Кахнович Герман Вячеславович
Научный руководитель Немченко Ольга Аркадьевна
ГБПОУ РМ «Саранский техникум энергетики и электронной техники
имени А.И. Полежаева»
ВОССТАНОВЛЕНИЕ ДАННЫХ
Актуальность исследования. Необходимость восстановления утраченных данных возникает у большинства пользователей ПК, поэтому утилиты восстановления занимают важное место в системном программном обеспечении. Данное исследование имеет важный прикладной характер.
Цель работы – освещение проблемы восстановления утерянных данных с различных носителей: жесткие диски, USB-накопители, SSD-накопители и др.
Практическая значимость. Значимость проведенного исследования заключается в оптимизации работы пользователей ПК. Изучение практических случаев восстановления данных влияет на потенциальную возможность дальнейшей разработки инновационного программного обеспечения. Повышение грамотности пользователей при работе с данными.
Введение
При удалении любого файла с данными Windows не уничтожает файл. Операционная система просто создает запись в файловой системе о том, что это место на носителе свободно для использования в других приложениях.
Во время того кода файл помечен как удаленный, но перезапись на это место ещё не произошла, восстановить файл не составит труда. На таком свойстве работы операционных систем базируются все алгоритмы восстановления данных.
В первые этапы развития программ для восстановления данных они работали по этому простому принципу. Программа находила отметки «удаленно» и просто отменяла их. Если данные были удалены не давно, данные повреждены не давно, перезаписи не происходило, то можно легко восстановить информацию по такому алгоритму. Это метод является одним из множеств алгоритмов и в современных программах восстановления данных.
Одним из минусов такого принципа восстановления является возникновение перекрестных ссылок. В некоторых случаях файловая система создавала записи для различных файлов, которые указывают на один и тот же сегмент жесткого диска. Это создавало проблемы для самой системы.
Современные программы восстановления используют усовершенствованные алгоритмы поиска и восстановления утерянных файлов. Для восстановления они уже не используют пространство тех секторов диска, на которые ссылается запись файловой системы, а копируют содержание удаленных файлов в другой документ (сохранять восстанавливаемые данные следует на другой носитель). Но и эти алгоритмы очень ограничены, их работа полностью зависит от функционирования файловой системы. При форматировании, перераспределении диска, повреждении файловой системы они не помогут. В таких случаях могут помочь кардинально новые средства восстановления данных.
Расположение файлов на диске
Знания принципов расположения файлов на диске позволяет лучше понимать алгоритмы восстановления данных.
В большинстве операционных систем жесткий диск делится на независимые части — разделы. В ОС типа DOS/Windows такие разделы называются «логическими дисками». Логическим дискам можно назначить букву, метку. Каждый раздел имеет свою файловую систему независимую от других разделов. Информация о самих разделах хранится вначале жесткого и диска и называется "таблица разделов" или же "схемой разделов".
Служебная информация о жестком диске и информация о структуре разделов, хранящаяся на жестком диске, называется «метаданным». Метаданные это информация о размещении файлов на диске. По такому же принципу раздел или логический диск делится на две части: в первой находятся данные о структуре папок, файловая система, во второй — информация из которых состоят файлы. Такой принцип деления позволяет оптимизировать работу диска и операционной системы, повысить надежность хранения данных.
Структура логического диска
Служебная информация о диске — это информация о размере раздела, типе файловой системы и т.п. Компьютер должен верно найти нужные данные на разделе.
Информация о файлах и папках — это файловые записи, которые содержат имена файлов, размер, отметки даты/времени, различную техническую информацию. Эта информация включает в себя точное физическое расположение файла, а именно адреса файлов на диске, а так же резервную копию информации, содержащаяся в файлах.
В разных файловых системах служебная информация о диске и информация о файлах и папках хранится по-разному. К примеру, в файловой системе FAT она хранится в Таблице Размещения Файлов (File Allocation Table), в системе NTFS — в Главной Файловой Таблице (Master File Table (MFT)).
Когда возникает необходимость прочесть тот или иной файл компьютер находит информацию о файлах и папках, ищет запись о данном файле, ищет адрес файла. Исходя из полученных данных, компьютер находит конкретное место на диске и осуществляет чтение файла.
Для файлов расположенных в одном месте, всё происходит быстро и просто. Иначе обстоит дело для фрагментированных файлов. Фрагментированный файл занимает несколько несмежных областей. Фрагментация файлов происходит довольно часто, однако пользователи о ней даже не догадываются. Если посмотреть на файл в Проводнике Windows то мы не увидим части файла, только его целиком. Это происходит из-за того, что операции по сбору частей файла происходят внутри самой ОС. ОС сразу находит адреса всех частей файлов при попытке чтения файла. При восстановлении файла крайне важны принципы извлечения информации.
При удалении файла не происходит мгновенного разрушения информации. Изменения вносятся лишь в информацию о файлах и папках показывающие, что файл был удален, при этом сохраняются метаданные файла, пока они не заменятся на метаданные нового файла. Такой процесс удаления свойствен для ОС семейства Windows. В некоторых операционных системах целиком разрушается файловая запись. Однако, во всех ОС независимо от разрушения файловых записей данные на диске остаются нетронутыми до их перезаписи.
Методы восстановления данных
Перед рассмотрением методов восстановления требуется отметить важное положение: файлы, которые были перезаписаны, невозможно восстановить ни одной программой, ни одним известным методом.
По этой причине крайне важно, что бы на восстанавливаемый носитель не были записаны какие либо данные.
Существует два метода восстановления не перезаписанных данных. Все утилиты восстановления используют либо один из них, либо оба.
Метод 1: Восстановление файлов посредством анализа информации о файлах и папках
Такой метод используется первым в утилитах восстановления. При его успешном завершении фалы восстанавливаются с подлинными именами, в точности восстанавливается файловая структура, восстанавливаются верные отметки времени и даты.
Первое что предпринимает утилита восстановления, это попытки прочитать и обработать первую копию информации о файлах и папках. Такой метод помогает при случайном удалении и ежеминутном восстановлении данных.
В случае повреждения первой копии, информации о файлах и папках, утилита начинает сканирование диска и поиск второй копии информации о файлах и папках. Дополнительно производится тщательный поиск дополнительной информации о структуре файлов и папок. После сбора всей доступной информации утилита её обрабатывает и воссоздает утерянную структуру файлов и папок.
В точности файловая структура может быть восстановлена лишь при не серьезных повреждениях файловой системы носителя.
При сильном повреждении файловой системы восстановленные файлы будут находится в папках с присвоенными виртуальными именами.
Метод 2: Восстановление файлов при помощи сканирования файлов известных типов (поиска файлов по сигнатурам)
В случае плохих результатов проведения первого метода следует воспользоваться поиском файлов по сигнатурам. Такой метод позволяет восстановить большее количество данных, однако будут утеряна файловая структура, оригинальные названия файлов, отметки времени и даты.
Этот метод так же носит название сканирование файлов известных типов, анализируется содержимое диска и производится поиск по файловым сигнатурам.
Файловая сигнатура — некий общий шаблон данных (уникальный для определенного типа файлов), находящийся в конце или в начале файла.
Большинство файлов имеет хотя бы одну сигнатуру. К примеру, все файлы PNG начинаются с символов «‰PNG», файлы MP3 начинаются с «ID3». Эти файловые сигнатуры помогают соотнести файлы к определенному типу и восстановить их.
Такие утилиты как R-Studio и R-Undelete после поиска и восстановления файлов по сигнатурам помещают файлы в папку «Дополнительно Найденные Файлы (Extra Found Files)» там они сортируются по расширениям на основе найденных сигнатур, им будет присвоено шаблонное имя.
Ограничения способа восстановления поиск файлов по сигнатурам
Хотя это метод и позволяет восстановить файлы с носителя с сильно поврежденной файловой системой, он имеет ряд ограничений. Эти ограничения связанны с разным размещением файловой сигнатуры, или с её отсутствием. Некоторые файлы имеют только одну «метку» в начале, другие не имеют их вообще.
Проблем с файлами, имеющими сигнатуру вначале и в конце, не будет, они будут распознаны и восстановлены. Файлы, имеющие сигнатуру только вначале, будут распознаны до обнаружения следующей сигнатуры. А файлы без «меток» (например, зашифрованные диски, файлы, хранящиеся в файле-контейнере) не будут восстановлены, их расположение будет определено как нераспределенная область на диске.
Так же этому методу может помешать фрагментация файлов. Файлы, имеющие сигнатуру только в начале, могут быть восстановлены с куском данных не относящимися к ним.
Восстановление Фрагментированных Файлов
Файл Условие
Результат
Файл 1
Нет сигнатуры в конце файла, однако файл заканчивается в том месте, где начинается сигнатура в начале файла 2.
Файл успешно восстановлен.
Файл 2
Фрагментированный файл. Файл 3 пересекается с Файлом 2.
Файл не восстановлен. Утилита посчитает что файл заканчивается в месте начала файла 3. Вторая часть файла 2 будет утрачена
Файл 3
Смежный файл с сигнатурой в начале и в конце.
Файл успешно восстановлен.
Файл 4
Нет сигнатуры в конце файла, за файлом следует нераспределенное пространство.
Файл не восстановлен. Утилита посчитает что файл заканчивается в месте начала файла N, и нераспределенное пространство будет добавлено в конец файла 4.
Кроме проблем с фрагментацией можно получить ложные сигнатуры. К примеру, символы «ID3» находятся в текстовом файле, который вы сейчас читаете, при этом он не является MP3 файлом, но может быть распознан как начало файла MP3.
Дополнительные параметры при восстановлении файлов
Кроме описанных методов восстановления некоторые программы предоставляют дополнительные возможности. К примеру, профессиональные программы восстановления данных позволяют пользователю добавить свои сигнатуры, по которым будет выполнен поиск.
На практике описанные методы применяются в паре. Это позволяет добиться наилучших результатов. Некоторая часть данных восстанавливается первым методом, остальная – вторым.
Рекомендуется выполнять восстановление с образов дисков. Такой шаг позволяет выполнять несколько попыток восстановления без риска того, что на исходном носителе будет что-то изменено.
Практические случаи восстановления данных
Случай 1: Восстановление файлов с жесткого диска с поврежденной служебной информацией.
При неправильном монтировании или аварийном извлечении метаданные диска могут быть повреждены или уничтожены. Утилиты восстановления анализируют информацию о файлах и папках сохраненную на самом диске. Поиск файлов по сигнатурам не понадобится. Как правило, все данные будут восстановлены.
Случай 2: Восстановление файлов с разбитого заново на разделы жесткого диска (физический диск).
Этот случай во многом схож с первым. Основное отличие в том, что при добавлении раздела на диск запишутся новые данные. Однако перезапишется только служебная информация. Восстановление возможно как в первом случае. Восстановятся всё файлы, которые не затронуты данными новых разделов.
Случай 3: Восстановление файлов с переформатированного раздела (логический диск).
Восстановление данных зависит от примененного к диску форматирования.
Если применено полное форматирование все данные перезапишутся определенными шаблонами (обычно 00 или FF), восстановление станет не возможным.
При быстром форматировании изменяются только данные о файлах и папках. Данные на самом диске не перезаписываются. Утилиты восстановления найдут то, что осталось от предыдущей файловой системы и попытаются восстановить файлы и папки. Результаты не однозначны, многое зависит от начальной и конечной файловой системы. Хорошим подспорьем может оказаться поиск файлов по сигнатурам.
Случай 4: Восстановление файлов с диска с поврежденной файловой системой.
В этом случае многое зависит от степени повреждения файловой системы. Если повреждена только одна копия информации о файлах и папках, то утилиты смогут восстановить данные по второй копии. Если повреждены обе копии информации о файлах и папках, то может помочь поиск по сигнатурам. Результаты могут сильно отличаться.
Случай 5: Восстановление файлов, утраченных при их переносе на диске.
При зависании компьютера или другого сбоя во время выполнения дефрагментации диска или операции разделения на разделы данные могут быть утеряны. Утилиты в этом случае не смогут порадовать результатом восстановления данных утерянных таким образом. Информация о файлах и папках обычно не повреждена, однако метаданные указывают на не правильные физические адреса файлов. При такой ситуации даже поиск по сигнатурам может не дать хороших результатов, данные, скорее всего, будут фрагментированы.
Восстановление данных с USB – накопителя
Для исследования возьмем USB – накопитель объёмом 4 Гбайт, файловая система NTFS.
Запишем файлы на флэшку (Рисунок 1)
[pic]
Рисунок 1
Удалим все файлы (Рисунок 2)
[pic] Рисунок 2
Попробуем восстановить файлы с помощью программы R.saver.
R.saver — бесплатная утилита для программного восстановления данных с различных носителей информации (жёсткий диск, компакт-диск, флеш-карта, дискета и т. д.), а также для копирования файлов с не поддерживаемых в ОС Windows файловых систем.
Нажимаем "Сканировать" (Рисунок 3)
[pic]
Рисунок 3
Выделяем всё и копируем в папку на жестком диске (Рисунок 4) [pic]
Рисунок 4
Получаем восстановленные файлы без повреждений (Рисунок 5)
[pic]
Рисунок 5
Восстановление после форматирования.
Форматируем накопитель (быстрое форматирование) (Рисунок6)
[pic]
Рисунок 6
Пытаемся восстановить данные в папку на жестком диске (Рисунок 7)
[pic]
Рисунок 7
Получаем все наши файлы, кроме того получаем ранее записанные файлы с не правильным названием (Рисунок 8-9)
[pic]
Рисунок 8
[pic]
Рисунок 9
Форматируем накопитель в другую файловую систему из NTFS в FAT32 (быстрое форматирование) (Рисунок10)
[pic]
Рисунок 10
Восстанавливаем данные (Рисунок 11)
[pic]
Рисунок 11
В итоге MP3 файл поврежден (Рисунок 12-13)
[pic]
Рисунок 12
[pic]
Рисунок 13
Файл Microsoft Word поврежден (Рисунок 14) [pic]
Рисунок 14
Видео не восстановлено.
Вывод
Восстановление данных интересная и часто используемая на практике область информационно-коммуникативных знаний и значительно актуальная для любого пользователя ПК. Утилиты восстановления часто используют пользователи всего мира.
Восстановление утерянных данных очень полезная возможность для пользователей компьютера. Никто не защищен от случайного удаления, сбоя системы, повреждения файловой системы. Утерянная информация может быть единственной копией и иметь высокую ценность для пользователя.
Восстановить утерянные данные помогут утилиты восстановления. Однако их возможности не безграничны. Восстановить перезаписанную информацию программным методом не возможно. Утилиты лучше всего подойдут в случаях случайного удаления, форматирования носителя.
Повреждения файловой системы слишком индивидуальны, могут привести к непредсказуемым последствиям. Во многих случаях таких повреждений утилиты не смогут восстановить информацию.
Для поиска по сигнатурам критически важна фрагментация диска, с которого производится восстановление утерянных данных. Пользователям можно посоветовать использовать утилиты дефрагментации носителей.
Исходя из проведенного исследования, можно сказать, что программный метод восстановления данных не дает хороших результатов в некоторых практических случаях.
Пользователям можно порекомендовать делать резервные копии важных для них данных на разных носителях. Для копирования важных данных очень удобно использовать набирающие популярность облачные хранилища данных.