PC-3000 DE – Khôi phục tệp đã xóa

Khôi phục tệp đã xóa là một công việc thường xuyên của Trung tâm. Hôm nay, chúng ta cùng thảo luận một chút về cách thức xử lý đối với ổ cứng và các tệp bị xóa trong bài viết này.

Thông thường, khi tệp bị xóa, ổ đĩa cứng liền sửa đổi metadata của File System – FS (hệ thống tệp) nhưng không ảnh hưởng trực tiếp đến nội dung tệp. Các tệp này vẫn nằm trên ổ đĩa nhưng FS nghĩ rằng vị trí các tệp này trên bề mặt đĩa đang trống (các khối – Block) để có thể ghi và FS có thể ghi đè các khối này bởi dữ liệu người dùng mới.

Do vậy, khi các bạn bị mất dữ liệu, việc mang ổ đĩa đến chúng tôi càng nhanh thì khả năng khôi phục các tệp đã bị xóa càng cao, việc cố gắng tự xử lý sẽ có những rủi ro và nguy cơ dẫn đến mất dữ liệu vĩnh viễn.

Để có thể xử lý được những trường hợp như xóa nhầm dữ liệu, thông thường có thể sử dụng các cách như sau:

  1. Tìm và phân tích metadata của tệp tin hệ thống

Giải pháp này dựa trên metadata hệ thống tệp có sẵn của các tệp đã xóa và kết quả là chúng tôi có thể tìm thấy các giá trị này.

Hãy xem hình ảnh này với phân vùng hệ thống tệp NTFS. Ở đây chúng tôi có một vài thư mục, sau đó chúng tôi đã xóa một trong số chúng.

Trước khi xóa:

Phân vùng hệ thống tệp NTFS

Sau khi xóa:

Tìm và phân tích metadata của tập tin hệ thống

Như bạn đã biết, mỗi tệp trong NTFS có ” MFT record “

Tham khảo thêm ở đây: https://tathanh.net/kien-thuc-co-ban-ve-tep-tin-he-thong-phan-1-ntfs.html

Nó chứa tên của tệp, dữ liệu tạo, dữ liệu sửa đổi, v.v. Những giá trị này được sử dụng để nhận dạng tệp bởi hệ thống tệp. Tất cả các bản ghi như vậy có cùng kích thước (về cơ bản là 1024 byte) và giữ trong vùng đặc biệt của ổ đĩa – trong bảng MFT ( Master File Table ). Khu vực này được phân bổ dự trữ và kết quả là bên trong khu vực này có thể là một khu vực không được sử dụng.

Vì vậy, sau khi xóa thư mục ” Pics “, chúng tôi có những điều sau:

  • Liên kết đến thư mục “Pics” đã bị xóa;
  • bản ghi cho thư mục “Pics” và bản ghi cho mỗi tệp bên trong thư mục này được đánh dấu là miễn phí trong bảng MFT;
  • Dung lượng đã được sử dụng cho các tệp này được tạo bản đồ miễn phí và có thể được sử dụng cho dữ liệu người dùng mới.

(Đây không phải là danh sách đầy đủ các thay đổi nhưng nó đủ cho bài viết này)

các tệp và bản ghi MFT

 

Vì vậy, các tệp và bản ghi MFT của chúng vẫn còn trên ổ đĩa nhưng không gian của các tệp này và bản ghi MFT của chúng được đánh dấu là miễn phí cho các tệp mới.

Nếu chúng ta mở phân vùng như cũ, chúng ta không thể nhìn thấy thư mục này và các tệp đã xóa, nhưng nếu chúng ta quét các bản ghi MFT, chúng ta có thể trả lại thư mục này với các tệp đã biến trở lại Phân vùng ban đầu.

Quá trình này có thể được thực hiện trong Data Extractor bằng tùy chọn “ Scan MFT ”. Đừng quên đánh dấu tùy chọn “ Hiển thị tệp đã xóa ”.

scan MFT

 

Tùy chọn « Scan MFT » – không phải là một cách quét hợp lý duy nhất cho hệ thống tệp NTFS:

  • Các phương pháp « Scan MFT» và « Scan MFT + INDX» – đọc một phần rất nhỏ của ổ đĩa và do đó quá trình này mất một chút thời gian. Nhưng cả hai đều mang lại một kết quả tốt nếu FS không bị hư hỏng nặng.
  • Các phương pháp «Partition analysis» và «Search NTFS structures» có hiệu quả đối với các trường hợp phức tạp (sau đó làm hỏng toàn bộ phân vùng). Chúng được đọc toàn bộ một phân vùng và mất rất nhiều thời gian cho việc quét này, nhưng mang lại một kết quả chất lượng và đầy đủ nhất.

Trong ví dụ của chúng tôi, mỗi tùy chọn này đều mang lại kết quả tốt như nhau và các tệp sẽ được khôi phục.

  1. Khi metadata tệp đã xóa không được tìm thấy.

Data Extractor có các tùy chọn quét hợp lý cho mỗi Hệ thống tệp. Ví dụ đối với XFS có thể được sử dụng tùy chọn «Partition data analysis». Nhưng trong ví dụ của chúng tôi, nó không mang lại kết quả vì hệ thống tệp XFS xóa bản ghi metadata sau khi xóa tệp.

Trường hợp tương tự có thể xảy ra trên phân vùng NTFS nếu sau khi xóa người dùng tiến hành làm việc. Bản ghi của các tệp đã xóa có thể được ghi lại bằng dữ liệu mới. Đối với tình huống như vậy có thể sử dụng phương pháp khôi phục RAW, nhưng chúng tôi có thể cố gắng tăng tốc quá trình bằng phương pháp sau:

Tạo bản đồ không gian chưa sử dụng sau đó khởi chạy quy trình khôi phục RAW trên bản đồ này.

quy trình khôi phục RAW

Quá trình này cho phép tiết kiệm rất nhiều thời gian và cũng có được kết quả quét tốt.

Có những trường hợp bắt buộc phải áp dụng cả hai cách này để phục hồi được dữ liệu.

Các trường hợp cần khôi phục tệp đã xóa có thể giải quyết bằng Hệ thống PC-3000 DE.

Tham khảo thêm:

PC-3000 PORTABLE III SYSTEMS – HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN Ổ CỨNG

PC-3000 EXPRESS – HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN HDD, SSD

PC-3000 FLASH – HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN THIẾT BỊ SỬ DỤNG CHIP NHỚ

HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN THIẾT BỊ DI ĐỘNG PC-3000 MOBILE

Để tìm hiểu thêm về các công cụ này, vui lòng liên hệ với chúng tôi theo hotline: 092.8765.688 hoặc 098.123.0055

Theo dõi Fanpage Tathanh Data để cập nhật nhiều tin tức mới.

,

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *