Куда уходят файлы

Дубовцев Алексей

Xakep, номер #065, стр. 065-114-1

(aleksey@dubovcev.ru)

Многопоточный уничтожитель файлов

В непроницаемой глуши темной комнаты тихо посапывал кулер. Вдруг тишину прорезал негромкий щелчок – это наивный пользователь нажал на клавишу Del, полагая, что тем самым он удалит компрометирующий его файл в… Как же он был удивлен, когда через несколько дней на абсолютно белый стол следователь с ехидной улыбкой положил перед ним распечатку «удаленного» файла. Для нашего героя это был шок.

Удалить или не удалить?

Эта печальная история вполне может произойти и с тобой, если ты не будешь знать, как правильно удалять файлы. Большинство пользователей наивно полагают, что, просто-напросто удалив файл, они начисто стирают его из системы. Однако это не так. На деле оказывается, что подлая операционка вообще не умеет стирать файлы, она лишь помечает их как удаленные. У каждого файла есть специальный скрытый атрибут, установив который, можно пометить файл как несуществующий. Естественно, что при этом информация, расположенная в файле, не повреждается. Драйвер файловой системы, встроенный в операционную систему, обнаружив данный атрибут, предательски делает вид, что файла как бы нет. Он просто его не замечает. На самом же деле файл по-прежнему преспокойно лежит в свободной области диска. А самое неприятное заключается в том, что восстановить этот файл не составляет особого труда, лишь бы он не был затерт другими. Особенность удаленных файлов в том, что они преспокойно располагаются в свободной области дискового пространства. То есть там, где на твоем харде как бы свободное место, на самом деле живут удаленные файлы.

На сегодняшний день существует множество утилит, позволяющих проделать нехитрую операцию восстановления даже весьма неподготовленным пользователям. Одной из самых сильных утилит считается OnTrack Easy Recovery. Она позволяет восстанавливать не только удаленные файлы, но даже те, которые были повреждены или потеряны после форматирования.

Как же тогда удалить файл, чтобы его содержимое невозможно было восстановить? Оказывается, что сделать это не так уж и сложно. Нужно всего лишь непоправимо испортить содержимое файла. К примеру, скопировать в него другой файл или открыть текстовый редактор и хорошенько потрудиться над его содержимым. В этом случае, даже если файл будет восстановлен (с него будет снят «удаленный атрибут»), то содержимое не будет представлять никакого практического интереса. Ведь мы уже над ним надругались!

Почему восстанавливаются файлы

Но не все так просто, как кажется. Иначе зачем, спрашивается, надо было писать эту статью? Злые дядьки-физики, крепко подумав, изобрели технологию, которая позволяет восстанавливать даже явно затертые файлы. Казалось бы, невозможно, но это действительно так. Связана эта неприятность с физикой процесса записи информации на жесткие диски компьютеров. Всем нам известно, что информация на жесткие диски намагничивается, правда мало кто знает, как действительно это происходит. Вдаваться в тонкости технологи мы не будем, поскольку она слишком сложна, но в общих чертах это выглядит так: на поверхность жесткого диска наносят специальный ферромагнитный материал, который обладает способностью легко перемагничиваться. Грубо говоря, этот материал состоит из небольших крупинок, которые называются магнитными доменами. Каждый такой домен обладает собственным магнитным моментом. То есть некоторым магнитным показателем. Соответственно, та и или иная намагниченность определенной группы доменов используется для задания информации на жестком диске. На один бит информации приходится определенное количество доменов, которые намагничены каким-то определенным образом. Головка жесткого диска находит нужное место на блине, соответствующее определенному биту, а затем считывает или записывает эту самую намагниченность. Материалы, из которых изготавливают ферромагнитную поверхность жестких дисков, обладают одной интересной особенностью – они достаточно инертны. Это свойство позволяет определить, какая информация хранилась на заданном участке поверхности ранее. Суть технологии заключается в том, что при перезаписи информации предыдущая намагниченность ослабляется и вносит некоторые незначительные искажения в реальный спектр. Если брать не основную гармонику магнитного спектра, по которой происходит кодирование информации, а одну из побочных (шумовых), то можно определить, какая информация хранилась здесь ранее.