Восстановление данных

Процесс восстановления недоступных данных из поврежденного или поврежденного вторичного хранилища.

В вычислительной технике восстановление данных — это процесс извлечения удаленных, недоступных, утерянных, поврежденных, поврежденных или отформатированных данных со вторичного хранилища , съемных носителей или файлов , когда к хранящимся в них данным невозможно получить доступ обычным способом. ^[1] Данные чаще всего сохраняются с носителей, таких как внутренние или внешние жесткие диски (HDD), твердотельные накопители (SSD), USB-накопители , магнитные ленты , компакт-диски , DVD-диски , подсистемы RAID и другие электронные устройства. . Восстановление может потребоваться из-за физического повреждения устройств хранения или логического повреждения файловой системы , препятствующего ее монтированию операционной системой (ОС) хоста . ^[2]

Логические сбои возникают, когда устройства жестких дисков работают, но пользователь или автоматизированная ОС не могут получить или получить доступ к хранящимся на них данным. Логические сбои могут возникнуть из-за повреждения инженерной микросхемы, потери разделов, сбоя прошивки или сбоев при форматировании/переустановке. ^{[3] [4]}

Восстановление данных может быть очень простой или технической задачей. Вот почему существуют специальные компании-разработчики программного обеспечения, специализирующиеся в этой области. ^[5]

О

Наиболее распространенные сценарии восстановления данных включают сбой операционной системы, неисправность устройства хранения, логический сбой устройств хранения, случайное повреждение или удаление и т. д. (обычно в системе с одним диском, одним разделом , одной ОС), в этом случае конечная цель — просто скопировать все важные файлы с поврежденного носителя на другой новый диск. Это можно сделать с помощью Live CD или DVD, загрузившись непосредственно с ПЗУ или USB-накопителя вместо поврежденного диска. Многие Live CD или DVD предоставляют средства для монтирования системного диска и резервных дисков или съемных носителей, а также для перемещения файлов с системного диска на резервный носитель с помощью файлового менеджера или программного обеспечения для создания оптических дисков . Такие случаи часто можно смягчить путем разделения диска на разделы и последовательного хранения ценных файлов данных (или их копий) в разделе, отличном от заменяемых системных файлов ОС.

Другой сценарий предполагает сбой на уровне диска, например, скомпрометированную файловую систему или раздел диска, или сбой жесткого диска . В любом из этих случаев данные нелегко считывать с мультимедийных устройств. В зависимости от ситуации решения включают в себя восстановление логической файловой системы, таблицы разделов или основной загрузочной записи или обновление встроенного ПО или методы восстановления диска, начиная от программного восстановления поврежденных данных и заканчивая аппаратным и программным восстановлением поврежденной службы. области (также известные как «прошивка» жесткого диска) до замены оборудования на физически поврежденном диске, что позволяет извлечь данные на новый диск. Если необходимо восстановление диска, то сам диск обычно выходит из строя навсегда, и основное внимание уделяется однократному восстановлению, сохраняющему все данные, которые можно прочитать.

В третьем сценарии файлы были случайно « удалены » с носителя данных пользователями. Обычно содержимое удаленных файлов не удаляется с физического диска сразу; вместо этого ссылки на них в структуре каталогов удаляются, и после этого пространство, занимаемое удаленными данными, становится доступным для последующей перезаписи данных. По мнению конечных пользователей , удаленные файлы невозможно обнаружить с помощью стандартного файлового менеджера, но технически удаленные данные все еще существуют на физическом диске. При этом исходное содержимое файла остается, часто это несколько отдельных фрагментов , и его можно восстановить, если оно не перезаписано другими файлами данных.

Термин «восстановление данных» также используется в контексте криминалистических приложений или шпионажа , когда восстанавливаются данные, которые были зашифрованы , скрыты или удалены, а не повреждены. Иногда данные, имеющиеся в компьютере, зашифровываются или скрываются по таким причинам, как вирусные атаки, которые могут быть восстановлены только некоторыми экспертами по компьютерной криминалистике.

Физический урон

Широкий спектр сбоев может привести к физическому повреждению носителей информации, которое может возникнуть в результате человеческих ошибок и стихийных бедствий. У компакт-дисков металлическая подложка или красочный слой могут быть поцарапаны; жесткие диски могут страдать от множества механических неисправностей, таких как поломка головки , выход из строя печатной платы и выход из строя двигателей; ленты могут просто порваться.

Физическое повреждение жесткого диска, даже в тех случаях, когда произошел сбой головки, не обязательно означает безвозвратную потерю данных. Методы, используемые многими профессиональными компаниями по восстановлению данных, обычно позволяют спасти большую часть, если не все, данных, которые были потеряны в результате сбоя.

Конечно, из этого правила есть исключения, например, случаи серьезного повреждения пластин жесткого диска . Однако если жесткий диск можно восстановить и создать полный образ или клон, то в большинстве случаев логическую структуру файлов можно восстановить.

Большинство физических повреждений не могут быть устранены конечными пользователями. Например, открытие жесткого диска в обычных условиях может привести к тому, что взвешенная в воздухе пыль осядет на пластине и застрянет между пластиной и головкой чтения/записи . Во время нормальной работы головки чтения/записи плавают на высоте от 3 до 6 нанометров над поверхностью пластины, а средний размер частиц пыли, обнаруживаемых в нормальной среде, обычно составляет около 30 000 нанометров в диаметре. ^[6] Когда эти частицы пыли попадают между головками чтения/записи и пластиной, они могут вызвать новые поломки головок, которые еще больше повредят пластину и, таким образом, поставят под угрозу процесс восстановления. Более того, конечные пользователи обычно не обладают оборудованием или техническими знаниями, необходимыми для выполнения такого ремонта. Следовательно, компании по восстановлению данных часто нанимаются для спасения важных данных, причем наиболее авторитетные из них используют чистые помещения класса 100 , свободные от пыли и статического электричества . ^[7]

Методы восстановления

Восстановление данных с физически поврежденного оборудования может включать в себя несколько методов. Некоторые повреждения можно устранить, заменив детали жесткого диска. Уже одно это может сделать диск пригодным для использования, но логические повреждения все равно могут быть. Для восстановления каждого читаемого бита с поверхности используется специализированная процедура создания образа диска. Как только этот образ будет получен и сохранен на надежном носителе, его можно будет безопасно проанализировать на предмет логических повреждений и, возможно, это позволит восстановить большую часть исходной файловой системы.

Аппаратный ремонт

Носитель, на котором произошел катастрофический электронный сбой, требует восстановления данных, чтобы спасти его содержимое.

Распространенным заблуждением является то, что поврежденную печатную плату (PCB) можно просто заменить во время процедур восстановления идентичной платой исправного накопителя. Хотя в редких случаях это может сработать на жестких дисках, изготовленных до 2003 года, на более новых дисках это не сработает. Электронные платы современных накопителей обычно содержат данные адаптации для конкретного накопителя (обычно карту поврежденных секторов и параметры настройки) и другую информацию, необходимую для правильного доступа к данным на накопителе. Запасным платам часто требуется эта информация для эффективного восстановления всех данных. Замененную плату, возможно, придется перепрограммировать. Некоторые производители (например, Seagate) хранят эту информацию на последовательной микросхеме EEPROM , которую можно извлечь и перенести на сменную плату. ^{[8] [9]}

Каждый жесткий диск имеет так называемую системную или служебную область ; эта часть привода, которая недоступна напрямую конечному пользователю, обычно содержит встроенное ПО накопителя и адаптивные данные, которые помогают приводу работать в нормальных параметрах. ^[10] Одной из функций системной области является регистрация дефектных секторов диска; по сути, сообщает диску, где он может и не может записывать данные.

Списки секторов также хранятся на различных микросхемах, прикрепленных к печатной плате, и они уникальны для каждого жесткого диска. Если данные на плате не совпадают с данными, хранящимися на пластине, то привод не сможет правильно откалиброваться. ^[11] В большинстве случаев головки привода щелкают, потому что они не могут найти данные, соответствующие тем, что хранятся на печатной плате.

Логический ущерб

Результат неудачного восстановления данных с жесткого диска.

Термин «логическое повреждение» относится к ситуациям, в которых ошибка не является проблемой аппаратного обеспечения и требует решения на программном уровне.

Поврежденные разделы и файловые системы, ошибки носителя

В некоторых случаях данные на жестком диске могут быть нечитаемы из-за повреждения таблицы разделов или файловой системы или из-за (периодических) ошибок носителя. В большинстве этих случаев по крайней мере часть исходных данных можно восстановить, восстановив поврежденную таблицу разделов или файловую систему с помощью специального программного обеспечения для восстановления данных, такого как Testdisk ; такое программное обеспечение, как ddrescue, может создавать изображения с носителя, несмотря на периодические ошибки, а также отображать необработанные данные при повреждении таблицы разделов или файловой системы. Этот тип восстановления данных может выполняться людьми, не имеющими опыта работы с приводным оборудованием, поскольку он не требует специального физического оборудования или доступа к пластинам.

Иногда данные можно восстановить, используя относительно простые методы и инструменты; ^[12] В более серьезных случаях может потребоваться вмешательство эксперта, особенно если части файлов невозможно восстановить. Карвинг данных — это восстановление частей поврежденных файлов с использованием знания их структуры.

Перезаписанные данные

После того, как данные были физически перезаписаны на жестком диске, обычно предполагается, что предыдущие данные больше невозможно восстановить. В 1996 году Питер Гутманн , учёный-компьютерщик, представил статью, в которой предположил, что перезаписанные данные можно восстановить с помощью магнитно-силовой микроскопии . ^[13] В 2001 году он представил еще одну статью на аналогичную тему. ^[14] Чтобы защититься от такого типа восстановления данных, Гутманн и Колин Пламб разработали метод необратимой очистки данных, известный как метод Гутмана и используемый в нескольких пакетах программного обеспечения для очистки диска.

Последовала серьезная критика, в первую очередь касающаяся отсутствия каких-либо конкретных примеров восстановления значительных объемов перезаписанных данных. ^[15] Хотя теория Гутмана может быть верной, не существует практических доказательств того, что перезаписанные данные могут быть восстановлены, в то время как исследования показали, что перезаписанные данные не могут быть восстановлены. ^{[ указать ] [16] [17] [18]}

Твердотельные накопители (SSD) перезаписывают данные иначе, чем жесткие диски (HDD), что упрощает восстановление по крайней мере некоторых данных. Большинство твердотельных накопителей используют флэш-память для хранения данных в страницах и блоках, на которые ссылаются адреса логических блоков (LBA), которыми управляет уровень трансляции флэш-памяти (FTL). Когда FTL изменяет сектор, он записывает новые данные в другое место и обновляет карту, чтобы новые данные появлялись в целевом LBA. При этом данные до модификации остаются на месте, возможно, со многими поколениями, и их можно восстановить с помощью программного обеспечения для восстановления данных.

Потерянные, удаленные и отформатированные данные

Иногда данные, находящиеся на физических дисках (внутреннем/внешнем жестком диске, флэш-накопителе и т. д.), теряются, удаляются и форматируются из-за таких обстоятельств, как вирусная атака, случайное удаление или случайное использование SHIFT+DELETE. В этих случаях для восстановления файлов данных используется программное обеспечение для восстановления данных.

Логический плохой сектор

В списке логических сбоев жестких дисков логический сбойный сектор является наиболее распространенной ошибкой, приводящей к невозможности чтения данных. Иногда можно обойти обнаружение ошибок даже в программном обеспечении и, возможно, с помощью повторного считывания и статистического анализа восстановить хотя бы часть лежащих в основе хранимых данных. Иногда предварительное знание хранящихся данных и кодов обнаружения и исправления ошибок может использоваться для восстановления даже ошибочных данных. Однако если основной физический диск изношен достаточно сильно, необходимо заменить, по крайней мере, оборудование, окружающее данные, или даже может потребоваться применить лабораторные методы к физическому носителю записи. Каждый из подходов становится все более дорогим и поэтому востребован все реже.

В конце концов, если последний физический носитель данных действительно был достаточно сильно поврежден, восстановление будет невозможно никакими способами; информация безвозвратно утеряна.

Удаленное восстановление данных

Специалистам по восстановлению не всегда требуется физический доступ к поврежденному оборудованию. Когда потерянные данные можно восстановить с помощью программных методов, они часто могут выполнить восстановление с использованием программного обеспечения удаленного доступа через Интернет, локальную сеть или другое соединение с физическим местоположением поврежденного носителя. По сути, этот процесс ничем не отличается от того, что конечный пользователь мог бы выполнить самостоятельно. ^[19]

Удаленное восстановление требует стабильного соединения с достаточной пропускной способностью. Однако он неприменим в случаях, когда требуется доступ к оборудованию, например, в случае физического повреждения.

Четыре этапа восстановления данных

Обычно успешное восстановление данных состоит из четырех этапов, хотя это может варьироваться в зависимости от типа повреждения данных и требуемого восстановления. ^[20]

Фаза 1

Отремонтировать жесткий диск

Жесткий диск ремонтируется для того, чтобы привести его в работоспособное состояние или хотя бы в состояние, подходящее для чтения с него данных. Например, если головы плохие, их нужно менять; если плата неисправна, ее необходимо починить или заменить; Если двигатель шпинделя неисправен, диски и головки следует переместить на новый привод.

Фаза 2

Создайте образ диска на новом диске или в файле образа диска.

При выходе из строя жесткого диска высшим приоритетом является удаление данных с диска. Чем дольше используется неисправный диск, тем больше вероятность дальнейшей потери данных. Создание образа накопителя обеспечит наличие вторичной копии данных на другом устройстве, на которой можно безопасно выполнять процедуры тестирования и восстановления без ущерба для источника.

Этап 3

Логическое восстановление файлов, разделов, MBR и структур файловой системы.

После того, как диск клонирован на новый диск, можно попытаться восстановить потерянные данные. Если диск вышел из строя логически, тому есть ряд причин. С помощью клона можно восстановить таблицу разделов или главную загрузочную запись (MBR), чтобы прочитать структуру данных файловой системы и получить сохраненные данные.

Этап 4

Восстановить поврежденные файлы, которые были получены

Повреждение данных может быть вызвано, например, записью файла в поврежденный сектор диска. Это наиболее распространенная причина выхода из строя диска. Это означает, что данные необходимо восстановить, чтобы они стали доступны для чтения. Поврежденные документы можно восстановить несколькими программными методами или вручную восстановить документ с помощью шестнадцатеричного редактора.

Восстановить диск

Операционную систему Windows можно переустановить на компьютер, на котором уже имеется лицензия на нее. Переустановку можно выполнить, загрузив операционную систему или воспользовавшись «диском восстановления», предоставленным производителем компьютера. Эрик Лундгрен был оштрафован и приговорен к тюремному заключению в федеральной тюрьме США в апреле 2018 года за изготовление 28 000 дисков восстановления и намерение распространить их примерно по 25 центов каждый для удобства мастерских по ремонту компьютеров. ^[21]

Список программ для восстановления данных

Загрузочный

Восстановление данных не всегда можно выполнить в работающей системе. В результате загрузочный диск , Live CD , Live USB или любой другой тип живого дистрибутива содержит минимальную операционную систему.

• BartPE : облегченный вариант 32-разрядных операционных систем Microsoft Windows XP или Windows Server 2003 , аналогичный среде предустановки Windows, которую можно запускать с Live CD или USB-накопителя. Снято с производства.
• Finnix : Live CD на базе Debian , ориентированный на небольшой размер и скорость, полезный для восстановления компьютеров и данных.
• Disk Drill Basic : способен создавать загрузочные USB-накопители Mac OS X для восстановления данных.
• Knoppix : содержит утилиты для восстановления данных под Linux.
• SpinRite : инструмент восстановления данных на жестких дисках и магнитных устройствах хранения данных на базе FreeDOS.
• SystemRescueCD : Live CD на базе Arch Linux , полезный для восстановления незагружающихся компьютерных систем и получения данных после сбоя системы.
• Среда предустановки Windows (WinPE): настраиваемый загрузочный DVD-диск Windows (созданный Microsoft и распространяемый бесплатно). Может быть изменен для загрузки любой из перечисленных программ.

Контролеры консистенции

• CHKDSK : средство проверки согласованности для систем DOS и Windows.
• Disk First Aid : средство проверки целостности для Mac OS 9
• Дисковая утилита : средство проверки целостности для Mac OS X.
• fsck : программа проверки целостности для UNIX.
• gparted : графический интерфейс для GNU parted , редактора разделов GNU, способного вызывать fsck.

Восстановление файлов

• CDRoller : восстанавливает данные с оптического диска.
• Мастер восстановления данных EaseUS: утилиты восстановления файлов Windows и Mac от EaseUS
• Disk Drill Basic : приложение для восстановления данных для Mac OS X и Windows
• DMDE : многоплатформенный инструмент для восстановления данных и редактирования дисков.
• dvdisaster : генерирует данные для исправления ошибок для оптических дисков.
• СекурДиск  [ru; de] от Nero AG : функция «Надежность данных» генерирует избыточные данные и данные контрольной суммы в оставшемся пространстве оптических дисков.
• GetDataBack : программа восстановления Windows.
• Hetman Partition Recovery : решение для восстановления дисков с данными
• IsoBuster : восстанавливает данные с оптических дисков, USB-накопителей, флэш-накопителей и жестких дисков.
• Mac Data Recovery Guru : программа восстановления данных Mac OS X, которая работает с USB-накопителями, оптическими носителями и жесткими дисками.
• Мастер создания разделов MiniTool : для Windows 7 и более поздних версий; включает восстановление данных
• Norton Utilities : набор утилит с компонентом восстановления файлов.
• PhotoRec : продвинутая многоплатформенная программа с текстовым пользовательским интерфейсом, используемая для восстановления файлов.
• Recover My Files : фирменное программное обеспечение для Windows 2000 и более поздних версий — FAT, NTFS и HFS.
• Recovery Toolbox : бесплатные и условно-бесплатные инструменты, а также онлайн-сервисы для различных программ Windows 2000 и более поздних версий.
• Recuva : проприетарное программное обеспечение для Windows 2000 и более поздних версий — FAT и NTFS.
• Stellar Data Recovery для Mac : утилита восстановления данных для Mac OS
• Stellar Data Recovery для Windows : утилита восстановления данных для Windows
• Stellar Photo Recovery : утилита для восстановления фотографий для Mac OS и Windows
• TestDisk : бесплатный, с открытым исходным кодом, мультиплатформенный. восстановить файлы и потерянные разделы
• TuneUp Utilities : набор утилит, включающий компонент восстановления файлов для Windows XP и более поздних версий.
• Windows File Recovery : утилита командной строки от Microsoft для восстановления удаленных файлов в Windows 10 версии 2004 и более поздних версий.

Криминалистика

• Прежде всего : программа восстановления файлов из командной строки с открытым исходным кодом , первоначально разработанная Управлением специальных расследований ВВС США и Центром исследований и исследований безопасности информационных систем NPS .
• Forensic Toolkit : от AccessData, используется правоохранительными органами.
• Открытая архитектура компьютерной криминалистики : программа с открытым исходным кодом для Linux.
• The Coroner's Toolkit : набор утилит для помощи в судебно-медицинском анализе системы UNIX после взлома.
• The Sleuth Kit : также известный как TSK, набор инструментов судебно-медицинского анализа, разработанный Брайаном Кэрриером для систем UNIX, Linux и Windows. TSK включает в себя судебно-медицинский браузер Autopsy.

Инструменты обработки изображений

• Clonezilla : бесплатное клонирование диска, создание образа диска, восстановление данных и загрузочный диск для развертывания.
• dd : распространенный инструмент побайтового клонирования, встречающийся в Unix-подобных системах.
• ddrescue : инструмент с открытым исходным кодом, аналогичный dd, но с возможностью пропускать и впоследствии повторять плохие блоки на неисправных устройствах хранения.
• Team Win Recovery Project : бесплатная система восстановления с открытым исходным кодом для устройств Android.

Смотрите также

• Резервное копирование
• Чистая комната
• Сравнение файловых систем
• Компьютерная криминалистика
• Непрерывная защита данных
• Крипто-измельчение
• Археология данных
• Курирование данных
• Сохранение данных
• Потери данных
• Обнаружение и исправление ошибок
• Резьба напильником
• Скрытый файл и скрытый каталог
• Восстановление
• Список программ для восстановления данных
• Список программного обеспечения для удаления данных

Рекомендации

1. «Объяснение восстановления данных» . www.ibm.com . Архивировано из оригинала 28 августа 2022 года . Проверено 28 августа 2022 г.
2. «Объяснение восстановления данных» . www.ibm.com . Архивировано из оригинала 28 августа 2022 года . Проверено 1 декабря 2022 г.
3. «Что такое логическая неудача?». Disklabs Цифровая криминалистика и восстановление данных . Архивировано из оригинала 1 декабря 2022 года . Проверено 1 декабря 2022 г.
4. «Что происходит, когда в дисках возникает логический сбой?» www.streetdirectory.com . Архивировано из оригинала 1 декабря 2022 года . Проверено 1 декабря 2022 г.
5. «Восстановление данных – технология резервного копирования». www.dell.com . Архивировано из оригинала 1 декабря 2022 года . Проверено 1 декабря 2022 г.
6. «Восстановление данных на жестком диске Seagate емкостью 3 ТБ» . acsdata.com . Архивировано из оригинала 13 февраля 2017 года.
7. Васконселос, Педро. «Восстановление данных своими руками может означать «пока-пока»». Блог Ontrack по восстановлению данных . Восстановление данных Ontrack. Архивировано из оригинала 26 июля 2019 года . Проверено 26 июля 2019 г.
8. «Руководство по замене печатной платы жесткого диска или как заменить печатную плату жесткого диска» . донордрайвс.com . Архивировано из оригинала 27 мая 2015 года . Проверено 27 мая 2015 г.
9. «Служба адаптации прошивки — замена ПЗУ» . pcb4you.com . Архивировано из оригинала 29 марта 2013 года . Проверено 27 мая 2015 г.
10. Ариэль Беркман (14 февраля 2013 г.). «Скрытие данных в служебных зонах жесткого диска» (PDF) . восстановить.co.il . Архивировано из оригинала (PDF) 26 февраля 2015 года . Проверено 23 января 2015 г.
11. «Отчет о восстановлении данных — прочтите перед выбором компании по восстановлению данных» . 16 апреля 2013 г. Архивировано из оригинала 16 апреля 2013 г.
12. Программное обеспечение для восстановления данных. Архивировано 17 октября 2016 г. на Wayback Machine.
13. Безопасное удаление данных из магнитной и твердотельной памяти. Архивировано 9 декабря 2007 г. в Wayback Machine , Питер Гутманн, факультет компьютерных наук, Оклендский университет.
14. Остаточность данных в полупроводниковых устройствах. Архивировано 21 февраля 2007 г. в Wayback Machine , Питер Гутманн, Исследовательский центр IBM TJ Watson.
15. Финберг, Дэниел (14 мая 2004 г.). «Могут ли разведывательные агентства читать перезаписанные данные? Ответ Гутманну». Национальное бюро экономических исследований. Архивировано из оригинала 9 мая 2008 года . Проверено 21 мая 2008 г.
16. «Очистка диска - достаточно одного прохода» . anti-forensics.com . 17 марта 2009 г. Архивировано из оригинала 2 сентября 2012 г.
17. «Очистка диска – достаточно одного прохода – Часть 2 (на этот раз со скриншотами)» . anti-forensics.com . 18 марта 2009 г. Архивировано из оригинала 27 ноября 2012 г.
18. Райт, доктор Крейг (15 января 2009 г.). «Перезапись данных жесткого диска». Архивировано из оригинала 23 мая 2010 года.
19. Бартон, Андре (17 декабря 2012 г.). «Восстановление данных через Интернет». Дайджест восстановления данных . Архивировано из оригинала 27 мая 2015 года . Проверено 29 апреля 2015 г.
20. Стэнли Морган (28 декабря 2012 г.). «[Инфографика] Четыре этапа восстановления данных». dolphindatalab.com . Архивировано из оригинала 2 апреля 2015 года . Проверено 23 марта 2015 г.
21. Вашингтон Пост (26 апреля 2018 г.). «Инноватор в области переработки электроники сядет в тюрьму за попытку продлить жизнь компьютерам». Вашингтон Пост . Архивировано из оригинала 2 мая 2018 года . Проверено 2 мая 2018 г.

дальнейшее чтение

• Таненбаум А. и Вудхалл А.С. (1997). Операционные системы: проектирование и реализация, 2-е изд. Нью-Йорк: Прентис Холл.
• Восстановление данных в Керли