Użytkownikom programu Outlook niejednokrotnie zdarza się przypadkowo usunąć wiadomości, których nie chcieli się pozbywać. W naszej pracy napotkamy również sytuacje, kiedy wiadomości celowo zostały usunięte przez użytkownika. W obu tych przypadkach, prędzej czy później pojawia się nagląca potrzeba odzyskania skasowanych wiadomości.

Podstawy struktury plików PST

Ale od początku. Plik PST jest w rzeczywistości swego rodzaju bazą danych. Można go również porównać do systemu plików, który znajduje się na naszym dysku. Pierwszym elementem, z którego istnienia większość nie zdaje sobie sprawy, jest tzw. „indeks”, który jest uproszczonym odpowiednikiem tablic FAT lub MFT w systemie plików na naszym dysku. Podobnie jak podczas kasowania plików z dysku twardego, po usunięciu wiadomości z archiwum PST, dane nie są wymazywane z obszaru, w którym były zawarte, a jedynie pozycja w indeksie odnośnie danej wiadomości zostaje usunięta. W rezultacie wiadomość jest nadal zawarta w kontenerze PST, jednak aplikacja pocztowa (e.g. Outlook) nie jest w stanie jej „zlokalizować”.

Archiwum PST pozostaje w tym stanie tak długo, aż nie zostanie skompaktowane. Operacja ta powoduje, że dane skasowane, znajdujące się w pliku zostają wyczyszczone i w rezultacie rozmiar naszego archiwum może się znacznie zmniejszyć. Dlatego możliwość odzyskania skasowanych wiadomości z archiwum PST zależy od szeregu okoliczności i nie można zagwarantować tego, że te, przez nas pożądane, zawsze zostaną znalezione.

Podstawowe zasady funkcjonowania plików PST, jak przedstawiliśmy powyżej, są dość proste. Problem jednak polega na tym, że jeszcze do niedawna szczegóły dotyczące struktury tych plików były publicznie niedostępne – były zastrzeżone przez twórców, czyli firmę Microsoft. W związku z tym dostępność narzędzi do odzyskania skasowanych wiadomości z archiwum PST była ograniczona.

Dostępne były nieliczne narzędzia oferowane przez firmy, którym udało się przeprowadzić reverse engineering plików PST (czyli „nauczyć się” struktury PST). Jednym z takich narzędzi jest Paraben Email Examiner, z którego niejednokrotnie korzystaliśmy podczas naszych prac.

Jak odzyskać skasowane wiadomości

Darmowym i przez to jednym z najbardziej popularnych sposobów osiągnięcia tego celu było wykorzystaniu edytora umożliwiającego podgląd wiadomości w formie heksadecymalnej (HEX) oraz aplikacji ScanPST, czyli Inbox Repair Tool – darmowej aplikacji Microsoft’u. Sposób polegał na wyzerowaniu pewnych bajtów w pliku PST, przy wykorzystaniu edytora HEX – tzw. celowe popsucie pliku, a następnie naprawienie go aplikacją ScanPST.

Jeżeli chodzi o HEX-edytor, to osobiście najbardziej przemówiło do mnie rozwiązanie HHD Hex Editor Neo ze względu na jeden drobny szczegół, różniący je od pozostałych, z którymi miałem styczność – po wprowadzeniu zmian w pliku, zapisywany zostawał jedynie obszar, który uległ zmianie, tzn. po modyfikacji paru bajtów, niezależnie od wielkości pliku, zapis trwa jedynie parę sekund. Inne edytory, niezależnie od zakresu zmian, dokonywały zapisu całego pliku, od początku do końca, co w przypadku większych plików, na słabszych maszynach mogło zająć nawet od kilkunastu do kilkudziesięciu minut.

Odtwarzania skasowanych plików przy wykorzystaniu ScanPST

Mając dwa wyżej wspomniane narzędzia oraz plik PST postępujemy zgodnie z następującą procedurą:

1. Otwieramy plik PST w edytorze HEX.
2. Zerujemy bajty od 7go do 13go
   

   Oryginalny plik PST

   (w aplikacji HHD Hex Editor NEO pierwsza pozycja w pliku oznaczona jest numerem 00, wobec tego, zgodnie z tą numeracją, zerujemy bajty oznaczone wartościami 06, 07, 08, 09, 0a, 0b oraz 0c – wartość ostatniego bajtu do wyzerowania w pliku PST to zawsze 13).

   

   Zepsutyl plik PST

3. Zapisujemy zmiany (przed rozpoczęciem prac należy zawsze wykonać kopię oryginału, aby uniknąć sytuacji kiedy np. uszkodzimy plik niepoprawnie (tj. nieodwracalnie) i ScanPST nie będzie w stanie go naprawić).
4. Uruchamiamy aplikację ScanPST.exe i wskazujemy zepsuty przez nas plik, który chcemy naprawić.

Co robi ScanPST?

W uproszczeniu, naprawiając uszkodzony plik odbudowuje wspomniany wcześniej indeks w wyniku czego, pola oznaczone wcześniej jako skasowane zostają odtworzone, a same wiadomości znowu stają się dostępne, tylko że w folderze Deleted Items, a nie w ich oryginalnej lokalizacji.

Jako przykład związany z wykorzystaniem ScanPST możemy podać jeden z projektów, podczas którego archiwum o rozmiarze ok. 1GB początkowo wskazywało na obecność około 5000 wiadomości. Po odzyskaniu skasowanych wiadomości (naprawieniu zepsutego archiwum w powyższy sposób) rozmiar pozostał prawie ten sam, natomiast liczba wiadomości wzrosła do prawie 11000. Niewielka różnica w rozmiarze i ponad dwukrotny wzrost liczby obiektów w kontenerze potwierdzają, że skasowane wiadomości nie są całkowicie usunięte z pliku, lecz jedynie niewidoczne dla wykorzystywanego przez nas klienta pocztowego.

Dodatkowe uwagi

Istnieją dwie wersje aplikacji ScanPST – użytkownicy nowszych wersji serwera Microsoft Exchange i aplikacji klienckiej Outlook (od 2007 włącznie) powinni skorzystać z nowszej wersji narzędzia ScanPST.

W przypadku, kiedy archiwum zostało już skompresowane od czasu skasowania wiadomości (czy to przez nas samych, czy to automatycznie), szanse odtworzenia skasowanych danych drastycznie spadają. Może okazać się wtedy, że jedynym wyjściem będzie kontakt z działem IT. To czy będą oni nam w stanie pomóc zależy jednak od wielu czynników – konfiguracji serwera Exchange, ustawień związanych z wykonywaniem kopii zapasowych całego serwera i/lub pojedynczych skrzynek mailowych lub ewentualnie regularnym wykonywaniem kopii zapasowej danych użytkownika, znajdujących się na jego komputerze.

W sieci dostępne są również płatne narzędzia, dedykowane do odtwarzania skasowanych wiadomości. Ich liczba zdecydowanie wzrosła od czasu, kiedy struktura pliku PST została udostępniona przez Microsoft .