Tập tin mà bạn nghĩ rằng bạn đã xóa có thể vẫn còn trên ổ đĩa của bạn
Khi bạn xóa một tệp trên máy tính, điểm dừng đầu tiên thường là thư mục "thùng rác" hoặc "thùng rác" của hệ điều hành. Nó được đặt trong khu vực rác tạm thời này trong trường hợp bạn thay đổi ý định và sau đó bạn muốn truy xuất tệp .
Hầu hết mọi người cho rằng một khi họ thực hiện bước bổ sung "vĩnh viễn" xóa tệp khỏi thùng rác, thì giờ đây nó đã chính thức biến mất khỏi ổ cứng của họ và qua thời điểm phục hồi.
Những gì nhiều người không biết là có một khả năng mạnh mẽ rằng dữ liệu phục hồi có thể vẫn còn trên ổ đĩa cứng của họ ngay cả sau khi họ đã xóa các tập tin từ khu vực tái chế / thùng rác.
Nếu tôi xóa một tập tin, tại sao nó vẫn có thể được phục hồi?
Theo Wikipedia, Data Remanence là "đại diện còn lại của dữ liệu kỹ thuật số vẫn còn ngay cả sau khi các nỗ lực đã được thực hiện để loại bỏ hoặc xóa dữ liệu".
Khi bạn xóa một tệp, hệ điều hành có thể đơn giản xóa bản ghi con trỏ vào tệp, làm cho nó không thể truy cập được thông qua các công cụ duyệt tệp của hệ điều hành. Điều này không có nghĩa là dữ liệu thực tế đã từng bị xóa khỏi ổ đĩa.
Công cụ Forensics dữ liệu có thể giúp mang lại các tập tin từ người chết
Rất nhiều chuyên gia pháp y máy tính kiếm sống bằng cách hồi sinh các tập tin mà mọi người (kể cả tội phạm) có thể nghĩ rằng đã bị phá hủy. Họ sử dụng phần mềm phục hồi chuyên biệt quét các phương tiện truyền thông đĩa để nhận dữ liệu. Các công cụ đặc biệt này được tạo ra để bỏ qua các ràng buộc truyền thống được áp đặt bởi hệ điều hành và hệ thống tệp của nó. Các công cụ tìm kiếm các tiêu đề tệp được sử dụng bởi các ứng dụng phần mềm như Excel, Word và các phần mềm khác để xác định loại dữ liệu nào có thể phục hồi được.
Những gì các công cụ thực sự có thể phục hồi phụ thuộc vào một số yếu tố, chẳng hạn như dữ liệu của tập tin vẫn còn nguyên vẹn, đã bị ghi đè, đã được mã hóa, v.v.
Thật ngạc nhiên, đôi khi thậm chí có thể phục hồi dữ liệu trên ổ đĩa được cho là đã được định dạng. Nếu một "định dạng nhanh" được sử dụng, thì chỉ có Bảng phân bổ tệp (FAT) có thể đã bị xóa, có thể cho phép khôi phục các tệp được cho là đã bị xóa trong quá trình định dạng.
Sử dụng ổ cứng đã qua sử dụng
Tội phạm mạng biết rằng dữ liệu thường có thể khôi phục được trên các ổ đĩa cứng đã bị loại bỏ. Họ có thể tìm kiếm bán hàng sân, đấu giá Ebay, quảng cáo Craigslist, vv, cho các máy tính được sử dụng với hy vọng sử dụng các công cụ pháp y để phục hồi dữ liệu cá nhân của các ổ cứng bị loại bỏ. Họ có thể sử dụng thông tin này cho mục đích đánh cắp nhận dạng, tống tiền, tống tiền, v.v.
Làm thế nào bạn có thể chắc chắn tập tin của bạn là đi cho tốt?
Trước khi bạn bán hoặc loại bỏ một máy tính cũ, tốt nhất bạn nên tháo và giữ ổ đĩa cứng. Bạn có thể xóa sạch ổ cứng hoàn toàn bằng các tiện ích dọn dẹp cấp quân sự, nhưng bạn không thể chắc chắn rằng một số công nghệ pháp y mới sẽ không xuất hiện trong tương lai không xa, cho phép khôi phục dữ liệu trước đây không thể khôi phục sử dụng các phương pháp hiện tại. Vì lý do này, có lẽ tốt nhất là không nên bán ổ cứng cũ của bạn với máy tính cũ của bạn.
Những điều đó có thể giúp thoát khỏi tập tin đã xóa cho tốt:
Chống phân mảnh
Nhiều tiện ích khôi phục tập tin cảnh báo người dùng chống phân mảnh ổ cứng có thể làm giảm khả năng khôi phục tập tin vì quá trình chống phân mảnh tự hợp nhất dữ liệu và có thể ghi đè lên các khu vực có dữ liệu đã xóa. Trong khi nó có thể giúp đỡ, chỉ đơn giản là chống phân mảnh ổ đĩa của bạn sẽ không đảm bảo rằng dữ liệu là không thể phục hồi, do đó bạn không nên dựa vào nó như là một phương pháp xóa.
Mã hóa dữ liệu
Các công cụ pháp y có thể giải mã được dữ liệu, nhưng nếu mã hóa đủ mạnh thì các công cụ có thể không phục hồi được nội dung của tập tin. Cân nhắc bật tính năng mã hóa đĩa của hệ điều hành để tận dụng khả năng này. Cũng nên xem xét sử dụng các công cụ như TrueCrypt để mã hóa các tệp nhạy cảm của bạn.
Hãy thử một chút khôi phục tập tin tự làm trên của riêng bạn
Nếu bạn muốn xem những tập tin nào có thể được phục hồi trên hệ thống của riêng bạn, tại sao bạn không thử một số pháp lý dữ liệu Do-it-Yourself và cố gắng xem những gì bạn có thể phục hồi bằng phiên bản demo miễn phí của một công cụ phục hồi tập tin? Bạn có thể tìm hiểu thêm về cách khôi phục các tệp đã xóa trong bài viết của chúng tôi: Tự làm pháp lý tệp .