Велика кількість різноманітних програм для відновлення даних пропонують відновити видалені файли буквально за декілька кліків мишкою. Як вони працюють, а головне – чому?
Як Windows зберігає файли
Для того, щоб зрозуміти, чому відновлення файлів можливе, необхідно спершу зрозуміти, яким чином ці файли зберігаються на диску і яким чином Windows виконує процедуру видалення файлів.
Файли зберігаються у вигляді блоків інформації, що записані на секторах жорсткого диску. Ці сектори можуть розташовуватися як послідовно, один за одним, так і бути хаотично розкиданими по всій поверхні диска. Розташування секторів залежить від того, які саме блоки були вільними в момент збереження файлу на диск. Якщо система не знайшла на диску неперервного вільного блока секторів достатнього розміру для того, щоб зберегти файл у вигляді неперервної послідовності даних, система буде фрагментувати файл, записуючи його окремі частини у вільні блоки.
Для того, щоб орієнтуватися в записаній інформації, Windows створює запис у файловій системі з указанням того, які саме сектори на диску займає вміст конкретного файлу.
Як Windows видаляє файли
В момент, коли користувач видаляє файл, Windows не стирає і не перезаписує вміст секторів на диску. Вміст запису про файл також не видаляється, але підлягає модифікації: система помічає запис, як той, що належить видаленому файлу. Відповідно, всі сектори на диску, що належать даному файлу, стають вільними – тепер Windows може зберегти сюди якийсь інший файл. Але поки цього не сталося, можна спробувати відновити вміст видаленого файлу. Для цього потрібен спеціальний інструмент – програма для відновлення інформації.
Алгоритм відновлення файлів
Нарешті, ми підібралися до суті питання. Інструменти для відновлення видалених файлів сканують файлову систему в пошуку записів, помічених як видалені. Після аналізу таких записів стає можливим взнати точні адреси секторів на диску, в які було записано вміст оригінального файлу. Після швидкої додаткової перевірки – чи не належать ці сектори якомусь іншому файлу – програма зчитає дані з потрібних секторів і збереже їх у новому файлі. Завдання виконано!
Що відбувається, якщо у файловій системі не залишилося запису, що вказує на видалений файл? У такому випадку найпростіші інструменти не спрацьовують. Треба використати інший підхід – «сигнатурний пошук для відновлення даних». Суть алгоритма зводиться до пошуку комбінації певних байтів на диску, що позначають початок або закінчення файлів. Приміром, файли *.avi, *.docx, *.pdf, *.ppt, *.pst, *.zip починаються з байтів «52 49 46 46», «50 4В 03 04», «25 50 44 46», «D0 CF 11 E0», «21 42 44 4E», «50 4B 03 04» відповідно.
Відновлення даних з SSD дисків
Технологія зберігання інформації SSD дисків використовує роботу алгоритмів TRIM і фонового процесу збирання сміття. Ці алгоритми ефективно знищують вміст видалених файлів на фізичному (електронному) рівні, на дозволяючи відновити вміст навіть недавно видалених файлів.
За матеріалом сайту supreme2.ru
Немає коментарів:
Дописати коментар