Проект "ИТ-Защита"

Е.В. Артамонова

член МНОО «МАИТ»

В работе любой коммерческой или государственной компании бывают случаи умышленного или случайного удаления и повреждения информации (причем даже конфиденциальной). Конечно же, чтобы таких инцидентов не было, надо применять программы и сервисы резервного копирования, а также грамотно составить политику безопасности организации. Но в этой статье рассмотрим случаи, когда все-таки имеет место быть удаление или повреждения актуально важной для компании информации:

 

1) Увольнение сотрудника. При увольнении (особенно, если оно произошло по инициативе администрации предприятия) менеджер по продажам, например, может умышленно удалить базу клиентов или поставщиков. На предприятиях малого бизнеса, как правило, такая информация находится в ведении сотрудника и резервное копирование не производится.

2) Выход из строя оборудования для хранения данных (флешек, жестких дисков, мобильных винчестеров).

3) Случайное удаление данных по ошибке сотрудниками.

4) Умышленное удаление данных злоумышленниками, чтобы скрыть следы своей преступной деятельности. Например, компрометирующей информации или каких-либо «неудобных» фотографий или видео-файлов с карты памяти камеры.

5) Разные другие случаи, в результате которых важная информация оказалась повреждена или уничтожена (например, случайное или умышленной форматирования флешки или жесткого диска и т.д.).

О принципах восстановления информации

Опишем общие принципы восстановления удаленной информации. Итак, что же происходит в операционной системе, когда Вы удаляете файл? При удалении файла, например, в Windows, фактически ничего «особо страшного» и не происходит. Windows просто создает запись в файловой системе о том, что файл удален и система освобождает пространство, которое он занимает, делая возможным его использование в других приложениях.

Затем, это делается быстро и «по горячим следам», когда файл помечен как «удаленный», но его реальное дисковое пространство пока не использовано другими программами, восстановить файл можно легко и безболезненно. Именно на этой основе  разрабатывались алгоритмы почти всех программ для восстановления данных.

Единственная рекомендация для пользователей, которые столкнулись с несанкционированным удалением информации, ничего не записывать и не удалять больше с этого носителя данных. А затем, не откладывая этот вопрос «в долгий ящик» применить специальный софт для восстановления информации.

Первые программы для восстановления данных именно так и работали: сканировали диск, находили там файлы с пометкой «удален» и просто снимали с них эту пометку, таким образом, файл опять восстанавливался в системе. Да и сейчас работает этот простой «дедовский способ» восстановления, программа проводит «быстрый анализ диска» и восстанавливает информацию, при условии, что она удалена только что и на диск больше ничего не записано.

Современные программные средства в дополнение к этим старым методам, уже используют новые механизмы поиска и восстановления данных. При восстановлении они копируют содержание удаленных файлов в другой документ  (пользователю предлагается сохранять восстанавливаемые данные на другом диске).

А что делать, если диск отформатирован или перераспределен или повреждена  файловая система? В таком случае эти программы окажутся бессильны. Поэтому и были созданы новые алгоритмы поиска и восстановления удаленных файлов.

Один из современных алгоритмов восстановления данных – это поиск по сигнатурам «Signature-search». Данный алгоритм позволяет искать информацию по содержанию, которое больше вообще никак не видно в файловой системе (даже под меткой «удален»).  Этот момент позволяет пользователю восстановить свои файлы с уже отформатированных или поврежденных дисков. Но и поиск по сигнатурам имеет свои ограничения.

Рассмотрим, как работает этот метод. После простого сканирования файловой системы, запускается «Signature-search» и происходит считывание абсолютно всей информации с поверхности жесткого диска, при этом происходит  обнаружения  файлов, на которые даже нет ссылок из файловой системы.

Вот что делает программа: считываемая с диска информация соотносится с характерными подписями известных типов файлов на предмет соответствия содержания найденного файла какому-либо из пунктов базы данных форматов файлов. Если расширение файла оказывается знакомым, то алгоритм еще и анализирует заголовок файла, для извлечения как можно больше информации о нем. Этот метод позволяет определить почти точный размер файла и рассчитывает расположение всего файла на диске. А вот некоторые типы файлов содержат в заголовках еще больше информации, отсутствующей в файловой системе. Здесь видны огромные преимущества метода «Signature-search». Он позволяет восстановить больше информации, более качественно восстановить файлы, а также восстановить с отформатированных, заново размеченных или поврежденных носителей информации.

С помощью этого метода очень хорошо восстанавливать офисные документы (DOC, XLS, PPT, RTF и другие), сжатые архивы, цифровые фотографии, сообщения электронной почты,  файлы баз данных, аудио и видео данные. Методом поиска  по сигнатурам могут быть обнаружены даже более ранние, но, лучше сохранившиеся версии документов.

В плане использования на практике, например, если уволившийся менеджер удалил базы клиентов в форматах XLS, например, то этим методом мы без особого труда сможем восстановить до 90% информации, без потери качества. Или же секретарь (бухгалтер), ошибочно перезаписал на более раннюю правильную версию текстового документа, другой по содержанию документ. Во многих офисах есть такая проблема, что обычно делается в этом случае? Сотрудник просто заново переделывает 100% работы, хотя есть выход, восстановление предыдущей версии документа методом «Signature-search».

Ну и конечно, еще один пример: злоумышленник удалил с карты фотокамеры очень важные фотоматериалы, являющиеся доказательной базой по уголовному делу. Казалось бы, победа на стороне преступника? А вот и нет, с помощью этих программ можно восстановить всю удаленную информацию.

Есть и недостатки у метода поиска по сигнатурам, остановимся на них детально. Дело в том, что восстановление данных с помощью Signature-поиска может иметь дело только с известными типами файлов. Большинство видов файлов хранятся в базах данных сигнатур, но есть такие виды файлов, которые там отсутствуют. Поиск по сигнатурам ведь имеет ограничения по определенным типам данных.

Еще одним важным недостатком алгоритмов поиска по сигнатурам является то, что работа с ними занимает много времени, так как алгоритм должен просканировать детально весь диск. Поэтому Signature-поиск рекомендуется применять совместно с традиционными методами восстановления информации. [1]

Литература

  1. [Электронный ресурс] – Режим доступа: Восстановление данных. http://recovery-software.ru

Здесь можно закачать описанные в статье  программы для восстановления информации

 

Восстанавливаем удаленные или поврежденные данные, краткое пособие для пользователя. Часть 2.

Восстанавливаем удаленные или поврежденные данные, краткое пособие для пользователя. Часть 3.





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.