DATA Lab

  Artykuły

16 maja 2013,   00:18

Odzyskiwanie danych po nadpisaniu jest niemożliwe

Pora obalić jeden z najbardziej rozpowszechnionych mitów dotyczących odzyskiwania utraconych danych. Na forach internetowych pojawiają się liczne podpowiedzi, jak sobie radzić w kryzysowych sytuacjach, gdy dojdzie do utraty cennych danych. Niestety często pozostawiają one złudną nadzieję, że odzyskać można wszystko. A to nieprawda!

talerz dysku twardego

Uszkodzenia fizyczne i logiczne 

  

Dane można stracić z powodu fizycznego uszkodzenia dysku bądź za sprawą naruszenia struktury logicznej. Pierwszy typ uszkodzenia wywołany może być na przykład upadkiem dysku, przypadkowym uderzeniem, awarią elektroniki. Odzyskiwanie danych nie jest wtedy łatwe, wymaga bowiem wiele czasu, nakładu pracy, i wysokich kosztów. Z kolei uszkodzenia logiczne, które polegają na naruszeniu integralności struktury logicznej danych zapisanych na nośniku, mogą być spowodowane atakiem wirusa komputerowego, błędem w oprogramowaniu czy niewłaściwymi działaniami użytkownika. Nieuwaga bądź niewiedza użytkowników jest zresztą główną przyczyną uszkodzeń logicznych. Możliwość odzyskania danych z dysku przy tego typu uszkodzeniach jest bardzo wysoka. Bardzo ważne jest jednak, aby człowiek, który często doprowadził do całego problemu, nie próbował samodzielnie nic naprawiać. Może się to bowiem skończyć nadpisaniem danych, co uniemożliwia ich odzyskanie.

 

Wolna przestrzeń do odzyskania 

  

Skuteczne procedury odzyskiwania danych (data recovery) są możliwe do momentu ich nadpisania. Nadpisanie nowych danych sprawia, że poprzednie stają się niedostępne; niektóre z nich nieodwracalnie, do innych możliwy jest bardzo ograniczony dostęp. Niektórzy twierdzą, że jest możliwe odzyskanie takich danych, ale tak naprawdę wszystko zależy od tego, jak wiele nowych danych pojawiło się w miejsce poprzednich. Wynika to z zasad zapisu danych na nośnikach. Najmniejszą i niepodzielną jednostką przechowywania danych w systemach plików jest klaster, jego wielkość zależna jest od stosowanego systemu operacyjnego. W jednym klastrze mogą się znaleźć dane tylko z jednego pliku, jeśli zatem zdarzy się, że plik jest mniejszy, w klastrze pozostają swego rodzaju niewykorzystane resztki, wolne przestrzenie (ang. slack space). I tak naprawdę o nie toczy się walka podczas odzyskiwania danych z dysku, jeśli wcześniej doszło do nadpisania danych. Tylko w nich bowiem mogą się znajdować jakieś pozostałości poprzednich danych. Nadmieńmy, że dane te dla zwykłego użytkownika z reguły nie stanowią żadnej wartości, nie można z nich złożyć żadnego w pełni sformatowanego dokumentu, poprawnego zdjęcia czy filmu. Natomiast na potrzeby tzw. informatyki śledczej (ang. forensic recovery), takie zapisy mogą decydować o winie lub nie, właściciela tych zasobów.

 

O tym, że nadpisywanie danych może być sposobem na naprawdę ostateczną utratę danych, świadczyć może świadome wykorzystywanie tego procesu do kasowania danych. Wiadomo, że skasowanie pliku nie usuwa go ostatecznie z dysku, a jedynie "ukrywa", przy odpowiedniej wiedzy i umiejętnościach możliwe jest więc odzyskanie go. Jeśli plik ma być niemożliwy do odzyskania, wówczas trzeba zrobić coś więcej niż po prostu skasować. I tu specjaliści wykorzystują właśnie nadpisywanie danych. Rzecz jasna nie może to być nadpisywanie przypadkowe, ponieważ wtedy zawsze istnieje ryzyko przetrwania części informacji w slack space, czyli w wolnych przestrzeniach. Trzeba wykonać nadpisanie pełne. Są różne metody. Jedni specjaliści jednokrotnie nadpisują wszystkie dane zerami, jedynkami lub przypadkowymi wartościami. Inni zalecają najpierw nadpisanie zerami, potem jedynkami, następnie wartościami przypadkowymi i powtórzenie całego cyklu kilka lub kilkadziesiąt krotnie.  Na przykład  popularny algorytm Guttmana to nadpisywanie aż 35 razy za pomocą wartości pseudolosowych. Bez względu jednak na wybraną metodę za każdym razem chodzi o wykorzystanie skuteczności nadpisywania danych do czyszczenia dysku. Nie dziwi zatem fakt, że nadpisanie może być przeszkodą w odzyskaniu danych.

 

Na szczęście zazwyczaj nie nadpisuje się danych z dokładnością co do klastra, a zatem jest szansa, że w wolnych przestrzeniach zachowają się jakieś resztki danych. I tylko one są możliwe do odzyskania.

 

Potrzebny jest ekspert 

  

Skoro odzyskiwanie danych z dysku, które zostały nadpisane, jest tak trudne i niemożliwe do odzyskania w pełni, tym bardziej należy uważać na wszystko, co się robi przy komputerze, szczególnie w chwili, gdy dochodzi do awarii. Trzeba wówczas zaprzestać wszelkich działań ratujących, można bowiem nieświadomie ponadpisywać całe obszary danych, a tym samym skazać je na bezpowrotną utratę. Większość użytkowników nie zdaje sobie sprawy, że każda operacja dokonywana na komputerze wiąże się z jakimś przetwarzaniem i zapisywaniem danych, więc ryzyko jest naprawdę duże. Klasycznym przykładem jest wykonywanie polecenia reinstalacji systemu operacyjnego, w przypadku gdy system komputerowy odbudowuje się z predefiniowanego przez producenta (np. notebooka) obrazu, w wyniku końcowym komputer gotowy jest do pracy w stanie post produkcyjnym. Część istotnych dla użytkownika danych, zostaje nadpisana nowym obrazem, odzyskać można  mniej lub bardziej istotne pozostałości w równie mniej lub bardziej przejrzystej strukturze.

 

Zawsze rób backup danych 

  

Mówi się, że użytkownicy komputerów dzielą się na tych, którzy robią backupy, oraz tych, którzy dopiero zaczną je robić; niestety często na skutek przykrych doświadczeń utraty danych. Tworzenie kopii bezpieczeństwa ratuje życie w przypadku awarii sprzętu czy ludzkiej nieuwagi, bo to zdarza się znacznie częściej. W końcu spadek koncentracji czy niewłaściwe zrozumienie jakiegoś komunikatu może się zdarzyć każdemu.

 

Tworzenie kopii ma sens wtedy, gdy są one systematycznie aktualizowane. Trzeba zatem wyrobić w sobie odruch zapisywania nawet w trakcie pracy, nie czekając na postawienie ostatniej kropki, nigdy przecież nie wiadomo, kiedy może się przydarzyć jakaś awaria. Backupy powinny być zapisywane na różnych nośnikach, w ten sposób zmniejsza się ryzyko ich utraty razem z plikami oryginalnymi. Chodzi o to, by zadbać o zróżnicowanie nośników i robienie backupów w kilku miejscach. W ten sposób zyskuje się pewność, że dane są naprawdę bezpieczne. Warto też przemyśleć przeniesienie danych do tak zwanej chmury obliczeniowej (ang. cloud computing), modelu dostarczania rozwiązań informatycznych, który zapewnia użytkownikom dostęp do danych z dowolnego miejsca i urządzenia.

Pamiętaj, że...

Kasowanie danych komputerowych objęte jest oddzielną normą!

NASI PARTNERZY
Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.
~ copyright © 2010-2017 DATA Lab ~
idea, gfx & code by warlock
~ all rights reserved ~