صدق أو ﻻ تصدق: البيانات يمكن إسترجاعها حتى بعد الفورمات !!!

السلام عليكم ورحمة الله وبركاته …

غالبا عندما تقدم على بيع حاسوبك الى العامة أو شخص آخر أول شيء تعمله هو نسخ البيانات والبرامج الخاصة بك عليه ومن ثم تقوم بعملية مسح كامل لما عليه أما من خلال الحذف العادي أو من خلال عمل فورمات كامل للجهاز … الحقيقة التي قد يجهلها الكثيرون وهي إنه الهارد ديسك حتى بعد الفورمات بغض النظر عن نوعه بإمكان إسترجاع ما عليه أو على الأقل جزء من الذي كان عليه … أعلم إن الأمر يبدو غريبا لكم ولكن هذه الحقيقة …
من الطرق التي ممكن تستعملها للحذف هي:

shred -vfz -n 100 /dev/hda

أو

dd if=/dev/zero of=/dev/hda

أو

mkfs -t ext3 /dev/hda

أو

mke2fs /dev/hda

أو

dd if=/dev/random of=/dev/hda

الحالة الأولى الذي أستعملنا فيها shred تقوم بالمسح وفق أحد القواعد المعلن عنها من قبل وزارة الدفاع الأمريكية في سلسلتهم المشهورة الــ DoD rainbow standards … حيث يقوم بالكتابة بالشكل هذا: 000 ثم 111 ثم 0101 ثم 1010 ثم 0011 ثم 1100 وهكذا … الحالة الثانية تؤدي الى تصفير القرص الصلب بالأصفار zero’s … الحالة الثالثة والرابعة تقوم بحذف الـ filesystem فقط وﻻ تؤثر على البيانات من الأساس ولهذا هي أسهل من الأولى والثانية … الحالة الخامسة يقال عنها إنها Randomly Generated … لكن للأسف هي ليست Random بتاتا ﻷنه الحاسوب ﻻ يقدر على عمل أرقام مبعثرة من دون وجود معادلة رياضية … والمعادلة الرياضية تعني التكرار ولو على المدى البعيد ولهذا معرفة التكرار سيسهل لك الوصول للحل … كل هذه ممكن أن تستعملها لمسح البيانات التي على القرص الصلب … وكلها تؤدي الى مسح كامل لكن مع ذلك هناك حقيقة وهي إن خبراء إسترجاع البيانات Data Recovery Experts بإمكانهم إسترجاع ما عليه أو على الأقل إسترجاع بعض منه … طبعا كلامي هنا ليس عن الناس الإعتياديين مثلي ومثلكم والذي ﻻ نملك الأدوات الكافية لهذه القضية ولكن أتكلم على المحترفين والذين لديهم معدات خاصة لهذه المسائل وأيضا هي فقط لزيادة المعرفة بيننا …

الآن ستسأل كيف يقوم هؤلاء الخبراء بإعادة البيانات بعد أن قمت بحذفها أو عمل إعادة تهيئة format للقرص الصلب ؟
أقول لك الطريقة ليس من خلال نظام تشغيل أو من خلال عمليات القراءة/الكتابة الإعتيادية التي تستعمل في برامجنا … بل يتم عمل مسح مغناطيسي لسطح القرص بشكل دقيق جدا للوصول الى ما يسمى بالــ signitures أو أدلة تعود للبيانات القديمة … يعني للتوضيح أكثر عند كتابة القيمة 0 على بت قيمته 1 تختلف مغناطيسيا عن كتابة 0 على بت قيمته 0 … للقراءة حول هذه الحالة أبحث في جوجل على: “Super Cooled Quantum Interference Device” … كما ذكرت هذه المسائل تحتاج الى معدات غير موجودة عند أي شخص ولكن موجودة عند الدوائر الحكومية الحساسة وأيضا شركات الــ Data Recovery …

وللقراءة عن هذا الموضوع أكثر تابع المرجع هذا:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

About [email protected]

[Between Teams of Red and Blue, I'm with the Purple Team]
This entry was posted in Linux Security. Bookmark the permalink.

14 Responses to صدق أو ﻻ تصدق: البيانات يمكن إسترجاعها حتى بعد الفورمات !!!

  1. مساء الخير ياعم ..
    بالنسبة لي ..
    في اكثر من مره أستعيد بعض بياناتي من خلال برامج إستعادة الملفات Recovery Data مع الحفاظ على نفس جودة الملفات !
    * ( لتحميل نسخة تجريبية من أحد هذة البرامج http://www.lc-tech.com/demo/frprodemo.html ) وللإفادة … سمعت ان مايكروسوفت تستخدم برامج أرشفة لسجلات النظام تحوي تفصيل كامل لكل عمليات الجهاز لدرجة ان العملية الواحدة قد تحتوي تفاصيل دخولك لموقع ما بالتاريخ والوقت الذي قمت به بدخول هذا الموقع والوصلات التي قمت بزيارتها وعدد نقرات الماوس والخ من ادق التفاصيل الغري وارده في حسبان المستخدم العادي ..وللمعلومية برامج الأرشفة هذي كما سمعت تقوم بـ ظغط البيانات بشكل غير طبيعي وتعمل بشكل يتوافق مع إمكانية إستعادتها حتى بعد عملية المسح الكاملة للجهاز .
    ثمة أمر آخر يتعلق بهذا الموضوع قرئت عنه مؤخراً قد يفيد القارىء سـ أوردة في رد مفصل .

  2. ABO_SAUD_911 says:

    السلام عليكم
    قمت بتجربة برامج تعمل ريكوفري (استعادة ملفات بعد الحذف)
    وبالفعل إستخرجت لي ملفات ولكنها معطوبه
    فأعتقد إن هذي الطريقة ما تنفع إلا قبل الكتابه على القرص مره أخرى
    يعني لو واحد كتب على هاردسك 20gb 20gb من الملفات
    ثم عمل فورمات وكتب على الهاردسك 20gb مرة أخري
    لايمكن إسترجاع المعلومات السابقة لانها مسحت نهائيا بالمعلومات الأخيره.

  3. للأسف … لم أجد المقال ..
    لكن .. الفكرة تتلخص في التالي :
    مافهمته من المقال وأستوعبته .. وأرجو ان يكون واضحاً للقارىء الكريم : أن اجهزة الهاردديسك مجهزة لـ تقرأ بشكل خاطيء !
    حيث تقوم انظمة التشغيل بقراءة أجهزة الهارد ديسك من خلال النظام الثنائي ..
    بينما العملية السليمة هي قراءة الهارد ديسك بالنظام الست عشري !

    :
    :
    هذا ما أستوعبته ..
    وهو مايعني أن ( 80 ) ميغا بالنظام الثنائي تعادل ( 1 ) قيقا بالنظام الست عشري !!

    :
    :
    من خلال عملية ربط بسيطة .. تتضح الصورة اكثر حول فكرة إستعادة البيانات !

    محبتي لـ كل من يقرأ .. ودمتم بكل خير .

  4. fakir says:

    السلام عليكم
    بارك الله فيك اخي ابامحمد على المقال الجميل.
    كنت قرأت مقال حيرني ، منذ حوالي خمس او ست سنوات حول كيفية مضاعفة حجم القرص الصلب باستعمال برنامج Ghost ، ستقول لي ما دخل الموضوع في هذا ؟
    الطريقة تعتمد على اعادة تهيئة جزء غير مستعمل و غير ظاهر ، وهو في الاساس خاص باسترجاع البيانات السابقة ، و قد تمكن البعض من زيادة حجم القرص الى 80% حسب المقال، فحوى الكلام انه يوجد قسم مخفي في القرص به نسخة عن كل البيانات، و الله اعلم.

  5. B!n@ry says:

    هلا وغلا أخوي عبد الرزاق …
    صراحة مداخلة ممتازة والله يجزيك الخير على الإضافة والتعقيب على الموضوع …
    لكن يالغالي البرنامج الي وضعت رابط له هو برنامج يعمل على ويندوز صح ؟
    بالنسبة لي لا أستعمل ويندوز نهائيا :) أما قد يفيد غيري إن شاء الله …

    صراحة دائما أنتظر مشاركاتك في تدويناتي ﻷنها فعلا تبعث بها الروح وجو جميل للنقاش …
    وبخصوص إنه الهارد ديسك مجهز ليقرأ بشكل خاطيء صراحة ﻻ أعلم عن هذه المسألة ولكن ما أعرفه إنه هناك حالات كثيرة وطرق كثيرة للإسترجاع وهي حقيقية وليست كما يظن البعض غير موجودة …

    شاكر لك أخي مرة أخرى …

  6. B!n@ry says:

    أخوي أبو سعود حتى المحترفين في الإسترجاع لن يسترجعوا البانات 100%
    لكن بإمكانهم إسترجاع كم ﻻ بأس به ومن خلاله يعرفون الكثير عن صاحب الجهاز …
    أما إنه مسألة تفرمت ومن ثم تكتب مرة أخرى ستزيل إمكانية الإسترجاع أقول لك ﻻ ممكن يسترجعون حتى مع هذه العملية وراجع تدوينتي وستعرف كيف …

    طيب هل سمعت عن الهلام الذي حول البشر ؟ هل تعرف إنهم حاليا توصلوا إلى إمكانية معرفة القاتل من الهلام الخاص به حتى لو بعد يومين ؟ على ما اذكر أخر ما توصلوا له يومين أو أسبوع مو مذكر بالضبط الفترة … لكن هل تصدق هذه ؟

    عالم عجيب غريب – سبحان الله …

  7. B!n@ry says:

    ويبارك بيك أكثر … يا هلا أخوي عبد الكريم …
    نعم أنا سمعت عن هذه المسألة مرة من خلال صديق كان محترف Assembly لا أعرف ماذا عمل لكنه إستطاع أن يجد مساحات لم تكن ظاهرة على القرص الصلب للمستخدم العادي … كان يستعمل الـ Intell x86 System Calls وفعلا كانت صرعة بالنسبة لنا كطلاب … وله ولكن أيامها جهازه ضربه فايروس إسمه Spaces هذا يقوم بعمل فراغات spaces داخل كل ملف ويعطبه ولهذا أعطب له جهازه وكل مشاريعه وراحت هدرا … ههههههههه WINDOWS :)

  8. uness says:

    سلام عليكم يا أبو محمد
    هل من المنطقي زيادة في حجم القرص الصلب باستعمال برنامج ؟ المعلوم إمكانية استرجاع المعلومات لا ت الفرمات high level لا تمسح المعلومات نهائي على عكس الفرمات low level .
    اخي فاكر ذكر البرنامج ghost وهو برنامج يمكن من احتفاظ بنسخة لنظام …. اخير ا تحياتي

  9. B!n@ry says:

    وعليكم السلام هلا أخي uness …
    أنت تسأل عن المنطق وأنا وضعت عنوان بدايته “صدق أو ﻻ تصدق” … وفعلا أخوي لو تقرأ في هذا المجال ستعرف إن ما قيل هنا صحيح … كلامك صحيح أخوي بخصوص الLow Level Format … ولكن يا خوي الطريقة في الإسترجاع مش من خلال برامج موجودة عندي وعندك ومن خلال فحص مغناطيسي لسطح القرص الصلب …

    حياك الله …

  10. AmiZya says:

    السلام عليكم اخواني
    بالفعل كما قال حبيبنا عبد الكريم فانه يوجد برنامج اسمه Norton Ghost وهو فعلا يزيد في سعة الهارد اذ قريت ان واحد زاد من 40 غيغا الى 80
    بل يمكن كذلك الزيادة حتى في حجم الميموري بتاع الجوال من 64 ميغا الى 256 و هذه الطريقة جد منتشرة..
    بل يمكن كذلك كسر سرعة الجهاز يعني ان تزيد فيها عن المصرح به ..
    بس يبقى اقول شي وهو انه لا شيء ياتي من العدم .. يعني لو زاد عندك مساحة الهارد فاعلم انه ستنقص اشياء اخرى منها عمره .

    و السلام عليكم ..

  11. B!n@ry says:

    وعليكم السلام أخي محمد أمين …
    أولا أعتذر على التأخر في الرد عليك ولكن كانت عندي مشاغل كثيرة منعتني من التفرغ ولو القليل لمدونتي بالإضافة الى مسألة المرض الذي أصابني مؤخراً …
    على العموم بالفعل أخي يوجد حاجات غريبة في العالم هذا وكل ما أتمناه هو أن أعيش لأتعلم وأكتشف هذه الأمور وأن لأ أموت وأنا جاهل :( …

    مشكور يا محمد مرة أخرى …

  12. ابو حياص says:

    انا احيي كل شخص يبحث في هذه المواضيع لان الجميع يزيد من معرفته ، لكن لماذا لم نحاول الى الان بأختراع شئ ، يعني اذا حالولنا ان نخترع شئ ولم نستطيع ، يؤدي ذلك الى زيادة المعرفة الى حد كبير و الله اعلم .

    اخوكم ابو حياص

  13. B!n@ry says:

    أخوي أبو حياص حياك الله أولاً …
    صدقني يالغالي المحاولة وعدم النجاح عمرها ما أدت الى مصطلح “الفشل” سوى في مجتمعاتنا العربية … في الخارج يقولون لم تنجح المحاولة أو التجربة بينما نحن نسميها فشل وهذا هو الفرق بيننا صراحة … وأنا واثق إننا لو حاولنا ستزداد معرفتنا أكثر وأكثر، لأني مؤمن بمبدأ وهو: الإنسان يموت وهو يتعلم …

    تحياتي لك أخي أبو حياص، وشكراً على هذه الزيارة الجميلة ::20

  14. St0rM-MaN says:

    معلش حضيف حاجه
    كنت زمان ايام ال win asm الي مش فاهم منها اي حاجه
    افتكر عملية مسح الملفات ديت
    المسح بيحول اسم الملف ل E5ilename يعني بدل filename بيتشال اول حرف ويطحط مكانه E5 هكس طبعا المهم يعني ممكن ببساطه ب
    debug تعمل load للبرتشن وتعمل بحث فيه وتدور عل E5 وتعملها load
    dump
    write

Comments are closed.