Het is met ons allemaal gebeurd. U hebt per ongeluk een bestand of map verwijderd en de prullenbak geleegd. Of misschien weigerde Windows op te starten en toen u uw harde schijf op een andere pc had aangesloten, kon u uw gegevens niet lezen. Krijgt u ooit uw gegevens terug? Dit artikel gaat in op het begrijpen van de concepten achter bestandsherstel op een pc.

Harde schijfstructuur

h

Allereerst gaan we door de logische structuur van een harde schijf. Meestal bestaat een harde schijf uit een opstartsector, een index en gegevens. De opstartsector bevindt zich aan het begin van de schijf en wordt normaal gesproken gebruikt om het besturingssysteem te starten en bevat informatie over de partities van de schijf. De index bevat informatie over de bestanden en mappen die op de schijf aanwezig zijn - in het geval van een Windows-systeem zou dat de MFT- of de hoofdvettafel zijn. De gegevenssectie van de schijf bevat de eigenlijke bestanden en hun inhoud.

Verwijderde bestanden

Wat gebeurt er wanneer u een bestand verwijdert en de Prullenbak leegt? Is het voorgoed weggeweest? De inhoud wordt niet echt permanent verwijderd. Het indexitem dat de gebruiker naar het bestand leidt, wordt gemarkeerd als verwijderd en het inhoudsgebied van het bestand wordt gemarkeerd als beschikbaar om te worden overschreven of voor gebruik in de toekomst. Dit betekent dat de fysieke gegevens nog steeds aanwezig zijn totdat deze door een ander bestand is overschreven. Daarom, als u hoopt bestanden te herstellen, moet u alleen proberen te herstellen door uw computer uit te zetten en uw harde schijf op een andere computer aan te sluiten. Anders kan elke activiteit die u op de schijf uitvoert de gegevens van uw verwijderde bestanden daadwerkelijk overschrijven.

Data corruptie

In het geval van datacorruptie zijn er veel mogelijke oorzaken. Het verlies van macht op een ongelegen moment of een willekeurige computercrash / reboot kan een segment van een bestand, het bestandssysteem breder of de MFT zelf beschadigen. Vergelijkbaar met het scenario met verwijderde bestanden, moet u het systeem uitschakelen en proberen op een tweede computer te herstellen.

Het proces van bestandsherstel

Gezien scenario - verwijderde bestanden of gegevensbeschadiging, is er een aanzienlijke kans dat de gegevens worden hersteld. Het slagingspercentage om dit enigszins te doen hangt af van hoe lang geleden de bestanden werden verwijderd of de corruptie die plaatsvond en hoeveel gebruik de computer sinds dat tijdstip had.

Er is een groter aantal programma's beschikbaar die gegevensherstel kunnen vergemakkelijken. In mijn ervaring heeft TestDisk buitengewoon goed gewerkt.

Verwijderde bestandsherstel

De meeste toepassingen voor gegevensherstel hebben een soort snelle scanfunctie. Dit wordt meestal alleen gebruikt voor verwijderde bestanden en vereist dat de logische schijfeenheid zichtbaar is voor het besturingssysteem, dat wil zeggen dat de partitie niet beschadigd is, correct is gemount en dat u in de verkenner daadwerkelijk door de schijf kunt bladeren. Een snelle scan scant de bestandstabel (MFT zoals eerder besproken) en zoekt naar bestanden die zijn gemarkeerd als verwijderd.

De bestandstabel dicteert de locatie van de bestanden op de schijf en maakt het herstel mogelijk. Als de ruimte waarin ze zich op de schijf bevinden echter is overschreven, werkt het herstel niet zoals u had gehoopt en krijgt u een bestand vol rommel. De meeste toepassingen voor gegevensherstel hebben een ingebouwde bestandscontrole waarmee u een korte piek kunt nemen naar de inhoud van het bestand. Dit is echter niet erg handig als u niet weet wat u zoekt - platte tekstbestanden zijn gemakkelijk te begrijpen en Word-documenten hebben over het algemeen hun inhoud als 'cleartext' ergens binnen een verminkte puinhoop van hexadecimale inhoud, maar andere media bestanden zullen moeilijker zijn. Zoals u kunt zien, is het onderstaande batchbestand duidelijk in goede staat:

Een andere complicatie van het verwijderde bestandsherstel is dat de oorspronkelijke locatie van het bestand (en) niet altijd bekend is. Mogelijk moet u een willekeurige lijst van willekeurig benoemde mappen doorzoeken om de bestanden te vinden die u wilt herstellen. Dit komt omdat de bestandstabel mogelijk niet langer is gekoppeld aan de locatie-informatie van de map. Zoals je in de onderstaande afbeelding kunt zien, bestaat de directorylijst aan de linkerkant uit willekeurige tekens. De bestandsnamen zelf moeten echter nog steeds intact zijn en uw gegevenshersteltoepassing moet een zoekoptie beschikbaar hebben om de taak van het lokaliseren van de bestanden gemakkelijker te maken.

Nadat u hebt vastgesteld welke bestanden moeten worden hersteld, moet uw toepassing voor gegevensherstel de laatste stap zijn. Vergeet niet om een ​​bestemmingsstation te kiezen dat niet hetzelfde is als het station waarvan u herstelt. Anders riskeert u het gegevensherstelproces waarbij u schrijft over de bestanden die u probeert te herstellen!

Beschadigd gegevensherstel

Dit scenario is iets gecompliceerder. Verschillende aspecten van het bestandssysteem zijn mogelijk beschadigd - de bestandstabel, een segment van de gegevens of vele andere permutaties, inclusief in het geval van geformatteerd herstel van stations. In sommige scenario's kan de toepassing voor gegevensherstel segmenten van uw MFT lezen om een ​​aanzienlijk deel van de bestanden te vinden. Er kan ook een spiegel van de MFT aanwezig zijn, zodat de applicatie voor gegevensherstel mogelijk zowel de spiegel als de normale kopie kan combineren om al uw gegevens te lokaliseren.

Als de "snellere" versie van corrupte gegevensherstel mislukt, is de fallback-methode om de gegevens van onbewerkte schijven te scannen op handtekeningen van bepaalde bestandstypen die u wilt herstellen. Bestanden zoals jpegs, MS Word-documenten en Excel-bestanden hebben een specifieke "handtekening" - meestal een vergelijkbaar begin- en eindpunt van een bestand dat hun bestandstype definieert. Dus de applicatie voor gegevensherstel scant de schijf op deze reeksen om verloren bestanden te lokaliseren.

Dit proces is echter lang niet perfect - het belangrijkste probleem is dat het soms moeilijk is te ontcijferen waar een bepaald bestand kan eindigen, waardoor meerdere bestanden in sommige gevallen kunnen worden samengevoegd. De software kan dit niet achterhalen met de beperkte beschikbare informatie en maakt dus een berekende beslissing. Een andere beperking van deze methode is dat bestanden die niet in een aangrenzende ruimte (gefragmenteerde bestanden) worden opgeslagen, niet correct worden hersteld, omdat de herstelsoftware geen kennis heeft van de fragmentlocaties van het bestand zonder een bestandstabel. Het laatste probleem met deze aanpak, zoals geïllustreerd in de onderstaande afbeelding, is dat het een traag proces kan zijn. (het onderstaande herstel is eigenlijk een fysiek beschadigde schijf, een normale onbewerkte scan zou enkele uren duren, niet 3 weken!)

Slotopmerkingen

Het is belangrijk op te merken dat de kans dat het bestand wordt hersteld afhankelijk is van hoe lang het is verwijderd / verwijderd / geformatteerd vanaf de harde schijf. Als het bestand bijvoorbeeld slechts een uur geleden is gewist, moet het nog steeds relatief intact zijn en niet worden overschreven door het systeem. Helaas, als het bestand enkele weken tot maanden van tevoren werd verwijderd, kan de kans dat het bestand wordt hersteld aanzienlijk worden verkleind. Om de beste kans op herstel te hebben, raden we aan dat de gebruiker stopt met het opslaan van nieuwe bestanden (en met het uitvoeren van andere acties) op zijn computer en onmiddellijk begint met het proberen de benodigde bestanden te herstellen.

Afbeelding credit: Hdd-gegevensverlies door BigStockPhoto verbroken