Phòng chống và điều tra tội phạm máy tính đề tài recovering deleted files and deleted partitions

Phòng chống và điều tra tội phạm máy tính đề tài recovering deleted files and deleted partitions

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH

Đề tài: Recovering Deleted Files and Deleted

Partitions

Ngành: Công nghệ thông tin

Chuyên ngành: An toàn thông tin

Giáo viên hướng dẫn : Hoàng Thanh Nam

Đơn vị công tác : Khoa An toàn thông tin - HVKTMM

Hà Nội, tháng 9 năm 2018

rẻereregagga BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

PHÒNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH

Đề tài: Recovering Deleted Files and Deleted

Partitions

Lớp: L02

Giáo viên hướng dẫn : Hoàng Thanh Nam

Đơn vị công tác : Khoa An toàn thông tin - HVKTMM

Nhận xét giáo viên

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Xác nhận của giáo viên

MỤC LỤC

Chương 1: RECOVERING DELETED FILES 1

1.1 Giới thiệu chung 1

1.1.1 Khái niệm 1

1.1.2 Điều gì xảy ra khi một tệp tin bị xóa? 1

1.1.3 Các cách xóa một tệp tin 1

1.1.4 Thùng rác trong Window 1

1.1.5 Recyle Hidden Folder 2

1.2 Phục hồi tệp tin trong Mac OS 3

1.3 Phục hồi tệp tin trong Linux 3

1.4 Một số phần mềm khôi phục tệp tin 4

Chương 2: RECOVERING Deleted Partitions 16

2.1 Disk Partition 16

2.2 Deletion of Partition 16

2.3 Phục hồi phân vùng đã xóa 17

2.4 Một số phần mềm khôi phục phân vùng 17

Kết luận 19

Tài liệu tham khảo 20

DANH MỤC TỪ VIẾT TẮT

MFT Master File Table

NTFS New Technology File System

FAT

CHƯƠNG 1: RECOVERING DELETED FILES

1.1 Giới thiệu chung

1.1.1 Khái niệm

Khôi phục các tệp đã xóa là quá trình mà điều tra viên đánh giá và tríchxuất các tệp đã xóa khỏi thiết bị lưu trữ và trả về tệp còn nguyên vẹn

1.1.2 Điều gì xảy ra khi một tệp tin bị xóa?

Khi một tập tin bị xóa, hệ điều hành đánh dấu tên của tập tin trong MFTvới một ký tự đặc biệt cho biết rằng tập tin đã bị xóa Máy tính bây giờ nhìn vàocác cụm chiếm đóng bởi tập tin đó là trống rỗng và do đó tận dụng không gian

để lưu trữ một tập tin mới Chữ cái đầu tiên của một tên tập tin được thay thếbằng một mã byte hex E5h Trường chỉ mục trong MFT được đánh dấu bằngmột mã đặc biệt trong NTFS Các cụm tương ứng trong FAT được đánh dấukhông sử dụng

1.1.3 Các cách xóa một tệp tin

Xóa tệp là cách di chuyển tệp khỏi hệ thống tệp của máy tính Lý do xóatệp là:

- Giải phóng dung lượng ổ đĩa

- Xóa dữ liệu trùng lặp hoặc không cần thiết để tránh nhầm lẫn

- Xóa thông tin nhạy cảm, không khả dụng cho người khác

Người dùng có thể xóa tệp theo nhiều cách khác nhau:

- Bằng cách nhấp chuột phải vào tập tin và chọn Delete từ phím Menu

- Chọn tập tin và bấm Delete hoặc Shift + Delete trên bàn phím

- Bằng cách kéo và thả tệp vào biểu tượng Thùng rác

- Từ lệnh trong menu hoặc một số chức năng khác trong phần mềm thứ 3

hệ điều hành ghi đè vị trí ban đầu của tệp Dữ liệu đã xóa từ các phương tiện lưuđộng như thiết bị USB không được lưu trữ trong thùng rác.

1.1.5 Recyle Hidden Folder

Thư mục này ($Recycle.Bin) chứa các tệp đã bị xóa khỏi MyComputer/This PC, Windows Explorer, và một số ứng dụng Windows

Thông thường thư mục này được ẩn trong các phân vùng Để hiển thị nó,

ta phải chọn Show hidden files, folders, and drives và bỏ chọn Hide protected

operating system files trong Folder Options.

Hình 1.1 Giao diện Folder Option

Hệ điều hành Windows theo dõi mọi tệp do người dùng gửi đến Thùngrác bằng cách tạo các tệp Info tạm thời

Khi một tệp hoặc thư mục bị xóa đường dẫn đầy đủ, bao gồm cả tên tệpgốc, được lưu trữ trong tệp ẩn đặc biệt có tên là "Info" trong thư mục Recycled

Tệp đã xóa được đổi tên, sử dụng cú pháp sau:

D <tên ổ đĩa gốc> <#>.<đuôi tệp tin mở rộng ban đầu>

Không có giới hạn kích thước cho thùng rác trong Vista và các phiên bảnsau của Windows trong khi các phiên bản cũ hơn bị giới hạn tối đa là 3.99 GB;các mục lớn hơn dung lượng lưu trữ của thùng rác không thể được lưu trữ trongthùng rác.

1.2 Phục hồi tệp tin trong Mac OS

Trong Mac OS X, xóa dữ liệu là do:

Khôi phục tệp tin đã xóa

Phương pháp 1: Khi một tệp bị xóa từ Mac nó không thực sự bị xóa, thay

vào đó nó được lấy ra khỏi thư mục của tập tin trong thư mục Phân bổ khônggian được phân bổ cho tệp, do đó không gian được giải phóng có thể được cấpphát để lưu trữ một số tệp khác Tập tin bị xóa được di chuyển tới thư mục

‘‘Trash’’ trong Mac Chọn file, nhấp chuột phải và nhấn vào khôi phục tùy chọn

3 Ngay cả thư mục Sao lưu có thể chứa các tệp đã vô tình xóa

1.3 Phục hồi tệp tin trong Linux

Trong Linux, các tệp bị xóa bằng cách sử dụng /bin/rm trên đĩa Hệ thốngtệp mở rộng thứ hai (extz) thường được sử dụng trong hầu hết các hệ thốngLinux Thiết kế của hệ thống tệp ext2 là dữ liệu có thể được ẩn ở một vài nơi.Chạy một tiến trình giữ tập tin mở và sau đó loại bỏ các tập tin Các nội dungtập tin vẫn còn trên đĩa và không gian sẽ không được khai thác bởi các chươngtrình khác Lưu ý rằng nếu một tập tin thực thi tự xóa, nội dung của nó có thểđược lấy từ /proc memory image; lệnh "cp/proc/$PID/exe/tm/ tạo bản sao củatệp trong /tmp

1.4 Một số phần mềm khôi phục tệp tin

Recover My Files

Recover My Files phục hồi dữ liệu phần mềm, phục hồi các tập tin làmtrống từ Windows Recycle Bin, hoặc bị mất do định dạng hoặc của một ổ đĩacứng, virus hoặc Trojan, tắt hệ thống bất ngờ, hoặc phần mềm lỗi

Hình 1.2 Giao diện Recover My File

EASEUS Data Rcovery Wizard

EASEUS Data Recovery Wizard cung cấp giải pháp khôi phục dữ liệutoàn diện cho người dùng máy tính để khôi phục dữ liệu bị mất do mất phânvùng hoặc hỏng hóc, lỗi phần mềm, nhiễm vi-rút và tắt máy bất ngờ

Hình 1.3 Giao diện EASEUS Data Rcovery Wizard

- Khôi phục các tập tin bị xóa hoặc bị mất làm trống từ Recycle Bin

- Phục hồi tập tin sau khi định dạng ngẫu nhiên, ngay cả khi đã cài đặt lạiWindows

- Khôi phục đĩa sau khi xảy ra sự cố ổ đĩa cứng

- Khôi phục tài liệu văn phòng, ảnh, hình ảnh, video, nhạc, email, v.v

- Khôi phục từ ổ đĩa cứng, ổ USB, thẻ nhớ, thẻ nhớ, thẻ máy ảnh, zip, đĩamềm hoặc bộ nhớ khác phương tiện truyền thông

PC INSPECTOR File Recovery

PC INSPECTOR File Recovery là một chương trình khôi phục dữ liệu hỗtrợ FAT 12/16/32 và tệp tin hệ thống NTFS

Hình 1.4 Giao diện PC INSPECTOR File Recovery

Tính năng:

- Tìm phân vùng tự động, ngay cả khi khu vực khởi động hoặc FAT đã bịxóa hoặc bị hỏng

- Khôi phục tệp bằng dấu ngày và giờ gốc

- Hỗ trợ lưu các tệp đã khôi phục trên ổ đĩa mạng

- Khôi phục tệp, ngay cả khi mục nhập tiêu đề không còn khả dụng nữa

Recuva

Recuva khôi phục file đã xóa của bạn từ máy tính từ máy tính windows,thùng rác, thẻ máy ảnh kỹ thuật số, người dùng MP3

Hình 1.5 Giao diện Recuva

Tính năng:

- Phục hồi các tập tin trên máy tính của bạn

- Phục hồi từ đĩa bị hư hỏng hoặc định dạng

- Khôi phục email đã xóa

- Khôi phục tài liệu Word chưa lưu

- Xóa an toàn các tập tin bạn muốn xóa vĩnh viễn

 Hoạt động hoàn toàn độc lập với hệ thống tập tin Chương trình sẽquét qua dữ liệu thô để phục hồi dữ liệu.

 Có khả năng khôi phục cả các phần dữ liệu đã bị ghi đè

 Sau khi hoạt động xong chương trình sẽ không để lại bất kỳ dấu vếtnào về tập tin tạm sinh ra như các phần mềm khác

 Làm việc với các thiết bị lưu trữ và ổ đĩa với tất cả các định dạng(FAT12, FAT16, FAT32, NTFS, ext3 )

Hình 1.7 Giao diện Handy Recovery

Handy Recovery hỗ trợ các định dạng sau:

 Hệ thống tập tin: NTFS / NTFS 5 + EFS, FAT 12/16/32, HFS / HFS+

 Thẻ nhớ: CF / SM / SD

Ưu điểm:

 Lưu hình ảnh đĩa

 Lưu trạng thái ổ đĩa để phục hồi trong tương lai

 Khôi phục tập tin từ phân vùng định dạng

Nhược điểm:

 Không có nhiều tùy chọn cấu hình

Stellar Phoenix Windows Data Recovery

Nó phục hồi dữ liệu bị mất do tình cờ, định dạng ổ đĩa cứng, hệ điều hànhhoặc ứng dụng liên quan đến sự cố, nhiễm virus / phần mềm độc hại

Stellar Phoenix Windows Data Recovery phục hồi:

 Tài liệu bị xóa / định dạng / bị mất, bảng tính, PowerPoint

 Tệp / thư mục từ phân vùng đã định dạng hoặc đã xóa

 Ảnh, hình ảnh, video, tệp nhạc

 Xóa email từ Microsoft Outlook và Outlook Express

Hình 1.7 Giao diện Stellar Phoenix Windows Data Recovery

Mac File Recovery

Mac File Recovery thực hiện quét nhanh chóng một ổ đĩa Mac bị hỏng đểxác định vị trí các tập tin đã xóa, phân vùng đã định dạng và bị hỏng

Nó phục hồi dữ liệu từ các phân vùng Mac bị xóa, bị hỏng và định dạng

Hình 1.8 Giao diện Mac File Recovery

Kernel Recovery for Macintosh là một công cụ phần mềm khôi phục dữ

liệu và tệp đã xóa từ hệ điều hành Macintosh

Hình 1.9 Giao diện Kernel Recovery for Macintosh

Boomerang Data Recovery Software

Boomerang Data Recovery Software for MacOS X phục hồi các tệp, thưmục, tài liệu bị xóa vô tình, phân vùng bị mất hoặc bị hỏng, khối lượng RAID,thẻ máy ảnh / flash, v.v

 Quét toàn bộ đĩa và khôi phục các tệp và tài liệu đã xóa

Hình 1.10 Giao diện Boomerang Data Recovery Software

Hình 1.11 Giao diện VirtualLab

R-Studio for Linux

R-Studio for Linux phục hồi các tệp đã:

 Đã xóa khỏi máy tính và khỏi Trash

 Bị hỏng do vi-rút, mất điện hoặc tắt máy đột ngột

 Mất từ đĩa đã được định dạng lại thành cùng một hệ thống tệp hoặcmột hệ thống tệp khác

 Bị hư hại

Hình 1.12 Giao diện R-Studio for Linux

Quick Recovery for Linux

Quick Recovery for Linux là một phần mềm khôi phục phân vùng Linuxnâng cao, phục hồi dữ liệu từ các ổ đĩa Ext2, Ext3 bị hỏng, bị xóa hoặc bị hỏng,

hệ điều hành Linux

Hình 1.13 Giao diện Quick Recovery for Linux

Kernel for Linux Data Recovery

Kernel for Linux Data Recovery phục hồi dữ liệu đã bị mất vì những lý dosau:

 Tham nhũng khối mô tả nhóm

 Bảng siêu khối hoặc bảng inode bị hỏng

 Cấu trúc phân vùng bị hỏng hoặc bị xóa

 Tắt hệ thống không đúng cách

 Xóa tập tin

Hình 1.14 Giao diện Kernel for Linux Data Recovery

TestDisk for Linux

TestDisk được thiết kế chủ yếu để phục hồi các phân vùng bị mất và /hoặc làm cho các đĩa không khởi động được sẽ khởi động lại khi các triệu chứnggây ra bởi phần mềm bị lỗi, loại bỏ các loại virus hoặc lỗi của con người

Hình 1.15 Giao diện Kernel for Linux Data Recovery

CHƯƠNG 2: RECOVERING DELETED PARTITIONS

2.1 Disk Partition

Disk Partition là không gian được xác định trên một đĩa cứng để lưu trữ dữliệu (chẳng hạn như tệp và tài liệu) và cho hệ thống lưu trữ tất cả các tệp cầnthiết để khởi động Windows

Disk Partition có tên; thường là một chữ cái duy nhất và dấu hai chấm (C :)Nhiệm vụ của Disk Partition:

 Tách hệ điều hành khỏi các tệp dữ liệu

 Chạy nhiều hệ điều hành từ cùng một đĩa

 Tạo phân vùng độc lập Các phân vùng khác sẽ không bị hỏng vớimột phân vùng bị phá hủy

 Sắp xếp dữ liệu hợp lý

 Đảm bảo máy tính chạy nhanh

2.2 Deletion of Partition

Người dùng hệ thống có thể vô tình xóa phân vùng hữu ích:

 Vô tình xóa phân vùng trong Partition Manager / Disk Management

 Vô tình xóa các phân vùng trong tiến trình cài đặt Windows

Điều gì sẽ xảy ra khi một phân vùng bị xóa?

 Tất cả dữ liệu trên phân vùng đã xóa hoặc ổ đĩa logic bị mất

 Xóa 1 phân vùng trên đĩa động có thể xóa tất cả các ổ đĩa động trênđĩa, dẫn đến đĩa bị hư hỏng

Khi một phân vùng ổ đĩa cứng bị xóa, nó không có nghĩa là xóa tất cả mọithứ, chỉ là phân vùng đánh dấu cách phân vùng được thiết lập

Phân vùng đã xóa có thể được phục hồi vì nó không bị xóa hoàn toàn,bằng cách sử dụng phần mềm để thiết lập lại các tham số đó

2.3 Phục hồi phân vùng đã xóa

- Phục hồi phân vùng đã xóa là quá trình điều tra viên đánh giá và truy xuấtcác phân vùng đã xóa

- Phục hồi giúp khôi phục các phân vùng bị mất vô tình hoặc virut, sự cố phần mềm hoặc là phá hoại

- Phục hồi phân vùng giúp khôi phục tất cả dữ liệu quan trọng bị mất sau khi vô tình mất một phân vùng

Phương án 1:

+ Khởi động lại hệ thống bằng đĩa CD cài đặt Window trong hệ thống.+ Nhấn các phím tương ứng được liệt kê trên màn hình để vào BIOS Trong BIOS kiểm tra trình đơn “ưu tiên khởi động” hoặc “thứ tự khởiđộng” để đặt đĩa CD là thiết bị khởi động đầu tiên

+ Khởi động lại hệ thống và cho phép Window bắt đầu cài đặt

+ Chấp nhận tất cả các lựa chọn để cài đặt window nhưng chọn “Repair

“thay vì “Install”

+ Bây giờ màn hình giống như Dos xuất hiện, gõ “fixboot” và ấn Enter

để khởi động lại hệ thống và kiểm tra phân vùng đã khôi phục lại đượchay chưa

ra ổ đĩa khác, điều này giúp file được an toàn

+ Phần mềm phục hồi phân vùng bao gồm: - active@ partition recoveryfor window, acronis recovery e

2.4 Một số phần mềm khôi phục phân vùng

Active @ Partition Recovery cho Window

Active @ partition recovery cho window phục hồi phân vùng bị xóa hoặc bị

hư hỏng nằm trên ổ đĩa dữ liệu, ổ cứng kèm theo, cũng như trên ổ USB gắn ngoài và thẻ nhớ

Acronis Recovery Expert

Acronis recovery expert là một phân vùng dữ liệu và công cụ phục hồi đĩa sửa chữa các kết quả của một lỗi cái nhân, phần cứng hoặc lỗi phần mềm, tấn công virus hoặc phá hoại xâm nhập của hacker Nó phục hồi các phân vùng bị xóa hoặc bị mất.

- Các tính năng: khôi phục các phân vùng bị xóa hoặc bị mất trên ổ đĩa cứng khởi động từ các đĩa CD, DVD, ở đĩa flash USB hoặc ổ cứng USB

Diskinternals Partition Recovery

Diskinternals Partition Recovery hổ trợ vô số các hệ thống tập tin và phục hồi dữ liệu hoặc phân vùng bị mất trong FAT12 ,FAT16, FAT 32, VFAT,

NTFS, NTFS4, NTFS 5, EXT2 và EXT3

NTFS Partition Data Recovery

Phục hồi dữ liệu Doctor cho window NTFS phục hồi dữ liệu tệp tin và thư mục bị mất do bị ghi đè, xóa định dạng, bị hư hỏng, hoặc bị hỏng hệ điều hành như window7, vista, xp, NT2000 2003 2008 , hoặc phương tiện lưu trữ khác

- Tệp bị mất do lỗi phần mềm hoặc tình cờ xóa

Easeus Partition Recovery

Easeus là một phần mềm phục hồi phân vùng cho ổ cứng.nó được thiết kế để phục hồi các phân vùng đã xóa hoặc bị mất trên một ổ đĩa cứng

Advanced disk recovery

Advanced disk recovery: quét hệ thống để tìm các tệp tin và thư mục đã xóa

và phục hồi chúng Ổ đĩa cứng, phân vùng, thiết bị bên ngoài và thậm trí cả đĩa

CD và DVD có thể được quét để tìm các tệp có thể phục hồi

Tính năng đặc biệt:

- Sử dụng bảng tệp chính hoặc tệp chữ kí để xác định tệp đã xóa

- Khôi phục dữ liệu đã xóa từ phân vùng và thiết bị bên ngoài

Power data recovery:

Power data recovery phục hồi dữ liệu đã xóa từ Windows recycle bin; khôi phục dữ liệu bị mất ngay cả khi phân vùng được định dạng hoặc bị xóa; và khôi phục dữ liệu từ ổ đĩa cứng bị hỏng, nhiễm virus, tắt hệ thống không mong muốn hoặc lỗi phần mềm

KẾT LUẬN

Khi ta nhấn delete một file nào đó thì nó sẽ được chuyển vào thùng rác, nhưng

về cơ chế vật lí thì nó không di chuyển đi đâu cả mà vẫn hoàn toàn ở đó Nó chỉ

là quy ước đối với máy tính là "đây là file đã bị xoá và không phải là dữ liệu cầndùng", nó chỉ là quy ước thôi Cũng như cái thùng rác ở nhà, chúng ta vứt nhữngthứ không cần dùng đến , để đến khi đầy hoặc nghi ngờ đã vứt nhầm thứ gì vào,

ta có thể "bới rác" ra tìm lại Khi rác đã đầy hoặc ta chắc rằng không vứt nhầmthứ gì vào, ta sẽ đi đổ rác

Vậy nếu ta xoá một file trong thùng rác (Recycle Bin) thì sao ? Dữ liệu sẽ đi vềđâu ?

Thực tế nó chẳng đi về đâu cả mà vẫn hoàn toàn nguyên vẹn tại địa chỉ vật lí,nơi mà nó được ghi trước đó Xoá một file thực chất chỉ là hình thức chỉ mụcindex của nó

Khi xóa file trong Recycle Bin, chúng ta không thể nhìn thấy những file đó nữa,

vì giá trị chỉ mục index của MFT bị thay đổi và máy tính hiểu rằng "À, file nàykhông cần hiển thị nữa và mình có thể ghi đè thông tin khác lên nó" Đây cũnglại là quy ước mà thôi, kể cả khi xóa trong Recycle Bin thì dữ liệu vẫn nằmnguyên vẹn trong ổ cứng cho đến khi nó bị GHI ĐÈ

Nhưng điều đó không có nghĩa là cứ xóa file xong, rồi ghi đè một dữ liệu kháclên thì nó sẽ mất hoàn toàn mà cần đảm bảo dữ liệu mới ở đúng vị trí của dữ liệu

cũ Hoặc thay vì ghi đè file mới lên ta có thể dùng phần mềm này để ghi toànnhững bit 0 vào địa chỉ được MFT đánh dấu là đã xóa