Що таке відновлення даних?

essence of data recovery and principles of working of data recovery software

Попри постійне підвищення надійності запам'ятовувальних пристроїв, втрата цифрової інформації залишається досить поширеним явищем. До основних причин втрати файлів належать помилки користувачів, проблеми із програмним забезпеченням (наприклад, комп'ютерні віруси), перебої у подачі живлення, а також апаратні збої. На щастя, уся інформація, що зберігається на цифровому носії, майже завжди підлягає відновленню. Наступна стаття пояснює, що таке відновлення даних, описує найбільш поширені проблеми втрати даних та способи їх вирішення.


Що таке відновлення даних?

Відновлення даних можна описати як процес отримання інформації, що знаходиться на запам'ятовувальному пристрої, доступ до якої неможливий стандартними засобами через її попереднє видалення або пошкодження цифрового носія. Різні підходи використовуються для відновлення втрачених файлів, але тільки за умови, що їх вміст присутній десь у сховищі. Наприклад, відновлення даних не охоплює ситуації, коли файл ніколи не було записано до постійної пам’яті, наприклад документи, які були створені, але зрештою не збереглись на жорсткий диск через збій у живленні. Крім того, жоден з існуючих методів не здатен впоратися з випадками повного стирання, яке відбувається, коли інша інформація займає той самий простір у сховищі – за таких обставин втрачені файли можна дістати тільки із зовнішньої резервної копії.

В цілому методи відновлення даних поділяються на два типи: програмні й такі, що передбачають ремонт або заміну пошкоджених апаратних компонентів у лабораторних умовах. Програмно-орієнтований підхід застосовується в більшості випадків та базується на використанні спеціалізованих утиліт, здатних інтерпретувати логічну структуру проблемного накопичувача, зчитувати необхідний вміст та надавати його користувачеві у вигляді, зручному для подальшого копіювання. Фізичний ремонт проводиться фахівцями у найважчих випадках, наприклад, коли певні механічні або електричні частини накопичувача перестають працювати належним чином – у цьому випадку всі заходи спрямовані на одноразове вилучення критичного вмісту, без можливості подальшого використання ураженого пристрою.

Найбільш типові випадки втрати даних

За великим рахунком, загальний успіх процедури порятунку даних багато в чому залежить від вибору правильного методу відновлення та його своєчасного застосування. Ось чому вкрай важливо розуміти природу конкретного випадку втрати та знати, що можна зробити саме у цьому сценарії. Водночас некоректні дії можуть призвести до незворотного знищення інформації.

До найбільш поширених причин втрати даних відносяться:

  • Випадкове видалення файлів або тек

    Кожна файлова система по-різному здійснює видалення файлу. Наприклад, у Windows файлова система FAT позначає запис про файл у каталозі як "невикористаний" і знищує інформацію щодо розміщення файлу (за винятком початку файлу), в NTFS тільки запис про файл позначається як "невикористаний", елемент видаляється з каталогу, а дисковий простір також позначається як "невикористаний"; більшість файлових систем Linux/Unix знищують файловий дескриптор (інформацію про місце розташування файлу, тип, розмір і т. д.) та позначають дисковий простір як "вільний".

    Підказка: Щоб дізнатися більше про файлові системи та їх типи, будь ласка, зверніться до основ файлових систем.

    Основна мета видалення файлу – звільнити місце у сховищі, яке займає файл, для зберігання нового файлу. Дисковий простір не спустошується одразу з міркувань продуктивності, тому фактичний вміст файлу залишається на диску до тих пір, поки цей простір не буде використаний повторно для збереження нового файлу.

    Підказка: Будь ласка, керуйтеся наступною інструкцією, якщо вам потрібно відновити видалені файли.

  • Форматування файлової системи

    Форматування файлової системи може бути запущене помилково, наприклад, в результаті вибору неправильного розділу диска або через некоректні маніпуляції зі сховищем (наприклад, пристрої NAS зазвичай форматують внутрішнє сховище після спроби переналаштування RAID).

    Процедура форматування створює порожні структури файлової системи на диску і перезаписує будь-яку інформацію після цього. Якщо типи нової та попередньої файлових систем збігаються, нова знищує наявні структури файлової системи, перезаписуючи їх; якщо типи файлових систем відрізняються, структури записуються до різних локацій і можуть стерти контент користувача.

  • Логічне пошкодження файлової системи

    Сучасні файлові системи мають високий рівень захисту від внутрішніх помилок, однак вони залишаються безпорадними перед апаратними або програмними збоями. Навіть невеликий фрагмент некоректної інформації, записаний до неправильного місця у сховищі, може привести до руйнування структур файлової системи, порушення зв'язків об'єктів файлової системи та зробити файлову систему нечитабельною. Ця проблема може виникнути через відключення електроенергії або апаратні збої.

  • Втрата інформації про розділ

    Цей збій може статися через невдалу операцію “fdisk" або помилку користувача, що зазвичай призводять до втрати інформації про місцезнаходження та розмір розділу.

  • Вихід з ладу накопичувача

    У разі підозри щодо будь-яких фізичних проблем зі сховищем (наприклад, пристрій не завантажується, видає незвичайні звуки, перегрівається, стикається із проблемами при читанні і т.д.), не рекомендується здійснювати спроби самостійно відновити дані. Слід відправити накопичувач до спеціалізованої лабораторії.

    Якщо в системі RAID стався збій (відмова одного диска в RAID 1 або RAID 5, відмова максимум двох дисків в RAID 6 і т.д.), відтворення даних можливе без відсутнього диска, оскільки надмірність RAID дозволяє реконструювати вміст компонента, що вийшов з ладу.

    Підказка: Для додаткової інформації щодо можливостей успішного відновлення файлів у залежності від випадку втрати даних і операційної системи, будь ласка, зверніться до статей, що описують специфіку відновлення даних з різних ОС і шанси повернути дані.

Як працює програмне забезпечення для відновлення даних?

Інформацію, що залишилася на непошкодженому сховищі, зазвичай можна відновити без допомоги професіоналів, користуючись спеціалізованим програмним забезпеченням. Однак слід мати на увазі, що жодну інформацію не можна повернути після її перезапису. З огляду на це, не слід нічого записувати до сховища до тих пір, поки не буде врятовано останній файл.

Більшість утиліт для відновлення даних працюють із використанням алгоритмів аналізу метаданих, методу RAW-відновлення на основі відомого вмісту файлів або комбінації цих двох підходів.

Метадані – це прихована службова інформація, що міститься у файловій системі. Її аналіз дозволяє програмі знайти основні структури у сховищі, що ведуть облік розміщення вмісту файлів, їх властивостей та ієрархії каталогів. Після цього інформація опрацьовується та використовується для відтворення пошкодженої файлової системи. Цей метод є більш оптимальним, ніж RAW-відновлення, через те, що дозволяє отримати файли з їх оригінальними іменами, теками, відмітками дати та часу. Якщо метадані не були серйозно пошкоджені, іноді вдається відновити всю структуру каталогів, залежно від специфіки механізмів, які використовує файлова система, позбавляючись від "непотрібних" елементів. Втім, такий аналіз не вдасться успішно виконати за відсутності значущих частин метаданих. Саме тому вкрай важливо утримуватися від використання засобів для виправлення помилок у файловій системі або ініціювання операцій, які можуть привести до її модифікації, до тих пір, поки дані не буде відновлено.

Як правило, якщо бажаний результат не досягнуто за допомогою аналізу метаданих, виконується пошук файлів за їх відомими вмістом. У цьому випадку під "відомим вмістом" мається на увазі не вміст всього файлу, а тільки окремі послідовності неопрацьованих даних, які характерні для файлів даного формату та можуть вказувати на початок або кінець файлу. Ці послідовності називаються "сигнатурами файлів" та можуть використовуватися для визначення того, чи належить фрагмент даних у сховищі файлу заданого типу. Файли, відновлені за допомогою цього методу, отримують розширення на основі знайденої сигнатури, нові імена та розміщуються у нових папках, що зазвичай створюються окремо для файлів різних типів. Основне обмеження цього підходу полягає в тому, що деякі файли можуть не мати упізнаваних сигнатур або мати тільки сигнатуру, що позначає початок файлу, що ускладнює визначення його кінця, особливо коли частини файлу не зберігаються послідовно.

Щоб повернути втрачені файли з максимальною ефективністю, програмне забезпечення для відновлення даних може використовувати описані методи одночасно під час однієї процедури сканування, запущеної для сховища. Інші деталі процесу залежать в основному від типу цифрового носія описані в розділі рішення для відновлення даних.

Останнє оновлення: 08 серпня 2022

Якщо вам сподобалася ця стаття, поділіться нею у соцмережах: