عمده ترین حملات موفقیت آمیز هکرها روی سیستم عامل ویندوز تنها از چندین حفره موجود روی برنامه ها انجام می گیرد. به تعبیری می توان گفت هکرها فرصت طلب هستند که آسان ترین مسیر را انتخاب کرده اند و از روی شکافهای شناخته شده exploit خود را صورت می دهد و بعد به طور گسترده ای از برنامه های ساخته شده برای به انجام رساندن عملیات خود بهره می گیرند. معمولا هم به سراغ سایت های متعلق به سازمان های بزرگ می روند و ابتدا به ساکن سیستم و شبکه آنها را اسکن می کنند و باقی قصه را هم که حتما می دانید. در این میان فهرست کردن حفره ها و برشمردن آنها کار طاقت فرسایی است ؛ اما می توان گزیده ای از مهمترین آنها را جمع آوری کرد و ضمن بررسی حفره ها به نحوه بستن آنها نیز نگاهی دقیق تر داشت.

از همین رو با هدف امن تر کردن سیستم ها و سرورها سلسله مباحثی در این شماره و شماره های آتی از نظرتان می گذرد:
1- سرویس IIS :
برنامه IIS مایکروسافت (internet information services)از دیرباز عمده ترین حفره ها را در خود جای داده و بالطبع نیز بیشترین حملات را به سوی خود جلب کرده است.

حفره پذیری IIS تقریبا در 3کلاس فرعی قابل دسته بندی است : یکی قصور به سوی به کار گرفتن درخواست های غیرقابل پیش بینی ، دوم سرریز شدن ضربات از ضربه گیر ( bufferoverflow ) و سوم اپلیکیشن های ساده.


الف : بسیاری از حملات روی IIS براساس این حفره که می توان درخواست های نافرم HTTP را برای به کار گرفتن درخواست های غیرقابل پیش بینی استفاده کرد، صورت می گیرد. یک مثال خیلی ساده وجود یک حفره در تراورسال دایرکتوری یونیکد بود که براحتی به ویروس codeBlue اجازه نفوذ می داد. یعنی درخواست یا Request به ظاهر قانونی بوده ؛ اما به عنوان یک نیرنگ به صورت exploit از آن سوءاستفاده شده و با آن کنترل رایانه در اختیار حمله کننده می افتاده است.

پس IIS اجازه می دهد تا با حفره ای که حمل می کند اجازه ارسال درخواست های نافرم را از طریق HTTP به هکر بدهد و وی نیز با ارسال این درخواست به ظاهر قانونی کنترل سیستم را به عهده بگیرد.
ب: سرریز کردن ضربات و پشت سر نهادن ضربه گیرهای تعریف شده از دیگر حفره های موجود در IIS است که روی الحاقات سیستم مانند پرینتر ، ISAPI و ASP و... خود را نشان می دهد. مثلا ویروس codeRed از الحاقی idq برای بافر شدن بهره می گرفت و زمینه حملات Dos روی سیستم را فراهم می کرد.
ج: اپلیکیشن های ساده اغلب روی محیطهای سرور خود را نشان می دهند و تحمل حملات را نیز ندارند. در این میان Default تعریف شده روی IIS به عنوان اولین راه نفوذ روی سرورها مدنظر هکرها قرار می گیرد. به عنوان مثال یک اپلیکیشن ساده نظیر newdsn.exe اجازه می دهد که هکر حملات از راه دور خود را برای نوشتن مجدد فایل های سرور انجام دهد. برخی دیگر از اپلیکیشن ها که وظیفه جمع آوری دیتای حیاتی نظیر کلمه عبور را دارند نیز مورد سوئاستفاده هکرها قرار می گیرند و یا مثلا یک فایل ism.dll یا iisadmin اگر به دست هکر بیفتد، می تواند در نقش راهبر سیستم کل سرور را هک کند. بیشترین سیستم عامل هایی که از طریق IIS مورد حمله قرار گرفته اند NT نسخه 4 است که روی آن IIS4 نصب است.

بعدی سرور 2000است که روی آن IIS5 نصب است و دیگری نیز ویندوز xp است که روی آن IIS1.5 نصب شده است.

از چه راهی می توانیم ببینیم IIS ما حفره پذیر شده است؟

تنظیمات زیر را برای بهینه سازی مودمتان در ویندوز 98 انجام دهید:

* روی آیکون Modems در Control Panel دابل کلیک کنید، روی باتون properties کلیک کنید روی جدول (تب) Connection کلیک کنید و سپس روی باتون Port Setting کلیک کنید. روی گزینه Use FIFO buffers علامت تیک بگذارید و باتون را به منتها الیه سمت راست بکشید (High 14 ).

* روی آیکون modems در کنترل پانل دابل کلیک کنید در باتون properties و ار منوی Maximum speed سرعت انتقال 115200 را انتخاب کنید روی جدول Connection کلیک کنید و سپس گزینه های Use error control و required to connect را بدون علامت کنید و بلاخره برای ذخیره تنظیمات روی ok کلیک کنید.

* اگر مودم شما به یک لامپ فلورسنت نزدیک است ممکن است سبب تداخل در ارسال یا دریافت اطلاعات در مودم شما شود بنابراین اگر یک لامپ فلورسنت روی میز خود دارید بهتر است آن را از مودم دور نگه دارید.

تمیز کردن Start Menu
به HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer مراجعه کنید. برای اینکه تمام پوشه هایی که کاربر در Start Menu تعریف کرده را (بجز My Documents) از کار بیاندازید مقدار NoStartMenuMyMusic، NoSMMyPictures، NoFavoritesMenu و NoRecentDocsMenu را به یک تغییر دهید. اگر حتی علاقه ای به My Documents در Start Menu ندارید کافیست مقدار NoSMMyDocs را هم برابر یک قرار دهید.

ایجاد محدودیت برای کاربرها در برابر تغییر مسیر پوشه ها
برای اینکار به CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer بروید. برای قفل کردن مسیر پوشه های My Pictures، My Music، Favorites و My Documents مقادیر DisableMyPicturesDirChange، DisableMyMusicDirChange، DisableFavoritesDirChange و DisablePersonalDirChange را به یک تغییر دهید.


پاک کردن Pagefile هنگام Shutdown
این گزینه کمک میکند که اطلاعاتمان را امن نگاه داریم. برای اینکار به آدرس زیر بروید:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
حالا مقدار ClearPageFileAtShutdown را برابر یک قرار دهید.

اجرای برنامه ها در یک فضای مجزا در حافظه
شاید بهتر باشد همیشه برنامه های قدیمی داس را در یک قسمت جدا از حافظه باز کنیم که برای این کار و اضافه شدن دکمه Run in Separate Memory Space در جعبه گفتگوی Run ابتدا به آدرس زیر مراجعه کنید:
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer
و مقدار MemCheckBoxInRunDlg را به یک تغییر دهید.



فعال کردن گزینه Favorite در Registry
این ترفند کار شما را در هنگام کار با Registry ساده میکند. شما میتوانید آدرسهای موجود در Registry را نشانه گذاری کنید تا نیازی نباشد هر بار زمانی را صرف پیمایش و پیدا کردن مکان مورد نظرتان نمایید.
برای این کار کافیست به آدرس مورد نظرتان مراجعه کنید و از منوی Favorites گزینه Add to Favorites را انتخاب کنید. فقط جهت مدیریت بهتر و دسترسی سریعتر باید نامهای مفهوم داری انتخاب کنید تا در آینده هنگانی که قصد استفاده از Favorites را دارید دقیقاً متوجه شوید آدرس مورد نظرتان از کدام گزینه درون Favorites قابل دسترسی است.

منبع : Techrepublic

با اجرا و بستن هر برنامه ویندوز ایکس پی dll های آن برنامه را در حافظه تا مدتی نگه میدارد که این کار باعث اشغال حافظه خواهد شد. با این فرمان شما این اجازه را به ویندوز نخواهید داد. وارد رجیستری شده سپس وارد کلید زیر شوید.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer حالا یک ارزش DWORD به نام AlwaysUnloadDLL ساخته و مقدار ان را 1 قرار دهید سپس LOGOFF کنید با این کار سرعت سیستم شما زیاد خواهد شد چون فضای رم شما پس از اجرا و بستن برنامه ها اشغال نخواهد شد .

چگونه می توان Administrative Tools را برای همیشه مخفی کرد؟(شماره 43)

برای این منظور باید تغییرات زیر را در رجستری اعمال کنید:

Hive: HKEY-CURRENT-USER
Key:Software\Microsoft\windows\Current
Version\Explore\Advanced
Name:Start Menu Admin Tools
Data Type: REG-SZ
Value:

اگر yes باشد نمایش داده می شود و اگرNo باشد مخفی می شود.

چگونه برنامه ای را فقط یک بار هنگام بوت سیستم اجرا کنید؟ (شماره41)

اگر می خواهید هنگام بالا آمدن ویندوز برنامه ای فقط یکبار اجرا شود و در دفعات بعدی غیرفعال باشد تغییرات زیر را در رجستری اعمال کنید:

Hive:HKEY-CURRENT-USER
Key:Software\Microsoft\Windows\Current Version\Run once
نام برنامه مورد نظر :Name
Data Type:REG-SZ
مسیری که در آن قرار دارد: Value

چگونه برنامه ای را فقط یک بار هنگام بوت سیستم اجرا کنید؟ (شماره41)

اگر می خواهید هنگام بالا آمدن ویندوز برنامه ای فقط یکبار اجرا شود و در دفعات بعدی غیرفعال باشد تغییرات زیر را در رجستری اعمال کنید:

Hive:HKEY-CURRENT-USER
Key:Software\Microsoft\Windows\Current Version\Run once
نام برنامه مورد نظر :Name
Data Type:REG-SZ
مسیری که در آن قرار دارد: Value

تجربه خود را در ویندوز XP افزایش دهید(شماره 34)

واقعیت این است که من همیشه در نصب نرم‏افزارهاى درایو zip خود مشکل داشتم و خیلى وقتها هم زمان خود را صرف رفع صفحه آبى رنگ ویندوز XP که با اتصال یک هارددیسک Peerless USB External ظاهر شده کردم. ولى خوشبختانه Peerless یک هاردیسک خوش رفتار بود و فهمیدم که اگر سیستم را با یک هارد Peerless از پیش نصب شده بوت کنید، مشکلى نخواهید داشت. ولى اگر بعد از بوت شدن آنرا به سیستم متصل کنید، به هرحال باید مشکلات بعدى را هم خودتان یکجورى حل کنید!

کار با Peerless بدون شک راحت است و من آنرا براى انتقال یک خروار داده بین سرویس‏دهنده محل کارم و ویندوز XP سیستم منزل خود استفاده مى‏کنم. لذا پس از ریختن فایلها روى آن، در منزل دست به کار شده و یکهو متوجه شدم که یادم رفته بود که Hot-Plugging خیلى هم درست نبود و باید سیستم را از نو با این وسیله متصل شده بوت مى‏کردم و به همین خاطر هم صفحه آبى رنگ ویندوز XP دوباره ظاهر شد. خب شاید مثل ما فکر کنید که با یک بار بوت کردن مشکل حل مى‏شود، ولى متأسفانه اینطور نشد. حتى بعد از بوت هم، صفحه Blue Screen of Death(BSOD) را دیدم. دوباره سعى کردم و یک بار دیگر بوت کردم، ولى باز هم هیچى ظاهر نشد که دلم خوش شود. اعصابم خرد شده بود چون به عنوان ابزار Backup خوب از آن استفاده کرده بودم و حالا هیچ چاره‏اى نبود جز خواندن اطلاعات آن. و همچنین اطلاعاتى روى آن بود که بدون شک باید در جاى دیگرى هم نگهدارى مى‏شد. خب چه کار باید مى‏کردم؟ عقل حکم مى‏کرد که مراحلى را قبل از روشن شدن سیستم طى کنم. باید Safe Mode را آزمایش مى‏کردم (که با فشار کلید F8 در زمان بوت ویندوز XP ظاهر مى‏شود) و خوشبختانه Safe Mode جواب داد. وقتى در محیط Safe Mode سیستم بالا آمد، بهتر بود که نرم‏افزار Iomegaware که همچون راه‏انداز آن هارددیسک بود را Uninstall کنم. یا شاید بهتر بود که از طریق گزینه System Restore آنرا به حالتى که هفت پیش داشت برمى‏گرداندم. اما من راه‏حلى بهتر از به کارگیرى Safe Modeبرگزیدم، آن همه درایوها و سرویسهاى بارگذارى شده را نشان مى‏دهد. در وضعیت فعلى خیلى بعید بود که درایور IOMDISK قبل از کله پاشدن بارشده باشد. بنابر ویژگیهاى آن، Storage Iomega Disk Filter For filtering All Mass Devices وجود داشت که احتمالاً مشکل مربوط به این بود.

اما متأسفانه Safe Mode مشکل ما را حل نکرد و من هنوز هم صفحه آبى رنگ معروف را مى‏دیدم. یواش یواش ههه چیز داشت بدریخت‏تر مى‏شد و داشتم راستى راستى تب مى‏کردم.

اما نه، نگران نباشید، همیشه گزینه Last Known Good Configuration در Safe Mode وجود داشت. این گزینه را انتخاب کنید و امیدوار باشید که ویندوز XP بدرستى بوت مى‏شود ولى اگر نشد چى؟ براى حل این مشکل جدى واقعاً باید یک PC دیگر در اختیار داشته باشید و به اینترنت متصل شوید و ساعتها روى اینترنت جستجو کنید. من هم خیلى جدى شروع به جستجوکردن بهترین راه براى بازیابى داده‏هایم کردم. شما خیلى سریع در این جستجوها متوجه مى‏شوید که ویندوز XP با ویندوز 98 خیلى متفاوت است.

مثلاً باید بگوئیم که سیستم من یک NTFS داشت نه یک FAT23، لذا نمى‏توانستیم خیلى راحت از یک فلاپى بوت کنیم و اطلاعات موردنظرم را روى رسانه قابل حمل کپى کنیم.

جریان بازیابى‏
توجه من به سمت Recovery Console معطوف شد. Recovery Console یک ابزار رفع اشکال قدرتمند است که مى‏تواند زمانى که سیستم قفل کرده یا راه‏انداز دستگاهى باعث آزار و اذیت شده، به کار آید.

RC یک خط فرمان در اختیارتان قرار مى‏دهد که به شما امکان اجراى اعمال مختلف مدیریتى را مى‏دهد. شما مى‏توانید فایلها را از روى FAT یا NTFS بخوانید و بنویسید، هارددیسکها را فرمت کنید، بوت معیوب را درست کنید یا سرویسها را متوقف یا اجرا کنید و بعلاوه چند تا کار دیگر.

دو راه براى استفاده از Recovery COnsole وجود دارد: شما مى‏توانید توسط سى‏دى‏رام ویندوز XP بوت شده و آنرا از منوى Boot اجرا کنید یا اینکه مى‏توانید آنرا به روى هارددیسک خود نصب کنید. بدین منظور، سى‏دى‏رام را وارد درایو کنید و دستور زیر را تایپ کنید:

\i386\winnt32.txt/cmdcons

بعد از راه‏اندازى مجدد، RC روى خط پایین منوى Boot ظاهر مى‏شود. اگر آنرا انتخاب کنید، بعد از یک مکث کوتاه، RCیک صفحه متنى را نمایش مى‏دهد که لیست تمام OSهاى نصب شده روى سیستمتان در آن قرار دارد (لیست مى‏توانید شامل Win2K و NT4 هم باشد) و بعد از شما مى‏پرسد که مى‏خواهید با کدام OSبوت شوید. اسم رمز Administrator را وارد کنید (که اگر در حال استفاده از نسخه Homeباشید عموماً خالى است) و بعد به شما یک اعلان فرمان داده مى‏شود.

آنچه که در خط دستور RC در اختیار دارید، شبیه به چیزى است که در یک اعلان دستور معمولى در اختیارتان است، اما شما مى‏توانید آنها را با تایپ Help در کنسول هم ببینید. براى گرفتن help یک دستور خاص، مى‏توانید از شکل "command_name/HELP" یا "Command_name/?" استفاده کنید. براى مثال ما مایل بودیم که در مورد دستورات ENABLE یا DISABLE مطالبى را بدانیم. شما از دستور LISTSVC براى لیست کردن همه سرویسهاى در حال اجرا را استفاده مى‏کنید و با دراختیارداشتن آن اطلاعات مى‏توانید راه‏انداز یا سرویس دردسرساز را در بوت بعدى غیرفعال کنید.

اولین حرکت کپى کردن یک نسخه «تمیز» IOMDISK روى نسخه موجود آن است (شما مى‏توانید اینکار را با RC انجام دهید)، شاید فایل خراب شده باشد. اینکار مشکلى را براى شما ایجاد نمى‏کند. سپس سعى درغیرفعال کردن IOMDISK هم کردم ولى فایده‏اى نداشت. (هنوز هم سیستم صفحه آبى را نشان مى‏داد). پس از آن به بحث نصب مجدد (Re-install) ویندوز XP روى ویندوز فعلى معطوف شدم که شاید نصب جدید بتواند مشکلات را حل کند. اینکار خوب بود و یک راه حل غیرمخرب محسوب مى‏شد که حداقل همه مى‏دانیم تحت ویندوز 9xاینکار مشکل‏گشا بود. البته اینکار گاهى هم مشکل را حل نمى‏کند و همچنان مشکل باقى مى‏ماند که تحت ویندوز XP این احتمال وجود داشت. بطور نرمال این کار با انتخاب "R" که مربوط به کلمه Repair در حین فرآیند نصب است انجام مى‏شود، ولى به دلیلى این گزینه خود را نشان نداد. در عوض وقتى من سعى در نصب مجدد آن روى نسخه قدیمى داشتم خیلى صریح به من اعلام کرد که اگر به عمل نصب ادامه دهم حسابهاى کاربرى و اطلاعات امنیتى خود را از دست خواهم داد و تازه احتمال از دست دادن پوشه My Documents را هم داشتم. حالا فهمیدم که چه قدر خرابکارى کرده‏ام و تازه متوجه شدم که در سیستم چه مشکلى بزرگى دارم.

کمک گرفتم‏
خب در اینجا بود که یک فکر بکر کردم، کارى که تا به حال در این چند سال انجام نداده بودم. درباره کوچک کردن خودم پشت تلفن جلوى یک مسئول خدمات فنى صحبت مى‏کنم.

البته خیلى هم برایم عجیب نبود که توضیحات معمولى و غیرحرفه‏اى از آن طرف بشنوم. خیلى سریع به من پیشنهاد شد که به Safe Mode و Lask Known Good بروم (که البته آنها را زودتر انجام داده بودم). سایت وب Iomega از قابلیت چت کردن روى سایت پشتیبانى مى‏کرد که البته بهتر از گوشى تلفن بود.

خیلى سریع از بحث SafeMode و Last known good گذشتم و متوجه شدم که خیلى از بحث دور نبودم و آن کارهایى را کردم که باید انجام مى‏دادم. چون قبلاً هم نتوانسته بودم سیستم را با انجام این کارها بوت کنم، این بار هم این نقشه عملى نشد. بعد از چند توصیه مؤدبانه، در آخر پشتیبان فنى به من توصیه کرد که سیستم را یکبار دیگر به فروشنده‏اش بسپارم تا دوباره آنرا به خوبى بالا بیاورد. از آنجا که این مشکل واقعاً مشکل مربوط به IOmega بود، پیش خودم فکر کردم که چرا باید یک شرکت دیگر مسئولیت مشکلات شرکت دیگر را برعهده بگیرد؟ هرچند که از کیفیت سرویس IOmega ناامید شده بودم ولى خیلى هم برایم عجیب نبود.

خب حالا باید چه کار مى‏کردم؟ هرچند که هنوز هم قصد تلاش داشتم ولى کم کم داشتم از خیر داده‏هاى روى دیسک مى‏گذشتم. خوشبختانه توانستم یک سى‏دى رام نصب ویندوز XP خوب پیدا کنم و یک نسخه maintenance روى پارتیشن دوم (درایو D) نصب نمودم. این کار به خوبى انجام شد و سیستم دوباره بوت شد. در زمان بوت، مجدداً یک منو ظاهر شد که دو کپى ویندوز Home XP را نشان مى‏داد. پس از آن توانستم با کپى maintenance خود بوت کنم (که پیش فرض هم بود) و به داده‏هاى درایو C: براى آخرین بار نگاه کنم. بطور اتفاقى هیچ مشکلى هم براى Product Activation وجود نداشت (کپى دوم XP هنوز مى‏توانست تا 30 روز قبل از Active شدن دائم کار کند ولى چون روى سیستمى نصب شده بود که همان مجموعه سخت‏افزار را بعنوان Hardware key مى‏شناخت، لذا singature هم مثل قبل بود و مشکلى در نصب پیدا نشد).

به منظور دسترسى به حساب کاربرى Administrator، بنابر ادعاى قوانین امنیتى XP، باید با Safe Mode بوت مى‏کردم. این تنها راهى بود که مى‏توانستم به حساب کاربرى Administrator در ویندوز XP نسخه Home دسترسى پیدا کنم. وقتى بعنوان Administrator به سیستم loginکردم، خب همه چیز درست بود و مى‏توانستم هر کارى که دوست داشتم انجام دهم. ولى نه همه کارهایى را که مربوط به داده‏هاى همکارم بود، در ضمن Administrator هم اجازه کپى به من نمى‏داد. اگر مى‏خواستم این کار را انجام دهم باید Take Ownership فولدر مربوطه را تغییر مى‏دادم.

براى این کار روى فولدرى که مى‏خواهید آنرا کپى کنید راست کلیک کنید و Properties را انتخاب نمایید. سپس روى دکمه Security در قسمت Permission روى Advanced کلیک کنید. اینکار صفحه Advanced Security Settings را براى آن فولدر باز مى‏کند. سپس روى دکمه Owner کلیک کنید و Administrator را در "Change Owner to..." انتخاب کنید. به منظور تغییر owner همه زیرمجموعه‏هاى آن فولدر هم باید دکمه Replace owner on subcontainers and objects را انتخاب کنید. روى Apply کلیک کنید. هر فایلى حدود 1 تا 2 دقیقه کارش طول مى‏کشد تا owner آن فایل عوض شود.

وقتى داده‏هایم به خوبى روى درایو D کپى شدند، حالا مى‏توانستم همه آنچه که روى درایو C انجام مى‏دادم را به پایان برسانم. این تجربه تلخ بالاخره در اینجا به پایان رسید و خواستم به شما بگویم که چه کارهایى در هنگام وقوع چنین مشکلاتى باید انجام دهید.

پیدا کردن مشکلات ویندوز با استفاده از System Information(شماره 32)

در Start menu مراحل زیر را دنبال کنید

start>program>Accessories>System Tools>System Information

System Information یک سری ابزار است که مشکلات ویندوز 98 را پیدا کرده و آنها را رفع می کند. هر چیزی را که شما در نورد سخت افزار و نرم افزارهای نصب شده احتیاج داشته باشید به علاوه لینکهایی به windows Rebot و System file checker و Registery Checker و Automatic Skip Driver Agent و Dr.Watson و System Configuration و Scan Disk و version Conflict Maneger خواهید یافت.

اکنون در System Information روی هر آیتم کلیک کنید و پیغام ظاهر شده را بخوانید اگر شما این پیغام را دیدید:

This device has a problem

مشکل را دنبال کرده و درمان آن را پیدا کنید همچنین می توانید تمام setting ها و اطلاعات مربوط به به سیستم خود را به صورت یک فایل text دخیره کنید فقط از منوی file/export را انتخاب کنید این به شما در پیدا کردن یک راه حل زمانیکه کامپیوترتان مشکل پیدا کرده کمک می کند.

System Information یک تابع جستجو (search ) ندارد برای این منظور اطلاعات خود را به یک فایل text تبدیل کنید و فایل را در Word Pad برای پیدا کردن آنچه که جستجو می کنید

بازیابی اطلاعات از دست رفته(شماره 28)

اگر به اشتباه فایلی را حذف نمودید می‌توانید با استفاده از ابزارهایی چون Fast File Undelete آنرا دوباره بدست آورید.

اغلب برای همگی ما اتفاق افتاده که اطلاعاتی را به اشتباه حذف کرده باشیم. ممکن است این کار بطور اتفاقی انجام گرفته باشد یا بجای Save کردن آنرا حذف کرده باشیم یا آنکه چیزی را در DOS بدون تأمل حذف کرده باشیم.

اگر به اشتباه فایلی را پاک کرده باشید واضح است که باید Becycle Bin خود را مشاهده نمایید. اگر آنجا بود با right click کردن ماوس گزینه Restore را انتخاب نمایید. اگر سیستم عامل شما Windows Me است. برای این کار از System Restore Utility استفاده نمایید. این عمل تمام سیستم شما را به حالت Save قبلی درمی‌آورد. این ابزار در Win9x با نام PowerQuest’s Secordchance موجود است.

ابزار دیگری وجود دارد که البته برای استفاده از آن لازم است دانشی در ارتباط با پاک شدن فایل بدانید. ویندوز اطلاعات فایل را در Clusterها که البته اندازه این Clusterها در نوع FAT مشخص گردیده نگهداری می‌کنند FAT، link بین Clusterها را که در هنگام اتصال به یکدیگر یک فایل را بوجود می‌آورند، ذخیره می‌کند. اکثر اشتباهات و errorها در هنگام خراب شدن این فایل پدید می‌آیند و ابزاری چون ScanDisk تکه‌های فایل را بهم متصل می‌نمایند.

در هنگام حذف فایل در واقع از هارد پاک نشده بلکه مکان دایرکتوری فایل تغییر یافته و به همین خاطر به Recycle Bin اشاره می‌کند. Cluster داده‌ها در مجموع تغییر نکرده است. این اطلاعات زمانی از بین می‌رود که Recycle Bin را پاک کنید. اما اطلاعات واقعی در Cluster باقی مانده و فقط ثبت فایل در FAT، Update شده و آن Cluster برای استفاده آماده است و اولین کاراکتر نام فایل برای این تاثیر تغییر یافته است.

برنامه‌هایی که این فایلها را بازیابی می‌کنند این کار را از طریق جستجو در FAT و اسکن نمودن هارد برای Clusterهایی که بنظر همچون فایل هستند انجام می‌دهند. اساسی‌ترین این برنامه‌ها بنام Undelete.exe است ولی بخاطر معرفی Recycle Bin مایکروسافت این برنامه را فراهم ننموده است. بهترین این ابزار که تحت ویندوز اجرا می‌شوند به نام Fast File Undelete می‌باشد.

وقتی تشخیص دادید که فایلی را حذف نمودید هیچ فایل جدیدی را بر روی هارد Save نکنید زیرا با این کار می‌تواند بر روی Cluster مربوط به آن فایل بازنویسی شود. به همین علت اگر قبل از حذف یک فایل برنامه Fast File Undelete را نصب نکرده باشید بدانید که ممکن است با نصب این برنامه پس از حذف فایل روی اطلاعاتی که می‌خواهید بازیابی نمایید Overwrite می‌شود. برای این کار Fast File Undelete را بر روی فلاپی نصب نمایید. سپس بر روی FFU1.exe دوبار کلیک نمایید. به محض load شدن Select Source and Destination Drive, file را انتخاب کنید. درایوی را که فایل پاک شده شما در آن قرار قرار داشته انتخاب کرده و درایوی را که می‌خواهید آنرا ذخیره نمایید که البته می‌تواند همان درایو قبلی باشد ولی بهتر است درایو دیگری باشد انتخاب کنید.

بطور پیش فرض فایلهای بازیابی شده در دایرکتوری root درایو مقصد شما ذخیره می‌شوند. بهتر است یک فولدر برای فایلهای بازیابی شده خود ایجاد نمایید سپس دکمه Choose Directory را کلیک کرده و پس از انتخاب آن دکمه Done را کلیک نمایید.

حال باید درایو خود را اسکن نمایید. File و سپس Scan Source Drive را انتخاب کنید و منتظر باشید تا تمامی فایلهای حذف شده اسکن شوند برای خاتمه دادن به جستجو در هر زمان از طریق انتخاب file و سپس Terminate Scan این عمل را انجام دهید.

صدها و یا هزارها فایل حذف شده بر روی هارد شما وجود دارد که (با آنچه که در مورد فایل به خاطر دارید) می‌توانید نتیجه را برحسب نام، مسیر، اندازه، تاریخ و غیره مرتب نمایید. به محض یافتن فایل موردنظر