Восстановление защищённых
и зашифрованных NTFS файлов

Данный текст открывает серию из двух статей, обсуждающих проблемы и возможности восстановления файлов, использующих разнообразные инновации файловой системы NTFS. В статьях описывается восстановление файлов, защищенных, зашифрованных или сжатых средствами NTFS, описываются проблемы и методы их решения.

Восстановление зашифрованных NTFS файлов

Средства безопасности в NTFS

Разграничение доступа к файлам – одна из возможностей NTFS, необходимая для работы в условиях многопользовательских операционных систем. Разрешить или запретить доступ к файлу или каталогу можно с помощью средств управления безопасностью Windows “Проводника”.

Права доступа пользователей

С точки зрения алгоритма восстановления данных, атрибуты безопасности не представляют проблемы. Утилиты по восстановлению данных способны считывать данные с диска напрямую, минуя интерфейсы Windows API. Соответственно, атрибуты безопасности эти программы могут просто игнорировать. Вывод – использование атрибутов безопасности NTFS никак не влияет на возможность восстановления данных.

Шифрование данных в NTFS

Шифрование данных средствами NTFS – гораздо более серьёзное препятствие для корректного восстановления раздела NTFS в случае проблем с жёстким диском.

Зашифрованные файлы невозможно расшифровать, не зная точного пароля к учётной записи пользователя, который зашифровал файл. Такие файлы невозможно и неэффективно восстанавливать в режиме прямого доступа к диску, даже если информация о файле полностью доступна в MFT (главной файловой таблице). Соответственно, программам для восстановления данных приходится использовать алгоритм Windows для того, чтобы попытаться считать зашифрованные файлы.

Ограничения

Помимо очевидного ограничения на необходимость оригинального пароля (кстати, это ограничение можно обойти, просто запустив инструмент по восстановлению данных из-под учётной записи пользователя, данные которого восстанавливаются), восстановление зашифрованных файлов привносит дополнительные сложности. Ограничен низкоуровневый доступ к таким файлом (в противном случае их не получится ни найти методом прямого сканирования диска, ни корректно расшифровать); соответственно, разработчикам программ восстановления данных с разделов NTFS приходится использовать Windows API для чтения зашифрованных данных.

С помощью Windows API можно считать данные далеко не в каждой ситуации. К примеру, восстановить удалённый файл можно достаточно легко. Восстановление шифрованных данных с отформатированного раздела сложнее и возможно не в каждой ситуации, но всё ещё возможно. А вот прочесть зашифрованные файлы с раздела, файловая система на котором отсутствует или сильно повреждена, будет очень и очень сложно.

Инструментарий

С практической точки зрения, перечисленные выше ограничения, означают лишь одно: нужно пробовать. Результат невозможно предсказать заранее, не попытавшись восстановить зашифрованные данные. С помощью программы Hetman NTFS Recovery такую попытку можно сделать бесплатно с помощью пробной версии продукта.

В данной статье описаны методы восстановления защищенных и зашифрованных файлов. Следующая статья рассказывает о восстановлении файлов и каталогов, сжатых средствами NTFS.

Author: Michael Miroshnichenko

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 5.00 out of 5)