bilgisayarlardan ve diğer dijital ortamlardan kalıcı olarak dosya silinememesinin nedenleri

Harddiskte veya başka bir depolama aygıtında yıllar önce bile silinmiş bir bilgi, kullanılabilir bir şekilde yeniden geri getirilebilir. Burada bu işlemin mantığı hakkında bilgi vereceğiz.

 

Farzedelimki   kum.docx   adlı Word dosyasını oluşturup bilgisayarımıza kopyaladık. Bu işlemin üç aşaması vardır.

 

ü FAT’e (File Allocation Table)  kum.docx adlı dosyanın bilgi alanına kopyalandığına dair bir giriş yapılır. Bütün diğer dosyalar gibi kum.docx dosyasıda hardisk üzerinde cluster  (küme) denen yerlere kaydedilir. FAT dosya sistemi PC lerde kullanılan bütün işletim sistemleri tarafından tanınır.

ü Kum.docx dosyasının ismini , boyutunu , FAT’e irtibatını ve başka bilgileri gösteren bir folder girişi yapılır.

ü Kum.docx  harddiskteki  küme (cluster) üzerine kopyalanır. Tabiki dosyanın büyüklüğüne bağlı olarak birden fazla küme (cluster) olabilir.

 

 

Fakat kum.docx dosyasını sildiğinizde sadece iki  şey olur.

ü FAT girişi sıfırlanır. Uzman ifadesiyle “kum.docx dosyasının kayıtlı bulunduğu kümenin (cluster) sayısal olarak boş ve kayıt yapılmaya müsait olduğu belirtilir.”

ü Folder girdisinin ilk karakteri, işletim sisteminin dosyayı ihmal etmesi gerektiğini bileceği özel bir karaktere dönüşür. Aslında işletim sistemi sadece dosya orada yokmuş gibi davranır.

Diğer bir çok silinmiş dosya gibi kum.docx  eksiksiz bir şekilde orada durur çünkü onun üzerinde hiçbir işlem yapılmadı. Kum.docx dosyasını tamamen ve geri getirilemeyecek bir şekilde silmek için iki şeyin olması gerekir.

 

ü İşletim sistemi aynı kümeye başka bir dosyayı mesela su.docx isimli dosyayı kopyalamalıdır.

ü Su.docx ‘in boyutu en azından kum.docx kadar olmalıdır.

Bir bilgisayar sistemi asla gerçek olarak dosyaları silmez

 

Örnek olarak kum.docx dosyası bir kümenin  tamamını dolduracak büyüklükteyse ve su.docx   bundan biraz daha az yer kaplıyorsa, kum.docx dosyasının kalan kısımları geri getirilebilir. Geri getirilebilecek kısımlar kum.docx dosyasının su.docx dosyası tarafından üzerine yazıldığında  arta kalan kısımlar olacaktır.

 

İşletim sistemlerinde iki şeyi aklınızdan çıkarmamanız gerekir.

ü Siz işletim sisteminin dosyayı nereye kaydedeceğini kontrol edemezsiniz.

ü Harddisk kapasitesi büyüdükçe silinmiş bir dosya üzerine yeni bir dosyanın yazılma ihtimali düşecektir.

Sildikleri  word dosyalarının geri getirilmesini istemeyenlerin başvurduğu ilk hilelerden biri, aynı isimde bir başka dosyayı yazıp kaydetmektir. Ama unutulmamalıki dosya boyutu önceki kadar büyük olmadığında silinen dosyanın geri getirilmesi mümkün olacaktır.

 

Translated from:

 Computer Forensics for Dummies.     

 Linda Volonino –Reynaldo Anzaldua

Orijinal metin:

A hard drive is a big place, and data or other digital content from prior years

may be retrievable in pristine condition even if someone has deleted it. In

this section, we discuss how a computer operating system (OS) helps a file —

and your investigation — survive.

Imagine that you compose a Word document and save it on your laptop

 

with the filename Sand.doc. The process of saving a file on your hard disk

involves three basic events:

 

An entry is made into the File Allocation Table (FAT) to indicate the

space where Sand.doc is stored in the Data Region. Like all files,

Sand.doc is assigned (allocated) space on the hard drive. Those spaces

are clusters. The FAT file system is supported by virtually all existing

operating systems for personal computers.

 

A directory entry is made to indicate Sand.doc as the filename, its size,

link to the FAT, and some other information.

 

Sand.doc is written to the data region. That is, it’s saved to a cluster on

the hard drive. (Of course, files may occupy more than one cluster, but

we’re keeping it simple.) 

But when you decide to delete Sand.doc, only two events happen:

The FAT entry for the file is zeroed out. That’s geek-speak for “the cluster

that’s storing Sand.doc is declared digitally vacant and available to store

another file.”

 

The first character of the directory entry filename is changed to a special

character so that the operating system knows to ignore it. In effect, it’s

only pretending that the file isn’t there.

 

Like many deleted files, Sand.doc remains intact because nothing has been

done to it. For Sand.doc to be totally overwritten and (almost) unrecoverable

requires two events:

The operating system must save another file (such as Water.doc) in

the exact same cluster.

 

Water.doc must be at least as large as Sand.doc.

A computer system never truly deletes files.

 

If, for example, Sand.doc filled an entire cluster and Water.doc file

data took up less space, remnants of Sand.doc remain and are recoverable.

The unused portion of the cluster is the slack space. More precisely,

it’s the portion of the cluster not used by the new file. Figure 1-1 shows

how the Sand file wasn’t dissolved (so to speak) by the Water file. Slack

space cannot be seen without the specialized tools you find out about in

Chapter 6. 

When it comes to operating systems, remember these two concepts:

 

You have no control over where the operating system saves files.

The bigger the hard drive, the lower the probability that an existing

deleted file will be overwritten.

Semisavvy criminals may try to outsmart the operating system by deleting

the text, replacing it with non-incriminating content, and saving it with the

same filename. But if they forget to account for the file size issue and

compose a shorter file, remnants of the original file remain for recovery.