В случае механических поломок.

Молитесь, это поможет вам и успокоит вас.:-)

Вступление

Если у вас механический сбой (например, случайные сбои, просто однажды перестает работать, странные шумы типа "визг"/"гудок"), КАЖДЫЙ раз, когда вы подключаете его и включаете, вы можете сделать его намного хуже. Если это очень важные данные, я бы порекомендовал взять их в лабораторию / профессиональную службу восстановления данных.

Однако, если вы хотите сделать это самостоятельно, вы можете объединить механические неисправности в две категории:

Проблемы со шпинделем / внутри или снаружи / с контроллером.

Во-первых, проблемы со шпинделем / внутри. Это худшее, что может случиться с физическим жестким диском. Если это так, то это действительно зависит от того, насколько плохо. Мой любимый инструмент для этого (не бесплатный) - это R-Studio, он позволяет создавать образ с диска и выполнять много проходов *, а затем выполнять восстановление из образа.

* (У меня на самом деле были накопители, которые не могли прочитать данные из сектора, но, просто пытаясь снова и снова, это сработало - даже отключив и снова подключив его)

В зависимости от того, насколько важны данные, и если вы не умеете читать, я бы попробовал трюк с морозилкой. Это звучит как шутка, но на самом деле это не так. Положите диск в герметичный пакет и положите его в морозильную камеру на несколько часов (обычно я оставляю его на 6 часов или на ночь), затем, когда вы подключите его, вы сможете получить хорошие 15-30 минут до это снова падает

Если это проблема платы контроллера, то единственный способ ее исправить - это перепрошить накопитель (см. Веб-сайт производителя) или, чаще всего, переключить плату контроллера (осторожно) с платы идентичной модели.

Для флешек опять же, если важно, сходите в лабораторию. Если вы хотите сделать это сами, сказать особо нечего.

Ошибка с контроллером или памятью?

Как правило, если это контроллер, то при подключении накопителя ничего не произойдет. Если это сама флэш-память, она действует как дисковод гибких дисков /CD без носителя - вы можете видеть букву диска, но просто не можете получить к ней доступ (иногда выдается предупреждение о вставке носителя).

Если это сама память, я не знаю, исправить.

Однако, если это контроллер, мне повезло, только 40% времени я делал это сам (и это зависит от архитектуры флешки). Многие из более дешевых палочек, которые вы видите, имеют две платы - одна является контроллером, а вторая (не уверен в техническом термине) - оснасткой на дочерней плате. Обычно вы можете просто отключить память и подключить ее к другой плате.

Обычно плата даже не должна быть от аналогичного диска, просто попробуйте правильно настроить провайдера микросхем (например, брендинг на одной из микросхем), наиболее часто встречающийся вид - от Winbond, и они обычно работают с любым чипом памяти,

TestDisk - это бесплатный сканер разделов с открытым исходным кодом и инструмент для восстановления данных. Это очень полезно для восстановления потерянных разделов. PhotoRec - еще один бесплатный и часто используемый инструмент для восстановления данных. TestDisk и PhotoRec, помимо того, что они включены в Ultimate Boot CD, как упоминал Том Вийсман в своем ответе, также включены в репозитории программного обеспечения многих дистрибутивов Linux и на компакт-диске System Rescue. System Rescue CD похож на Ultimate Boot CD, но он более легкий, что является преимуществом, поскольку обычно он запускается с компакт-диска или USB-накопителя, где важна производительность.

TestDisk намного эффективнее, чем PhotoRec. Проблема с Testdisk заключается в том, что он не всегда восстанавливает все удаленные файлы. Если вы случайно переформатируете раздел, TestDisk может восстановить тысячи файлов, не пропустив ни одного файла, но если вы удалили файл, отправив его в корзину, а затем очистив корзину, TestDisk не всегда сможет восстановить его.

Поэтому сначала используйте TestDisk, и если вы восстановили все удаленные файлы с помощью TestDisk, то все готово. Если вы восстановили большинство удаленных файлов с помощью TestDisk, вы можете решить, закончили ли вы или нет. Если вы не закончили после запуска TestDisk, вы можете попробовать восстановить удаленные файлы с помощью PhotoRec.

PhotoRec не может восстановить удаленные файлы, которые были полностью перезаписаны (например, с dd программа). В некоторых случаях имя файла сохраняется в самом файле. PhotoRec пытается восстановить имя файла в этом случае, но большую часть времени PhotoRec не может восстановить имена файлов.

Восстановление файлов на основе типа файла с помощью PhotoRec

Рекомендуется выполнить загрузку с живого DVD/USB-диска Linux, прежде чем выполнять следующие действия, чтобы избежать использования операционной системы, в которой находится удаленный файл.

1. Установите TestDisk, если он еще не установлен в вашей ОС. В дистрибутивах Linux установка TestDisk также установит PhotoRec вместе с ним.

2. Откройте терминал и запустите PhotoRec (запустите с терминала на live CD/USB или запустите как root).

3. Выберите жесткий диск.

4. Выберите тип раздела.

   Если на вашем жестком диске есть разделы Linux, выберите [Intel],

5. Выберите тип файла.

   Переместить в [File Opt] и нажмите Enter. Здесь вы можете отключить все типы файлов, нажав s. Используйте пробел, чтобы переключить кнопку проверки. Выберите типы файлов для восстановления.

6. Выберите параметры.

   PhotoRec также имеет список различных опций. При нормальных обстоятельствах вам не нужно изменять их.

7. Выберите раздел.

   Переместите селектор в раздел, из которого вы удалили файл. Затем нажмите Enter на [Search],

8. Выберите тип файловой системы.

   Если вы используете Linux, это будет ext2/ext3/ext4, поэтому выбор по умолчанию ext2/ext3, В противном случае, если вы восстанавливаете файлы из раздела, отформатированного как FAT или NTFS, выберите Other,

9. Выберите место для анализа.

   Выбрать Free если вы не записали в этот раздел после удаления определенного файла, в противном случае выберите Whole,

10. Выберите каталог для восстановления файлов.

    Теперь выберите путь, по которому будут сохранены восстановленные файлы. Затем нажмите Y.

PhotoRec покажет, сколько файлов он восстановил.

_{Источник: пересмотрено из Как восстановить удаленные файлы в Linux с помощью PhotoRec}

В этом ответе рассматриваются ситуации, когда диск и/или файловая система были частично перезаписаны. Причины могут быть:

• Частичный/прерывистый формат
• Частичная перезапись стартового раздела
• Частичная очистка или заполнение нулями с помощью «инструмента безопасной очистки».
• Windows Media Creation Tool выбрал неправильный диск

Инструмент, используемый в некоторых примерах, предназначен исключительно для демонстрации определенных моментов и не является рекомендацией для этого конкретного программного обеспечения.

Предполагается, что многие файловые системы организуют структуры метафайловых систем ближе к началу тома. Это особенно верно для файловой системы Microsoft, такой как NTFS и различных разновидностей FAT.

Если какое-либо конкретное программное обеспечение для восстановления файлов может частично восстановить файловую систему, это зависит от интеллекта инструмента в отношении работы с частичными файловыми системами. Это может стать неожиданностью, но многие инструменты восстановления файлов не особенно хороши в этом и быстро возвращаются к восстановлению на основе необработанных файлов или сигнатур файлов. В этом случае имена файлов, структура папок не будут восстановлены, а несмежные файлы будут повреждены. Сканирование на основе сигнатур также склонно к «ложным срабатываниям». Например, инструмент утверждает, что обнаружил файл JPEG, хотя на самом деле это не так.

Независимо от того, какой инструмент вы выберете, вам необходимо настроить его для полного сканирования. Если, например, файловая система была (частично) отформатирована в файловой системе, отличной от исходной, может потребоваться полное сканирование для обнаружения предыдущей файловой системы. Если инструмент позволяет, настройте его для сканирования предыдущей файловой системы. Итак, предположим, что том exFAT был случайно (частично) отформатирован в файловой системе NTFS, настройте инструмент на сканирование файловой системы ex(FAT) или наоборот, в зависимости от вашего конкретного сценария.

Если предположить, что раздел FAT32 размером примерно 1 ТБ , начало тома перезаписано, самым большим определяющим фактором является то, сохранились ли FAT (таблицы размещения файлов) или хотя бы одна копия. Никто не может сказать этого заранее, поскольку здесь задействовано множество переменных; сколько было перезаписано и размер FAT.

Если FAT сохранился, возможно восстановление файловой системы. Это означает, что мы можем реконструировать (виртуально) структуру папок, восстанавливать имена файлов и восстанавливать фрагментированные файлы.

Без FAT мы можем (частично) восстановить структуру папок и имена файлов, но нам придется предположить, что все файлы являются смежными. Таким образом, результат восстановления определяется объемом перезаписанных данных:

В идеале при возникновении сценариев потери данных вы сначала клонируете или создаете образ диска пациента. Итак, для этого вам понадобится целевой диск достаточной емкости.

Я предлагаю затем отсканировать образ клона/диска (или диск пациента, если вы решите не клонировать) с помощью такого инструмента, как DMDE. После сканирования выберите наиболее перспективную файловую систему.

Затем нажмите «Все найдено/Виртуальная файловая система» > «Реконструкция по умолчанию» > «Параметры», чтобы определить состояние таблиц размещения файлов.

Выберите 2-й FAT, если 1-й частично поврежден.

Демо-версия DMDE позволяет протестировать восстановление, сохранив несколько файлов. Вы также можете просмотреть, например, файлы JPEG. Проверьте несколько больших JPEG-файлов и посмотрите, все ли в порядке. В противном случае инструмент, возможно, определил неверные параметры файловой системы, наиболее важными из которых являются начало файловой системы и размер кластера:

Поскольку записи каталога указывают на запуск кластера, таблица размещения файлов относится к кластеру, и два фактора, которые необходимо правильно «угадать», — это смещение, от которого мы начинаем подсчет кластеров + секторов на кластер.

Инструменты > Повторно открыть параметры тома позволяют вам изменять эти параметры, но для их изменения требуется понимание внутреннего устройства файловой системы FAT32 (и немного удачи?).

Если предположить, что с NTFS применима аналогичная история, на этот раз важна именно MFT: какая часть MFT сохранилась?

MFT обычно находится в начале тома, однако часто MFT фрагментирован, и у дополнительных фрагментов больше шансов выжить.

Чем больше MFT сохранится, тем лучше и полнее будет реконструкция файловой системы. Узнать это можно только попробовав. Если часть $MFT сохранилась, возможна частичная реконструкция структуры папок, что, по мнению IMO, предпочтительнее чисто необработанного восстановления.

Однако более вероятно, что ваше восстановление будет в основном состоять из файлов, обнаруженных по их магическим байтам или подписи, без исходных имен файлов и структуры папок.

Очень распространенный сценарий: был запущен инструмент создания Windows Media и выбран неправильный диск. Если жертвенный/целевой диск содержит один раздел NTFS, вполне вероятно, что большая часть данных MFT будет перезаписана инструментом создания носителя, и программа восстановления не сможет обнаружить имена файлов или исходную структуру папок.

Исходный вопрос: Неисправен жесткий диск, нет резервной копии - как продолжить восстановление данных?

вступление

Я рассмотрю конкретный вопрос и некоторые инструменты (поскольку это обычно рекомендуемые инструменты) и пойду несколько «шире», чтобы ответ мог быть применим и к другим сценариям потери данных.

Сделай сам или обратись к профессионалу?

Если ваши данные имеют ценность, обратитесь к профессионалу. Большинство случаев восстановления, даже тех, которые требуют работы в чистом помещении, не превышают, скажем, 850 долларов, но в некоторых лабораториях стоимость составляет от 300 до 500 долларов, даже если требуется чистое помещение и не требуется приобретать дополнительные детали. - Цены США/ЕС!! В зависимости от вашего географического положения цены могут отличаться.

Многие неудачные попытки сделать своими руками могут затруднить восстановление и увеличить цену. Это верно, если потеря данных имеет физическую причину и если предпринимаются попытки восстановления на месте (редактирование таблицы разделов, восстановление RAID и т. д.).

Как правило, если причина потери данных известна (например, вы удалили файл или раздел или отформатировали раздел), можно с уверенностью предположить, что физической причины нет.

При внезапной потере данных не следует заранее исключать физическую причину, даже если ущерб кажется на логическом уровне. Например, файловая система RAW может быть вызвана логическим повреждением, однако это также является частым признаком физического повреждения. Даже повторные попытки чтения могут привести к дальнейшему повреждению диска или повреждению прошивки (переполнение g-списка).

Если повреждение очевидно физическое, например, после падения диска, лучшим решением всегда будет лаборатория, а попытки сделать это своими руками почти гарантированно усугубят ситуацию.

Не помешает воспользоваться утилитой SMART. Хотя информация может быть подавляющей, она может быть полезной. Относитесь к информации соответственно: если инструмент SMART предупреждает вас о проблемах, предположите, что проблемы действительно существуют. Однако отсутствие предупреждений не означает, что с диском все в порядке по определению.

Проверьте значения RAW как минимум следующих атрибутов:

• Перераспределенные сектора
• Ожидающие секторы

Если необработанные значения не равны нулю, в какой-то момент на диске возникли проблемы с чтением секторов. Большие значения IMO (скажем, > 20) вызывают тревогу, даже если инструменты SMART говорят, что это не так. CrystalDiskInfo — простой в использовании и бесплатный инструмент SMART. В меню «Функция» > «Дополнительные функции» > установите для значения RAW значение 10 [DEC]. Большинство инструментов восстановления файлов, которые я порекомендую позже, также могут отображать данные SMART.

Несколько слов о SSD

Это правда, что SSD менее подвержены механическим повреждениям движущихся частей. Тем не менее внезапное исчезновение данных может иметь физические причины, такие как внезапное отключение питания. SSD могут внезапно выйти из строя, как и обычные жесткие диски.

Также на твердотельных накопителях могут возникать «плохие сектора», хотя они имеют совершенно другую природу, чем плохие сектора на вращающихся дисках. Такие поврежденные сектора могут иметь каскадный эффект, и твердотельные накопители, если они начинают вести себя странно или нестабильно, могут быстро выйти из строя. Если лабораторная работа невозможна и вам нужно больше нескольких файлов, перейдите к клонированию.

А что насчет ТРИМа?

TRIM часто понимают неправильно. важно понимать, что TRIM — это команда , которая отправляется, например, операционной системой, чтобы сообщить SSD-накопителю о ряде секторов, которые можно отбросить. TRIM сам по себе не является удалением файла.

Это зависит от конкретной ОС, когда и когда она отправляет команды TRIM. Одна ОС может отправлять команду TRIM немедленно, если, например, файл удален, другая может планировать еженедельные команды TRIM, или ОС может делать и то, и другое.

Например, Windows отправляет команду TRIM при форматировании раздела или сразу после удаления файла, если это касается тома, отформатированного в NTFS. Таким образом, в целом восстановление данных из отформатированного раздела невозможно, если: «обстоятельства» (не «поддерживаемая» файловая система, старый USB-мост, не передающий команды TRIM и т. д.).

Однако если вы не можете получить доступ к разделу, поскольку файловая система имеет формат RAW, это не повод для Windows «ОБРЕЗАТЬ» этот раздел, и в целом можно предположить, что данные можно восстановить. Таким образом, в целом ОС будет ОБРЕЗАТЬ только те данные, которые были намеренно удалены.

TRIM =/= стирание или заполнение нулями, хотя это может так выглядеть . Вкратце: многие контроллеры «отменяют сопоставление» обрезанных адресов LBA. Попробуйте прочитать такие адреса LBA, и контроллер просто вернет нули, даже не прочитав диск. Лаборатория восстановления данных может быть в состоянии восстановить «обрезанные» данные, в то время как лаборатория восстановления данных не может восстановить данные, которые были действительно перезаписаны, даже если они были перезаписаны только нулями.

Хотя многие могут ассоциировать TRIM в первую очередь с твердотельными накопителями, он (ATA TRIM) также поддерживается определенными жесткими дисками SMR, а также механизмы, подобные TRIM, имеются, например, на SD-картах и ​​CF-картах.

Некоторые часто рекомендуемые инструменты

ТестДиск.

Может использоваться для восстановления на месте, если это касается MBR, таблиц разделов и загрузочных секторов. Это малая часть всего, что может быть не так и помешать доступу к вашим данным, и в целом ремонт на месте — плохая идея. Тем не менее, для знающего человека исправление диска может быть самым быстрым способом восстановления с минимальным риском.

Также играет роль причина потери данных: если известной причиной является случайное удаление раздела и известна структура диска, выбор правильных разделов не является сложной задачей и, по моему мнению, довольно низким риском. С другой стороны, если причина потери данных неизвестна, нет смысла пробовать TestDisk просто ради этого.

Восстановление/восстановление раздела имеет смысл только в том случае, если разделы не видны, а не в том случае, если новые разделы уже были созданы и отформатированы. Восстановление загрузочного сектора имеет смысл только в том случае, если проблема действительно в загрузочном секторе.

TestDisk также может копировать данные с тома при условии, что файловая система повреждена незначительно.

Фоторек.

PhotoRec — это так называемый «карвер», который восстанавливает файлы путем сканирования диска на предмет верхних и нижних колонтитулов. У этого метода есть несколько недостатков:

• Имена файлов не восстанавливаются
• Структура папок не восстанавливается
• Высокий уровень ложноположительных результатов
• Невозможность восстановить фрагментированные файлы в большинстве случаев

Однако если резьба — единственный вариант, PhotoRec может стать одним из лучших инструментов для этой работы. Набор «правил» по умолчанию зачастую более сложен и точен, чем даже профессиональные инструменты.

Рекува.

По сути, это средство восстановления файлов, хотя, если файловая система была случайно отформатирована в точно такой же файловой системе, инструмент может справиться и с этим.

Ни по каким стандартам это не является серьезным инструментом восстановления данных, который следует использовать на «поврежденных» дисках.

Программное обеспечение для восстановления файлов, используемое профессионалами.

Инструменты логического восстановления, используемые в лабораториях восстановления данных, включают:

• Р-Студио
• УФС Эксплорер
• ДМДЕ
• ReclaiMe Pro
• Сборщик файлов.

Для этих инструментов также доступны пользовательские версии. Они не обязательно должны быть дорогими: «самый дешевый» инструмент стоит 20 долларов за годовую лицензию.

Сначала клонируйте/создайте образ диска!

Прежде чем специалист по восстановлению данных попытается восстановить файлы, он/она сначала клонирует или создаёт образ диска.

На уровне DIY лучшими инструментами для клонирования диска в целях восстановления данных являются ddrescue и HDDSuperClone.

Несмотря на то, что эти инструменты предназначены для этого и хорошо справляются со своими задачами (особенно HDDSuperClone), если клонирование/создание образа проблематично (диск исчезает случайно, очень медленно, шумно), разумно прекратить попытки самостоятельного выполнения.

Что, если мне нужно всего лишь несколько файлов, но я все равно могу получить доступ к нестабильному диску?

Я согласен, что в таком случае простое использование этих нескольких файлов, скорее всего, создаст меньшую нагрузку на диск, чем полное его клонирование - это суждение.

Хорошие места, где можно спросить / поискать помощь.

Есть несколько мест, где специалисты по восстановлению данных отвечают на вопросы конечных пользователей. Они могут быть более подходящими, чем SuperUser, поскольку позволяют вести более интерактивный диалог типа вопросов и ответов.

• Reddit, r/datarecovery и r/AskADataRecoveryPro
• Форумы HDDGuru
• Форумы HDDOracle (как правило, это более технические дискуссии)
• Группа Facebook «Вопросы и ответы по восстановлению данных»

Вопросы, предложения или критика?

Пожалуйста, оставьте их в комментариях!

Еще один инструмент, который может быть очень полезным, это Foremost. Название инструмента - это словарное слово, которое может способствовать его относительной неясности, поскольку оно никогда не сможет получить первую позицию в веб-поиске для своего собственного имени.

Самый главный

Foremost - это программа для Linux, которая восстанавливает файлы на основе их верхних и нижних колонтитулов. Верхние и нижние колонтитулы задаются простым файлом конфигурации, поэтому вы можете выбрать, какие заголовки вы хотите искать.

Этот инструмент имеет видное происхождение в работе Управления специальных расследований ВВС США и Центра исследований и исследований в области безопасности информационных систем.

Это недавно спасло меня от того, что PhotoRec не смог найти никаких следов звуковых файлов (обычный формат RIFF WAVE) на SD-карте в формате FAT с поврежденной записью корневого каталога.

использование

Использование очень просто:

• устанавливать foremost из репозитория вашего дистрибутива, если он есть, или скомпилируйте foremost из источника. Компиляция работает как прелесть, поскольку у инструмента очень мало внешних зависимостей

• бежать foremost на устройстве или изображении устройства, например

  foremost -i /dev/hda -t wav -o /recovery/foremost

• изучить /recovery/foremost каталог для полезных файлов.

замечания

Foremost не изменяет исходное устройство или образ устройства, поэтому обычно безопасно запускать его на исходном устройстве, если только оно не выходит из строя. Чтобы быть в безопасности, всегда имейте резервный дамп.

Foremost доступен для Ubuntu и фактически является первым выбором для извлечения отдельных файлов из поврежденного изображения.

Если вы хотите восстановить один или несколько текстовых файлов с частично известным содержимым

Если файл, который вы хотите восстановить, представляет собой обычный текстовый файл (как его понимает Linux, т.е. UTF-8), а файловая система, в которой раньше находился файл, не зашифрована и не сжата, в Linux используйте на блочном устройстве (разделе) удерживая файловую систему.

Для каждого заданного файла GNU печатает последовательность печатаемых символов длиной не менее 4 символов (или числа, заданного с помощью опций ниже), за которыми следует непечатаемый символ.

^{(источник: man 1 strings)}

Вы хотите что-то вроде:

      strings -aw -e S -n 10 /dev/sdX1 >/another/filesystem/extracted

(иличтобы увидеть прогресс).

Затем будет текстовый файл, который вы можете просмотреть с помощью, поиск с помощью и т. д. В моих тестахимел решающее значение для обнаружения текста UTF-8 с многобайтовыми символами.

Примечания:

• сообщает инструменту, что нужно печатать последовательности длиной не менее 10 байт. В руководстве написано «символы», но мои тесты с многобайтовыми символами UTF-8 точно показывают, что это «байты». Чем меньше число, тем больше мусора вы получите. С другой стороны, вы не должны превышать размер блока, используемый исходной файловой системой, который составляет не менее 512 (наименьший общий размер сектора для блочных устройств). Дело в том, что ваш файл может быть фрагментирован, и размер блока, превышающий размер, будет пропускать текстовый блок, если он окажется между нетекстовыми данными. Если ваш файл был крошечным (меньшевы использовали), то вы можете его полностью пропустить. Точно так же вы можете пропустить хвостовую часть нужного файла, если эта часть не примыкает к другому тексту.

• в любом случае, вероятно, будет относительно огромным, слишком большим для «ручной» проверки. Вероятно, вам понадобится хороший текстовый редактор или пейджер (способный обрабатывать большие текстовые файлы) для интерактивного поиска строки, которая, как вы знаете, находилась в файле, который вы хотите восстановить. Или используйте (возможно, с,; видеть) для поиска строки. Надеемся, что таким образом вы найдете соответствующий фрагмент .

• Файл, который вам нужен, может быть фрагментирован, разбросан, не обязательно в последовательности. В могут быть старые версии, могут быть фрагменты других файлов (мусор, в том числе текстовые фрагменты бинарных файлов); все это, возможно, чередуется. в целом будет текстовой головоломкой. Рассмотрите возможность использования() вариант , но имейте в виду, что если в файловой системе есть несвязанные фрагменты, строго соседние, между ними не будет разделителя, как если бы они были одним большим куском.

• Если файловая система, из которой вы пытаетесь восстановить данные, находится на SSD, и TRIM был выполнен после аварии, в результате которой вы потеряли файл, существует риск, что содержимое файла исчезло. Это плохой сценарий.

  С другой стороны, если файловая система находится на SSD и TRIM выполнялся до сбоя, а позже TRIM не выполнялся, то TRIM мог уничтожить несвязанные старые данные, старые версии файлов и т. д., но не содержимое файла. файл, который вам нужен. Фактически вы получите меньше мусора от . Это хороший сценарий.

  Как видите, SSD может быть недостатком или преимуществом. Для жестких дисков эти сценарии не применимы. Виртуальные диски могут поддерживать что-то похожее на TRIM.

• Вначале я написал «файловая система […] не зашифрована и не сжата». Зашифрованная или сжатая файловая система будет хранить текстовые данные не в простой форме, поэтому будет бесполезной. Я предполагаю, что некоторые другие особенности некоторых файловых систем могут снизить ваши шансы или вызвать дополнительный мусор.

• Если у вас достаточно оперативной памяти, рассмотрите возможность копированияк /dev/shm(или используйте vmtouch -l), чтобы ускорить вашу работу сили что-то.

• Для всей идеи требуется строка, которая, как вы знаете, была в файле. Использование имени файла в виде известной строки не поможет вам найти его содержимое, поскольку обычно имена файлов и фактические данные хранятся отдельно, не обязательно рядом друг с другом. Это наблюдение подводит нас к упреждающей стратегии (т. е. заранее, до возникновения каких-либо сбоев), которая может сделать ваши важные текстовые файлы более склонными к восстановлению с помощью нашего метода после будущих сбоев.

  Предположим, вы хотите сохранить SerialKey для VeryImportantSoftware в текстовом файле. Ключ. Не храните только ключ, создайте текстовый файл следующим образом:

          SerialKey for VeryImportantSoftware
  J7f9e7sc  
  

  Если вам когда-нибудь понадобится восстановить этот файл, и вы решите использовать наш метод с, искатьи/илиили даже дляесли вы помните, это точная строка.

Раздел RAW или УДАЛЕН/ПОТЕРЯН

Безусловно, самый безопасный способ восстановить доступ к данным/восстановлению данных – это следовать стандартному протоколу восстановления данных:

• Определите исправность диска, проверив SMART (не запускайте самосканирование SMART).
• Создайте образ/клонируйте диск «пациента», если диск появится рядом с ним.
• Используйте программное обеспечение для восстановления файлов, чтобы восстановить данные (папку/файлы) из образа диска или клона.

RAW — это состояние «объединить все», которое по сути говорит вам, что Windows не может распознать файловую систему, но не указывает точный ущерб. И именно от повреждений зависит, сможем ли мы восстановить файловую систему.

Ремонт IMO следует предпринимать только в том случае, если ущерб ограничен

• таблица разделов
• загрузочный сектор

и после того, как диск был клонирован/создан.

Например: если загрузочный сектор поврежден, система может быть не в состоянии определить местоположение MFT, который является основной структурой метаданных в файловой системе NTFS. В этом случае Windows обозначит файловую систему как RAW. Как только мы восстановим загрузочный сектор, Windows сможет найти MFT и продолжить анализ файловой системы.

Еще раз: в идеале вы сначала клонируете диск пациента , чтобы иметь подстраховку. Сам ремонт можно откатить, а вот повреждения, которые могут возникнуть после ремонта – нет.

Еще раз: самый безопасный вариант — извлечь данные из поврежденного тома с помощью программного обеспечения для восстановления файлов.

Восстановите поврежденный раздел (RAW):

Инструмент, который я использую для этого, — DMDE (www.dmde.com). Анализ и ремонт можно выполнить с помощью бесплатной версии.

Хорошо. Нам нужно обратить внимание на столбец показателей. В примере раздел исправен и доступен. Видим, что отображаются EBCF, цвет зеленый.

• E – запись (таблица разделов)
• B - Загрузочный сектор
• C – Резервное копирование загрузочного сектора
• F — элементарная проверка файловой системы

При обнаружении аномалий одного из EBCF индикатор может либо отсутствовать, либо быть красным. В зависимости от индикатора мы можем попытаться восстановить объем. Для ремонта нам необходимо включить запись на диск и поставить галочку в пункте «Дополнительные параметры». Включить запись Диск > Параметры ввода-вывода устройства > ВКЛАДКА «Интерфейс» > Разрешить запись.

• Если E = отсутствует, мы можем вставить раздел в таблицу разделов.
• Если E = красный, мы можем удалить раздел и вставить его в таблицу разделов.
• Если B = красный/отсутствует, мы можем восстановить загрузочный сектор из копии, если C присутствует/зеленый.
• Если F = отсутствует/красный, проблема заключается в самой файловой системе, которую мы не можем восстановить.

Если разделы были потеряны/удалены:

DMDE найдет большинство удаленных/потерянных разделов во время первоначального быстрого сканирования (не нужно ничего нажимать, просто выберите физический диск).

Раздел найден как «найден». Вы можете щелкнуть раздел(ы) правой кнопкой мыши > Изменить > Вставить раздел.

Опцию восстановления можно найти, щелкнув правой кнопкой мыши раздел > Редактировать.. Для всех операций записи необходимо нажать кнопку «Применить», которая отображается только после того, как вы выполнили один из вариантов редактирования. DMDE отобразит диалоговое окно с предупреждением и предложит создать файл, позволяющий отменить изменения.

Перед выполнением ремонта проверьте файловую систему, нажав кнопку «Открыть том». Если DMDE не предоставляет дерево каталогов, восстановление не будет иметь никакого эффекта. В этом случае нет другого варианта, кроме запуска полного сканирования или использования другого инструмента восстановления файлов для восстановления данных.

После применения изменений перезагрузите систему. Это следует сделать внимательно, поскольку вы ДОЛЖНЫ отменить все действия, которые может предложить Windows (например, запуск chkdsk).

Альтернативой является использование TestDisk.

Полное руководство по восстановлению раздела можно найти здесь: https://www.cgsecurity.org/testdisk_doc/partition_recovery.html . Шаги включают в себя:

1. Выбор диска
2. Выбор типа таблицы разделов
3. Анализ текущей таблицы разделов
4. Быстрый поиск разделов
5. Искать больше разделов
6. Выбор разделов

Восстановление данных с флэш-накопителей NAND, SD, USB-накопителей, SSD и т. д.

В целом те же процедуры, что и при восстановлении данных с магнитных дисков. Так:

1. Оценить/диагностировать ситуацию
2. Если возможно, создайте клон или образ диска.
3. Восстановление файлов и папок из клона или образа диска

Есть и различия: например, при диагностике мы не можем полагаться на слух, чтобы «обнаружить» механические повреждения, поскольку в нем нет движущихся механических частей. Поскольку нам приходится обходиться без этой мощной помощи, поскольку царапание и тиканье являются очень сильным сигналом к ​​прекращению перемещения устройства, шаг 2 еще более важен.

Я пытаюсь сказать, что даже если у вас все еще есть доступ к устройству, оно может выйти из строя в любой момент без звукового предупреждения.

1. Оценить/диагностировать ситуацию

Первый вопрос, который вы всегда должны задавать себе: «Какова ценность данных?». Если ответ таков: я не могу жить без него, поскольку по финансовым или эмоциональным причинам лучше прекратить возиться раньше, чем позже.

Неисправные флэш-накопители, как правило, выходят из строя все сразу, поэтому двоичная ситуация работает или не работает. Однако если есть предупреждающие признаки деградации (например, устройство очень медленное), флэш-накопители NAND имеют тенденцию быстро ухудшаться.

Основным фактором, определяющим возможность восстановления самостоятельно, является обнаружение устройства с правильной емкостью:

Если нет, то 99 против 1 — вы имеете дело с проблемой прошивки, которая, скорее всего, является результатом деградации NAND.

2. Создайте клон или образ диска.

Это обязательный шаг, если только вам не нужно восстановить с диска, скажем, 1–100 файлов меньшего размера. Это весьма произвольно: вы можете возразить, что простое копирование этих файлов менее затратно, чем клонирование всего диска. И чем меньше стресса/налога мы накладываем на драйв, тем лучше.

Чтобы создать клон диска (диск > диск) или файл образа (диск > файл), вам понадобится инструмент, который:

• желательно обходить ОС для доступа к диску
• создает посекторный образ диска
• записывает ход выполнения, чтобы вы могли продолжить, даже если процесс прерван по какой-либо причине
• бонусные баллы, если мы сможем настроить тайм-ауты чтения

Существует несколько инструментов, отвечающих этим требованиям. Учтите, что ваш инструмент резервного копирования дисков на основе образа, скорее всего, не входит в их число. Поэтому лучше избегать инструментов типа Norton Ghost, даже если они позволяют обходить поврежденные сектора и предлагают возможность посекторного изображения/копирования!

Примеры инструментов, которые вы можете использовать:

• ddrescue
• HDDSuperClone
• ДМДЕ

Инструменты, которые соответствуют всем критериям, — это HDDSuperCLone (с открытым исходным кодом) и DMDE (бесплатная версия).

Общая стратегия визуализации:

• Предположим, что мы создаем образ, например, USB-накопителя или твердотельного накопителя NVMe с помощью USB-адаптера, настроим инструмент создания образов для ввода-вывода SCSI.

• Используйте самый короткий тайм-аут, который вам может сойти с рук, особенно во время первого прохода.

3. Восстановление файлов и папок из клона или образа диска.

Если у вас есть образ диска или копия накопителя, вы купили себе все время в мире, вам нужно найти лучший инструмент для восстановления файлов, не беспокоясь о полном выходе диска из строя.

(Для дополнительной безопасности вы можете создать копию файла образа диска).

Вы можете попробовать/использовать любой инструмент для восстановления файлов, который может анализировать образы дисков типа dd, и любой серьезный инструмент должен это делать. Примерами являются FileScavenger, R-Studio, UFS Explorer, DMDE, Klennet Data Recovery и многие другие.

Успех восстановления файлов зависит от количества секторов, которые нам не удалось скопировать, состояния файловой системы и используемого программного обеспечения.

Если файловая система практически не повреждена, любой из вышеперечисленных инструментов должен работать. Преимущество заключается в том, что файлы, включая исходные имена файлов и структуру папок, скорее всего, можно восстановить.

Если нет, то вам пора заняться вырезанием: карвер — это инструмент, который игнорирует файловую систему и обнаруживает файлы на основе магических байтов или сигнатур. PhotoRec (с открытым исходным кодом) — пример отличного резчика . Карверы генерируют имена файлов и не могут восстановить исходную структуру папок.

Специальные случаи резьбы:

Если файловая система повреждена, стандартные средства резания могут не работать, например, с видеофайлами MP4. Например, GoPro создает фрагментированные файлы, поэтому вам понадобится инструмент, специально разработанный для восстановления таких видео (примерами таких инструментов являются Klennet Carver, GoPro Recovery).

Особенности восстановления дисков на основе NAND

Я уже упоминал ранее, что флэш-накопители NAND имеют тенденцию выходить из строя внезапно и в двоичном порядке; они либо работают, либо нет. Однако есть явные признаки того, что диск приближается к этой точке, они имеют тенденцию работать очень медленно, и количество ошибок чтения может быстро увеличиваться.

Еще одна особенность — влияние прошивки/контроллера, большее, чем у вращающихся дисков. Например, ошибка чтения или падение скорости не обязательно соответствуют сектору, который вы пытаетесь прочитать. Часто это связано с тем, что прошивка перестает отвечать на наши запросы и сброс+повторная попытка могут вернуть сектор без проблем.

Поэтому ограничение тайм-аутов важно и полезно для ускорения восстановления.

Мы не можем игнорировать одну вещь, которая очень специфична для накопителей на базе NAND, — это TRIM.

На этом сайте можно найти отличные ответы на вопросы, почему и как использовать TRIM. С точки зрения восстановления данных важно понимать, что TRIM часто делает восстановление данных практически невозможным.

Обычно команды TRIM выполняются, как только мы намеренно удаляем данные. Таким образом, современная ОС отправит команду TRIM, если удалит файл. Или если он форматирует диск. TRIM не имеет значения, если мы, например, имеем дело с повреждением файловой системы (например, диска RAW).

Поэтому после удаления ОС отправляет команды TRIM на SSD-накопитель, чтобы «сообщить» ему о секторах LBA, которые ему больше не нужны. ОС может сделать это немедленно или по расписанию (например, Windows делает и то, и другое).

Упрощенно: поскольку теперь диск «знает», что данные в этих адресах LBA можно считать удаленными, он будет возвращать заполненные нулями сектора, когда мы попытаемся восстановить данные из этих секторов. Фактически данные стали невосстановимыми. Даже если мы сможем восстановить файлы (поскольку сами метаданные файловой системы не обрезаются), это будут сектора, заполненные нулями (демонстрация ).

Современные твердотельные накопители и современные корпуса твердотельных накопителей поддерживают TRIM. Карты SD и CF поддерживают команды типа TRIM, а флэш-накопители USB — нет.

Профессиональное восстановление данных

Специалист по восстановлению данных предлагает некоторые преимущества:

• ему/ей не нужно искать, как лучше всего восстановить диск, он может положиться на опыт.
• у него/нее есть инструменты для эффективного клонирования/создания образа диска
• в случае проблем с прошивкой он/она сможет обойти эти проблемы.

Оживление «мертвых» дисков

Часто задаваемые варианты вопроса «как восстановить данные с..» — это «можно ли как-то оживить вышедшую из строя SD-карту, флешку, SSD?».

В целом ответ на вопрос – «нет». Часто «проблема» с прошивкой является результатом основной проблемы, которую не удается устранить путем восстановления прошивки. Таким образом, вопрос, который действительно следует задать IMO, заключается в следующем: «даже если бы можно было отремонтировать устройство, должен ли я, если это означает, что у меня в конечном итоге окажется ненадежный диск, который уже подводил меня раньше?».