Відновлення видаленої інформації

1. Відновлення видалених файлів!
2. Іноді важливу інформацію видаляє сам користувач. Тільки очистивши кошик ви згадуєте, що саме там лежав...
3. Так само пропонуємо послуги з копіювання і перезапису пошкоджених дисків !!!
4. ЦІНА ВІДНОВЛЕННЯ - від 75 грн до 200 грн.

Відновлення видаленої інформації.

Операційні системи стають все більш досконалими, а відповідно, і складними. Ускладнюються і структури розділів, на які розбиті диски. Це призводить і до ускладнення способів відновлення інформації. Ми розглянемо різні програми, які можуть стати в нагоді, щоб відновити випадково видалені файли.

У більшості випадків, файли видалені з жорсткого диска знаходяться на ньому, поки поверх них не буде записана інша інформація, тому якщо ви спохватилися, згадавши, що видалили що-небудь важливе, по-перше, нічого не записуйте на диск. Чим довше ви працюєте з диском після видалення файлу, тим менше щось відновити.

Файли, які не стираються в кошик (за допомогою "shift + delete") не витирати з диска. Система просто витирає першу букву в імені файлу і ігнорує його поки на його місце не буде щось записано.

Програми для відновлення інформації в таких самих простих випадках є майже в будь-якому наборі системних утиліт, наприклад в SystemWorks 2005 від Symantec. Можна скористатися і безкоштовною пробною версією програми EasyRecovery Lite 6, яка підкаже, які файли ще можна відновити. Можна скористатися і повністю безкоштовною програмою, наприклад, Restoration.

Слід звернути увагу ще й на те, чи підтримує обрана вами програма файлову систему, з якої працює ваша операційна система. Щоб дізнатися, яка файлова система використовується на вашому жорсткому диску, зайдіть в "Мій комп'ютер" і відкрийте правою кнопкою миші контекстне меню потрібного диска, вибравши "Властивості", подивіться на параметр "Файлова система".

При форматуванні жорсткого диска створюється спеціальна таблиця розташування файлів (File Allocation Table - FAT в FAT32 або Master File Table - MFT в NTFS). У разі її пошкодження або повного знищення система ніяк не зможе знайти інформацію на диску.

Програми відновлення можуть відтворити таблиці FAT або MFT з їх архівних копій. Якщо ж копії теж пошкоджені, хороша утиліта все ж може спробувати відновити втрачені дані.

Наприклад, програма EasyRecovery ісчет файли 90 найпоширеніших типів і може їх відновити.
Безкоштовна версія EasyRecovery Lite обмежує користувача 25 відновленими файлами за один сеанс роботи, але запускати її можна скільки завгодно раз.

Нижче ми наводимо список безкоштовних утиліт для відновлення інформації:

PC Inspector File Recovery v4.x - відновлює файли навіть при пошкодженні FAT.

Restoration v2.5.14 - ця програма може використовуватися в двох випадках - для відновлення видалених файлів або для безповоротного їх видалення.

VirtualLab Data Recovery Software v4.8.8 - відновлення втрачених даних практично у всіх можливих випадках.

Джерело: winlab.ru

відновити дані легше, ніж видалити їх назавжди

Якщо у вашому розпорядженні тільки ті кошти, які входять в Windows, то стертий файл, видалений з сміттєвого кошика Recycle Bin, здається зниклим назавжди. Насправді це не так.

За допомогою спеціальних апаратних і програмних засобів можна відновити практично будь-який файл, навіть якщо поверх нього записані інші дані, диск переформатований, завантажувальний сектор засмічений, а контролер диска перестав функціонувати. Це дуже зручно, коли ви хочете відновити надзвичайно важливий файл, але нікуди не годиться, якщо не бажано, щоб ваші особисті дані прочитали сторонні. Правильне рішення залежить від того, скільки часу і грошей ви готові витратити.

Щоб зрозуміти, як відновлюються видалені дані, треба спочатку з'ясувати, як вони зберігаються. Накопичувач на жорсткому магнітному диску (НЖМД) складається з пакета дискових пластин. Зберігаються на пластинах дані розташовуються по концентричних колах, званим доріжками. Для доступу до різних частин жорсткого диска головки читання-запису переміщуються по поверхні пластин. Так як до даних можливий безпосередній доступ всюди на жорсткому диску, то файли або їх фрагменти можуть зберігатися на його поверхні в будь-якому місці. Поміщати їх у послідовному порядку зовсім не обов'язково.

Дані на жорстких дисках зберігаються групами (кластерами). Розміри кластерів варіюються в залежності від операційної системи і розмірів логічного тому. Якщо розмір кластера жорсткого диска становить 4 Кбайт, то навіть 1-Кбайт файл буде займати 4 Кбайт. Великі файли можуть займати сотні або тисячі кластерів, розкиданих по всьому диску. Всі ці окремі порції даних відслідковуються і управляються що входить до складу операційної системи файлової системою.

В даний час існує три види файлових систем, використовуваних ОС Microsoft Windows. Перша - таблиця розміщення файлів FAT (File Аllocation Тable) - була введена в системі DOS. Разом з Windows 95 з'явилася система FAT32, а випуск ОС Windows NT 4.0 супроводжувався появою файлової системи нової технології NTFS (New Тechnology File System). Всі три системи побудовані за одним і тим же принципом. Є каталог, де перераховані файли на диску і міститься покажчик початкового кластера, який фіксує початок файлу. Запис в FAT про початковому кластері містить покажчик наступного кластера і т. Д., Поки не буде досягнутий маркер кінця файлу.

Файл все ще тут

Коли ви за допомогою звичайної операції Windows видаляєте файл, він насправді не стирається. Якщо ви видаляєте його в системі каталогів Windows Explorer, то він виявляється в кошику. Але навіть якщо ви очищаєте кошик або дієте в обхід її, файл просто ігнорується. Перша літера імені файлу змінюється на спеціальний символ, а кластери, де містяться ці дані, позначаються як вільні, але дані все ще там. Коли ви наступного разу зберігаєте який-небудь файл, ці кластери можуть використовуватися для зберігання нових даних, які записуються поверх старих. Однак до цього моменту попередні дані залишаються абсолютно неушкодженими. Ви можете їх відновити за допомогою утиліти, яка діє в обхід ОС і безпосередньо зчитує записане на жорсткому диску. У нашому недавньому огляді засобів відновлення даних ми розглянули чотири такі утиліти. Утиліта EasyRecovery Lite 6.0 компанії Kroll Ontrack (ontrack.com) удостоєна відзнаки «Редакція радить».

Якщо ви хочете відновити випадково видалений надзвичайно важливий файл, потрібно постаратися нічого не записати поверх нього. Негайно припиніть роботу на своєму комп'ютері і нічого не записуйте на диск. Не треба навіть інсталювати програму відновлення, так як все записується на жорсткий диск може потрапити в кластери файлу, який ви хочете відновити. Якщо програма відновлення ще не інстальована, запустіть її з гнучкого диска.

Якщо дані перезаписані

Після того як поверх містяться в файлі даних записана інша інформація, отримати до них доступ за допомогою програмних засобів ви вже не зможете. Але це не означає, що ці дані невідновні. Існує два способи, які все ще дозволяють прочитати перезаписані дані на жорсткому диску.

При записи на диск одного біта інформації на головку читання-запису подається сигнал, досить потужний для запису цього біта, але не такий великий, щоб впливати на сусідні ділянки. Так як сигнал надто слабкий для насичення носія, то на абсолютну величину сигналу впливають дані, які раніше зберігалися на цьому місці. Коли біт 0 заміщається 1, інтенсивність сигналу слабкіше, ніж в разі, якби раніше зберігалася 1. За допомогою спеціальних апаратних засобів можна виявити точну інтенсивність сигналу. Віднявши справжню версію сигналу, можна отримати «тінь» колишніх даних. Цей процес можна повторювати до семи раз, і тому, щоб гарантувати усунення тіньових відображень, дані необхідно заміщати більш семи раз, причому кожен раз випадково вибраними даними.

У другому методі відновлення даних використовується та обставина, що головка читання-запису встановлюється при виконанні операції запису не в точності на одне і те ж місце. Це дає фахівцям можливість виявити попереднє стан у країв доріжки. Відповідні дані називають тіньовими. Повторна запис поверх даних поступово заміщає зміст цих крайових областей.

знищення даних

Приємно знати, що віддалені дані можна при необхідності відновити, але не в тих випадках, коли ви дійсно хочете, щоб вони пропали назавжди. У «Керівництві по національній програмі промислової безпеки» (National Security Program Operating Manual), яку називають також документом DOD 5220.22M (dss.mil/isec/nispom_0195.htm), докладно викладаються критерії Міністерства оборони США з очищення жорстких дисків. У цьому керівництві передбачається триразове заміщення даних: спочатку одиночним 8-біт символом, потім його доповненням (нулі заміняються на одиниці і навпаки) і, нарешті, випадковими символами. Однак цей метод не застосовується для очищення носіїв, які містять особливо секретну інформацію. Такі диски мають размагничиваться або знищуватися фізично.

Однак для більшості користувачів метод заміщення цілком придатний, причому є безліч утиліт, в яких він і застосовується.

Де ховаються дані

Видалення і перезапис файлів не призводять до зникнення всіх вразливих даних з жорсткого диска. Стирання повинні піддаватися всі сектори (складові кластер 512-байт сегменти), так як дані можуть ховатися в найнесподіваніших місцях. Часто в останньому кластері великого файлу знаходяться випадкові дані, звані наповнювачами файлів (file slack). Коли на жорсткому диску записана остання частина файлу і дані не заповнюють сектор цілком, він доповнюється випадково вибраними даними, взятими з пам'яті і званими наповнювачами ОЗУ (RAM slack). Це може бути будь-яка інформація, сформована, переглядати або перетворена з часу останнього завантаження комп'ютера. Інші сектори, що складають кластер, містять залишки різних даних, раніше збережених в цьому місці, які називаються наповнювачами диска (drive slack). Багато програм безпечного видалення даних не здатні належним чином прати наповнювачі файлів, які можуть містити масу конфіденційної інформації.

У файлової системи NTFS (діючу пенсійну систему Windows NT 4.0, 2000 і XP) файли містять множинні потоки (streams). В одному потоці укладена інформація про права доступу, а в другому - реальні дані файлу. NTFS може також містити потоки альтернативних даних (Alternative Data Streams - ADS), в яких може зберігатися все, що завгодно. Найчастіше там зберігаються мініатюрні зображення з графічних файлів. Так як багато програм безпечного видалення не заміняють вміст ADS, мініатюрні зображення можуть залишатися доступними для виведення навіть після заміщення потоку, що містить графічний файл. Детальніше про те, як запобігти збереження мініатюрних зображень, можна дізнатися, звернувшись до бази знань Microsoft Knowledge Base Article 319300 (support.microsoft.com).

приховані загрози

Відомо, що правопорушники користуються потоками альтернативних даних, щоб ховати на жорстких дисках дані або віруси. Є на жорстких дисках і інші області, де можна навмисно ховати дані. Сектори на жорсткому диску формуються в процесі низькорівневого форматування, зазвичай виконується на заводі. Дефектні сектори позначаються, і тому контролер жорсткого диска не намагається робити на них записи. Що складаються з секторів кластери формуються під час високорівневого форматування. Якщо при цьому виявляється дефектний сектор, то весь кластер позначається як дефектний. Однак в ньому містяться і справні сектори, в яких правопорушники можуть ховати дані.

На застарілих жорстких дисках дані можна також ховати в місцях, званих міжсекторного проміжками (sector gap). Всі доріжки містять однакове число секторів, але довжина кола зовнішніх доріжок набагато більше, ніж у внутрішніх. Ширші проміжки між зовнішніми секторами можна використовувати для таємного зберігання даних. На сучасних жорстких дисках ці втрати простору виключаються за допомогою методу зонної записи (zoned recording), згідно з яким число секторів регулюється в залежності від положення доріжки.

Для доступу до таких прихованих частин жорсткого диска необхідна програма, яка, як ми згадували, діє в обхід ОС. Професійні програми криміналістів бувають дуже дорогими. Так, EnCase Forensic Edition фірми Guidance Software (guidancesoftware.com) коштує 2495 дол. Програма Directory Snoop компанії Briggs Softworks (briggsoft.com/dsnoop.htm) забезпечує доступ до нижніх рівнів диска всього за 29 дол., Але вона не діє в системі NTFS.

Уникайте ризику

Важливо мати на увазі, що відновити дані легше, ніж видалити їх назавжди. Якщо ви коли-небудь ненавмисно видаляли важливий файл (а з ким цього не траплялося), то оціните це як благо. Але якщо ви продаєте старий комп'ютер або жорсткий диск, треба скористатися утилітою безпечного видалення даних і провести перезапис кожного сектора жорсткого диска. Пам'ятайте, що переформатування не призводить до перезапису кожного сектора, і конфіденційна інформація може залишитися доступною.

Практично кожен користувач windows, рано чи пізно стикається з проблемою того, що при спробі видалити будь-якої файл вискакує віконце з повідомленням:
«Не вдається видалити файл. Об'єкт використовується іншим користувачем або програмою. Закрийте всі програми, які можуть використовувати цей файл і спробуйте ще раз. »

У більшості випадків рятує перезавантаження комп'ютера, але найчастіше це не допомагає ...
Для вирішення цієї проблеми було створено кілька програм. Найвідомішою з них є безкоштовна програма під назвою Unlocker. Програма працює як в XP так і в Vista і займає на диску всього 240 кб.

завантажити Unlocker можна з офіційного сайту програми.

Після установки, іконка Unlocker з'являється в системному треї.
З її допомогою можна закрити програму, скасувати її автозапуск і приховати значок, щоб не заважав в треї.

До речі я б порадив прибрати Unlocker з автозапуску, адже користуватися їм доводиться не так вже й часто, а зайва програма хоч і не сильно, але все ж займає системні ресурси.

Для того щоб видалити видаляється файл, клацаємо на ньому правою клавішею миші і в отрившемся контекстному меню вибираємо пункт «Unlocker»

Потім відкривається ще одне вікно, в якому за допомогою меню, що випадає необхідно вибрати, що ми будемо робити з заблокованим файлом.

А зробити з ним можна власне ось, що - видалити, перейменувати, перемістити, копіювати, або ж розблокувати файл для виконання над ним інших необхідних операцій.

Відновлення видалених файлів!

Іноді важливу інформацію видаляє сам користувач. Тільки очистивши кошик ви згадуєте, що саме там лежав звіт або диплом, які потрібно завтра здавати: Буває, що недостатньо кваліфікований користувач намагається самостійно перерозподілити місце на жорсткому диску і випадково видаляє не розділ з фільмами та іграми, а розділ з важливими документами. Часто батьки, залишаючи комп'ютер дітям, забувають захистити свою інформацію. Наступного разу, почавши роботу з ним, просто не знаходять робочих документів, тому що їх випадково видалили ...

Як правило, вилучені файли в таких випадках відновити можна :) Успішність відновлення видалених файлів залежить від того, що конкретно відбувалося після її видалення - після видалення з комп'ютером більше нічого не робили - дані відновити можна - якщо встановлювати на комп'ютер програми для відновлення даних - дані будуть пошкоджені - флешку після видалення файлів більше не використовували - файли відновляться - USB диск відключили відразу після видалення бази 1с - все буде добре - після видалення фотографій на фотоапарат більше не фотографувати - не хвилюйтеся і приїжджайте до нас;) - видалили розділ, і на його місці не створювали нових розділів - інформацію можна відновити на 100%

Якщо Ви втратили необхідні папки, файли або розділи, то Вам необхідно зробити наступне: - НІЧОГО не записувати на цей розділ / диск / флешку - вимкнути комп'ютер / відключити диск / вийняти флешку - приїхати з цим носієм до нас на діагностику.

Так само пропонуємо послуги з копіювання і перезапису пошкоджених дисків !!!

ЦІНА ВІДНОВЛЕННЯ - від 75 грн до 200 грн.

.

Як працюють програми відновлення даних.

Кожен тільки що віддалений файл все ще знаходиться на жорсткому диску, але Windows його більше не бачить. Якщо програмі відновлення даних необхідно відновити цей файл, вона переглядає завантажувальний сектор розділу (Partition Boot Sector). У ньому міститься вся інформація про будову розділу, наприклад розмір секторів (як правило, 512 байт) і кількість секторів в одному кластері.

У розділі NTFS розміром більше 2 Гбайт в одному кластері міститься чотири сектори. У нашому прикладі показано невеликий розділ розміром 500 Мбайт, у якого кожному сектору відповідає один кластер.

Поряд з цією інформацією програми відновлення даних сканують головну таблицю файлів (Master File Table, MFT), яка теж знаходиться в Partition Boot Sector. Вона являє собою список всіх файлів, що знаходяться в розділі, в ній містяться всі файлові атрибути і інформація про те, в яких секторах вінчестера знаходяться самі файли. Ті з них, що за розмірами менше 1500 байт, записуються прямо в MFT. Для файлів більшого обсягу в MFT є посилання на адреси секторів, в яких лежать дані.

На початку MFT знаходяться інші записи, наприклад так звана бітова карта розподілу кластерів (Cluster Bitmap), що показує всі використовувані кластери, а також файл поганих кластерів (Bad Cluster File), котрий реєстрував усе кластери з помилками. Тільки з 17-ї записи починається власне опис файлів. Зазвичай таблиця MFT в Windows, хоч я знаю. Але є дискові редактори, наприклад WinHex, які показують зміст MFT в шістнадцятиричних кодах.

На зображенні (див.нижче) ви бачите MFT-запис віддаленого файлу в HEX-коді. Для програми відновлення даних достатньо цієї інформації, щоб відновити файл.

Значення які програма відновлення файлів знаходить у Master File Table:

1. Ці чотири байти (File Identifier) ​​позначають початок нового файлу. Байти до наступного File Identifier містять всю інформацію про файл.

2. Ці два байта зарезервовані для прапорів, які дають довідку про стан файлу. Якщо їх значення дорівнює 0, як у нашому випадку, це означає, що файл був знищений.

3. З цих 16 байт програма відновлення даних дізнається, коли файл був створений і в останній раз піддавався змінам.

4. Це посилання на каталог, в якому знаходиться файл (Parent Directory Record Number). З її допомогою програма-рятувальник може включити файл в структуру каталогів.

5. Тут з'являється ім'я файлу, в нашому випадку Mу Prеsеntаtiоn.pрt.

6. Якщо ці два байта мають зна ня 0, то файл не стиснутий.

7. Ці вісім байт повідомляють розмір файлу, в нашому випадку 56 320 байт.

8.Важнейшая частина запису MFT, що називається Data runs, показує, де фактично знаходяться дані.

Тут вказано де знаходяться дані.

a. Перший байт повідомляє, скільки байт необхідно для адреси першого кластеру (3 байта) і відображення довжини файлу в усіх кластерах (1 байт).

b. Другий байт містить довжину файлу, в нашому прикладі - 110 кластерів.

c. Наступні три байта означають, що файл починається з кластеру 312 555.

d. Останній байт має значення 0. Це означає, що файл не фрагментований. Отже, немає ніяких додаткових записів Data runs.

Як програма відновлює дані.

Тепер у програми відновлення даних є вся інформація, необхідна для успішного відновлення видаленого файлу. Вона звертається до кластеру 312 555, що прочитує дані в наступних 110 кластерах і зберігає їх під ім'ям Mу Prеsеntаtiоn.pрt