Cách khôi phục dữ liệu bị xoá và cách xoá vĩnh viễ
Chúng ta thường nghĩ rằng những file đã bị xoá mà bị gỡ bỏ (REMOVE) khỏi Recycle bin sẽ ra đi mãi mãi. Thực tế không phải vậy. Với những phần cứng và phần mềm đặc biệt, bạn có thể khôi phục gần như hầu hết các file đó, kể cả khi dữ liệu bị ghi chông (Overwritten), ổ đĩa bị Format lại, vùng khởi động bị hư hay mạch điều khiển ổ đĩa không hoạt động. Đây là những tin tốt lành cho nếu bạn cần khôi phục lại những thông tin quan trọng, nhưng là tin xấu nếu bạn muốn ngăn ngừa những kẻ khác đọc dữ liệu cá nhân của mình.
Để tìm hiểu các khôi phục dữ liệu đã bị xoá, trước tiên bạn phải hiểu nó được lưu trữ như thế nào. Một ổ cứng (HDD) thường có nhiều mặt đĩa( platter). Dữ liệu được lưu trên các platter trong các vòng tròn đồng tâm, còn gọi là rãnh ghi (track). Các đầu đọc/ghi di chuyển trên bề mặt các đĩa để truy xuất dữ liệu trên HDD. Do dữ liệu có thể truy nhập trực tiếp bất kỳ nơi nào trên HDD, các file hay các mảnh file cũng được lưu giữ bất kỳ nơi nào trên ổ.
Dữ liệu được lưu trên HDD trong các cluster (liên cung). Kích thước của các cluster rất khác nhau theo hệ điều hành và kích thước của dung lượng logic. Nếu HDD có kích thước cluster là 4k, thì một file dù chỉ 1k cũng chiếm tới 4k. Một file lớn có thể chứa hàng trăm hoặc hàng nghìn cluster, nằm rải rác trên khắp HDD. Dữ liệu nằm rải rác trên HDD được theo dõi và quản lý bởi thành phần hệ thống file của hệ điều hành.
Hiện nay có 3 loại hệ thống file HDD được sử dụng trong Windows của Microsoft là FAT( File Allocation Table - bảng phân bố tệp) được giới thiệu với DOS; FAT32 được giới thiệu với Win95 và NTFS( hệ thống file công nghệ mới) được đưa ra với WINNT 4.0. Tất cả 3 hệ thống này sử dụng một chiến lược cơ bản giống nhau. Một mục liệt kê các file trên ổ và chứa một con trỏ (pointer) đến cluster khởi đầu (starting cluster) chưa phần khởi đầu của file. Mục nhập FAT (FAT entry) của cluster khởi đầu chứa một pointer đến liên cung sau và nối tiếp cho đến vạch dấu cuối cùng của file.
Phục hồi dữ liệu
Khi bạn xóa file qua thao tác Windows thông thường, fiel đó không thực sự bị xóa bỏ. Nếu bạn xóa file qua Windows Explorer, file đó sẽ được chuyển đến Recycle Bin(thùng rác). Nhưng kể cả nếu bạn xóa rỗng (empty) thùng rác, file đó vẫn còn trên HDD. Ký tự đầu tiên của tên file được thay đổi thành ký tự đặc biệt và các cluster chứa dữ liệu đó bị đánh dấu, nhưng dữ liệu vẫn còn. Lần sau bạn save một file, các cluster có thể được sử dụng đẻ lưu dữ liệu mới, ghi chồng lên dữ liệu cũ. Tuy nhiên, kể cả khi đã bị ghi chồng, dữ liệu bị ghi chồng vẫn hoàn toàn nguyên vẹn. Bạn có thể truy lục lại dữ liệu bị ghi chồng bằng sử dụng trình tiện ích phớt lờ hệ điều hành và đọc trực tiếp vào HDD. Một số trình tiện ích khôi phục dữ liệu: EasyRecovery Lite 6.0 (có thể download tại
www.ontrack.com); FileRestore (
www.winternals.com); O&O UnErase (
www.oo-software.com) và Undelete 3.0 (
www.executivesoftware.com ).
Nếu muốn phục hồi file đã vô tình xoá đi, bạn phải cẩn thận không ghi chồng lên nó. Ngừng sử dụng máy tính ngay và không save bất cứ cái gì vào đĩa. Thậm chí không cài chương trình phục hồi, do mọi thứ được ghi đến HDD có thể sử dụng các cluster của file mà bạn muốn phục hồi. Nếu chương trình phục hồi chưa cài đặt, chạy nó từ ổ mềm
Phục hồi dữ liệu bị ghi chồng
Khi một file bị ghi chồng, có thể bạn không truy nhập được file đó bằng phần mềm. Những điều đó không có nghĩa là dữ liệu đó không thể khôi phục. Có 1 cách để đọc dữ liệu bị ghi chồng trên HDD.
Khi đầu đọc/ghi ghi một bit lên ổ, nó chỉ cung cấp độ dài tín hiệu đủ để tạo thành bit đó, do đó các vùng gần kề không bị ảnh hưởng. Khi bit 0 được ghi chồng bằng bit 1, độ dài tín hiệu yếu hơn so với khi giá trị trước đó là 1. Phần cứng đặc biệt có thể phát hiện độ dài tín hiệu một cách chính xác. Bằng cách subtract (trừ) một phiên bản hoàn chỉnh của tín hiệu đó, bạn có thể có hình ảnh ghost (hình ma) của dữ liệu cũ. Tiến trình này có thể lặp lại đến 7 lần, do đó để đảm bao triệt tiêu hoàn toàn hình ảnh ghost làm cho dữ liệu bị xoá không thể khôi phục lại, dữ liệu đó phải được ghi chồng hơn 7 lần, mỗi lần với một dữ liệu ngẫu nhiên.
Huỷ dữ liệu vĩnh viễn
Dữ liệu có thể khôi phục lại rất dễ dàng, nếu bạn thực sự muốn xoá đi vĩnh viễn thì dưới đây là các biện pháp. Tiêu chuẩn của Bộ Quốc Phòng Mỹ đối với việc xóa bớt dữ liệu HDD yêu cầu ghi chồng 3 lần, đầu tiên với 1 ký tự 8 bít dơn sau đó với phần bổ sung của ký tự đó với phần bổ sung của ký tự đó (0 cho 1 và ngược lại) và cuối cùng là các ký tự ngẫu nhiên. Tuy nhiên, phương pháp này vẫn chưa được công nhận là an toàn với các thông tin tuyệt mật. Để xoa an toàn nhất với những thông tin tuyệt mật, những phương tiện lưu trữ thông tin phải được giải từ (khử từ) hoặc phá vật lý. Song với đa số người sử dụng thông thường, phương pháp ghi chồng là đủ đảm bảo an toàn.
Những nơi bí mật dữ liệu có thể ẩn náu
Xoá và ghi chồng các file sẽ không loại bỏ tất cả những thông tin nhạy cảm khỏi HDD. Bạn phải làm sạch từng cung từ (sector), từng phân khúc (segment) 512 bytes tạo thành cluster, vì dữ liệu có thể nấp trong những nơi không ngờ tới. Dữ liệu ngẫu nhiên còn gọi là phần trùng của file (file slack), thường cư ngụ ở nơi cuối cùng của một file lớn. Nhiều chương trình xoá an toàn không xoá hết file slack, là nơi có thể chứa nhiều thông tin cá nhân.
Với hệ thống file NTFS (mặc định trên Windows NT 4.0 , 2000 và XP), các file chứa nhiều stream. Một stream giữ thông tin về quyền truy nhập và stream thứ hai chứa dữ liệu file thực. Ngoài ra, NTFS còn có các stream dữ liệu thay thế (ADS - Alternative Data Stream) lưu giữ hầu như mọi thứ. Việc sử dụng ADS phổ biến nhất là để lưu giữ các hình nhỏ (thumbnail) của file ảnh. Do nhiều chương trình xoa an toàn thất bại trong việc xoá đi ADS, nên các hình nhỏ vẫn có thể phục hồi được.
Tội phạm biết cách sử dụng ADS để dấu dữ liệu hay virus trên HDD. Nếu một bad sector được phát hiện trong quá trình format ở mức cao, toàn bộ cluster chưa bad sector đó được đành dấu là lỗi. Nhưng cluster lỗi trong đó có chứa những sector không lỗi trong đó tội phạm có thể dấu dữ liệu.
Trên các ổ cứng cũ, dữ liệu cũng có thể được dấu trong những kẽ hở của sector (sector gap). Mỗi rãnh ghi có số lượng sector như nhau, nhưng chu vi của các rãnh ghi bên ngoài lớn hơn nhiều so với chu vi của các rãnh ghi bên trong, tạo ra các kẽ hở giữa các rãnh ghi. Những kẽ hở này có thể được sử dụng để cất dữ liệu nguy hiểm. Các ổ cứng mới xoá bỏ những kẽ hở thừa thãi này bằng một công nghệ gọi là ghi theo vùng (zone recording), điều chỉnh số lượng sector phụ thuộc vào vị trí của rãnh ghi.
Để truy nhập các vùng dữ liệu ẩn nấp này trên HDD, bạn cần phớt lờ hệ điều hành, như phần mềm EnCase Forensic Edition (
www.guidance-software.com ) và Directory Snoop (
www.briggsoft.com/dsoop.h
).
Sử dụng dữ liệu an toàn
Bạn phải luôn nhớ là phục hồi dữ liệu dễ hơn là xoá chúng vĩnh viễn. Nếu bạn đã vô tình xoá một file quan trọng, chuyện phục hồi tương đối đơn giản. Vì vậy, nếu bạn muốn bán máy tính hay HDD cũ, nên sử dụng các tiện ích xoá an toàn để ghi chồng lên mọi sector trên HDD. Nhớ rằng format lại cũng không thể ghi chồng lên mọi sector và những thông tin cá nhân vẫn có thể phục hồi.
Đ.D (Theo PC Mag)
