Zašto je opasno da sami probate spasavanje obrisanih podataka?

Zašto je opasno da sami probate spasavanje obrisanih podataka?

 

Spasavanje obrisanih podataka može, na prvi pogled, delovati kao najprostiji deo spasavanja podataka.

Nema mehaničkog kvara, nema elektronskog kvara, nema ni problema sa nečitljivim delovima diska. Prosečnom korisniku stvar deluje jednostavno, instalira se jedan od brojnih besplatnih programa sa interneta i u roku od par minuta, fajlovi su vraćeni. Bar tako kažu njihovi proizvođači.

Međutim, da li je to zaista tako lako? Koji sve faktori mogu otežati ovaj, naizgled, lagan posao?

Odlučili smo se da napravimo jedan eksperiment kako bismo utvrdili koliki je rizik ovakvih „kućnih“ pokušaja spasavanja podataka od strane običnog korisnika.

Kako bismo analizirali što više mogućih faktora, test smo podelili na 2 dela.

Prvi deo podrazumeva obrisane podatke na HDDu, a drugi na SSDu u identičnoj kompjuterskog konfiguraciji, sa Windows 10 operativnim sistemom i NTFS fajl sistemom.

U oba slučaja smo koristili iste fajlove i nakon brisanja istih radili iste stvari, puštati isti video fajl u istom trajanju, kopiranje istih slika, poseta istih sajtova preko istih pretraživača, instalacija istih programa.

 

Kako sistem zapravo briše podatke?

 

Većina fajl sistema, pa tako i NTFS fajl sistem, informacije o fajlovima organizuju u obliku MFT (Master File Table).

U toj tabeli su zapisana imena, pocetne LBA adrese, broj sektora (veličina fajla), specifični datumi kao i neki dodatni atributi. Jedan od atributa označava da li je fajl zapravo obrisan.

Ukoliko je ovaj atribut  za neki fajl uključen, operativni sistem će na prostor koji fajl zauzima gledati kao na prazan prostor i prepisaće ga prvom prilikom. U međuvremenu taj fajl je moguće spasiti od „zaborava“.

Nakon nekog vremena unos za ovaj obrisani fajl u MFTu se prepisuje novim unosom za novi fajl.

U tim slučajevima, ukoliko nije došlo do prepisivanja sadržaja fajla, isti se može izvući ali bez informacija o imenu, datumima kreiranja i obnavljanja, putanji i slično.

TRIM

Trim je funkcija SSDa koja automatski prazni sektore obrisanog fajla kako bi se očuvale performanse SSDa.

Operativni sistem prilikom brisanja nekog fajla SSDu predaje spisak sektora koji su oslobođeni, a SSD, u trenucima kada je na „leru“, koristi slobodno vreme kako bi ispraznio ove sektore.

Iako ova funkcija deluje korisno u pogledu performansi, može biti jako opasna iz ugla spasavanja obrisanih podataka sa SSDa.

 

Priprema eksperimenta

 

Za test izabrali smo SSD Silicon Power A55, kapaciteta 128 Gb i hard disk Samsung ST320LM000 HM321HI koji je ograničen na isti kapacitet kao SSD.

Uređaje smo prethodno wipe-ovali (popunili nulama sve sektore) i instalirali svež operativni sistem. Zatim smo iskopirali iste fajlove na oba uređaja i to:

→  Dva video snimka u folderu Snimci

→  Pet PDFa, jedan .pttx, jedan .jpg i jedan .docx fajl u folderu Dokumenta

→  18 slika u folderu Slike

U startu smo obrisali po jedan od ovih tipova podataka. U tabeli ispod smo naveli imena fajlova kao i njihovu LBA adresu na disku.

 

tabela-obrisanih-podataka

 

Nakon toga smo simulirali redovno korišćenje računara (surfovanje internetom, gledanje video klipova na YouTube, kopiranje fajlova iz foldera Slike), a potom instalirali neki od programa za spasavanje podataka. Preseke smo obavili na 30 min i 90 min od brisanja fajlova.

Hronološki sled svih aktivnosti i aproksimativnih trajanja može se videti u tabeli ispod.

 

tabela-aktivnosti

 

Prvi presek

 

Nakon 30 min računar je stavljen u sleep mode, operativnom sistemu je onemogućen pristup particijama, a disk je skeniran profesionalnim programom za spasavanje podataka. Uporedili smo sadržaj original fajla i fajla kog smo izvukli ovim programom.

Statistika je pokazala da je u našem eksperimentu došlo do skoro potpunog prepisavanja fajlova u roku od pola sata nakon njihovog brisanja.

Rezultati se mogu videti u tabeli:

 

uporedna-tabela-HDD-vs-SSD

 

Uvidom u hexa sadržaj izvučenih fajlova vidimo da su oni u velikoj meri prepisani, a u slučaju SSDa imamo i da je fajl u velikoj meri TRIMovan.

Na slikama ispod možete uporedne rezultate skeniranja:

 

Poredjenje-DOCX-fajla-obelezeno

Poređenje .docx fajla

Poredjenje-PDF-fajla-obelezeno
Poređenje .pdf fajla

Poredjenje-MP4-fajla-obelezeno

Poređenje .mp4 fajla

Trimovan-sadrzaj

Trimovan fajl

Prvim presekom smo ustanovili da je i pola sata korišćenja računara opasno po obrisane podatke.

Uređaje smo vratili u računar i nastavili sa eksperimentom daljim korišćenjem računara.

Pokušavali smo spasavanje podataka koristeći besplatan softver, gledali tutorijale i čitali upustva, poput običnog korisnika koji bi se našao u ovakvom problemu.

 

Drugi presek

 

Nakon 60 minuta opet smo izvadili uređaje iz ponovo uspavanog računara i istim programom obavili dijagnostiku. Ustanovili smo da nikakav trag od obrisanih fajlova nije ostao. Unosi u tabelu MFT su bili prepisani, a prepisani su i sektori gde su se fajlovi nalazili. Fajlovi su nepovratno nestali.

 

Zasto nastaje ovakav problem?

 

Bez obzira na izbor aplikacije za spasavanje podataka, greške koje korisnike najčešće koštaju podataka su nastavak normalnog korišćenja računara, instaliranje programa za spasavanje na istu particiju gde su se nalazili obrisani podaci kao i snimanje spasenih podataka na istu particiju.

Svaki korak potencijalno dovodi do još većeg oštećenja obrisanih podataka. Portabilni programi takođe nisu rešenje jer ne blokiraju sistemu pristup particiji, pa sistem može da nastavi da upisuje svoje logove nesmetano.

Profesionalno spasavanje podataka podrazumeva da se ne radi na „original“ disku, već na njegovoj identičnoj kopiji koja je usput zaštićena od pristupa operativnog sistema. Samo na ovaj način je moguće sačuvati integritet obrisanih podataka u što većoj meri.

 

Zaključak

 

Iako u našem eksperimentu nismo imali mnogo podataka niti smo mnogo njih obrisali i nakon toga snimili, problemi sa kojima se suočavamo u praksi podudaraju se sa rezultatima koje smo dobili.

Zlatno pravilo spasavanja podataka je da je najveća mogućnost za spasavanje upravo u trenutku brisanja istih.

Svaki pokušaji u kućnoj radinosti ili nastavljanje korišćenja računara „kao da ništa nije bilo“ znatno smanjuje šanse za uspešno spasavanje.

Zato je najbolje odmah ugasiti uređaj i obratiti se specijalizovanoj kompaniji za spasavanje podatka.

 

Đorđe Kosanović
Inženjer spasavanja podataka
HelpDisc