紧急行动,恢复被删文件
网络安全
话说上次一些漏网的黑客,对Jack的公司展开了疯狂的报复。这帮漏网之鱼利用SQL漏洞注入了木马侵入了Jack公司的网站服务器,并删除了大量重要的资料。Jack的公司是一家商业贸易公司,由于重要资料的丢失,众多客户将无法联系,顿时陷入困境……
Jack的公司:2006-9-3日 星期日 7:10
今天周末Ivon和Jack早早来到公司,公司领导希望能在下周星期一上班前找回被删的资料,否则将造成更大的损失。
Jack:刀都架脖子上了,这次请你亲自出马相救了。
Ivon:没想到这几个漏网之鱼太嚣张了,居然会删了这么多重要的商业资料。
Jack:资料被删除后,我让同事立即关闭了服务器再没开机过。
Ivon:对,这点很重要。文件被恶意删除后最好再不要有其他磁盘操作,尽可能的保全数据以免这部分磁盘扇区被再次覆盖,导致数据永久丧失。
Jack:这台服务器是Windows Server2003操作系统的,分区全部是NTFS格式的。这样恢复难度是不是大了些?
Ivon:的确,NTFS格式恢复数据的难度相对FAT32是大了些。关键还要看黑客是清空回收站还是利用专业文件粉碎软件进行删除。如果只是清空了回收站找回数据就有希望了,而找回用文件粉碎软件删除的数据的希望很渺茫。
Jack:我以前在书上看到硬盘数据恢复好像都是在DOS下进行的,似乎很复杂。
Ivon:以前是这样,那时的硬盘都不大最多10GB,且都是FAT格式。而现在的硬盘少说也有80GB,且分区为NTFS格式。所以那些DOS下的恢复软件无法支持这么大硬盘。目前比较知名的硬盘恢复软件有EasyRecovery Pro、FinalData等软件,比较常用的是EasyRecovery Pro,这款软件的特点是不会向原始驱动器写入任何数据,它在内存中重建文件分区表将数据直接传输到其他驱动器中。
Jack:是啊,一定不能往硬盘写入任何数据了,否则可能永远都没法恢复了。可以把服务器的硬盘接在其他电脑上,组成双硬盘。
Ivon:看来你很有长进嘛,数据保全工作做得不错。
Jack:名师出高徒嘛!这里面可是公司所有员工的心血,我可不敢马虎。
Ivon:安装好EasyRecovery Pro,软件运行后可以看到功能非常强大,不仅可以对整个磁盘进行恢复,还可对单个文件、邮件进行深度修复。(如图)
鉴于这帮家伙删除的资料比较多,这里我们选择“AdvancedRecovery”高级自定义选项,此功能极为强大,甚至可以从已被格式化的磁盘中查找并恢复数据,且不依赖任何文件存储结构。这时会跳出一个对话框询问是否保存恢复状态以用于以后继续修复,这里点“确定”。这帮家伙将服务器的F盘近一半的重要资料删除了,我们先着重恢复F盘的数据。在出现的高级选项中选择文件系统为NTFS并启用高级扫描(如图)。
随后软件开始自动扫描此盘以前所有被删除的数据,并尽可能找回。扫描时间就要看被删数据的大小了。
Ivon:关键就看这一步了。等等吧,但愿能找出这些宝贵数据。
3个小时后……
Jack:好了,已经显示出被删数据了(如图)。
Ivon:点下一步后出现“恢复目标选项”,填写好恢复存储路径将数据转存,运行一下证实这些被删的资料是不是完整的找回来了,
Jack:太棒了!终于找回来了!估计这帮家伙怎么也没想到他们的黑手没能得逞。
Ivon:这次之所以能全部找回被删数据,首先是他们没有用文件粉碎机,再就是你的数据保全做的非常好。造成这次事件的原因归根到底还是在于这些漏网之鱼利用了公司网站的漏洞。
Jack:真没想到他们居然会来这么一招,这也暴露了我们的网站的安全隐患。我有预感他们绝对不会就此罢休的,网站必须尽快补上漏洞。
文件删除后为什么可以找回?
存储在硬盘中的每个文件都可分为两部分:文件头和存储数据的数据区。文件头用来记录文件名、文件属性、占用簇号等信息,文件头保存在一个簇并映射在FAT/NTFS表中。而真实的数据则是保存在数据区当中的。平常所做的删除,其实是修改文件头的前2个代码,这种修改映射在FAT/NTFS表中,就为文件作了删除标记,并将文件所占簇号在FAT表中的登记项清零,表示释放空间,这也就是平常删除文件后,硬盘空间增大的原因。而真正的文件内容仍保存在数据区中,并未得以删除。要等到以后的数据写入,把此数据区覆盖掉,这样才算是彻底把原来的数据删除。
经文件粉碎机粉碎的文件为什么难以恢复?
文件粉碎类软件是通过多次重新写的方式,以覆盖原来文件信息的原理。通常是对磁盘要删除的区域不断填入0致使原数据全被0所覆盖难以恢复,这也是众多商业公司采取的资料销毁方式,目前为止还没有任何一款软件能够对粉碎后的数据进行恢复。但万事没有绝对,美军曾通过紫外线照射数据区之后,通过光谱分析等方式恢复出曾经写入磁盘的数据,不过这需要极为专业的设备及技术。目前为止绝对的数据资料销毁方式只有将硬盘销毁。