消したメールを復元?
例の事件で、「メールは消しても復元できる」と得意げに報道されています。ずっと以前、突然パソコンが起動しなくなったとき、ハードディスクがフォーマットされていない状態になっているようでした。
ここで、あまり詳しくないと、あきらめてリカバリCDなどを利用してOSをインストールしなおしてしまいますが、それでもデータは残っている可能性があるんです。
今回の捜査でも使われたと報道されている、「消したはずのデータを復元する」という方法で復活することができる場合があります。
なぜ消してしまったデータが復活できるのか。
ハードディスクは磁気でデータを記憶させることができる小さな円盤です。
その円盤上に、管理に便利なようにたくさんの部屋を割り当てています。
"book1.xls" というどこかで聞いたことのあるファイルを保存することを考えます。
"book1.xls" というファイルはデジタルデータです。パソコンの中のデータですから当然ですね。
これは、無数の0と1の組み合わせで成り立っています。
この0と1の羅列を、ハードディスクの中に作られた部屋に割り当てていきます。
部屋はわりと小さいので、部屋に入りきれないファイルは2部屋、3部屋・・・といくつも部屋を占有します。
データを保存したら、台帳に「"book1.xls"というファイルは部屋番号101から103を使ってます」と忘れないように記録しておきます。
次に"book1.xls"というファイルを開きたいとき。
まずは、台帳を見てみます。
どうやら部屋番号101から103を使っているらしいとわかると、その101、102、103から0と1の羅列を引っ張り出してきます。
そしてそれらを集めて"book1.xls"というファイルに仕立て上げて(メモリ上にコピーするなどして)実際に使うわけです。
"book1.xls"ファイルを削除するとき。
まず、台帳から"book1.xls"が101~103を使っていたことを消します。
以上です。
え?それだけ?
実は、台帳から消すだけで、その部屋にはデータが残ったままなんです。
台帳には記録されていないけれど、そこにはデータが残されているままなんですね。
普通にアクセスするときには必ず管理人を通すので、管理台帳が全てです。
でも、「強制捜査」になると、台帳は見ません。
残ったままになっているデータを一部屋一部屋調べて、データを引っ張り出します。
消されていようが消されていまいがお構いなし。
こうして、消したはずのデータが読み込めてしまうわけですね。
でも、次にファイルを保存するときには、その部屋のデータは上書きされる可能性があります。
だって、そこのデータは消されたはずのデータなので、消してもかまわないのですから。
これを利用して誤って消してしまったデータを復元したりする機能を持ったソフトウェアも一般に入手できるます。
例えば、「FINALDATA」というソフトなど。
消したデータは「上書きされるまで」そこに存在し続けます。
いつ上書きされるかはファイルシステム次第。
ハードディスクいっぱいになるまでファイルを作ったらきっとすぐ上書きされると思いますが、最近のハードディスクはデカいですから・・・。
ちなみに、保存するとき。
実は言っていませんでしたが、相部屋は禁止です。
既にデータが入っている部屋には他のデータを入れられません。
台帳で見ながら、使っていない部屋にデータを入れていきます。
"book2.xls"というデータを保存したいけど2部屋使います。
部屋番号100に保存したら、101から103は"book1.xls"が使っています。
次は104に保存します。
ちょっと部屋が離れてもかまわないのです。
正しく台帳に記憶しておけば問題ありません。
でも、部屋がとびとびになってくると、呼び出すときにちょっと時間がかかります。
101と、115と、203と、208と、1512からデータ取ってきて!っていうより101から105まで取ってきて!っていう方が早いですから。
このとびとびになっている状態を「フラグメント」といいます。
とびとびになった部屋をひとまとめにする一大事業が「デフラグ」というやつです。
デフラグすれば、きっと消したはずのデータは上書きされてしまいますね。
さて、突然パソコンが起動しなくなって「フォーマットされていません」状態のとき。
これは、何かの拍子に台帳がなくなってしまったのが原因です。
ハードディスク自体の物理的故障ではありません。
上記のソフトなど使えば、データを復活できる可能性があります。
ここでわかった人もいるでしょうけど、「フォーマット」とはディスク上に部屋を作り、台帳を作り直すことを言います。
クイックフォーマットは、台帳だけ作り直すこと、といったイメージでしょうかね。
別の経験談。
物理的に故障したとき、ダメモトでハードディスクを分解したことがあります。
円盤が回転するモーターが固着してしまっていたようで、動きません。
こんな修理方法は本当はイカンのですが、固まった回転軸の部分を無理矢理まわしました。
すっと力が抜けて回るようになりまして・・・
スムーズに動き始めました。
そーっともとにもどし、すぐにデータをバックアップしたら殆ど復活することができました。
こんなことは滅多にないでしょうけどね。ラッキーでした。
今回の件、一方では、パソコン(ハードディスク)が盗まれればカンタンに機密データを取り出すことができるということ。
他者に見られたくない新製品情報や新規プロジェクトだって消しておいても見られてしまうわけですから。
まぁ盗まれた場合はたいてい消してないんですけどね。
私のパソコンには都合の悪いメールも全て保存してありますので、強制捜査の際はぜひ私のパソコンも・・・
こう考えると、暗号化してデータを保存するメールソフトが爆発的に売れる予感がしますね。
関連記事
コメント
なるほど、為になりました。
ウチも早速対策を・・・必要ないかwww
いえ。
出る杭は打たれる風潮ですから・・・
データの扱いは慎重に。うかつに売りに出せない中古PC。サルベージはいくつもの方法があるのでしょう。詳しくはわかりませんが・・。データの扱いは慎重に・・
中古で買ったハードディスクをつけて売りに出す!ってのはどうでしょう~
中身に付加価値** うー
ああ、あの頃あなたに出会っていたら・・・。
そうさ
ボクたちは 出会うのが遅すぎたんだ
お願い,僕の過去は消したままにして・・・
えっと・・・
どのツールで復活しましょうかぁ
アベシッ!!