Cofnięcie usunięcia - Undeletion

Undeletion to funkcja przywracania plików komputerowych, które zostały usunięte z systemu plików przez usunięcie pliku . Usunięte dane można odzyskać w wielu systemach plików, ale nie wszystkie systemy plików zapewniają funkcję cofnięcia usunięcia. Odzyskiwanie danych bez funkcji przywracania jest zwykle nazywane odzyskiwaniem danych , a nie przywracaniem . Cofnięcie usunięcia może zapobiec przypadkowej utracie danych przez użytkowników lub stanowić zagrożenie dla bezpieczeństwa komputera , ponieważ użytkownicy mogą nie zdawać sobie sprawy, że usunięte pliki pozostają dostępne.

Wsparcie

Nie wszystkie systemy plików lub systemy operacyjne obsługują przywracanie. Przywrócenie jest możliwe we wszystkich systemach plików FAT , z narzędziami do przywracania, które są dostępne od czasów MS-DOS 5.0 i DR DOS 6.0 w 1991 roku. Nie jest obsługiwane przez większość nowoczesnych systemów plików UNIX , chociaż AdvFS jest godnym uwagi wyjątkiem. System plików ext2 posiada dodatkowy program o nazwie e2undel, który umożliwia cofnięcie skasowania plików. Podobny system plików ext3 oficjalnie nie obsługuje przywracania danych, ale narzędzia takie jak ext4magic, extundelete, PhotoRec i ext3grep zostały napisane w celu zautomatyzowania przywracania danych na woluminach ext3 . Undelete zostało zaproponowane w ext4 , ale nie zostało jeszcze wdrożone. Jednak funkcja kosza na śmieci została opublikowana jako poprawka w dniu 4 grudnia 2006 r. Funkcja kosza na śmieci używa cofniętych atrybutów w systemach plików ext2/3/4 i Reiser.

Narzędzia wiersza poleceń

Narzędzia Norton

Norton UNERASE był ważnym składnikiem programu Norton Utilities w wersji 1.0 w 1982 roku.

MS-DOS

Microsoft umieścił podobny program UNDELETE w wersjach od 5.0 do 6.22 systemu MS-DOS , ale zamiast tego zastosował podejście Kosza w późniejszych systemach operacyjnych używających FAT.

DR DOS

DR DOS 6.0 i nowsze obsługują również UNDELETE, ale opcjonalnie oferują dodatkową ochronę za pomocą narzędzia do tworzenia migawek FAT DISKMAP i rezydentnego komponentu śledzącego usuwanie DELWATCH , który aktywnie utrzymuje znaczniki daty i godziny usuniętych plików i chroni zawartość usuniętych plików przed nadpisaniem, chyba że zabrakło miejsca na dysku. DELWATCH obsługuje również cofnięcie usunięcia zdalnych plików na serwerach plików. Od wersji Novell DOS 7 jądro będzie przechowywać pierwszą literę usuniętych plików we wpisach katalogu, aby dodatkowo pomóc narzędziom przywracającym skasowanie w odzyskaniu oryginalnej nazwy.

PTS-DOS

PTS-DOS oferuje tę samą funkcję, którą można konfigurować za pomocą dyrektywy SAVENAME CONFIG.SYS .

Darmowy dos

FreeDOS wersję Undelete został opracowany przez Eric Auer i jest na licencji GPL .

Programy graficzne

Graficzne środowiska użytkowników często przyjmują inne podejście do cofania usunięcia, zamiast tego używają „obszaru przechowywania” plików do usunięcia. Niepożądane pliki są przenoszone do tego obszaru przechowywania, a wszystkie pliki w obszarze przechowywania są usuwane okresowo lub na żądanie użytkownika. Takie podejście jest używane przez Kosz na śmieci w systemach operacyjnych Macintosh oraz przez kosz w systemie Microsoft Windows . Jest to naturalna kontynuacja podejścia przyjętego przez wcześniejsze systemy, takie jak grupa limbo używana przez LocoScript . Takie podejście nie wiąże się z ryzykiem, że inne pliki zapisywane w systemie plików bardzo szybko zakłócą działanie usuniętego pliku; trwałe usunięcie nastąpi zgodnie z przewidywalnym harmonogramem lub tylko z ręczną interwencją.

Inne podejście oferują programy takie jak Norton GoBack (dawniej Roxio GoBack ): część miejsca na dysku twardym jest zarezerwowana na operacje modyfikacji plików, które mają być rejestrowane w taki sposób, aby można je później cofnąć. Ten proces jest zwykle znacznie bezpieczniejszy, jeśli chodzi o pomoc w odzyskiwaniu usuniętych plików, niż operacja przywracania, jak opisano poniżej.

Podobnie systemy plików, które obsługują „migawki” (takie jak ZFS lub btrfs ), mogą być używane do tworzenia migawek całego systemu plików w regularnych odstępach czasu (np. co godzinę), umożliwiając w ten sposób odzyskanie plików z wcześniejszej migawki.

Ograniczenia

Cofnięcie usunięcia nie jest bezpieczne. Ogólnie rzecz biorąc, im szybciej zostanie podjęta próba cofnięcia skasowania, tym większe prawdopodobieństwo sukcesu. Dzieje się tak, ponieważ im częściej używany jest system, tym więcej danych jest zapisywanych na dysku i potencjalnie przydzielanych do usuniętego miejsca. Fragmentacja usuniętego pliku może również zmniejszyć prawdopodobieństwo odzyskania, w zależności od typu systemu plików (patrz poniżej). Pofragmentowany plik jest rozrzucony po różnych częściach dysku, zamiast znajdować się w ciągłym obszarze.

Mechanika

Działanie cofnięcia usunięcia zależy od systemu plików, w którym był przechowywany usunięty plik. Niektóre systemy plików, takie jak HFS , nie zapewniają funkcji cofnięcia usunięcia, ponieważ nie są zachowywane żadne informacje o usuniętym pliku (z wyjątkiem dodatkowego oprogramowania, które zwykle nie jest dostępne). Niektóre systemy plików nie usuwają jednak wszystkich śladów usuniętego pliku, w tym systemów plików FAT:

Systemy plików FAT

Kiedy plik jest „usunięty” przy użyciu systemu plików FAT , wpis katalogu pozostaje prawie niezmieniony, z wyjątkiem pierwszego znaku nazwy pliku, zachowując większość nazwy „usuniętego” pliku, wraz z jego znacznikiem czasu, długością pliku i — większością co ważne — jego fizyczna lokalizacja na dysku. Lista klastrów dysków zajmowanych przez plik zostanie jednak usunięta z tabeli alokacji plików , co oznacza, że ​​sektory są dostępne do użycia przez inne pliki utworzone lub zmodyfikowane później. W przypadku FAT32 dodatkowo kasowane jest pole odpowiedzialne za górne 16 bitów wartości klastra początkowego pliku.

W przypadku próby przywrócenia pliku do pomyślnego odzyskania pliku muszą być spełnione następujące warunki:

• Wpis usuniętego pliku musi nadal istnieć w katalogu, co oznacza, że ​​nie może być jeszcze nadpisany przez nowy plik (lub folder), który został utworzony w tym samym katalogu. To, czy tak jest, można dość łatwo wykryć, sprawdzając, czy pozostała nazwa pliku, który ma zostać przywrócony, nadal znajduje się w katalogu.
• Klastry używane wcześniej przez usunięty plik nie mogą być jeszcze nadpisane przez inne pliki. Można to dość dobrze zweryfikować, sprawdzając, czy klastry nie są oznaczone jako używane w tabeli alokacji plików . Jeśli jednak w międzyczasie nowy plik został zapisany na dysk z wykorzystaniem tych sektorów, a następnie ponownie usunięty, ponownie zwalniając te sektory, program do przywracania danych nie może tego automatycznie wykryć. W takim przypadku operacja cofnięcia usunięcia, nawet jeśli wygląda na udaną, może się nie powieść, ponieważ odzyskany plik zawiera inne dane.
• W przypadku urządzeń FAT32 dolne 16 bitów adresu fizycznego jest zwykle zachowywanych we wpisie katalogu, ale starsze bity adresu są wyzerowane. Wiele programów do odzyskiwania ignoruje ten fakt i nie udaje się poprawnie odzyskać danych.

Szanse na odzyskanie usuniętych plików są często większe w przypadku woluminów FAT12 i FAT16 w porównaniu z woluminami FAT32 ze względu na zazwyczaj większe rozmiary klastrów używanych przez poprzednie systemy oraz z powodu utraty 16 bitów logicznego adresu klastra w systemie FAT32.

Jeśli program do cofania usunięcia nie może wykryć wyraźnych oznak niespełnienia powyższych wymagań, przywróci wpis katalogu jako używany i oznaczy wszystkie kolejne klastry, zaczynając od tego zapisanego w starym wpisie katalogu, używanego w alokacji plików Tabela . Następnie do użytkownika należy otwarcie odzyskanego pliku i sprawdzenie, czy zawiera on pełne dane wcześniej usuniętego pliku.

Odzyskiwanie pofragmentowanych plików (po pierwszym fragmencie) nie jest zatem zwykle możliwe przez automatyczne procesy, a jedynie poprzez ręczne sprawdzenie każdego (nieużywanego) bloku dysku. Wymaga to szczegółowej znajomości systemu plików, a także formatu binarnego odzyskiwanego typu pliku i dlatego jest wykonywane wyłącznie przez specjalistów ds. odzyskiwania lub specjalistów medycyny sądowej.

Systemy plików NTFS

NTFS przechowuje informacje o plikach jako zestaw rekordów o stałym rozmiarze (zazwyczaj 1 KB) w tak zwanej głównej tabeli plików (MFT). Informacje o nazwie pliku i jego alokacji są zawarte w tych rekordach, zapewniając pełne informacje o każdym konkretnym pliku. Gdy system usuwa plik, wpis w głównej tabeli plików jest zwalniany do odłączenia lub ponownego wykorzystania, ale nadal pozostaje na dysku. Dopóki wpis MFT nie zostanie ponownie wykorzystany lub nadpisany, plik można łatwo odzyskać: oprogramowanie do odzyskiwania danych może znaleźć „zagubiony” wpis MFT i uzyskać z niego pełne informacje o utraconym pliku.

Należy jednak pamiętać, że gdy funkcja SSD TRIM jest włączona, zawartość pliku może zostać zniszczona wkrótce po usunięciu w celu ponownego wykorzystania komórek pamięci SSD. Uniemożliwia to odzyskanie zawartości pliku (na dysku pozostaną tylko informacje o nazwie, dacie i rozmiarze pliku).

Zapobieganie

Wymazywanie danych to termin odnoszący się do opartych na oprogramowaniu metod zapobiegania przywróceniu plików.

Zobacz też

• Utworzyć kopię zapasową
• Lista oprogramowania do odzyskiwania danych
• Niszczarka papieru
• Wycofanie (zarządzanie danymi)
• Cofnij

Bibliografia

Zewnętrzne linki

• BezpłatneOdzyskaj
• Badacz mediów
• win.wt.nl
• Problem z wysokimi bitami wskaźnika klastra FAT32