Відновлення захищених
і шифрованих NTFS файлів

Цей текст відкриває серію з двох статей, які обговорюють проблеми і можливості відновлення файлів, що використовують різноманітні інновації файлової системи NTFS. У статтях описується відновлення файлів, захищених, зашифрованих або стиснутих засобами NTFS, описуються проблеми та методи їх вирішення.

Відновлення захищених і шифрованих NTFS файлів

Засоби безпеки в NTFS

Розмежування доступу до файлів – одна з можливостей NTFS, необхідна для роботи в умовах багатокористувацьких операційних систем. Дозволити або заборонити доступ до файлу або каталогу можна за допомогою засобів управління безпекою Windows “Провідника”.

Права доступу користувачів

З точки зору алгоритму відновлення даних, атрибути безпеки не представляють проблеми. Утиліти з відновлення даних здатні зчитувати дані з диска безпосередньо, минаючи інтерфейси Windows API. Відповідно, атрибути безпеки ці програми можуть просто ігнорувати. Висновок – використання атрибутів безпеки NTFS ніяк не впливає на можливість відновлення даних.

Шифрування даних в NTFS

Шифрування даних засобами NTFS – набагато більш серйозна перешкода для коректного відновлення розділу NTFS, у разі проблем з жорстким диском.

Зашифровані файли неможливо розшифрувати, не знаючи точного пароля до профілю користувача, який зашифрував файл. Такі файли неможливо і неефективно відновлювати в режимі прямого доступу до диска, навіть якщо інформація про фото повністю доступна в MFT (головної файлової таблиці). Відповідно, програмам для відновлення даних доводиться використовувати алгоритм Windows для того, щоб спробувати прочитати зашифровані файли.

Обмеження

Крім очевидного обмеження на необхідність оригінального пароля (до речі, це обмеження можна обійти, просто запустивши інструмент з відновлення даних з-під облікового запису користувача, дані якого відновлюються), відновлення зашифрованих файлів привносить додаткові складності. Обмежено низькорівневий доступ до таких файлів (в іншому випадку їх не вийде ні знайти методом прямого сканування диска, ні коректно розшифрувати); відповідно, розробникам програм з відновлення даних з розділів NTFS доводиться використовувати Windows API для читання зашифрованих даних.

За допомогою Windows API можна зчитати дані далеко не в кожній ситуації. Приміром, відновити видалений файл можна досить легко. Відновлення шифрованих даних з відформатованого розділу складніше і можливо не в кожній ситуації, але все ще можливо. А ось прочитати зашифровані файли з розділу, файлова система на якому відсутня або сильно пошкоджена, буде дуже і дуже складно.

Інструментарій

З практичної точки зору, перераховані вище обмеження, означають лише одне: потрібно пробувати. Результат неможливо передбачити заздалегідь, не спробувавши відновити зашифровані дані. За допомогою програми Hetman NTFS Recovery таку спробу можна зробити безкоштовно, за допомогою пробної версії продукту.

У даній статті описані методи відновлення захищених і зашифрованих файлів. Наступна стаття розповість про відновлення файлів і каталогів, стиснутих засобами NTFS.

Author: Michael Miroshnichenko

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)