Восстановление удаленной информации

Восстановление удаленной информации.

Операционные системы становятся все более совершенными, а соответственно, и сложными. Усложняются и структуры разделов, на которые разбиты диски. Это приводит и к усложнению способов восстановления информации. Мы рассмотрим разные программы, которые могут пригодиться, чтобы восстановить случайно удаленные файлы.

В большинстве случаев, файлы удаленные с жесткого диска находятся на нем, пока поверх них не будет записана другая информация, поэтому если вы спохватились, вспомнив, что удалили что-нибудь важное, во-первых, ничего не записывайте на диск. Чем дольше вы работаете с диском после удаления файла, тем меньше что-либо восстановить.

Файлы, которые удаляются не в корзину (с помощью "shift+delete") не вытираются с диска. Система просто вытирает первую букву в имени файла и игнорирует его пока на его место не будет что-то записано.

Утилиты для восстановления информации в таких самых простых случаях есть почти в любом наборе системных утилит, например в SystemWorks 2005 от Symantec. Можно воспользоваться и бесплатной пробной версией программы EasyRecovery Lite 6, которая подскажет, какие файлы еще можно восстановить. Можно воспользоваться и полностью бесплатной программой, например, Restoration.

Следует обратить внимание еще и на то, поддерживает ли выбранная вами программа файловую систему, с которой работает ваша операционная система. Чтобы узнать, какая файловая система используется на вашем жестком диске, зайдите в "Мой компьютер" и откройте правой кнопкой мыши контекстное меню нужного диска, выбрав "Свойства", посмотрите на параметр "Файловая система".

При форматировании жесткого диска создается специальная таблица расположения файлов (File Allocation Table - FAT в FAT32 или Master File Table - MFT в NTFS). В случае ее повреждения или полного уничтожения система никак не сможет найти информацию на диске.

Программы восстановления могут воссоздать таблицы FAT или MFT из их архивных копий. Если же копии тоже повреждены, хорошая утилита все же может попытаться восстановить потерянные данные.

Например, программа EasyRecovery исчет файлы 90 самых распространенных типов и может их восстановить.
Бесплатная версия EasyRecovery Lite ограничивает пользователя 25 восстановленными файлами за один сеанс работы, но запускать ее можно сколько угодно раз.

Ниже мы приводим список бесплатных утилит для восстановления информации:

PC Inspector File Recovery v4.x - восстанавливает файлы даже при повреждении FAT.

Restoration v2.5.14 - эта программа может использоваться в двух случаях - для восстановления удаленных файлов или для безвозвратного их удаления.

VirtualLab Data Recovery Software v4.8.8 - восстановление потерянных данных практически во всех возможных случаях.

Источник: winlab.ru

Восстановить данные легче, чем удалить их навсегда

Восстановить данные легче, чем удалить их навсегда

Если в вашем распоряжении только те средства, которые входят в Windows, то стертый файл, удаленный из мусорной корзины Recycle Bin, кажется пропавшим навсегда. На самом деле это не так.

С помощью специальных аппаратных и программных средств можно восстановить практически любой файл, даже если поверх него записаны другие данные, диск переформатирован, загрузочный сектор засорен, а контроллер диска перестал функционировать. Это очень удобно, когда вы хотите восстановить чрезвычайно важный файл, но никуда не годится, если не желательно, чтобы ваши личные данные прочитали посторонние. Правильное решение зависит от того, сколько времени и денег вы готовы потратить.

Чтобы понять, как восстанавливаются удаленные данные, надо сначала выяснить, как они сохраняются. Накопитель на жестком магнитном диске (НЖМД) состоит из пакета дисковых пластин. Сохраняемые на пластинах данные располагаются по концентрическим окружностям, называемым дорожками. Для доступа к различным частям жесткого диска головки чтения-записи перемещаются по поверхности пластин. Так как к данным возможен непосредственный доступ повсюду на жестком диске, то файлы или их фрагменты могут храниться на его поверхности в любом месте. Помещать их в последовательном порядке совсем не обязательно.

Данные на жестких дисках хранятся группами (кластерами). Размеры кластеров варьируются в зависимости от операционной системы и размеров логического тома. Если размер кластера жесткого диска составляет 4 Кбайт, то даже 1-Кбайт файл будет занимать 4 Кбайт. Большие файлы могут занимать сотни или тысячи кластеров, разбросанных по всему диску. Все эти отдельные порции данных отслеживаются и управляются входящей в состав операционной системы файловой системой.

В настоящее время существует три вида файловых систем, используемых ОС Microsoft Windows. Первая — таблица размещения файлов FAT (File Аllocation Тable) — была введена в системе DOS. Вместе с Windows 95 появилась система FAT32, а выпуск ОС Windows NT 4.0 сопровождался появлением файловой системы новой технологии NTFS (New Тechnology File System). Все три системы построены по одному и тому же принципу. Имеется каталог, где перечислены файлы на диске и содержится указатель начального кластера, который фиксирует начало файла. Запись в FAT о начальном кластере содержит указатель следующего кластера и т. д., пока не будет достигнут маркер конца файла.

Файл все еще здесь

Когда вы с помощью обычной операции Windows удаляете файл, он на самом деле не стирается. Если вы удаляете его в системе каталогов Windows Explorer, то он оказывается в корзине. Но даже если вы очищаете корзину или действуете в обход ее, файл попросту игнорируется. Первая буква имени файла изменяется на специальный символ, а кластеры, где содержатся эти данные, помечаются как свободные, но данные все еще там. Когда вы в следующий раз сохраняете какой-нибудь файл, эти кластеры могут использоваться для хранения новых данных, которые записываются поверх старых. Однако до этого момента прежние данные остаются совершенно невредимыми. Вы можете их восстановить с помощью утилиты, которая действует в обход ОС и непосредственно считывает записанное на жестком диске. В нашем недавнем обзоре средств восстановления данных мы рассмотрели четыре такие утилиты. Утилита EasyRecovery Lite 6.0 компании Kroll Ontrack (ontrack.com) удостоена отличия «Редакция советует».

Если вы хотите восстановить случайно удаленный чрезвычайно важный файл, нужно постараться ничего не записать поверх него. Немедленно прекратите работу на своем компьютере и ничего не записывайте на диск. Не надо даже инсталлировать программу восстановления, так как все записываемое на жесткий диск может попасть в кластеры файла, который вы хотите восстановить. Если программа восстановления еще не инсталлирована, запустите ее с гибкого диска.

Если данные перезаписаны

После того как поверх содержащихся в файле данных записана другая информация, получить к ним доступ с помощью программных средств вы уже не сможете. Но это не означает, что эти данные невосстановимы. Существует два способа, которые все еще позволяют прочитать перезаписанные данные на жестком диске.

При записи на диск одного бита информации на головку чтения-записи подается сигнал, достаточно мощный для записи этого бита, но не такой большой, чтобы воздействовать на соседние участки. Так как мощность сигнала недостаточна для насыщения носителя, то на абсолютную величину сигнала оказывают влияние данные, которые ранее хранились на этом месте. Когда бит 0 замещается 1, интенсивность сигнала слабее, чем в случае, если бы раньше хранилась 1. С помощью специальных аппаратных средств можно выявить точную интенсивность сигнала. Вычтя настоящую версию сигнала, можно получить «тень» прежних данных. Этот процесс можно повторять до семи раз, и поэтому, чтобы гарантировать устранение теневых отображений, данные необходимо замещать более семи раз, причем каждый раз случайно выбранными данными.

Во втором методе восстановления данных используется то обстоятельство, что головка чтения-записи устанавливается при выполнении операции записи не в точности на одно и то же место. Это дает специалистам возможность выявить предшествующее состояние у краев дорожки. Соответствующие данные называют теневыми. Повторная запись поверх данных постепенно замещает содержание этих краевых областей.

Уничтожение данных

Приятно знать, что удаленные данные можно при необходимости восстановить, но не в тех случаях, когда вы действительно хотите, чтобы они пропали навсегда. В «Руководстве по национальной программе промышленной безопасности» (National Security Program Operating Manual), называемой также документом DOD 5220.22M (dss.mil/isec/nispom_0195.htm), подробно излагаются критерии Министерства обороны США по очистке жестких дисков. В этом руководстве предусматривается трехкратное замещение данных: сначала одиночным 8-бит символом, затем его дополнением (нули замещаются на единицы и наоборот) и, наконец, случайными символами. Однако этот метод не применяется для очистки носителей, содержащих особо секретную информацию. Такие диски должны размагничиваться либо уничтожаться физически.

Однако для большинства пользователей метод замещения вполне пригоден, причем имеется множество утилит, в которых он и применяется.

Где скрываются данные

Удаление и перезапись файлов не приводят к исчезновению всех уязвимых данных с жесткого диска. Стиранию должны подвергаться все секторы (составляющие кластер 512-байт сегменты), так как данные могут скрываться в самых неожиданных местах. Часто в последнем кластере большого файла находятся случайные данные, называемые заполнителями файлов (file slack). Когда на жестком диске записана последняя часть файла и данные не заполняют сектор целиком, он дополняется случайно выбранными данными, взятыми из памяти и называемыми заполнителями ОЗУ (RAM slack). Это может быть любая информация, сформированная, просматривавшаяся или преобразованная со времени последней загрузки компьютера. Остальные секторы, составляющие кластер, содержат остатки разных данных, ранее сохраненных в этом месте, которые называются заполнителями диска (drive slack). Многие программы безопасного удаления данных не способны должным образом стирать заполнители файлов, которые могут содержать массу конфиденциальной информации.

В файловой системе NTFS (действующей в Windows NT 4.0, 2000 и XP) файлы содержат множественные потоки (streams). В одном потоке заключена информация о правах доступа, а во втором — реальные данные файла. NTFS может также содержать потоки альтернативных данных (Alternative Data Streams — ADS), в которых может храниться все, что угодно. Чаще всего там хранятся миниатюрные изображения из графических файлов. Так как многие программы безопасного удаления не замещают содержимое ADS, миниатюрные изображения могут оставаться доступными для вывода даже после замещения потока, содержащего графический файл. Подробнее о том, как предотвратить сохранение миниатюрных изображений, можно узнать, обратившись к базе знаний Microsoft Knowledge Base Article 319300 (support.microsoft.com).

Скрытые угрозы

Известно, что правонарушители пользуются потоками альтернативных данных, чтобы прятать на жестких дисках данные или вирусы. Есть на жестких дисках и другие области, где можно преднамеренно прятать данные. Секторы на жестком диске формируются в процессе низкоуровневого форматирования, обычно выполняемого на заводе. Дефектные секторы помечаются, и поэтому контроллер жесткого диска не пытается производить на них записи. Состоящие из секторов кластеры формируются во время высокоуровневого форматирования. Если при этом выявляется дефектный сектор, то весь кластер помечается как дефектный. Однако в нем содержатся и исправные секторы, в которых правонарушители могут прятать данные.

На устаревших жестких дисках данные можно также прятать в местах, называемых межсекторными промежутками (sector gap). Все дорожки содержат одинаковое число секторов, но длина окружности внешних дорожек намного больше, чем у внутренних. Более широкие промежутки между внешними секторами можно использовать для скрытного хранения данных. На современных жестких дисках эти потери пространства исключаются с помощью метода зонной записи (zoned recording), согласно которому число секторов регулируется в зависимости от положения дорожки.

Для доступа к таким скрытым частям жесткого диска необходима программа, которая, как мы упоминали, действует в обход ОС. Профессиональные программы криминалистов бывают очень дорогими. Так, EnCase Forensic Edition фирмы Guidance Software (guidancesoftware.com) стоит 2495 долл. Программа Directory Snoop компании Briggs Softworks (briggsoft.com/dsnoop.htm) обеспечивает доступ к нижним уровням диска всего за 29 долл., но она не действует в системе NTFS.

Избегайте риска

Важно иметь в виду, что восстановить данные легче, чем удалить их навсегда. Если вы когда-нибудь нечаянно удаляли важный файл (а с кем этого не случалось), то оцените это как благо. Но если вы продаете подержанный компьютер или жесткий диск, надо воспользоваться утилитой безопасного удаления данных и произвести перезапись каждого сектора жесткого диска. Помните, что переформатирование не приводит к перезаписи каждого сектора, и конфиденциальная информация может остаться доступной.

Как удалить неудаляемый файл

Как удалить неудаляемый файл

 

Практически каждый пользователь windows, рано или поздно сталкивается с проблемой того, что при попытке удалить какой либо файл выскакивает окошко с сообщением:
«Не удаётся удалить файл. Объект используется другим пользователем или программой. Закройте все программы, которые могут использовать этот файл и повторите попытку.»

Как удалить неудаляемый файл

В большинстве случаев спасает перезагрузка компьютера, но зачастую это не помогает…
Для решения этой проблемы было создано несколько программ. Самой известной из них является бесплатная программа под названием Unlocker. Программа работает как в XP так и в Vista и занимает на диске всего 240 кб.

Скачать Unlocker можно с официального сайта программы.

После установки, иконка Unlocker появляется в системном трее. Как удалить неудаляемый файл
С ее помощью можно закрыть программу, отменить ее автозапуск и скрыть значок, чтобы не мешался в трее.

Кстати я бы посоветовал убрать Unlocker из автозапуска, ведь пользоваться им приходится не так уж и часто, а лишняя программа хоть и не сильно, но всё же занимает системные ресурсы.

Для того чтобы удалить неудаляемый файл, щёлкаем на нём правой клавишей мыши и в отрывшемся контекстном меню выбираем пункт «Unlocker»

Как удалить неудаляемый файл

Затем открывается ещё одно окно, в котором с помощью выпадающего меню необходимо выбрать, что мы будем делать с заблокированным файлом.

Как удалить неудаляемый файл

А сделать с ним можно собственно вот, что - удалить, переименовать, переместить, копировать, или же разблокировать файл для выполнения над ним других требуемых операций.

Восстановление удаленных файлов

   Восстановление удаленных файлов!

 

Иногда важную информацию удаляет сам пользователь. Только очистив корзину вы вспоминаете, что именно там лежал отчет или диплом, которые нужно завтра сдавать : Бывает, что недостаточно квалифицированный пользователь пытается самостоятельно перераспределить место на жестком диске и случайно удаляет не раздел с фильмами и играми, а раздел с важными документами. Часто родители, оставляя компьютер детям, забывают защитить свою информацию. В следующий раз, начав работу с ним, просто не находят рабочих документов, потому что их случайно удалили…

 

   Как правило, удаленные файлы в таких случаях восстановить можно :) Успешность восстановления удаленных файлов зависит от того, что конкретно происходило после её удаления - после удаления с компьютером больше ничего не делали — данные восстановить можно - если устанавливать на компьютер программы для восстановления данных — данные будут повреждены - флешку после удаления файлов больше не использовали — файлы восстановятся - USB диск отключили сразу после удаления базы 1с — всё будет хорошо - после удаления фотографий на фотоаппарат больше не фотографировали — не волнуйтесь и приезжайте к нам ;) - удалили раздел, и на его месте не создавали новых разделов — информацию можно восстановить на 100%

 

   Если Вы потеряли необходимые папки, файлы или разделы, то Вам необходимо сделать следующее: - НИЧЕГО не записывать на этот раздел/диск/флешку - выключить компьютер/отключить диск/вынуть флешку - приехать с этим носителем к нам на диагностику.

 

Так же предлагаем услуги по копированию и перезаписи поврежденных дисков!!!

 

   ЦЕНА ВОССТАНОВЛЕНИЯ - от 75 грн до 200 грн.

 

.

Как работают программы восстановления данных

Как работают программы восстановления данных.

Каждый только что удаленный файл все еще находится на жестком диске, но Windows его больше не видит. Если программе восстановления данных необходимо восстановить этот файл, она просматривает загрузочный сектор раздела (Partition Boot Sector). В нем содержится вся информация о строении раздела, например размер секторов (как правило, 512 байт) и количество секторов в одном кластере.

В разделе NTFS размером более 2 Гбайт в одном кластере содержится четыре сектора. В нашем примере показан небольшой раздел размером 500 Мбайт, у которого каждому сектору соответствует один кластер.

Наряду с этой информацией программы восстановления данных сканируют главную таблицу файлов (Master File Table, MFT), которая тоже находится в Partition Boot Sector. Она представляет собой список всех файлов, находящихся в разделе, в ней содержатся все файловые атрибуты и информация о том, в каких секторах винчестера находятся сами файлы. Те из них, что по размерам менее 1500 байт, записываются прямо в MFT. Для файлов большего объема в MFT есть ссылки на адреса секторов, в которых лежат данные.

В начале MFT находятся другие записи, например так называемая битовая карта распределения кластеров (Cluster Bitmap), показывающая все используемые кластеры, а также файл плохих кластеров (Bad Cluster File), регистрирующий все кластеры с ошибками. Только с 17-й записи начинается собственно описание файлов. Обычно таблица MFT в Windows не видна. Но есть дисковые редакторы, например WinHex, которые показывают содержание MFT в шестнадцатеричных кодах.

На картинке (см.ниже) вы видите MFT-запись удаленного файла в HEX-коде. Для программы восстановления данных достаточно этой информации, чтобы восстановить файл.

Значения которые программа восстановления файлов находит в Master File Table:

1. Эти четыре байта (File Identifier) обозначают начало нового файла. Байты до следующего File Identifier содержат всю информацию о файле.

2. Эти два байта зарезервированы для флагов, которые дают справку о состоянии файла. Если их значение равно 0, как в нашем случае, это значит, что файл удален.

3. Из этих 16 байт программа восстановления данных узнает, когда файл был создан и в последний раз подвергался изменениям.

4. Эта ссылка на каталог, в котором находится файл (Parent Directory Record Number). С ее помощью программа-спасатель может включить файл в структуру каталогов.

5. Здесь появляется имя файла, в нашем случае Mу Prеsеntаtiоn.pрt.

6.Если эти два байта имеют значе ние 0, то файл не сжат.

7. Эти восемь байт сообщают размер файла,в нашем случае 56 320 байт.

8.Важнейшая часть записи MFT, называющаяся Data runs, показывает, где фактически находятся данные.

 

Здесь указано где находятся данные.

 

a. Первый байт сообщает, сколько байт необходимо для адреса первого кластера (3 байта) и отображения длины файла во всех кластерах (1 байт).

 

b. Второй байт содержит длину файла, в нашем примере — 110 кластеров.

 

c. Следующие три байта означают, что файл начинается с кластера 312 555.

 

d. Последний байт имеет значение 0. Это означает, что файл не фрагментирован. Следовательно, нет никаких дополнительных записей Data runs.

 

Как программа восстанавливает данные.

 

Теперь у программы восстановления данных есть вся информация, необходимая для успешного восстановления удаленного файла. Она обращается к кластеру 312 555, прочитывает данные в следующих 110 кластерах и сохраняет их под именем Mу Prеsеntаtiоn.pрt