Harddiskte
veya başka bir depolama aygıtında yıllar önce bile silinmiş bir bilgi,
kullanılabilir bir şekilde yeniden geri getirilebilir. Burada bu işlemin
mantığı hakkında bilgi vereceğiz.
Farzedelimki kum.docx adlı Word dosyasını oluşturup bilgisayarımıza
kopyaladık. Bu işlemin üç aşaması vardır.
ü FAT’e (File Allocation Table) kum.docx adlı dosyanın bilgi alanına
kopyalandığına dair bir giriş yapılır. Bütün diğer dosyalar gibi kum.docx
dosyasıda hardisk üzerinde cluster (küme) denen yerlere kaydedilir. FAT dosya
sistemi PC lerde kullanılan bütün işletim sistemleri tarafından tanınır.
ü Kum.docx dosyasının ismini , boyutunu
, FAT’e irtibatını ve başka bilgileri gösteren bir folder girişi yapılır.
ü Kum.docx harddiskteki
küme (cluster) üzerine kopyalanır. Tabiki dosyanın büyüklüğüne bağlı
olarak birden fazla küme (cluster) olabilir.
Fakat
kum.docx dosyasını sildiğinizde sadece iki
şey olur.
ü FAT girişi sıfırlanır. Uzman
ifadesiyle “kum.docx dosyasının kayıtlı bulunduğu kümenin (cluster) sayısal
olarak boş ve kayıt yapılmaya müsait olduğu belirtilir.”
ü Folder girdisinin ilk karakteri,
işletim sisteminin dosyayı ihmal etmesi gerektiğini bileceği özel bir karaktere
dönüşür. Aslında işletim sistemi sadece dosya orada yokmuş gibi davranır.
Diğer bir
çok silinmiş dosya gibi kum.docx
eksiksiz bir şekilde orada durur çünkü onun üzerinde hiçbir işlem
yapılmadı. Kum.docx dosyasını tamamen ve geri getirilemeyecek bir şekilde
silmek için iki şeyin olması gerekir.
ü İşletim sistemi aynı kümeye başka bir
dosyayı mesela su.docx isimli dosyayı kopyalamalıdır.
ü Su.docx ‘in boyutu en azından
kum.docx kadar olmalıdır.
Bir bilgisayar
sistemi asla gerçek olarak dosyaları silmez
Örnek olarak
kum.docx dosyası bir kümenin tamamını
dolduracak büyüklükteyse ve su.docx
bundan biraz daha az yer kaplıyorsa, kum.docx dosyasının kalan kısımları
geri getirilebilir. Geri getirilebilecek kısımlar kum.docx dosyasının su.docx
dosyası tarafından üzerine yazıldığında arta kalan kısımlar olacaktır.
İşletim
sistemlerinde iki şeyi aklınızdan çıkarmamanız gerekir.
ü Siz işletim sisteminin dosyayı nereye
kaydedeceğini kontrol edemezsiniz.
ü Harddisk kapasitesi büyüdükçe
silinmiş bir dosya üzerine yeni bir dosyanın yazılma ihtimali düşecektir.
Sildikleri word dosyalarının geri getirilmesini
istemeyenlerin başvurduğu ilk hilelerden biri, aynı isimde bir başka dosyayı
yazıp kaydetmektir. Ama unutulmamalıki dosya boyutu önceki kadar büyük
olmadığında silinen dosyanın geri getirilmesi mümkün olacaktır.
Translated from:
Computer Forensics for Dummies.
Linda Volonino –Reynaldo Anzaldua
Orijinal metin:
we’re keeping it simple.)
requires two events:
Chapter 6.
compose a shorter file, remnants of the original file remain for recovery.
Orijinal metin:
A hard drive is a big place, and data or other digital content from prior years
may be retrievable in pristine condition even if someone has deleted it. In
this section, we discuss how a computer operating system (OS) helps a file —
and your investigation — survive.
Imagine that you compose a Word document and save it on your laptop
with the filename Sand.doc. The process of saving a file on your hard disk
involves three basic events:
An entry is made into the File Allocation Table (FAT) to indicate the
space where Sand.doc is stored in the Data Region. Like all files,
Sand.doc is assigned (allocated) space on the hard drive. Those spaces
are clusters. The FAT file system is supported by virtually all existing
operating systems for personal computers.
A directory entry is made to indicate Sand.doc as the filename, its size,
link to the FAT, and some other information.
Sand.doc is written to the data region. That is, it’s saved to a cluster on
the hard drive. (Of course, files may occupy more than one cluster, but
we’re keeping it simple.)
But when you decide to delete Sand.doc, only two events happen:
The FAT entry for the file is zeroed out. That’s geek-speak for “the cluster
that’s storing Sand.doc is declared digitally vacant and available to store
another file.”
The first character of the directory entry filename is changed to a special
character so that the operating system knows to ignore it. In effect, it’s
only pretending that the file isn’t there.
Like many deleted files, Sand.doc remains intact because nothing has been
done to it. For Sand.doc to be totally overwritten and (almost) unrecoverable
requires two events:
The operating system must save another file (such as Water.doc) in
the exact same cluster.
Water.doc must be at least as large as Sand.doc.
A computer system never truly deletes files.
If, for example, Sand.doc filled an entire cluster and Water.doc file
data took up less space, remnants of Sand.doc remain and are recoverable.
The unused portion of the cluster is the slack space. More precisely,
it’s the portion of the cluster not used by the new file. Figure 1-1 shows
how the Sand file wasn’t dissolved (so to speak) by the Water file. Slack
space cannot be seen without the specialized tools you find out about in
Chapter 6.
When it comes to operating systems, remember these two concepts:
You have no control over where the operating system saves files.
The bigger the hard drive, the lower the probability that an existing
deleted file will be overwritten.
Semisavvy criminals may try to outsmart the operating system by deleting
the text, replacing it with non-incriminating content, and saving it with the
same filename. But if they forget to account for the file size issue and
compose a shorter file, remnants of the original file remain for recovery.
Hiç yorum yok:
Yorum Gönder