Tải bản đầy đủ (.doc) (3 trang)

Tài liệu Khôi phục dữ liệu đã bị xóa vĩnh viễn doc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (52.69 KB, 3 trang )

Chúng ta thường nghĩ rằng những file đã bị xoá mà bị gỡ bỏ (REMOVE) khỏi Recycle bin
sẽ ra đi mãi mãi. Thực tế không phải vậy. Với những phần cứng và phần mềm đặc biệt,
bạn có thể khôi phục gần như hầu hết các file đó, kể cả khi dữ liệu bị ghi chông
(Overwritten), ổ đĩa bị Format lại, vùng khởi động bị hư hay mạch điều khiển ổ đĩa không
hoạt động. Đây là những tin tốt lành cho nếu bạn cần khôi phục lại những thông tin quan
trọng, nhưng là tin xấu nếu bạn muốn ngăn ngừa những kẻ khác đọc dữ liệu cá nhân của
mình.
Để tìm hiểu các khôi phục dữ liệu đã bị xoá, trước tiên bạn phải hiểu nó được lưu trữ như
thế nào. Một ổ cứng (HDD) thường có nhiều mặt đĩa( platter). Dữ liệu được lưu trên các
platter trong các vòng tròn đồng tâm, còn gọi là rãnh ghi (track). Các đầu đọc/ghi di
chuyển trên bề mặt các đĩa để truy xuất dữ liệu trên HDD. Do dữ liệu có thể truy nhập trực
tiếp bất kỳ nơi nào trên HDD, các file hay các mảnh file cũng được lưu giữ bất kỳ nơi nào
trên ổ.
Dữ liệu được lưu trên HDD trong các cluster (liên cung). Kích thước của các cluster rất
khác nhau theo hệ điều hành và kích thước của dung lượng logic. Nếu HDD có kích thước
cluster là 4k, thì một file dù chỉ 1k cũng chiếm tới 4k. Một file lớn có thể chứa hàng trăm
hoặc hàng nghìn cluster, nằm rải rác trên khắp HDD. Dữ liệu nằm rải rác trên HDD được
theo dõi và quản lý bởi thành phần hệ thống file của hệ điều hành.
Hiện nay có 3 loại hệ thống file HDD được sử dụng trong Windows của Microsoft là FAT(
File Allocation Table - bảng phân bố tệp) được giới thiệu với DOS; FAT32 được giới thiệu
với Win95 và NTFS( hệ thống file công nghệ mới) được đưa ra với WINNT 4.0. Tất cả 3
hệ thống này sử dụng một chiến lược cơ bản giống nhau. Một mục liệt kê các file trên ổ và
chứa một con trỏ (pointer) đến cluster khởi đầu (starting cluster) chưa phần khởi đầu của
file. Mục nhập FAT (FAT entry) của cluster khởi đầu chứa một pointer đến liên cung sau
và nối tiếp cho đến vạch dấu cuối cùng của file.
Phục hồi dữ liệu
Khi bạn xóa file qua thao tác Windows thông thường, fiel đó không thực sự bị xóa bỏ. Nếu
bạn xóa file qua Windows Explorer, file đó sẽ được chuyển đến Recycle Bin(thùng rác).
Nhưng kể cả nếu bạn xóa rỗng (empty) thùng rác, file đó vẫn còn trên HDD. Ký tự đầu tiên
của tên file được thay đổi thành ký tự đặc biệt và các cluster chứa dữ liệu đó bị đánh dấu,
nhưng dữ liệu vẫn còn. Lần sau bạn save một file, các cluster có thể được sử dụng đẻ lưu


dữ liệu mới, ghi chồng lên dữ liệu cũ. Tuy nhiên, kể cả khi đã bị ghi chồng, dữ liệu bị ghi
chồng vẫn hoàn toàn nguyên vẹn. Bạn có thể truy lục lại dữ liệu bị ghi chồng bằng sử dụng
trình tiện ích phớt lờ hệ điều hành và đọc trực tiếp vào HDD. Một số trình tiện ích khôi
phục dữ liệu: EasyRecovery Lite 6.0 (có thể download tại [Chỉ những thành viên đã đăng
ký và kích hoạt mới có thể thấy liên kết]); FileRestore ([Chỉ những thành viên đã đăng ký
và kích hoạt mới có thể thấy liên kết]); O&O UnErase ([Chỉ những thành viên đã đăng ký
và kích hoạt mới có thể thấy liên kết]) và Undelete 3.0 ([Chỉ những thành viên đã đăng ký
và kích hoạt mới có thể thấy liên kết] ).
Nếu muốn phục hồi file đã vô tình xoá đi, bạn phải cẩn thận không ghi chồng lên nó.
Ngừng sử dụng máy tính ngay và không save bất cứ cái gì vào đĩa. Thậm chí không cài
chương trình phục hồi, do mọi thứ được ghi đến HDD có thể sử dụng các cluster của file
mà bạn muốn phục hồi. Nếu chương trình phục hồi chưa cài đặt, chạy nó từ ổ mềm
Phục hồi dữ liệu bị ghi chồng
Khi một file bị ghi chồng, có thể bạn không truy nhập được file đó bằng phần mềm. Những
điều đó không có nghĩa là dữ liệu đó không thể khôi phục. Có 1 cách để đọc dữ liệu bị ghi
chồng trên HDD.
Khi đầu đọc/ghi ghi một bit lên ổ, nó chỉ cung cấp độ dài tín hiệu đủ để tạo thành bit đó, do
đó các vùng gần kề không bị ảnh hưởng. Khi bit 0 được ghi chồng bằng bit 1, độ dài tín
hiệu yếu hơn so với khi giá trị trước đó là 1. Phần cứng đặc biệt có thể phát hiện độ dài tín
hiệu một cách chính xác. Bằng cách subtract (trừ) một phiên bản hoàn chỉnh của tín hiệu
đó, bạn có thể có hình ảnh ghost (hình ma) của dữ liệu cũ. Tiến trình này có thể lặp lại đến
7 lần, do đó để đảm bao triệt tiêu hoàn toàn hình ảnh ghost làm cho dữ liệu bị xoá không
thể khôi phục lại, dữ liệu đó phải được ghi chồng hơn 7 lần, mỗi lần với một dữ liệu ngẫu
nhiên.
Huỷ dữ liệu vĩnh viễn
Dữ liệu có thể khôi phục lại rất dễ dàng, nếu bạn thực sự muốn xoá đi vĩnh viễn thì dưới
đây là các biện pháp. Tiêu chuẩn của Bộ Quốc Phòng Mỹ đối với việc xóa bớt dữ liệu
HDD yêu cầu ghi chồng 3 lần, đầu tiên với 1 ký tự 8 bít dơn sau đó với phần bổ sung của
ký tự đó với phần bổ sung của ký tự đó (0 cho 1 và ngược lại) và cuối cùng là các ký tự
ngẫu nhiên. Tuy nhiên, phương pháp này vẫn chưa được công nhận là an toàn với các

thông tin tuyệt mật. Để xoa an toàn nhất với những thông tin tuyệt mật, những phương tiện
lưu trữ thông tin phải được giải từ (khử từ) hoặc phá vật lý. Song với đa số người sử dụng
thông thường, phương pháp ghi chồng là đủ đảm bảo an toàn.
Những nơi bí mật dữ liệu có thể ẩn náu
Xoá và ghi chồng các file sẽ không loại bỏ tất cả những thông tin nhạy cảm khỏi HDD.
Bạn phải làm sạch từng cung từ (sector), từng phân khúc (segment) 512 bytes tạo thành
cluster, vì dữ liệu có thể nấp trong những nơi không ngờ tới. Dữ liệu ngẫu nhiên còn gọi là
phần trùng của file (file slack), thường cư ngụ ở nơi cuối cùng của một file lớn. Nhiều
chương trình xoá an toàn không xoá hết file slack, là nơi có thể chứa nhiều thông tin cá
nhân.
Với hệ thống file NTFS (mặc định trên Windows NT 4.0 , 2000 và XP), các file chứa nhiều
stream. Một stream giữ thông tin về quyền truy nhập và stream thứ hai chứa dữ liệu file
thực. Ngoài ra, NTFS còn có các stream dữ liệu thay thế (ADS - Alternative Data Stream)
lưu giữ hầu như mọi thứ. Việc sử dụng ADS phổ biến nhất là để lưu giữ các hình nhỏ
(thumbnail) của file ảnh. Do nhiều chương trình xoa an toàn thất bại trong việc xoá đi
ADS, nên các hình nhỏ vẫn có thể phục hồi được.
Tội phạm biết cách sử dụng ADS để dấu dữ liệu hay virus trên HDD. Nếu một bad sector
được phát hiện trong quá trình format ở mức cao, toàn bộ cluster chưa bad sector đó được
đành dấu là lỗi. Nhưng cluster lỗi trong đó có chứa những sector không lỗi trong đó tội
phạm có thể dấu dữ liệu.
Trên các ổ cứng cũ, dữ liệu cũng có thể được dấu trong những kẽ hở của sector (sector
gap). Mỗi rãnh ghi có số lượng sector như nhau, nhưng chu vi của các rãnh ghi bên ngoài
lớn hơn nhiều so với chu vi của các rãnh ghi bên trong, tạo ra các kẽ hở giữa các rãnh ghi.
Những kẽ hở này có thể được sử dụng để cất dữ liệu nguy hiểm. Các ổ cứng mới xoá bỏ
những kẽ hở thừa thãi này bằng một công nghệ gọi là ghi theo vùng (zone recording), điều
chỉnh số lượng sector phụ thuộc vào vị trí của rãnh ghi.
Để truy nhập các vùng dữ liệu ẩn nấp này trên HDD, bạn cần phớt lờ hệ điều hành, như
phần mềm EnCase Forensic Edition ([Chỉ những thành viên đã đăng ký và kích hoạt mới
có thể thấy liên kết] ) và Directory Snoop ([Chỉ những thành viên đã đăng ký và kích hoạt
mới có thể thấy liên kết]™ ).

Sử dụng dữ liệu an toàn
Bạn phải luôn nhớ là phục hồi dữ liệu dễ hơn là xoá chúng vĩnh viễn. Nếu bạn đã vô tình
xoá một file quan trọng, chuyện phục hồi tương đối đơn giản. Vì vậy, nếu bạn muốn bán
máy tính hay HDD cũ, nên sử dụng các tiện ích xoá an toàn để ghi chồng lên mọi sector
trên HDD. Nhớ rằng format lại cũng không thể ghi chồng lên mọi sector và những thông
tin cá nhân vẫn có thể phục hồi
Mình dùng Revo Uninstaller xóa cực sạch luôn,đây là các tính năng chính:
Revo Uninstaller là một tiện ích miễn phí được đổi mới giúp gỡ bỏ các chương trình. Revo
Uninstaller không chỉ thay thế cho trình Add/Remove thông thường của Windows mà còn
gồm các công cụ khác giúp bạn quét sạch hệ thống Windows.
Với "Hunter mode" ("Chế độ săn lùng") có một không hai, nó đem lại cho bạn những cách
giải quyết thật đơn giản, dễ sử dụng nhưng thật hiệu quả và mạnh mẽ để quản lí (uninstall,
dừng lại, xoá, vô hiệu hoá việc tự động khởi động) và lấy thông tin về những chương trình
đã cài đặt và/hoặc đang chạy. Nhiều công cụ bổ sung khác đi kèm với Revo Uninstaller.
Dưới đây là danh sách các công cụ và tiện ích đi kèm:
- Quản lí việc tự động khởi động.
- Quản lí các công cụ cho Windows.
- Xoá các file rác - Junk Files Cleaner.
- Xoá history trình duyệt.
- Xoá history các tiện ích văn phòng.
- Xoá history Windows.
- Công cụ xoá vĩnh viễn không thể phục hồi - Unrecoverable Delete.
- Xoá dấu vết.

×