Восстановление данных

Чем отличается посредственный сыщик от хорошего?

Первый будет работать только с тем, что имеет. А второй задаст себе вопрос: а что еще у меня есть, кроме того, что я вижу? И от ответа на этот вопрос очень многое зависит.

Теперь в практическую плоскость

Когда у бармалея забирают нажитый непосильным трудом ноутбук жесткий диск, его начинают потрошить. Смотрят логи, историю браузера, последние документы в Офисе, фавиконы и многое другое. Но если наш персонаж выглядит белым и пушистым, так ли это на самом деле? И тут в игру вступает тот самый хороший сыщик, который начинает искать то, что он не видит. А именно – затертые файлы.

С памятью все непросто. Вот вы закинули файл в корзину и стерли – думаете он пропал? А вот и нет, он живее всех живых, ну по меньшей мере в ближайшее время. Чтобы разобраться в принципах работы памяти, надо понять, как работает жесткий диск. Если коротко – жесткий диск – это хитрая болванка (похожа на многослойный пирог из CD-RW дисков), состоящая из ячеек памяти, в которые лазером выжигают информацию. Те самые условные нули и единицы. Поэтому удалив файл в операционной системе жесткий диск не бежит его затирать, а просто переводит ранее занятые ячейки в очередь свободных к записи. И как только настанет их время – их перезапишут. А до тех пор даже удаленный файл существует в суперпозиции. Он вроде уже и стерт, но вроде еще и нет.

Неприятно, да?

Если HDD у вас большой, то может и давно удаленный компромат 3-летней давности сохранился? Или еще что похуже? Ан нет. Файл размазан по диску тонким слоем, поэтому часть ячеек уже наверняка перезаписалась. Особенно если диск вы используете с особой жестокостью активностью. Даже если восстановить сохраненные секторы – файл будет поврежденным и, скорее всего, нечитаемым. Кстати, чтобы собрать файл на диске воедино и ускорить работу системы делают дефрагментацию.

А что с SSD?

С ними все интереснее. У них есть функция TRIM (включите, если еще этого не сделали). Она не просто создает очередь на перезапись, но и в свободное от работы время затирает данные из ячеек, в которых были кусочки нужного нам файла. И делает она это очень шустро. Так что, даже если файл и был в целом состоянии некоторое время, очень-очень скоро его потрут. Помните как Танос развеял по ветру половину населения Вселенной? Вот тут примерно та-же история. Только с файлами. И без возможности восстановления путем путешествий во времени. Так что с SSD и включенным TRIM можно восстановления особо не бояться. Шансов мало.

Что делать?

Покупать SSD и всего делов. Так что тут без изысков. А если у вас HDD – зачищайте диск CCleaner или аналогом. Он все сектора диска перезапишет случайными данными. На всякий случай, следуя зову здоровой паранойи, рекомендуется сделать несколько проходов. А если хотите проверить себя – попробуйте решение от R-Studio. Найдете много чего интересного, может даже поностальгируете!

По ссылке можно приобрести программное обеспечение для восстановления дисков и инструмент для восстановления жесткого диска. Благодаря представленным технологиям восстановления данных, R-STUDIO является хорошим решением для восстановления данных с разделов NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ и APFS (Macintosh), XFS, Little и Big Endian вариантов UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) и Ext2/Ext3/Ext4 FS (Linux). Он также использует восстановление файлов в сыром виде (сканирование известных типов файлов) для сильно поврежденных или неизвестных файловых систем. Он работает на локальных и сетевых дисках, даже если такие разделы отформатированы, повреждены или удалены. Посмотрите, возможно будет интересно.

Утилиты R-Studio восстанавливают файлы:

• Удален без корзины или после ее очистки;
• Удален вирусной атакой или сбоем питания;
• После того, как раздел с файлами был переформатирован, даже под другую файловую систему;
• Восстановление данных, если: ВИРУС проник; FAT поврежден; MBR уничтожен; FDISK или другие дисковые утилиты были запущены;
• Если структура разделов на жестком диске была изменена или повреждена;
• Восстановление данных на поврежденных или удаленных разделах;
• С жесткого диска с поврежденными секторами;

При необходимости R-Studio также может стереть данные на жестких дисках, чтобы предотвратить случайную утечку данных, когда диски будут проданы, переданы или утилизированы иным образом.

Поддержка для:

• Схемы размещения разделов Basic(MBR), GPT, BSD(UNIX), APM(Apple partition map);
• Поддержка шифрования диска BitLocker, как для томов BitLocker Drive Encryption, так и для томов BitLocker ToGo;
• Динамические тома, дисковые пространства Windows (Windows 2000-2022/8.1/10/11);
• Программные RAID-массивы Apple, CoreStorage, File Vault и Fusion Drive;
• Диспетчер логических томов Linux (LVM/LVM2) и RAID-массивы mdadm;
• Программные RAID-массивы Intel;

• • Поддержка форматов файлов VMDK/VHD/VHDX/VDI. Только чтение для всех версий, создание для версий Technician/T80+.
  • Поддержка только чтения для файлов dmg (образ диска Apple: все версии), файлов E01/(EWF) (формат файла эксперта-свидетеля: R-Studio Technician/T80+) и файлов AFF (расширенный формат судебной экспертизы: R-Studio Technician/T80+).

Всем безопасности!

Источник  «Новости конкурентной разведки» — Telegram-канал, посвященный новостям в сфере конкурентной разведки, утечкам данных и социальной инженерии.