נמחק לכם קובץ? נעלמה תיקייה? מהו כונן קשיח? איך משחזרים..

מאת: רומן זאיקין, מטעם המרכז ללימודי מחשבים והשמה בתחום ההיי-טק – HackerU.

כמה פעמים קרה לכם שמחקתם קובץ מסוים או תיקייה שלמה ולאחר מכן הצטערתם על כך? או שאולי תהיתם מה קורה מאחורי הקלעים כאשר אתם מוחקים קובץ? מפרמטים מחיצה? והחשוב מכל – האם ניתן לשחזר את המידע?

בכתבה זו אסביר כיצד נשמר המידע מאחורי הקלעים בזיכרון המחשב, אסביר לאן המידע נעלם כאשר אתם מוחקים אותו והאם ניתן לשחזר אותו. חשוב לציין שאתייחס למערכת ההפעלה חלונות בלבד ולכן חלק מהתוכן יהיה לא רלוונטי למשתמשי לינוקס וbsd -. יחד עם זאת גם אם אינכם משתמשי חלונות חלק מהתוכן עדיין יהיה רלוונטי גם עבורכם ויעשיר את הידע.
לפני שאתחיל לגעת בנושא שיחזור המידע אתייחס לנושא אחסון המידע במחשב. כאשר אתם קונים דיסק קשיח, הוא מגיע אליכם ריק ממידע והמחשב שלכם יפרמט אותו לפני שתוכלו להשתמש בו. לאחר הפרמוט הראשוני הזה, המחשב שלכם יסרוק כל sector  ו- sector בדיסק ויסמן פגומים כדי שהמידע לא ייכתב עליהם.

בפעמים הראשונות שתכתבו, המידע על הדיסק הקשיח ישמר בצורה מסודרת בתוך sector וברצף בזה לאחר זה. עם הזמן אתם תמחקו קבצים ותתקינו עוד משחקים, שירים, מסמכים, תיצרו תיקיות חדשות ועוד.

המידע מאחורי הקלעים בכל sector יתחיל להתבלגן ויהיו קבצים שאפילו לא ישמרו ברצף בתוך הsector כיוון שמידע שנמחק כביכול "מפנה את מקומו" והמידע החדש ימלא את המקומות הריקים. לכן פעם בשבוע רצוי לבצע  disk Defragmentationכדי לאפשר למערכת ההפעלה לסדר את הזיכרון בדיסק הקשיח כך שיהיה לה קל יותר לאתר קבצים ולעבוד איתם.

למה מערכת ההפעלה צריכה לסדר את הקבצים?

במונחים של המחשב הדיסק הקשיח נחשב למאוד איטי בהשוואה למעבד או לram – לכן רצוי ואף מומלץ לסדר את המידע בדיסק כך שהראש קורא כותב ינוע כמה שפחות. Disk Defragmentation מסדר את ה- sector השייכים לאותה תוכנה או קובץ ברצף ב-Track. כך בעצם הראש קורא כותב יצטרך לנוע פחות ובזאת ישפר את הביצועים של המחשב שלכם.

לכל קובץ שנשמר במערכת ההפעלה ישנו מצביע שבעזרתו מערכת ההפעלה חלונות יודעת לפנות לקבצים האלו מקום. כאשר אתם מעבירים קבצים ממקום למקום המצביעים הללו מצביעים למיקומו החדש של הקובץ.

בתחילתו של כונן דיסק קשיח ישנו מקום ששמור למנהל הדיסק הקשיח הנקרא : master boot record. אותו MBR מכיל מידע על התצורה של המחיצות במחשב (partition  הכוונה לכוננים שלכם c ,d ,e וכו'). בנוסף ה-MBR מכיל מידע אודות מערכת ההפעלה וקוד בעל הרצה אשר מטרתו להעלות את מערכת ההפעלה עם העלאת המחשב.

עם הזמן התגלתה מגבלה בעבודה עם MBR והיא שהגודל המקסימאלי של הכונן שה-mbr יכול למפות והוא 2³² × 512 bytes . 

• 2³²  אורך מקסימאלי של המצביע לצורך מיפוי מידע.
• 512 הינו גודל ה- sector.

וכתוצאה מכך, דיסק קשיח אשר גדול יותר מ-2TB אינו יכול להתמפות על ידי  mbrובעקבות כך הומצא ה-GPT.

לאחר שהבנתם איך המידע נשמר בדיסק הקשיח, כעת נבין מה קורה למידע כאשר הוא נמחק מהמחשב ומה ההבדל בסוגי הפרמוט של הכונן הקשיח. לאחר מכן אתייחס לדרך שבה אתם יכולים לשחזר את המידע הזה.

 

היכנסו למחשב שלי ולחצו לחצן ימני על אחד הכוננים

ולאחר מכן לחצו על format.

כעת שימו לב לשני האופציות שעומדות לרשותכם.

1. ^1.         Quick format
2. ^2.         Format

במידה ותסמנו וי באופציה הראשונה הפרמוט יהיה די

מהיר וזאת כיוון שהמחשב לא יבצע סריקה עבור

Sector פגומים בכונן שלכם.

במידה ולא תסמנו וי באופציה הראשונה המחשב שלכם

יבצע פרמוט מלא ויסרוק את הכונן למציאת sector פגומים.

רצוי כאן לבצע סריקות מלאות ובכך להאריך את זמן חיי הדיסק הקשיח שלכם.

 

 

 

כעת אסביר לכם מה קורה למידע כאשר הוא כביכול נמחק מהמחשב שלכם. כאשר אתם מבצעים את פעולת המחיקה הקבצים לא באמת נמחקים.

הדבר היחיד שנמחק הוא המצביע אל הקבצים ובכך מערכת ההפעלה אינה יודע היכן נמצא הקובץ ומבחינתה הוא אינו קיים עוד. בכך שמערכת ההפעלה מחקה את המצביע אל הקבצים היא מאפשרת לעצמה לכתוב מידע חדש במקומות שבהם היו הקבצים. לכתיבת המידע בזיכרון גם כן יש שיטה ובכך המידע "המחוק" לא משוכתב עם התקנת תוכנה חדשה או קובץ חדש.

כתוצאה מכך תוכנות כגון–  Recurva: http://www.piriform.com/recuva
מאפשרות לכם לבצע סריקה במערכת הקבצים שלכם ומחפשת קבצים ללא מצביעים ממערכת ההפעלה.
כאשר התוכנה מאתרת קובץ כזה היא יוצרת לו מצביע ובכך מאפשרת לכם לשחזר את הקבצים שנמחקו.
אתם תופתעו לגלות שניתן לשחזר אפילו קבצים שמחקתם לפני כשנה, ויותר מכך גם לאחר שפרמטתם את המחשב עדיין ניתן לשחזר את הקבצים שהיו בו לפני הפרמוט.

כמובן שישנן דרכים לשכתב את כל הדיסק הקשיח מספר פעמים ובכך למחוק כל זכר למידע שהיה בו.

קיימת שיטה נוספת של שחזור קבצים אשר Microsoft הטמיעה במערכת ההפעלה שלה אשר נקראת העתקי צל או באנגלית זה נקרה – shadow copy. כדי להשתמש בשיטה עליכם בסך הכל ללחוץ עם לחצן ימני על קובץ כלשהו בשולחן העבודה או בכונן c ולבחור באפשרות-  restore previous version.

כך בעצם תוכלו לשחזר קובץ או מידע כלשהו אשר נשמר במחשבכם במועד בו עתקי הצל יוצרים עותק של הקבצים.

לאלו מכם שמעוניינים ללמוד את נושא שחזור המידע יותר לעומק ולהפוך למנהלי רשת אני מציע לכם לקחת קורס מנהלי רשתות ותופתעו לגלות אלו יכולות נוספות ישנם במערכת ההפעלה שלכם.