Отмена удаления

Функция восстановления файлов компьютера

Восстановление — это функция восстановления файлов на компьютере , которые были удалены из файловой системы путем удаления файлов . Удаленные данные можно восстановить во многих файловых системах, но не все файловые системы предоставляют функцию восстановления. Восстановление данных без возможности восстановления обычно называется восстановлением данных , а не восстановлением. Восстановление может как помочь предотвратить случайную потерю данных пользователями , так и может представлять угрозу безопасности компьютера , поскольку пользователи могут не знать, что удаленные файлы остаются доступными.

Поддерживать

Не все файловые системы или операционные системы поддерживают восстановление. Восстановление возможно во всех файловых системах FAT , с утилитами восстановления, предоставленными начиная с MS-DOS 5.0 ^[1]^[2] и DR DOS 6.0 в 1991 году. Оно не поддерживается большинством современных файловых систем UNIX , хотя AdvFS является заметным исключением. Файловая система ext2 имеет дополнительную программу под названием e2undel ^[3] , которая позволяет восстанавливать файлы. Похожая файловая система ext3 официально не поддерживает восстановление, но такие утилиты, как ext4magic, ^[4] extundelete, ^[5] PhotoRec и ext3grep ^[6], были написаны для автоматизации восстановления на томах ext3 . ^[7] Undelete была предложена в ext4 , но пока не реализована. ^[8] Однако функция корзины была опубликована в качестве патча 4 декабря 2006 года. ^[9] Функция корзины использует атрибуты восстановления в файловых системах ext2/3/4 и Reiser. ^[10]

Инструменты командной строки

Утилиты Нортона

Norton UNERASE был важным компонентом Norton Utilities версии 1.0 в 1982 году.

MS-DOS

Microsoft включила похожую программу UNDELETE в версии MS-DOS 5.0–6.22 , но вместо этого применила подход Recycle Bin в более поздних операционных системах, использующих FAT.

Д-Р ДОС

DR DOS 6.0 и выше также поддерживают UNDELETE, но опционально предлагают дополнительную защиту с использованием утилиты снимков FAT DISKMAP и резидентного компонента отслеживания удаления DELWATCH, который активно поддерживает отметки даты и времени удаленных файлов и предотвращает перезапись содержимого удаленных файлов, если только не заканчивается место на диске. DELWATCH также поддерживает восстановление удаленных файлов на файловых серверах. Начиная с Novell DOS 7, ядро будет сохранять первую букву удаленных файлов в записях каталога, чтобы дополнительно помочь инструментам восстановления восстановить исходное имя.

PTS-ДОС

PTS-DOS предлагает ту же функцию, настраиваемую с помощью директивы SAVENAME CONFIG.SYS .

FreeDOS

Версия UNDELETE для FreeDOS была разработана Эриком Ауэром и распространяется по лицензии GPL . ^[11]

Графические программы

Графические пользовательские среды часто используют другой подход к восстановлению, вместо этого используя «область хранения» для файлов, которые должны быть удалены. Нежелательные файлы перемещаются в эту область хранения, и все файлы в области хранения удаляются периодически или по запросу пользователя. Этот подход используется корзиной в операционных системах Macintosh и корзиной в Microsoft Windows . Это естественное продолжение подхода, принятого в более ранних системах, таких как группа limbo, используемая LocoScript . ^[12] Этот подход не подвержен риску того, что другие файлы, записываемые в файловую систему, очень быстро нарушат удаленный файл; постоянное удаление будет происходить по предсказуемому графику или только с ручным вмешательством.

Другой подход предлагается такими программами, как Norton GoBack (ранее Roxio GoBack ): часть пространства на жестком диске отводится для операций по изменению файлов, которые записываются таким образом, чтобы их можно было впоследствии отменить. Этот процесс обычно намного безопаснее для восстановления удаленных файлов, чем операция по восстановлению, описанная ниже.

Аналогичным образом файловые системы, поддерживающие «моментальные снимки» (например, ZFS или btrfs ), можно использовать для создания моментальных снимков всей файловой системы через регулярные промежутки времени (например, каждый час), что позволяет восстанавливать файлы из более раннего моментального снимка.

Ограничения

Восстановление не является отказоустойчивым. В общем, чем раньше будет предпринята попытка восстановления, тем больше вероятность того, что она будет успешной. Это связано с тем, что чем больше используется система, тем больше данных записывается на диск и потенциально выделяется в это удаленное пространство. Фрагментация удаленного файла также может снизить вероятность восстановления в зависимости от типа файловой системы (см. ниже). Фрагментированный файл разбросан по разным частям диска, а не находится в непрерывной области.

Механика

Работа функции восстановления зависит от файловой системы, в которой был сохранен удаленный файл. Некоторые файловые системы, такие как HFS , не могут обеспечить функцию восстановления, поскольку не сохраняется никакой информации об удаленном файле (за исключением дополнительного программного обеспечения, которое обычно отсутствует). Однако некоторые файловые системы не стирают все следы удаленного файла, включая файловые системы FAT:

Файловые системы FAT

Когда файл «удаляется» с использованием файловой системы FAT , запись каталога остается практически неизменной, за исключением первого символа имени файла, сохраняя большую часть имени «удаленного» файла, а также его временную метку, длину файла и — что самое важное — его физическое местоположение на диске. Список кластеров диска, занятых файлом, однако, будет стерт из Таблицы размещения файлов , отмечая те сектора, которые доступны для использования другими файлами, созданными или измененными впоследствии. В случае FAT32 дополнительно стирается поле, отвечающее за верхние 16 бит значения начального кластера файла.

При попытке восстановления файла должны быть соблюдены следующие условия для успешного восстановления файла:

Запись удаленного файла должна все еще существовать в каталоге, то есть она еще не должна быть перезаписана новым файлом (или папкой), созданным в том же каталоге. Так ли это, можно довольно легко определить, проверив, присутствует ли в каталоге оставшееся имя файла, который нужно восстановить.
Кластеры, которые ранее использовались удаленным файлом, не должны быть перезаписаны другими файлами. Это можно довольно легко проверить, проверив, что кластеры не помечены как используемые в Таблице размещения файлов . Однако, если в это время на диск был записан новый файл, использующий эти сектора, а затем снова удален, снова освободив эти сектора, это не может быть автоматически обнаружено программой восстановления. В этом случае операция восстановления, даже если кажется успешной, может потерпеть неудачу, поскольку восстановленный файл содержит другие данные.
Для устройств FAT32 нижние 16 бит физического адреса обычно сохраняются в записи каталога, но верхние биты адреса обнуляются. Многие программы восстановления игнорируют этот факт и не могут правильно восстановить данные.

Вероятность восстановления удаленных файлов часто выше на томах FAT12 и FAT16 по сравнению с томами FAT32 из-за обычно больших размеров кластеров, используемых в первых системах, и из-за потери старших 16 бит логического адреса кластера для FAT32.

Если программа восстановления не может обнаружить явных признаков несоблюдения вышеуказанных требований, она восстановит запись каталога как используемую и отметит все последовательные кластеры, начиная с того, который был записан в старой записи каталога, как используемый в Таблице размещения файлов . Затем пользователь должен открыть восстановленный файл и убедиться, что он содержит полные данные ранее удаленного файла.

Восстановление фрагментированных файлов (после первого фрагмента) обычно невозможно автоматическими процессами, только путем ручного изучения каждого (неиспользуемого) блока диска. Это требует детального знания файловой системы, а также двоичного формата типа восстанавливаемого файла, и поэтому выполняется только специалистами по восстановлению или экспертами по криминалистике.

Файловые системы NTFS

NTFS хранит информацию о файлах в виде набора записей фиксированного размера (обычно 1 КБ) в так называемой Главной таблице файлов (MFT). Имя файла и информация о размещении файла инкапсулируются в эти записи, предоставляя полную информацию о каждом конкретном файле. Когда система удаляет файл, запись в Главной таблице файлов освобождается для того, чтобы ее можно было либо отсоединить, либо использовать повторно, но она все еще остается на диске. Пока запись MFT не будет повторно использована или перезаписана, файл можно легко восстановить: программное обеспечение для восстановления данных может найти «потерянную» запись MFT и извлечь из нее полную информацию об утраченном файле.

Однако обратите внимание, что при включении функции SSD TRIM содержимое файла может быть уничтожено вскоре после удаления для повторного использования ячеек памяти SSD. Это делает восстановление содержимого файла невозможным (на диске останется только информация об имени, дате и размере файла).

Профилактика

Удаление данных — это термин, обозначающий программные методы предотвращения восстановления файлов.

Смотрите также

Ссылки

^ "Когда не следует использовать команды MS-DOS 5.0 CHKDSK и UNDELETE". Support.microsoft.com. 2006-11-16. Архивировано из оригинала 2012-02-02 . Получено 2012-01-09 .
^ "Использование общего файла UNDELETE.INI с функцией Undelete". Support.microsoft.com. 1999-11-16. Архивировано из оригинала 2009-08-26 . Получено 2012-01-09 .
^ "домашняя страница e2undel". e2undel.sourceforge.net . Получено 2020-07-02 .
^ "Ext4magic". ext4magic.sourceforge.net . Получено 2020-07-02 .
^ "extundelete: Утилита восстановления файлов ext3 и ext4". extundelete.sourceforge.net . Получено 2020-07-02 .
^ "Архив Google Code — долгосрочное хранилище для хостинга проектов Google Code". code.google.com . Получено 2020-07-02 .
^ Карло Вуд (2008-02-07). "КАК восстановить удаленные файлы в файловой системе ext3". Xs4all.nl. Архивировано из оригинала 2010-09-19 . Получено 2012-01-09 .
↑ Новые функции ext4 Архивировано 18 декабря 2008 г. на Wayback Machine
^ "Secure Deletion and Trash-Bin Support for Ext4". Статья.gmane.org. Архивировано из оригинала 2008-07-09 . Получено 2012-01-09 .
^ "Gmane Loom". Thread.gmane.org. Архивировано из оригинала 2016-01-11 . Получено 2012-01-09 .
^ "Пакет обновлений FreeDOS 1.2 - Отмена удаления (FreeDOS Base)". Ibiblio.org. 2009-04-05 . Получено 2022-09-04 .
^ "Langford in PCW TODAY column #6". Ansible.co.uk. Архивировано из оригинала 2012-02-14 . Получено 2012-01-09 .

Внешние ссылки

Восстановить Бесплатно
БесплатноОтменитьудаление
Медиа-следователь
win.tue.nl
Проблема с высокими битами указателя кластера FAT32

[1] "Когда не следует использовать команды MS-DOS 5.0 CHKDSK и UNDELETE". Support.microsoft.com. 2006-11-16. Архивировано из оригинала 2012-02-02 . Получено 2012-01-09 .

[2] "Использование общего файла UNDELETE.INI с функцией Undelete". Support.microsoft.com. 1999-11-16. Архивировано из оригинала 2009-08-26 . Получено 2012-01-09 .

[3] "домашняя страница e2undel". e2undel.sourceforge.net . Получено 2020-07-02 .

[4] "Ext4magic". ext4magic.sourceforge.net . Получено 2020-07-02 .

[5] "extundelete: Утилита восстановления файлов ext3 и ext4". extundelete.sourceforge.net . Получено 2020-07-02 .

[6] "Архив Google Code — долгосрочное хранилище для хостинга проектов Google Code". code.google.com . Получено 2020-07-02 .

[7] Карло Вуд (2008-02-07). "КАК восстановить удаленные файлы в файловой системе ext3". Xs4all.nl. Архивировано из оригинала 2010-09-19 . Получено 2012-01-09 .

[8] Новые функции ext4 Архивировано 18 декабря 2008 г. на Wayback Machine

[9] "Secure Deletion and Trash-Bin Support for Ext4". Статья.gmane.org. Архивировано из оригинала 2008-07-09 . Получено 2012-01-09 .

[10] "Gmane Loom". Thread.gmane.org. Архивировано из оригинала 2016-01-11 . Получено 2012-01-09 .

[11] "Пакет обновлений FreeDOS 1.2 - Отмена удаления (FreeDOS Base)". Ibiblio.org. 2009-04-05 . Получено 2022-09-04 .

[12] "Langford in PCW TODAY column #6". Ansible.co.uk. Архивировано из оригинала 2012-02-14 . Получено 2012-01-09 .