삭제 취소

Undeletion
위키백과에 대한 삭제를 취소하려면, 위키백과:삭제되지 않음.

삭제 취소는 파일 삭제파일 시스템에서 제거된 컴퓨터 파일을 복원하는 기능이다.삭제된 데이터는 많은 파일 시스템에서 복구할 수 있지만 모든 파일 시스템이 삭제 해제 기능을 제공하는 것은 아니다.삭제되지 않은 기능 없이 데이터를 복구하는 것을 보통 삭제하지 않고 데이터 복구라고 한다.삭제 취소는 둘 다 사용자가 실수로 데이터가 손실되는 것을 방지하거나 컴퓨터 보안 위험을 초래할 수 있다. 사용자가 삭제된 파일에 액세스할 수 있다는 것을 모를 수 있기 때문이다.

지원

일부 파일 시스템 또는 운영 체제가 삭제 취소를 지원하는 것은 아니다.1991년 MS-DOS 5.0 [1][2] DR DOS 6.0 이후 삭제되지 않은 유틸리티가 제공되어 모든 FAT 파일 시스템에서 삭제 취소가 가능하다.AdvFS는 주목할 만한 예외지만 대부분의 현대 유닉스 파일 시스템에서 지원하지 않는다.e2 파일 시스템에는 e2undel이라는[3] 애드온 프로그램이 있어 파일 삭제를 해제할 수 있다.유사한 ext3 파일 시스템은 공식적으로 삭제 취소를 지원하지 않지만, ext4magic,[4] extundelete,[5] PhotoRec 및 ext3grep과[6] 같은 유틸리티는 ext3 볼륨의 삭제 취소를 자동화하기 위해 작성되었다.[7]Undelett는 ext4에서 제안되었지만 아직 실행되지 않았다.[8]그러나 2006년 12월 4일 쓰레기통 기능이 패치로 게시되었다.[9]휴지통 기능은 Ext2/3/4 및 라이저 파일 시스템에서 삭제 취소 속성을 사용한다.[10]

명령줄 도구

참고 항목:DOS 명령어 목록

노턴 유틸리티

Norton UNERASE는 1982년 Norton Utilities 버전 1.0에서 중요한 구성요소였다.

MS-DOS

마이크로소프트는 MS-DOS 버전 5.0에서 6.22에 유사한 UNDELLT 프로그램을 포함시켰지만, FAT를 사용하는 이후 운영 체제에서 대신 Recycle Bin(휴지통) 방식을 적용했다.

DR DOS

DR DOS 6.0 이상은 UNDELLET도 지원하지만 선택적으로 삭제된 파일의 날짜 및 시간 스탬프를 능동적으로 유지하고 디스크 공간이 부족하지 않는 한 삭제된 파일의 내용을 덮어쓰는 것을 방지하는 FAT 스냅샷 유틸리티 DISKMAP와 상주 DELWatch 삭제 추적 구성요소를 활용하여 추가적인 보호를 제공한다.DELWatch는 또한 파일 서버의 원격 파일 삭제를 지원한다.Novell DOS 7 이후 커널은 삭제되지 않은 도구로 원래 이름을 복구하는 데 더 많은 도움을 주기 위해 삭제된 파일의 글자를 디렉토리 항목에 저장할 것이다.

PTS-DOS

PTS-DOSSAVENAME CONFIG로 구성 가능한 동일한 기능을 제공한다.SYS 명령어.

FreeDOS

UNDELET의 FreeDOS 버전은 Eric Auer에 의해 개발되었으며 GPL에 따라 라이센스가 부여된다.[11]

그래픽 프로그램

그래픽 사용자 환경은 삭제되지 않는 데 다른 접근방식을 취하는 경우가 많은데, 대신 파일을 삭제하는 데 "보유 영역"을 사용한다.원치 않는 파일은 이 홀딩 영역으로 이동하며, 홀딩 영역의 모든 파일은 주기적으로 삭제되거나 사용자가 요청할 때 삭제된다.이 접근방식은 Macintosh 운영체제의 휴지통Microsoft Windows휴지통에 의해 사용된다.이것은 LocoScript에서 사용하는 림보 그룹과 같은 이전 시스템이 취한 접근법의 자연스러운 연속이다.[12]이 접근방식은 파일 시스템에 쓰여지는 다른 파일들이 삭제된 파일을 매우 빠르게 방해할 위험의 영향을 받지 않는다. 영구 삭제는 예측 가능한 일정이나 수동 개입만으로 이루어진다.

노턴 GoBack(이전의 Roxio GoBack)과 같은 프로그램에 의해 제공되는 또 다른 접근방식: 하드 디스크 공간의 일부는 파일 수정 작업이 나중에 실행 취소될 수 있도록 기록될 수 있도록 별도로 설정되어 있다.이 프로세스는 일반적으로 아래 설명된 삭제 취소 작업보다 삭제된 파일의 복구를 지원할 때 훨씬 안전하다.

마찬가지로 "스냅샷"을 지원하는 파일 시스템(예: ZFS 또는 btrfs)을 사용하여 전체 파일 시스템의 스냅샷을 정기적으로(예: 매시간) 만들 수 있으므로 이전 스냅샷에서 파일을 복구할 수 있다.

제한 사항

삭제 취소는 안전하지 않다.일반적으로 삭제를 빨리 시도할수록 성공할 가능성이 높다.이는 시스템을 많이 사용할수록 드라이브에 더 많은 데이터가 기록되고 삭제된 공간에 잠재적으로 할당되기 때문이다.삭제된 파일의 단편화는 파일 시스템의 종류(아래 참조)에 따라 복구 확률을 낮출 수도 있다.조각난 파일은 인접한 영역 대신 디스크의 다른 부분에 흩어져 있다.

역학

삭제 취소 작업은 삭제된 파일이 저장된 파일 시스템에 따라 달라진다.HFS와 같은 일부 파일 시스템은 삭제된 파일에 대한 정보가 보존되지 않기 때문에 삭제되지 않은 기능을 제공할 수 없다(일반적으로 존재하지 않는 추가 소프트웨어 제외).그러나 일부 파일 시스템은 FAT 파일 시스템을 포함하여 삭제된 파일의 모든 추적을 지우지 않는다.

FAT 파일 시스템

FAT 파일 시스템을 사용하여 파일이 "삭제"되는 경우, "삭제된" 파일 이름의 대부분을 보존하고 타임 스탬프, 파일 길이 및 가장 중요한 디스크의 물리적 위치를 보존하면서 파일 이름의 첫 번째 문자를 제외하고 디렉토리 항목은 거의 변경되지 않고 그대로 유지된다.그러나 파일에 의해 점유된 디스크 클러스터 목록은 파일 할당 테이블에서 지워지고, 이후에 생성되거나 수정된 다른 파일에 의해 사용 가능한 섹터를 표시한다.FAT32의 경우 16비트 이상의 파일 시작 클러스터 값을 담당하는 필드를 추가로 지운다.

삭제 취소 작업을 시도할 때 파일을 성공적으로 복구하려면 다음 조건을 충족해야 한다.

  • 삭제된 파일의 항목은 여전히 디렉토리에 존재해야 하며, 이는 동일한 디렉토리에 작성된 새 파일(또는 폴더)에 의해 아직 덮어쓰여서는 안 된다는 것을 의미한다.이 경우인지 여부는 삭제되지 않을 파일의 나머지 이름이 여전히 디렉토리에 있는지 확인함으로써 상당히 쉽게 탐지할 수 있다.
  • 이전에 삭제된 파일에서 사용한 클러스터는 다른 파일에서 아직 덮어쓰지 않아야 한다.이는 클러스터가 파일 할당표에 사용된 것으로 표시되지 않는지 확인함으로써 상당히 잘 확인할 수 있다.그러나 그 사이에 디스크에 새로운 파일이 작성되어 해당 섹터를 사용하다가 다시 삭제되어 해당 섹터가 다시 해제되었다면, 삭제되지 않은 프로그램에서는 이 파일을 자동으로 감지할 수 없다.이 경우 성공적으로 표시되더라도 복구된 파일에 다른 데이터가 포함되어 있기 때문에 삭제 취소 작업이 실패할 수 있다.
  • FAT32 장치의 경우 일반적으로 16비트 이하의 물리적 주소는 디렉토리 항목에 유지되지만, 주소의 높은 비트는 0으로 설정된다.많은 복구 프로그램은 이 사실을 무시하고 데이터를 올바르게 복구하지 못한다.

삭제된 파일을 복구할 가능성은 FAT12FAT16에서 FAT32 볼륨에 비해 더 높은 경우가 많은데, 이는 이전 시스템에서 일반적으로 사용되는 클러스터 크기가 더 크고 FAT32의 논리 클러스터 주소 상위 16비트가 손실되었기 때문이다.

삭제 취소 프로그램이 위의 요구 사항이 충족되지 않은 명확한 징후를 감지할 수 없는 경우, 디렉토리 항목을 사용 중인 것으로 복원하고 파일 할당 표에 사용된 것과 같이 이전 디렉토리 항목에 기록된 클러스터로 시작하는 모든 연속된 클러스터를 표시한다.그런 다음 복구된 파일을 열고 이전에 삭제된 파일의 전체 데이터가 포함되어 있는지 확인하는 것은 사용자에게 달려 있다.

따라서 조각난 파일(첫 번째 조각 이후)의 복구는 Disk의 각 블록(사용되지 않은)을 수동 검사하는 것만으로 자동 프로세스에 의해 일반적으로 가능하지 않다.이를 위해서는 복구 중인 파일 유형의 이진 형식뿐만 아니라 파일 시스템에 대한 자세한 지식이 필요하므로 복구 전문가 또는 포렌식 전문가만 수행해야 한다.

NTFS 파일 시스템

NTFS는 파일 정보를 소위 MFT(Master File Table) 내에 고정 크기 레코드 집합(일반적으로 1KB)으로 저장한다.파일 이름과 파일 할당 정보는 이러한 레코드에 캡슐화되어 각 특정 파일에 대한 완전한 정보를 제공한다.시스템이 파일을 삭제하면 마스터 파일 테이블의 항목이 연결되지 않거나 재사용되도록 릴리스되지만 여전히 디스크에 남아 있다.MFT 항목을 재사용하거나 덮어쓸 때까지 파일을 쉽게 복구할 수 있다: 데이터 복구 소프트웨어는 "잃어버린" MFT 항목을 찾아 손실된 파일에 대한 전체 정보를 얻을 수 있다.

그러나 SSD TRIM 기능이 활성화되면 SSD 메모리 셀을 재사용하기 위해 삭제 직후 파일 콘텐츠가 파괴될 수 있다.이로 인해 파일 콘텐츠 복구가 불가능해진다(이름, 날짜 및 파일 크기 정보만 디스크에 남음).

예방

추가 정보:데이터 삭제

데이터 삭제는 파일 삭제를 방지하는 소프트웨어 기반 방법을 가리키는 말이다.

참고 항목

참조

  1. ^ "When Not to Use MS-DOS 5.0 CHKDSK and UNDELETE Commands". Support.microsoft.com. 2006-11-16. Archived from the original on 2012-02-02. Retrieved 2012-01-09.
  2. ^ "Using a Common UNDELETE.INI File with Undelete". Support.microsoft.com. 1999-11-16. Archived from the original on 2009-08-26. Retrieved 2012-01-09.
  3. ^ "the e2undel home page". e2undel.sourceforge.net. Retrieved 2020-07-02.
  4. ^ "Ext4magic". ext4magic.sourceforge.net. Retrieved 2020-07-02.
  5. ^ "extundelete: An ext3 and ext4 file undeletion utility". extundelete.sourceforge.net. Retrieved 2020-07-02.
  6. ^ "Google Code Archive - Long-term storage for Google Code Project Hosting". code.google.com. Retrieved 2020-07-02.
  7. ^ Carlo Wood (2008-02-07). "HOWTO recover deleted files on an ext3 file system". Xs4all.nl. Archived from the original on 2010-09-19. Retrieved 2012-01-09.
  8. ^ 새로운 ext4 기능 2008년 12월 18일 웨이백 머신보관
  9. ^ "Secure Deletion and Trash-Bin Support for Ext4". Article.gmane.org. Archived from the original on 2008-07-09. Retrieved 2012-01-09.
  10. ^ "Gmane Loom". Thread.gmane.org. Archived from the original on 2016-01-11. Retrieved 2012-01-09.
  11. ^ http://www.ibiblio.org/pub/micro/pc-stuff/freedos/files/distributions/1.2/repos/pkg-html/undelete.html
  12. ^ "Langford in PCW TODAY column #6". Ansible.co.uk. Archived from the original on 2012-02-14. Retrieved 2012-01-09.

외부 링크