Відновлення даних
Відно́влення да́них (англ. Data recovery) — процес порятунку або відновлення доступу до даних, що зберігаються на будь-якому носії пристрою запам'ятовування, коли вони не можуть бути доступні у звичайному режимі.
Опис[ред. | ред. код]
У професійних лабораторіях фахівці часто здатні відновити дані, втрачені у найважчих випадках, таких як пожежа або повінь. Для відновлення даних потрібні знання електроніки, робототехніки та автоматизації, фізики, програмування і різноманітних методів зберігання даних: систем баз даних, файлових систем та криптології.
Відновлення даних включає:
- Відновлення пошкоджених чи видалених файлів та каталогів.
- Реконструкцію пошкоджених файлових систем після пошкодження або форматування.
- Відновлення інформації за сигнатурами.
Термін «відновлення даних» також використовується в контексті судово-медичних програм або розвідки, коли відновлюється дані, які були не пошкоджені, а зашифровані або приховані.
Способи відновлення[ред. | ред. код]
В даний час існує два основних способи відновлення даних. Спосіб вибирається залежно від виниклої несправності накопичувача. Програмно-апаратний метод застосовують в тих випадках. коли програмний спосіб не дасть результату.
Програмний спосіб[ред. | ред. код]
Програмний спосіб — це відновлення даних без фізичного втручання в пристрій накопичувача, а також у функціонування прошивки й структуру модулів службової інформації. Даний спосіб застосовується у випадках, коли збережена працездатність самого накопичувача, але з тієї чи іншої причини доступ до даних, що зберігаються на ньому, втрачений.
Причиною цього може стати форматування логічних дисків, невдала зміна логічної геометрії накопичувача, видалення інформації, часткове, або повне руйнування файлової системи, як інформації про структуру розміщення даних на накопичувачі. Найчастіше в перерахованих випадках вдається відновити більшу частину даних, проте трапляються випадки, коли відновлення втрачених даних неможливо (окремим випадком можна вважати перезапис даних). Для автоматизації процесу відновлення написано безліч програм, в тому числі й безкоштовних.
Відновлення структури файлової системи[ред. | ред. код]
У разі форматування логічного диска або розділу, структура та атрибути даних не порушуються, але змінюється або інвентаризується (наводиться в початковий стан) інформація про розташування даних на даному накопичувачі. При швидкому форматуванні оновлюється мала частина файлової таблиці, частина службових записів залишається, необхідно лише інтерпретувати її та прочитати дані в потрібному порядку.
Повне форматування може оновити всю файлову таблицю, тому відновлення структури файлів і тек не завжди можливо. Для відновлення даних без інформації про структуру можна використовувати відновлення файлів по сигнатурам.
Якщо сталося пошкодження файлової системи в результаті програмного збою або несправності носія, програми для відновлення даних можуть відновити частину інформації, що залежить від обсягу пошкоджень.
Відновлення видалених даних файлової системи[ред. | ред. код]
При видаленні даних, насправді, дані фізично залишаються на накопичувачі, проте в файловій системі більше не показуються, а місце на носії, де вони розташовуються, позначається як вільний і готове до запису нової інформації. У цьому випадку атрибути файлів змінюються. У разі запису в даний розділ або логічний диск може статися часткове або повне заміщення даних, помічених, як віддалені.
Подібні файли можна легко прочитати та відновити з усіма атрибутами та інформацією про розташування, прочитавши службові записи файлової системи. Існують як програми тільки для відновлення видалених даних, так і комплексні рішення, де відновлення видалених даних — лише одна з функцій.
Також існують спеціальні програми — «шредери», призначені для знищення даних. Після правильного використання таких програм відновлення неможливо.
Відновлення за сигнатурами[ред. | ред. код]
У разі, коли реконструкція файлової системи неможлива в силу будь-яких причин, деякі файли все ще можна відновити, використовуючи відновлення по сигнатурах. При даному типі відновлення відбувається по секторне сканування накопичувача на предмет наявності відомих сигнатур файлів.
Основний принцип роботи алгоритмів сигнатурного пошуку такий же, як у найперших антивірусів. Як антивірус сканує файл в пошуках ділянок даних, які збігаються з відомими фрагментами коду вірусів, так і алгоритми сигнатурного пошуку, що використовуються в програмах для відновлення даних, зчитують інформацію з поверхні диска в надії зустріти знайомі ділянки даних. Заголовки багатьох типів файлів містять характерні послідовності символів. Наприклад, файли у форматі JPEG містять послідовність символів «JFIF», архіви ZIP починаються з символів «PK», а документи PDF починаються з символів «% PDF-».
Деякі файли (наприклад, текстові та HTML файли) не володіють характерними сигнатурами, але можуть бути визначені за непрямими ознаками, тому що містять тільки символи з таблиці ASCII.
| Файл | Починається з сигнатури |
|---|---|
| avi | 5249 |
| bmp | 424D |
| tif | 4949 |
| doc | D0CF |
| docx | 504B |
| jpeg | FFD8 |
| png | 8950 |
За результатами сканування видається, найчастіше, список файлів, відсортованих за типом. Інформація про розташування файлів не відновлюється.
Даний тип відновлення добре застосовувати для відновлення фотографій з карт пам'яті, бо дані на карті однотипні та записуються, в загальному випадку, суворо послідовно, без фрагментації.
Змішане відновлення[ред. | ред. код]
Більшість програм дозволяють застосувати одночасно кілька способів відновлення за одне сканування. В результаті видається максимально можливий результат при використанні даної програми.
Відновлення з резервних копій
Найнадійніший, простий і дешевий спосіб відновлення інформації — відновлення інформації з раніше зроблених резервних копій. Для створення резервних копій використовується спеціалізоване ПО, яке в тому числі може виконувати відновлення даних.
Програмно-апаратний спосіб[ред. | ред. код]
Програмно-апаратний спосіб потрібно при фізичному пошкодженні накопичувача. Тут необхідно загострити увагу на типі накопичувача: гнучкий це магнітний диск (НГМД), жорсткий магнітний диск (НЖМД), флеш (накопичувач NAND-Flash) або CD / DVD / BD. Розглянемо основні типи носіїв і їх несправності.
Накопичувач на гнучкому магнітному диску (НГМД)[ред. | ред. код]
Основною несправністю є так зване «розмагнічування».
Зустрічається найчастіше при проходженні магнітних детекторів в магазинах, метро, аеропортах. Відновити дані вдається тільки з не розмагніченого областей накопичувача. Так само зустрічаються несправності, пов'язані з фізичним ушкодженням носія, такими як подряпини, сильне забруднення. Кожен випадок необхідно розглядати індивідуально і тільки після цього прогнозувати результат відновлення інформації.
Відновлення видалених даних[ред. | ред. код]
При видаленні даних вони фізично залишаються на накопичувачі, проте в файловій системі більш не показуються, а місце на носії, де вони розташовуються, позначається як вільне і готове до запису нової інформації. У випадку запису в даний розділ або логічний диск може статися часткове або повне заміщення даних, помічених як вилучені.
Подібні файли можна прочитати і відновити з усіма атрибутами та інформацією про розташування, прочитавши службові записи файлової системи. Існують як програми тільки для відновлення видалених даних, так і комплексні рішення, де відновлення видалених даних — лише одна з функцій.
Див. також[ред. | ред. код]
Джерела[ред. | ред. код]
- Принципи Відновлення Даних [Архівовано 9 січня 2016 у Wayback Machine.](рос.)
- Проблеми і технології відновлення доступу до інформації, що зберігається на НЖМД [Архівовано 7 лютого 2016 у Wayback Machine.](рос.)
- Відновлюємо пошкоджені файли професійною програмою Data LifeSaver [Архівовано 7 березня 2016 у Wayback Machine.](рос.)