如果只能使用Windows本身提供的工具，那么我們可以認(rèn)為清空回收站之后，被刪除的文件已經(jīng)徹底清除了。不過事實(shí)并非如此，只要有專用的硬件和軟件，即使數(shù)據(jù)已經(jīng)被覆蓋、驅(qū)動(dòng)器已經(jīng)重新格式化、引導(dǎo)扇區(qū)徹底損壞，或者磁盤驅(qū)動(dòng)器不再運(yùn)轉(zhuǎn)，我們還是可以恢復(fù)幾乎所有的文件。

　　一、磁盤如何保存數(shù)據(jù)

　　要理解如何恢復(fù)已刪除的數(shù)據(jù)，首先要搞清楚磁盤如何保存數(shù)據(jù)。硬盤驅(qū)動(dòng)器里面有一組盤片，數(shù)據(jù)就保存在盤片的磁道(Track)上，磁道在盤片上呈同心圓分布，讀/寫磁頭在盤片的表面移動(dòng)訪問硬盤的各個(gè)區(qū)域，因此文件可以隨機(jī)地分布到磁盤的各個(gè)位置，同一文件的各個(gè)部分不一定要順序存放。

　　存放在磁盤上的數(shù)據(jù)以簇為分配單位，簇的大小因操作系統(tǒng)和邏輯卷大小的不同而不同。如果一個(gè)硬盤的簇大小是4 K，那么保存1 K的文件也要占用4 K的磁盤空間。大的文件可能占用多達(dá)數(shù)千、數(shù)萬的簇，分散到整個(gè)磁盤上，操作系統(tǒng)的文件子系統(tǒng)負(fù)責(zé)各個(gè)部分的組織和管理。

　　當(dāng)前，Windows支持的硬盤文件系統(tǒng)共有三種。第一種是FAT，即所謂的文件分配表(File Allocation Table)，它是最古老的文件系統(tǒng)，從DOS時(shí)代開始就已經(jīng)有了。Windows 95引入了第二種文件系統(tǒng)，即FAT 32，Windows NT 4.0則引入了第三種文件系統(tǒng)NTFS。這三種文件系統(tǒng)的基本原理都一樣，都用一個(gè)類似目錄的結(jié)構(gòu)來組織文件，目錄結(jié)構(gòu)包含一個(gè)指向文件首簇的指針，首簇的FAT入口又包含一個(gè)指向下一簇地址的指針，依此類推，直至出現(xiàn)文件的結(jié)束標(biāo)記為止。

　　二、Windows不能真正清除文件

　　在Windows中，如果我們用常規(guī)的辦法刪除一個(gè)文件，文件本身并未被真正清除。例如，如果我們?cè)赪indows資源管理器中刪除一個(gè)文件，Windows會(huì)把文件放入回收站，即使我們清空了回收站(或者不啟動(dòng)回收站功能)，操作系統(tǒng)也不會(huì)真正清除文件的數(shù)據(jù)。

　　Windows所謂的刪除實(shí)際上只是把文件名稱的第一個(gè)字母改成一個(gè)特殊字符，然后把該文件占用的簇標(biāo)記為空閑狀態(tài)，但文件包含的數(shù)據(jù)仍在磁盤上，下次將新的文件保存到磁盤時(shí)，這些簇可能被新的文件使用，從而覆蓋原來的數(shù)據(jù)。因此，只要不保存新的文件，被刪除文件的數(shù)據(jù)實(shí)際上仍舊完整無缺地保存在磁盤上。

　　因此，我們可以用工具軟件繞過操作系統(tǒng)，直接操作磁盤，恢復(fù)被刪除的文件。這類工具軟件很多，EasyRecovery就是其中的佼佼者。

　　如果不小心刪除了某個(gè)重要文件，想要恢復(fù)，這時(shí)千萬不要覆蓋它。立即停用計(jì)算機(jī)，不要再向磁盤保存任何文件，包括不要把恢復(fù)工具安裝到已刪除文件所在的硬盤，因?yàn)槿魏螌懭氪疟P的內(nèi)容都有可能覆蓋已刪除文件釋放的磁盤簇。如果必須安裝恢復(fù)工具，可以安裝到其他硬盤分區(qū)、軟盤，或者干脆拆下硬盤到另一臺(tái)機(jī)器上去恢復(fù)。

　　三、覆蓋七次才能清除的蛛絲馬跡

　　如果數(shù)據(jù)已經(jīng)覆蓋，用通常的恢復(fù)工具就無能為力了，但這并不意味著我們絕對(duì)不能挽救丟失的數(shù)據(jù)。讀取硬盤上被覆蓋的數(shù)據(jù)通常有兩種辦法。

　　讀/寫磁頭向磁盤寫入數(shù)據(jù)時(shí)，它會(huì)將磁化數(shù)據(jù)位的信號(hào)調(diào)整到某個(gè)適當(dāng)?shù)膹?qiáng)度，但信號(hào)不是越強(qiáng)越好，不應(yīng)超出一定的界限，以免影響相鄰的數(shù)據(jù)位。由于信號(hào)強(qiáng)度不足以使存儲(chǔ)媒介達(dá)到飽和的磁化狀態(tài)，所以實(shí)際記錄在媒介上的信號(hào)受到以前保存在同一位置的信號(hào)的影響，例如，如果原來記錄的數(shù)據(jù)位是0，現(xiàn)在被一個(gè)1覆蓋，那么實(shí)際記錄在磁盤媒介上的信號(hào)強(qiáng)度肯定不如原來數(shù)據(jù)位是1的強(qiáng)度。

　　專用的硬件設(shè)備能夠精確地檢測出信號(hào)強(qiáng)度的實(shí)際值，將這個(gè)值減去當(dāng)前數(shù)據(jù)位的標(biāo)準(zhǔn)強(qiáng)度，就得到了被覆蓋數(shù)據(jù)的副本。理論上，這個(gè)過程可以向前遞推七次，所以如果要徹底清除文件，必須反復(fù)覆蓋數(shù)據(jù)七次以上，每次都用隨機(jī)生成的數(shù)據(jù)覆蓋。
第二種數(shù)據(jù)恢復(fù)技術(shù)的依據(jù)是，磁頭每次讀/寫數(shù)據(jù)時(shí)，不可能絕對(duì)精確地定位在同一個(gè)點(diǎn)上，寫入新數(shù)據(jù)的位置不會(huì)剛好覆蓋在原來的數(shù)據(jù)上。原有數(shù)據(jù)總是會(huì)留下一些痕跡，利用專用的設(shè)備可以分析出原有數(shù)據(jù)的副本--稱為影子數(shù)據(jù)。當(dāng)然，如果我們反復(fù)執(zhí)行覆蓋操作，原有數(shù)據(jù)的痕跡也會(huì)越來越弱。

　　● 影子數(shù)據(jù):被覆蓋的數(shù)據(jù)總是與新寫入的不離左右，就象人的影子總是緊跟著人，因此被覆蓋的數(shù)據(jù)就稱為影子數(shù)據(jù)。英文功力好的讀者可以參見這篇專著:http://www.forensics-intl.com/art15.html。

　　通常而言，能夠恢復(fù)已刪除、覆蓋的數(shù)據(jù)應(yīng)該算是一件好事，當(dāng)然，某些必須徹底清除數(shù)據(jù)的場合除外。這方面最為著名的標(biāo)準(zhǔn)是美國國防部訂立的磁盤清洗規(guī)范，它要求數(shù)據(jù)必須覆蓋三次:第一次用一個(gè)8位的字符覆蓋，第二次用該字符的補(bǔ)碼(0和1全反轉(zhuǎn)的字符)覆蓋，最后用一個(gè)隨機(jī)字符覆蓋。不過這個(gè)清洗方法不適用于包含高度機(jī)密信息的媒介，這類媒介必須進(jìn)行消磁處理，或者銷毀其物理載體。當(dāng)然，對(duì)于大多數(shù)場合來說，簡單的覆蓋處理已經(jīng)足夠。

　　四、被遺忘的角落

　　刪除和覆蓋文件還不能清除硬盤上的所有敏感數(shù)據(jù)，因?yàn)閿?shù)據(jù)可能隱藏在某些意料之外的地方，所以文件占用的每一個(gè)扇區(qū)都必須徹底清除所謂扇區(qū)，就是大小為512字節(jié)的數(shù)據(jù)片斷，每個(gè)簇包含多個(gè)扇區(qū)。

　　向磁盤寫入文件時(shí)，文件的最后一部分通常不會(huì)恰好填滿最后一個(gè)扇區(qū)，這時(shí)操作系統(tǒng)就會(huì)隨機(jī)地提取一些內(nèi)存數(shù)據(jù)來填充空余區(qū)域。從內(nèi)存獲取的數(shù)據(jù)稱為RAM Slack(內(nèi)存渣滓)，它可能是計(jì)算機(jī)啟動(dòng)之后創(chuàng)建、訪問、修改的任何數(shù)據(jù)。另外，最后一個(gè)簇中沒有用到的扇區(qū)就原封不動(dòng)，即保留原來的數(shù)據(jù)，稱為Drive Slack(磁盤渣滓)。問題在于許多號(hào)稱安全刪除文件的工具不會(huì)正確清除內(nèi)存渣滓和磁盤渣滓，而這些被稱為渣滓的地方卻可能包含大量的敏感信息。

　　在NTFS文件系統(tǒng)中，每個(gè)文件包含多個(gè)流，其中一個(gè)流用來保存訪問權(quán)限之類的信息，另一個(gè)流用來保存真正的文件數(shù)據(jù)。除此之外，NTFS還允許額外的數(shù)據(jù)流，即ADS(Alternative Data Stream)，ADS可以用來保存任何信息，最常見的用途是保存圖形文件的縮略圖。由于許多安全刪除文件的工具不能清除ADS，所以即使存放文件實(shí)際數(shù)據(jù)的流已經(jīng)清除，但縮略圖仍可能泄露機(jī)密。微軟知識(shí)庫文章319300(http://support.microsoft.com)介紹了如何防止系統(tǒng)創(chuàng)建縮略圖使用的流，即刪除注冊(cè)鍵HKEY_LOCAL_MACHINE/System/Currentcontrolset/Control/Contentindex/FilterTrackers。

　　●ADS:ADS這個(gè)縮寫詞經(jīng)常用來表示活動(dòng)目錄服務(wù)(Active Directory Services)，不過本文中ADS是指“可選數(shù)字流”，是文件主體數(shù)據(jù)之外的附屬信息存儲(chǔ)區(qū)域。就象你的公文包，包里面是正式存放物品的主空間，但包的外面還會(huì)有一二個(gè)附屬小口袋便于快速取用物品，這些小口袋就相當(dāng)于ADS。

　　ADS已是人們熟知的隱藏?cái)?shù)據(jù)和病毒之地，經(jīng)常被計(jì)算機(jī)犯罪分子利用。但除此之外，硬盤上還有其他可以隱藏?cái)?shù)據(jù)的區(qū)域。

　　扇區(qū)是在低級(jí)格式化期間創(chuàng)建的，通常由硬盤制造廠完成。低級(jí)格式化工具會(huì)標(biāo)記出損壞的扇區(qū)，從而避免磁盤控制器向損壞的區(qū)域?qū)懭霐?shù)據(jù)。簇包含多個(gè)扇區(qū)，由高級(jí)格式化工具創(chuàng)建，如Windows或DOS的format命令。如果高級(jí)格式化期間發(fā)現(xiàn)壞扇區(qū)，整個(gè)簇被標(biāo)記為壞簇，但是，壞簇里面還有好的扇區(qū)，有些人就利用這些扇區(qū)來隱藏?cái)?shù)據(jù)。

　　在老式磁盤上，數(shù)據(jù)還可以隱藏在稱為扇區(qū)縫隙的地方。老式磁盤的每一個(gè)磁道都有數(shù)量相同的扇區(qū)，但外圈的磁道顯然要比內(nèi)圈的磁道長，有些人就利用外圈磁道上扇區(qū)之間的縫隙來保存數(shù)據(jù)。新型磁盤利用一種稱為分區(qū)記錄(Zoned Recording)的技術(shù)避免了這種空間浪費(fèi)，它能夠根據(jù)磁道的位置調(diào)整每個(gè)磁道的扇區(qū)數(shù)量。

　　要訪問磁盤上的這類隱藏區(qū)域，必須使用繞過操作系統(tǒng)磁盤訪問功能的工具。搜索一下網(wǎng)絡(luò)，可以看到正規(guī)的專業(yè)工具都很昂貴，例如EnCase Forensic Edition(www.guidancesoftware.com)要2000多美元;Directory Snoop可能最便宜，也要29美元，但它不支持NTFS。

　　綜上所述，我們可以說恢復(fù)數(shù)據(jù)實(shí)際上要比徹底清除數(shù)據(jù)簡單。如果你不小心刪除了某個(gè)重要的文件(誰都會(huì)遇到這類事情)，恢復(fù)工具就是救命的稻草。反之，如果你想出售二手機(jī)或二手磁盤，應(yīng)當(dāng)考慮一下是否有必要徹底地清洗一下硬盤。

以上內(nèi)容是本文的全部敘述，希望大家喜歡。

最新評(píng)論