Comment les données sont écrites, stockées et effacées des disques durs?

Un de mes préférés directeurs informatiques, Buzz Eyler du district scolaire unifié de Orcutt, me dit que la plupart des gens n'ont aucune idée de comment les données sont stockées sur un disque dur fonctionnant sous Windows. Une discussion sur la façon dont elle est écrite et marqués pour l'effacement aiderait beaucoup de gens comprennent ce qui se passe sous le capot de leur ordinateur.

D'abord, un petit retour en arrière: à l'intérieur de votre disque dur est un empilement d'un ou plusieurs plateaux optiquement parfait où les données sont stockées magnétiquement. Lorsque le disque est formaté à l'origine, elle est définie dans un schéma de cercles concentriques (cylindres) et de cales. Essayez d'imaginer un hybride d'un album et une pizza ... ou un jeu de fléchettes. Cependant, plutôt que 8 tranches de pizza, ou environ 80 endroits assez grands pour faire atterrir votre fléchette, il peut y avoir des centaines de millions de secteurs extrêmement petites. Un secteur est de 512 octets en taille - ou assez grand pour contenir environ 256 caractères. Windows, ces morceaux à en grappes, dont chacun détient environ 64 Secteurs. Chaque fois que vous créez un fichier, Windows met de côté - alloue - au moins un cluster, puis écrit les données à elle. Chaque fois qu'un fichier dépasse un cluster de taille, de l'ordinateur attribue une autre grappe entière. Mais même si un fichier se compose d'une lettre, qui est de 2 octets, l'ordinateur alloue environ 32.000 octets (en réalité 32 768) de l'espace. Le fichier peut alors être écrite seulement les 2 premiers octets de la grappe, en laissant la grande majorité de la grappe inchangés, car la détente fichier. Le Pôle ne sera pas attribué à un autre dossier jusqu'à ce que le fichier original est supprimé - qui est, jusqu'à ce que l'original est envoyé à la Corbeille, et la Corbeille vidée.

Mais ce cluster on est pas le seul endroit où vos données sont écrites. Par ailleurs, où et dans combien de données des lieux est écrit peut être un peu dépendant de l'application de l'écrire.

Quand un fichier est enregistré, il ya plusieurs attributs enregistré avec lui. L'une est la date de création du fichier, l'un est la date du fichier a été changée ou modifiée, l'un est la date du dernier accès au fichier. Cette information est conservée dans le cadre d'une liste de fichiers dans un répertoire appelé. Ce répertoire est consulté par l'utilisateur comme le contenu d'un dossier.

Prenons par exemple, Microsoft Word, le programme de traitement de texte leader ordinateurs de bureau. Dès que l'utilisateur commence un document Word, un être invisible, fichier de travail temporaire est créé (appelons-le fichier de travail A), et des parties du nouveau document se écrites dans le fichier de mémoire virtuelle (ce qui dans Windows XP, est appelé pagefile.sys) . Nous pouvons l'appeler le fichier VM. Lorsque l'utilisateur enregistre le document, un fichier est créé sur le disque dur avec le nom de l'utilisateur qu'il donne; appeler document utilisateur. Nous pensons avoir créé un document, mais les données que nous frappe est d'entrer dans trois fichiers distincts. Si nous fermons le document, fichier de travail A est supprimé, mais il ne va pas loin - voir plus loin.

Maintenant, supposons que, à une date ultérieure, nous ouvrons un document utilisateur de faire quelques changements. À notre insu, un nouveau fichier invisible le travail temporaire est créé, et davantage de données sont écrites sur le fichier VM. Quand nous avons l'impression du document, un fichier tampon d'impression est créée. Ainsi, dans l'acte de faire un document, puis de l'ouvrir plus tard, de faire un changement ou deux, et c'est l'impression, nous avons créé le document utilisateur original, deux fichiers temporaires travail invisible, un fichier tampon d'impression, et les entrées de la VM fichier.

Documents par courriel et les autres se comportent de la même façon, bien que les détails diffèrent quelque peu de programme à programme. Email questions auront leur propre article.

Quand un fichier est supprimé, le fichier n'est pas tout simplement disparaître. Il reste sur le disque dur, son nom légèrement modifié, ignorés par le système d'exploitation, et invisible pour l'utilisateur, comme le sont les préexistante, des fichiers de travail supprimés précédemment déjà mentionné, et comme c'est le fichier VM. Le Cluster attribué au fichier est désalloué, devenant ainsi un espace non alloué, même si elle a des données assis dedans. Les clusters non alloués peuvent ensuite être affectés à un nouveau fichier lorsque le besoin s'en fait sentir. La liste des fichiers affectés à le nom du fichier est également disponible pour être utilisé, bien que le nom du fichier n'est modifié que par un seul caractère. Mais jusqu'à ce qu'un autre fichier est enregistré dans ce répertoire ou un dossier, et enregistré à cet endroit dans l'annuaire, le nom du fichier n'est pas écrasé. Par ailleurs, si le nom du nouveau fichier qui est écrit dans le même emplacement dans le répertoire est plus courte que le nom original, seule une partie du nom original est écrasé.

De même, quand un fichier est écrasé, la plupart du contenu précédent du fichier peut rester intact. Si, par exemple, un fichier qui a pris quatre clusters consécutifs est supprimé, et un autre fichier qui prend deux clusters consécutifs écrase le fichier original, puis la moitié de ce qui reste d'origine, quoique sous une forme brute, et peut être recouvrable. Récupération des fichiers tels et les restes de fichier est une partie importante du travail d'un ordinateur médecin légiste effectue. Quand un fichier est tout simplement supprimé, et non remplacé, il est assez trivial pour un spécialiste en informatique judiciaire (ou un technicien de récupération de données) afin de récupérer, ou recréer, le fichier. Ce processus est généralement connu sous le nom de découverte électronique, ou e-discovery.

Donc, jusqu'à ce que les données sont effectivement remplacé, il est susceptible d'être récupérable, en tout ou en partie. Par ailleurs, si le fichier original est en fait remplacé, il peut être possible de rechercher sur le disque dur pour le texte depuis le fichier original, et ainsi trouver des copies complètes ou partielles du fichier de l'ancien, les versions supprimées du fichier, à partir de l'ouvrage précité temporaires fichiers, ou d'extraits qui peuvent rester dans le fichier de mémoire virtuelle. Le résultat peut être un riche filon de données de données utiles à l'analyse informatique judiciaire, ou tout simplement récupéré pour l'utilisateur final.

Comme les utilisateurs finaux, nous voyons un fichier en cours de création lorsque nous sauver, et nous voyons disparaître quand nous le trash. Mais dans les coulisses, il ya beaucoup plus de choses. Plus que le seul document que nous pensons que nous avons sauvé est créé, et très peu s'en va quand on l'efface. Bien que les données ne sont pas nécessairement immortel, nous voyons maintenant qu'il ya généralement beaucoup plus traîner après nous aurons terminé avec elle que nous réalisons.

Source de l'article: http://EzineArticles.com/665733