Ostatnio otrzymałem kilka pytań związanych z odzyskiwaniem usuniętych plików. Co się dzieje, gdy plik zostanie usunięty w systemie opartym na Windowsie i co powoduje, że pliki te są tracone, a zatem niemożliwe do odzyskania? Ponadto, co mogłem zrobić, aby zapobiec ich utracie? Aby odpowiedzieć na te pytania, musimy najpierw odpowiedzieć na inne bardzo ważne pytanie.
W jaki sposób system Windows zapisuje dane plików na woluminie NTFS?
Kiedy tworzysz nowy plik, na przykład zdjęcie z wakacji (vacation.jpg), i zapisujesz go na dysku twardym (sformatowanym w systemie plików NTFS), system Windows wykonuje kilka czynności. Znajduje otwarty rekord pliku w obszarze metadanych na dysku (zwanym Master File Table lub MFT) i zapisuje pewne informacje o pliku, takie jak nazwa pliku i data. Jeżeli nie ma otwartych rekordów pliku, system Windows rozszerza MFT i tworzy nowy rekord pliku.
Następnie system Windows wyszukuje wolne bloki danych na woluminie, aby zapisać rzeczywiste dane naszego nowego pliku. Po zidentyfikowaniu bloków danych, Windows łączy nowy rekord pliku z blokami danych i zapisuje rzeczywiste dane na dysku. Poniższy obrazek ilustruje plik vacation.jpg zapisany na dysku.
Co więc dzieje się, gdy plik jest usuwany (zakładając, że nie trafia do Kosza)? Dzieją się dwie bardzo ważne rzeczy (z punktu widzenia odzyskiwania danych):
- Rekord pliku jest oznaczony jako usunięty i dostępny do ponownego użycia.
- Obszar danych jest oznaczony jako wolna przestrzeń i dostępny do ponownego użycia.
Na powyższym obrazku widać, że obszary dysku zawierające dane pliku vacation.jpg zostały oznaczone jako wolne miejsce i są dostępne do użycia dla nowych plików lub do rozszerzenia istniejących. Rekord pliku został również oznaczony jako usunięty i jest dostępny do ponownego wykorzystania przez system. Aby odzyskać usunięte dane, firma lub oprogramowanie do odzyskiwania danych musi być w stanie znaleźć usunięte rekordy plików, które nie zostały nadpisane i bloki danych, które odnoszą się do tych konkretnych plików. Firma lub oprogramowanie DR powinno również przeskanować nieprzydzieloną przestrzeń na dysku w poszukiwaniu bloków danych, które były używane, ale których rekordy plików zostały nadpisane. Przykład takiego procesu jest następujący:
- Ograniczenie dostępu do dysku (write blocker)
- Skanowanie metadanych woluminu w poszukiwaniu rekordów plików oznaczonych jako usunięte
- Odzyskaj usunięte rekordy plików i powiązane z nimi bloki danych do nowych plików
- Skanowanie woluminu w poszukiwaniu surowych danych, które są obecnie w nieprzydzielonych lub wolnych obszarach dysku
- Odzyskaj surowe bloki danych do nowych plików
Jakie są powody, dla których usunięte dane nie mogą być odzyskane?
- Rekord pliku jest nadpisany i:
- Brak sygnatury dla danych pliku
- Dane są pofragmentowane
- Dane są całkowicie nadpisane
- Dane są częściowo nadpisane
Poniższy rysunek ilustruje plik, który został usunięty, jego rekord pliku został nadpisany przez nowy plik, a dane na dysku są pofragmentowane.
Nasz przykładowy plik (vacation.jpg) został usunięty, a jego rekord został nadpisany nowym plikiem (birthday.jpg). Jedyną możliwością odzyskania pliku vacation.jpg jest odnalezienie i złożenie bloków danych (zakładając, że gdzieś na dysku nie ma innej kopii pliku FR). Współczynnik sukcesu dla tego typu odzyskiwania jest bardzo wysoki, ponieważ bloki danych (bloki 1-4) w naszym przykładzie nie zostały nadpisane przez nowe dane.
Jeżeli nowy plik (birthday.jpg) nadpisałby niektóre bloki danych, jak w poniższym przykładzie, plik byłby możliwy do odzyskania tylko częściowo (bloki 2 i 3 nadpisane).
Jeśli wszystkie bloki danych zostałyby nadpisane, jak w poniższym przykładzie, plik nie byłby możliwy do odzyskania (bloki 1-4 nadpisane).
Co więc możesz zrobić, aby upewnić się, że taka sytuacja nie przytrafi się Tobie?
- Wykonaj kopię zapasową/replikację swoich danych. Wiem, że brzmi to banalnie, ale zwykła kopia zapasowa/replikacja może zaoszczędzić wiele stresu.
- Jeśli przypadkowo usuniesz plik, a nie masz kopii zapasowej, przestań używać systemu tak szybko, jak to możliwe. Przeglądanie Internetu lub kontynuowanie pracy powoduje zapisywanie dodatkowych danych na dysku i może przyczynić się do nadpisania bloków danych.
- Przywróć kopię zapasową na inny dysk, aby upewnić się, że zawiera ona potrzebne dane i że pliki są sprawne.
- Jeśli chcesz spróbować odzyskać dane samodzielnie, wykonaj kopię dysku, jeśli to możliwe, i pracuj na kopii. Jeśli nie jest możliwe wykonanie kopii, upewnij się, że dysk jest przypisany do systemu jako dysk dodatkowy. Nie należy instalować oprogramowania do odzyskiwania na dysku, który chcesz odzyskać.
- Zwróć się o profesjonalną pomoc. Dobre firmy zajmujące się odzyskiwaniem danych oferują bezpłatne konsultacje, dzięki czemu można omówić swoje konkretne potrzeby z ekspertem od utraty danych.