Восстановление

Восстановление — это функция восстановления компьютерных файлов , которые были удалены из файловой системы путем удаления файлов . Удаленные данные можно восстановить во многих файловых системах, но не все файловые системы предоставляют функцию восстановления. Восстановление данных без возможности восстановления данных обычно называется восстановлением данных , а не восстановлением данных. Восстановление удаления может помочь предотвратить случайную потерю данных пользователями или может представлять угрозу компьютерной безопасности , поскольку пользователи могут не знать, что удаленные файлы остаются доступными.

Поддерживать

Не все файловые системы или операционные системы поддерживают восстановление. Восстановление удаления возможно во всех файловых системах FAT , с помощью утилит восстановления, начиная с MS-DOS 5.0. ^[1]^[2] и DR DOS 6.0 в 1991 году. Он не поддерживается большинством современных UNIX файловых систем , хотя AdvFS является заметным исключением. Файловая система ext2 имеет дополнительную программу e2undel. ^[3] который позволяет восстановить файл. Аналогичная файловая система ext3 официально не поддерживает восстановление, но такие утилиты, как ext4magic, ^[4] переполнение, ^[5] PhotoRec и ext3grep ^[6] были написаны для автоматизации восстановления томов ext3 . ^[7] Функция восстановления была предложена в ext4 , но еще не реализована. ^[8] Однако функция мусорного бака была опубликована в виде патча 4 декабря 2006 года. ^[9] Функция «Корзина» использует функцию восстановления атрибуты в файловых системах ext2/3/4 и Reiser. ^[10]

Инструменты командной строки

Нортон Утилиты

Norton UNERASE был важным компонентом Norton Utilities версии 1.0 в 1982 году.

MS-DOS

Microsoft включила аналогичную программу UNDELETE в версии MS-DOS с 5.0 по 6.22 , но вместо этого применила подход Recycle Bin в более поздних операционных системах, использующих FAT.

ДР ДОС

DR DOS 6.0 и более поздние версии также поддерживают UNDELETE, но дополнительно предлагают дополнительную защиту с использованием утилиты моментальных снимков FAT DISKMAP и резидентного компонента отслеживания удаления DELWATCH , который активно сохраняет метки даты и времени удаленных файлов и предотвращает перезапись содержимого удаленных файлов, если только заканчивается место на диске. DELWATCH также поддерживает восстановление удаленных файлов на файловых серверах. Начиная с Novell DOS 7, ядро сохраняет первую букву удаленных файлов в записях каталога, чтобы в дальнейшем помочь инструментам восстановления восстановить исходное имя.

ПТС-ДОС

PTS-DOS предлагает ту же функцию, настраиваемую с помощью директивы SAVENAME CONFIG.SYS .

FreeDOS

Версия UNDELETE для FreeDOS была разработана Эриком Ауером и распространяется под лицензией GPL . ^[11]

Графические программы

Графические пользовательские среды часто используют другой подход к восстановлению: вместо этого используется «область хранения» для удаляемых файлов. Нежелательные файлы перемещаются в эту область хранения, и все файлы в области хранения удаляются периодически или по запросу пользователя. Этот подход используется корзиной в операционных системах Macintosh и корзиной в Microsoft Windows . Это естественное продолжение подхода, использованного в более ранних системах, таких как группа неопределенности, используемая LocoScript . ^[12] Этот подход не подвержен риску того, что другие файлы, записываемые в файловую систему, очень быстро повредят удаленный файл; безвозвратное удаление произойдет по предсказуемому графику или только при ручном вмешательстве.

Другой подход предлагают такие программы, как Norton GoBack (ранее Roxio GoBack ): часть места на жестком диске выделяется для операций модификации файлов, которые должны быть записаны таким образом, чтобы их можно было позже отменить. Этот процесс обычно намного безопаснее для восстановления удаленных файлов, чем операция восстановления, описанная ниже.

Аналогично, файловые системы, поддерживающие «снимки» (например, ZFS или btrfs ), могут использоваться для создания снимков всей файловой системы через регулярные промежутки времени (например, каждый час), что позволяет восстанавливать файлы из более раннего снимка.

Ограничения

Восстановление удаления не является безопасным. В общем, чем раньше будет предпринята попытка восстановления, тем больше вероятность того, что она окажется успешной. Это связано с тем, что чем больше используется система, тем больше данных записывается на диск и потенциально выделяется в это удаленное пространство. Фрагментация удаленного файла также может снизить вероятность восстановления в зависимости от типа файловой системы (см. ниже). Фрагментированный файл разбросан по разным частям диска, а не находится в непрерывной области.

Механика

Действия восстановления зависят от файловой системы, в которой был сохранен удаленный файл. Некоторые файловые системы, такие как HFS , не могут обеспечить функцию восстановления, поскольку никакая информация об удаленном файле не сохраняется (за исключением дополнительного программного обеспечения, которого обычно нет). Однако некоторые файловые системы не стирают все следы удаленного файла, включая файловые системы FAT:

файловые системы FAT

Когда файл «удаляется» с использованием файловой системы FAT , запись в каталоге остается практически неизменной, за исключением первого символа имени файла, сохраняя при этом большую часть имени «удаленного» файла, а также его отметку времени, длину файла и — большую часть главное — его физическое расположение на диске. Однако список дисковых кластеров, занятых файлом, будет удален из Таблицы размещения файлов , отметив те сектора, которые доступны для использования другими файлами, созданными или измененными после этого. В случае FAT32 дополнительно стирается поле, отвечающее за старшие 16 бит значения начального кластера файла.

При попытке восстановления удаления для успешного восстановления файла должны быть выполнены следующие условия:

Запись об удаленном файле должна все еще существовать в каталоге, а это означает, что она еще не должна быть перезаписана новым файлом (или папкой), созданным в том же каталоге. Так ли это, можно довольно легко определить, проверив, присутствует ли в каталоге оставшееся имя файла, который нужно восстановить.
Кластеры, ранее использовавшиеся удаленным файлом, не должны быть перезаписаны другими файлами. Это вполне можно проверить, проверив, что кластеры не помечены как используемые в Таблице размещения файлов . Однако, если тем временем новый файл был записан на диск с использованием этих секторов, а затем снова удален, снова освобождая эти сектора, это не может быть обнаружено автоматически программой восстановления. В этом случае операция восстановления, даже если она выглядит успешной, может завершиться неудачей, поскольку восстановленный файл содержит другие данные.
Для устройств FAT32 младшие 16 бит физического адреса обычно сохраняются в записи каталога, но старшие биты адреса обнуляются. Многие программы восстановления игнорируют этот факт и не могут правильно восстановить данные.

Шансы на восстановление удаленных файлов часто выше на томах FAT12 и FAT16 по сравнению с томами FAT32 из-за обычно большего размера кластера, используемого предыдущими системами, а также из-за потери старших 16 бит логического адреса кластера для FAT32.

Если программа восстановления не может обнаружить явные признаки несоблюдения вышеуказанных требований, она восстановит запись каталога как используемую и пометит все последовательные кластеры, начиная с того, который записан в старой записи каталога, который использовался при распределении файлов. Стол . Затем пользователь должен открыть восстановленный файл и убедиться, что он содержит полные данные ранее удаленного файла.

Поэтому восстановление фрагментированных файлов (после первого фрагмента) обычно невозможно автоматическими процессами, а только путем ручного анализа каждого (неиспользуемого) блока диска. Это требует детального знания файловой системы, а также двоичного формата восстанавливаемого типа файла, и поэтому выполняется только специалистами по восстановлению или криминалистами.

Файловые системы NTFS

NTFS хранит информацию о файлах в виде набора записей фиксированного размера (обычно 1 КБ) в так называемой главной таблице файлов (MFT). Информация об имени файла и размещении файла инкапсулируется в эти записи, предоставляя полную информацию о каждом конкретном файле. Когда система удаляет файл, запись в основной таблице файлов освобождается для отсоединения или повторного использования, но она все равно остается на диске. Пока запись MFT не будет повторно использована или перезаписана, файл можно легко восстановить: программное обеспечение для восстановления данных может найти «потерянную» запись MFT и получить из нее полную информацию о потерянном файле.

Однако обратите внимание: когда функция SSD TRIM включена, содержимое файла может быть уничтожено вскоре после удаления для повторного использования ячеек памяти SSD. Это делает невозможным восстановление содержимого файла (на диске останется только информация об имени, дате и размере файла).

Профилактика

Стирание данных — это термин, обозначающий программные методы предотвращения восстановления файлов.

См. также

Ссылки

^ «Когда не следует использовать команды MS-DOS 5.0 CHKDSK и UNDELETE» . Support.microsoft.com. 16 ноября 2006 г. Архивировано из оригинала 2 февраля 2012 г. Проверено 9 января 2012 г.
^ «Использование общего файла UNDELETE.INI с функцией восстановления» . Support.microsoft.com. 16 ноября 1999 г. Архивировано из оригинала 26 августа 2009 г. Проверено 9 января 2012 г.
^ "домашняя страница e2undel" . e2undel.sourceforge.net . Проверено 2 июля 2020 г.
^ «Ext4magic» . ext4magic.sourceforge.net . Проверено 2 июля 2020 г.
^ «extundelete: утилита восстановления файлов ext3 и ext4» . extundelete.sourceforge.net . Проверено 2 июля 2020 г.
^ «Архив кода Google — долгосрочное хранилище для хостинга проектов Google Code» . code.google.com . Проверено 2 июля 2020 г.
^ Карло Вуд (7 февраля 2008 г.). «КАК восстановить удаленные файлы в файловой системе ext3» . Xs4all.nl. Архивировано из оригинала 19 сентября 2010 г. Проверено 9 января 2012 г.
↑ Новые функции ext4 . Архивировано 18 декабря 2008 г. на Wayback Machine.
^ «Безопасное удаление и поддержка корзины для Ext4» . Статья.gmane.org. Архивировано из оригинала 9 июля 2008 г. Проверено 9 января 2012 г.
^ «Гмане Лум» . Thread.gmane.org. Архивировано из оригинала 11 января 2016 г. Проверено 9 января 2012 г.
^ «Пакет обновлений FreeDOS 1.2 — восстановление (база FreeDOS)» . Ибиблио.орг. 05 апреля 2009 г. Проверено 4 сентября 2022 г.
^ «Лэнгфорд в колонке №6 PCW TODAY» . Ansible.co.uk. Архивировано из оригинала 14 февраля 2012 г. Проверено 9 января 2012 г.

Внешние ссылки

[1] «Когда не следует использовать команды MS-DOS 5.0 CHKDSK и UNDELETE» . Support.microsoft.com. 16 ноября 2006 г. Архивировано из оригинала 2 февраля 2012 г. Проверено 9 января 2012 г.

[2] «Использование общего файла UNDELETE.INI с функцией восстановления» . Support.microsoft.com. 16 ноября 1999 г. Архивировано из оригинала 26 августа 2009 г. Проверено 9 января 2012 г.

[3] "домашняя страница e2undel" . e2undel.sourceforge.net . Проверено 2 июля 2020 г.

[4] «Ext4magic» . ext4magic.sourceforge.net . Проверено 2 июля 2020 г.

[5] «extundelete: утилита восстановления файлов ext3 и ext4» . extundelete.sourceforge.net . Проверено 2 июля 2020 г.

[6] «Архив кода Google — долгосрочное хранилище для хостинга проектов Google Code» . code.google.com . Проверено 2 июля 2020 г.

[7] Карло Вуд (7 февраля 2008 г.). «КАК восстановить удаленные файлы в файловой системе ext3» . Xs4all.nl. Архивировано из оригинала 19 сентября 2010 г. Проверено 9 января 2012 г.

[8] Новые функции ext4 . Архивировано 18 декабря 2008 г. на Wayback Machine.

[9] «Безопасное удаление и поддержка корзины для Ext4» . Статья.gmane.org. Архивировано из оригинала 9 июля 2008 г. Проверено 9 января 2012 г.

[10] «Гмане Лум» . Thread.gmane.org. Архивировано из оригинала 11 января 2016 г. Проверено 9 января 2012 г.

[11] «Пакет обновлений FreeDOS 1.2 — восстановление (база FreeDOS)» . Ибиблио.орг. 05 апреля 2009 г. Проверено 4 сентября 2022 г.

[12] «Лэнгфорд в колонке №6 PCW TODAY» . Ansible.co.uk. Архивировано из оригинала 14 февраля 2012 г. Проверено 9 января 2012 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]