В вычислительной технике восстановление данных — это процесс извлечения удаленных, недоступных, утерянных, поврежденных, испорченных или отформатированных данных из вторичного хранилища , съемных носителей или файлов , когда к данным, хранящимся в них, невозможно получить доступ обычным способом. [1] Чаще всего данные восстанавливаются с носителей, таких как внутренние или внешние жесткие диски (HDD), твердотельные накопители (SSD), USB-флеш-накопители , магнитные ленты , компакт-диски , DVD-диски , подсистемы RAID и другие электронные устройства . Восстановление может потребоваться из-за физического повреждения устройств хранения или логического повреждения файловой системы , которое не позволяет операционной системе хоста (ОС) смонтировать их . [2]
Логические сбои происходят, когда жесткие диски функционируют, но пользователь или автоматизированная ОС не могут получить или получить доступ к данным, хранящимся на них. Логические сбои могут происходить из-за повреждения инженерного чипа, потерянных разделов, сбоя прошивки или сбоев во время форматирования/переустановки. [3] [4]
Восстановление данных может быть очень простым или технически сложным. Вот почему существуют специальные компании-разработчики программного обеспечения, специализирующиеся в этой области. [5]
Наиболее распространенные сценарии восстановления данных включают сбой операционной системы, неисправность устройства хранения, логический сбой устройств хранения, случайное повреждение или удаление и т. д. (обычно в однодисковой, однораздельной , однооперационной системе), в этом случае конечной целью является простое копирование всех важных файлов с поврежденного носителя на другой новый диск. Это можно сделать с помощью Live CD или DVD, загрузившись напрямую с ПЗУ или USB-накопителя вместо поврежденного диска. Многие Live CD или DVD предоставляют средства для монтирования системного диска и резервных дисков или съемных носителей, а также для перемещения файлов с системного диска на резервный носитель с помощью файлового менеджера или программного обеспечения для создания оптических дисков . Такие случаи часто можно смягчить путем разбиения диска на разделы и последовательного хранения ценных файлов данных (или их копий) на другом разделе от заменяемых системных файлов ОС.
Другой сценарий включает сбой на уровне диска, например, скомпрометированную файловую систему или раздел диска, или сбой жесткого диска . В любом из этих случаев данные нелегко прочитать с устройств хранения данных. В зависимости от ситуации решения включают восстановление логической файловой системы, таблицы разделов или главной загрузочной записи или обновление прошивки или методов восстановления диска, начиная от программного восстановления поврежденных данных до аппаратного и программного восстановления поврежденных служебных областей (также известных как «прошивка» жесткого диска) и заканчивая заменой оборудования на физически поврежденном диске, что позволяет извлекать данные на новый диск. Если необходимо восстановление диска, сам диск, как правило, вышел из строя навсегда, и основное внимание уделяется одноразовому восстановлению, спасению любых данных, которые можно прочитать.
В третьем сценарии файлы были случайно « удалены » с носителя информации пользователями. Обычно содержимое удаленных файлов не удаляется немедленно с физического диска; вместо этого удаляются ссылки на них в структуре каталогов, и после этого пространство, занимаемое удаленными данными, становится доступным для последующей перезаписи данных. По мнению конечных пользователей , удаленные файлы не могут быть обнаружены с помощью стандартного файлового менеджера, но технически удаленные данные все еще существуют на физическом диске. В то же время исходное содержимое файла остается, часто в виде нескольких разрозненных фрагментов , и может быть восстановлено, если не перезаписано другими файлами данных.
Термин «восстановление данных» также используется в контексте криминалистических приложений или шпионажа , где данные, которые были зашифрованы , скрыты или удалены, а не повреждены, восстанавливаются. Иногда данные, присутствующие на компьютере, шифруются или скрываются по таким причинам, как вирусные атаки, которые могут быть восстановлены только некоторыми экспертами по компьютерной криминалистике.
Широкий спектр сбоев может привести к физическому повреждению носителей информации, что может быть результатом человеческих ошибок и стихийных бедствий. У CD-ROM может быть поцарапана металлическая подложка или слой красителя; жесткие диски могут страдать от множества механических сбоев, таких как сбои головок , отказ печатной платы и отказ двигателей; ленты могут просто порваться.
Физическое повреждение жесткого диска, даже в случаях, когда произошел сбой головки, не обязательно означает постоянную потерю данных. Методы, используемые многими профессиональными компаниями по восстановлению данных, обычно позволяют спасти большую часть, если не все, данные, которые были утеряны в результате сбоя.
Конечно, есть исключения, например, случаи, когда пластины жесткого диска могли быть серьезно повреждены. Однако, если жесткий диск можно отремонтировать и создать полный образ или клон, то логическую структуру файлов можно восстановить в большинстве случаев.
Большинство физических повреждений не могут быть устранены конечными пользователями. Например, открытие жесткого диска в обычных условиях может привести к тому, что пыль из воздуха осесть на пластине и попасть между пластиной и головкой чтения/записи . Во время нормальной работы головки чтения/записи парят на высоте от 3 до 6 нанометров над поверхностью пластины, а средний диаметр частиц пыли, обнаруженных в обычных условиях, обычно составляет около 30 000 нанометров. [6] Когда эти частицы пыли попадают между головками чтения/записи и пластиной, они могут вызвать новые сбои головки, которые еще больше повреждают пластину и, таким образом, ставят под угрозу процесс восстановления. Кроме того, у конечных пользователей, как правило, нет оборудования или технических знаний, необходимых для выполнения таких ремонтов. Следовательно, компании по восстановлению данных часто нанимаются для спасения важных данных, причем более авторитетные компании используют чистые помещения класса 100 без пыли и статического электричества . [7]
Восстановление данных с физически поврежденного оборудования может включать несколько методов. Некоторые повреждения можно устранить путем замены деталей на жестком диске. Это само по себе может сделать диск пригодным для использования, но логические повреждения все еще могут быть. Специализированная процедура создания образа диска используется для восстановления каждого читаемого бита с поверхности. После того, как этот образ получен и сохранен на надежном носителе, его можно безопасно проанализировать на предмет логических повреждений и, возможно, позволит восстановить большую часть исходной файловой системы.
Распространенное заблуждение заключается в том, что поврежденную печатную плату (ПП) можно просто заменить во время процедур восстановления идентичной ПП с исправного диска. Хотя это может работать в редких случаях на жестких дисках, выпущенных до 2003 года, это не будет работать на более новых дисках. Электронные платы современных дисков обычно содержат специфичные для диска данные адаптации (обычно карту поврежденных секторов и параметры настройки) и другую информацию, необходимую для правильного доступа к данным на диске. Заменяемым платам часто нужна эта информация для эффективного восстановления всех данных. Заменяемую плату может потребоваться перепрограммировать. Некоторые производители (например, Seagate) хранят эту информацию на последовательном чипе EEPROM , который можно извлечь и перенести на заменяемую плату. [8] [9]
Каждый жесткий диск имеет так называемую системную область или служебную область ; эта часть диска, которая недоступна напрямую конечному пользователю, обычно содержит встроенное ПО диска и адаптивные данные, которые помогают диску работать в пределах нормальных параметров. [10] Одной из функций системной области является регистрация дефектных секторов на диске; по сути, она сообщает диску, куда он может и куда не может записывать данные.
Списки секторов также хранятся на различных чипах, прикрепленных к печатной плате, и они уникальны для каждого жесткого диска. Если данные на печатной плате не соответствуют тем, что хранятся на пластине, то диск не будет калиброваться должным образом. [11] В большинстве случаев головки диска будут щелкать, потому что они не могут найти данные, соответствующие тем, что хранятся на печатной плате.
Термин «логическое повреждение» относится к ситуациям, в которых ошибка не является проблемой аппаратного обеспечения и требует решений на уровне программного обеспечения.
В некоторых случаях данные на жестком диске могут быть нечитаемыми из-за повреждения таблицы разделов или файловой системы или (периодических) ошибок носителя. В большинстве этих случаев по крайней мере часть исходных данных можно восстановить, восстановив поврежденную таблицу разделов или файловую систему с помощью специализированного программного обеспечения для восстановления данных, такого как TestDisk ; программное обеспечение, такое как ddrescue, может создавать образ носителя, несмотря на периодические ошибки, и создавать образ необработанных данных при повреждении таблицы разделов или файловой системы. Этот тип восстановления данных может быть выполнен людьми, не имеющими опыта в аппаратном обеспечении привода, поскольку для этого не требуется специального физического оборудования или доступа к пластинам.
Иногда данные можно восстановить с помощью относительно простых методов и инструментов; [12] более серьезные случаи могут потребовать вмешательства эксперта, особенно если части файлов не подлежат восстановлению. Карвинг данных — это восстановление частей поврежденных файлов с использованием знания их структуры.
После того, как данные были физически перезаписаны на жестком диске, обычно предполагается, что предыдущие данные больше невозможно восстановить. В 1996 году Питер Гутманн , компьютерный ученый, представил статью, в которой предположил, что перезаписанные данные могут быть восстановлены с помощью магнитно-силовой микроскопии . [13] В 2001 году он представил еще одну статью на похожую тему. [14] Чтобы защититься от этого типа восстановления данных, Гутманн и Колин Пламб разработали метод необратимой очистки данных, известный как метод Гутмана и используемый несколькими программными пакетами для очистки дисков.
Последовала существенная критика, в первую очередь связанная с отсутствием конкретных примеров восстановления значительных объемов перезаписанных данных. [15] Статья Гутмана содержит ряд ошибок и неточностей, особенно касающихся информации о том, как данные кодируются и обрабатываются на жестких дисках. [16] Хотя теория Гутмана может быть верной, нет никаких практических доказательств того, что перезаписанные данные могут быть восстановлены, в то время как исследования показали, что перезаписанные данные не могут быть восстановлены. [ указать ] [17] [18] [19]
Твердотельные накопители (SSD) перезаписывают данные иначе, чем жесткие диски (HDD), что упрощает восстановление по крайней мере некоторых из их данных. Большинство SSD используют флэш-память для хранения данных на страницах и блоках, ссылаясь на логические адреса блоков (LBA), которые управляются слоем трансляции флэш-памяти (FTL). Когда FTL изменяет сектор, он записывает новые данные в другое место и обновляет карту, так что новые данные появляются в целевом LBA. Это оставляет данные до изменения на месте, возможно, с многими поколениями, и их можно восстановить с помощью программного обеспечения для восстановления данных.
Иногда данные, присутствующие на физических дисках (внутренний/внешний жесткий диск, флешка и т. д.), теряются, удаляются и форматируются из-за таких обстоятельств, как вирусная атака, случайное удаление или случайное использование SHIFT+DELETE. В этих случаях для восстановления/восстановления файлов данных используется программное обеспечение для восстановления данных.
В списке логических сбоев жестких дисков логический плохой сектор является наиболее распространенной ошибкой, приводящей к невозможности чтения данных. Иногда можно обойти обнаружение ошибок даже в программном обеспечении, и, возможно, с помощью повторного чтения и статистического анализа восстановить по крайней мере часть основных сохраненных данных. Иногда предварительное знание сохраненных данных и кодов обнаружения и исправления ошибок может быть использовано для восстановления даже ошибочных данных. Однако, если базовый физический диск достаточно сильно деградировал, по крайней мере, необходимо заменить оборудование, окружающее данные, или может даже потребоваться применить лабораторные методы к физическому носителю записи. Каждый из подходов становится все более дорогим и, как таковой, все реже востребованным.
В конце концов, если конечный физический носитель данных действительно был достаточно сильно поврежден, восстановление будет невозможно никакими средствами; информация будет безвозвратно утеряна.
Экспертам по восстановлению не всегда требуется физический доступ к поврежденному оборудованию. Когда потерянные данные могут быть восстановлены программными методами, они часто могут выполнить восстановление с помощью программного обеспечения удаленного доступа через Интернет, локальную сеть или другое соединение с физическим местоположением поврежденного носителя. Процесс по сути ничем не отличается от того, что конечный пользователь мог бы выполнить самостоятельно. [20]
Удаленное восстановление требует стабильного соединения с достаточной пропускной способностью. Однако оно неприменимо там, где требуется доступ к оборудованию, как в случаях физического повреждения.
Обычно успешное восстановление данных состоит из четырех этапов, хотя они могут различаться в зависимости от типа повреждения данных и требуемого восстановления. [21]
Операционная система Windows может быть переустановлена на компьютере, который уже лицензирован для нее. Переустановка может быть выполнена путем загрузки операционной системы или с помощью «диска восстановления», предоставленного производителем компьютера. Эрик Лундгрен был оштрафован и приговорен к тюремному заключению в федеральной тюрьме США в апреле 2018 года за производство 28 000 дисков восстановления и намерение распространять их примерно по 25 центов за каждый в качестве удобства для мастерских по ремонту компьютеров. [22]
Восстановление данных не всегда можно выполнить на работающей системе. В результате загрузочный диск , live CD , live USB или любой другой тип live-дистрибутива содержит минимальную операционную систему.