veri kurtarma, bilgisayar servisi

Disk Sürücüsünün Kayıp Bölümleri


Disk Bölümleri Neden Kaybolur?


Mantıksal sürücü olarak da bilinen bir bölüm, en basit haliyle fiziksel sürücünün mantıksal olarak ayrılmış bir alanıdır. Genellikle tek bir fiziksel sürücüde, bazıları özel öneme sahip olabilecek bir veya daha fazla bölüm olabilir. Bu bölümler, işletim sistemi için ayrılmış bölümler veya dizüstü bilgisayarlarda popüler olarak kullanılan sistem kurtarma bölümleri olabilir. RAID dizilerinde olduğu gibi bir bölümün birkaç fiziksel ortamda olması da mümkündür. Peki neden bölümler aniden kayboluyor?
Bölümlerin kaybolmasının birçok nedeni olabilir. En yaygın nedenler arasında, başarısızlıkla sonuçlanan mantıksal disk bölümleme denemeleri, kazara yanlış diski biçimlendirme, harici bir disk sürücüyü TV'ye takma gibi kullanıcı hataları bulunur. Bölümlere erişimin kaybolmasının ikinci ana nedeni virüsler ve her türlü kötü amaçlı yazılımlardır. Bölümlerin kaybolmasının üçüncü ana nedeni ise, daha fazla dikkat edilmesi gereken fiziksel nitelikteki nedenlerdir.
Veri yazarken şebeke gücünün ani kaybı gibi fiziksel nitelikteki hatalar tesadüfi olabilir, ancak çoğu zaman bunlar medya arızasının belirtileri veya habercileridir. Sabit disk sürücülerindeki yazma hatalarının yaygın bir nedeni de, dengesiz çalışan güç kaynağının neden olduğu yüzey mıknatıslanma hatalarıdır. Bu sorun, özellikle sürücülerin doğrudan güç kaynağına bağlı olduğu masaüstü bilgisayarlardaki sürücüleri etkiler. Güç kaynağı dengesiz çalışıyorsa, geniş bir aralıkta dalgalanan veya nominal voltajdan önemli ölçüde sapan voltajlar sağlıyorsa, güç kaynağına bağlı sürücünün arızalanması yalnızca bir zaman meselesidir.
USB bağlantılı harici sürücüler söz konusu olduğunda, bir bölümün kaybolması, bir RAW bölümünün ortaya çıkması veya işletim sisteminin sürücüyü biçimlendirme önerisi gerçekten ciddi bir soruna işaret edebilir.USB-SATA adaptörlerinin genellikle kendi BIOS'ları vardır. Bu durumda işletim sistemi sürücüyü, harici kasa içindeki sürücünün gerçek modelinden bağımsız olarak, harici kasa üreticisi tarafından seçilmiş bir ad ile algılar.
Böyle bir adaptör, kendisine bağlanan sürücünün arızalı olup olmadığını veya kendisine herhangi bir sürücünün bağlı olup olmadığını da sisteme raporlayabilir. Bölümlere erişim sorununun olduğu durumlarda eğer sorun fiziksel nitelikteyse, veri kurtarma yazılımlarıyla sürücüyü tarama girişimleri başarısız olmakla kalmaz, aynı zamanda diskte bulunan bilgilerin kurtarılmasını imkansız hale getirecek ölçüde manyetik yüzeyin bozulmasına da yol açabilir.
USB-SATA adaptörleri bazen şifreleme anahtarları da içerir. Böyle bir adaptörün bozulması, sürücüdeki verilerin şifresinin çözülmesini imkansız hale getirebilir. Bir adaptörün verileri şifrelemeyeteneği varsa, sürücüde parola ayarlanmamış olsa bile verilerin şifrelenebileceğini unutmamak gerekir. Adaptörler son derece nadir olarak arızalandığından, şayet bir donanım arızasından şüpheleniliyorsa, adaptörü değiştirerek değil, sürücüyü doğrudan SATA arayüzüne takıp tanılama yaparak işe başlayın.


Bir Diskin Mantıksal Organizasyonu – Bazı Teoriler


Diskin ilk sektörü olan LBA0 (sektörler 0'dan başlayarak numaralandırılmıştır) önyükleme sektörüdür. Genellikle bu sektöre Ana Önyükleme Kaydı anlamına gelen MBR adı verilir. Bu sektör, sürücüde depolanan, bölümler hakkındaki bilgileri içeren bölüm tablosunu saklar. Bu bilgilerin, mutlaka sürücüdeki tüm bölümler hakkında olması gerekmez ve ayrıca her zaman her bir bölüme doğrudan atıfta bulunması da gerekmez. Bölümleme tablosundaki bir kayıt, örneğin sonraki sektörlerdeki GPT (GUID Bölümleme Tablosu) kayıtlarına veya kendi mantıksal disk tablosunu içeren genişletilmiş bir bölüme başvurabilir.
Ana Önyükleme Sektörünün içeriği okunduktan sonra tek tek bölümlerin ilk sektörleri belirlenerek okunur. Bu sektörlerin, dosya sisteminin türüne bağlı olarak farklı adları vardır. Örneğin, FAT ve NTFS bölümleri için Önyükleme Sektörü, HFS bölümleri için Volume Heeader veya Ext, XFS, UFS ve ReiserFS bölümleri için Superblock gibi. Bu sektörlerde yer alan bilgilere dayanarak, bölümün temel parametreleri belirlenir. Örneğin, kümelerin boyutu, FAT bölümlerindeki Dosya Ayırma Tablosu ve dizinler, NTFS bölümlerindeki MFT (Ana Dosya Tablosu) kayıtları veya Ext bölümlerindeki i-nodes (dizin düğümleri), diğer meta verilerinin konumu gibi.
Okunan meta veriye dayanarak, bir bölümde depolanan dosyaların yerini ve özniteliklerini belirlemek mümkündür. Meta veri ögelerinden herhangi biri bozulursa, işletim sistemi aracılığıyla diskin mantıksal yapısının doğru bir görüntüsünü oluşturmak genellikle imkansız hale gelir. Genellikle en önemli meta veri ögelerinin çoğaltılması gibi önleyici tedbirler etkisizdir. Ancak bir veri kurtarma uzmanına, hasarlı meta veri parçaları bile bir dosya sisteminin mantıksal yapısı hakkında değerli bilgiler sunabilir. Bu nedenle, bazı ilkel veri kurtarma yazılımları tarafından önerilse bile veya internet forumlarındaki amatörler tarafından tavsiye edilse bile mantıksal hasar durumlarında diskler biçimlendirilmemelidir.
Chkdsk veya fsck gibi otomatik dosya sistemi onarım programlarına da güvenilmemelidir. Böyle bir programı çalıştırmadan önce mutlaka ikilik sayı sisteminde (binary) diskin kopyasını almak gerekir. Çünkü bu tür programlar diske doğrudan kontrolsüz yazma işlemi yapar ve durum kötüleştiğinde diski başlangıç ​​durumuna geri döndürmenin bir yolu olmaz.

Kayıp Bölümleri Arama Pratiği Yapın


MBR Olmadan


Ana Önyükleme Sektörünün içeriği kaybolursa veya bozulursa, işletim sistemi sürücüdeki bölümleri bulamaz. Genellikle disk, Aygıt Yöneticisi ve Disk Yönetimi'nde boş ve başlatılmamış olarak görünür. Bu durumda, bölümler genellikle başladıkları sektörlerden itibaren aranır. Örneğin LBA 63, LBA 2048 gibi. Ayrıca, 2'nin kuvvetleri şeklinde (LBA 128, LBA 256, LBA 512 ....) de kontrol edebilirsiniz.
MBR'den sonraki ilk sektörler kontrol edilerek, GPT dizileri çoğunlukla bulunabilir. 2 TB'den büyük diskleri MBR bölüm tablosunu kullanarak adreslemek mümkün olmadığından, bu disklerin GPT’yi kullanması neredeyse kesindir. Daha da sonrasında sürücünün sonuna doğru olan sektörleri de kontrol etmekte fayda vardır. Bu sektörlerde örneğin NTFS Boot-Sector kopyasını keşfedebilirsiniz.
Bu şekilde bulunan meta verilere dayanarak, en azından bazı bölümlerin boyutunu ve konumunu belirlemek genellikle mümkündür. Daha sonra, kalan "boş" disk alanı için daha fazla meta veri bulunarak arama benzer şekilde tekrarlanabilir. Veri kurtarma yazılımı bu şekilde hızlı tarama gerçekleştirir. Mantıksal yapılarda oluşan hasar sadece MBR sektörüyle sınırlıysa, bu işlem disk üzerindeki tüm bölümleri kurtarmak için yeterlidir.
Bu yöntem, meta verilerin (kopyalar dahil) genellikle diskin ve her bir bölümün başına veya sonuna yerleştirildiği gerçeğine ve bölümlerin genellikle tek tek, boşluk olmadan oluşturulduğu ve pratik olarak tüm disk alanını kapladığı varsayımına dayanmaktadır.
Bu yaklaşımı kullanarak kurtarma süresi kısaltılabilir ve sürücünün potansiyel olarak en önemli ve umut verici kısımlarının hemen aranmasına odaklanılabilir.
Ayrıca, dengesiz veya hasarlı sürücülerde küçük alanların taranması, nispeten sürücü üzerindeki yükü azaltır ve sürücü işbirliği yapmayı kesin olarak reddetmeden önce en önemli verilerin kopyalanma şansını artırır.

Diski Kullanmadan Önce Biçimlendirmeniz Gerekir


Bu, kullanıcının verileri yerine sıklıkla gördüğü bir mesajdır. Şayet bu mesajı alıyorsanız, bölüm muhtemelen mevcut olmasına rağmen meta verilerinin, bölüm üzerindeki bilgilere erişimi imkansız kılacak şekilde bozulduğunu anlamalısınız. Örneğin, bir bölümün önyükleme sektörü hasarlıysa veya kaybolmuşsa, sürücüyü biçimlendirme isteği oluşabilir. Böyle bir durumda kopyayı bulabilir ve eğer o da hasar görmüşse, her iki kopyadaki parçaları kullanarak bölüm parametrelerini manuel olarak yeniden oluşturmayı deneyebilirsiniz.
Şayet her iki kopya da kaybolmuşsa veya bölüm parametrelerini yeniden oluşturmanın mümkün olmayacağı ölçüde hasar görmüşse, bu parametreleri FAT tabloları, dizinler, MFT kayıtları vb. yerlerde bulunan mantıksal yapıların parçalarını kullanarak belirleyebilirsiniz. Elbette, böyle bir bölümde önemli veriler varsa, hiçbir koşulda biçimlendirilmemelidir.
Bir bölüm biçimlendirildiğinde, eskilerin yerine yeni mantıksal yapılar oluşturulur. Bu durum daha fazla veriyi kurtarmayı ciddi şekilde engelleyecektir. Biçimlendirme dosyaların kendisini yok etmese bile, mantıksal yapının parça parça yeniden oluşturulmasını zorlaştırarak dosya isimlerinin ve dosyaya ait diğer özniteliklerin kaybolmasına neden olabilecektir.

Peki Biçimlendirmeden Sonra “Hayat” Olabilir mi?


Bir diskin hızlı biçimlendirilmesi, oluşturulacak yeni bölümün belirtilen türüne ve parametrelerine karşılık gelen yeni meta verilerin oluşturulması ve bu verilerin diske yazılması demektir. Yeni meta veriler, genellikle diskteki eski bölüm üzerine yazılır ve eski verilerin geri dönülemez şekilde yok edilmesine neden olur, ancak bu veriler disk üzerinde bulunan tüm bölümlerin tamamının üzerine yazılmaz.
Bu gibi durumlarda, dosyaları imzalarına göre bulmayı deneyebilirsiniz. Her dosya türü, adı, konumu ve diğer öznitelikleri hakkındaki bilgiler kaybolmuş olsa bile disk yüzeyinde tanımlanmasını sağlayan ayırt edici yapılar içerir. Çoğu veri kurtarma yazılımı, en popüler dosyalar için önceden tanımlanmış imzalardan oluşan bir veritabanı içerir. Özel bir görüntü kurtarma programı, genellikle daha zayıf bir imza veritabanı içermesi ve yalnızca görüntü dosyalarının kurtarılmasına izin vermesi bakımından genel amaçlı bir veri kurtarma programından farklıdır. Profesyonel programlar, belirli bir türdeki dosyaların analizi için geliştirilen imzaları kullanıcının eklemesine olanak tanır.
İmza ile kurtarma (RAW kurtarma) neticesinde yalnızca dosyalar değil, aynı zamanda mantıksal yapıların parçaları, FAT dizinleri, MFT kayıtları, düğümler de kurtarılabilir. Eski meta veri parçaları bulunduğunda, önceki bölümün mantıksal yapısının kısmende olsa en azından yeniden yapılandırılmasına olanak tanır. Şayet yeni oluşturulan bölüm kullanılmamışsa, birçok durumda eski bölümün mantıksal yapısını neredeyse %100 olarak yeniden oluşturmak için yeterli meta verisi bulunabilir, ancak her yazma işlemi önceki içeriğin üzerine yapıldığından eski veriler geri alınamaz şekilde kaybolur. Bu nedenle, bir sürücü yanlışlıkla biçimlendirilirse, üzerine hiçbir şey yazılmamalıdır. Bunun dışında geriye, veri kurtarma yazılımı tarafından otomatik olarak atanan adlara sahip (genellikle bu adlar dosyanın bulunduğu LBA sektörünün numarasını içerir), yalnızca uzantılarına göre sıralanmış binlerce dosyaya genelikle manuel olarak göz atmak kalır. Ayrıca gerçekten önemli olan dosyaların kurtarılabileceğine dair hiçbir garanti yoktur.
SMR teknolojisini kullanan sabit diskler ve SSD sürücüler söz konusu olduğunda, bölümleri biçimlendirmenin çok daha ciddi sonuçları ortaya çıkabilir. Çoğu (hepsinin olduğunu varsaymak en güvenlisi olacak) TRIM işlevini destekler. Bu özellik, işletim sisteminin mantıksal yapılardaki boş alanlar hakkında disk denetleyicisini bilgilendirmesine olanak tanır. Bu bilgi sayesinde diskin bu sektörlerin içeriğini fiziksel olarak depolaması gerekmez ve bunları geri getirme komutuna yanıt olarak yalnızca sıfır bilgisi döndürebilir. Tüm bilgilerden sonra söylenebilir ki esasen veriler çok hızlı bir şekilde yok ediliyor ve laboratuvar koşullarında bile kurtarılmaları imkansız hale gelebiliyor. Bu nedenle, işletim sistemi mesajlarına ve internet forumlarındaki aptalca tavsiyelere aldırmadan, önemli verilerinizin bulunduğu bölümleri asla biçimlendirmeyin ve verileri kurtarmaya çalışmadan önce işletim sistemindeki TRIM işlevini devre dışı bırakın.