Да ли је датотека избрисана? Да. Да ли је стварно нестало за добро? Можда не.
Ја сам велики обожаватељ зомби филмова и увек се питам да ли можете примијенити исти концепт за враћање датотека из мртвих? Не говорим о виртуелном "рецицле бин" -у. То је лако. Говорим директно управо И-избрисано-он-стев-оут-оф-тхис-филе-анд-нов-И-вант-то-бринг-ит-бацк типови. Може ли се то учинити?
Па, урадио сам истраживања и неколико практичних тестирања и срећан сам што могу да пријавим да у неким случајевима можете вратити датотеке из мртвих. Наравно, постоје одређена ограничења и потребни су вам неки посебни алати за откривање форензичких података (бесплатна испитивања која су на располагању за тестирање), али ћемо доћи до тога за минут.
Шта се дешава када се фајл избрише?
Хајде да разговарамо о томе шта се дешава када се датотека обрише. У многим оперативним системима , подаци о фајлу се пребацују у привремени простор за одлагање, као што је "рецицле бин", где се може вратити или обрисати, тако да се простор на диску који је покренуо може поново искористити. Али шта се стварно дешава? У многим случајевима уклоњен је само записник показивача гдје се подаци о датотеци налазе на физичком диску. Ово може бити случај чак и након пражњења корпе за отпатке.
Шта је са подацима? Још увек је тамо?
Осим ако оперативни систем не користи неку врсту сигурности-брисања, стварни подаци и даље могу остати, једноставно не можете да га видите у директоријуму датотека, осим ако имате прави алат који је (цуе ЦСИ насловну музику као црвено- глупи човек ставља на сунчане наочаре).
У прошлости сам пробао неколико наводних алата за опоравак датотека. Оно што сам утврдио да је најефикаснији у томе што заправо ради оно што тврди је апликација под називом Р-Студио из Р-Тоолс технологије. Р-Студио је решење за обнову форензичких података тешких података. Она се креће у цени од 49,99 долара до 899,99 долара, зависно од врсте лиценце коју купујете и ког типа система покушавате да повратите податке од (нпр. ФАТ32, НТФС, итд.).
Доступна је бесплатна демо копија која вам омогућава скенирање вашег диска за избрисане датотеке које могу бити надокнадљиве. Демо ће вам омогућити да опоравите датотеке које су мање од 64КБ, али бар вам омогућује да скенирате да видите да ли је датотека за коју верујете да је изгубљена за добро можда и даље надокнадива.
Р-алати упозоравају да никада не смијете инсталирати алат на исти диск од ког покушавате да повратите податке. Разлог за то је зато што када инсталирате било који програм на диск на који желите нешто да опоравите, акт инсталације самог софтвера може писати преко подручја диска који садржи датотеку коју покушавате опоравити.
Овај софтвер није за новинаре рачунара, али у десним рукама Р-студио је моћно решење за опоравак од катастрофе након напада вируса, системског хакера или када ваш Схих Тзу одлучи да удари пуну флашу пива на лаптоп . (није случајно, она је то урадила намерно).
Могу ли лоши момци да користе ове алатке?
Вероватно се питате да ли неко може да користи ове форензичке алатке да би вратио избрисане датотеке, како могу да обезбедим да оно што сам избрисало заиста није прошло, тако да лоши људи не могу да га васкрсавају користећи исте алате? Ево три начина да ваше датотеке буду што је могуће неповратно.
- Користите решење за шифровање датотеке или целог диска као што је ТруеЦрипт (доступно бесплатно)
- Редовно користите алат Де-фрагментације диска (не гарантован облик заштите, али то помаже)
- Приликом форматирања чврстог диска користите услужни програм за брисање сигурних уређаја који пише нуле или податке о смећу на диск и изврши више пролаза за брисање.
Софтвер Р-тоолс тврди да може да врати податке са диска чак и након што је реформатиран и поновљен (у неким случајевима). С обзиром на ову чињеницу, ако продајете рачунар, вероватно је добра идеја да држите чврсти диск или користите безбедно услужни програм за брисање дискова пре него што га продате.