Thursday, May 13, 2010

"Excluir" é um termo impróprio...

Muita gente sabe que um arquivo quando excluído do disco, este não é excluído de fato... Mas muitos usuários não sabem disso e imaginam que recuperação de dados é uma tarefa árdua, que envolve ferramentas modernas e especializadas. A verdade é que o sistema operacional nunca apaga os arquivos realmente, e recuperar esta informação é uma tarefa muito simples, das mais básicas...

Imagine que você criou um documento no Bloco de Notas e o salvou no seu computador com o nome doc.txt

O processo de salvar um arquivo no seu disco rígido envolve, basicamente, três eventos:
  • Uma entrada é gravada na FAT (File Allocation Table) para indicar o espaço onde está armazenado a "região de dados do arquivo". Como qualquer arquivo, doc.txt aloca clusters no disco rígido.
  • Uma entrada de diretório é feita para indicar doc.txt como o nome do arquivo, seu tamanho, link para o FAT, e algumas outras informações.
  •  doc.txt é escrito para a região de dados. Ou seja, é salvo em um cluster em sua unidade de disco rígido. (Claro, os arquivos podem ocupar mais de um cluster, mas vamos manter o conceito simples.)



Mas quando você decidir excluir doc.txt, apenas dois eventos acontecem:
  • A entrada do FAT para o arquivo é zerado, o que significa que o cluster é declarado vago e disponível para armazenar outro arquivo
  • O primeiro caractere do nome do arquivo de entrada do diretório é alterado para um especial de modo que o sistema operacional sabe a ignorá-lo. Como efeito, o sistema operacional finge que o arquivo não está mais no disco

Como muitos outros arquivos apagados, o arquivo doc.txt permanece intacto, porque nada foi feito para com sua região de dados. Para que o arquivo doc.txt seja totalmente substituído e (quase) irreparável, são necessários dois eventos:
  • O sistema operacional deve salvar outro arquivo (como arq.txt) exatamente no mesmo cluster.
  • arq.txt deve ser pelo menos tão grande como doc.txt.



Se, por exemplo, doc.txt preencher um cluster inteiro e o arquivo arq.txt ocupar menos espaço, restos de doc.txt permanecem no disco e são recuperáveis. A parte não utilizada do cluster é o "espaço de folga". Mais precisamente, é a parte do cluster não utilizados pelo novo arquivo. Estes espaços são chamados de Slack e não podem ser vistos sem ferramentas especializadas. Estes espaços podem, inclusive, ser utilizados por malwares para armazenar informações.


Este post pode parecer um tanto quanto "For Dummies", mas será o fundamento para o próximo post que irei escrever aqui no blog. Até lá!

No comments:

Post a Comment