AFAIK, файл в файловой системе состоит из двух компонентов.

  1. Указатель, в котором хранится путь к каталогу файла. Также хранит список секторов / блоков на диске, из которого состоит файл.
  2. Реальные сектора / блоки на диске, в которых хранятся данные файла.

При удалении файла указатель удаляется без каких-либо изменений блоков. Но список блоков помечен как свободный для использования при записи данных. Не считая перезаписанных данных,

  • Если указатель полностью удален, как программы восстановления могут восстанавливать файлы?
  • Из какого источника эти программы восстановления получают список блоков, из которых состоит удаленный файл?

А также,

  • Можно ли уничтожить файл без перезаписи его блоков? Путем полной очистки списка блоков составляется удаляемый файл.
  • Можно ли сделать невозможным восстановление уже удаленных файлов, не перезаписывая свободное место? Путем полной очистки списка блоков, из которого состоит удаленный файл.

Рассмотрим фрагментированную файловую систему, такую как ext4, на диске размером 512 байт с физическим сектором. Восстановление файлов в значительной степени бесполезно, когда список блоков удаленного файла не может быть известен. Если такое возможно, возможно, это дает диску немного больше жизни.

1 ответ1

3

Если указатель полностью удален, как программы восстановления могут восстанавливать файлы?

Он просматривает дисковые блоки, которые не помечены как используемые любым файлом в файловой системе, и проверяет содержимое на неслучайные данные. Например, известный заголовок или текстовый формат файла.

Из какого источника эти программы восстановления получают список блоков, из которых состоит удаленный> файл?

Начните со списка всех блоков, которые помечены как используемые, и ищите все остальные. Однако некоторые файловые системы записывают цепочку блоков для недавно удаленных файлов, чтобы помочь в восстановлении.

Можно ли уничтожить файл без перезаписи его блоков? Путем полной очистки списка> блоков этот файл будет удален.

Это все равно будет обнаружено, если блок содержит некоторые распознаваемые данные, например, заголовок JPEG, и это позволяет восстановить оставшуюся часть изображения.

Можно ли сделать невозможным восстановление файлов из уже удаленных файлов, не перезаписывая> свободное место?

Нет, данные все еще находятся на диске и могут быть обнаружены.

Путем полной очистки списка блоков, из которого состоит удаленный файл.

Мои знания о файловых системах немного устарели, но они использовали для хранения ссылки на следующий блок в конце предыдущего блока, поэтому вам нужно было распознать только один блок данных и получить оставшуюся часть файла с этого момента , Главная таблица индексов должна была хранить только местоположение первого блока в файле. Я не знаю, относится ли это к современным (например, NTFS/EXT4) файловые системы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .