لماذا يمكن استعادة الملفات المحذوفة و كيفية منع ذلك

عندما تقوم بحذف ملف ما فإنه لا يتم إزالته نهائياً حتى ولو قمت بإفراغ سلة المحذوفات ، حيث يستمر وجوده في مكان ما على القرص الصلب و هذا ما يمكن المستخدمين من استعادة ملفاتهم بعد الحذف .

لماذا يمكن استعادة الملفات المحذوفة :

في البداية يجب أن نعرف :

ماذا يحدث عند حذف ملف ما ؟

يقوم نظام التشغيل بتعقب مكان الملف على القرص الصلب من خلال ما يعرف ب ” المؤشر ” “pointers ” حيث يكون لكل ملف أو مجلد مؤشر يخبر ويندوز Windows أين تبدأ بيانات ذلك الملف و أين تنتهي .

عندما تقوم بحذف الملف يقوم ويندوز Windows أو أي نظام تشغيل آخر بحذف هذا المؤشر و يصف هذا القطّاع (sector ) الذي يحوي الملف على أنه مساحة حرة أو Free Space .

و على الرغم من ذلك فإن الملف أو المجلد المحذوف يبقى قابلاً للاستعادة حتى يتم الكتابة على ذلك القطاع الذي كان يحوي الملف أو المجلد ، و ذلك من خلال برامج الاستعادة و التي تقوم بفحص القرص الصلب للبحث عن تلك الملفات المحذوفة و من ثم استعادتها ،

إذا تمت الكتابة بشكل جزئي على ذلك القطاع فإن هذه البرامج تستطيع فقط إرجاع جزء من بيانات الملف مما يجعله غالباً ملفاً معطوباً .

لماذا لا يتم مسح الملفات نهائياً عندما نقوم بحذفها ؟

الجواب بسيط .. لأن مسح الملف نهائياً يأخذ وقتاً أكثر بكثير من مجرد حذف المؤشر ” Pointer ” فتصور مثلاً انك تحتاج لحذف ملف بحجم 10 غيغا بايت ، هذا الأمر لن يأخذ سوى لحظات قليلة في الحالة العادية،  أما في حال المسح الكامل فإن الوقت سيكون مساوياً للوقت الذي يأخذه كتابة 10 غيغا بايت من البيانات على القرص الصلب .

و لذلك و من أجل زيادة السرعة و تحسين الأداء فإن نظام ويندوز Windows و باقي الأنظمة لا تمسح محتوى الملف المحذوف ، إنما فقط تحذف المؤشر .

استعادة الملفات المحذوفة :

إذا ما قمت بحذف ملف ما عن طريق الخطأ و تحتاج إلى استعادته فيجب أن تأخذ بعين الاعتبار ما يلي :

1 – الاستعادة بأقصى سرعة ممكنة : نظام الويندوز Windows يتابع كتابة الملفات الجديدة على القرص الصلب مما يزيد فرصة الكتابة فوق تلك الملفات المطلوبة ، و لذلك لتأكيد إمكانية الإستعادة قم بمحاولة الاسترجاع مباشرة .

2 – استخدام القرص الصلب بأقل ما يمكن : و الطريقة الأفضل لاستعادة ملف محذوف هو القيام بإيقاف تشغيل الحاسوب مباشرة ، ثم نقل الهارد إلى حاسوب آخر و استخدام نظام التشغيل الموجود في الحاسوب المنقول إليه ثم القيام بالاستعادة ،

إذا قمت بمحاولة الاستعادة على نفس الهارد من خلال تنصيب برنامج الاستعادة إضافة إلى الاستخدام العادي فإن هذا الأمر يمكن أن يؤدي إلى الكتابة فوق ذلك الملف و بالتالي فقدانه.

سنتحدث قريباً إن شاء الله في مقالة منفصلة  عن طريقة استعادة الملفات … تابعونا

كيفية منع استعادة الملفات بعد الحذف :

و لكن بالمقابل فإن إمكانية الاستعادة لا تشكل دائماً عاملاً إيجابياً فمثلاً إذا أردت بيع حاسوبك أو تريد حذف ملفات هامة أو شخصية مثلاً و لا تريد أن يتمكن أحد من استعادتها فما الحل هنا ؟؟

لحسن الحظ هناك مجموعة من البرامج و التي تعتمد على الكتابة على القطاع الذي كان يحوي الملف المحذوف فمثلاً برنامج سي كلينر CCleaner يحوي على خاصية ماسح البيانات Drive Wiper و ذلك من خلال كتابة بيانات أخرى على المساحة الحرة على لأحد الأقرص الصلبة ، و بالتالي فإن جميع الملفات المحذوفة ستمحى .

أداة أخرى رائعة من أجل تأكيد عدم استعادة ملف ما و هي أداة Eraser و التي تقوم ” بتمزيق الملف ” مع الانتباه إلى أن هذا الأمر يجب أن يشمل جميع نسخ ذلك الملف ، هذه العملية تأخذ وقتاً أطول من الحذف العادي لذلك فهي ليست فكرة جيدة لحذف جميع الملفات إنما فقط للملفات التي لا ترغب لأحد إمكانية استعادتها .

أيضاً قد ترغب في بيع الحاسوب أو الهارد مثلاً و بالتالي تريد أن تتأكد من عدم إمكانية استعادة أي ملف إطلاقاً ،  فالخيار هنا هو برنامج DBAN من خلال حرقه على سي دي CD و الإقلاع منه حيث سيحذف كل شيء حتى نظام التشغيل ثم يقوم بالكتابة فوقه ببيانات عبثية .

و رغم ذلك يعتقد البعض انه يمكن استعادة الملفات حتى بعد الكتابة فوقها و لكن الأدلة تظهر بوضوح أن هذا الأمر غير صحيح أبداً .

تنويه : إن الشرح السابق لا يمكن تطبيقه على الأٌقراص الصلبة من نوع SSD  التي تدعم خاصية TRIM ، حيث أنه عند حذف الملف تُزال مباشرة من القرص الصلب و لا يمكن استعادتها و السبب في ذلك أنه في هذا النوع من الأقراص الصلبة لا يمكن الكتابة فوق البيانات في خلايا الفلاش Flash Cell _ و التي يعتمد عليها هذا النوع من الأقراص الصلبة من أجل تخزين البيانات _ ، و لكتابة بيانات جديدة يجب مسح محتويات الخلاياً أولا و هذا ما يقوم به نظام التشغيل بشكل مباشر عند حذف الملف .

البرمجية الخبيثة التي أثرت على CCleaner استهدفت شركات كبيرة

بعد أن تحدثنا في مقالة سابقة عن عملية اختراق لبرنامج تنظيف الويندوز CCleaner فإن الأمور تتجه لتكون أكثر إثارة مما توقعناه .

فبعد أن قام كلا من مركز أبحاث Cisco’s Talos و Avast بتحليل بيانات الهجوم السابق وجدوا دليلاً واضحاً على أن المهاجمين كانوا يستخدمون هذا الاختراق من أجل استهداف حواسيب الشركة التقنية المتطورة و شركات الاتصال في بعض دول العالم .

و قال الباحثون إن الهجوم كان يستهدف بشكل أساسي  سلسلة من الدومينات الخاصة بشركات تكنولوجية بهدف جمع بيانات و دخول دائم إلى اي من الأجهزة المصابة .

و رغم أن آفاست رفضت الإفصاح عن قائمة الشركات المصابة إلا أن مركز أبحاث Cisco’s Talos نشر قائمة الدومينات المستهدفة والتي ضمت إضافة للمركز نفسه – Cisco’s Talos – عدداً من الشركات الكبيرة مثل الدومين “Ntdev.corp.microsoft.com” و هو الدومين الخاص بمطوري ويندوز Windows .

و شملت قائمة الدومينات أيضاً كلاً من شركة جوجل Google وإنتل Intel ومايكروسوفت Microsoft وسامسونج Samsung وسوني Sony  وإتش تي سي HTC ولينكسيس Linksys، إضافة إلى شركات الاتصال الرئيسية في سينغافورة و المملكة المتحدة .

و شملت القائمة حوالي 20 شركة مختلف و ذلك خلال أربعة أيام فقط من الهجمة و التي استمرت حوالي الشهر ( من 15 آب حتى 12 أيلول )  و لذلك فإن عدد الشركات يتوقع أن يكون أكبر من ذلك بكثير .

حيث وُصف هذا الهجوم على أنه هجوم ” إغراقي ” بحيث أصاب مئات الآلاف من الحواسيب إلا أن الهدف الرئيسي له هو الشركات التقنية .

و اقتصر هذا الهجوم على مهمة جمع المعلومات فقط دون إلحاق أي ضرر ، دون معرفة دوافع المهاجمين للحصول على مثل هكذا معلومات .

و قدّر الباحثون عدد الأجهزة المصابة بحوالي 700.000 وذلك بعد أن كانت التقديرات الأولية حوالي 2.2 مليون جهاز .

هاكرز قاموا بإخفاء برمجية خبيثة ضمن برنامج CCleaner

إذا كنت من مستخدمي البرنامج الشهير في تنظيف الويندوز CCleaner فإن لدينا لك أخباراً سيئة هذا اليوم .

قد لا تصدق أن البرنامج الشهير و المستخدم من قبل الملايين عبر العالم قد تعرض للاختراق و ذلك بحسب ما تم كشفه من قبل مركز الأبحاث Cisco Talos .

حيث اكتشف المركز أنّ المخترقين قد تمكنوا من إدخال برمجية خبيثة Malware ضمن النسخة  CCleaner 5.33

و أكدت شركة بيريفورم   Piriform – و هي الشركة الأم لتطبيق CCleaner – عملية الاختراق هذه ، وأضافت الشركة أنه حالياً هنالك حوالي 2.27 مليون شخص تعرضوا للاختراق عبر تلك البرمجية الخبيثة داخل CCleaner، و لكنها طمأنت المستخدمين و قالت أنها قد أصلحت الخلل سريعاً و لا تعتقد أن المستخدمين قد تضرروا من هذه العملية .

ما الذي تفعله هذه البرمجية الخبيثة Malware ؟

رغم أن هذه البرمجية الخبيثة لا تؤدي إلى إحداث ضرر ما في النظام ، إلا أنها تقوم بتشفير و جمع معلومات يمكن أن تستخدم في المستقبل من أجل إلحاق الضرر بالنظام ، و بشكل أكثر تحديدا فإنها تقوم بصنع معرف نوعي لكل جهاز حاسوب و تقوم بجمع المعلومات التالية :

1 – اسم جهاز الكومبيوتر .

2 – قائمة بالبرامج المنصبة إضافة إلى تحديثات ويندوز أيضاً .

3 – قائمة بالعمليات المشغلة .

4 – عنوان الماك MAC لمحولات الشبكة الثلاثة الأولى .

5 – معلومات أخرى مثل معرفة إذا كانت عملية ما تجري بصلاحية المسؤول ( الأدمن ) ، هل النظام بمعمارية 64 بت ، و غيرها .

هل نسختي مصابة ؟ 

لحسن الحظ فإن هذه الإصابة اقتصرت على عدد قليل من المستخدمين ، بشكل أكثر تحديداً فإن النسخة المصابة يجب أن تحقق الشروط التالية :

1 – النسخة المستخدمة هي نسخة 32 بت و ليس نسخة ال 64 بت .

2 – رقم النسخة المستخدمة هو 5.33.6162 بالنسبة لبرنامج CCleaner أو النسخة 1.07.3191 بالنسبة للنسخة السحابية  CCleaner Cloud و التي تم إطلاقهما في 15 آب الماضي .

لحسن الحظ أيضاً فإن البرنامج لا يقوم بتحديث نفسه بشكل تلقائي عادة و هذا أمر جيد للكثير من المستخدمين الذين يعتمدون النسخ الأقدم .

كيف أعرف أن النسخة التي لدي مصابة أم لا ؟ 

إذا كنت تملك نسخة 32 بت من البرنامج و تعتقد أنك قمت بتحميله في فترة الإصابة ( أي بين 15 آب و 12 أيلول) ، فعليك القيام بفتح البرنامج و النظر إلى الزاوية العلوية اليسرى حيث سترى رقم الإصدار :

فإذا كان الرقم أقل من  5.33.6162 فالبرنامج غير مصاب ، و ينصح بتحديث هذه النسخة يدوياً من خلال حذف النسخة الحالية و تنصيب أحدث نسخة من خلال هذا الرابط  .

و أما إذا كان رقم النسخة 5.34 أو أحدث فإن البرنامج غير مصاب أيضاً ، و لكن يجب الانتباه فيما إذا كنت قد قمت بتحديث البرنامج في الفترة بين 15 آب و 12 أيلول الماضيين فإنه من المحتمل أن هذه النسخة قد كانت مصابة مسبقاً قبل التحديث .

ماذا علي أن أفعل ؟  

ينصح مركز Cisco Talos باستعادة النظام إلى نقطة ما قبل 15 آب 2017 من النسخ الاحتياطي ، كما ينصح أيضاً بعمل فحص شامل لكل محتويات النظام و النسخ الاحتياطي من أجل التأكد من سلامة الجهاز .

و كحل جذري يمكن القيام بإعادة تنصيب الويندوز Windows كلياً ، و ذلك للتأكد من سلامة جهازك بشكل مطلق .