Undeletion - Undeletion
Undeletion je funkce pro obnovení počítačové soubory , které byly odstraněny ze souborového systému by smazání souborů . Odstraněná data lze obnovit na mnoha souborových systémech, ale ne všechny systémy souborů poskytují funkci obnovení. Obnova dat bez možnosti vymazání se obvykle nazývá obnova dat , nikoli obnovení . Odstranění může jednak zabránit uživatelům v neúmyslné ztrátě dat , nebo může představovat riziko pro zabezpečení počítače , protože uživatelé si nemusí být vědomi toho, že odstraněné soubory zůstávají přístupné.
Podpěra, podpora
Ne všechny souborové systémy nebo operační systémy podporují odstranění. Undeletion is possible on all FAT file systems, with undeletion utilities provided since MS-DOS 5.0 and DR DOS 6.0 in 1991. To is not supported by most modern UNIX file systems, though AdvFS is a notable exception. Systém souborů ext2 má doplňkový program s názvem e2undel, který umožňuje odstranění souborů. Podobný souborový systém ext3 oficiálně nepodporuje undeletion, ale nástroje jako ext4magic, extundelete, PhotoRec a ext3grep byly napsány za účelem automatizace obnovy na svazcích ext3 . Undelete byl navržen v ext4 , ale je zatím implementován. Funkce odpadkového koše však byla zaslána jako oprava 4. prosince 2006. Funkce Košového koše používá atributy undelete v souborových systémech ext2/3/4 a Reiser.
Nástroje příkazového řádku
Nástroje Norton
Norton UNERASE byl důležitou součástí Norton Utilities verze 1.0 v roce 1982.
MS-DOS
Společnost Microsoft zahrnula podobný program UNDELETE ve verzích 5.0 až 6.22 systému MS-DOS , ale v pozdějších operačních systémech využívajících FAT místo toho použila přístup Recycle Bin .
DR DOS
DR DOS 6.0 a vyšší podporují také UNDELETE, ale volitelně nabízejí další ochranu pomocí nástroje FAT snapshot DISKMAP a rezidentní komponenty DELWATCH pro sledování mazání, která aktivně udržuje data a časová razítka odstraněných souborů a chrání obsah smazaných souborů před přepsáním, pokud nedostatek místa na disku. DELWATCH také podporuje zrušení vzdálených souborů na souborových serverech. Od verze Novell DOS 7 bude jádro ukládat první písmeno odstraněných souborů do položek adresáře, aby dále pomohlo nástrojům pro odstranění při obnově původního názvu.
PTS-DOS
PTS-DOS nabízí stejnou funkci, kterou lze konfigurovat podle směrnice SAVENAME CONFIG.SYS .
FreeDOS
FreeDOS verze UNDELETE vyvinul Eric Auer a je pod licencí GPL .
Grafické programy
Grafická uživatelská prostředí často přistupují k odstraňování jiným způsobem, místo toho používají "oblast přidržení" pro mazání souborů. Nežádoucí soubory se přesouvají do této zadržovací oblasti a všechny soubory v úložné oblasti se pravidelně nebo na žádost uživatele odstraní. Tento přístup používá koš v operačních systémech Macintosh a koš v systému Microsoft Windows . Toto je přirozené pokračování přístupu, který zvolily dřívější systémy, například skupina limbu používaná LocoScriptem . Tento přístup nepodléhá riziku, že ostatní soubory zapsané do souborového systému velmi rychle naruší odstraněný soubor; trvalé vymazání proběhne podle předvídatelného plánu nebo pouze s ručním zásahem.
Další přístup nabízejí programy jako Norton GoBack (dříve Roxio GoBack ): část místa na pevném disku je vyhrazena pro zaznamenávání operací úpravy souborů takovým způsobem, že je lze později vrátit zpět. Tento proces je obvykle mnohem bezpečnější při obnově odstraněných souborů než operace odstranění, jak je popsáno níže.
Podobně lze souborové systémy podporující „snímky“ (jako ZFS nebo btrfs ) použít k vytváření snímků celého systému souborů v pravidelných intervalech (např. Každou hodinu), což umožňuje obnovu souborů z dřívějšího snímku.
Omezení
Odstranění není bezpečné z hlediska selhání. Obecně platí, že čím dříve dojde k pokusu o zrušení, tím je pravděpodobnější, že bude úspěšný. Důvodem je, že čím více je systém používán, tím více dat je zapsáno na disk a potenciálně přiděleno tomuto odstraněnému prostoru. Fragmentace odstraněného souboru může také snížit pravděpodobnost obnovy v závislosti na typu systému souborů (viz níže). Fragmentovaný soubor je rozptýlen po různých částech disku, místo aby byl v souvislé oblasti.
Mechanika
Fungování undeletionu závisí na souborovém systému, ve kterém byl odstraněný soubor uložen. Některé souborové systémy, jako například HFS , nemohou poskytovat funkci odstranění, protože nejsou uchovávány žádné informace o odstraněném souboru (kromě dodatečného softwaru, který obvykle není k dispozici). Některé souborové systémy však nevymaže všechny stopy odstraněného souboru, včetně souborových systémů FAT:
Systémy souborů FAT
Když je soubor „odstraněn“ pomocí systému souborů FAT , položka adresáře zůstane téměř beze změny, kromě prvního znaku názvu souboru, přičemž zůstane zachována většina názvu „odstraněného“ souboru spolu s jeho časovým razítkem, délkou souboru a - většinou co je důležité - jeho fyzické umístění na disku. Seznam klastrů disků obsazených souborem však bude vymazán z tabulky přidělení souborů a označí sektory dostupné pro použití jinými soubory vytvořenými nebo následně upravenými. V případě FAT32 je navíc vymazáno pole zodpovědné za horních 16 bitů hodnoty počátečního klastru souboru.
Při pokusu o zrušení operace musí být pro úspěšné obnovení souboru splněny následující podmínky:
- Položka odstraněného souboru musí stále existovat v adresáři, což znamená, že ještě nesmí být přepsána novým souborem (nebo složkou), který byl vytvořen ve stejném adresáři. Zda je tomu tak, lze poměrně snadno zjistit kontrolou, zda je v adresáři stále přítomen zbývající název souboru, který má být odstraněn.
- Klastry dříve používané odstraněným souborem nesmí být dosud přepsány jinými soubory. To lze docela dobře ověřit kontrolou, že klastry nejsou označeny jako použité v tabulce přidělování souborů . Pokud však mezitím byl na disk pomocí těchto sektorů zapsán nový soubor a poté znovu odstraněn, čímž se tyto sektory znovu uvolní, program undeletion to nemůže automaticky detekovat. V takovém případě může operace odstranění, i když se jeví jako úspěšná, selhat, protože obnovený soubor obsahuje jiná data.
- U zařízení FAT32 je dolních 16 bitů fyzické adresy obvykle zachováno v záznamu adresáře, ale vysoké bity adresy jsou vynulovány. Mnoho programů pro obnovu tuto skutečnost ignoruje a nedokáže správně obnovit data.
Šance na obnovu odstraněných souborů je u FAT12 a FAT16 často vyšší ve srovnání se svazky FAT32 kvůli typicky větším velikostem klastrů používaných dřívějšími systémy a kvůli ztrátě horních 16 bitů adresy logického klastru pro FAT32.
Pokud program pro odstranění nemůže detekovat jasné známky toho, že výše uvedené požadavky nejsou splněny, obnoví položku adresáře jako používanou a označí všechny po sobě jdoucí klastry, počínaje tím, jak byl zaznamenán ve staré položce adresáře, jak byl použit v přidělování souborů Tabulka . Je pak na uživateli, aby obnovený soubor otevřel a ověřil, že obsahuje úplná data dříve odstraněného souboru.
Obnovení fragmentovaných souborů (po prvním fragmentu) proto není normálně možné automatickými procesy, pouze ručním prozkoumáním každého (nepoužitého) bloku disku. To vyžaduje podrobné znalosti systému souborů a také binárního formátu obnovovaného typu souboru, a proto jej provádějí pouze specialisté na obnovu nebo forenzní odborníci.
Systémy souborů NTFS
NTFS ukládá informace o souborech jako sadu záznamů pevné velikosti (obvykle 1 kB) v rámci takzvané tabulky hlavních souborů (MFT). Název souboru a informace o přidělení souboru jsou zapouzdřeny do těchto záznamů a poskytují úplné informace o každém konkrétním souboru. Když systém odstraní soubor, položka v tabulce hlavních souborů bude uvolněna, aby byla odpojena nebo znovu použita, ale stále zůstane na disku. Dokud není záznam MFT znovu použit nebo přepsán, lze soubor snadno obnovit: Software pro obnovu dat dokáže najít „ztracený“ záznam MFT a odvodit z něj úplné informace o ztraceném souboru.
Všimněte si však, že když je povolena funkce SSD TRIM , obsah souboru může být zničen krátce po vymazání, aby bylo možné znovu použít buňky paměti SSD. To znemožňuje obnovu obsahu souboru (na disku zůstane pouze název, datum a velikost souboru).
Prevence
Vymazání dat je termín, který označuje softwarové metody prevence odstranění souboru.