Файлы-призраки или как восстановить удаленные данные


Для следователей, работающих в техническом отделе и занимающихся анализом компьютеров подозреваемых, любые данные представляющие особый интерес. Поэтому они используют специальные программно-аппаратные комплексы для извлечения подобных сведений.

Многие считают, что избавиться от данных можно несколькими способами:

  • перезаписать область с данными, где находился файл;
  • удалить данные используя специальные программы - шредеры (программы для удаления данных с компьютера).

Данные методы действительны на 70%. Поэтому, чтобы понять принцип работы техников, необходимо представлять, как происходит удаление файлов с компьютера.


Удаление файла
В файловой системе для файла меняется один атрибут, и он помечается как удаленный, хотя сам остается на жестком диске и его можно восстановить с помощью некоторых программно-аппаратных комплексов. Как ни странно, но всегда существуют скрытые лазейки для извлечения различного рода информации с носителей информации.


Файлы изображений
Файл Thumbs.db - специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений. Увидеть данный файл можно включив отображение "Скрытых файлов и папок" ("Мой компьютер" - "Сервис" - "Свойства папки" - "Вид" - поставить галочку "Показывать скрытые файлы и папки")
Поэтому, если Вам нужно избавиться от компрометирующих фотографий или изображений, необходимо избавиться и от файла Thumbs.db. Для этого отключаем кэширование эскизов в файлах Thumbs.db:

  • На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе
    HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Advanced значение "1"

  • В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в
    HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer


Файл подкачки
Рagefile.sys - файл подкачки, использующийся во время режима Hibernation (hiberfil.sys). Одно из самых непредсказуемых мест. Т.к. содержимое файла подкачки предсказать невозможно.

При работе с документами вся информация о них попадает в различные части ОС — временную папку, реестр и так далее. Отследить и удалить все связанные с файлом данные довольно тяжело. Файл подкачки именно то место, где можно найти информацию удаленную еще год назад. Здесь хранится история удаленных изображений, документов и даже cookie, удаленные из браузера. Сам файл посмотреть или скопировать можно задействовав специальные утилиты или же загрузившись в другую ОС и получить доступ к файлу из нее.

Решить проблему с файлом подкачки можно:

  • Отключив файл подкачки. Кликаем правой кнопкой на ярлыке "Мой компьютер" - выбираем пункт меню "Свойства" - вкладка "Дополнительно" - в появившемся окне выбираем вкладку "Дополнительно" - в разделе виртуальная память жмем кнопку "Изменить" - ставим галочку "Без файла подкачки".

  • Настроив систему так, чтобы затирались все данные в файле подкачки перед выключением компьютера. Устанавливаем значение "1" для ключа ClearPageFileAtShutdown в разделе реестра
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\Memory Management


Недостаток второго метода - медленность и длительное выключение системы.

Для исследования файла подкачки под виндой необходима программа FTK Imager. При работе с ней:

  • переходим в раздел "File" - "Add Evidence Item" и указываем диск, где находится файл подкачки;
  • слева на панели отобразится дерево каталогов, где выбираем pagefile.sys;
  • через контекстное меню выбираем опцию экспорта.

Экспортированный файл можно анализировать воспользовавшись программами DiskDigger или PhotoRec.


Дефрагментация
Что же происходит с файлами во время дефрагментации. Во время дефрагментации, все файлы находящиеся хаотично на носителе, занимают определенную последовательность. Т.е. смещаются таким образом, чтобы между файлами не было пустоты. Рассмотрим на примере с использованием стандартных средств Windows:

  • Выбираем "Мой компьютер" - кликаем правой кнопкой на "Диск D" - выбираем "Свойства" - "Сервис" - "Выполнить дефрагментацию" - нажимаем "Анализ" (Рис. дефр.) - нажимаем "Дефрагментация"

По окончании дефрагментации Вы увидите, что все Ваши файлы ранее расположенные на расстоянии друг от друга, теперь выстроились в начале диска и располагаются строго последовательно.

Дефрагментация скопировала файлы в начало диска, расположив их последовательно, однако она не перезаписала их предыдущую копию нулями. И теперь, если проверить помощью определенного шестнадцатеричного редактора и провести поиск, то мы увидим, что теперь каждый файл представлен в двух экземплярах. Это значит, что любой из них легко восстанавливается с помощью DiskDigger или Photorec. И сколько раз Вы их не удаляли бы, даже с использованием различных утилит, призраки Ваших файлов все равно останутся на диске. Они будут оставаться там до тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить.


Магнитная микроскопия
Магнитная микроскопия - определение состояния каждого бита до его перезаписи, т.е. определение, был ли он равен единице или нулю. Суть его в том, что каждый символ кодируется восемью битами. Однако если в результате восстановления даже один бит был восстановлен неверно, то символ получится уже другой. Допустим у нас есть слово "код" в двоичной системе. Были определены все биты кроме последнего. В итоге получили слово "кол". При использовании самого высокопрофессионального программно-аппаратного комплекса, восстановление может составить 93% точности. Однако такие комплексы встречаются очень и очень редко, и то среди сотрудников спецслужб, либо у специалистов нуждающихся в таком оборудовании. Возможность иметь такое оборудование должна еще поддерживаться и материально, т.к. стоимость его баснословно велика.


Заключение
На самом деле, если компьютерные эксперты (профессионалы своего дела) взялись за Ваш HDD будьте уверены они найдут необходимые лазейки чтобы добыть Вашу информацию. Поэтому будьте осторожны и придерживайтесь "Первой заповеди" разведчика - НЕ ПОПАДИСЬ!