Чому видалені файли можливо відновити?
Безліч різноманітних програм з відновлення даних пропонують відновити видалені файли буквально в декілька кліків. Як вони працюють, а головне – чому? У даній статті ми спробували дати відповідь на це питання.
- Як Windows зберігає файли
- Як Windows видаляє файли
- Алгоритм відновлення файлів
- Відновлення даних з SSD-дисків
- Питання та відповіді
- Коментарі
Як Windows зберігає файли
Для того щоб зрозуміти, чому можливе відновлення файлів, необхідно спочатку зрозуміти, яким чином ці файли зберігаються на диску і яким саме чином Windows обробляє процедуру видалення файлів.
Файли зберігаються у вигляді блоків інформації, записаних на секторах жорсткого диска. Сектори можуть розташовуватися як послідовно, один за іншим, так і бути хаотично розкиданими по всій поверхні диска. Розташування секторів залежить від того, які саме блоки були вільні в момент збереження файлу на диск. Якщо система не виявила на диску безперервного вільного блоку секторів достатнього розміру, то для того щоб зберегти файл у вигляді безперервної послідовності даних, система буде фрагментувати файл, записуючи його окремі частини у вільні блоки.
Для того щоб орієнтуватися в записаних даних, Windows створює запис в файловій системі із зазначенням того, які саме сектори на диску займає вміст конкретного файлу.
Як Windows видаляє файли
В момент коли користувач видаляє файл, Windows не стирає і не перезаписує вміст секторів на диску. Вміст запису про файл в файловій системі також не видаляється, а піддається модифікації: система позначає запис як приналежний видаленому файлу. Відповідно, всі сектори на диску, що належать даному файлу, виявляються вільними – тепер Windows може зберегти в цей простір якийсь інший файл. Але поки цього не сталося, можна спробувати відновити вміст видаленого файлу. Для цього потрібен спеціальний інструмент – продукт для відновлення інформації.
Алгоритм відновлення файлів
Нарешті, ми підібралися до суті питання. Програми з відновлення видалених файлів сканують файлову систему в пошуку записів, позначених як вилучені. Проаналізувавши такі записи, стає можливим дізнатися точні адреси секторів на диску, в які було записано вміст оригінального файлу. Після швидкої додаткової перевірки – чи не належать ці сектора якомусь іншому файлу – програма зчитає дані з потрібних секторів і збереже їх у новому файлі. Задачу вирішено!
Що відбувається якщо в файловій системі не залишилось запису, який вказує на видалений файл? У цьому випадку найпростіші інструменти не спрацьовують. Потрібно інший підхід – «сигнатурний пошук для відновлення даних». Суть алгоритму зводиться до пошуку комбінації певних байтів на диску, які позначають початок чи закінчення файлів. Наприклад, файли *.avi, *.docx, *.pdf, *.ppt, *.pst, *.zip починаються з байт «52 49 46 46», «50 4B 03 04», «25 50 44 46» , «D0 CF 11 E0», «21 42 44 4E», «50 4B 03 04» відповідно.
Етап | Опис |
---|---|
1. Початкове сканування | Програма виконує низькорівневе сканування диска, аналізуючи кожен сектор для виявлення можливих сигнатур файлів. |
2. Пошук сигнатур | Сканер шукає унікальні послідовності байтів (сигнатури), які характеризують певні типи файлів (наприклад, PDF, JPEG, MP3). |
3. Ідентифікація типів файлів | На основі знайдених сигнатур програма визначає тип файлу та оцінює його розмір і структуру. |
4. Реконструкція файлів | Програма відновлює файли, поєднуючи знайдені дані в єдиний файл, який відповідає виявленій сигнатурі. |
5. Перевірка цілісності | Файли перевіряються на цілісність, щоб упевнитися, що вони не пошкоджені та можуть бути відкриті. |
6. Збереження відновлених даних | Відновлені файли зберігаються у вибране користувачем місце, зазвичай на інший носій, щоб уникнути перезапису. |
Відновлення даних з SSD-дисків
Технологія зберігання інформації SSD-дисків передбачає роботу алгоритмів TRIM і фонового процесу збирання сміття. Ці алгоритми ефективно знищують вміст видалених файлів на фізичному (електронному) рівні, не дозволяючи відновити вміст навіть недавно видалених файлів. Чому так відбувається – читайте в статті про SSD-диски.
1. Інструменти для відновлення даних такі як Recuva, Disk Drill, EaseUS Data Recovery Wizard та ін.
2. Файловий менеджер для пошуку файлів, які були видалені з корзини.
3. Команди керування файлами такі як COPY, XCOPY, ROBOCOPY тощо.
4. Резервні копії, які можна створити за допомогою різних інструментів резервного копіювання.
5. Використання сторонніх служб, таких як Google Drive, Dropbox, OneDrive, iCloud тощо.