Восстановление системы без удаления файлов

Из-за наличия вирусов, несоответствия драйверов или программного обеспечения, может возникнуть сбой в работе ОС. Если у вас "полетел" Windows, не спешите паниковать. Ситуацию можно исправить, вернув состояние файлов и программ к тому моменту, когда ПК работал исправно.

Во время работы OS Windows 7-ой, 10-ой или 8-ой версии могут возникнуть определенные ошибки и неполадки. В результате таких сбоев новый запуск операционки в рабочем режиме становится невозможным. При этом вовсе не обязательно делать трудоемкую переустановку OS. Достаточно выполнить восстановление системы.

Восстановление OS с использованием среды восстановления

При работе используем следующую схему действий:

1. Перезагружаем компьютер, жмем клавишу F8 во время загрузки;
2. Устранение неполадок;
3. Восстановление системы, выбор точки восстановления OS;
4. Кликаем «Далее» и опять «Далее»;
5. Нажимаем кнопку «Готово», выполняем перезагрузку системы (в Меню выбрать загрузку с последней удачной конфигурацией).

Восстановление системы Windows 7

Есть несколько способов, к которым можно прибегнуть для возобновления работы ОС. Некоторые из них основываются на откате к сохраненным параметрам. Другие просто очищают данные.

Выполнить "реанимацию" ОС можно одним из способов:

• с помощью выбора точек восстановления;
• с помощью использования командной строки;
• посредством безопасного режима;
• с применением среды восстановления;
• с использованием образа/загрузочного диска.

Восстановить операционку с задействованием контрольных точек "реанимации" системы – один из самых доступных, эффективных и популярных вариантов. Чтобы его применить, необходимо провести ряд кликов:

При такой операции будут устранены неполадки в работе компьютера, отменены изменения и возвращено то рабочее состояние системы, которое позволяло ПК нормально загружаться. Потеря данных, файлов и документов при таком восстановлении не происходит. Все данные сохраняются. Операция обратима. Можно откатить систему до предыдущего состояния компьютера и задействовать иную точку для восстановления.

Многие задаются вопросом, как самостоятельно (вручную) делать восстановительную точку, чтобы в перспективе выбрать именно ее? Для этого в том же меню «Пуск» – «Восстановление системы» можно в любой удобный и подходящий для Вас момент создать самому такую точку. Она сохранится с указанием текущей даты, которую остается только запомнить.

С точки восстановления

В компьютерной инженерии есть такое понятие, как точка восстановления. Это сохраненные параметры ПК. Как правило, сохранение происходит автоматически с каждой удачной загрузкой ОС. Наиболее легкий способ возобновления Windows 7 заключается в использовании именно этих данных.

Нажмите F8 при загрузке компьютера. Данная команда вызовет меню вариантов запуска системы. Далее нужно выбрать опцию Последней удачной конфигурации.

Можно использовать и другой способ. Войдите в свойства папки Мой компьютер. Найдите строчку Защита системы, кликнув на которую вы откроете одноименное диалоговое окно. Нажмите Восстановление – Далее. Задаем контрольную дату, указываем диски, которые подлежат исправлению, и подтверждаем действия. После перезагрузки ПК должен нормально работать.

Без точек восстановления

Можно исправить проблемы с ОС и без наличия точек восстановления. Для этого потребуется прибегнуть к программе LiveCD. Ее нужно скачать и записать на флешку с расширением .iso.
Далее все действия будут происходить в БИОС. Необходимо настроить загрузку с флешки. Для этого в разделе Boot выберите USB-HDD в строке First boot device.

Перед тем как приступить непосредственно к восстановлению, скопируйте все нужные файлы на съемный диск. Программа LiveCD предусматривает специальное меню для этих целей.

Мы исправим системную ошибку, используя архивную копию. Подключите флешку, откройте папку WindowsSystem32config . Файлы с названиями default, sam, security, software, system нужно перенести в любую другую папку. На их место переносим аналогичные файлы из папки RegBack и перезагружаем компьютер.

Описанный способ поможет только в том случае, если проблема связана с реестром.

Командная строка

К "реанимированию" Windows 7 с командной строки можно прибегнуть, если ПК стал зависать или медленно работать, однако, система при этом загружается. Войдите в меню «Пуск» и при помощи правой клавиши мыши запустите командную строку от имени администратора. Задайте команду rstrui.exe , которая откроет программу восстановления системы. Нажмите «Далее». В следующем окне выберите желаемую точку отката и снова кликните «Далее». По завершении процесса, ПК должен нормально работать.

Зайти в утилиту можно иначе. Заходим в «Пуск». Для вызова командной строки нажимаем «Выполнить» и прописываем команду CMD . Кликаем мышкой на найденном файле CMD.exe и ждем запуск. Далее вводим в командной строке rstrui.exe и подтверждаем действие клавишей Enter на клавиатуре.

Не всегда удается перестраховаться и заранее создать точки восстановления ОС. Могут возникнуть неполадки, которые блокируют вариант подобной "реанимации" ПК. Тогда можно воспользоваться другим, не менее эффективным и легким вариантом – восстановление системы Windows с помощью самой системы.

Опираемся на схему:

1. Значок «Мой компьютер» – правой клавишей мыши «Свойства»;
2. «Защита системы»;
3. В новом окошке нажимаем «Защита системы», кнопка восстановления;
4. «Далее»;
5. Выбираем точку восстановления в соответствии с датой;
6. Указываем восстанавливаемые системные диски;
7. Подтверждаем операции и перезагружаем систему.

Восстановление Windows 7 посредством безопасного режима

Такому способу отдают предпочтение в случае, если привычная загрузка системы невозможна. Тогда после нажатия кнопки включения ПК на системном блоке удерживаем клавишу F8 , чтобы вызвать «Меню запуска». Одним из вариантов "Меню" является «Безопасный режим». Выбираем его и нажимаем Enter на клавиатуре. Как только Windows прогрузится, выполняем тот алгоритм действий, который мы описывали ранее.

Восстановление системы Windows 8/8.1

Если вам удалось запустить ОС, можно возобновить Windows 8 через «Параметры». Наведите курсор на правый верхний угол и войдите в них. Кликните на «Изменение параметров компьютера» – «Обновление и восстановление». Раздел «Восстановление» предложит несколько вариантов:

1. «Обычное восстановление с сохранением информации».
2. «Удаление данных и переустановка ОС».
3. «Особый вариант».

Определитесь с тем, что именно нужно сделать. Далее следуйте подсказкам меню.

Если вы выбираете последний способ, в открывшемся окне следует кликнуть на пункт диагностики. Вам будут предложены такие варианты:

• «Восстановить»;
• «Вернуть в исходное состояние»;
• «Дополнительные параметры». Этот пункт включает возможность отката к желаемой точке возобновления.

Чтобы возобновить Windows 8.1 нажмите Win+R и вызовите sysdm.cpl . В окне свойств системы во вкладке «Защита» укажите необходимый системный диск. Нажмите «Восстановить». Нажав «Далее», вы сможете увидеть список точек отката. Выберите желаемую и нажмите «Поиск затрагиваемых программ». Изменения, которые были произведены на ПК с выбранного момента, будут удалены. Завершите процесс, нажав «Готово».

В случае работы с ОС Windows 8 могут возникнуть неполадки, некорректная работа интернета и т.д. Чтобы это исправить можно воспользоваться классическим способом восстановления через точки восстановления.

Другим вариантом является откат системы. Для этого откроем меню «Пуск» – «Панель управления» – «Центр обновлений Windows». Выбираем пункт "Удаление обновлений". Тоже можно сделать используя командную строку.

Итак, в открывшемся перечне обновлений удаляем те из них, с момента установки которых (смотрим по дате) начались проблемы и неполадки. Удаляем ненужные файлы и делаем перезагрузку.

В системе Windows 8.1 можно выполнить сброс настроек. Важные файлы при такой операции затронуты не будут. Метод эффективный, но для его реализации нужно ОС беспроблемно загружалась. Используем алгоритм:

1. Правая сторона монитора – «Параметры»;
2. «Изменение параметров»;
3. «Обновление и восстановление» – «Восстановление»;
4. «Восстановление без удаления файлов».

Если зайти в систему обычным способом нельзя, необходимо воспользоваться диском с системой. Загружаем установочный диск, выбираем "Восстановление системы". Нажимаем кнопку "Диагностика", и "Восстановить".

Восстановление системы Windows 10

Если проблемы возникли с Windows 10, нажмите Windows + Pausе . Перейдите в «Защиту системы» и нажмите «Восстановить» – «Далее». Выберите нужный показатель и снова нажмите «Далее». По завершении действия нажмите «Готово». Компьютер будет автоматически перезагружен и изменения вступят в силу.

Одним из преимуществ «десятки» является возможность вернуть настройки к заводским. Это помогает избежать необходимости устанавливать систему сначала. Чтобы сбросить данные зайдите в «Параметры компьютера» – «Обновление и безопасность» – «Восстановление» – «Вернуть компьютер в исходное состояние». Нажмите «Начать».

Вы можете заблаговременно позаботиться о возможности отката при сбое. Точки возобновления можно создавать самостоятельно либо настроить их автоматическое создание с желаемой периодичностью. Для этого в параметрах, в пункте Обновление и безопасность, выберите Службу архивации. Укажите, куда следует сохранять копии, нажмите Добавление диска. После выбора устройства функция будет активирована.

Восстановить систему Windows 10 можно опять же через использование точек восстановления. При этом произойдет откат системы до момента, когда она беспрепятственно загружалась и работала без сбоев. Данный метод восстановления описан в начале статьи.

Если ОС не грузится, то на экране возникает предупреждающая таблица с клавишей «Дополнительные варианты восстановления». Нажимаем ее и выбираем «Диагностика» – «Восстановление системы». Делаем выбор контрольной точки восстановления Windows, ждем откат системы и перезагрузку.

Если подобные операции не помогли и компьютер продолжает работать некорректно, можно выполнить откат к базовым настройкам. Часть программ и утилит, персональные настройки ПК будут сброшены, а личные данные – удалены.

Данная методика используется крайне редко, если другие описанные выше варианты не помогают. Алгоритм действий при этом таков:

1. «Пуск» – «Выбор параметров» – вкладка «Обновлений и безопасности»;
2. Пункт «Восстановление» – кнопка «Начать»;
3. Выбираем удалить все файлы или частично их сохранить.

Откат системы после этого займет 40-90 минут.

Возобновление с использованием установочного диска

Один из радикальных методов исправления ошибки предполагает использование установочного диска. Запустив его в БИОС, нажмите Восстановление системы. В пункте Поиск и устранение неисправностей укажите желаемое действие. Далее следуйте подсказкам системы для завершения процесса.

Не утихают споры о том, что лучше Windows 10 или Windows 7. Такое явление не является случайным. Разработчики из Майкрософта уверяют, что лучше, чем Windows 10 ничего не найти, а опытные пользователи говорят наоборот, мол надёжнее системы, чем Windows 7 сейчас.

Давненько у нас на сайте не было крупных обзоров, а уж тем более таких глобальных, которые связаны с обновлением/переустановкой операционной системы. Представляем вашему вниманию сжатый, но очень полезный обзор о том, как обновиться до Windows.

Иногда при установке программ либо приложений на экране компьютера появляется сообщение, о том, что возникла ошибка 5 Windows 10. Это означает что пользователю отказано в доступе. Подобное случается если в системе есть несколько учётных.

One Response на "Восстановление системы Windows"

После того как высвечивается параметры восстановления системы мышь и клавиатура перестают работать , что делать?

Все способы восстановления рабочего состояния Windows 8.1. Возврат к ранней контрольной точке; восстановление без удаления файлов; восстановление с удалением пользовательских данных

В каждой новой версии Windows ее разработчики предлагают все более развитые средства быстрого восстановления системы. В этом смысле Windows 8.1 является одной из самых продвинутых. Для нее существует целых три уровня восстановления:

1. возврат Windows 8.1 к ранней точке восстановления;
2. восстановление Microsoft Windows 8.1 без удаления пользовательских файлов и данных;
3. удаление всех данных (системных и пользовательской информации) и переустановка Windows OS

Рассмотрим каждый из методов восстановления более подробно.

Восстановление Windows 8.1 из ранней контрольной точки

Восстановление системы использует точки восстановления для возврата системных файлов и параметров к состоянию на определенный момент времени, не затрагивая личные файлы и данные пользователя.

Точки восстановления автоматически создаются еженедельно, а также перед значительными системными событиями, такими как установка программ или драйверов устройств.

Точку восстановления также можно создать вручную.

Самый безопасный, с точки зрения противодействия потери персональных данных и сохранения работоспособности приложений, вариант — восстановление системы. Windows автоматически создает точки восстановления либо по времени (каждые 7 дней), либо при установке критических обновлений, либо при установке программ, которые запрашивают у системы это действие.

Для большей уверенности следует проверить, создаются ли на вашем компьютере такие точки. Нажимаем Win+Pause — Дополнительные параметры системы — Защита системы. Если система восстановления включена, то напротив системного диска будет надпись «Включено». Чтобы проверить, создаются ли точки, нажмите Восстановить. В окне выбора точек нажмите галку «Показать другие точки восстановления».

В Windows 8.1 вам не надо удалять старые точки восстановления. Они убираются самой системой, когда место для хранения точек восстановления кончается. Но вы можете управлять количеством дискового пространства, отведенным под их хранение. Нажмите «Настроить» в окне параметров «Защиты системы». Место, отведенное под хранение резервных точек, определяется процентом от общего объема диска.

Обратите внимание, что в Windows 8.1 файлы пользователя при восстановлении не удаляются. Поэтому если вы уверены, что проблемы начались с какого-то момента, то смело можете вернуть компьютер в эту точку. Однако, более правильным будет сначала попробовать удалить недавно установленное приложение. Возможно, проблема исправится сама собой.

Восстановление компьютера без удаления файлов

Если производительность компьютера снизилась по неизвестной вам причине, то можно восстановить его, не удаляя личные файлы и не меняя параметры.

Если компьютер обновлялся с Windows 8 до Windows 8.1 и имеет раздел восстановления Windows 8, то при обновлении компьютера будет восстановлена система Windows 8. После завершения восстановления вам понадобится обновить систему до Windows 8.1.

Приложения, которые вы установили с веб-сайтов и DVD-дисков, будут удалены. Приложения, которые присутствовали на компьютере изначально или были установлены из Магазина Windows, будут переустановлены. После восстановления компьютера Windows сохранит список всех удаленных приложений на рабочем столе.

Windows 8.1 четко разделяет системные файлы и персональные файлы пользователей. Когда что-то происходит с системой: нарушения каких-то важных файлов или сбой настроек системы, которые вы затрудняетесь восстановить, можно достаточно быстро откатить ее к исходному состоянию.

В таком щадящем варианте переустановки Windows восстановит системные файлы и сбросит все настройки по умолчанию, которые были на компьютере в момент первой установки системы. Иногда это помогает, и работоспособность Windows восстанавливается.

Технически «сохранение файлов пользователя» выглядит так. Перед началом переустановки Windows данные пользователя автоматически копируются в отдельное место, а после переустановки системы восстанавливаются из копии обратно.
Чтобы начать процедуру восстановления Windows этим способом выберите «Параметры компьютера» и найдите пункт «Обновление и восстановление».

Обратите внимание, что если компьютер поставлялся с Windows 8, а потом система была обновлена до версии 8.1, то восстановление вернет к жизни изначальную, восьмую версию. И вам опять придется обновлять ее до 8.1. Ну и конечно, системе при переустановке может потребоваться DVD или флэшка с образом установочного диска. Не забудьте предварительно записать ключ Windows. Его она тоже может спросить при переустановке.

Второй важный момент: все приложения, которые установлены пользователем самостоятельно, кроме магазина приложений Windows, будут удалены. Собственно это и правильно — именно сторонние, порой не проверенные приложения и вызывают чаще всего сбой системы.

Удаление всех данных и переустановка Windows

Этот метод применять следует только в крайних случаях, когда не помогло восстановление по первому сценарию. Все свои файлы документов, фотографий и музыки скопируйте предварительно в отдельный каталог. Дело в том, что Windows уничтожит все персональные файлы пользователя.

Если компьютер обновлялся с Windows 8 до Windows 8.1 и имеет раздел восстановления Windows 8, то при возврате в исходное состояние будет восстановлена система Windows 8. После завершения возврата вам понадобится обновить систему до Windows 8.1.

Все ваши личные файлы и параметры будут потеряны. Все установленные вами приложения будут удалены. Переустановлены будут только приложения, которые были на компьютере изначально.

Потеря личных данных — проблема, но зато устраняются все причины сбоя системы. Поэтому в этом варианте восстановления системы шансы на успех максимальные. В этом случае вам также понадобится образ системы на DVD или флэшке и ключ.

Официальный сайт Microsoft сообщает, что удаление всех данных и переустановка Windows требуется только в случае, если вы собираетесь передать компьютер кому-то другому в вечное и безраздельное пользование. То есть для всех остальных случаев существует восстановление Windows 8.1 без удаления файлов.

Заключение

Если работоспособность Windows 8.1 на вашем компьютере нарушилась, то можете попробовать указанные в этой статье способы восстановления, начиная с самого первого. К следующему переходим только если предыдущий не сработал. При возникновении каких-либо проблем, вы можете обратиться к нашим специалистам.

Дело в том, что работоспособность Windows может быть потеряна не только по причине сбоя в программной части, но и из-за отказа каких-либо аппаратных компонентов компьютера. Поэтому если восстановить Windows указанными способами не удалось, может потребоваться диагностика и последующий ремонт в виде замены испорченного модуля.

Содержание статьи

Для следователя, проводящего анализ компьютера подозреваемого, всегда есть данные, представляющие особый интерес. Но некоторым кажется, что если перезаписать область, где находился файл, случайными данными, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки данные нередко удается извлечь!

Что происходит при удалении файла? Очень просто: в файловой системе для него меняется один атрибут, и таким образом он помечается как удаленный. При этом содержание файла по-прежнему остается на жестком диске, и его можно восстановить с помощью одной из множества платных и бесплатных программ (например, R-Studio). Мы много раз писали о том, как безопасно удалить файлы без возможности восстановления. Благо для этого разработано огромное количество утилит-шредеров, которые с помощью несложных методик перезаписывают участки диска, на которых были расположены удаленные данные. Таким образом даже при использовании технологий восстановления, при которых производится считывание данных непосредственно с магнитных носителей, восстановить удаленные файлы будет невозможно. В эффективности такого подхода нас заверяли даже настоящие профессионалы в области восстановления данных. Но — лазейки для извлечения информации у гуру все-таки есть!

Файлы изображений

Начнем с рассмотрения простого случая — удаления обычной фотографии. Допустим, у нас есть папка с фотографиями, и мы избавляемся от одной из них. Причем удаляем по всем правилам, перезаписав нужную область диска несколько раз. По идее больше ничего не должно выдавать ее существования (если мы сами до этого не скопировали ее в другую папку и не забыли про это). Но тут-то как раз многие и забывают об одной особенности Windows — файле Thumbs.db. Это специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений из текущей папки. Если в проводнике выбрать режим отображения "Эскизы страниц", то операционка будет брать уменьшенные превьюшки изображений как раз из этого файла. Он создается в каждой папке, в которой есть картинки, и содержит уменьшенные эскизы изображений в формате JPEG (вне зависимости от формата исходного изображения).

Проведем небольшой эксперимент — создадим папку и поместим туда три любых картинки. Теперь откроем эту директорию в проводнике — появился Thumbs.db (чтобы увидеть этот файл, надо включить отображение скрытых файлов). Мы можем просмотреть и проанализировать его с помощью утилиты Thumbnail Database Viewer. Программа, как и положено, показывает эскизы для всех трех файлов. А теперь удалим один из них с помощью программы SDelete или любой другой программы для безопасного удаления данных:

sdelete.exe -p 2 file1.jpg

Параметр р отвечает за количество проходов шредера, то есть указывает, сколько раз файл будет перезаписан перед удалением. В результате изображение будет безвозвратно стерто с жесткого диска. Но посмотрим, повлияло ли как-то это удаление на Thumbs.db? Заново открываем его, и что мы видим? Эскиз для удаленной картинки по-прежнему на месте! Получается, что файл легко может содержать эскизы уже удаленных изображений. И на этом, как мне рассказывали, попался не один умный человек…

Как этого избежать? Очень просто — нужно просто отключить кэширование эскизов в файлах Thumbs.db. На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerAdvanced значение "1". В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer. И, само собой, важно не забыть удалить все Thumbs.db.

Файл подкачки

Подставы со стороны операционной системы на одном только файле с эскизами не заканчиваются. По мере работы с документом информация о нем попадает в различные части ОС — временную папку, реестр и так далее. Поэтому очень трудно отследить и удалить все связанные с файлом данные. Вдобавок ко всему, есть места, где копия файла может оказаться совершенно случайно (иногда такая случайность может стоить очень дорого). Я говорю о файле подкачки (pagefile.sys) и свопе памяти, используемом во время режима Hibernation (hiberfil.sys). Предсказать содержимое файла подкачки заведомо невозможно, и тут никто ничего не может гарантировать. Предлагаю еще на одном эксперименте убедиться в том, что это — опасное место.

Поскольку просмотреть или скопировать файл подкачки операционная система просто так не дает, то у нас есть два варианта: задействовать специальные утилиты или же загрузиться в другую операционку и получить доступ к файлу из нее. Мне второй способ показался более простым, так как под рукой был Back Track, начиненный различными утилитами, в том числе и для восстановления файлов. Поэтому, загрузившись с LiveCD, я смонтировал виндовый раздел и пошел в раздел "BackTrack->Forensic", откуда запустил утилиту Foremost. Эта замечательная консольная прога умеет восстанавливать файлы исходя из их заголовков и внутренней структуры. Необходимо лишь передать имя входного файла, в котором будет осуществляться поиск, и указать директорию, куда будут сохранены все найденные данные:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

В качестве входного файла я указал файл подкачки /mnt/hda1/pagefile.sys, а директорию для сохранения результатов — /root/Desktop/page_file. Программа начала свою работу. За короткое время Foremost сумел найти и извлечь 524 файла.

Статистика извлеченных файлов:
jpg:= 73
gif:= 4
gif:= 19
jpg:= 77
jpg:= 95
doc:= 1
pgp:= 65
pgp:= 62
pgp:= 44
pgp:= 36
dat:= 7
lnk:= 3
cookie:= 38

Утилита удобно отсортировала все файлы по типу и разложила по разным папкам. Первым делом я полез проверять, что же попало в папку jpg. Из всех восстановленных файлов около половины отказалось отображаться, зато другая — отлично просматривалась. И чего только не было среди картинок: пара фоток, которые я не так давно удалил; много мелких изображений с веб-сайтов; аватарки друзей из Facebook и прочее. Честно сказать, я не планировал обнаружить так много изображений. Кроме картинок мне хотелось еще узнать, что за единственный doc-файл, который попал в файл подкачки. Но, к сожалению, Word лишь ругнулся, что файл попорчен и не смог его открыть. Неожиданный сюрприз ждал меня в папке cookie — бегло пролистав несколько файлов, я обнаружил адреса роликов, которые я смотрел чуть ли не год назад на YouTube. Вот и еще одно доказательство, что даже удалив в браузере все куки и историю, все равно можно проколоться.

Что тут можно сделать? Есть несколько вариантов. Первый — отключить вообще файл подкачки. Для этого надо зайти в "Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change" и выбрать опцию "No paging file". Второй вариант — заставить операционную систему затирать все данные в файле подкачки перед выключением компьютера. Такой режим активируется, если установить для ключа ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management значение "1". К сожалению, второй метод очень медленный, и выключение системы будет занимать достаточно длительное время, так что применять его на практике или нет — решай сам. Аналогичная ситуация и с файлом hiberfil.sys. Его также можно попросту отключить, что сэкономит дополнительное место на диске.

Кстати, исследовать файл подкачки можно и под виндой. Но так как операционная система не дает его просмотреть и скопировать с помощью штатных средств, нам понадобится программка FTK Imager. Переходим в раздел "File-> Add Evidence Item" и указываем диск, где находится файл подкачки. На панели слева отобразится дерево каталогов, где необходимо выбрать pagefile.sys и воспользоваться функцией экспорта через контекстное меню. Файл подкачки без проблем скопируется в указанную нами папку, и никакие блокировки системы с этого момента не помешают его анализировать. Для анализа, кстати, можно воспользоваться DiskDigger или PhotoRec. Первая — проще, но вторая умеет восстанавливать более широкий круг различных форматов файлов.

Дефрагментация

Перейдем к следующей причине появления файлов-призраков. Чтобы было наглядней и понятней — опять же проведем небольшой эксперимент. Для него нам понадобится флешка и умение обращаться с WinHex’ом. Сначала обеспечим условия для опыта, удалив все данные с флешки. Для этого запустим WinHex, отдадим команду Open Disk и в появившемся окне выберем наш девайс. После открытия полностью выделяем все его содержимое (Ctrl+A) и забиваем нулями (Ctrl+L). Одно замечание — процесс перезаписи занимает достаточное количество времени, так что рекомендую взять флешку поменьше. С этого момента на драйве нет данных и, более того, нет файловой системы. Так что следующим шагом будет форматирование флешки в NTFS. По умолчанию Windows XP дает форматировать флешку только в FAT, но для наших манипуляций требуется NTFS. Чтобы операционная система позволила отформатировать устройство в нужную нам файловую систему, необходимо зайти в диспетчер устройств, найти там флешку и в параметрах установить опцию "Optimize for performance". После этого винда сможет отформатировать флешку в NTFS.

Цель нашего опыта — посмотреть, что происходит с файлами во время дефрагментации. Для этого создадим искусственную фрагментацию на нашем носителе информации. Возьмем три любых jpeg-файла и три каких-нибудь аудиофайла или видеоклипа (главное, чтобы их размер был больше jpeg’ов) и скопируем их на флешку в следующем порядке: 1.mp3, 1.jpg, 2.mp3, 2.jpg, 3.mp3, 3.jpg.

Интересно, как же они расположились на диске? Чтобы посмотреть это, воспользуемся тулзой DiskView от Марка Руссиновича. Она выводит графическую схему диска, на которой можно определить местоположение данных или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть на кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер. Запускаем программу, выбираем нашу флешку и нажимаем . Сначала идет зеленая полосочка, обозначающая системные кластеры, а вот сразу за ней — область синих кластеров, представляющих наши файлы, записанные друг за другом. Теперь создадим фрагментацию, удалив все аудиофайлы. Снова нажимаем и видим, что перед каждым jpeg-файлом есть пустая область. Теперь ненадолго переключимся в WinHex. Чтобы еще раз убедиться, что на флешке нет никаких лишних графических файлов, проведем поиск по сигнатуре: ищем последовательность "jfif", присутствующую в заголовке любого jpeg-файла. В итоге редактор, как и ожидалось, нашел ровно три таких последовательности, по числу оставшихся файлов.

Ну что ж, пришло время навести порядок: не дело, когда файлы вот так разбросаны по диску :). Запускаем дефрагментацию, столь любимую пользователями, для нашего носителя:

C:Documents and SettingsAdministrator>defrag h:
Windows Disk Defragmenter
Copyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Defragmentation Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по "jfif". Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Даже если бы мы использовали утилиты типа Sdelete и переписали перед удалением эти три файла сотни раз, их призраки все равно остались бы на диске и существовали там неопределенно долгое время. До тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить!

Правда и мифы о магнитной микроскопии

Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что их спасет. Другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в Сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить. Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, опять возьмем нашу подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет опять же JPEG. Его легко можно найти в WinHex’е по сигнатуре "jfif". У меня он расположился по смещению 274432. Ну что ж, запустим шредер (я юзал HDD Wipe Tool) и затрем весь диск. Теперь, если посмотреть в WinHex, что расположилось по смещению 274432, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.

"Хорошо, — скажешь ты, — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?" Ну что ж, давай поговорим о магнитной микроскопии. Суть метода в том, чтобы определить состояние каждого бита до его перезаписи. То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII. Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов "anti", выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность "anth". Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее. Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат, как и восстановление путем подбрасывания монетки на "орел-решка". Поэтому нет никакой необходимости по три раза перезаписывать диск.

Лучшая защита — это нападение

Что можно сделать, чтобы усложнить жизнь людям, к которым может попасть для экспертизы твой компьютер? Тут есть несколько вариантов. В случае, если на компьютере нашли "интересный" файл, время его создания будет веским доказательством против его владельца. Чтобы проследить цепь событий, эксперты опираются также на время создания/доступа/модификации файла. Так почему бы не запутать следы? На сайте metasploit.com есть такая замечательная утилита, как Timestomp, которая позволяет менять время создания, модификации или доступа для заданного файла. Основные опции для ее использования:

-m задает дату последней модификации файла
-a задает дату последнего доступа к файлу
-c задает время создания файла
-e задает время модификации файла, хранящееся в MFT
-z задает четыре вышеперечисленных параметра

Дата задается в следующем виде: DayofWeek MonthDayYear HH:MM:SS [AM|PM].

Есть еще очень интересная опция -b, которая устанавливает вышеперечисленные атрибуты таким образом, что известная в кругах компьютерных криминалистов программа EnCase их не видит и отображает пустыми :).

Таким образом, чтобы поменять атрибуты файла, достаточно выполнить в консоли команду:

c:>timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Легко можно набросать скриптик, который будет рекурсивно менять временные атрибуты файлов. Простейший вариант выглядит так:

for /R c:tools %i in (*) do timestomp.exe %i -z "monday 3/12/2009 10:00:00 pm"

Есть и другие способы подпортить жизнь товарищам-исследователям чужих HDD. В своей работе они используют программы, написанные обычными людьми, а потому — содержащими ошибки. Да-да, мы можем использовать уязвимости программного обеспечения, применяемого для поиска улик. Подробней об этом можно почитать в одном из докладов с конференции DefCon.

Заключение

"Безопасное удаление данных" – это не панацея. Смею тебя заверить, что описанные лазейки — не единственные в своем роде. И тот, кто по роду деятельности проводит экспертизы компьютеров на профессиональном уровне, знает, где и как найти необходимые ему данные. Теперь твоя безопасность в твоих руках — не дай "охотникам за приведениями" найти ни одного "призрака" на твоем компе. А еще лучше — не давай им повода приходить к тебе в гости :).