DIY Computer Forensics: Sådan genoprettes en slettet fil

Er filen slettet? Ja. Er det virkelig gået for godt? Måske ikke.

Jeg er en stor fan af zombiefilm og har altid spekuleret på, om du kunne anvende det samme koncept til at bringe filer tilbage fra de døde? Jeg taler ikke om den virtuelle "papirkurv". Det er nemt. Jeg taler lige-up-i-delete-the-stew-out-of-denne-fil-og-nu-jeg-vil-bringe-det-tilbage type ting. Kan det gøres?

Nå, jeg lavede nogle undersøgelser og nogle praktiske test og jeg er glad for at rapportere, at du i nogle tilfælde kan bringe filer tilbage fra de døde. Selvfølgelig er der nogle advarsler, og du har også brug for nogle særlige retlige data retableringsværktøjer (gratis prøveversioner til rådighed til testformål), men vi kommer til det om et øjeblik.

Hvad sker der, når en fil slettes?

Lad os tale om hvad der sker, når en fil slettes. I mange operativsystemer flyttes filens data til et midlertidigt holdingsområde som "papirkurven", hvor den kan genoprettes eller ryddes, så diskpladsen, der blev taget op, kan genindvindes. Men hvad sker der virkelig? I mange tilfælde fjernes kun pointerrekordet, hvor filens data var placeret på den fysiske disk. Dette kan være tilfældet, selv efter tømning af papirkurven.

Hvad med dataene? Er det stadig der?

Medmindre operativsystemet bruger en eller anden form for sikker sletning, kan de faktiske data stadig forblive, du kan bare ikke se den i filmappen, medmindre du har det rigtige værktøj, der er (cue CSI-titelmusik som den rød- ledet fyr sætter på hans solbriller).

Jeg har forsøgt et par påståede filgendannelsesværktøjer i fortiden. Den, jeg syntes at være mest effektiv til faktisk at gøre, hvad det hævder at gøre, er et program kaldet R-Studio fra R-Tools Technology. R-Studio er en stærk retsmedicinsk datareguleringsløsning. Det varierer i pris fra $ 49,99 op til $ 899,99 afhængigt af hvilken type licens du køber, og hvilken type filsystem du forsøger at gendanne data fra (dvs. FAT32, NTFS, osv.).

En gratis demo kopi er tilgængelig, der giver dig mulighed for at scanne din disk for slettede filer, der kan genindvindes. Demoen vil kun lade dig gendanne filer, der er mindre end 64 KB, men det lader dig i det mindste scanne for at se, om filen, du tror, ​​er tabt for godt, stadig kan genvindes.

R-værktøjer advarer om, at du aldrig skal installere værktøjet på den samme disk, som du forsøger at gendanne data fra. Årsagen til dette er, at når du installerer et program på en disk, som du vil genoprette noget fra, kan handlingen med at installere softwaren selv skrive over området på disken, der indeholder den fil, du forsøger at gendanne.

Denne software er ikke til computerens nybegynder, men i de rigtige hænder er R-Studio en kraftfuld løsning til katastrofeinddrivelse efter et virusangreb, systemhak eller for, hvornår din Shih Tzu beslutter at banke en fuld flaske øl på din bærbare computer . (det var ikke tilfældigt, hun gjorde det med vilje).

Kan de dårlige drenge bruge disse værktøjer også?

Du spekulerer sikkert på, om nogen kan bruge disse retsmedicinske værktøjer til at bringe slettede filer tilbage, hvordan kan jeg sikre, at det jeg sletter er virkelig væk, så de onde kan ikke genoplive det ved hjælp af disse samme værktøjer? Her er tre måder at gøre dine filer så uoprettelige som muligt.

R-værktøjer-softwaren hævder at kunne hente data fra et drev, selv efter at det er blevet omformateret og omgrupperet (i nogle tilfælde). I betragtning af denne kendsgerning, hvis du sælger din computer, er det nok en god idé at holde harddisken, eller brug en sikker drevsudnyttelse, før du sælger den.