DIY Computer Forensics: Kako se oporavi izbrisani fajl

Da li je datoteka izbrisana? Da. Da li je stvarno nestalo za dobro? Možda ne.

Ja sam veliki fan zombi filmova i uvijek se pitam da li možete primijeniti isti koncept za vraćanje datoteka iz mrtvih? Ne govorim o virtuelnom "recycle bin" -u. To je lako. Govorim direktno upravo I-izbrisano-on-stew-out-of-this-file-and-now-I-want-to-bring-it-back tipovi. Može li se to učiniti?

Pa, uradio sam istraživanja i nekoliko praktičnih testova i srećan sam što mogu da prijavim da u nekim slučajevima možete vratiti datoteke iz mrtvih. Naravno, postoje neke opomene i potrebni su vam i neki posebni alati za otkrivanje forenzičkih podataka (besplatna ispitivanja koja su na raspolaganju za testiranje), ali ćemo doći do toga za trenutak.

Šta se dogodilo kada je datoteka izbrisana?

Hajde da razgovaramo o tome šta se događa kada se datoteka briše. U mnogim operativnim sistemima , podaci o fajlu se prebacuju u privremeni prostor za odlaganje, kao što je "reciklaža za otpatke", gde se može vratiti ili obrisati, tako da se prostor na disku koji je pokrenuo može ponovo preuzeti. Ali šta se stvarno dešava? U mnogim slučajevima, uklonjen je samo zapisnik pokazivača gdje se podaci o datoteci nalaze na fizičkom disku. Ovo može biti slučaj čak i nakon pražnjenja korpe za otpatke.

Šta je sa podacima? Je li još uvek tu?

Osim ako operativni sistem ne koristi neku vrstu sigurnosnih brisanja, stvarni podaci i dalje mogu ostati, jednostavno ih ne možete videti u direktorijumu datoteka, osim ako imate pravi alat koji je (cue CSI naslovnu muziku kao crveno- glava na glavama stavlja na sunčane naočare).

Probao sam nekoliko navodnih alata za oporavak datoteka u prošlosti. Onaj kome sam utvrdio da je najefikasniji u stvaranju onoga što tvrdi da je aplikacija pod nazivom R-Studio iz R-Tools tehnologije. R-Studio je rešenje za rešavanje forenzičkih podataka za teške potrebe. Ona se kreće u ceni od 49,99 dolara do 899,99 dolara, zavisno od vrste licence koju kupujete i kakvim sistemom datoteka pokušavate da povratite podatke od (npr. FAT32, NTFS itd.).

Dostupna je besplatna demo kopija koja vam omogućava skeniranje vašeg diska za izbrisane datoteke koje mogu biti nadoknadljive. Demo će vam omogućiti da oporavite datoteke koje su manje od 64KB, ali bar vam omogućava skeniranje da vidite da li je datoteka za koju verujete da je izgubljena za dobro možda i dalje nadoknadiva.

R-alati upozoravaju da nikada ne biste trebali instalirati alat na isti disk od kog pokušavate da povratite podatke. Razlog za to je zato što kada instalirate bilo koji program na disk na koji želite nešto da oporavite, akt instalacije samog softvera može pisati preko područja diska koji sadrži datoteku koju pokušavate oporaviti.

Ovaj softver nije za novinare računara, ali u desnim rukama R-studio je moćno rešenje za oporavak od katastrofe nakon napada virusa, sistemskog hakera ili kada se vaš Shih Tzu odluči da udari punu flašu piva na vaš laptop . (nije slučajno, ona je to uradila namerno).

Mogu li loši momci da koriste ove alatke?

Verovatno se pitate da li neko može da koristi ove forenzičke alatke da bi vratio izbrisane datoteke, kako mogu da osiguram da ono što ja brisem zaista nije prošlo, tako da loši ljudi ne mogu da ga vaskrsavaju koristeći iste alate? Evo tri načina da vaše datoteke budu što je moguće nepovratnije.

Softver R-tools tvrdi da može da vrati podatke sa diska čak i nakon što je reformatiran i ponovljen (u nekim slučajevima). Uzimajući u obzir ovu činjenicu, ako prodajete računar, verovatno je dobra ideja da držite čvrsti disk ili koristite zaštitnu disk jedinicu za brisanje pre prodaje.