Rafy i mielizny samodzielnego odzyskiwania danych.

Czy można samodzielnie odzyskać dane?

Jak to jest naprawdę z tym odzyskiwaniem danych? Z jednej strony profesjonalne laboratoria czesto żądają dużych pieniędzy i każą tygodniami - ba! - miesiącami czekać na rezultat, po czym okazuje się, że wiele plików jest uszkodzonych, a z drugiej kto wie, czy nawet nie częściej stuprocentowymi sukcesami w odzyskiwaniu danych chwalą się uczniowie podstawówki korzystający z darmowych programów. Po co komuś płacić tysiące złotych, jeśli nawet Jaś z IIIa potrafi odzyskiwać dane? Nic więc dziwnego, że w przypadku utraty danych wielu ludzi próbuje odzyskać je samodzielnie. Sukcesy wielu z nich dowodzą, że można. Szkody i zniszczenia wyrządzane przez pozostałych wskazują jednak, że nie zawsze i nie każdy sam powinien próbować odzyskiwać utracone informacje. Kiedy zatem można próbować, a kiedy należy przestać kombinować? Najprostsza zasada - nie rób niczego, czego istoty nie rozumiesz i nie jesteś w stanie przewidzieć wszystkich skutków swoich działań. Druga zasada - jeśli chcesz spróbować zrobić coś po raz pierwszy w życiu - najpierw poćwicz na jakimś nośniku, na którym nie ma niczego ważnego. Jak zepsujesz, przynajmniej nie będzie szkoda. Prawda jest taka, że niektóre przypadki są tak łatwe, że nawet małpa by sobie z nimi poradziła, a inne stanowią poważne wyzwanie nawet dla specjalistów z wieloletnim doświadczeniem w odzyskiwaniu danych. Są też takie przypadki, w których danych odzyskać się nie da. Przy czym przypadki z kategorii "nie da się" od "nie umiem" odróżnia to, że kiedy się naprawdę nie da, trzeba dokładnie wiedzieć, dlaczego się nie da.

Najczęstsze błędy popełniane przy odzyskiwaniu danych

Często w przypadku utraty danych uzytkownicy próbując je samodzielnie odzyskać popełniają rózne błędy. Niektóre z tych błędów uchodzą płazem, inne w mniejszym lub większym stopniu utrudniają późniejszy proces odzyskiwania danych. Jeszcze inne mogą całkowicie uniemożliwić odzyskanie danych. Błędy użytkowników najczęściej wynikają z braku wiedzy, pośpiechu, działania w panice. Ale nierzadko krytyczne błędy popełniają też firmowi administratorzy i informatycy. Tu często przyczyną jest presja ze strony przełożonych, którzy zazwyczaj oczekują, że ich informatyk będzie się znał na wszystkim, co wiąże się z komputerami. Niestety tak nie jest. Bycie świetnym sieciowcem, czy bazodanowcem wymaga tyle czasu na naukę, że nie można oczekiwać, by ten sam człowiek był równocześnie wysokiej klasy specjalistą w innej specjalizacji. Z kolei funkcjonowanie w obszarach wymagających naprawdę szerokiej wiedzy, jak np. prowadzenie pogotowia komputerowego, nie sprzyja specjalizowaniu się i pogłebianiu wiedzy w jednej konkretnej dziedzinie. W konsekwencji szeroka wiedza w konfrontacji z poważnym, złożonym lub nietypowym problemem najczęściej okazuje się niewystarczająca lub zbyt powierzchowna. Pod tym względem informatykę można porównać do medycyny, gdzie nikomu nie przyjdzie do głowy kazać okuliscie, by wziął skalpel do ręki i stanął przy stole operacyjnym. Ale gdyby nawet tak się stało - lekarzom o wiele łatwiej niż informatykom przychodzi odmowa zrobienia czegoś, co mogłoby zaszkodzić pacjentowi. Jakie zatem błedy przy odzyskiwaniu danych są popełniane najczęściej?

Brak diagnozy nośnika

Jednym z głównych czynników ryzyka przy odzyskiwaniu danych jest brak odpowiedniej diagnozy nośnika. Na forach internetowych często można spotkać prośby o pomoc w odzyskaniu danych, w których pytający nie potrafi nawet podać modelu swojego dysku. Nie brakuje ludzi, którzy nie odróżniają pojęcia fizycznego nośnika od logicznej partycji. Jeśli nie umiesz powiedzieć, jaki masz nośnik i w jakich okolicznościach doszło do utraty danych, to znaczy, że w tym przypadku samodzielne odzyskiwanie danych jest obarczone wysokim ryzykiem. Tym bardziej, że większość porad także bez żadnej diagnostyki sprowadza się do polecenia jakiegoś programu w celu przeskanowania nośnika.
Przed przystąpieniem do odzyskiwania danych konieczne jest przeprowadzenie choćby podstawowej diagnostyki - sprawdzenie, czy na nośniku nie ma śladów uszkodzeń mechanicznych, spalonych elementów elektronicznych, korozji, czy nośnik prawidłowo się uruchamia, czy jest rozpoznawany z prawidłową pojemnością i prawidłowym modelem, czy nie wydaje nietypowych odgłosów, czy się nie zawiesza, nie zrywa połączenia, nie ma problemów z odczytem...Jeśli nośnik jest technicznie sprawny, to informatyk, a nawet co bardziej rozgarnięty użytkownik komputera powinien sobie poradzić z samodzielnym odzyskaniem danych. Oczywiście pod warunkiem przestrzegania podstawowych zasad bezpieczeństwa. Więcej informacji o odzyskiwaniu danych w przypadku uszkodzonych struktur logicznych znajduje się w zakładce poświęconej odzyskiwaniu utraconych partycji. Jeśli jednak nośnik jest uszkodzony fizycznie, zamęczanie go próbami samodzielnego odzyskania danych często prowadzi tylko do pogorszenia stanu pacjenta.

6 szybkich i prostych sposobów na nadpisanie utraconych plików

Nadpisanie danych jest jednym z tych przypadków utraty informacji, w których straty są nieodwracalne. Nowa informacja zastępuje starą, która jest bezpowrotnie tracona. Tą nową informacją może być cokolwiek, choćby i 0x00, co z punktu widzenia użytkownika jest "brakiem informacji", ale z punktu widzenia nośnika jest to informacja o wartości 0x00. Czy jednak aby na pewno nadpisanych danych nie da się odzyskać? Nadpisywanie danych jest kluczowym elementem różnych procedur niszczenia informacji. Zwykle różnice w tych procedurach sprowadzają się do wzorców, którymi dane są nadpisywane oraz do zalecanej liczby przebiegów nadpisania. Więc może jednak po jednokrotnym nadpisaniu i to niekoniecznie jakimś specjalnym wzorcem coś się da odzyskać? Tak naprawdę to temat na książkę. Jak więc ludzie najczęściej nadpisują swoje dane próbując je odzyskać?

Używanie komputera po stracie danych

Ale przecież komputer jest potrzebny. Poza tym można z niego korzystać niczego nie zapisując. Można...dopóki Windows albo jakiś program nie zacznie sobie pobierać aktualizacji. Zresztą ważny, a utracony plik jeśli będzie miał dość pecha, zostanie uszkodzony przez nadpisanie jakimś tymczasowym śmieciem z internetu. A jeśli nawet nie - to mamy jeszcze np. plik wymiany, czy plik hibernacji. Użytkownik może się pilnować, by niczego świadomie na dysku nie zapisywać, ale system operacyjny tego nie zrobi. Jeśli jakiś proces będzie potrzebował coś zapisać, to to zrobi. Jeżeli więc korzystanie z komputera i dostęp do internetu są ważniejsze od utraconych danych, to znaczy, że tak naprawdę te dane nie są ważne.

Próby naprawy lub przywrócenia systemu operacyjnego

Wielu ludzi w przypadku awarii systemu operacyjnego lub utraty dostępu do partycji próbuje rozwiązać ten problem przez naprawę systemu. Korzystają zazwyczaj z automatycznych funkcji naprawy lub przywracania systemu, programów typu chkdsk itp. procedur. W porządku - w wielu przypadkach naprawa systemu nie niszczy danych użytkownika. Ale jeśli dane są naprawdę ważne, może lepiej się wcześniej upewnić, czy są bezpieczne. Albo przed próbą naprawy systemu operacyjnego podłączyć dysk do innego komputera i skopiować przynajmniej to, co jest najważniejsze na inny dysk.
Zabójcze dla utraconych danych mogą być także zabiegi optymalizacyjne. Taka np. defragmentacja polega na przepisuywaniu dużej liczby małych fragmentów plików w takie miejsca na dysku, żeby tych fragmentów było jak najmniej. Wolna przestrzeń dysku jest wtedy wykorzystywana w charakterze bufora przechowującego tymczasowo fragmenty przenoszonych plików. To, co potencjalnie mogło się na niej uchować z dużym pradopodobieństwem zostanie podczas defragmentacji nadpisane.

Sformatowanie dysku, utworzenie nowej partycji, przeinstalowanie systemu lub przywrócenie komputera do ustawień fabrycznych

Z tego wszystkiego najmniej groźne są formatowanie dysku i stworzenie nowej partycji. Wprawdzie operacje te tworzą nowe metadane jednocześnie nadpisując pozostałości starych struktur logicznych, ale zazwyczaj nie niszczą samych plików. Z kolei zainstalowanie nowego systemu operacyjnego lub przywrócenie komputera do ustawień fabrycznych powoduje nadpisanie na tyle dużych obszarów nośnika, że przy odzyskiwaniu danych trzeba się liczyć ze sporymi stratami. Więcej nadziei w takim przypadku pozostawiają magnetyczne dyski twarde, w których adresacja LBA jest dość ściśle powiązana z adresacją fizyczną i przeinstalowany system przeważnie w znacznym stopniu nadpisuje pliki poprzedniego systemu operacyjnego. W przypadku nośników SSD adresy logiczne są dynamicznie przydzielane do różnych fizycznych bloków. W takiej sytuacji przestrzeń pusta z punktu widzenia systemu plików bardzo łatwo staje się przestrzenią rzeczywiście pozbawioną pozostałości poprzednich danych.

Przywrócenie kopii zapasowej

Przywrócenie kopii zapasowej w zasadzie powinno rozwiązać problem utraty danych. Po to się te kopie robi, żeby w razie awarii bez trudu i kosztów w prosty i szybki sposób przywrócić sprawność komputera i cieszyć się całą zawartością swojego dysku. No...prawie całą. W zależności od częstotliwości robienia kopii trzeba się pogodzić z utratą dorobku ostatnich paru godzin, czy dni....Roku? - No bez przesady...kto rzadko robi kopie zapasowe, ten często ma awarię wychowawczą dzień lub dwa przed planowanym zrobieniem kolejnej kopii. Chyba, że klienci mówiąc "właśnie miałem zrobić kopię" kłamią...
Ale czy możemy mieć stuprocentową pewność, że kopia zapasowa jest wykonana poprawnie? Że wszystko zadziała jak należy? Niestety często kopie zawierają różnego rodzaju błędy i przekłamania. Systemy tworzenia i przywracania kopii bywają zawodne, a obsługujący i konfigurujący je ludzie też popełniają błędy. Dlatego kopii zapasowych nie powinno się przywracać na ten dysk, z którego zginęły dane. A poza tym jaką mamy pewność, że logiczna utrata danych nie ma podłoża sprzętowego? Kto przed przywróceniem kopii zapasowej przeprowadza pełną diagniostykę dysku? W przypadku niepowodzenia przywrócenia danych z kopii zapasowej na inny dysk zawsze pozostanie możliwość podjęcia próby odzyskiwania danych. Nadpisanie tę drogę zamyka.

Pobieranie i instalowanie programów do odzyskiwania danych na dysk, z którego dane zginęły.

Zadziwiające, jak wiele można w internecie znaleźć darmowych programów do odzyskiwania danych. I jak często można te programy znaleźć zainstalowane na dyskach dostarczanych w celu odzyskania danych. Często użytkownicy próbując samodzielnie odzyskać dane nie zrażają się niepowodzeniami i konsekwentnie szukają kolejnego najlepszego darmowego programu do odzyskiwania danych. Nieważne, że praktycznie wszystkie te programy działają na dokładnie tej samej zasadzie, a instrukcję do nich mozna streścić w siedmiu punktach:
- Pobierz,
- Zainstaluj,
- Uruchom,
- Wybierz nośnik do przeskanowania,
- Uruchom skanowanie,
- Zaczekaj na wyniki,
- Wykopiuj, co udało się znaleźć.
O ile samo skanowanie dysku milionem takich samych programów w przypadku nośnika sprawnego technicznie nie jest groźne, o tyle ich pobieranie i instalowanie nadpisuje kolejne obszary dysku. Im więcej takich programów zostanie zainstalowanych, tym więcej danych zostanie nadpisanych i tym gorsze będą wyniki kolejnych skanów. To by wyjaśniało, dlaczego popularne programy, które łatwo znaleźć cieszą się lepszą reputacją od tych wykopywanych na setnej stronie wyników google. I tu ważna informacja. Profesjonalne programy do odzyskiwania danych - tzn. niekoniecznie drogie, ale takie, które pozwalają poustawiać jakieś parametry skanów i mają wbudowany hex-edytor - też cudów nie robią. Przy ich pomocy jeśli się ma odpowiednią wiedzę można wyciągnąć z dysku trochę więcej niż programami - małpkami, gdzie cały proces odzyskiwania danych polega na kliknięciu dwa racy "dalej" i poczekaniu na rezultat, ale uratować można tylko to, co na dysku jest. Jeśli jakichś plików na dysku już fizycznie nie ma, to nieważne, jakiego programu będziemy używać.

Zapisywanie odzyskiwanych plików na ten sam dysk, z którego zostały utracone

Niestety to prawda. Są programy, które pozwalają zapisywać pliki bezpośrednio na ten sam nośnik, który przed chwilą skanowały. Tak samo, jak są programy żądające sformatowania dysku przed odzyskiwaniem z nich danych. Są dwa przypadki, kiedy można wybaczyć zapisywanie czegoś na dysku, z którego odzyskuje się dane. Pierszy, to poprawianie struktur logicznych przy pomocy hex-edytora. W zasadzie powinno się przedtem wykonać pełną kopię posektorową nośnika i pracować na kopii...ale w praktyce wystarczy zrobić kopię edytowanych sektorów...albo zanotowac, co i gdzie się zmienia, by w razie błędów przywrócić poprzednie wartości. W każdym razie trzeba zadbać o to, by gdyby było gorzej, można było wrócić do poprzedniego stanu. Drugi przypadek, to naprawa strefy serwisowej. Ludzie, którzy potrafią się za to zabrać pewnie uważają ten artykuł za nudny, wręcz prymitywny...prawdopodobnie szkoda im czasu, by to czytać. Po prostu jeśli chodzi o odzyskiwanie danych prezentują znacznie wyższy poziom nie tylko od użytkowników, ale i od przeważającej większości informatyków. W każdym razie zapisując cokolowiek na dysku - pacjencie trzeba bardzo dobrze wiedzieć, co się robi, kontrolowac skutki swoich działań i umieć wrócić do poprzedniego stanu. Programy wykonujące procesy automatycznie tego nie robią. Jeśli im wskazać jako lokalizację docelową dysk, z którego zostały stracone dane, będą wykopiowanymi plikami nadpisywać jego powierzchnię. Kolejne pliki zamiast pierwotnej zawartości będą zawierały fragmenty tego, czym zostały nadpisane. Nic więc dziwnego, że większość plików odzyskiwanych w ten sposób będzie uszkodzona lub nie otworzy się w ogóle.

Próby naprawy nośników w celu odzyskania danych

W przypadku fizycznych uszkodzeń nośników informacji często trzeba zdecydować, czy ważniejszy jest sam nośnik, czy jego zawartość. Wiele metod naprawy nośnika danych jest destrukcyjnych dla informacji, a wiele metod odzyskiwania danych wiąze się ze zniszczeniem nośnika. Dotyczy to zwłaszcza nośników informacji wykorzystujących układy pamięci Flash-NAND. Naprawa tych nośników najczęściej polega na wgraniu oprogramowania układowego, niskopoziomowym sformatowaniu i ponownym utworzeniu struktur serwisowych takich, jak np. tablice translacji odpowiedzialne za tłumaczenie adresacji fizycznej na adresację LBA. Wiąże się to z wykasowaniem zawartości układów pamięci. Z kolei jedną z popularniejszych metod odzyskiwania danych z nośników półprzewodnikowych jest odtwarzanie obrazu logicznego z obrazów binarnhych wylutowanych układów pamięci.
Destrukcyjne dla danych są także programy do naprawy uszkodzonych sektorów typu HDD-Regenerator, które dodatkowo niosą za sobą ryzyko dalszego uszkodzenia dysku. Dane z uszkodzonych sektorów i tak są stracone. Ich naprawa polega na ich nadpisaniu w celu poprawy stanu namagnesowania lub remapowaniu - czyli przypisaniu adresu LBA uszkodzonego sektora innemu fizycznemu sektorowi położonemu na ścieżce rezerwowej. W obu przypadkach naprawa takiego sektora w żaden sposób nie przyczynia się do poprawy jakości odzyskiwanych danych, a jedynie stanowi niepotrzebne obciążenie dla dysku.
W przypadku odzyskiwania danych z dysków twardych często zużywa się kilka, a nawet kilkanaście w pełni sprawnych dysków w charakterze dawców części, żeby uratować dane z dysku uszkodzonego. W dodatku muszą to być dyski spełniające określone kryteria. Często amatorskie próby naprawy prowadzą do pogorszenia stanu nośnika, mogą utrudnić lub nawet uniemożliwić odzyskanie danych. Najczęściej w tym kontekście mowi się o wtórych uszkodzeniach mechanicznych oraz porysowaniu lub zanieczyszczeniu talerzy magnetycznych dysków otwieranych w nieodpowiednich warunkach przez osoby niemające odpowiedniej wiedzy, umiejętnosci, doświadczenia i narzędzi. Ale krytyczne dla danych uszkodzenia wtórne można spowodować także podczas nieudanych prób naprawy usterek typowo elektronicznych. Dotyczy to zwłaszcza przypadków, w których utracone zostały informacje o indywidualnych dla każdego dysku adaptywnych parametrach pracy głowic lub klucze szyfrujące.