Принципи Відновлення Даних

При відновленні даних не буває повністю ідентичних ситуацій. Часто виходить відновити всі втрачені файли з оригінальними іменами і структуру каталогів. В інших випадках вдається відновити тільки вміст файлів, а інші параметри, такі як, наприклад, імена, структура каталогів, де вони перебували, тимчасові позначки, виявляються втраченими. І нарешті бувають ситуації коли все відновлені файли виявляються пошкодженими. Тому для користувачів завжди виникає одне і те ж питання: чому так відбувається?

Щоб розібратися в цьому розглянемо принципи зберігання файлів на диску і їх відновлення. Якщо для технічного фахівця оволодіння практичними навичками професійного відновлення даних може зайняти роки, то для звичайного користувача вивчення основ відновлення даних дозволить оперативно оцінити і вибрати для подальшого використання відповідну утиліту відновлення даних.

У цій статті ми постараємося зрозуміти як відбувається відновлення даних і покажемо як застосовувати ці знання в деяких поширених ситуаціях для оцінки шансів відновлення файлів.

Важлива стаття по відновленню файлів з пристроїв SSD: Особливості відновлення файлів з пристроїв SSD .

Знання особливостей розташування файлів на диску дозволяє зрозуміти як їх можна відновити у разі втрати.

У більшості сучасних операційних систем жорсткий диск ділиться на кілька незалежних одна від одної частин ( "розділів"). В ОС класу DOS / Windows ці розділи називаються "логічними дисками". Логічним дискам призначаються літери, також для них можна задати мітку (для наочності). Наприклад, C: (Система) or D: (Дані). Кожен розділ має свою файлову систему, яка не залежить від інших розділів того ж диска. Наприклад, фізичний жорсткий диск, на якому встановлена ​​ОС Windows, може складатися з двох логічних дисків: одного з файлової системою NTFS, іншого - з файлової системою FAT32. Інформація про розділи диска зберігається на початку жорсткого диска. Її зазвичай називають "таблицею розділів" або "схемою розділів".

Типова структура розділів показана на малюнку 1.

Малюнок 1: Структура жорсткого диска
Клацніть по зображенню для його збільшення

Службова інформація про жорсткому диску і інформація про структуру розділів на малюнку 1 є "метаданими". Це інформація про дані на диску (на відміну від самих даних). Таким же чином кожен розділ або логічний диск ділиться на дві частини: у першій знаходиться інформація про диск (структура папок, файлова система і т.д.), у другій - дані складові файли. Такий поділ, починаючи з метаданих, дозволяє оптимізувати дисковий простір , Швидше шукати файли, а також підвищити надійність роботи.

На малюнку 2 показана типова структура логічного диска.

Малюнок 2: Структура логічного диска
Клацніть по зображенню для його збільшення

Службова інформація про диск на малюнку 2 це інформація про розмір розділу, тип файлової системи і т.д. Для комп'ютера необхідно коректно знайти потрібні дані на розділі.

Інформація про файли і папки це файлові записи, що містять імена файлів, розмір, позначки дати / часу і іншу технічну інформацію. Також ця інформація включає точне фізичні розташування (адреси) даних файлів на диску. На тому ж диску зазвичай є резервна копія цієї інформації.

На різних файлових системах дана інформація зберігається по-різному. Наприклад, на файлову систему FAT вона знаходиться в Таблиці Розміщення фото (File Allocation Table), в той час як на файлову систему NTFS - в Головній Файлової Таблиці (Master File Table (MFT)).

При необхідності прочитати файл комп'ютер насамперед звертається до інформації про файлах і папках і шукає запис про даному файлі. Далі шукається адресу файлу і здійснюється перехід до конкретного місця на диску, і потім вже читаються дані файлу.

Для файлів, які знаходяться на диску в одному місці (розташовані поруч), все відбувається досить просто. Однак файли на диску можуть бути фрагментовані, тобто займати кілька несуміжних областей. Це відбувається досить часто, але більшість користувачів про це не здогадуються. Крім того якщо ви подивитеся на файл в провіднику Windows або в Finder (Mac ОС), то завжди побачите тільки один файл, так як всі операції по збору частин файлу відбуваються всередині операційної системи. Адреси всіх фрагментів файлу, що зберігаються в інформації про файлах і папках, відразу ж перебувають при спробі його читання. Дана інформація і то як вона витягується вкрай важливі при відновленні файлів .

При видаленні файлу не відбувається миттєвого руйнування його даних . Замість цього вносяться деякі зміни в інформацію про файлах і папках показують що файл був видалений. У деяких операційних системах файл просто позначається як віддалений, при цьому зберігаються всі метадані про фото до тих пір поки вони не будуть перезаписані метаданими про новому файлі. Саме так відбувається видалення файлів у файлових системах ОС Windows. В інших операційних системах (наприклад, Mac OS X) повністю руйнується файловий запис про віддалений файлі. Якщо відомості про фото в інформації про файлах і папках залежно від операційної системи або зберігаються, або відразу видаляються при видаленні файлу, то самі дані файлу у всіх операційних системах залишаються недоторканими до тих пір поки дане місце на диску не буде потрібно для запису іншого файлу. Якщо ж на диск не заносяться інші файли, то інформація про фото і його дані будуть на ньому збережені.

Як вже було зазначено раніше, в тому місці диска де зберігається інформація про дані файлу також міститься резервна копія інформації про файлах і папках. При цьому там може знаходитися і деяка додаткова інформація про структуру файлів і папок розташованих в різних місцях диска.

Методи відновлення файлів

Перш ніж почати розглядати різні методи відновлення файлів відзначимо одну важливу особливість:
Якщо дані на диску перезаписані, то їх не вдасться відновити жодною програмою і жодному з відомих методів.

Тому вкрай важливо щоб до відновлення даних на диск не записує будь-яка інформація.

Є два методи відновлення файлів що не були перезаписані. У всіх утиліти відновлення використовується або один з них, або обидва.

Метод 1: відновлення файлів за допомогою аналізу інформації про файлах і папках

Це найперший метод використовується в програмах відновлення даних, так як при його успішне застосування відновлюються файли з оригінальними іменами, шляхами, відмітками дати / часу, і самі дані.

Робота утиліти відновлення файлів починається з спробі читання і обробки першої копії інформації про файлах і папках. У деяких випадках (наприклад при випадковому видаленні файлу ) Це єдине що потрібно для відновлення файлів.

Якщо перша копія інформації про файлах і папках сильно пошкоджена, то утиліта сканує диск і шукає другу копію інформації про файлах і папках. При цьому також проводиться детальний пошук додаткової інфорациі про структуру папок і файлів, яка може перебувати в області диска, де зберігаються дані. Після цього вся знайдена інформація обробляється і відтворюється оригінальна структура папок і файлів.

Якщо файлова система диска серйозно не пошкоджена, то цілком ймовірно вдасться повністю відновити структуру папок і файлів.

При сильному ж пошкодженні файлової системи даний метод не дозволить відтворити повну структуру папок. В цьому випадку відновлені файли будуть знаходитися в папках з присвоєними їм віртуальними іменами.

На малюнку 3 ви бачите ці папки в програмах R-Studio і R-Undelete .

Малюнок 3: Структура відновлених файлів і папок і віртуальні папки
Клацніть по зображенню для його збільшення

Якщо за допомогою першого методу на вдасться домогтися бажаного результату, то слід зробити пошук файлів по сигнатурам . Цей метод дозволяє відновити більше даних, однак при цьому не вдається отримати оригінальні імена файлів, позначки дати / часу або повну структуру папок і файлів на диску.

При пошуку при скануванні файлів відомих типів (пошук файлів по сигнатурам) аналізується вміст диска і проводиться пошук по "файловим сигнатурам". Файлова сигнатура це якийсь загальний для певного типу файлів шаблон даних, що знаходиться на початку або в кінці файлу. Майже кожен тип файлів має принаймні одну файлову сигнатуру. Наприклад, всі файли типу png (portable network graphics, що переноситься мережева графіка) починаються з послідовності символів "‰ PNG" і багато MP3 файли починаються з послідовності символів "ID3". Такі файлові сигнатури дозволяють віднести дані на диску з певного типу файлів і далі відновити.

Після сканування файлів відомих типів R-Studio і R-Undelete помістять знайдені файли в категорію "Додатково Знайдені Файли (Extra Found Files)", де вони будуть структуровані по розширень на основі ідентифікованої файлової сигнатури і де їм буде присвоєно якесь шаблонне ім'я (порядковий номер ). Див. Малюнки 4 і 5.

Малюнок 4: Файли знайдені на логічному диску шляхом сканування файлів відомих типів (Додатково Знайдені Файли (Extra Found Files))
Клацніть по зображенню для його збільшення

Малюнок 5: Файли знайдені поза логічного диска шляхом сканування файлів відомих типів (Додатково Знайдені Файли (Extra Found Files))
Клацніть по зображенню для його збільшення

Обмеження Пошуку фото по сигнатури

Незважаючи на те, що за допомогою даного методу можна отримати найкращі результати при відновленні даних з сильно пошкодженої файлової системи , В ньому є певні обмеження. Перш за все необхідно враховувати, що в деяких типах файлів є файлова сигнатура на початку і в кінці файлу, в деяких - тільки на початку (в кінці файлової сигнатури немає) і нарешті в деяких типах файлів взагалі немає будь-якої помітної файлової сигнатури.

Якщо утиліта відновлення даних знайде файлову сигнатуру на початку і в кінці файлу, то він буде розпізнано і відновлений. Якщо файл не має сигнатури в кінці, то утиліта відновлення може відновити його допускаючи що він закінчується на початку наступного файлу. І якщо файли не мають сигнатури (наприклад, зашифровані диски, що зберігаються в файлі-контейнері), то за допомогою пошуку файлів по сигнатурам не вдасться отримати будь-які дані і на їх місці буде показано нерасподілений дисковий простір.

Також все це може бути ускладнене ще й фрагментацією файлів. Більш того, файли, які не мають сигнатури в кінці, після відновлення можуть містити в кінці якусь послідовність не відносяться до них символів (тобто "сміття"). Малюнок 6 пояснює це.

Малюнок 6: Дані файлу на диску
Клацніть по зображенню для його збільшення

У ситуації, зображеної на малюнку 6, файл 1 і файл 3 будуть успішно відновлені, а файл 2 і 4 - немає. Пояснення цьому ви знайдете в таблиці 1:

Файл 1 Немає сигнатури в кінці файлу, однак файл закінчується в тому місці, де починається сигнатура на початку файлу 2. Файл успішно відновлено. Файл 2 Фрагментований файл. Файл 3 перетинається з Файлом 2. Файл не відновлено. Утиліта вважатиме що файл закінчується в місці початку файлу 3. Друга частина файлу 2 буде втрачена Файл 3 Суміжний файл з сигнатурою на початку і в кінці. Файл успішно відновлено. Файл 4 Немає сигнатури в кінці файлу, за файлом слід нерасподілений простір. Файл не відновлено. Утиліта вважатиме що файл закінчується в місці початку файлу N, і нерасподілений простір буде додано в кінець файлу 4.

Крім проблем з фрагментацією при пошуку файлів по сигнатурам також можна отримати "помилкові & quot результати. Наприклад, в будь-якому файлі можуть перебувати символи" ID3 ", які при цьому не будуть файлової сигнатурою. Наприклад, текст, які ви зараз читаєте, містить символи" ID3 ", але при цьому це не MP3 файл. Тому при пошуку файлів по сигнатурам частина даного тексту може помилково розпізнатися як початок MP3 файлу.

Крім описаних вище методів, використовуваних в програмах відновлення даних, є також деякі додаткові параметри пошуку і способи відновлення даних, які дозволяють отримувати кращі результати. Професійні програми відновлення файлів (наприклад, R-Studio) надають користувачам можливість самим задавати файлові сигнатури будь-якого ступеня складності, тобто створювати користувальницький відомий тип файлу.

Як правило, на практиці вищеописані методи відновлення файлів примняются спільно: частина файлів відновлюється за допомогою першого методу, а решта - за допомогою другого. Програми відновлення файлів (Наприклад, R-Studio і R-Undelete) можуть застосовувати їх одночасно. Наприклад, при виконанні сканування вони можуть аналізувати пошкоджену файлову систему і проводити пошук файлів відомих типів.

За допомогою вищеописаного можна зробити справедливий висновок про те, які ж шанси успішного відновлення файлів. Однак необхідно брати до уваги наступне:

• Пошкодження файлової системи можуть призводити до непередбачуваних результатів. Стан файлів буде залежати від того, що викликало їх втрату, від загального стану диска до збою в роботі системи або втрати даних, а також від дій, які були зроблені до початку відновлення даних. Оцінки, наведені в цій статті, є приблизними і їх можна використовувати тільки для дисків, на які не записувалися дані після їх пошкодження.
• Не слід вдаватися до спроб відновити дані з фізично несправних дисків. Якщо ви підозрюєте що ваш диск фізично несправний, то краще зверніться до фахівців лабораторії з відновлення даних з відповідним обладнання та рівнем знань. Будь-які подальші дії з таким диском напевно викличуть ще більші повережденія ваших даних, що, як правило, призведе до марності подальших спроб їх відновлення.
• Ми рекомендує виконувати всі завдання по відновленню даних з образів дисків щоб Сохань поточний стан даних на диску. Це дозволяє робити численні спроби відновлення даних не побоюючись що при цьому на початковому диску буде щось змінено і ще більше даних буде втрачено. Такі утиліти відновлення файлів, як R-Studio і R-Undelete, можуть створювати образи дисків і одночасно сканувати дані.

Якщо диск ні відповідним чином змонтований або витягнутий (наприклад, через збій електроживлення або помилки користувача), то частина або всі метадані на ньому можуть виявитися пошкодженими або втраченими. При цьому виявляється втраченою тільки вихідна службова інформація про жорсткому диску і інформація про структуру розділів, а частина, що залишилася даних на диску буде збережена. В цьому випадку програми відновлення даних аналізують збереглася на диску інформацію про файлах і папках і відновлюють всі файли і папки. Пошук відомих типів файлів а таких випадках навряд чи знадобиться. Це найпростіший випадок відновлення даних і як правило дозволяє отримувати найкращі результати.

Випадок 2: відновлення файлів з розбитого заново на розділи жорсткого диска (фізичний диск)

Випадок заново розбитого на розділи диска багато в чому схожий з випадком 1, єдине основна відмінність полягає в тому, що при створенні нового розділу на диск записуються нові дані. При цьому на диску перезапише службова інформація про фізичному диску. Однак інша інформація збережеться, в тому числі і інформація про файлах і папках. Таким чином за допомогою програм відновлення можна відсканувати диск, знайти цю інформацію і відновити файли і папки, які не були порушені даними нового розділу. Пошук відомих типів файлів а таких випадках навряд чи знадобиться.

Випадок 3: Відновлення файлів з переформатувати розділу (логічний диск)

Як правило при переформатуванні втрачається більше даних ніж при розбитті диска на розділи. Все залежить від того, яке було виконано форматування.

При повному форматуванні всі дані розділу перезапишуть певними шаблонами (зазвичай 00 або FF), що призведе до неможливості відновлення будь-яких файлів з розділу.

При швидких форматуванні частина або всі дані информации про файлах и папках перезапісуваті, но при цьом дані файлів зберігаються. За допомогою програм відновлення можна відсканувати диск, знайти те, що залишилося від попередньої файлової системи, і далі відновити файли і папки. Результати відновлення за допомогою першого методу можуть дуже сильно відрізнятися в залежності від того, яка була файлова система до і після переформатування. Пошук відомих типів файлів в цьому випадку може вельми стати в нагоді, навіть якщо вам не вдасться знайти будь-які файли за допомогою першого методу.

Випадок 4: Відновлення файлів з диска з пошкодженої файлової системою

Даний випадок багато в чому залежить від того, наскільки сильно пошкоджена файлова система. Згадайте, що на диску є дві копії інформації про файлах і папках. Якщо пошкоджена тільки одна копія, то програма відновлення даних зможе прочитати дані з резервної копії та відновити всю інформацію і самі дані файлів. Якщо ж пошкоджені обидві копії, то шанси відновлення даних представляються досить похмурими. Тут, як і в випадку 3, може допомогти пошук відомих типів файлів.

Випадок 5: Відновлення файлів втрачених при їх перенесенні на диску

Якщо комп'ютер зависає або відбувається який-небудь інший збій під час дефрагментації диска або операції розбиття диска на розділи, то результати відновлення даних можуть не дати будь-якого позитивного результату. Зазвичай це найгірший сценарій при відновленні файлів. Інформація про файли і папки може виглядати неушкодженою, проте метадані при цьому будуть вказувати на невірні фізичні адреси файлів, які знаходилися в процесу перенесення під час збою в роботі. Наприклад, дані можуть знаходитися вже в іншому місці, однак в інформації про файлах і папках це відображено ще не буде. Або ж в інформацію про файлах і папках буде вже записана нова інформація, але деякі або всі файли ще не будуть перенесені. У цьому випадку навіть пошук відомих типів файлів може не допомогти, так як багато файлів можливо будуть фрагментовані.

Укладення

В даній статті наведено лише короткий огляд основних концепцій відновлення файлів, однак вона повинна допомогти вам зрозуміти що слід робити при втраті даних і які шанси їх відновлення. Для отримання більш детальних інструкцій по використанню утиліт воссстановленія файлів, таких як R-Studio і R-Undelete, зверніться до відповідної online документації. Також ви можете знайти більш детальний аналіз окремих випадків відновлення файлів в інших наших статтях.

Для оцінки шансів відновлення файлів як завжди краще спробувати наші програми безкоштовно в демонстраційному режимі. В даному режимі є повне сканування диска і додатковий аналіз можливостей відновлення даних, в результаті чого ви зможете зрозуміти, чи вдасться вам відновити файли чи ні. Якщо ви задоволені змістом знайдених файлів, то можете купити ліцензію, ввести отриманий реєстраційний ключ до реєстраційного поле програми і відразу ж зберегти відновлені файли на інший диск незалежно від їх розмірів.