Восстановление - это функция для восстановления компьютерных файлов, которые были удалены из файловой системы путем удаления файла . Удаленные данные можно восстановить во многих файловых системах, но не все файловые системы поддерживают функцию восстановления. Восстановление данных без возможности восстановления обычно называется восстановлением данных , а не восстановлением. Восстановление может помочь предотвратить случайную потерю данных пользователями или создать угрозу компьютерной безопасности , поскольку пользователи могут не знать, что удаленные файлы остаются доступными.
Служба поддержки
Не все файловые системы или операционные системы поддерживают восстановление. Восстановление возможно во всех файловых системах FAT , причем утилиты восстановления доступны с MS-DOS 5.0 [1] [2] и DR DOS 6.0 в 1991 году. Оно не поддерживается большинством современных файловых систем UNIX , хотя AdvFS является заметным исключением. В файловой системе ext2 есть дополнительная программа под названием e2undel [3], которая позволяет восстанавливать удаление файлов. Подобная файловая система ext3 официально не поддерживает восстановление, но такие утилиты, как ext4magic, [4] extundelete, [5] PhotoRec и ext3grep [6], были написаны для автоматизации восстановления на томах ext3 . [7] Отменить удаление было предложено в ext4 , но еще не реализовано. [8] Однако функция корзины для мусора была опубликована в виде патча 4 декабря 2006 г. [9] Функция корзины для мусора использует атрибуты восстановления удаления в файловых системах ext2 / 3/4 и Reiser. [10]
Инструменты командной строки
Norton Utilities
Norton UNERASE был важным компонентом Norton Utilities версии 1.0 в 1982 году.
MS-DOS
Microsoft включила аналогичную программу UNDELETE в версии MS-DOS 5.0–6.22 , но вместо этого применила подход корзины в более поздних операционных системах, использующих FAT.
DR DOS
DR DOS 6.0 и выше также поддерживают UNDELETE, но при желании предлагают дополнительную защиту с помощью утилиты моментальных снимков FAT DISKMAP и резидентного компонента отслеживания удаления DELWATCH , который активно поддерживает отметки даты и времени удаленных файлов и предохраняет содержимое удаленных файлов от перезаписи, если только заканчивается место на диске. DELWATCH также поддерживает восстановление удаленных файлов на файловых серверах. Начиная с Novell DOS 7, ядро будет сохранять первую букву удаленных файлов в записях каталога, чтобы в дальнейшем помочь инструментам восстановления восстановить исходное имя.
ПТС-ДОС
PTS-DOS предлагает ту же функцию, которую можно настроить с помощью директивы SAVENAME CONFIG.SYS .
FreeDOS
FreeDOS версия UNDELETE была разработана Эриком Ауэр и распространяется под лицензией GPL . [11]
Графические программы
В графических пользовательских средах часто используется другой подход к восстановлению, вместо этого используется «область хранения» для файлов, подлежащих удалению. Нежелательные файлы перемещаются в эту область хранения, и все файлы в области хранения периодически или по запросу пользователя удаляются. Этот подход используется корзиной в операционных системах Macintosh и корзиной в Microsoft Windows . Это естественное продолжение подхода, применявшегося в более ранних системах, таких как группа лимбо, используемая LocoScript . [12] Этот подход не подвержен риску того, что другие файлы, записываемые в файловую систему, очень быстро разрушат удаленный файл; безвозвратное удаление будет происходить по предсказуемому расписанию или только при ручном вмешательстве.
Другой подход предлагается такими программами, как Norton GoBack (ранее Roxio GoBack ): часть пространства на жестком диске зарезервирована для операций изменения файлов, которые должны быть записаны таким образом, чтобы их впоследствии можно было отменить. Этот процесс обычно намного безопаснее для восстановления удаленных файлов, чем операция восстановления, описанная ниже.
Точно так же файловые системы, поддерживающие «моментальные снимки» (например, ZFS или btrfs ), могут использоваться для создания моментальных снимков всей файловой системы с регулярными интервалами (например, каждый час), что позволяет восстанавливать файлы из более раннего моментального снимка.
Ограничения
Восстановление не является отказоустойчивым. Как правило, чем раньше будет предпринята попытка восстановления, тем больше вероятность, что она будет успешной. Это связано с тем, что чем больше используется система, тем больше данных записывается на диск и потенциально выделяется для этого удаленного пространства. Фрагментация удаленного файла также может снизить вероятность восстановления в зависимости от типа файловой системы (см. Ниже). Фрагментированный файл разбросан по разным частям диска, а не в непрерывной области.
Механика
Работа восстановления зависит от файловой системы, в которой был сохранен удаленный файл. Некоторые файловые системы, такие как HFS , не могут обеспечить функцию восстановления, поскольку информация об удаленном файле не сохраняется (за исключением дополнительного программного обеспечения, которого обычно нет). Однако некоторые файловые системы не стирают все следы удаленного файла, включая файловые системы FAT:
Файловые системы FAT
Когда файл «удаляется» с использованием файловой системы FAT , запись в каталоге остается почти неизменной, за исключением первого символа имени файла, с сохранением большей части имени «удаленного» файла, а также его отметки времени, длины файла и - большинства главное - его физическое расположение на диске. Однако список дисковых кластеров, занятых файлом, будет удален из таблицы размещения файлов , отмечая те сектора, которые доступны для использования другими файлами, созданными или измененными впоследствии. В случае FAT32 дополнительно стирается поле, отвечающее за старшие 16 бит значения начального кластера файла.
При попытке восстановления файла должны быть выполнены следующие условия для успешного восстановления файла:
- Запись удаленного файла должна все еще существовать в каталоге, что означает, что он еще не должен быть перезаписан новым файлом (или папкой), созданным в том же каталоге. Так ли это, можно довольно легко определить, проверив, присутствует ли в каталоге оставшееся имя файла, который нужно восстановить.
- Кластеры, ранее использовавшиеся удаленным файлом, не должны быть перезаписаны другими файлами. Это можно довольно хорошо проверить, проверив, что кластеры не помечены как используемые в таблице размещения файлов . Однако, если тем временем новый файл был записан на диск с использованием этих секторов, а затем снова удален, снова освободив эти сектора, это не может быть обнаружено автоматически программой восстановления. В этом случае операция восстановления, даже если она окажется успешной, может завершиться ошибкой, поскольку восстановленный файл содержит другие данные.
- Для устройств FAT32 младшие 16 бит физического адреса обычно сохраняются в записи каталога, но старшие биты адреса обнуляются. Многие программы восстановления игнорируют этот факт и не могут правильно восстановить данные.
Шансы на восстановление удаленных файлов часто выше в FAT12 и FAT16 по сравнению с томами FAT32 из-за обычно больших размеров кластеров, используемых в прежних системах, и из-за потери старших 16 бит логического адреса кластера для FAT32.
Если программа отмены удаления не может обнаружить явных признаков несоблюдения вышеуказанных требований, она восстановит запись каталога как используемую и пометит все последовательные кластеры, начиная с того, что записано в старой записи каталога, как используется в распределении файлов. Таблица . Затем пользователь должен открыть восстановленный файл и убедиться, что он содержит полные данные ранее удаленного файла.
Поэтому восстановление фрагментированных файлов (после первого фрагмента) обычно невозможно с помощью автоматических процессов, а только путем ручного исследования каждого (неиспользуемого) блока диска. Это требует подробных знаний о файловой системе, а также о двоичном формате восстанавливаемого типа файла, и поэтому это делается только специалистами по восстановлению или экспертами-криминалистами.
Файловые системы NTFS
NTFS хранит информацию о файлах в виде набора записей фиксированного размера (обычно 1 КБ) в так называемой главной таблице файлов (MFT). Имя файла и информация о размещении файлов инкапсулируются в эти записи, предоставляя полную информацию о каждом конкретном файле. Когда система удаляет файл, запись в главной таблице файлов освобождается для отмены связи или повторного использования, но по-прежнему остается на диске. Пока запись MFT не будет повторно использована или перезаписана, файл можно легко восстановить: программа восстановления данных может найти «потерянную» запись MFT и извлечь из нее полную информацию о потерянном файле.
Однако обратите внимание, когда функция SSD TRIM включена, содержимое файла может быть уничтожено вскоре после удаления для повторного использования ячеек памяти SSD. Это делает невозможным восстановление содержимого файла (на диске останется только информация об имени, дате и размере файла).
Профилактика
Удаление данных - это термин, относящийся к программным методам предотвращения восстановления файлов.
Смотрите также
- Резервное копирование
- Список программ для восстановления данных
- Уничтожитель бумаг
- Откат (управление данными)
- Отменить
Рекомендации
- ^ «Когда не следует использовать команды MS-DOS 5.0 CHKDSK и UNDELETE» . Support.microsoft.com. 2006-11-16. Архивировано 02 февраля 2012 года . Проверено 9 января 2012 .
- ^ «Использование обычного файла UNDELETE.INI с функцией отмены удаления» . Support.microsoft.com. 1999-11-16. Архивировано 26 августа 2009 года . Проверено 9 января 2012 .
- ^ "домашняя страница e2undel" . e2undel.sourceforge.net . Проверено 2 июля 2020 .
- ^ "Ext4magic" . ext4magic.sourceforge.net . Проверено 2 июля 2020 .
- ^ "extundelete: Утилита восстановления файлов ext3 и ext4" . extundelete.sourceforge.net . Проверено 2 июля 2020 .
- ^ «Архив Google Code - долгосрочное хранилище для хостинга проектов Google Code» . code.google.com . Проверено 2 июля 2020 .
- ^ Карло Вуд (2007-02-07). «КАК восстановить удаленные файлы в файловой системе ext3» . Xs4all.nl. Архивировано из оригинала на 2010-09-19 . Проверено 9 января 2012 .
- ↑ Новые функции ext4. Архивировано 18 декабря 2008 г. на Wayback Machine.
- ^ «Безопасное удаление и поддержка корзины для Ext4» . Article.gmane.org. Архивировано 9 июля 2008 года . Проверено 9 января 2012 .
- ^ «Гмане Ткацкий станок» . Thread.gmane.org. Архивировано 11 января 2016 года . Проверено 9 января 2012 .
- ^ http://www.ibiblio.org/pub/micro/pc-stuff/freedos/files/distributions/1.2/repos/pkg-html/undelete.html
- ^ «Лэнгфорд в столбце № 6 PCW СЕГОДНЯ» . Ansible.co.uk. Архивировано 14 февраля 2012 года . Проверено 9 января 2012 .
Внешние ссылки
- БесплатноUndelete
- Медиа следователь
- win.tue.nl
- Проблема с высокими битами указателя кластера FAT32