особисті дані прочитали сторонні. Правильне рішення залежить від того, скільки часу і грошей ви готові витратити.
Щоб зрозуміти, як відновлюються видалені дані, треба спочатку з'ясувати, як вони зберігаються. Накопичувач на жорсткому магнітному диску (НЖМД) складається з пакета дискових пластин. Зберігаються на пластинах дані розташовуються по концентричних колах, званим доріжками. Для доступу до різних частин жорсткого диска головки читання-запису переміщуються по поверхні пластин. Так як до даних можливий безпосередній доступ всюди на жорсткому диску, то файли або їх фрагменти можуть зберігатися на його поверхні в будь-якому місці. Поміщати їх у послідовному порядку зовсім не обов'язково.
Дані на жорстких дисках зберігаються групами (кластерами). Розміри кластерів варіюються в залежності від операційної системи і розмірів логічного тому. Якщо розмір кластера жорсткого диска становить 4 Кбайт, то навіть 1-Кбайт файл буде займати 4 Кбайт. Великі файли можуть займати сотні або тисячі кластерів, розкиданих по всьому диску. Всі ці окремі порції даних відслідковуються і управляються що входить до складу операційної системи файлової системою.
В даний час існує три види файлових систем, використовуваних ОС Microsoft Windows. Перша - таблиця розміщення файлів FAT (File Аllocation Тable) - була введена в системі DOS. Разом з Windows 95 з'явилася система FAT32, а випуск ОС Windows NT 4.0 супроводжувався появою файлової системи нової технології NTFS (New Тechnology File System). Всі три системи побудовані за одним і тим же принципом. Є каталог, де перераховані файли на диску і міститься покажчик початкового кластера, який фіксує початок файлу. Запис в FAT про початковому кластері містить покажчик наступного кластера і т. Д. Поки не буде досягнутий маркер кінця файлу.
Файл все ще тут
Коли ви за допомогою звичайної операції Windows видаляєте файл, він насправді не стирається. Якщо ви видаляєте його в системі каталогів Windows Explorer, то він виявляється в кошику. Але навіть якщо ви очищаєте кошик або дієте в обхід її, файл просто ігнорується. Перша літера імені файлу змінюється на спеціальний символ, а кластери, де містяться ці дані, позначаються як вільні, але дані все ще там. Коли ви наступного разу зберігаєте який-небудь файл, ці кластери можуть використовуватися для зберігання нових даних, які записуються поверх старих. Однак до цього моменту попередні дані залишаються абсолютно неушкодженими. Ви можете їх відновити за допомогою утиліти, яка діє в обхід ОС і безпосередньо зчитує записане на жорсткому диску. У нашому недавньому огляді засобів відновлення даних ми розглянули чотири такі утиліти. Утиліта EasyRecovery Lite 6.0 компанії Kroll Ontrack (www.ontrack.com) удостоєна відзнаки «Редакція радить».
Якщо ви хочете відновити випадково видалений надзвичайно важливий файл, потрібно постаратися нічого не записати поверх нього. Негайно припиніть роботу на своєму комп'ютері і нічого не записуйте на диск. Не треба навіть інсталювати програму відновлення, так як все записується на жорсткий диск може потрапити в кластери файлу, який ви хочете відновити. Якщо програма відновлення ще не інстальована, запустіть її з гнучкого диска.
Якщо дані перезаписані
Після того як поверх містяться в файлі даних записана інша інформація, отримати до них доступ за допомогою програмних засобів ви вже не зможете. Але це не означає, що ці дані невідновні. Існує два способи, які все ще дозволяють прочитати перезаписані дані на жорсткому диску.
При записи на диск одного біта інформації на головку читання-запису подається сигнал, досить потужний для запису цього біта, але не такий великий, щоб впливати на сусідні ділянки. Так як сигнал надто слабкий для насичення носія, то на абсолютну величину сигналу впливають дані, які раніше зберігалися на цьому місці. Коли біт 0 заміщається 1, інтенсивність сигналу слабкіше, ніж в разі, якби раніше зберігалася 1. За допомогою спеціальних апаратних засобів можна виявити точну інтенсивність сигналу. Віднявши справжню версію сигналу, можна отримати «тінь» колишніх даних. Цей процес можна повторювати до семи раз, і тому, щоб гарантувати усунення тіньових відображень, дані необхідно заміщати більш семи раз, причому кожен раз випадково вибраними даними.
Приємно знати, що віддалені дані можна при необхідності відновити, але не в тих випадках, коли ви дійсно хочете, щоб вони пропали назавжди. У «Керівництві по національній програмі промислової безпеки» (National Security Program Operating Manual), яку називають також документом DOD 5220.22M (www.dss.mil/isec/nispom_0195.htm), докладно викладаються критерії Міністерства оборони США з очищення жорстких дисків. У цьому керівництві передбачається триразове заміщення даних: спочатку одиночним 8-біт символом, потім його доповненням (нулі заміняються на одиниці і навпаки) і, нарешті, випадковими символами. Однак цей метод не застосовується для очищення носіїв, які містять особливо секретну інформацію. Такі диски мають размагничиваться або знищуватися фізично.
Однак для більшості користувачів метод заміщення цілком придатний, причому є безліч утиліт, в яких він і застосовується.
Де ховаються дані
Видалення і перезапис файлів не призводять до зникнення всіх вразливих даних з жорсткого диска. Стирання повинні піддаватися всі сектори (складові кластер 512-байт сегменти), так як дані можуть ховатися в найнесподіваніших місцях. Часто в останньому кластері великого файлу знаходяться випадкові дані, звані наповнювачами файлів (file slack). Коли на жорсткому диску записана остання частина файлу і дані не заповнюють сектор цілком, він доповнюється випадково вибраними даними, взятими з пам'яті і званими наповнювачами ОЗУ (RAM slack). Це може бути будь-яка інформація, сформована, переглядати або перетворена з часу останнього завантаження комп'ютера. Інші сектори, що складають кластер, містять залишки різних даних, раніше збережених в цьому місці, які називаються наповнювачами диска (drive slack). Багато програм безпечного видалення даних не здатні належним чином прати наповнювачі файлів, які можуть містити масу конфіденційної інформації.
Відомо, що правопорушники користуються потоками альтернативних даних, щоб ховати на жорстких дисках дані або віруси. Є на жорстких дисках і інші області, де можна навмисно ховати дані. Сектори на жорсткому диску формуються в процесі низькорівневого форматування, зазвичай виконується на заводі. Дефектні сектори позначаються, і тому контролер жорсткого диска не намагається робити на них записи. Що складаються з секторів кластери формуються під час високорівневого форматування. Якщо при цьому виявляється дефектний сектор, то весь кластер позначається як дефектний. Однак в ньому містяться і справні сектори, в яких правопорушники можуть ховати дані.
На застарілих жорстких дисках дані можна також ховати в місцях, званих міжсекторного проміжками (sector gap). Всі доріжки містять однакове число секторів, але довжина кола зовнішніх доріжок набагато більше, ніж у внутрішніх. Ширші проміжки між зовнішніми секторами можна використовувати для таємного зберігання даних. На сучасних жорстких дисках ці втрати простору виключаються за допомогою методу зонної записи (zoned recording), згідно з яким число секторів регулюється в залежності від положення доріжки.
Для доступу до таких прихованих частин жорсткого диска необхідна програма, яка, як ми згадували, діє в обхід ОС. Професійні програми криміналістів бувають дуже дорогими. Так, EnCase Forensic Edition фірми Guidance Software (www.guidancesoftware.com) коштує 2495 дол. Програма Directory Snoop компанії Briggs Softworks (www.briggsoft.com/dsnoop.htm) забезпечує доступ до нижніх рівнів диска всього за 29 дол. Але вона не діє в системі NTFS.
Важливо мати на увазі, що відновити дані легше, ніж видалити їх назавжди. Якщо ви коли-небудь ненавмисно видаляли важливий файл (а з ким цього не траплялося), то оціните це як благо. Але якщо ви продаєте старий комп'ютер або жорсткий диск, треба скористатися утилітою безпечного видалення даних і провести перезапис кожного сектора жорсткого диска. Пам'ятайте, що переформатування не призводить до перезапису кожного сектора, і конфіденційна інформація може залишитися доступною.