Komputer Forensik DIY: Bagaimana Memulihkan Fail Dipadam

Adakah fail itu dipadam? Ya. Adakah ia benar untuk kebaikan? Mungkin tidak.

Saya peminat filem zombie yang besar dan selalu tertanya-tanya jika anda boleh menggunakan konsep yang sama untuk membawa kembali fail dari orang mati? Saya tidak bercakap tentang "kitar semula" maya. Itu mudah. Saya bercakap lurus-saya-dihapus-yang-rebus-keluar-ini-fail-dan-sekarang-saya-mahu-untuk-dibawa-it-back barangan jenis. Bolehkah ia dilakukan?

Nah, saya melakukan beberapa kajian dan beberapa ujian tangan dan saya dengan senang hati melaporkan bahawa anda boleh, dalam beberapa kes, membawa fail kembali dari orang mati. Sudah tentu, terdapat beberapa kaveat dan anda juga memerlukan beberapa alat pemulihan data forensik khas (percubaan percuma yang tersedia untuk tujuan pengujian), tetapi kami akan sampai pada itu dalam satu minit.

Apa yang Berlaku Apabila Fail Dihapus?

Mari kita bincangkan tentang apa yang berlaku apabila fail dipadam. Dalam banyak sistem operasi , data fail dipindahkan ke kawasan pegangan sementara seperti "kitar semula bin" di mana ia boleh dipulihkan atau dibersihkan supaya ruang cakera ia mengambil boleh ditebus. Tetapi apa yang sebenarnya berlaku? Dalam banyak kes, hanya rekod penunjuk ke mana data fail terletak pada cakera fizikal dikeluarkan. Ini boleh berlaku sekalipun selepas mengosongkan tong kitar semula.

Bagaimana pula dengan Data? Adakah masih di sana?

Kecuali sistem operasi menggunakan beberapa jenis fungsi selamat-padam, data sebenar mungkin masih kekal, anda tidak boleh melihatnya dalam direktori fail, melainkan jika anda mempunyai alat yang betul (cue CSI title music sebagai red- lelaki yang berkepala memakai cermin mata hitamnya).

Saya telah mencuba beberapa alat pemulihan fail yang dikatakan pada masa lalu. Yang saya nampak paling berkesan dalam melakukan apa yang dikatakannya adalah aplikasi R-Studio dari R-Tools Technology. R-Studio adalah penyelesaian pemulihan data forensik yang berat. Ia berkisar dari harga $ 49.99 hingga $ 899.99 bergantung kepada jenis jenis lesen yang anda beli dan jenis sistem fail yang anda sedang cuba pulih dari data (iaitu FAT32, NTFS, dll).

Satu salinan demo percuma tersedia yang membolehkan anda mengimbas cakera anda untuk fail yang dipadam yang boleh dipulihkan. Demo hanya akan membiarkan anda memulihkan fail yang kurang daripada 64KB, tetapi sekurang-kurangnya ia membolehkan anda mengimbas untuk melihat apakah fail yang anda percaya hilang untuk kebaikan mungkin masih dapat dipulihkan.

R-tools memberi amaran bahawa anda tidak perlu memasang alat ke cakera yang sama yang anda cuba pulih dari data. Alasannya adalah kerana apabila anda memasang sebarang program pada cakera yang anda ingin pulih dari sesuatu, perbuatan memasang perisian itu sendiri mungkin menulis di atas kawasan cakera yang mengandungi fail yang sedang anda coba pulih.

Perisian ini bukanlah untuk pemula komputer, tetapi di sebelah kanan, R-studio adalah penyelesaian yang kuat untuk pemulihan bencana selepas serangan virus, hack sistem, atau ketika Shih Tzu anda memutuskan untuk mengetuk sebotol penuh bir ke komputer riba anda . (ia bukan kemalangan, dia melakukannya dengan tujuan).

Bolehkah Guys Bad Menggunakan Alat Ini Terlalu?

Anda mungkin tertanya-tanya jika sesiapa sahaja boleh menggunakan alat forensik ini untuk membawa kembali fail dipadam, bagaimana saya boleh memastikan bahawa apa yang saya padamkan benar-benar hilang supaya orang jahat tidak dapat membangkitkannya menggunakan alat yang sama? Berikut adalah tiga cara untuk membuat fail anda sebagai tidak dapat dipulihkan.

Perisian R-tools mendakwa dapat mengembalikan data dari pemacu walaupun selepas itu telah diformat semula dan dipartisi semula (dalam beberapa kes). Memandangkan fakta ini, Jika anda menjual komputer anda mungkin idea yang baik untuk menyimpan cakera keras, atau menggunakan utiliti memadam drive selamat sebelum menjualnya.