Восстановление удаленных файлов
Это задача, с которой сталкиваются почти все пользователи жестких дисков, raid массивов, флешек и карт памяти.Причины
Необходимость восстановления удаленных файлов появляется при случайном или преднамеренном удалении файлов, выполненной команде «очистить корзину», удалении инфицированных файлов антивирусом, сбое программного обеспечения.
В большинстве случаев файлы удаляются по вине самого пользователя, так называемый человеческий фактор. Естественно, осознав, что данные утеряны – пользователи начинают искать утилиты для восстановления удаленных данных, бродят по просторам интернета, находят первую попавшуюся программу, скачивают ее и устанавливают. Запускают, сканируют жесткий диск и сохраняют результаты поиска. Начинают проверять и оказывается, что все файлы битые и не открываются! И снова ищут другую программу, пробуют, так и не поняв, почему данные не восстанавливаются.
Критическими ошибками при попытках самостоятельного восстановления являются:
- продолжение работы с носителем, с которого требуется восстановить удаленные файлы;
- работа в интернете (если данные удалены с системного диска);
- бездумное скачивание и установка программ;
- сохранение результатов сканирования на диск или флешку, с которых были удалены файлы.
Для успешного восстановления удаленных файлов мы рекомендуем сразу отключить компьютер, вынуть диск и подключить его вторым к другому компьютеру, чтобы исключить перезапись данных. И только после этого можно искать и пробовать разные программы. Чтобы обезопасить себя на 100%, необходимо сделать посекторную копию диска или флешки в файл (проверить успешное снятие образа можно в hex редакторе, кол-во секторов и объем образа должны совпадать с диском).
Методы
Существует два метода восстановления удаленных файлов:
- с сохранением структуры, каталогов, имен, атрибутов файла (дата создания, изменения).
- без имен, с сортировкой по типу файлов, с датой создания временем сохранения результатов сканирования.
Первый метод является наиболее привлекательным, так как пользователь возвращает себе данные в нормальном, привычном состоянии. Основой успешного восстановления удаленных файлов будет возможность восстановления целостности структуры данных на основе цепочек, таблиц, журналов и записей файловых систем.
Помните, что при удалении данных – большинство файловых систем помечают их как удаленные, а занимаемое файлами место свободным, т.е. происходит удаление не самих файлов, а только записей файловой системы о них (именно поэтому дальнейшая работа с носителем приводит к уничтожению данных, свободное место занимается другими файлами).
Результат сканирования в данном случае зависит от заложенного в программу алгоритма поиска записей файловых систем, поддержки конкретной файловой системы и ни в коем случае не зависит об базы сигнатур (заголовков файлов). Например, разные версии R-studio с разным успехом восстанавливают структуры NTFS, и часто бывает, что старая версия 2 летней давности выдает результат гораздо лучше самой свежей.
Есть программы для работы только с одной файловой системой: Get Data Back for FAT, Get Data Back for NTFS. В той же R-studio можно просто поставить галочку в настройках «показывать удаленные» и открыть диск, и вы увидите свои удаленные файлы, если да, отмечайте и сохраняйте!
Приступая к самостоятельному восстановлению файлов, потребуется:
А) второй компьютер для подключения носителя с удаленными файлами.
Б) свободное место для установки программ, записи образа, сохранения результатов сканирования – это как правило объем, в 3-5 раз превышающий емкость диска/флешки пациента.
В) свободное время – клон диска 500Gb занимает примерно 2-3 часа, флешки 8Gb – 15 минут, сканирование и сохранение результата примерно еще 2 раза по столько же.
Г) различные версии программ с ключами; бесплатные обычно низкого качества, а платные в демо режиме не дают сохранять найденные файлы объемом больше 64Кб.
Д) время на проверку целостности восстановленных данных, путем ручного запуска в соответствующих приложениях.
Второй способ восстановления удаленных файлов – поиск по заголовкам (сигнатурам) или восстановление в RAW формате. Этот метод поиска применяется при проблемах с файловой системой, если первый способ не дал результатов, при большом количестве перезаписанных данных.
Успех восстановления зависит от базы сигнатур в сканирующей программе. Например, старые программы знают расширение файлов Microsoft Office 2003 (doc, xls), фотографий формата JPG, JPEG, но не знают заголовков файлов MS Office 2007 (docx, xlsx), фото в формате CR2, NEFF, видео MTS и других. Если Вы столкнулись с неактуальностью баз заголовков, в некоторых программах их можно добавить самому, взяв за образец несколько рабочих файлов того же расширения, сравнить заголовки в hex редакторе, и добавить в программу.
Основным минусом данного метода можно считать потерю названий и атрибутов, как следствие, придется искать нужный файл, открывая все найденные программой такого же расширения. Восстановление удаленных файлов по сигнатуре не применимо к восстановлению баз 1С, SQL и других баз данных, т.к. сохранение путей к файлам обязательное условие для их запуска.
В заключение хочется еще раз напомнить, что если вы удалили или потеряли свои файлы, необходимо исключить запись данных на носитель, с которого файлы были удалены.
Комментариев нет:
Отправить комментарий