بازیابی داده ها از هارددیسک

اگر صرفاً از امكانات ویندوز استفاده می كنید ، احتمالاً این تصور را دارید كه با پاك كردن یك فایل و حذف آن از سطل بازیافت ویندوز ( Recycle Bin ) داده های مربوط ، برای همیشه از بین رفته است ، اما در واقع این طور نیست ؛ چرا كه با استفاده از سخت افزارها و نرم افزارهای خاص ، می توانید به صورت مجازی هر فایلی را حتی در صورت بازنویسی داده ها ، فرمت درایو ، حذف بخش راه اندازی و یا از كار افتادن كنترل گر دیسك ، بازیابی كنید .
اگر به بازیاب یك فایل ضروری خود نیاز مبرم دارید ، چنین خبری برای شما بسیار خوشحال كننده است و اگر مایل نیستید كه دیگران داده های شخصی شما را بخوانند ، این خبر برای شما بسیار ناراحت كنند خواهد بود . راه حل این موضوع , به زمان و هزینه صرف شده بستگی دارد .
برای درك آنكه داده های پاك شده چگونه بازیابی می شوند ، ابتدا باید نحوه ذخیره آنها را بدانید .
یك هارددیسك شامل مجموعه ای از پلاترها است كه روی هم قرار گرفته اند . داده ها به شكل دایره های متحدالمركزی موسوم به شیار (track) در پلاترها ذخیره می شوند . هدهای خواندن/نوشتن ، در سطح پلاترها حركت می كنند تا به بخش های مختلف هارددیسك دسترسی یابند .
از آنجایی كه امكان دستیابی مستقیم به همه نقاط هارددیسك وجود دارد ، فایل ها یا بخش هایی از آنها می توانند در هر نقطه دیسك قرار گیرند و لزومی ندارد كه به صورت پشت سر هم و مرتب ذخیره شوند .
داده ها روی هارددیسك در كلاسترها ذخیره می شوند . اندازه كلاسترها به نوع سیستم عامل و حجم دیسك بستگی دارد . فرضاً اگر اندازه كلاستر در یك هارددیسك ، ۴ كیلوبایت باشد ، حتی یك فایل ۱ كیلوبایتی نیز با ذخیره شدن در آن كلاستر ، ۴ كیلوبایت فضا می گیرد .
یك فایل بزرگ ممكن است در صدها یا هزاران كلاستر پراكنده در سطح دیسك قرار گیرد . این بخش های مجزا به وسیله فایل سیستم یك سیستم عامل ، قابل ردیابی و سازماندهی هستند .
در حال حاضر ، ۳ فایل سیستم مربوط به هارددیسك توسط ویندوز مورد استفاده قرار می گیرد . اولین آنها ، جدول تخصیص فایل ( FAT ) بود كه به همراه سیستم عامل DOS ارائه شد ؛ سپس FAT ۳۲ در ویندوز ۹۵ ، مورد استفاده قرار گرفت و در نهایت فناوری جدید فایل سیستم NTFS با ویندوز NT ۴.۰ عرضه شد . هر سه این استانداردها از روش كلی یكسانی برای ذخیره فایل ها استفاده می كنند .
یك دایركتوری ، فایل های روی دیسك را فهرست می كند و به علاوه یك اشاره گر به كلاستر آغازینی كه مشخص كننده ابتدای فایل است ، در خود نگه می دارد . ورودی FAT كلاستر آغازین ، یك اشاره گر به كلاستر بعدی دارد و این روال به همین ترتیب ادامه می یابد تا به نشانه پایان فایل برسد .
هنگامی كه از طریق عملیات معمول ویندوز ، فایلی را پاك می كنید ، این فایل حقیقتاً پاك نمی شود . فرضاً اگر فایلی را از طریق Windows Explorer پاك كنید ، آن فایل به سطح بازیافت خواهد رفت .
حال اگر سطل را نیز خالی كنید ، فقط آن فایل در هارددیسك نادیده گرفته می شود و اولین حرف نام آن به كاراكتر خاصی تغییر می كند و كلاسترهای حاوی آن فایل به عنوان كلاسترهای قابل استفاده علامت گذاری می شوند ، اما داده ها همچنان در آنجا وجود دارند .
حال یك فایل جدید می تواند در این كلاسترها ذخیره شده و در نتیجه باعث بازنویسی داده های قدیمی شود .
البته تا زمان وقوع این مسئله ، داده ها سالم باقی می مانند . از این رو شما می توانید با استفاده از ابزاری كه از سیستم عامل عبور كرده و مستقیماً هارددیسك را می خواند ، آن داده ها را بازیابی كنید . نام و محل دریافت چهار نمونه از این ابزارها در آدرس زیر آمده است :
www.pcmag.com/print_article/۰،۳۰۴۸،a=۴۱۸۲۷،۰۰.asp
برای بازیابی یك فایل ، در اولین قدم باید مواقب باشید كه مجدداً روی آن بازنویسی نكنید .
بدین منظور بلافاصله استفاده از كامپیوتر خود متوقف كرده و هیچ چیزی روی دیسك ذخیره نكنید . حتی برنامه بازیابی را هم روی هارددیسك نصب نكرده و به جای آن از فلاپی دیسك استفاده كنید ؛ زیرا ممكن است از كلاسترهای فایل مورد نظر شما برای بازیابی استفاده كند .
● بازیابی داده های بازنویسی شده .
در صورت بازنویسی داده ها ، دیگر قطعاً نمی توانید از طریق نرم افزار به آنها دسترسی یابید . اما این بدان معنا نیست كه داده ها غیر قابل بازیابی هستند ؛ بلكه دون روش برای بازیابی این داده ها از هارددیسك وجود دارد .
هنگامی كه هد خواندن/نوشتن ، بیتی را در دیسك می نویسد ، شدت سیگنال لازم برای مقدار دهی به یك بیت را به كار می گیرد و این میزان آنقدر نیست كه نواحی مجاور نیز تحت تاثیر قرار گیردند . از آنجائیكه این سیگنال به اندازه كافی قوی نیست تا رسانه را اشباع سازد ، بنابراین میزان مطلق شدت سیگنال ، به داده ها ی قبلی موجود در آن بیت ، بستگی خواهد داشت . هنگامی كه یك بیت صفر با مقدار ۱ بازنویسی می شود ، شدت سیگنال به كار رفته ضعیف تر از زمانی است كه مقدار ابتدایی ۱ باشد . سخت افزاری خاص می تواند میزان دقیق شدت سیگنال را به دست آورد و سپس شما می توانید با كم كردن آن از نسخه كامل سیگنال ، داده قبلی را به دست آورید . این فرایند را می توانید تا ۷ بار تكرار كنید ؛ بنابراین برای اطمینان از اینكه ، داده های قبلی به هیچ صورت در دیسك وجود ندارد ، باید بیش از ۷ بار به صورت تصادفی روی داده ها بازنویسی كنید .
دومین روش برای بازیابی داده ها از این نكته بهره می گیرد كه هد خواندن/نوشتن ، هر بار برای انجام یك عملیات نوشتن بر روی هارددیسك دقیقاً در مكان یكسانی قرار نمی گیرد . این كار به متخصصان امكان می دهد كه به مقادیر پیشین اطراف هر شیار كه داده های سایه ای نامیده می شوند ، پی ببرند . البته بازنویسی داده به طور مكرر ، این مرزهای نواحی مختلف را نیز بازنویسی می كند .
● مكان های پنهان .
پاك كردن و بازنویسی مجدد فایل ها ، تمامی داده های حساس را از هارددیسك شما پاك نمی كند . شما باید تمامی قطاع ها ـ بخش های ۵۱۲ بایتی تشكیل دهنده یك كلاستر ـ را پاك كنید ، زیرا داده ها می توانند در مكان های غیر منتظره ای پنهان شوند . غالباً در آخرین كلاستر یك فایل بزرگ ، داده های تصادفی موسم به file slack قرار دارد . هنگامی كه آخرین بخش یك فایل در هارددرایو نوشته می شوند و داده به طور كامل ، قطاع را پر نمی كند ، آن قطاع با داده های تصادفی حاصل از حافظه موسوم به RAM slack پر می شود . این داده ها می توانند شامل اطلاعات ایجاد شده ، مشاهده شده و یا تغییر یافته در زمان آخرین راه اندازی كامپیوتر باشند . بدین ترتیب قطاع های باقی مانده سازنده یك كلاستر شامل بقایای داده هایی هستند كه سابقاً در آن محل ذخیره شده اند و به آنها drive slack گفته می شود . بسیاری از برنامه های پاك كننده ایمن ، file slack ها را كه ممكن است شامل اطلاعات محرمانه بسیاری باشند ، به درستی پاك كنند . در فایل سیستم NTFS (موجود در ویندوز NT ۴.۰ ، ۲۰۰۰و XP) ، فایل را نگهداری می كند . همچنین NTFS می تواند شامل رشته هایی موسوم به باشد كه اطلاعاتی در تمایم موارد دارد . متداول ترین مصرف ADS ، ذخیره نمونه كوچك فایل های تصویری است . از آنجائیكه بسیاری از برنامه های پاك كننده ایمن ، ADS ها را پاك نمی كنند ، این نمونه های كوچك تصویری می توانند حتی پس از حذف رشته حاوی فایلهای تصویری ، بازیابی شوند . برای اطلاع از جزئیات دقیق این موضوع كه چگونه از ذخیره شدن نمونه های كوچك تصاویر جلوگیری كنیم ، به مقاله شماره ۳۱۹۳۰۰ در Microsoft Knowledge Base واقع در آدرس http://support.microsoft.com مراجعه كنید .
● خطرات پنهان .
مجرمان از ADS ها برای پنهان سازی داده ها و یا ویروس ها در هارددیسك استفاده می كنند . نواحی دیگری نیز در هارددیسك ها وجود دارند كه داده ها می توانند به صورت عمدی در آنجا پنهان شوند . قطاع ها در طی عملیات فرمت سطح پایین ( low_level format ) در هارددیسك ایجاد می شوند ( این كار غالباً در شركت سازنده صورت می گیرد ) . قطاع های خراب علامتگذاری می شوند ، در نتیجه كنترل گر هارددیسك ازآن نواحی برای نوشتن اطلاعات استفاده نمی كند . كلاسترها كه از قطاع ها تشكیل شده اند ، طی فرمت سطح بالا
high_ level format) ) ، تعریف می شوند ، تمام كلاستر مربوط به آن قطاع ، به عنوان كلاستر خراب علامت گذاری می شود ؛ اما این كلاستر معیوب شامل قطاع های صحیحی نیز هستكه از طریق آنها ، مجرمان می توانند داده ها را پنهان كنند .
در هارددیسك های قدیمی ، داده ها می توانند در جایی كه شكاف قطاع نامیده می شود نیز پنهان شوند . هر شیار ، تعداد قطاع های برابر دارد ، اما محیط پیرامون شیار های خارجی بیشتر از شیار های داخلی است . شكاف های بزرگ تر بین قطاع های خارجی می تواند برای ذخیره سازی داده های پنهان به كار رود . هارددیسك های جدید از طریق روشی كه ضبط ناحیه ای ( zoned recording ) نامیده می شود ، این فضای اضافی را حذف كرده اند . این روش ، تعداد قطاع ها را بسته به موقعیت شیار ، تنظیم می كند .
برای دستیابی به این نواحی پنهان در هارددیسك ، به برنامه ای نیاز دارید كه از سیستم عامل عبور كند . نرم افزارهای حرفه ای در این زمینه بسیار گران قیمت هستند . فرضاً نرم افزار En Case Forensic Edition محصول شركت Guidance Software (www.guidacesoftware.com) حدود ۲۴۹۵ دلار قیمت دارد . در مقابل نرم افزار Directory Snoop محصول شركت Briggs Softworks (www.briggsoft.com/dsnoop.htm) تنها با ۲۹ دلار امكان دستیابی سطح پایین به دیسك را می هد اما از سیستم فایل NTFS پشتیبانی نمی كند .
● رعایت موارد ایمنی .
همواره این نكته را به خاطر داشته باشید كه بازیابی داده ها بسیار آسان تر از حذف دائمی آنها است . اگر قصد دارید كامپیوتر قدیمی و یا هارددیسك خود را بفروشید ، از یك ابزار پاك كننده ایمن باری بازنویسی تك تك قطاع های هاردیدیسك استفاده كنید .به خاطر داشته باشید كه فرمت مجدد ، موجب بازنویسی تمامی قطاع ها نمی شود و اطلاعات خصوصی می تواننند قابل بازیابی باقی بمانند .