6. Технические каналы утечки информации. Подробная классификация технических каналов утечки информации. Краткая характеристика каналов.
7. Каналы утечки информации обрабатываемой техническими средствами приёма, обработки хранения и передачи информации. Понятие: ВТСС, ОТСС, посторонние проводники, контролированная зона. Краткая характеристика каналов.
8. Каналы утечки информации при её передачи по проводным каналам связи.
9. Материально-вещественный канал утечки информации. Способы восстановления информации на магнитных носителях. Пример программ для восстановления информации с магнитных носителей
Как файлы удаляются:
Итак, когда вы удаляете файл, с фактическими данными, хранящиеся в нем, Windows не делает буквально ничего! То есть не уничтожает, не стирает и никаким иным образом не модифицирует содержание удаленного файла, хранящегося где-то на жестком диске. Вместо этого Windows создает запись в файловой системе о том, что файл «удален» и таким образом «освобождает» пространство, которое он занимает, делая возможным его использование в других приложениях.
В течение небольшого промежутка времени, когда файл помечен как «удаленный», но его реальное дисковое пространство не используется другими программами, восстановить файл можно легко и безболезненно. Исходя из таких особенностей удаления файлов в системе и разрабатывались алгоритмы большинства старых и вновь созданных программ для восстановления данных.
Как файлы восстанавливаются:
Лет двадцать назад, когда появились первые инструменты для восстановления данных, работали они по самой простой схеме: сканировали пространство диска, находили записи, помеченные флажком «удален» и просто отменяли отметку! В результате удаленные файлы отображались как реальные. Впрочем, этот метод не утратил своей актуальности и сегодня. Если вы буквально только что удалили файл, если данные были повреждены совсем недавно, после чего на диск не записывались новые файлы, можно смело восстанавливать информацию по старинке. Функция быстрого анализа и восстановления все так же действенна, поэтому встроена практически в каждую программу для восстановления данных.
Ранее, работая с данной функцией, следовало проявлять максимальную осторожность, дабы не усложнить работу всей системы созданием так называемых перекрестных ссылок – при восстановлении с перезаписанных участков диска файловая система создавала записи для различных файлов, которые указывают на один и тот же сегмент жесткого диска, а это, согласитесь, проблема для самой же системы…Новое поколение инструментов, работа которых основана на аналогичных принципах, использует усовершенствованные механизмы поиска и восстановления данных. При восстановлении они уже не используют пространство тех секторов диска, на которые ссылается запись файловой системы, а копируют содержание удаленных файлов в другой документ (сохранять восстанавливаемые данные лучше на другом диске, но подробнее об этом позже). Однако и эти средства восстановления данных по-прежнему ограничены, так как их работа полностью зависит от работы файловой системы. Если диск отформатирован, недоступен, перераспределен, а уж тем более если повреждена вся файловая система, такие инструменты окажутся бессильны. В подобных случаях ситуацию могут спасти только абсолютно новые алгоритмы поиска и восстановления удаленных файлов.
Методы восстановления файлов
Прежде чем начать рассматривать различные методы восстановления файлов отметим одну важную особенность: Если данные на диске перезаписаны, то их не удастся восстановить ни одной программой и ни одном из известных методов.
Поэтому крайне важно чтобы до восстановления данных на диск не записывалась какая-либо информация.
Есть два метода восстановления файлов которые не были перезаписаны. Во всех утилитах восстановления используется либо один из них, либо оба.
Метод 1: Восстановление файлов посредством анализа информации о файлах и папках
Это самый первый метод используемый в программах восстановления данных, так как при его успешном применении восстанавливаются файлы с оригинальными именами, путями, отметками даты/времени, и сами данные.
Работа утилиты восстановления файлов начинается с попытке чтения и обработки первой копии информации о файлах и папках. В некоторых случаях (например при случайном удалении файла) это единственное что требуется для восстановления файлов.
Если первая копия информации о файлах и папках сильно повреждена, то утилита сканирует диск и ищет вторую копию информации о файлах и папках. При этом также производится детальный поиск дополнительной инфорации о структуре папок и файлов, которая может находиться в области диска, где хранятся данные. После этого вся найденная информация обрабатывается и воссоздается оригинальная структура папок и файлов.
Если файловая система диска серьезно не повреждена, то вполне вероятно удастся полностью восстановить структуру папок и файлов.
При сильном же повреждении файловой системы данный метод не позволит воссоздать полную структуру папок. В этом случае восстановленные файлы будут находиться в папках с присвоенными им виртуальными именами.
На
рисунке 3 вы видите эти папки в
программах R-Studio и R-Undelete.
Рисунок
3: Структура восстановленных файлов и
папок и виртуальные папки
Метод 2: Восстановление файлов при помощи сканирования файлов известных типов (поиска файлов по сигнатурам).
Если при помощи первого метода на удастся добиться желаемого результата, то следует произвести поиск файлов по сигнатурам. Этот метод позволяет восстановить больше данных, однако при этом не удаетсяполучить оригинальные имена файлов, отметки даты/времени или полную структуру папок и файлов на диске.
При поиске при сканировании файлов известных типов (поиск файлов по сигнатурам) анализируется содержимое диска и производится поиск по "файловым сигнатурам". Файловая сигнатура это некий общий для определенного типа файлов шаблон данных, находящийся в начале или в конце файла. Почти каждый тип файлов имеет по крайней мере одну файловую сигнатуру. Например, все файлы типа png (portable network graphics, переносимая сетевая графика) начинаются с последовательности символов "‰PNG" и многие MP3 файлы начинаются с последовательности символов "ID3". Такие файловые сигнатуры позволяют отнести данные на диске с определенному типу файлов и далее восстановить.
После
сканирования файлов известных типов
R-Studio и R-Undelete поместят найденные файлы
в категорию "Дополнительно Найденные
Файлы (Extra Found Files)", где они будут
структурированы по расширениям на
основе идентифицированной файловой
сигнатуры и где им будет присвоено некое
шаблонное имя (порядковый номер). См.
рисунки 4 и 5.
Рисунок
4: Файлы найденные на логическом диске
путем сканирования файлов известных
типов (Дополнительно Найденные Файлы
(Extra Found Files))
Рисунок
5: Файлы найденные вне логического диска
путем сканирования файлов известных
типов (Дополнительно Найденные Файлы
(Extra Found Files))
Ограничения Поиска Файлов по Сигнатурам
Несмотря на то, что при помощи данного метода можно получить наилучшие результаты при восстановлении данных с сильно поврежденной файловой системы, в нем имеются определенные ограничения. Прежде всего необходимо учитывать, что в некоторых типах файлов имеется файловая сигнатура в начале и в конце файла, в некоторых - только в начале (в конце файловой сигнатуры нет) и наконец в некоторых типах файлов вообще нет какой-либо различимой файловой сигнатуры.