论文部分内容阅读
一度引起网络界轩然大波的“艳照门”事件的背后说明了一个问题,那就是硬盘中的数据本身的安全保护措施很重要,而一些敏感的文件删除时也是很有讲究的,弄不好,这些被你认为删除甚至是通过Shift+Del彻底删除的文件在紧急时刻转身变为“内鬼”,吃里扒外将你治得很难堪。因此,数据删除特别是一些敏感数据的删除也要讲究科学方法。
一、通常情况下的数据删除原理
1.文件在磁盘中的存储原理
现在,大家普遍使用的是Windows系统,而在Windows系列系统下使用的是三种文件系统,分别是FAT(文件分区表),FAT32(32位文件分区表)和NTFS(NT文件系统)。在FAT文件系统下,每一个磁盘被分成固定大小的簇。簇最少为512字节,其大小可以成倍增长,最大为32K。每个簇都由唯一的索引号——一个16位二进制数来标识。
因为16位二进制数最大为65536,所以FAT分区所拥有的簇的数量不可能超过65536个。簇的个数和大小的限制,就是FAT分区为什么不能超过2GB的原因。
FAT中的入口连接着组成一个文件的各个簇,文件的目录入口包含其第一个簇的索引号,而该簇在FAT中的入口又包含着下一个簇的索引号,依此类推。
一个文件的最后一簇对应的FAT入口则包含着一个特殊的文件终止符。未使用的簇和损坏的簇也会用特殊代码标识出来。FAT32文件的原理几乎与此相同,但它的簇更小,而且由于FAT入口是32位,所以其容量理论上可以超过40亿字节。
NTFS是一个相当高级的文件系统。它的主文件表(MFT)是一个非常完整的数据库,它负责对磁盘上的每个文件进行索引。每个MFT的入口通常为1K大小,其中记录了大量的文件信息。NTFS可以在文件的MFT入口中存储非常小的文件的全部内容;对于大一些的文件,这些入口会标识出包含文件数据的簇。
2.文件删除原理
不管使用什么文件系统,当用户删除文件时,Windows通常都不会让它真正地从磁盘中彻底消失。实际上,操作系统将文件的目录入口和关于文件原始位置的信息移动到一个隐藏目录下——也就是我们常说的回收站(Recycle Bin)。文件的数据簇并没有被删除,甚至没有被移动。只有目录入口的位置发生了改变。
当回收站被填满时,老的文件会被真正的删除,当你清空回收站时,它们也会被删除掉。虽然在删除文件时,你可以通过按住Shift键来跳过回收站这道手续,但文件的数据还是保存下来了!在FAT和FAT32下,Windows会标记文件簇的FAT入口来指明它们可以再使用,然后通过把文件名的第一个字符改成某个特殊的标记字符,使这个文件的目录入口标记为删除。在NTFS下,这个过程也很相似;文件的MFT入口、目录入口、数据簇会被标记成可用。但是,文件的数据仍然被保留下来,直到簇被用来存储其它某些文件。
二、数据可恢复正是基于其存储方式
数据存储在硬盘中是按簇来存放的,然后再有相应的数据来记录每个数据簇的入口号,这样就像链条一样,只要能找到第一节链条,顺藤摸瓜的方法就可以找到所有的数据。而在文件删除时,其实只是在文件分配表中将被删除的文件所对应的簇的可用状态由原先的“已使用”设置为“可使用”状态。而簇中的数据确原封不动地呆在那儿。一些数据恢复软件(例如EasyRecovery)就是利用了这个特点,直接从一个簇一个簇地将没有动的数据恢复回来。假如某个簇被新数据覆盖后,那就无法成功找回了。
数据被删除后,甚至是大家通常认为的“彻底删除”也能被重新恢复,是不是很恐怖。对于一些普通数据倒还没什么,而如果被删除的是一些敏感数据,诸如公司财务数据等在被删除后,别人再将其找出,后果可能会不堪设想。因此,我们的思维绝对不能再定位到“Shift+Del”上面,不要认为这就是彻底删除,如果你执意不肯改变这样的思维,你可能就成为下一个陈冠希了!
三、如何才能安全的删除数据呢
彻底删除某个文件,通常情况下,大家可能已经猜到方法了,那就是在删除数据后,再向数据所在的位置写入新的数据,那不就是将其彻底覆盖了?这种方法属于手工方法,操作起来的确可行,但却不实用。现在市面上有很多专门用来彻底删除数据的软件,譬如360安全卫士就推出一款名为“360文件粉碎工具”就可以方便地帮助你彻底删除数据了。使用起来也很简单:
第一步:从http://www.360.cn/down/soft_down12.html将其下载并解压到硬盘中,运行该软件。
第二步:在程序主窗口中单击“添加文件”按钮将要彻底删除的文件添加到列表中,接下来再单击“粉碎选中文件”按钮即可完成彻底删除了。(图1)
这样删除后,神仙也没有办法再将其恢复回来了,在操作时请注意,请避免错误删除重要数据而导致灾难结果。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”
一、通常情况下的数据删除原理
1.文件在磁盘中的存储原理
现在,大家普遍使用的是Windows系统,而在Windows系列系统下使用的是三种文件系统,分别是FAT(文件分区表),FAT32(32位文件分区表)和NTFS(NT文件系统)。在FAT文件系统下,每一个磁盘被分成固定大小的簇。簇最少为512字节,其大小可以成倍增长,最大为32K。每个簇都由唯一的索引号——一个16位二进制数来标识。
因为16位二进制数最大为65536,所以FAT分区所拥有的簇的数量不可能超过65536个。簇的个数和大小的限制,就是FAT分区为什么不能超过2GB的原因。
FAT中的入口连接着组成一个文件的各个簇,文件的目录入口包含其第一个簇的索引号,而该簇在FAT中的入口又包含着下一个簇的索引号,依此类推。
一个文件的最后一簇对应的FAT入口则包含着一个特殊的文件终止符。未使用的簇和损坏的簇也会用特殊代码标识出来。FAT32文件的原理几乎与此相同,但它的簇更小,而且由于FAT入口是32位,所以其容量理论上可以超过40亿字节。
NTFS是一个相当高级的文件系统。它的主文件表(MFT)是一个非常完整的数据库,它负责对磁盘上的每个文件进行索引。每个MFT的入口通常为1K大小,其中记录了大量的文件信息。NTFS可以在文件的MFT入口中存储非常小的文件的全部内容;对于大一些的文件,这些入口会标识出包含文件数据的簇。
2.文件删除原理
不管使用什么文件系统,当用户删除文件时,Windows通常都不会让它真正地从磁盘中彻底消失。实际上,操作系统将文件的目录入口和关于文件原始位置的信息移动到一个隐藏目录下——也就是我们常说的回收站(Recycle Bin)。文件的数据簇并没有被删除,甚至没有被移动。只有目录入口的位置发生了改变。
当回收站被填满时,老的文件会被真正的删除,当你清空回收站时,它们也会被删除掉。虽然在删除文件时,你可以通过按住Shift键来跳过回收站这道手续,但文件的数据还是保存下来了!在FAT和FAT32下,Windows会标记文件簇的FAT入口来指明它们可以再使用,然后通过把文件名的第一个字符改成某个特殊的标记字符,使这个文件的目录入口标记为删除。在NTFS下,这个过程也很相似;文件的MFT入口、目录入口、数据簇会被标记成可用。但是,文件的数据仍然被保留下来,直到簇被用来存储其它某些文件。
二、数据可恢复正是基于其存储方式
数据存储在硬盘中是按簇来存放的,然后再有相应的数据来记录每个数据簇的入口号,这样就像链条一样,只要能找到第一节链条,顺藤摸瓜的方法就可以找到所有的数据。而在文件删除时,其实只是在文件分配表中将被删除的文件所对应的簇的可用状态由原先的“已使用”设置为“可使用”状态。而簇中的数据确原封不动地呆在那儿。一些数据恢复软件(例如EasyRecovery)就是利用了这个特点,直接从一个簇一个簇地将没有动的数据恢复回来。假如某个簇被新数据覆盖后,那就无法成功找回了。
数据被删除后,甚至是大家通常认为的“彻底删除”也能被重新恢复,是不是很恐怖。对于一些普通数据倒还没什么,而如果被删除的是一些敏感数据,诸如公司财务数据等在被删除后,别人再将其找出,后果可能会不堪设想。因此,我们的思维绝对不能再定位到“Shift+Del”上面,不要认为这就是彻底删除,如果你执意不肯改变这样的思维,你可能就成为下一个陈冠希了!
三、如何才能安全的删除数据呢
彻底删除某个文件,通常情况下,大家可能已经猜到方法了,那就是在删除数据后,再向数据所在的位置写入新的数据,那不就是将其彻底覆盖了?这种方法属于手工方法,操作起来的确可行,但却不实用。现在市面上有很多专门用来彻底删除数据的软件,譬如360安全卫士就推出一款名为“360文件粉碎工具”就可以方便地帮助你彻底删除数据了。使用起来也很简单:
第一步:从http://www.360.cn/down/soft_down12.html将其下载并解压到硬盘中,运行该软件。
第二步:在程序主窗口中单击“添加文件”按钮将要彻底删除的文件添加到列表中,接下来再单击“粉碎选中文件”按钮即可完成彻底删除了。(图1)
这样删除后,神仙也没有办法再将其恢复回来了,在操作时请注意,请避免错误删除重要数据而导致灾难结果。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”