Khôi phục dữ liệu đã bị xóa vĩnh viễn

Chia sẻ: chien_than_ares

Chúng ta th ng nghĩ r ng nh ng file đã b xoá ườ ằ ữ ị mà bị gỡ bỏ (REMOVE) khỏi Recycle bin sẽ ra đi mãi mãi. Thực tế không phải vậy. Với những phần cứng và phần mềm đặc biệt, bạn có thể khôi phục gần như hầu hết các file đó, kể cả khi dữ liệu bị ghi chông (Overwritten), ổ đĩa bị Format lại, vùng khởi động bị hư hay mạch điều khiển ổ đĩa không hoạt động. Đây là những tin tốt lành cho nếu bạn cần khôi phục lại những thông tin quan trọng, nhưng là tin...

Nội dung Text: Khôi phục dữ liệu đã bị xóa vĩnh viễn

Chúng ta thường nghĩ rằng những file đã bị xoá mà bị gỡ bỏ (REMOVE) khỏi Recycle
bin sẽ ra đi mãi mãi. Thực tế không phải vậy. Với những phần cứng và phần mềm
đặc biệt, bạn có thể khôi phục gần như hầu hết các file đó, kể cả khi dữ liệu bị ghi
chông (Overwritten), ổ đĩa bị Format lại, vùng khởi động bị hư hay mạch điều khiển ổ
đĩa không hoạt động. Đây là những tin tốt lành cho nếu bạn cần khôi phục lại những
thông tin quan trọng, nhưng là tin xấu nếu bạn muốn ngăn ngừa những kẻ khác đọc dữ
liệu cá nhân của mình.

Để tìm hiểu các khôi phục dữ liệu đã bị xoá, trước tiên bạn phải hiểu nó được lưu trữ
như thế nào. Một ổ cứng (HDD) thường có nhiều mặt đĩa( platter). Dữ liệu được lưu
trên các platter trong các vòng tròn đồng tâm, còn gọi là rãnh ghi (track). Các đầu
đọc/ghi di chuyển trên bề mặt các đĩa để truy xuất dữ liệu trên HDD. Do dữ liệu có
thể truy nhập trực tiếp bất kỳ nơi nào trên HDD, các file hay các mảnh file cũng được
lưu giữ bất kỳ nơi nào trên ổ.

Dữ liệu được lưu trên HDD trong các cluster (liên cung). Kích thước của các cluster rất
khác nhau theo hệ điều hành và kích thước của dung lượng logic. Nếu HDD có kích
thước cluster là 4k, thì một file dù chỉ 1k cũng chiếm tới 4k. Một file lớn có thể chứa
hàng trăm hoặc hàng nghìn cluster, nằm rải rác trên khắp HDD. Dữ liệu nằm rải rác
trên HDD được theo dõi và quản lý bởi thành phần hệ thống file của hệ điều hành.

Hiện nay có 3 loại hệ thống file HDD được sử dụng trong Windows của Microsoft là
FAT( File Allocation Table - bảng phân bố tệp) được giới thiệu với DOS; FAT32
được giới thiệu với Win95 và NTFS( hệ thống file công nghệ mới) được đưa ra với
WINNT 4.0. Tất cả 3 hệ thống này sử dụng một chiến lược cơ bản giống nhau. Một
mục liệt kê các file trên ổ và chứa một con trỏ (pointer) đến cluster khởi đầu (starting
cluster) chưa phần khởi đầu của file. Mục nhập FAT (FAT entry) của cluster khởi đầu
chứa một pointer đến liên cung sau và nối tiếp cho đến vạch dấu cuối cùng của file.

Phục hồi dữ liệu

Khi bạn xóa file qua thao tác Windows thông thường, fiel đó không thực sự bị xóa bỏ.
Nếu bạn xóa file qua Windows Explorer, file đó sẽ được chuyển đến Recycle
Bin(thùng rác). Nhưng kể cả nếu bạn xóa rỗng (empty) thùng rác, file đó vẫn còn trên
HDD. Ký tự đầu tiên của tên file được thay đổi thành ký tự đặc biệt và các cluster
chứa dữ liệu đó bị đánh dấu, nhưng dữ liệu vẫn còn. Lần sau bạn save một file, các
cluster có thể được sử dụng đẻ lưu dữ liệu mới, ghi chồng lên dữ liệu cũ. Tuy nhiên,
kể cả khi đã bị ghi chồng, dữ liệu bị ghi chồng vẫn hoàn toàn nguyên vẹn. Bạn có thể
truy lục lại dữ liệu bị ghi chồng bằng sử dụng trình tiện ích phớt lờ hệ điều hành và
đọc trực tiếp vào HDD. Một số trình tiện ích khôi phục dữ liệu: EasyRecovery Lite 6.0
(có thể download tại [Chỉ những thành viên đã đăng ký và kích hoạt mới có thể thấy
liên kết]); FileRestore ([Chỉ những thành viên đã đăng ký và kích hoạt mới có thể thấy
liên kết]); O&O UnErase ([Chỉ những thành viên đã đăng ký và kích hoạt mới có thể
thấy liên kết]) và Undelete 3.0 ([Chỉ những thành viên đã đăng ký và kích hoạt mới có
thể thấy liên kết] ).
Nếu muốn phục hồi file đã vô tình xoá đi, bạn phải cẩn thận không ghi chồng lên nó.
Ngừng sử dụng máy tính ngay và không save bất cứ cái gì vào đĩa. Thậm chí không cài
chương trình phục hồi, do mọi thứ được ghi đến HDD có thể sử dụng các cluster của
file mà bạn muốn phục hồi. Nếu chương trình phục hồi chưa cài đặt, chạy nó từ ổ
mềm

Phục hồi dữ liệu bị ghi chồng

Khi một file bị ghi chồng, có thể bạn không truy nhập được file đó bằng phần mềm.
Những điều đó không có nghĩa là dữ liệu đó không thể khôi phục. Có 1 cách để đọc dữ
liệu bị ghi chồng trên HDD.

Khi đầu đọc/ghi ghi một bit lên ổ, nó chỉ cung cấp độ dài tín hiệu đủ để tạo thành bit
đó, do đó các vùng gần kề không bị ảnh hưởng. Khi bit 0 được ghi chồng bằng bit 1,
độ dài tín hiệu yếu hơn so với khi giá trị trước đó là 1. Phần cứng đặc biệt có thể phát
hiện độ dài tín hiệu một cách chính xác. Bằng cách subtract (trừ) một phiên bản hoàn
chỉnh của tín hiệu đó, bạn có thể có hình ảnh ghost (hình ma) của dữ liệu cũ. Tiến
trình này có thể lặp lại đến 7 lần, do đó để đảm bao triệt tiêu hoàn toàn hình ảnh ghost
làm cho dữ liệu bị xoá không thể khôi phục lại, dữ liệu đó phải được ghi chồng hơn 7
lần, mỗi lần với một dữ liệu ngẫu nhiên.

Huỷ dữ liệu vĩnh viễn

Dữ liệu có thể khôi phục lại rất dễ dàng, nếu bạn thực sự muốn xoá đi vĩnh viễn thì
dưới đây là các biện pháp. Tiêu chuẩn của Bộ Quốc Phòng Mỹ đối với việc xóa bớt
dữ liệu HDD yêu cầu ghi chồng 3 lần, đầu tiên với 1 ký tự 8 bít dơn sau đó với phần
bổ sung của ký tự đó với phần bổ sung của ký tự đó (0 cho 1 và ngược lại) và cuối
cùng là các ký tự ngẫu nhiên. Tuy nhiên, phương pháp này vẫn chưa được công nhận
là an toàn với các thông tin tuyệt mật. Để xoa an toàn nhất với những thông tin tuyệt
mật, những phương tiện lưu trữ thông tin phải được giải từ (khử từ) hoặc phá vật lý.
Song với đa số người sử dụng thông thường, phương pháp ghi chồng là đủ đảm bảo
an toàn.

Những nơi bí mật dữ liệu có thể ẩn náu

Xoá và ghi chồng các file sẽ không loại bỏ tất cả những thông tin nhạy cảm khỏi
HDD. Bạn phải làm sạch từng cung từ (sector), từng phân khúc (segment) 512 bytes
tạo thành cluster, vì dữ liệu có thể nấp trong những nơi không ngờ tới. Dữ liệu ngẫu
nhiên còn gọi là phần trùng của file (file slack), thường cư ngụ ở nơi cuối cùng của
một file lớn. Nhiều chương trình xoá an toàn không xoá hết file slack, là nơi có thể
chứa nhiều thông tin cá nhân.
Với hệ thống file NTFS (mặc định trên Windows NT 4.0 , 2000 và XP), các file chứa
nhiều stream. Một stream giữ thông tin về quyền truy nhập và stream thứ hai chứa dữ
liệu file thực. Ngoài ra, NTFS còn có các stream dữ liệu thay thế (ADS - Alternative
Data Stream) lưu giữ hầu như mọi thứ. Việc sử dụng ADS phổ biến nhất là để lưu
giữ các hình nhỏ (thumbnail) của file ảnh. Do nhiều chương trình xoa an toàn thất bại
trong việc xoá đi ADS, nên các hình nhỏ vẫn có thể phục hồi được.

Tội phạm biết cách sử dụng ADS để dấu dữ liệu hay virus trên HDD. Nếu một bad
sector được phát hiện trong quá trình format ở mức cao, toàn bộ cluster chưa bad sector
đó được đành dấu là lỗi. Nhưng cluster lỗi trong đó có chứa những sector không lỗi
trong đó tội phạm có thể dấu dữ liệu.

Trên các ổ cứng cũ, dữ liệu cũng có thể được dấu trong những kẽ hở của sector
(sector gap). Mỗi rãnh ghi có số lượng sector như nhau, nhưng chu vi của các rãnh ghi
bên ngoài lớn hơn nhiều so với chu vi của các rãnh ghi bên trong, tạo ra các kẽ hở giữa
các rãnh ghi. Những kẽ hở này có thể được sử dụng để cất dữ liệu nguy hiểm. Các ổ
cứng mới xoá bỏ những kẽ hở thừa thãi này bằng một công nghệ gọi là ghi theo vùng
(zone recording), điều chỉnh số lượng sector phụ thuộc vào vị trí của rãnh ghi.

Để truy nhập các vùng dữ liệu ẩn nấp này trên HDD, bạn cần phớt lờ hệ điều hành,
như phần mềm EnCase Forensic Edition ([Chỉ những thành viên đã đăng ký và kích
hoạt mới có thể thấy liên kết] ) và Directory Snoop ([Chỉ những thành viên đã đăng ký
và kích hoạt mới có thể thấy liên kết]™ ).

Sử dụng dữ liệu an toàn

Bạn phải luôn nhớ là phục hồi dữ liệu dễ hơn là xoá chúng vĩnh viễn. Nếu bạn đã vô
tình xoá một file quan trọng, chuyện phục hồi tương đối đơn giản. Vì vậy, nếu bạn
muốn bán máy tính hay HDD cũ, nên sử dụng các tiện ích xoá an toàn để ghi chồng lên
mọi sector trên HDD. Nhớ rằng format lại cũng không thể ghi chồng lên mọi sector và
những thông tin cá nhân vẫn có thể phục hồi
Mình dùng Revo Uninstaller xóa cực sạch luôn,đây là các tính năng chính:

Revo Uninstaller là một tiện ích miễn phí được đổi mới giúp gỡ bỏ các chương trình.
Revo Uninstaller không chỉ thay thế cho trình Add/Remove thông thường của Windows
mà còn gồm các công cụ khác giúp bạn quét sạch hệ thống Windows.

Với "Hunter mode" ("Chế độ săn lùng") có một không hai, nó đem lại cho bạn những
cách giải quyết thật đơn giản, dễ sử dụng nhưng thật hiệu quả và mạnh mẽ để quản
lí (uninstall, dừng lại, xoá, vô hiệu hoá việc tự động khởi động) và lấy thông tin về
những chương trình đã cài đặt và/hoặc đang chạy. Nhiều công cụ bổ sung khác đi kèm
với Revo Uninstaller.

Dưới đây là danh sách các công cụ và tiện ích đi kèm:

- Quản lí việc tự động khởi động.
- Quản lí các công cụ cho Windows.
- Xoá các file rác - Junk Files Cleaner.
- Xoá history trình duyệt.
- Xoá history các tiện ích văn phòng.
- Xoá history Windows.
- Công cụ xoá vĩnh viễn không thể phục hồi - Unrecoverable Delete.
- Xoá dấu vết.
Đề thi vào lớp 10 môn Toán |  Đáp án đề thi tốt nghiệp |  Đề thi Đại học |  Đề thi thử đại học môn Hóa |  Mẫu đơn xin việc |  Bài tiểu luận mẫu |  Ôn thi cao học 2014 |  Nghiên cứu khoa học |  Lập kế hoạch kinh doanh |  Bảng cân đối kế toán |  Đề thi chứng chỉ Tin học |  Tư tưởng Hồ Chí Minh |  Đề thi chứng chỉ Tiếng anh
Theo dõi chúng tôi
Đồng bộ tài khoản