[psac]

本文將講述如何找回誤刪除的資料以及如何徹底刪除硬碟上的資料

如果僅僅依靠Windows自身所附帶的那些工具，你將無法挽回已經從「資源回收桶」中清空的被刪除文件。但實際上還有別的辦法。

即便是資料已經被覆蓋、硬碟被重新格式化、啟始扇區遭到破壞或是磁牒控制器失靈，只要有專門的硬體和軟體，你就能恢復任何文件。

這是一把雙刃劍，如果你想要恢復至關重要的文件，這無疑是個好消息，但如果你想防止別人竊取你的私人資料，這將是一條壞消息。

不過我們剛才討論的只是理論上的可能性，實際上的解決方案將取決於你願意付出多少時間和金錢。

為了理解被刪除的資料如何被恢復，你必須首先理解它們是怎樣被存儲的。硬碟是由一組碟片構成。

資料被儲存在碟片的同心圓上，這些同心圓被稱為「磁軌」。硬碟的讀寫頭在碟片表面上方移動從而訪問硬碟的不同部分。

由於硬碟上任何地方的資料都能夠被直接訪問到，因此文件中的每一塊資料並不一定要按順序存放，它們可以儲存到任何地方。

一般來說，資料在硬碟上是按照簇來進行存放的。

簇的大小與操作系統以及邏輯分區的大小有關。
如果硬碟的簇大小為4K，那麼即便是1K的文件也要佔據4Kb的空間。而那些大文件則將由成百上千的簇來儲存，這些簇遍佈在整個硬碟中。

操作系統中的文件系統元件會管理和跟蹤這些分離的簇以保證文件的正確存取。

Microsoft Windows系統使用過的文件系統有三種。第一種是FAT（mbr），它早在DOS時代就開始被廣泛使用；FAT32是從Windows 95時代開始被採用的，而NTFS則是由Windows NT 4.0引入的。

這三種文件系統的基本組織原則是一致的。每個資料夾中存放著若干個文件，每個文件則包含了一個指向文件起始簇的游標。起始簇的FAT字段中包含了指向下一個簇的游標，依此類推，直到最後一個帶有文件結束標記的簇。

資料並未消失

如果你使用通常的Windows操作來刪除某個文件，實際上這些資訊並沒有被刪除。首先，如果你通過Windows檔案總管刪除文件，文件會被轉移到「資源回收桶」。


即便你清空「資源回收桶」，該檔案也只是僅僅被忽略而已。

該檔案名的第一個字母會被改成特殊字串，該檔案原先所佔用的簇會被標記為可用簇，但原來的資料並沒有馬上被刪除。直到下一次你儲存某個文件時，如果這些簇被用到，才會用新的資料覆蓋老的資料。在此之前，資料一直會保持完好無損。

如果使用一種工具來繞過操作系統對硬碟直接進行讀取就能取回這些資料。


在最近一次的資料恢復工具評測中我們考察了四個這樣的軟體（www.pcmag.com/print_article/0,3048, a=41827,00.asp）。我們把編輯選項獎授予了Kroll Ontrack公司的EasyRecovery Lite 6.0（www.ontrack.com）。

如果你想恢復某個不小心被刪除的重要文件，就必須注意不要去覆蓋它。你應該立刻停止使用電腦並且不要往硬碟上儲存任何資料，也不要試突安裝恢復工具，因為任何寫入硬碟的操作都有可能覆蓋你想要恢復的文件所在的簇。如果原來沒有安裝過恢復程序，就從軟碟或者光碟執行它。


如果資料被覆蓋

如果原來文件的資料被覆蓋，你就無法通過軟體來訪問它了。

但這並不意味著文件資料完全不能恢復。有兩種辦法可以用來讀取硬碟上被覆蓋的資料。

當硬碟讀寫頭在硬碟上寫入一位資料時，它使用的信號強度只是用來寫入一位資料，並不會影響到相鄰位的資料。

由於這個寫入信號並不是很強，因此你可以通過它寫入的資料位的絕對信號強度來判斷此前該資料位所儲存的是何種資料。換句話說，如果二進制資料0被二進制資料1所覆蓋，其信號強度會比二進制資料1被覆蓋要弱一些。

使用專門的硬體就可以檢測出準確的信號強度。把被覆蓋區域讀出的信號減去所覆蓋資料的標準信號強度，你就能獲得原先資料的一個副本。

更令人吃驚的是，這一恢復程序可以被重複7次！因此如果你想避免別人使用這種方法來竊取你的資料，你至少要覆蓋該區域7次，而且每次還應該使用不同的隨機資料。

第2種資料恢復技術則是利用了硬碟讀寫頭的另一個特點：讀寫頭每次進行寫操作的位置並不一定對得十分精確。這就能讓專家們在磁軌的邊緣偵測到原有的資料（也被稱為影子資料）。只有重複地覆寫資料才能消除這些磁軌邊緣的影子資料。



資料消除

瞭解到能夠恢復你的重要資料固然值得欣慰。但如果你希望這些資料永遠消失，恐怕就會是另一種心情了。
美國國防部在《國家工業安全程序操作手冊》中對硬碟資料清除作了專門的描述，這個安全標準被稱為DOD 5220.22-M（www.dss.mil/isec/nispom_0195.htm）。

該手冊建議對所要清除的資料區進行三次覆蓋，第一次使用一個8位的字串，第二次使用該字串的互補字串（即將二進制位的0、1互換），最後再使用隨機字串進行覆蓋。

這種方法能夠達到一定的安全級別，但對於極端重要的資料，其安全性仍然是不夠的。儲存有極端重要資料的硬碟應該被永久消磁或者徹底銷毀。

對大多數人來說，多次覆蓋的方法已經足夠安全了，而且很多工具都提供了對這種方法的支持。


隱藏的資料

刪除和覆蓋文件並不能徹底清除硬碟上所有的敏感資料。你必須清除每一個扇區（用來構成簇的512字元單元），因為資料有可能隱藏在你所沒有想到的地方。

在大文件的最後一個簇中，常常會儲存有隨機的資料。

因為文件的最後一部分寫入硬碟時並不一定能充滿整個扇區，因此系統會從記憶體中隨機找出一些資料進行填充，這些資料被稱為RAM碎片。

你很難預料這些RAM碎片中到底是何種資料，它可能是電腦最後一次啟動後檢視、新增或修改過的任何資訊。很多安全移除軟體都沒有正確擦除這些RAM碎片，而這些碎片中恰恰有可能包含了你的隱私資訊。

在NTFS系統中（Windows NT 4.0、2000和XP所使用的文件系統），一個文件包含多個資料流。
其中一個資料流包含了文件訪問權限資訊，另一個則包含了實際的文件資料。

另外，NTFS系統還支持附加的資料流（Alternative Data Streams，ADS），裡面可以儲存任何資訊。

ADS最一般的用途是儲存圖像文件的抓圖 。

由於很多安全移除程序無法擦除ADS，因此當包含圖像文件的資料流被刪除之後這些圖片抓圖 仍然能夠被訪問到。如果想瞭解如何避免儲存圖像抓圖 ，可以參考微軟知識庫的319300號文章（http://support.microsoft.com）。

潛在的危險

某些不法分子已經開始利用ADS在硬碟上隱藏某些資料或者病毒。

除此之外，硬碟上的另一些區域也可能會隱藏著某些資料。

通常硬碟的扇區在工廠進行低階格式化時就已經劃分完畢。

如果某個扇區被標記為壞扇區，那麼硬碟控制器就不會去寫入這些區域。

由扇區組成的簇是在進階格式化時被定義的。

如果在進階格式化期間發現壞扇區，那麼整個簇都會被標記為壞簇。

由於這個壞簇中並不是所有的扇區都無法讀寫，因此就給了不法分子可乘之機。

在更古老的硬碟中，資料還可能被隱藏在扇區間隙中。

老式硬碟的每個磁軌都包含相同數量的扇區，這樣一來外圈磁軌的扇區顯然要比裡圈磁軌的扇區大很多。


因此外圈磁軌的扇區之間較大的縫隙就可能被用來儲存隱藏的資料。

而現代的硬碟都採用了區域存取技術，每個磁軌的扇區數量並不相等，從而消除了這部分浪費的硬碟空間。

如果想訪問硬碟的這些隱藏區域，你需要使用能夠繞過操作系統直接進行硬碟存取操作的工具。專業的軟體可能會相當昂貴。

Guidance Software公司的EnCase Forensic Edition（www.guidancesoftware.com）的價格高達2495美元。

Briggs Softworks的Directory Snoop（www.briggsoft.com/dsnoop.htm）則相當便宜，只需29美元，它能夠提供低級磁牒訪問功能，但不支持NTFS文件系統。


如何保證安全

你需要記住的關鍵一點是，恢複數據遠比徹底刪除它要簡單。

如果你只是不小心刪掉了某個重要的文件，那麼你並不需要太過擔心，有很多辦法可以恢復它。

但如果你想轉讓一台用過的電腦或者硬碟的話，你最好使用安全移除工具來覆蓋硬碟的每一個扇區。


重新格式化硬碟並不能保證每個扇區都被覆蓋，那些隱私資訊仍然有可能被訪問到。


老式硬碟和現代硬碟的區別
在老式硬碟中，資料可能被隱藏在扇區間隙中

。老式硬碟的每個磁軌都包含相同數量的扇區，這樣一來外圈磁軌的扇區顯然要比裡圈磁軌的扇區大很多。

因此外圈磁軌的扇區之間較大的縫隙就可能被用來儲存隱藏的資料。

而現代的硬碟都採用了區域存取技術，每個磁軌的扇區數量並不相等，從而消除了這部分浪費的硬碟空間。