Category Archives: 网络安全

如何彻底删除硬盘数据 如果仅仅依靠Windows自身所附带的那些工具，你将无法挽回已经从“回收站”中清空的被删除文件。但实际上还有别的办法。即便是数据已经被覆盖、硬盘被重新格式化、引导扇区遭到破坏或是磁盘控制器失灵，只要有专门的硬件和软件，你就能恢复任何文件。 　　 　　 这是一把双刃剑，如果你想要恢复至关重要的文件，这无疑是个好消息，但如果你想防止别人窃取你的私人数据，这将是一条坏消息。不过我们刚才讨论的只是理论上的可能性，实际上的解决方案将取决于你愿意付出多少时间和金钱。 　　 　　 为了理解被删除的数据如何被恢复，你必须首先理解它们是怎样被存储的。硬盘是由一组盘片构成。数据被保存在盘片的同心圆上，这些同心圆被称为“磁道”。硬盘的读写头在盘片表面上方移动从而访问硬盘的不同部分。由于硬盘上任何地方的数据都能够被直接访问到，因此文件中的每一块数据并不一定要按顺序存放，它们可以保存到任何地方。 　　 　　 一般来说，数据在硬盘上是按照簇来进行存放的。簇的大小与操作系统以及逻辑分区的大小有关。如果硬盘的簇大小为4K，那么即便是1K的文件也要占据4K的空间。而那些大文件则将由成百上千的簇来保存，这些簇遍布在整个硬盘中。操作系统中的文件系统组件会管理和跟踪这些分离的簇以保证文件的正确存取。 　　 　　 Microsoft Windows系统使用过的文件系统有三种。第一种是FAT（文件分配表），它早在DOS时代就开始被广泛使用；FAT32是从Windows 95时代开始被采用的，而NTFS则是由Windows NT 4.0引入的。这三种文件系统的基本组织策略是一致的。每个文件夹中存放着若干个文件，每个文件则包含了一个指向文件起始簇的指针。起始簇的FAT字段中包含了指向下一个簇的指针，依此类推，直到最后一个带有文件结束标记的簇。 　　 　　 数据并未消失 　　 　　 如果你使用通常的Windows操作来删除某个文件，实际上这些信息并没有被删除。首先，如果你通过Windows资源管理器删除文件，文件会被转移到“回收站”。即便你清空“回收站”，该文件也只是仅仅被忽略而已。该文件名的第一个字母会被改成特殊字符，该文件原先所占用的簇会被标记为可用簇，但原来的数据并没有马上被删除。直到下一次你保存某个文件时，如果这些簇被用到，才会用新的数据覆盖老的数据。在此之前，数据一直会保持完好无损。如果使用一种工具来绕过操作系统对硬盘直接进行读取就能取回这些数据。 　　 　　 如果你想恢复某个不小心被删除的重要文件，就必须注意不要去覆盖它。你应该立刻停止使用计算机并且不要往硬盘上保存任何数据，也不要试图安装恢复工具，因为任何写入硬盘的操作都有可能覆盖你想要恢复的文件所在的簇。如果原来没有安装过恢复程序，就从软盘或者光盘运行它。 　　 　　 如果数据被覆盖 　　 　　 如果原来文件的数据被覆盖，你就无法通过软件来访问它了。但这并不意味着文件数据完全不能恢复。有两种办法可以用来读取硬盘上被覆盖的数据。 　　 　　 当硬盘读写头在硬盘上写入一位数据时，它使用的信号强度只是用来写入一位数据，并不会影响到相邻位的数据。由于这个写入信号并不是很强，因此你可以通过它写入的数据位的绝对信号强度来判断此前该数据位所保存的是何种数据。换句话说，如果二进制数据0被二进制数据1所覆盖，其信号强度会比二进制数据1被覆盖要弱一些。使用专门的硬件就可以检测出准确的信号强度。把被覆盖区域读出的信号减去所覆盖数据的标准信号强度，你就能获得原先数据的一个副本。更令人吃惊的是，这一恢复过程可以被重复7次！因此如果你想避免别人使用这种方法来窃取你的数据，你至少要覆盖该区域7次，而且每次还应该使用不同的随机数据。 　　 　　 第2种数据恢复技术则是利用了硬盘读写头的另一个特点：读写头每次进行写操作的位置并不一定对得十分精确。这就能让专家们在磁道的边缘侦测到原有的数据（也被称为影子数据）。只有重复地覆写数据才能消除这些磁道边缘的影子数据。 　　 … Continue reading →