Физика и лирика удаления и восстановления файлов

Физика

Для начала рассмотрим процесс удаления файлов в системе FAT, который по сей день физически происходит одинаково. Условно его можно разбить на четыре этапа. Первые два этапа происходят после набора команды del отчет-01.doc, нажатия <F8> в Norton или очистки корзины. Прежде всего происходит замена первой буквы имени файла на код 0E5h. Этим ОС показывает, что теперь данная ячейка в таблице директории свободна. На втором этапе происходит очистка цепочки кластеров в таблице фат, то есть место связанной цепочки занимает 0 — кластер свободен. Третий и четвертый этапы проходят без непосредственного участия пользователя, не зависят друг от друга и бывают разнесены (как с первыми двумя, так и между собой) на значительные промежутки времени. Обычно сначала пропадает информация о названии файла и его атрибутах. ОС при создании очередного файла или папки находит первую свободную ячейку в директории и записывает в нее информацию о новом файле. Затем обычно происходит полная потеря информации о файле, то есть кластеры, в которых он был записан, перезаписываются новой информацией. Иногда это происходит не сразу, а в два и более приемов. До наступления четвертого этапа все данные «почти» в целости и сохранности лежат на диске, но добыть их оттуда бывает чрезвычайно сложно.

Лирика

В недалеком прошлом способность FAT «сохранять» данные после удаления стала большой удачей для пользователей, курсовые работы и квартальные отчеты которых после неудачного нажатия на <F8> были возвращены к жизни. Правда, для этого им необходимо было выполнить пару условий: не записывать ничего нового на диск и иметь у себя или у друзей нортоновские утилиты, в состав которых входила программа UNERASE. Говорили, что создатель указанных утилит написал ее после того, как случайно удалил важный документ со своего компьютера. Затем та же утилита в слегка видоизмененном виде появилась в составе MS-DOS. Основная сложность в восстановлении удаленного файла заключается в том, что точно известно бывает только местоположение его первого кластера. Дальнейшую же цепочку можно восстановить в автоматическом режиме лишь приблизительно. Поэтому восстановлением файлов размером более одного кластера иногда приходилось заниматься вручную. Возникает вопрос: а почему бы не оставлять за удаленным файлом всю цепочку в FAT. Вроде, ничего сложного, ведь при установленном в первой букве названия коде 0E5h ОС будет считать его удаленным, а для того, чтобы его восстановить, достаточно вспомнить первую букву. Однако не все так просто: цепочка в FAT осталась и система будет считать ее потерянной, так как формально в директориях нет записей, указывающих на нее, так что без очистки места на диске не прибавится. Можно было при разработке MS-DOS придумать «более правильный» способ удаления, но ее разрабатывали программисты, а у них довольно странная логика. К тому же в то время размеры дисков были крошечные, оперативной памяти было мало, вследствие чего шла борьба за каждый килобайт места, а любое усложнение — это лишний объем. В других ОС такая возможность была заложена изначально, например в корзину Trash в Mас OS помещались все удаленные пользователем файлы, а в Novell пользовательские файлы удалялись только после того, как администратор давал соответствующую команду. К слову, в серверах Windows NT удаление нужного файла на сетевом диске — трагедия для пользователя. Без утилит сторонних фирм, установленных на сервере, отправив по ошибке файл в корзину на собственном столе, человек в ужасе обнаруживает, что файла-то в ней нет и что вернуть его назад не сможет даже сисадмин.

Итак, DOS нуждался в доработке, новая ОС Windows 95 в своем составе уже имела корзину, как на компьютерах Macintosh. Дело в том, что старый способ восстановления файлов при активной работе с диском самой ОС закончился скорее всего ничем. Пользователи, положив файл в корзину (при условии, что он не превосходит размера дискового пространства, установленного на нее), затем могли спокойно взять его обратно в работу. Были случаи, когда во время плановой профилактики компьютера администратор очищал корзину, а потом выяснялось, что в ней лежали важные документы, которые пользователь хранил там, чтобы они не занимали лишнего места. Однако файлы в корзине занимают места не меньше, чем просто на столе или в «Моих документах». Это связано с устройством самой корзины, при попадании в нее файл просто перетаскивается в папку RECYCLED, то есть формально удаляется с прежнего места и переименовывается в файл вида DCxxxx.xxx, а запись о его названии сохраняется в отдельном служебном файле; и лишь по команде «Очистить корзину» с файлом происходят все те превращения, о которых мы говорили в начале. Для некоторых особо мнительных людей «товарищ Нортон» сразу же выпустил, извините за тавтологию, «корзину в корзине», назвав ее «дополнительной защитой корзины». (Это очень напоминает шутку эпохи 286-х компьютеров, когда «умная» операционка на предложение удалить файл noname.tmp начинала засыпать пользователя вопросами: «А Вы уверены? Файл будет удален навсегда, удалять? А может, он Вам еще нужен?» и т.д., в результате пользователь соглашался, что это самый важный и нужный файл, и оставлял его.) Таким образом, защищенная корзина продлевает файлу «жизнь после жизни», перенося его на время в другую папку, из которой его можно снова взять в работу.

Проза жизни

Все ранее рассмотренное относится и к процессу полного уничтожения всех данных, содержащихся в определенных файлах. Если вы по долгу службы на своем компьютере работали с секретной информацией, а после вас доступ к нему может получить кто-то посторонний, то лучшим способом борьбы будет следующий: после «форматирования» жесткого диска, достать его и разбить молотком, желательно тяжелым. Но, к счастью, есть более щадящие способы борьбы за удаление секретной информации. Люди, не знакомые с «физикой процесса», очистив корзину, совершенно напрасно полагают, что могут спать спокойно: налоговая инспекция на изъятом у них компьютере обязательно найдет остатки отчетов о годовых доходах и прочую интересную для них информацию. Так уж бывает, что при удалении двух файлов, нужного и ненужного, чаще всего можно восстановить ненужный, например «Доходы за год», а нужный и куда меньше интересующий налоговиков «Список должников» пропадет со всеми их долгами и адресами. Для «знатоков» можно предложить способ, известный еще с MS-DOS, — воспользоваться нортоновскими утилитами, в которые уже тогда входила программа WipeFile. Она позволяла перед удалением заполнять пространство на диске, занимаемое файлом, произвольным набором букв и цифр. (Известны случаи, когда первый отдел «почтового ящика», узнав о такой утилите, заставлял пользователей в текстовом редакторе заполнять документы нулями с использованием режима замены. Ведь использовать данную утилиту они не могли — это же была программа вероятного противника — и толком не разобрались, как она работает. Это было, мягко говоря, не эквивалентно данной утилите, так как в данном случае многое зависит от автора текстового редактора, а именно от того, как он выполнил процедуру сохранения файлов.) Но что же делать людям, которые не приобрели данных утилит? Во-первых, можно поискать аналогичную замену среди бесплатных или условно-бесплатных программ. Во-вторых, произвести самостоятельные действия, которые затруднят поиск интересующей кое-кого информации. Часть действий ваша ОС совершит и без вашего участия, записывая и перезаписывая файлы, а сами вы можете:

• очистить корзину;
• скопировать в папку, из которой был удален секретный материал, несколько файлов, желательно больших. Этим вы, возможно, затрете запись в таблице директории, а может, и данные в самом файле;
• произвести дефрагментацию диска (правда, лучше всего это поможет только в случае, если ее давно не делали);
• удалить то, что скопировали, и очистить корзину;
• произвести «контрольную» дефрагментацию.

Таким образом вы значительно усложните жизнь тем, кто интересуется чужой информацией. И запомните, что люди, которые станут заниматься восстановлением информации, не будут затрачивать больше времени и сил, чем она действительно стоит.