Восстановление данных

Восстановление данных — процедура извлечения информации с запоминающего устройства в случае, когда она не может быть прочитана обычным способом.

Восстановление может осуществляться с любого компьютерного носителя, включая CD, DVD, жёсткие диски, флеш-память и т. д. Как правило, восстановлению подлежат данные, представляющие определённую ценность.

ПричиныПравить

Необходимость в восстановлении может возникнуть, когда носитель имеет аппаратные или программные повреждения, или же — когда файлы данных были лишь отмечены в качестве удалённых, но продолжают храниться до того, как будут перезаписаны.

Некоторые распространенные причины для необходимости восстановления данных представлены в таблице:

Тип носителя Нарушение организации данных Физические повреждения
Дискета Вследствие аппаратно-программных ошибок при записи данных, случайное удаление Размагничивание, царапины, загрязнение поверхности[1]
Компакт-диск Вследствие аппаратно-программных ошибок при записи данных Повреждение/разложение прозрачного, регистрируемого или отражающего слоя[2]
NAND-Flash Вследствие неправильного извлечения устройства, несанкционированное форматирование, случайное удаление Поломка платы, разрушение контактов, сгорание стабилизаторов питания, контроллеров[3]
Жесткий диск Несанкционированное форматирование, случайное удаление, повреждение секторов содержащих служебную информацию(служебная зона жесткого диска), так и информацию о расположении файлов и папок(зона MFT)[4] Сбой в ПЗУ контроллера, поломка блока магнитных головок, дефекты поверхности магнитной пластины[5]

Способы восстановленияПравить

В настоящее время существует два основных способа восстановления данных. Способ выбирается в зависимости от возникшей неисправности накопителя. Программно-аппаратный метод применяют в тех случаях, когда программный способ не даст результата.

Программный способПравить

Программный способ — это восстановление данных без физического вмешательства в устройство накопителя, а также в функционирование микропрограммы и структуру модулей служебной информации. Данный способ применяется в случаях, когда сохранена работоспособность самого накопителя, но по той или иной причине доступ к данным, хранящимся на нём, утрачен. Причиной этого может стать форматирование логических дисков, неудачное изменение логической геометрии накопителя, удаление информации, частичное, либо полное разрушение файловой системы, как информации о структуре размещения данных на накопителе. Зачастую в перечисленных случаях удаётся восстановить большую часть данных, однако встречаются случаи, когда восстановление утраченных данных невозможно (частным случаем можно считать перезапись данных). Для автоматизации процесса восстановления написано множество программ, в том числе и бесплатных.

Восстановление структуры файловой системыПравить

В случае форматирования логического диска или раздела, структура и атрибуты данных не нарушаются, но изменяется либо инвентаризируется (приводится в начальное состояние) информация о расположении данных на данном накопителе.

При быстром форматировании обновляется малая часть файловой таблицы, часть служебных записей остается, необходимо лишь интерпретировать её и прочитать данные в нужном порядке.

Полное форматирование может обновить всю файловую таблицу, поэтому восстановление структуры файлов и папок не всегда возможно. Для восстановления данных без информации о структуре можно использовать восстановление файлов по сигнатурам.

Если произошло повреждение файловой системы в результате программного сбоя или неисправности носителя, программы для восстановления данных могут восстановить часть информации, зависящую от объема повреждений.

Восстановление удаленных данных файловой системыПравить

При удалении данных, на самом деле, данные физически остаются на накопителе, однако в файловой системе более не отображаются, а место на носителе, где они располагаются, помечается как свободное и готовое к записи новой информации. В данном случае атрибуты файлов изменяются. В случае записи в данный раздел или логический диск может произойти частичное или полное замещение данных, помеченных, как удаленные.

Подобные файлы можно легко прочитать и восстановить со всеми атрибутами и информацией о расположении, прочитав служебные записи файловой системы. Существуют как программы только для восстановления удаленных данных, так и комплексные решения, где восстановление удаленных данных — лишь одна из функций.

Также существуют специальные программы — «шредеры», предназначенные для уничтожения данных.[6] После правильного использования таких программ восстановление невозможно.

Восстановление по сигнатурамПравить

В случае, когда реконструкция файловой системы невозможна в силу каких-либо причин, некоторые файлы все еще можно восстановить, используя восстановление по сигнатурам. При данном типе восстановления происходит посекторное сканирование накопителя на предмет наличия известных сигнатур файлов[7].

Основной принцип работы алгоритмов сигнатурного поиска[8] такой же, как у самых первых антивирусов. Как антивирус сканирует файл в поисках участков данных, совпадающих с известными фрагментами кода вирусов, так и алгоритмы сигнатурного поиска, использующиеся в программах для восстановления данных, считывают информацию с поверхности диска в надежде встретить знакомые участки данных. Заголовки многих типов файлов содержат характерные последовательности символов. К примеру, файлы в формате JPEG содержат последовательность символов “JFIF”, архивы ZIP начинаются с символов “PK”, а документы PDF начинаются с символов “%PDF-“.

Некоторые файлы (к примеру, текстовые и HTML-файлы) не обладают характерными сигнатурами, но могут быть определены по косвенным признакам, т.к. содержат только символы из таблицы ASCII.

Файл Начинается с сигнатуры
avi 5249
bmp 424D
tif 4949
doc D0CF
docx 504B
jpeg FFD8
png 8950

По результатам сканирования выдается, чаще всего, список файлов, отсортированных по типу. Информация о расположении файлов не восстанавливается.

Данный тип восстановления хорошо применять для восстановления фотографий с карт памяти, так как данные на карте однотипные и записываются, в общем случае, строго последовательно, без фрагментации.

Смешанное восстановлениеПравить

Большинство программ позволяют применить одновременно несколько способов восстановления за одно сканирование. В результате выдается максимально возможный результат при использовании данной программы.

Восстановление из резервных копий

Самый надежный, простой и дешевый способ восстановления информации - восстановление информации из ранее сделанных резервных копий. Для создания резервных копий используется специализированное ПО, которое в том числе может выполнять восстановление данных.

Программно-аппаратный способПравить

Программно-аппаратный способ требуется при физическом повреждении накопителя. Здесь необходимо заострить внимание на типе накопителя: гибкий ли это магнитный диск (НГМД), жёсткий магнитный диск (НЖМД), флеш (накопитель NAND-Flash) или CD/DVD/BD. Рассмотрим основные типы носителей и их неисправности.

Накопитель на гибком магнитном диске (НГМД)Править

Основной неисправностью является так называемое «размагничивание».

Встречается чаще всего при прохождении магнитных детекторов в магазинах, метро, аэропортах. Восстановить данные удаётся только с не размагниченных областей накопителя. Также встречаются неисправности, связанные с физическим повреждением носителя, такими как царапины, сильное загрязнение. Каждый случай необходимо рассматривать индивидуально и только после этого прогнозировать результат восстановления информации.

Накопители CD/DVD/BRПравить

Оптические накопители могут иметь разные причины невозможности чтения данных:

  1. Механические
    • повреждение прозрачного слоя
    • повреждение отражающего слоя
  2. Химические
    • разложение прозрачного слоя
    • разложение регистрируемого слоя (у записываемых дисков)
    • коррозия отражающего слоя
  3. Нарушение организации данных
    • вследствие аппаратно-программных ошибок при записи данных
    • вследствие неправильных данных

Самыми частыми причинами нечитаемости дисков являются повреждение отражающего и прозрачного слоя, а также разложение регистрируемого слоя у записываемых дисков. В случае образования царапин на поверхности компакт-диска, возможно применить полирование рабочей поверхности, что приведёт к удалению нежелательных повреждений и улучшит чтение данных, однако при образовании трещин, использовать данный метод опасно, так как при последующем чтении диск может разрушиться в дисководе под действием центробежной силы. Повреждение фольгированного покрытия диска (старение металла, царапины) больше всего осложняет восстановление данных.

NAND-FlashПравить

К данному типу накопителей можно отнести USB Flash, SSD-диски, карты памяти SD, miniSD, microSD, xD, MS, M2, Compact Flash.

Самые распространенные технические неисправности[9] :

  • Логические неисправности
Накопитель не имеет видимых физических повреждений и опознается в системе. Проблема возникает при попытке доступа или записи/считывания данных.
Возникают данные неисправности в самых различных случаях. Одна из самых распространенных причин — неправильное извлечение устройства из компьютера.
В случае логических неисправностей восстановить данные возможно с помощью программ для восстановления данных.
  • Механические повреждения
Диск прекратил корректную работу в результате какого-либо физического воздействия (падения, попадания влаги, изгиба, сжатия и т. д.). Причина неисправности, чаще всего, в поломке платы или разрушении контактов и компонентов.
Восстановить данные можно, если исправить поломку: заменить неисправный компонент или восстановить нарушенный контакт. Также можно считать данные напрямую с чипа памяти, используя специальное оборудование.
  • Электрические повреждения
Причина электрических повреждений заключается в статическом ударе либо в проблеме с питанием. В результате могут сгореть стабилизаторы питания, диоды, контроллеры.
Восстановление данных производится как и в предыдущем случае: заменой компонентов либо чтением с чипов памяти напрямую.

Накопитель на жёстком магнитном диске (НЖМД)Править

На сегодняшний день эти накопители считаются самыми ёмкими и достаточно быстрыми, но очень уязвимыми для электрических и механических воздействий. При превышении напряжения питания, либо нестабильном напряжении может возникнуть тепловой пробой платы контроллера, а также пробой коммутатора-предусилителя внутри гермоблока. В первом случае выходит из строя плата контроллера жёсткого диска и процедура восстановления данных заканчивается на её замене с переносом адаптивных параметров неисправного накопителя на новую плату. Однако встречаются случаи, когда в результате пробоя выходит из строя электроника гермоблока, в этом случае необходима замена БМГ (блока магнитных головок)[10], что по сути своей является трудоёмкой и дорогостоящей процедурой.

При механических повреждениях, таких как падение, удар, деформация, вмешательство специалиста в гермоблок необходимо, так как для выяснения возможности восстановления данных необходимо проанализировать состояние магнитных дисков. В случае возникновения концентрических, радиальных царапин или ссадин на поверхности пластин, вероятность восстановления данных уменьшается, так как для успешного считывания данных необходима идеально гладкая и ровная поверхность магнитных дисков. Также встречаются неисправности, связанные с заклиниванием шпинделя бесколлекторного электродвигателя. В этом случае специалисты прибегают к трансплантации всего пакета магнитных дисков на исправный ШД (шпиндельный двигатель), после чего осуществляется его калибровка и настройка БМГ.

Достаточно часто встречается неисправность, связанная с разрушением так называемой служебной информации накопителя. Некоторые части (далеко не все) служебной информации могут быть взяты от аналогичных накопителей и записаны в неисправный при помощи специального оборудования, которым, как правило, располагают сервисные центры, занимающиеся восстановлением данных на профессиональном уровне. Как показывает практика, попытки неквалифицированного вмешательства в структуру служебной информации накопителя, как ни прискорбно, влекут за собой окончательную и безвозвратную потерю данных.

В случае разрушения магнитного диска восстановление данных невозможно в принципе.

Интересные фактыПравить

  • С одного из жёстких дисков на борту потерпевшего крушение шаттла «Колумбия», использовавшихся для фиксации информации о проводившихся в полёте научных экспериментах, и значительно повреждённого в результате катастрофы, впоследствии удалось восстановить 90 % информации, что сделало возможным окончание 20-летнего научного исследования. Восстановление информации заняло около 5 лет[11].

ПримечанияПравить

  1. F. Cohen, C. Preston. A Method for Recovering Data From Failing Floppy Disk Drives
  2. K.Bradley. Risks Associated with the Use of Recordable CDs and DVDs as Reliable Storage Media in Archival Collections — Strategies and Alternatives
  3. Как продлить срок службы накопителей на флэш-памяти. R.LAB (10 ноября 2006).
  4. Восстановление данных с жесткого диска. Hdd-Info, 2013
  5. Storelab. Почему жесткий диск выходит из строя
  6. Уничтожение и восстановление данных.
  7. Простое восстановление данных. R.LAB (11 января 2011).
  8. Как работают алгоритмы сигнатурного поиска в программах восстановления данных. HABR (14 января 2013). Архивировано 21 марта 2013 года.
  9. Как продлить срок службы накопителей на флэш-памяти. R.LAB (10 ноября 2006).
  10. Статья "Восстановление данных с заменой блока магнитных головок (БМГ)" (недоступная ссылка). Дата обращения: 24 октября 2011. Архивировано 16 мая 2012 года.
  11. Расшифрован диск с разбившегося шаттла Columbia (недоступная ссылка). РосБизнесКонсалтинг (10 мая 2008). Архивировано 28 октября 2011 года.