Чому видалені файли можливо відновити?

Безліч різноманітних програм з відновлення даних пропонують відновити видалені файли буквально в декілька кліків. Як вони працюють, а головне – чому? У даній статті ми спробували дати відповідь на це питання.

Чому видалені файли можливо відновити

Як Windows зберігає файли

Для того щоб зрозуміти, чому можливе відновлення файлів, необхідно спочатку зрозуміти, яким чином ці файли зберігаються на диску і яким саме чином Windows обробляє процедуру видалення файлів.

Файли зберігаються у вигляді блоків інформації, записаних на секторах жорсткого диска. Сектори можуть розташовуватися як послідовно, один за іншим, так і бути хаотично розкиданими по всій поверхні диска. Розташування секторів залежить від того, які саме блоки були вільні в момент збереження файлу на диск. Якщо система не виявила на диску безперервного вільного блоку секторів достатнього розміру, то для того щоб зберегти файл у вигляді безперервної послідовності даних, система буде фрагментувати файл, записуючи його окремі частини у вільні блоки.

Для того щоб орієнтуватися в записаних даних, Windows створює запис в файловій системі із зазначенням того, які саме сектори на диску займає вміст конкретного файлу.

Як Windows видаляє файли

В момент коли користувач видаляє файл, Windows не стирає і не перезаписує вміст секторів на диску. Вміст запису про файл в файловій системі також не видаляється, а піддається модифікації: система позначає запис як приналежний видаленому файлу. Відповідно, всі сектори на диску, що належать даному файлу, виявляються вільними – тепер Windows може зберегти в цей простір якийсь інший файл. Але поки цього не сталося, можна спробувати відновити вміст видаленого файлу. Для цього потрібен спеціальний інструмент – продукт для відновлення інформації.

Алгоритм відновлення файлів

Нарешті, ми підібралися до суті питання. Програми з відновлення видалених файлів сканують файлову систему в пошуку записів, позначених як вилучені. Проаналізувавши такі записи, стає можливим дізнатися точні адреси секторів на диску, в які було записано вміст оригінального файлу. Після швидкої додаткової перевірки – чи не належать ці сектора якомусь іншому файлу – програма зчитає дані з потрібних секторів і збереже їх у новому файлі. Задачу вирішено!

Що відбувається якщо в файловій системі не залишилось запису, який вказує на видалений файл? У цьому випадку найпростіші інструменти не спрацьовують. Потрібно інший підхід – «сигнатурний пошук для відновлення даних». Суть алгоритму зводиться до пошуку комбінації певних байтів на диску, які позначають початок чи закінчення файлів. Наприклад, файли *.avi, *.docx, *.pdf, *.ppt, *.pst, *.zip починаються з байт «52 49 46 46», «50 4B 03 04», «25 50 44 46» , «D0 CF 11 E0», «21 42 44 4E», «50 4B 03 04» відповідно.

Відновлення даних з SSD-дисків

Технологія зберігання інформації SSD-дисків передбачає роботу алгоритмів TRIM і фонового процесу збирання сміття. Ці алгоритми ефективно знищують вміст видалених файлів на фізичному (електронному) рівні, не дозволяючи відновити вміст навіть недавно видалених файлів. Чому так відбувається – читайте в статті про SSD-диски.

Author: Michael Miroshnichenko

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 5.00 out of 5)