Bricolatge Informàtica Forense: Com recuperar un fitxer eliminat

S'ha eliminat el fitxer? Sí. Realment s'ha anat bé? Potser no.

Sóc un gran fan de les pel·lícules de zombies i sempre m'he preguntat si podríeu aplicar el mateix concepte per recuperar fitxers de la mort? No parlo de la "paperera de reciclatge" virtual. Això és fàcil. Estic parlant directament sobre les coses del tipus I-deleted-the-stew-out-of-this-file-and-now-that-want-to-bring-it-back. Es pot fer?

Bé, vaig fer algunes investigacions i algunes proves pràctiques i estic encantat d'informar que, en alguns casos, pot portar fitxers de la mort. Per descomptat, hi ha algunes advertències i també necessiteu eines especials de recuperació de dades forenses (assaigs gratuïts disponibles per a proves), però arribarem a això en un minut.

Què passa quan esborreu un fitxer?

Parlem de què passa quan s'esborra un fitxer. En molts sistemes operatius , les dades del fitxer es traslladen a una àrea de contenció temporal, com ara la "paperera de reciclatge", on es pot recuperar o esborrar perquè es recuperi l'espai del disc. Però, què passa? En molts casos, només s'elimina el registre del punter a on es van trobar les dades del fitxer al disc físic. Això pot ser el cas fins i tot després de buidar la paperera de reciclatge.

Què passa amb les dades? Encara hi és?

A menys que el sistema operatiu utilitzi algun tipus de funcionalitat de supressió segura, les dades reals encara es poden mantenir, només no podeu veure-les al directori d'arxius, tret que tingueu l'eina adequada que sigui (cue la música del títol de CSI com a red- un home dirigit posa les seves ulleres de sol).

He provat en algunes ocasions algunes eines de recuperació d'arxius. El que he trobat més eficaç a l'hora de fer el que pretén fer és una aplicació anomenada R-Studio de la tecnologia R-Tools. R-Studio és una solució de recuperació forense de dades fortes. Es desenvolupa des de $ 49.99 fins a $ 899.99 depenent del tipus de llicència que compreu i quin tipus de sistema d'arxius voleu recuperar dades (és a dir, FAT32, NTFS, etc.).

Hi ha disponible una còpia de demostració gratuïta que us permet escanejar el vostre disc per a fitxers esborrats que es puguin recuperar. La demostració només us permetrà recuperar fitxers de menys de 64 KB, però almenys us permet escanejar per veure si el fitxer que creieu que es perdrà de debò pot ser recuperable.

Les eines de R adverteixen que mai no haureu d'instal·lar l'eina al mateix disc que proveu de recuperar dades. El motiu d'això és que quan instal·leu qualsevol programa en un disc que vulgueu recuperar una cosa, l'acte d'instal·lar el programari pot escriure sobre l'àrea del disc que conté el fitxer que voleu recuperar.

Aquest programari no és per a principiants a l'ordinador, però a les mans adequades, R-studio és una solució poderosa per a la recuperació de desastres després d'un atac de virus, hack del sistema o quan el vostre Shih Tzu decideix copejar una ampolla de cervesa completa al vostre portàtil . (no va ser un accident, ho va fer a propòsit).

Els nois dolents també usen aquestes eines?

Probablement, us pregunteu si algú pot utilitzar aquestes eines forenses per recuperar els fitxers esborrats, com puc assegurar-me que el que suprimeixi s'ha desaparegut de manera que els nois no puguin ressuscitar-lo utilitzant aquestes mateixes eines? Aquí hi ha tres maneres de fer que els vostres fitxers siguin irrecuperables com sigui possible.

El programari de les eines de R afirma que pot recuperar dades d'un disc, fins i tot després d'haver estat reformatat i repartit (en alguns casos). Tenint en compte aquest fet, si veneu l'ordinador, probablement sigui una bona idea mantenir el disc dur o utilitzar una utilitat d'eliminació de la unitat segura abans de vendre-la.