文件的删除与反删除

你是不是曾经错误地删除了想保存的文件？实际上这并不要紧，因为我们拥有相当大的回旋余地  
　　在大多数情况下，你都能够把误扔到废纸篓中的重要文件重新拣回（虽然你可能需要抹平上面的褶皱，擦去粘上的污渍）。即便你把文档扔进了碎纸机，只要付出相当的努力，利用残留的纸条，仍然可能达到恢复的目的。从另一方面来讲，如果为了让竞争对手绝无漏洞可钻而必须彻底毁掉一份文档，你恐怕必须采取某些极端措施了——比如烧毁底稿，然后散尽灰烬。对于磁盘上的文档，你也面临类似的选择。当你理解了文件存储和删除的原理后，就能够恢复意外删除的文件，或者让自己的最高机密永远从世上消失。  
　　初探文件存储  
　　在了解被删除文件是如何恢复之前，你先得知道文件是如何存储在磁盘上的。通常在Windows平台下使用的三种文件系统是FAT（文件分区表），FAT32（32位文件分区表）和NTFS（NT文件系统）。在FAT文件系统下，每一个磁盘被分成固定大小的簇。簇最少为512字节，其大小可以成倍增长，最大为32K。每个簇都由唯一的索引号——一个16位二进制数来标识。因为16位二进制数最大为65536，所以FAT分区所拥有的簇的数量不可能超过65536个。簇的个数和大小的限制，就是FAT分区为什么不能超过2GB的原因。  
　　FAT中的入口连接着组成一个文件的各个簇，文件的目录入口包含其第一个簇的索引号，而该簇在FAT中的入口又包含着下一个簇的索引号，依此类推。一个文件的最后一簇对应的FAT入口则包含着一个特殊的文件终止符（参见图1）。未使用的簇和损坏的簇也会用特殊代码标识出来。FAT32文件的原理几乎与此相同，但它的簇更小，而且由于FAT入口是32位，所以其容量理论上可以超过40亿字节。  
　　NTFS是一个相当高级的文件系统。它的主文件表（MFT）是一个非常完整的数据库，它负责对磁盘上的每个文件进行索引。每个MFT的入口通常为1K大小，其中记录了大量的文件信息。NTFS可以在文件的MFT入口中存储非常小的文件的全部内容；对于大一些的文件，这些入口会标识出包含文件数据的簇。  
　　文件删除  
　　不管使用什么文件系统，当你删除文件时，Windows通常都不会让它真正地“人间蒸发”。实际上，操作系统将文件的目录入口和关于文件原始位置的信息移动到一个隐藏目录下——也就是我们常说的回收站（Recycle Bin）。文件的数据簇并没有被删除，甚至没有被移动。只有目录入口的位置发生了改变。  
　　当回收站被填满时，老的文件会被真正的删除，当你清空回收站时，它们也会被删除掉。虽然在删除文件时，你可以通过按住Shift键来跳过回收站这道手续，但文件的数据还是保存下来了！在FAT和FAT32下，Windows会标记文件簇的FAT入口来指明它们可以再使用，然后通过把文件名的第一个字符改成某个特殊的标记字符，使这个文件的目录入口标记为删除。在NTFS下，这个过程也很相似；文件的MFT入口、目录入口、数据簇会被标记成可用。但是，文件的数据仍然被保留下来，直到簇被用来存储其它某些文件（参见图2）。  
　　文件恢复  
　　文件恢复的第一步比较简单：检查回收站。双击桌面上的图标，在列表上出现的内容中寻找你的文件（参见图3）。如果找到了，右击该文件并从弹出菜单中选择“还原”。这类事情越早做越好，因为新进入回收站的文件可能导致老文件被彻底删除。  
　　针对回收站的相关工具  
　　回收站存在某些限制。例如，它无法保留DOS程序、网络上其他节点、不支持回收站的Windows应用程序删除的文件。某些实用工具提供了第二层保护，它们会拦截住回收站错过的文件，也会在文件从回收站清除时予以保留。在Symantec的Norton Utilities 2001中，就有一个这类程序Norton Protected Recycle Bin；Ontrack的Fix-It Utilities 3.0中的Fix-It Deleted Files Bin则是另一个可选工具。当然，要让它们发挥作用，必须保证此类工具在文件被删除时处于运行状态。  
　　复原工具  
    WildFile的GoBack工具（现在已经归Adaptec所有）开创了另一种文件保护方式。GoBack会接管每个驱动器的主体，占用一定空间记录所有针对驱动器的修改。从保存的修改记录中，你能够复原所有的改变，让磁盘精确地恢复到早些时候的状态。如果病毒损坏了你的操作系统，或者一个马虎的职员删除了私人文件，你可以方便地地把系统恢复到一个小时以前、昨天、或者以前其他任何时刻的状态。PowerQuest的SecondChance的工作方式与此类似，但它在特定时刻（被称作检测点，checkpoint）存储磁盘的变化。Windows Me中的System Restore程序也可以让你把磁盘复原到之前存储的某个时刻的状态。  
　　反删除工具  
　　即使一个文件真的被删除了，利用反删除工具你仍然有办法恢复其中的数据。这些工具定位并重新收集含有文件数据的簇。这类程序只能够重新组装那些数据簇还没有被覆盖的文件，所以在此之前避免写磁盘操作是非常重要的。如果你还没有安装反删除工具，试一试在网络中的另一个节点或者可移动磁盘上安装运行此类工具。因为安装反删除工具本身就可能毁掉你希望挽救的文件。  
　　在基于FAT的文件系统中，反删除工具使用低级磁盘访问来读出被删除的目录入口，得到文件原先第一簇的索引号和文件的尺寸。这些实用工具会尝试定位其他簇的位置，如果成功的话，就要你提供文件名的第一个字母——它先前可能被改成了某个标记字符。NTFS下的对应过程就要复杂许多；微软一向极力宣传“在任何文件系统上的Windows NT中，都不可能执行反删除操作”（从微软知识库文章Q100108中可以了解更详细的信息）。这个过程确实很难，但不是不可能。也正因为这种难度，所以一些反删除工具不兼容NTFS。  
　　Norton Undelete在过去的DOS时代是非常基本的需求；Norton Utilities 2001的UnErase Wizard提供了类似的功能。你还会在Ontrack的Fix-It Utilities 3.0套件和另一个更全面的SystemSuite 2000中找到反删除工具。所有这三个工具都可以在FAT、FAT32和NTFS分区上使用。非常流行的用于NTFS的Diskeeper碎片整理工具的制作者Executive Software也在Undelete 2.0中提供了一个针对NT的解决方案。  
　　高级的数据恢复功能  
　　对于普通反删除工具无法恢复的文件，仍然还有更为强大的选择。PowerQuest的Lost & Found就是被设计用来恢复FAT或FAT32分区上的数据，它甚至无须引导操作系统。Ontrack提供了可免费下载的EasyRecovery，它最多可以恢复5个文件并标识出能够完全恢复的文件；EasyRecovery Pro还增加了对NTFS文件系统的支持。如果这些都没起作用，你可以联系数据恢复服务业务；这些服务经常能够从物理损坏（洪水、火灾，等等）的磁盘中找回丢失的数据。  
　　另一个Ontrack产品CaptureIt是用来协助执法人员访问特定计算机上的所有数据的。CaptureIt在文件系统以下的级别对整个驱动器进行一个字节一个字节的拷贝。这种拷贝能够存储在服务器上，以电子的方式加以标记以防修改，然后进行彻底地分析。而被检查的计算机仍然可以继续工作，无需在调查过程中作为证据被隔离扣押起来。  
　　是不是被删除文件的磁盘簇一旦被新数据覆盖的话，该文件就永远消失了呢？其实不然，实际上，老数据仍然可能保留在磁介质上，它们以波形的方式存在。使用复杂的高科技设备，技术专家首先拷贝出记录在磁盘区域上的实际波形，但并不把信号翻译成位和字节。然后他们会生成一个代表对应数据位的理想波形，把实际波形与理想波形相减，并放大二者的区别。如果这个过程成功的话，该过程就能恢复出以前存储在磁盘指定区域内的数据（参见图4）。理论上，你甚至可以重复上述过程，获取更早的数据块。但是物理上的限制不允许重复七次这样的过程。这并不意味着你能恢复第七层的数据，只表示你不能恢复七次。这个层次的恢复只能由专家来执行，不仅非常艰苦而且费用昂贵。在多数情况下，因刮伤而丢失的数据恢复起来费用要更为合理一些。  
　　反恢复工具  
　　你是否曾经向学校或社区捐赠过旧的计算机？即使你删除了文件或者格式化了磁盘，一个具有一定计算机水平的学生还是能够把硬盘上的商业文件或个人数据给恢复回来。而且，如果一个被删除的机密文档的纯文本拷贝还存在于系统中，那么所有的加密措施都是白搭。这也是为什么现有的某些工具是用来恢复误删除文件，而另一些则是用来阻止恢复操作的原因。正如前面所提到的，来回被覆盖七次的数据如果要恢复在物理上根本就是不可能的事情，前面提到的后一类工具利用的就是这一点。它们在删除文件之前用不同的数据位块（全部为1，全部为0，0、1交替，随机分配，等等）来覆盖文件的数据区域。Norton Utilities 2001中的Wipe Info模块处理的就是这样的任务，Play公司的Gizmos Mega-Pak的工作也是一样。Ontrack的DataEraser和PowerQuest的DataGone被设计用来清除整个磁盘。某些实用工具还会扫描磁盘并覆盖每一个被标记为未被使用的簇。  
　　现在，你已经成为了一个文件删除专家。你能够在文件丢失时把它们找回来，也知道如何防止黑客（或者敌对者的律师）把你希望销毁的文件给恢复出来。(全文完 摘自《个人电脑》)