لاداعي للقلق !!!
فالملفات المحذوفة باقية بعد تفريغ سلة المهملات
www.tartoos.com
نعرض في هذا المقال طرائق لاستعادة البيانات التي تم حذفها من الحاسب بالخطأ
ربما أو عمدا .. هل فكرت يوماً في استعادة البيانات التي حذفتها بعد مضي زمن
على حذفها . أو هل خطر لك التأكد من أن عملية الحذف التي قمت بها أزالت
البيانات كليا وإلى غير رجعة ؟
إن الطريقة
المعتادة التي نتبعها في حذف البيانات هي إرسالها إلى سلة المهملات كمرحلة
أولى . ثم إفراغ هذه السلة : الأمر الذي يجعلنا نظن أن البيانات فقدت إلى
الأبد . ولكن ذلك غير صحيح مطلقاً : فهناك برامج
(
Software ) ومعدات
( Hardware )
متخصصة قادرة على استعادة
البيانات كاملة وحتى لو تم تخزين بيانات جديدة فوقها . وحتى لوتمت إعادة
تهيئة القرص ( HD
reformating ) .
وحتى بعد تلف قطاع الإقلاع
( boot sector )
. أو بعد
تلف القرص الصلب نفسه . إن إمكانية استرجاع البيانات هي بالطبع أخبار سارة
للمستثمر في حال فقدان بيانات حساسة عن طريق الخطأ . ولكنها ليست كذلك إذا
كان المقصود من حذف البيانات هو التخلص منها إلى الأبد . ومنع الآخرين من
الاطلاع عليها .
إن الحل
المناسب للمسألتين المطروحتين أعلاه يعتمد أولا وأخيرا على مقدار الوقت
والمال المتوفر لذلك . ومن أجل أن ندرك تماما كيف تتم استعادة البيانات
المحذوفة . علينا أن نعرف أولا كيف يتم تخزين هذه البيانات على القرص الصلب
( Hard
Disk )
.
يتألف القرص
الصلب من عدد من الأقراص المعدنية الممغنطة مصفوفة فوق بعضها بعضاً . وتوجد
على كل قرص منها دوائر متحدة المركز متفاوتة المحيط تدعى مسارات
( Tracks )
وتتحرك عبر سطوح هذه
الأقراص رؤوس القراءة والكتابة
( R/ w HEADS )
( دون ملامستها ) لتصل إلى
الأجزاء المختلفة من القرص الصلب . لأن الملفات . أو أجزاءها . تخزن على
مختلف قطاعات القرص الصلب : وليس بالضرورة في قطاعات متتالية من القرص .
وبتفصيل اكثر نقول : تخزن البيانات في تجمعات
( Clusters )
: يعتمد حجم الواحد منها
على نظام التشغيل المستخدم ومساحة التقسيمات المنطقية
( Logical Partitions)
للسواقة الصلبة . فإذا كان القرص مكوناً من تجمعات
( Clusters )
حجم الواحد منها
4KB
وأردنا تخزين ملف بحجم
1KB
مثلاً فإن هذا الملف سوف يحتل تجمعا كاملا أي
4KB
رغم أن حجمه أقل من ذلك . أما في حالة الملفات الضخمة فإنها تخزن في مئات أو
آلاف التجمعات الصغيرة المنتشرة في مواضع مختلفة من السواقة الصلبة . ونظام
التشغيل هو الذي يقوم بتتبعها على القرص وربطها مع بعضها . ويعتمد نظام
التشغيل Microsoft
Windows
ثلاثة
أنواع مختلفة من أنظمة الملفات :
www.tartoos.com
-
نظام
( File Allocation Table )
FAT
الذي طرح مع نظام
التشغيل DOS
.
-
نظام
( FAT32 )
الذي طرح في نظام
Windows95
.
-
نظام
( New Technology )
NTFS
System وهي تقنية
حديثة لنظام الملفات طرحت مع نظام التشغيل
NT 4.0
.
ورغم هذا
الاختلاف في الأسماء فإن جميع الأنظمة السابقة تستعمل التقنية الأساسية ذاتها
في إدارة البيانات حيث يضم دليل الملفات معلومات عن جميع الملفات المخزنة على
السواقة الصلبة بالإضافة إلى مؤشرات
( Pointers )
تدل على أماكن تخزينها .
بحمل المؤشر عنوان التجمع الأول الذي تم تخزين بداية الملف فيه وفي نهاية
التجميع التالي وتستمر هذه العملية حتى نهاية الملف وتتكوّن بالتالي عدة
تجمعات مترابطة تختم في نهاية الملف المطلوبة ببصمة " نهاية الملف " أو
EOF
.
البيانات لا تزال في مكانها رغم حذفها :
www.tartoos.com
إن حذف البيانات عن طريق أدوات ويندوز المعتادة يضعها في سلة المهملات لكنها
في الحقيقة لم تحذف نهائياً . حتى بعد إفراغ سلة المهملات . وأيضاً لو تم
الحذف دون المرور بسلة المهملات فإن العملية في الحقيقة هي مجرد تجاهل لإسم
الملف في دليل الملفات الموجود على القرص الصلب ، حيث يستبدل الحرف الأول من
اسم الملف المحذوف بحرف اصطلاحي خاص .
يتعامل نظام التشغيل مع التجمعات التي تحوي البيانات المحذوفة على انها
مساحات فارغة مهيئة لتخزين بيانات جديدة فيها ، بالرغم من بقاء البيانات
القديمة . وهذا يعني أن البيانات المحذوفة تبقى قابلة للاستعادة إلى أن تتم
الكتابة فوقها . ونستطيع استعادة هذه البيانات وقراءتها باستعمال أدوات
وبرمجيات خدمية متخصصة .
www.tartoos.com
من البرامج
المستعملة لذلك . على سبيل المثال :
Easy Recovery Lite 6.0
ويمكن معرفة المزيد عنه من الموقع :
( www.ontrack.com )
.
استرجاع ملفات حساسة محذوفة قبل الكتابة فوقها :
www.tartoos.com
إذا قمت بالخطأ بحذف أحد الملفات المهمة . فعليك أن
تحرص على عدم كتابة بيانات جديدة فوق الملف الذي نأمل استرداده . لذلك ننصحك
بالتوقف الفوري عن استعمال الحاسوب وتجنّب أي عملية حفظ إلى القرص الصلب ,
وعدم تنصيب أي برنامج جديد على القرص الصلب حتى ولو كان البرنامج لاستعادة
البيانات . وذلك لأن أي تخزين جديد على القرص يمكن أن يستعمل التجمعات ذاتها
التي كانت محجوزة من قبل الملف الذي تودّ استرداده . فتضيع عليك فرصة استعادة
الملف . يمكنك تشغيل برنامج استعادة البيانات من السواقة المرنة أو استشارة
خبير يساعدك على استرداد البيانات التي فقدتها .
www.tartoos.com
استرجاع ملفات حساسة محذوفة بعد الكتابة فوقها :
www.tartoos.com
إذا حدث ذلك . فليس بالإمكان استرجاع البيانات القديمة بالطرق البرمجية
مطلقاً . ولكن هذا لا يعني أنّ استعادتها أمر مستحيل هنالك على الأقل طريقتان
لقراءة البيانات التي كتب فوقها :
www.tartoos.com
أولاً – إن
رأس الكتابة والقراءة الموجودة في القرص الصلب يقوم بكتابة البيانات على
الأقراص المعدنية الممغنطة التي تشكل القرص جزيئة جزيئة ) (
bit . وذلك بتطبيق
إشارة ( Signal )
بشدة محدودة كافية لتثبيت الجزيئة . وينحصر تأثير هذه الإشارة على موقع
الجزيئة دون التأثير على الوسط المحيط بها ، وتتوقف شدة الإشارة التي تتطلبها
كتابة الجزيئة على الوضع الذي كانت عليه الجزيئة المكتوبة سابقاً . فإذا كان
الوضع السابق 0
والوضع الجديد المطلوب
1
فإن شدة الإشارة اللازمة لتحويلها تكون اقل من شدة إشارة التحويل من
1
إلى
0
من هذا
المنطلق وجدت معدات متخصصة تستطيع أن تحدد وبدقة شدة الإشارة التي يتطلبها
التخزين الجديد فوق كل جزيئة . باستعمال إشارة مرجعية ذات شدة معروفة من أجل
التخزين الجديد . فإذا تطلب التخزين شدة أكبر فالشدة الإضافية اللازمة لتخزين
الجزيئة الجديدة تعطينا قيمة الجزيئة المخزنة سابقاً . أما إذا لم يتطلب
تخزين الجزيئة الجديدة شدة أكبر فذلك يعني أن الوضعيتين القديمة والجديدة
متطابقتان وبذلك نعرف أيضاً قيمة الجزيئة القديمة . وبهذه الطريقة نتمكن من
تكوين خيال للبيانات التي كانت موجودة سابقاً .
www.tartoos.com
تمكننا هذه الطريقة من استعادة البيانات التي كتب فوقها ولو تكررت الكتابة
مرات عدة ( سبع مرات في بعض الحالات ) . ولكن إذا زاد عدد مرات الكتابة
المتكررة على نفس الموضع أكثر من ذلك فغالباً ما تكون البيانات قد أتلفت
تماماً .
www.tartoos.com
إن طريقة الكتابة المتكررة هذه تسعمل للتأكد من إزالة البيانات نهائياً من
القرص الصلب والحيلولة دون اطلاع الآخرين عليها . شريطة أن يحوي كل تخزين
جديد بيانات مختلفة عن سابقتها .
www.tartoos.com
ثانياً – أما التقنية الثانية في استرداد البيانات فإنها تعتمد على التحكم
بمكان توضع رأس القراءة والكتابة ، حيث لا يتم تخزين البيانات الجديدة فوق
البيانات القديمة تماما مما يبقى للبيانات القديمة آثاراً على أطراف المسارات
.
( Tracks )
تدعى ظل البيانات (
Shadow Data )
مما يمكن
الخبراء من استعادة البيانات المفقودة . وإن تكرار الكتابة فوق هذه البيانات
يضعف بطبيعة الحال من وضوح تلك الظلال .
التخلص من البيانات نهائياً !!
عليك أن
تعلم أن البيانات الحساسة التي قمت بحذفها قابلة للاستعادة بكل يسر وسهولة
إذا لم تتأكد من إزالتها بشكل نهائي . من أجل ذلك نشرت وزارة الدفاع
الأمريكية تعليمات تفيد في التخلص بشكل كامل من البيانات الحساسة السرية التي
تم حذفها . يمكنك الاطلاع على هذه الإشارات في وثيقة نشرتها الوزارة المعنية
بعنوان
DOD 5220.22-M
من الموقع.
( www.dss.mil/isec/
nispom–0195 . html )
.
وتقترح تلك
الإشارات أن تتم كتابة بيانات جديدة فوق القديمة ثلاث مرات على الأقل الأولى
بأحرف مفردة بطول
bit 8
. والثانية باستبدال قيم
الجزيئات بمتمماتها ( أي بوضع
0
بدلا من 1
أو
العكس ) . وفي المرة الثانية كتابة الأحرف بشكل عشوائي ورغم ذلك فإن هذه
الخطوات غير كافية للتخلص من البيانات ذات الأهمية الكبيرة . لذلك من الأفضل
أن يتم التخلص نهائياً من القرص الصلب إما مغنطته تماما أو عن طريق إتلافه
فيزيائياً .
أما بالنسبة للناس العاديين فإن تلك الطرق للتخلص من البيانات الحساسة كافية
. وهناك العديد من البرامج التي تقوم بتلك المهمة .
هناك دهاليز تخزين مخبأة على القرص الصلب !!
إن عملية
حذف البيانات وإعادة الكتابة فوقها لن تزيل كل البيانات الحساسة كافة من
القرص . لذلك ينبغي أن تتم عملية تفريغ كل قطاع
(
sector ) على حدة .
( يتكون التجمع الواحد
Cluster من عدد من
القطاعات المتتالية سعة كل منها عادة
byte 512
) ؛ وذلك لأن البيانات يمكن أن تخبأ في أماكن غير متوقعة . فهناك عادة بيانات
عشوائية ( Random Data )
) تتوضع في التجمع
الأخير من الملفات الطويلة وتعرف باسم
File Slack
. وينجم ذلك عن أن الفراغات
التي تبقى في القطاع الذي خزن فيه الجزء الأخير من الملف تملأ بيانات عشوائية
من الذاكرة تعرف باسم
RAM slack ,
يمكن أن تكون البيانات هذه جزءا من معلومات هامة وحساسة جداً . أما باقي
القطاعات من التجمع الأخير الذي خزن فيه الملف فتحوي بيانات مكتوبة سابقاً
ولأن العديد من برامج الحذف الأمنية الشائعة لا تزيل تماما بيانات
File slack
فهي
معرضة للاسترجاع من قبل أطراف غير مرغوب فيها .
كذلك تحتوي
الملفات في نظام
NTFS
( المستعمل في Windows
NT 4.0 و
2000.و
xp
) على مساحتين : الأولى من أجل حفظ معلومات صلاحيات الوصول إلى الملف .
والثانية من أجل تخزين البيانات نفسها , ومن الممكن أن يحتوي ملف
NTFS
على مساحة ثالثة ( ADSs
Alternativ Data Steams
تستعمل
غالباً لتخزين اختصارات لأسماء الملفات الرسومية .
من مساوىء المساحة الثالثة أن معظم برامج الحذف الأمني لا تستطيع أن تزيل
محتويات هذا الجزء من الملف مما يبقى تلك الاختصارات موجودة وقابلة للاستعادة
حتى بعد أن يتم تفريغ المساحة المذكورة .www.tartoos.com
لمعلومات
أوفر وتفاصيل أكثر عن هذا الموضوع ننصحك بزيارة الموقع
( http://
support.microsoft.com )
www.tartoos.com
التصدي للتهديدات :
يدرك
المخربون تماما كيف يستفيدون من المشكلة الموجودة في اجزاء
SDSs من ملفات
NTFS
. حيث يستعملونها لاخفاء معلومات أو فيروسات على الأقراص الصلبة . إضافة إلى
سيئة أخرى في السواقات الصلبة بشكل عام وهي وجود مساحات خالية يمكن أن تخبأ
فيها البيانات . ففي عملية التهيئة المعمقة للقرص الصلب . التي تعرف باسم
( Low – level – format
) والتي تتم عادة في
المصنع، تحدد القطاعات
( Sectors) المعطوبة
على القرص الصلب ( إن وجدت ) وتعرّف وتحفظ لدى كرت التحكم بالقرص كي لا
تستعمل في التخزين . وفي مرحلة التهيئة المتقدمة للقرص
( High- level- format )
يتم إنشاء التجمعات
Clusters
لإيواء
البيانات المخزنة . فإذا احتوى التجمع على قطاع معطوب يعتبر نظام التشغيل أن
التجمع كله معطوب . رغم وجود قطاعات سليمة فيه . يسعد بها المخربون
ويستعملونها لإخفاء البيانات المؤذية أو الفيروسات .
www.tartoos.com
في الأقراص
الصلبة القديمة . كانت هناك فجوات بين القطاعات
Sectorgap
. لأن كل المسارات على القرص كانت تحوي عددا متساويا من القطاعات . لكن محيط
المسار الخارجي أكبر بكثير من محيط المسار الداخلي . فيتسبب هذا الفرق بين
محيط المسارات الداخلية ومحيط المسارات الخارجية في صنع تلك الفجوات التي
يمكن استعمالها لتخبئة البيانات . أما اليوم فقد تم التخلص من المساحات
المهدورة في الأقراص الصلبة الحديثة عن طريق استعمال تقنية
Zone recording
والتي تعتمد تقنية تقسيم المسارات إلى قطاعات يتناسب عددها مع طول المسار .
ومهما كان نوع القرص الصلب فالوصول إلى المساحات المخبأة عليه تحتاج إلى
برامج معقدة ومكلفة جداً بإمكانها الالتفاف على نظام التشغيل .
www.tartoos.com
نصيحة أخيرة :
تذكر أخيراً
أن استعادة البيانات اسهل بكثير من إزالتها بشكل كامل . وهذا شيء جيد لأننا
معرضون دوما لفقدان ملفاتنا المهمة بطريق الخطأ . ولكن إن كنت ستتخلص من جهاز
قديم أو قرص صلب وعليه بيانات حساسة خاصة بك فعليك باستعمال برامج خدمية
متخصصة لإزالة تلك المعلومات بشكل كامل حتى من المخابىء المتوفرة على القرص
الصلب .
www.tartoos.com
|
