Tải bản đầy đủ

Phòng chống và điều tra tội phạm máy tính đề tài recovering deleted files and deleted partitions

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH
Đề tài: Recovering Deleted Files and Deleted
Partitions

Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Giáo viên hướng dẫn : Hoàng Thanh Nam
Đơn vị công tác : Khoa An toàn thông tin - HVKTMM

Hà Nội, tháng 9 năm 2018


rẻereregagga

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH

Đề tài: Recovering Deleted Files and Deleted
Partitions

Lớp: L02
Giáo viên hướng dẫn : Hoàng Thanh Nam
Đơn vị công tác : Khoa An toàn thông tin - HVKTMM


Nhận xét giáo viên
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
Xác nhận của giáo viên


MỤC LỤC

4


DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
MFT
NTFS
FAT

Tên đầy đủ
Master File Table
New Technology File System

5


CHƯƠNG 1: RECOVERING DELETED FILES
1.1. Giới thiệu chung
1.1.1 Khái niệm
Khôi phục các tệp đã xóa là quá trình mà điều tra viên đánh giá và trích
xuất các tệp đã xóa khỏi thiết bị lưu trữ và trả về tệp còn nguyên vẹn.
1.1.2 Điều gì xảy ra khi một tệp tin bị xóa?
Khi một tập tin bị xóa, hệ điều hành đánh dấu tên của tập tin trong MFT
với một ký tự đặc biệt cho biết rằng tập tin đã bị xóa. Máy tính bây giờ nhìn vào
các cụm chiếm đóng bởi tập tin đó là trống rỗng và do đó tận dụng không gian
để lưu trữ một tập tin mới. Chữ cái đầu tiên của một tên tập tin được thay thế
bằng một mã byte hex E5h. Trường chỉ mục trong MFT được đánh dấu bằng
một mã đặc biệt trong NTFS. Các cụm tương ứng trong FAT được đánh dấu
không sử dụng.
1.1.3 Các cách xóa một tệp tin
Xóa tệp là cách di chuyển tệp khỏi hệ thống tệp của máy tính. Lý do xóa
tệp là:
- Giải phóng dung lượng ổ đĩa
- Xóa dữ liệu trùng lặp hoặc không cần thiết để tránh nhầm lẫn
- Xóa thông tin nhạy cảm, không khả dụng cho người khác
-

Người dùng có thể xóa tệp theo nhiều cách khác nhau:
Bằng cách nhấp chuột phải vào tập tin và chọn Delete từ phím Menu
Chọn tập tin và bấm Delete hoặc Shift + Delete trên bàn phím
Bằng cách kéo và thả tệp vào biểu tượng Thùng rác
Từ lệnh trong menu hoặc một số chức năng khác trong phần mềm thứ 3
Bằng vi-rút máy tính


1.1.4 Thùng rác trong Window
Khi tệp bị xóa, nó được gửi vào thùng rác, nơi nó vẫn còn cho đến khi
thùng rác được dọn sạch. Click Restore trong thùng rác cho phép bạn khôi phục
dữ liệu đến vị trí ban đầu. Sau khi thùng rác được dọn sạch, dữ liệu vẫn ở vị trí
ban đầu trên ổ đĩa cứng trong một khoảng thời gian. Dữ liệu sẽ biến mất chỉ khi
hệ điều hành ghi đè vị trí ban đầu của tệp. Dữ liệu đã xóa từ các phương tiện lưu
động như thiết bị USB không được lưu trữ trong thùng rác.
6


1.1.5 Recyle Hidden Folder
Thư mục này ($Recycle.Bin) chứa các tệp đã bị xóa khỏi My
Computer/This PC, Windows Explorer, và một số ứng dụng Windows.
Thông thường thư mục này được ẩn trong các phân vùng. Để hiển thị nó,
ta phải chọn Show hidden files, folders, and drives và bỏ chọn Hide protected
operating system files trong Folder Options.

Hình 1.1. Giao diện Folder Option

Hệ điều hành Windows theo dõi mọi tệp do người dùng gửi đến Thùng rác
bằng cách tạo các tệp Info tạm thời.
Khi một tệp hoặc thư mục bị xóa đường dẫn đầy đủ, bao gồm cả tên tệp
gốc, được lưu trữ trong tệp ẩn đặc biệt có tên là "Info" trong thư mục Recycled.
Tệp đã xóa được đổi tên, sử dụng cú pháp sau:
D <#>.<đuôi tệp tin mở rộng ban đầu>
Không có giới hạn kích thước cho thùng rác trong Vista và các phiên bản
sau của Windows trong khi các phiên bản cũ hơn bị giới hạn tối đa là 3.99 GB;
7


các mục lớn hơn dung lượng lưu trữ của thùng rác không thể được lưu trữ trong
thùng rác.
1.2. Phục hồi tệp tin trong Mac OS
Trong Mac OS X, xóa dữ liệu là do:
- Khôi phục các tệp đã xóa
- Sử dụng phím Shift + Del
- Nhiễm virus hoặc Trojan
- Tắt hệ thống bất ngờ
- Sự cố phần mềm hoặc phần cứng
Khôi phục tệp tin đã xóa
Phương pháp 1: Khi một tệp bị xóa từ Mac nó không thực sự bị xóa, thay
vào đó nó được lấy ra khỏi thư mục của tập tin trong thư mục. Phân bổ không
gian được phân bổ cho tệp, do đó không gian được giải phóng có thể được cấp
phát để lưu trữ một số tệp khác. Tập tin bị xóa được di chuyển tới thư mục
‘‘Trash’’ trong Mac. Chọn file, nhấp chuột phải và nhấn vào khôi phục tùy chọn
để khôi phục các tệp đã xóa.
Phương pháp 2:
1. Nếu bạn đã xóa các tập tin, mà bỏ qua các "Thùng rác", các tập tin vẫn có
thể được lấy bằng cách sử dụng kỹ thuật phục hồi dữ liệu
2. Time Machine là một chương trình tiện ích MacOS giúp phục hồi dữ liệu.
Kiểm tra "Time Machine" trong thư mục tiện ích. Đưa vào thông tin thời
gian cần thiết và quay ngược thời gian vào thư mục nơi tệp của bạn đã
từng có mặt. Chọn tệp và tệp sẽ được thay thế trong thư mục gốc
3. Ngay cả thư mục Sao lưu có thể chứa các tệp đã vô tình xóa.
Phương pháp 3:
Nếu phương pháp trước đó không phục hồi các tệp đã xóa, thì hãy sử dụng phần
mềm của bên thứ ba (phục hồi các tệp đã làm trống từ thùng rác). Một số công
cụ phần mềm giúp bạn khôi phục các tệp đã xóa trong Mac bao gồm:
1. Data rescue
2. FileSalvage
3. REMO Recover (MAC) Pro
4. MacKeeper
5. Stellar Phoenix Mac Data Recovery
1.3. Phục hồi tệp tin trong Linux
Trong Linux, các tệp bị xóa bằng cách sử dụng /bin/rm trên đĩa. Hệ thống
tệp mở rộng thứ hai (extz) thường được sử dụng trong hầu hết các hệ thống
Linux. Thiết kế của hệ thống tệp ext2 là dữ liệu có thể được ẩn ở một vài nơi.
8


Chạy một tiến trình giữ tập tin mở và sau đó loại bỏ các tập tin. Các nội dung tập
tin vẫn còn trên đĩa và không gian sẽ không được khai thác bởi các chương trình
khác. Lưu ý rằng nếu một tập tin thực thi tự xóa, nội dung của nó có thể được
lấy từ /proc memory image; lệnh "cp/proc/$PID/exe/tm/ tạo bản sao của tệp
trong /tmp.
1.4. Một số phần mềm khôi phục tệp tin
Recover My Files
Recover My Files phục hồi dữ liệu phần mềm, phục hồi các tập tin làm
trống từ Windows Recycle Bin, hoặc bị mất do định dạng hoặc của một ổ đĩa
cứng, virus hoặc Trojan, tắt hệ thống bất ngờ, hoặc phần mềm lỗi.

Hình 1.2. Giao diện Recover My File

9


EASEUS Data Rcovery Wizard
EASEUS Data Recovery Wizard cung cấp giải pháp khôi phục dữ liệu
toàn diện cho người dùng máy tính để khôi phục dữ liệu bị mất do mất phân
vùng hoặc hỏng hóc, lỗi phần mềm, nhiễm vi-rút và tắt máy bất ngờ.

Hình 1.3. Giao diện EASEUS Data Rcovery Wizard

- Khôi phục các tập tin bị xóa hoặc bị mất làm trống từ Recycle Bin
- Phục hồi tập tin sau khi định dạng ngẫu nhiên, ngay cả khi đã cài đặt lại
Windows
- Khôi phục đĩa sau khi xảy ra sự cố ổ đĩa cứng
- Khôi phục tài liệu văn phòng, ảnh, hình ảnh, video, nhạc, email, v.v.
- Khôi phục từ ổ đĩa cứng, ổ USB, thẻ nhớ, thẻ nhớ, thẻ máy ảnh, zip, đĩa
mềm hoặc bộ nhớ khác phương tiện truyền thông
PC INSPECTOR File Recovery
PC INSPECTOR File Recovery là một chương trình khôi phục dữ liệu hỗ
trợ FAT 12/16/32 và tệp tin hệ thống NTFS

10


Hình 1.4. Giao diện PC INSPECTOR File Recovery

-

Tính năng:
Tìm phân vùng tự động, ngay cả khi khu vực khởi động hoặc FAT đã bị
xóa hoặc bị hỏng
Khôi phục tệp bằng dấu ngày và giờ gốc
Hỗ trợ lưu các tệp đã khôi phục trên ổ đĩa mạng
Khôi phục tệp, ngay cả khi mục nhập tiêu đề không còn khả dụng nữa

Recuva
Recuva khôi phục file đã xóa của bạn từ máy tính từ máy tính windows,
thùng rác, thẻ máy ảnh kỹ thuật số, người dùng MP3

11


Hình 1.5. Giao diện Recuva

-

Tính năng:
Phục hồi các tập tin trên máy tính của bạn
Phục hồi từ đĩa bị hư hỏng hoặc định dạng
Khôi phục email đã xóa
Khôi phục tài liệu Word chưa lưu
Xóa an toàn các tập tin bạn muốn xóa vĩnh viễn

12


DiskDigger
DiskDigger là một chương trình phục hồi các tập tin bị mất từ ổ đĩa cứng, thẻ
nhớ, ổ đĩa USB flash.

Hình 1.6. Giao diện DiskDigger

Các tính năng chính:
• Chương trình có khả năng tìm kiếm nhiều loại tập tin với nhiều định
dạng khác nhau như: hình ảnh, video, các file nhạc, và các tài liệu...
và đặc biệt là hiển thị nội dung của những gì nó tìm thấy vì nó quét
trong thời gian thực.
• Có thể xem trước nội dung của hầu hết các định dạng tập tin được
tìm thấy mà không cần phải khôi phục cũng như có thể xem trước
các tập tin trong khi quét.
• Hoạt động hoàn toàn độc lập với hệ thống tập tin. Chương trình sẽ
quét qua dữ liệu thô để phục hồi dữ liệu.
• Có khả năng khôi phục cả các phần dữ liệu đã bị ghi đè.
• Sau khi hoạt động xong chương trình sẽ không để lại bất kỳ dấu vết
nào về tập tin tạm sinh ra như các phần mềm khác.
• Làm việc với các thiết bị lưu trữ và ổ đĩa với tất cả các định dạng
(FAT12, FAT16, FAT32, NTFS, ext3...)
13


Hình 1.7. Giao diện Handy Recovery

Handy Recovery
Handy Recovery là một phần mềm khôi phục dữ liệu được thiết kế để
khôi phục các tập tin vô tình xóa từ đĩa cứng và thẻ nhớ.
Handy Recovery được thiết kế với các công cụ mạnh mẽ trong việc hỗ trợ
người sử dụng phục hồi hay khôi phục các file bị xóa do nhầm lẫn hay virut tấn
công... một cách nhanh chóng.
Handy Recovery hỗ trợ các định dạng sau:
• Hệ thống tập tin: NTFS / NTFS 5 + EFS, FAT 12/16/32, HFS / HFS
+.
• Thẻ nhớ: CF / SM / SD.
Ưu điểm:
• Lưu hình ảnh đĩa.
• Lưu trạng thái ổ đĩa để phục hồi trong tương lai.
• Khôi phục tập tin từ phân vùng định dạng.
Nhược điểm:
• Không có nhiều tùy chọn cấu hình.
Stellar Phoenix Windows Data Recovery
Nó phục hồi dữ liệu bị mất do tình cờ, định dạng ổ đĩa cứng, hệ điều hành
hoặc ứng dụng liên quan đến sự cố, nhiễm virus / phần mềm độc hại.
Stellar Phoenix Windows Data Recovery phục hồi:
14







Tài liệu bị xóa / định dạng / bị mất, bảng tính, PowerPoint
Tệp / thư mục từ phân vùng đã định dạng hoặc đã xóa
Ảnh, hình ảnh, video, tệp nhạc
Xóa email từ Microsoft Outlook và Outlook Express

Hình 1.7. Giao diện Stellar Phoenix Windows Data Recovery

Mac File Recovery
Mac File Recovery thực hiện quét nhanh chóng một ổ đĩa Mac bị hỏng để
xác định vị trí các tập tin đã xóa, phân vùng đã định dạng và bị hỏng.
Nó phục hồi dữ liệu từ các phân vùng Mac bị xóa, bị hỏng và định dạng.

15


Hình 1.8. Giao diện Mac File Recovery

Kernel Recovery for Macintosh là một công cụ phần mềm khôi phục dữ
liệu và tệp đã xóa từ hệ điều hành Macintosh.

Hình 1.9. Giao diện Kernel Recovery for Macintosh

16


Boomerang Data Recovery Software
Boomerang Data Recovery Software for MacOS X phục hồi các tệp, thư
mục, tài liệu bị xóa vô tình, phân vùng bị mất hoặc bị hỏng, khối lượng RAID,
thẻ máy ảnh / flash, v.v.
Tính năng, đặc điểm:
• Khôi phục hoàn chỉnh một đĩa không còn gắn kết hoặc đã được định
dạng
• Tái tập hợp các volume RAID và giúp khôi phục dữ liệu quan trọng
nhiệm vụ của bạn
• Quét toàn bộ đĩa và khôi phục các tệp và tài liệu đã xóa

Hình 1.10. Giao diện Boomerang Data Recovery Software

VirtualLab
VirtualLab là phần mềm phục hồi các tập tin đã xóa, hư hỏng hoặc mất
tích, đĩa đã định dạng, iPod và thậm chí cả ảnh.
Nó thực hiện quét toàn bộ ổ đĩa để định vị các phân vùng và tệp bị mất.

17


Hình 1.11. Giao diện VirtualLab

R-Studio for Linux
R-Studio for Linux phục hồi các tệp đã:
• Đã xóa khỏi máy tính và khỏi Trash
• Bị hỏng do vi-rút, mất điện hoặc tắt máy đột ngột
• Mất từ đĩa đã được định dạng lại thành cùng một hệ thống tệp hoặc
một hệ thống tệp khác
• Bị hư hại

Hình 1.12. Giao diện R-Studio for Linux

18


Quick Recovery for Linux
Quick Recovery for Linux là một phần mềm khôi phục phân vùng Linux
nâng cao, phục hồi dữ liệu từ các ổ đĩa Ext2, Ext3 bị hỏng, bị xóa hoặc bị hỏng,
hệ điều hành Linux.

Hình 1.13. Giao diện Quick Recovery for Linux

Kernel for Linux Data Recovery
Kernel for Linux Data Recovery phục hồi dữ liệu đã bị mất vì những lý do
sau:






Tham nhũng khối mô tả nhóm
Bảng siêu khối hoặc bảng inode bị hỏng
Cấu trúc phân vùng bị hỏng hoặc bị xóa
Tắt hệ thống không đúng cách
Xóa tập tin

19


Hình 1.14. Giao diện Kernel for Linux Data Recovery

TestDisk for Linux
TestDisk được thiết kế chủ yếu để phục hồi các phân vùng bị mất và /
hoặc làm cho các đĩa không khởi động được sẽ khởi động lại khi các triệu chứng
gây ra bởi phần mềm bị lỗi, loại bỏ các loại virus hoặc lỗi của con người.

Hình 1.15. Giao diện Kernel for Linux Data Recovery

20


CHƯƠNG 2: RECOVERING DELETED PARTITIONS
2.1. Disk Partition
Disk Partition là không gian được xác định trên một đĩa cứng để lưu trữ dữ
liệu (chẳng hạn như tệp và tài liệu) và cho hệ thống lưu trữ tất cả các tệp cần
thiết để khởi động Windows.
Disk Partition có tên; thường là một chữ cái duy nhất và dấu hai chấm (C :)
Nhiệm vụ của Disk Partition:
• Tách hệ điều hành khỏi các tệp dữ liệu
• Chạy nhiều hệ điều hành từ cùng một đĩa
• Tạo phân vùng độc lập. Các phân vùng khác sẽ không bị hỏng với
một phân vùng bị phá hủy
• Sắp xếp dữ liệu hợp lý
• Đảm bảo máy tính chạy nhanh
2.2. Deletion of Partition
Người dùng hệ thống có thể vô tình xóa phân vùng hữu ích:
• Vô tình xóa phân vùng trong Partition Manager / Disk Management
• Vô tình xóa các phân vùng trong tiến trình cài đặt Windows
Điều gì sẽ xảy ra khi một phân vùng bị xóa?
• Tất cả dữ liệu trên phân vùng đã xóa hoặc ổ đĩa logic bị mất
• Xóa 1 phân vùng trên đĩa động có thể xóa tất cả các ổ đĩa động trên
đĩa, dẫn đến đĩa bị hư hỏng
Khi một phân vùng ổ đĩa cứng bị xóa, nó không có nghĩa là xóa tất cả mọi
thứ, chỉ là phân vùng đánh dấu cách phân vùng được thiết lập.
Phân vùng đã xóa có thể được phục hồi vì nó không bị xóa hoàn toàn,
bằng cách sử dụng phần mềm để thiết lập lại các tham số đó.

21


2.3. Phục hồi phân vùng đã xóa
- Phục hồi phân vùng đã xóa là quá trình điều tra viên đánh giá và truy xuất
các phân vùng đã xóa .
- Phục hồi giúp khôi phục các phân vùng bị mất vô tình hoặc virut, sự cố
phần mềm hoặc là phá hoại.
- Phục hồi phân vùng giúp khôi phục tất cả dữ liệu quan trọng bị mất sau
khi vô tình mất một phân vùng.
Phương án 1:
+ Khởi động lại hệ thống bằng đĩa CD cài đặt Window trong hệ thống.
+ Nhấn các phím tương ứng được liệt kê trên màn hình để vào BIOS .
Trong BIOS kiểm tra trình đơn “ưu tiên khởi động” hoặc “thứ tự khởi
động” để đặt đĩa CD là thiết bị khởi động đầu tiên.
+ Khởi động lại hệ thống và cho phép Window bắt đầu cài đặt
+ Chấp nhận tất cả các lựa chọn để cài đặt window nhưng chọn “Repair
“thay vì “Install”
+ Bây giờ màn hình giống như Dos xuất hiện, gõ “fixboot” và ấn Enter
để khởi động lại hệ thống và kiểm tra phân vùng đã khôi phục lại được
hay chưa.
Phương án 2:
+ Sử dụng phần mềm để phục hồi phân vùng của bên thứ 3 để phục hồi ổ
đĩa.
+ Chạy trương trình và làm theo hướng dẫn để khôi phục phân vùng
+ Sau khi khôi phục, sao chép các tệp ra khỏi ổ đĩa đã phục hồi phân vùng
ra ổ đĩa khác, điều này giúp file được an toàn.
+ Phần mềm phục hồi phân vùng bao gồm: - active@ partition recovery
for window, acronis recovery e
2.4. Một số phần mềm khôi phục phân vùng
Active @ Partition Recovery cho Window
Active @ partition recovery cho window phục hồi phân vùng bị xóa hoặc bị
hư hỏng nằm trên ổ đĩa dữ liệu, ổ cứng kèm theo, cũng như trên ổ USB gắn
ngoài và thẻ nhớ.
Acronis Recovery Expert
Acronis recovery expert là một phân vùng dữ liệu và công cụ phục hồi đĩa
sửa chữa các kết quả của một lỗi cái nhân, phần cứng hoặc lỗi phần mềm, tấn
công virus hoặc phá hoại xâm nhập của hacker. Nó phục hồi các phân vùng bị
xóa hoặc bị mất.
22


- Các tính năng: khôi phục các phân vùng bị xóa hoặc bị mất trên ổ đĩa
cứng khởi động từ các đĩa CD, DVD, ở đĩa flash USB hoặc ổ cứng USB.
Diskinternals Partition Recovery
Diskinternals Partition Recovery hổ trợ vô số các hệ thống tập tin và phục
hồi dữ liệu hoặc phân vùng bị mất trong FAT12 ,FAT16, FAT 32, VFAT, NTFS,
NTFS4, NTFS 5, EXT2 và EXT3.
NTFS Partition Data Recovery
Phục hồi dữ liệu Doctor cho window NTFS phục hồi dữ liệu tệp tin và thư
mục bị mất do bị ghi đè, xóa định dạng, bị hư hỏng, hoặc bị hỏng hệ điều hành
như window7, vista, xp, NT2000 2003 2008 , hoặc phương tiện lưu trữ khác.
GetdataBack
- Bảng phân vùng ổ đĩa cứng, bản ghi khởi động, FAT/MFT hoặc thư mục
gốc bị mất/ hư hỏng.
- Dữ liệu bị mất do virus tấn công.
- Drive đã được định dạng
- Fdisk đã được chạy
- Mất điện gây ra sự cố hệ thống.
- Tệp bị mất do lỗi phần mềm hoặc tình cờ xóa.
Easeus Partition Recovery
Easeus là một phần mềm phục hồi phân vùng cho ổ cứng.nó được thiết kế để
phục hồi các phân vùng đã xóa hoặc bị mất trên một ổ đĩa cứng.
Advanced disk recovery
Advanced disk recovery: quét hệ thống để tìm các tệp tin và thư mục đã xóa
và phục hồi chúng. Ổ đĩa cứng, phân vùng, thiết bị bên ngoài và thậm trí cả đĩa
CD và DVD có thể được quét để tìm các tệp có thể phục hồi.
Tính năng đặc biệt:
- Sử dụng bảng tệp chính hoặc tệp chữ kí để xác định tệp đã xóa.
- Khôi phục dữ liệu đã xóa từ phân vùng và thiết bị bên ngoài.
Power data recovery:
Power data recovery phục hồi dữ liệu đã xóa từ Windows recycle bin; khôi
phục dữ liệu bị mất ngay cả khi phân vùng được định dạng hoặc bị xóa; và khôi
phục dữ liệu từ ổ đĩa cứng bị hỏng, nhiễm virus, tắt hệ thống không mong muốn
hoặc lỗi phần mềm.

23


KẾT LUẬN
Khi ta nhấn delete một file nào đó thì nó sẽ được chuyển vào thùng rác, nhưng
về cơ chế vật lí thì nó không di chuyển đi đâu cả mà vẫn hoàn toàn ở đó. Nó chỉ
là quy ước đối với máy tính là "đây là file đã bị xoá và không phải là dữ liệu cần
dùng", nó chỉ là quy ước thôi. Cũng như cái thùng rác ở nhà, chúng ta vứt những
thứ không cần dùng đến , để đến khi đầy hoặc nghi ngờ đã vứt nhầm thứ gì vào,
ta có thể "bới rác" ra tìm lại. Khi rác đã đầy hoặc ta chắc rằng không vứt nhầm
thứ gì vào, ta sẽ đi đổ rác.
Vậy nếu ta xoá một file trong thùng rác (Recycle Bin) thì sao ? Dữ liệu sẽ đi về
đâu ?
Thực tế nó chẳng đi về đâu cả mà vẫn hoàn toàn nguyên vẹn tại địa chỉ vật lí,
nơi mà nó được ghi trước đó. Xoá một file thực chất chỉ là hình thức chỉ mục
index của nó.
Khi xóa file trong Recycle Bin, chúng ta không thể nhìn thấy những file đó nữa,
vì giá trị chỉ mục index của MFT bị thay đổi và máy tính hiểu rằng "À, file này
không cần hiển thị nữa và mình có thể ghi đè thông tin khác lên nó". Đây cũng
lại là quy ước mà thôi, kể cả khi xóa trong Recycle Bin thì dữ liệu vẫn nằm
nguyên vẹn trong ổ cứng....cho đến khi nó bị GHI ĐÈ.
Nhưng điều đó không có nghĩa là cứ xóa file xong, rồi ghi đè một dữ liệu khác
lên thì nó sẽ mất hoàn toàn mà cần đảm bảo dữ liệu mới ở đúng vị trí của dữ liệu
cũ. Hoặc thay vì ghi đè file mới lên ta có thể dùng phần mềm này để ghi toàn
những bit 0 vào địa chỉ được MFT đánh dấu là đã xóa.

24


TÀI LIỆU THAM KHẢO
[1] BaiTapLon_AT11/Module 10
[2] https://tathanh.net/2018/08/17/phuc-hoi-du-lieu-de-hay-kho-2/

25


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×

×