Anularea stergerii este o caracteristica pentru restaurarea fisierelor de computer care au fost eliminate dintr-un sistem de fisiere, prin stergerea fisierelor. Datele sterse pot fi recuperate pe multe sisteme de fisiere, dar nu toate sistemele de fisiere ofera o functie de restabilire.
Recuperarea datelor fara o facilitate de anulare a stergerii se numeste, de obicei recuperare, mai degraba decat anularea stergerii. Anularea stergerii poate ajuta atat la prevenirea pierderii accidentale a datelor de catre utilizatori, dar poate reprezenta un risc pentru securitatea computerului, deoarece este posibil ca utilizatorii sa nu fie constienti ca fisierele sterse raman accesibile.
Suport software
Nu toate sistemele de fisiere sau sistemele de operare accepta anularea stergerii. Anularea stergerii este posibila pe toate sistemele de fisiere FAT, cu utilitati de anulare a stergerii furnizate incepand cu MS-DOS 5.0 si DR DOS 6.0 in 1991. Nu este acceptata de majoritatea sistemelor de fisiere UNIX moderne, desi AdvFS este o exceptie notabila. Sistemul de fisiere ext2 are un program suplimentar numit e2undel, care permite anularea stergerii fisierelor.
Sistemul de fisiere ext3 similar, nu accepta oficial anularea stergerii, dar utilitare precum ext4magic, extundelete, PhotoRec si ext3grep au fost scrise pentru a automatiza stergerea pe volume ext3. Undelete a fost propus in ext4, dar nu a fost inca implementat. Cu toate acestea, o functie de “cos de gunoi” a fost postata ca patch, pe 4 Decembrie 2006. Caracteristica Cos de gunoi foloseste atribute de anulare a stergerii in sistemele de fisiere ext2/3/4 si Reiser.
Instrumente din linia de comanda
Norton Utilities
Norton UNERASE a fost o componenta importanta in versiunea 1.0 a Norton Utilities in 1982.
MS-DOS
Microsoft a inclus un program similar UNDELETE in versiunile 5.0 pana la 6.22 ale MS-DOS, dar a aplicat abordarea Cos de reciclare in schimbul sistemelor de operare ulterioare folosind FAT.
DR DOS
DR DOS 6.0 si o versiune ulterioara accepta, de asemenea, UNDELETE, dar optional ofera protectie suplimentara utilizand utilitarul FAT snapshot DISKMAP si componenta rezidenta de urmarire a stergerii DELWATCH, care mentine in mod activ marcajele date si ora la care fisierele au fost sterse si impiedica suprascrierea continutului fisierelor sterse, cu exceptia cazului in care nu mai exista spatiu pe disc.
DELWATCH accepta, de asemenea, anularea stergerii fisierelor de la distanta de pe serverele de fisiere. Din Novell DOS 7, nucleul va stoca prima litera a fisierelor sterse in intrarile de director pentru a ajuta instrumentele de anulare a stergerii in recuperarea numelui original.
PTS-DOS
PTS-DOS ofera aceeasi caracteristica, configurabila printr-o directiva SAVENAME CONFIG.SYS.
FreeDOS
Versiunea FreeDOS a UNDELETE a fost dezvoltata de Eric Auer si este licentiata sub GPL.
Programe grafice
Mediile grafice ale utilizatorilor adopta adesea o abordare diferita a stergerii, folosind in schimb o „zona de pastrare” pentru fisierele care urmeaza sa fie sterse. Fisierele nedorite sunt mutate in aceasta zona de stocare si toate fisierele din zona de stocare sunt sterse periodic sau atunci cand un utilizator solicita acest lucru. Aceasta abordare este utilizata de cosul de gunoi in sistemele de operare Macintosh si de cosul de gunoi din Microsoft Windows.
Aceasta este o continuare naturala a abordarii adoptate de sistemele anterioare, cum ar fi grupul limbo folosit de LocoScript. Aceasta abordare nu este supusa riscului ca alte fisiere care sunt scrise in sistemul de fisiere sa perturbe un fisier sters foarte repede; stergerea permanenta va avea loc intr-un program previzibil sau numai cu interventie manuala.
O alta abordare este oferita de programe precum Norton GoBack (fostul Roxio GoBack): o parte din spatiul pe hard disk este rezervata pentru ca operatiunile de modificare a fisierelor sa fie inregistrate in asa fel incat sa poata fi anulate ulterior. Acest proces este de obicei mult mai sigur pentru a ajuta la recuperarea fisierelor sterse decat operatiunea de anulare a stergerii.
In mod similar, sistemele de fisiere care accepta „instantanee” (cum ar fi ZFS sau btrfs), pot fi utilizate pentru a realiza instantanee ale intregului sistem de fisiere la intervale regulate (de exemplu, la fiecare ora), permitand astfel recuperarea fisierelor dintr-un instantaneu anterior.
Limitari
Anularea stergerii nu este sigura. In general, cu cat se incearca anularea stergerii mai devreme, cu atat este mai probabil sa aiba succes. Acest lucru se datoreaza faptului ca, cu cat un sistem este utilizat mai mult, cu atat mai multe date sunt scrise pe unitate si, potential, alocate acelui spatiu sters. Fragmentarea fisierului sters poate reduce, de asemenea, probabilitatea de recuperare, in functie de tipul de sistem de fisiere. Un fisier fragmentat este imprastiat in diferite parti ale discului, in loc sa fie intr-o zona adiacenta.
Mecanica
Functionarea anularii stergerii depinde de sistemul de fisiere pe care a fost stocat fisierul sters. Unele sisteme de fisiere, cum ar fi HFS, nu pot oferi o functie de anulare a stergerii, deoarece nu sunt retinute informatii despre fisierul sters (cu exceptia software-ului suplimentar, care de obicei nu este prezent). Cu toate acestea, unele sisteme de fisiere nu sterg toate urmele unui fisier sters, inclusiv sistemele de fisiere FAT.
Sisteme de fisiere FAT
Cand un fisier este „sters” utilizand un sistem de fisiere FAT, intrarea in director ramane aproape neschimbata, cu exceptia primului caracter al numelui fisierului, pastrand cea mai mare parte a numelui fisierului „sters”, impreuna cu marca temporala, lungimea fisierului si locatia sa fizica pe disc. Lista clusterelor de discuri ocupate de fisier va fi totusi stearsa din Tabelul de alocare a fisierelor, marcand acele sectoare disponibile pentru utilizare de catre alte fisiere create sau modificate ulterior. In cazul FAT32, este in plus sters campul responsabil pentru cei 16 biti superiori ai valorii clusterului de pornire a fisierului.
Cand se incearca operatia de anulare a stergerii, trebuie indeplinite urmatoarele conditii pentru recuperarea cu succes a fisierului:
- Introducerea fisierului sters trebuie sa existe in continuare in director, ceea ce inseamna ca nu trebuie inca suprascris de un fisier (sau folder) nou care a fost creat in acelasi director. Daca acesta este cazul, poate fi detectat destul de usor verificand daca numele ramas al fisierului de anulat sters este inca prezent in director.
- Clusterele utilizate anterior de fisierul sters nu trebuie inca suprascrise de alte fisiere. Acest lucru poate fi verificat destul de bine verificand daca clusterele nu sunt marcate ca fiind utilizate in Tabelul de alocare a fisierelor. Cu toate acestea, daca, intre timp, un fisier nou a fost scris pe disc folosind acele sectoare si apoi sters din nou, eliberand din nou acele sectoare, acest lucru nu poate fi detectat automat de programul de anulare a stergerii. In acest caz, o operatiune de anulare a stergerii, chiar daca pare reusita, ar putea esua deoarece fisierul recuperat contine date diferite.
- Pentru dispozitivele FAT32, cei 16 biti inferiori ai adresei fizice sunt retinuti in mod normal in intrarea in director, dar bitii inalti ai adresei sunt redusi la zero. Multe programe de recuperare ignora acest fapt si nu reusesc sa recupereze corect datele.
- Sansele de recuperare a fisierelor sterse sunt adesea mai mari pe FAT12 si FAT16 in comparatie cu volumele FAT32, datorita dimensiunilor de cluster mai mari utilizate de sistemele anterioare si din cauza pierderii celor 16 biti superiori ai adresei clusterului logic pentru FAT32.
- Daca programul de anulare a stergerii nu poate detecta semne clare de neindeplinire a cerintelor de mai sus, va restabili intrarea de director ca fiind in uz si va marca toate clusterele consecutive, incepand cu cel inregistrat in vechea intrare de director. Apoi, utilizatorul trebuie sa deschida fisierul recuperat si sa verifice daca acesta contine datele complete ale fisierului sters anterior.
Prin urmare, recuperarea fisierelor fragmentate (dupa primul fragment) nu este posibila in mod normal prin procese automate, ci doar prin examinarea manuala a fiecarui bloc (neutilizat) al discului. Acest lucru necesita cunostinte detaliate despre sistemul de fisiere, precum si formatul binar al tipului de fisier care este recuperat si, prin urmare, este realizat numai de specialisti in recuperare.
Sisteme de fisiere NTFS
NTFS stocheaza informatii despre fisier ca un set de inregistrari de dimensiune fixa (de obicei, 1KB) in asa-numitul Master File Table (MFT). Numele fisierului si informatiile de alocare a fisierelor sunt incapsulate in aceste inregistrari, oferind informatii complete despre fiecare fisier specific. Cand sistemul sterge un fisier, intrarea din Tabelul de fisiere principal este eliberata pentru a fi fie deconectata, fie reutilizata, dar ramane inca pe disc. Pana cand intrarea MFT este reutilizata sau suprascrisa, fisierul poate fi recuperat cu usurinta: software-ul de recuperare a datelor poate gasi intrarea MFT „pierduta” si poate obtine informatii complete despre fisierul pierdut din aceasta.
Retineti, totusi, cand functia SSD TRIM este activata, continutul fisierului poate fi distrus la scurt timp dupa stergere pentru a reutiliza celulele de memorie SSD. Acest lucru face recuperarea continutului fisierului imposibila (doar informatiile despre nume, data si dimensiunea fisierului vor ramane pe disc).
Date pierdute, sterse si formatate
Uneori, datele prezente in unitatile fizice (hard disk intern/extern, Pen Drive etc.) se pierd, sunt sterse si formatate din cauza unor circumstante precum atacul de virusi, stergerea accidentala sau utilizarea accidentala a SHIFT+DELETE. In aceste cazuri, software-ul de recuperare a datelor este utilizat pentru a recupera/restaura fisierele de date.
