Skip to main content

DIY Computer Forensics: jak odzyskać usunięty plik

CHIP OFF caso reale (Marzec 2024)

CHIP OFF caso reale (Marzec 2024)
Anonim

Jestem wielkim fanem filmów o zombie i zawsze zastanawiałem się, czy można zastosować tę samą koncepcję do przywracania plików z martwych? Nie mówię o wirtualnym "koszu". To łatwe. Rozmawiam o prostych rzeczach, które usunąłem z tego pliku, a teraz chcę, żeby przyniosły to z powrotem. Czy można to zrobić?

Cóż, zrobiłem kilka badań i kilka testów praktycznych i cieszę się, że mogę zgłosić, że w niektórych przypadkach możesz przywołać pliki z martwych. Oczywiście, są pewne zastrzeżenia i potrzebujesz również specjalnych narzędzi do odzyskiwania danych sądowych (bezpłatne testy dostępne w celach testowych), ale do tego dojdziemy za chwilę.

Co się dzieje, gdy plik zostanie usunięty?

Porozmawiajmy o tym, co dzieje się, gdy plik zostanie usunięty. W wielu systemach operacyjnych dane pliku są przenoszone do tymczasowego obszaru przechowywania, takiego jak "kosz recyklingu", w którym można go odzyskać lub wyczyścić, aby odzyskać miejsce na dysku, które zajmował. Ale co tak naprawdę się dzieje? W wielu przypadkach usuwany jest tylko wskaźnik do miejsca, w którym znajdowały się dane pliku na dysku fizycznym. Może tak być nawet po opróżnieniu kosza.

Co z danymi? Czy nadal tam jest?

O ile system operacyjny nie stosuje jakiejś funkcji bezpiecznego usuwania, rzeczywiste dane mogą nadal pozostać, po prostu nie można ich zobaczyć w katalogu plików, chyba że masz odpowiednie narzędzie (cue CSI, jako czele facet wkłada okulary przeciwsłoneczne).

Próbowałem kilka rzekomych narzędzi odzyskiwania plików w przeszłości. Najskuteczniejszym sposobem na zrobienie tego, co twierdzi, jest aplikacja R-Studio z R-Tools Technology. R-Studio to zaawansowane rozwiązanie do odzyskiwania danych z systemu kryminalistycznego. Jego cena wynosi od 49,99 USD do 899,99 USD w zależności od rodzaju zakupu licencji i rodzaju systemu plików, z którego próbujesz odzyskać dane (np. FAT32, NTFS itp.).

Dostępna jest bezpłatna kopia demo, która umożliwia skanowanie dysku w poszukiwaniu usuniętych plików, które można odzyskać. Wersja demonstracyjna pozwoli ci tylko odzyskać pliki, które mają mniej niż 64 KB, ale przynajmniej pozwala ci sprawdzić, czy plik, który Twoim zdaniem zaginął na dobre, może być nadal możliwy do odzyskania.

R-tools ostrzega, że ​​nigdy nie powinieneś instalować narzędzia na tym samym dysku, z którego próbujesz odzyskać dane. Powodem tego jest fakt, że podczas instalowania dowolnego programu na dysku, z którego chcesz odzyskać coś, akt instalacji samego oprogramowania może zapisywać obszar dysku zawierający plik, który próbujesz odzyskać.

To oprogramowanie nie jest przeznaczone dla nowicjuszy komputerowych, ale we właściwych rękach, R-studio jest potężnym rozwiązaniem do odzyskiwania po awarii po ataku wirusa, włamaniu do systemu lub gdy twój Shih Tzu postanowi zapukać pełną butelkę piwa na laptopa . (to nie przypadek, zrobiła to celowo).

Czy źli faceci mogą używać tych narzędzi?

Pewnie zastanawiasz się, czy ktokolwiek może użyć tych narzędzi kryminalistycznych do przywrócenia usuniętych plików, w jaki sposób mogę zapewnić, że to, co usunęłem, naprawdę zniknęło, aby źli ludzie nie mogli wskrzesić go za pomocą tych samych narzędzi? Oto trzy sposoby, aby pliki były jak najbardziej nieosiągalne.

  • Użyj rozwiązania do szyfrowania plików lub całych dysków, takiego jak TrueCrypt (dostępne za darmo)
  • Regularnie korzystaj z narzędzia do usuwania fragmentacji dysku (nie jest to gwarantowana forma ochrony, ale pomaga)
  • Podczas formatowania dysku twardego użyj bezpiecznego narzędzia wymazywania dysku, które zapisuje zera lub śmieci na dysku i wykonuje wielokrotne wymazywanie.

Oprogramowanie R-tools twierdzi, że może przywrócić dane z dysku nawet po tym, jak zostało ponownie sformatowane i podzielone na partycje (w niektórych przypadkach). Biorąc pod uwagę ten fakt, Jeśli sprzedajesz komputer, prawdopodobnie dobrym pomysłem jest zatrzymanie dysku twardego lub skorzystanie z bezpiecznego narzędzia wymazywania dysku przed jego sprzedażą.