Loạt bài viết "Hướng dẫn và các kiến thức cơ bản về cứu dữ liệu ổ cứng" sẽ trình bày đến các bạn các kiến thức cơ bản về ổ cứng và cấu trúc dữ liệu được lưu trữ và chi tiết các cách để phục hồi và cứu dữ liệu quan trọng đã bị xóa, bị format...
Phần 1: Giới thiệu tổng quát cấu trúc dữ liệu trên đĩa cứng và khả năng khôi phục dữ liệu
1.1. Giới thiệu chung
Khi bạn xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng NTFS).
Lúc này, các vùng (cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại. Khi dữ liệu mới được ghi vào, lúc này dữ liệu cũ mới thực sự bị xóa đi và ghi đè bằng dữ liệu mới. Chúng ta (và cả hệ điều hành) đều không thể "nhìn" thấy được những dữ liệu bị đánh dấu xóa nhưng những phần mềm cứu dữ liệu vẫn nhìn thấy chúng khi quét qua bề mặt đĩa. Vì vậy chúng ta mới cần đến những phần mềm này trong việc khôi phục dữ liệu.
Có rất nhiều phần mềm giúp bạn thực hiện việc cứu dữ liệu, từ miễn phí cho đến có phí như:
• EASEUS Data Recovery Wizard Professional 5.0.1
• FILE RECOVERY for Windows
• Nucleus Kernel for NTFS Demo
• Recuva, Handy Recovery
• DERescue Data Recovery Master
• EaseRescue File Recovery
• Ontrack Easy Recovery, Getdataback
• Active Uneraser, File Recovery
• RESTORAT, ntfsundelete...
Mỗi phần mềm đều có những điểm mạnh - yếu riêng, nhưng nhìn chung khả năng "cứu hộ" tùy thuộc rất nhiều vào cấu trúc dữ liệu trên đĩa cứng và những thao tác có ảnh hưởng đến các vùng dữ liệu
1.2. Cấu trúc của dữ liệu trên ổ đĩa cứng
Trước tiên, chúng ta cùng tham khảo qua cách thức thông tin của một tập tin được lưu trữ trên đĩa cứng. Với phân vùng FAT, dữ liệu được lưu trữ tại 3 nơi trên đĩa cứng, bao gồm:
•Directory Entry chứa thông tin về tập tin gồm tên, dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của tập tin
• FAT chứa số hiệu các cluster được sử dụng cho tập tin
• Các cluster chứa dữ liệu của tập tin (vùng Allocation).
Với phân vùng NTFS, dữ liệu được lưu trữ trong MFT (Master File Table) Entry và vùng Allocation (bảng minh họa).
Bất kỳ phần mềm cứu dữ liệu nào cũng cố gắng tìm lại những thông tin từ 3 nơi này để có thể khôi phục đầy đủ nội dung của một tập tin, nếu thiếu (hoặc mất) một trong những thông tin này, dữ liệu không toàn vẹn hoặc không thể khôi phục (xem bảng).
Như vậy, xem xét các trường hợp trên thì khả năng khôi phục dữ liệu thường khá thấp. Trường hợp các cluster của Allocation bị hỏng hoặc bị chép đè, bạn hầu như không thể khôi phục được vì dữ liệu đã bị xóa và chép đè bởi dữ liệu mới.
MD
Các bài viết khác