Не всичко е загубено

Не всичко е загубено

---

Ако единствените инструменти, с които разполагате, са тези на Windows, един изтрит файл, който е премахнат от Recycle Bin, като че ли е изгубен завинаги. Но съвсем не е така. Съществува специализиран хардуер и софтуер, с който може да си възстановите практически всеки файл - дори когато върху него са записани други данни, устройството е преформатирано, секторът за първоначално зареждане е нарушен или ако контролерът на диска е спрял да работи. Това е добра новина, ако искате да възстановите важен файл или да попречите на други да четат вашите лични данни. Правилното решение зависи от това колко време и пари сте готови да отделите.
За да научите как се възстановяват изтрити данни, първо трябва да ви е ясно как се записват те. Твърдият диск се състои от няколко магнитни дискови носители. Данните се записват на всеки носител като концентрични кръгове, наречени писти. Главите за четене и запис се движат по повърхността на носителите, за да получат достъп до различни части на твърдия диск. Поради това, че достъпът до данните на твърдия диск е пряк, файловете (или частите от файлове) може да бъдат записани където и да било на него, т.е. където е най-удобно. Съвсем не е задължително да бъдат разположени последователно.
Данните на твърдия диск се съхраняват на клъстери. Размерът на един клъстер може да е различен в зависимост от операционната система и размера на логическия том. Ако размерът на един клъстер на даден твърд диск е 4К дори ако файлът е с размера 1К, той заема 4К. Един голям файл може да се състои от стотици или хиляди клъстери, разпръснати по целия диск. Те се управляват и достъпът до тях се осъществява от един специален компонент на операционната система, наречен файлова система.
В Microsoft Windows понастоящем се използват три файлови системи за твърди дискове. Първата, наречена “таблица за разпределение на файловете” (file allocation table - FAT), бе въведена едновременно с DOS. FAT32 дойде с появата на Windows 95, а файловата система по нова технология NTFS се появи заедно с Windows NT 4.0. И при трите системи се използва една и съща основна стратегия. Една директория извежда списък на файловете на диска и съдържа указател към стартовия клъстер, в който се намира началото на файла. В началния клъстер има и указател към следващия клъстер и тъй нататък, докато се стигне до маркер за край на файла.

ТАМ ЛИ Е ОЩЕ?
Когато изтриете файл чрез нормална операция в Windows, той не се изтрива наистина. Ако го изтриете от Windows Explorer, в крайна сметка той се озовава в Recycle Bin. Но дори ако изпразните последния или го “заобиколите” (например чрез изтриване в прозореца на DOS), файлът не изчезва, а само престава “да се води на отчет”. Първата буква от името му се сменя със специален символ, а клъстерите, съдържащи данните, се маркират като достъпни, но данните в тях са налице. Следващият път, когато запишете файл, тези клъстери може да се използват за съхранение на нови данни, които припокриват старите.
Ако искате да възстановите много важен файл, който случайно сте изтрили, трябва да внимавате да не запишете друга информация върху него. Затова веднага спрете да използвате вашия компютър и не записвайте нищо на диска. Не инсталирайте дори програма за възстановяване, защото каквото и да запишете на твърдия диск, може да засегне клъстерите на файла, който искате да възстановите. Ако програмата за възстановяване все още не е инсталирана, стартирайте я от дискета.

КОГАТО ВЪРХУ ДАННИТЕ Е ЗАПИСАНА ДРУГА ИНФОРМАЦИЯ
Когато върху данните от файла бъде записано нещо друго, вече не можете да получите достъп до тях в него по софтуерен път. Но това съвсем не означава, че те не може да се възстановят. Съществуват два начина за четене на данни, върху които е направен запис на друга информация.
Когато главата за четене/запис запише един бит на твърдия диск, тя прилага сигнал с точно определена сила. Този сигнал обаче не е прекалено силен, за да не бъдат засегнати съседните полета. Тъй като сигналът не е достатъчно силен, за да повлияе на целия диск, абсолютната му мощност се влияе от данните, записани преди на това място. Когато върху един нулев бит бъде записана единица, сигналът е по-слаб, отколкото би бил, ако предишният запис е бил 1. Има специален хардуер, който може да измери точната сила на сигнала. Ако извадите една чиста версия на сигнала, може да получите “паразитно изображение” на предишните данни. Този процес може да се повтори до седем пъти, така че за да гарантирате елиминирането на паразитните изображения, върху старите данни трябва да направите най-малко 7 повторни записа, и то всеки път със случайни данни.
Втората техника за възстановяване на данни използва обстоятелството, че при всяка операция за запис главата за четене и запис не винаги се позиционира напълно точно над същото място. Това дава възможност на експертите да открият предишните данни по ръбовете на пистата - това са тъй наречените “данни в сянка”. Но ако на същото място бъде направен неколкократен запис, следите от информация в тези области по границата също ще бъдат заличени.

УНИЩОЖАВАНЕ НА ДАННИ
Успокояващо е човек да знае, че неговите данни може да бъдат възстановени. Освен ако наистина не иска да се отървете завинаги от тях. Стандартът на Министерството на отбраната на САЩ за саниране на твърди дискове е изложен в подробности в ръководството National Industrial Security Program Operating Manual. (http://www.dss.mil/isec/nispom_0185.htm). То предвижда трикратен запис върху данните, подлежащи на заличаване: първо с един-единствен 8-битов символ; след това с “допълнението” на символа (например нули вместо единици и обратно); и накрая със случайни символи. Този метод обаче не е одобрен за саниране на носители, които съдържат свръхсекретна информация. Такива дискове трябва или да бъдат демагнетизирани, или физически унищожени.
За повечето хора обаче методът на заличаване на данни чрез запис върху тях е достатъчно добър. Има много обслужващи програми, които го използват.

---