Chúng ta thường nghĩ rằng những file đã bị xoá mà bị gỡ bỏ (REMOVE) khỏi Recycle bin
sẽ ra đi mãi mãi. Thực tế không phải vậy. Với những phần cứng và phần mềm đặc biệt,
bạn có thể khôi phục gần như hầu hết các file đó, kể cả khi dữ liệu bị ghi chông
(Overwritten), ổ đĩa bị Format lại, vùng khởi động bị hư hay mạch điều khiển ổ đĩa không
hoạt động. Đây là những tin tốt lành cho nếu bạn cần khôi phục lại những thông tin quan
trọng, nhưng là tin xấu nếu bạn muốn ngăn ngừa những kẻ khác đọc dữ liệu cá nhân của
mình.
Để tìm hiểu các khôi phục dữ liệu đã bị xoá, trước tiên bạn phải hiểu nó được lưu trữ như
thế nào. Một ổ cứng (HDD) thường có nhiều mặt đĩa( platter). Dữ liệu được lưu trên các
platter trong các vòng tròn đồng tâm, còn gọi là rãnh ghi (track). Các đầu đọc/ghi di
chuyển trên bề mặt các đĩa để truy xuất dữ liệu trên HDD. Do dữ liệu có thể truy nhập trực
tiếp bất kỳ nơi nào trên HDD, các file hay các mảnh file cũng được lưu giữ bất kỳ nơi nào
trên ổ.
Dữ liệu được lưu trên HDD trong các cluster (liên cung). Kích thước của các cluster rất
khác nhau theo hệ điều hành và kích thước của dung lượng logic. Nếu HDD có kích thước
cluster là 4k, thì một file dù chỉ 1k cũng chiếm tới 4k. Một file lớn có thể chứa hàng trăm
hoặc hàng nghìn cluster, nằm rải rác trên khắp HDD. Dữ liệu nằm rải rác trên HDD được
theo dõi và quản lý bởi thành phần hệ thống file của hệ điều hành.
Hiện nay có 3 loại hệ thống file HDD được sử dụng trong Windows của Microsoft là FAT(
File Allocation Table - bảng phân bố tệp) được giới thiệu với DOS; FAT32 được giới thiệu
với Win95 và NTFS( hệ thống file công nghệ mới) được đưa ra với WINNT 4.0. Tất cả 3
hệ thống này sử dụng một chiến lược cơ bản giống nhau. Một mục liệt kê các file trên ổ và
chứa một con trỏ (pointer) đến cluster khởi đầu (starting cluster) chưa phần khởi đầu của
file. Mục nhập FAT (FAT entry) của cluster khởi đầu chứa một pointer đến liên cung sau
và nối tiếp cho đến vạch dấu cuối cùng của file.
Phục hồi dữ liệu
Khi bạn xóa file qua thao tác Windows thông thường, fiel đó không thực sự bị xóa bỏ. Nếu
bạn xóa file qua Windows Explorer, file đó sẽ được chuyển đến Recycle Bin(thùng rác).
Nhưng kể cả nếu bạn xóa rỗng (empty) thùng rác, file đó vẫn còn trên HDD. Ký tự đầu tiên
của tên file được thay đổi thành ký tự đặc biệt và các cluster chứa dữ liệu đó bị đánh dấu,
nhưng dữ liệu vẫn còn. Lần sau bạn save một file, các cluster có thể được sử dụng đẻ lưu

thông tin tuyệt mật. Để xoa an toàn nhất với những thông tin tuyệt mật, những phương tiện
lưu trữ thông tin phải được giải từ (khử từ) hoặc phá vật lý. Song với đa số người sử dụng
thông thường, phương pháp ghi chồng là đủ đảm bảo an toàn.
Những nơi bí mật dữ liệu có thể ẩn náu
Xoá và ghi chồng các file sẽ không loại bỏ tất cả những thông tin nhạy cảm khỏi HDD.
Bạn phải làm sạch từng cung từ (sector), từng phân khúc (segment) 512 bytes tạo thành
cluster, vì dữ liệu có thể nấp trong những nơi không ngờ tới. Dữ liệu ngẫu nhiên còn gọi là
phần trùng của file (file slack), thường cư ngụ ở nơi cuối cùng của một file lớn. Nhiều
chương trình xoá an toàn không xoá hết file slack, là nơi có thể chứa nhiều thông tin cá
nhân.
Với hệ thống file NTFS (mặc định trên Windows NT 4.0 , 2000 và XP), các file chứa nhiều
stream. Một stream giữ thông tin về quyền truy nhập và stream thứ hai chứa dữ liệu file
thực. Ngoài ra, NTFS còn có các stream dữ liệu thay thế (ADS - Alternative Data Stream)
lưu giữ hầu như mọi thứ. Việc sử dụng ADS phổ biến nhất là để lưu giữ các hình nhỏ
(thumbnail) của file ảnh. Do nhiều chương trình xoa an toàn thất bại trong việc xoá đi
ADS, nên các hình nhỏ vẫn có thể phục hồi được.
Tội phạm biết cách sử dụng ADS để dấu dữ liệu hay virus trên HDD. Nếu một bad sector
được phát hiện trong quá trình format ở mức cao, toàn bộ cluster chưa bad sector đó được
đành dấu là lỗi. Nhưng cluster lỗi trong đó có chứa những sector không lỗi trong đó tội
phạm có thể dấu dữ liệu.
Trên các ổ cứng cũ, dữ liệu cũng có thể được dấu trong những kẽ hở của sector (sector
gap). Mỗi rãnh ghi có số lượng sector như nhau, nhưng chu vi của các rãnh ghi bên ngoài
lớn hơn nhiều so với chu vi của các rãnh ghi bên trong, tạo ra các kẽ hở giữa các rãnh ghi.
Những kẽ hở này có thể được sử dụng để cất dữ liệu nguy hiểm. Các ổ cứng mới xoá bỏ
những kẽ hở thừa thãi này bằng một công nghệ gọi là ghi theo vùng (zone recording), điều
chỉnh số lượng sector phụ thuộc vào vị trí của rãnh ghi.
Để truy nhập các vùng dữ liệu ẩn nấp này trên HDD, bạn cần phớt lờ hệ điều hành, như
phần mềm EnCase Forensic Edition ([Chỉ những thành viên đã đăng ký và kích hoạt mới
có thể thấy liên kết] ) và Directory Snoop ([Chỉ những thành viên đã đăng ký và kích hoạt
mới có thể thấy liên kết]™ ).