Oznacz usunięte pliki jako Cofnięte

11

Pojemność mojego dysku twardego wynosi 500 GiB. 150 GB danych zostało przypadkowo usunięte. Po tym incydencie nie zapisałem żadnego bajtu na dysku, więc moje dane na pewno tam będą. Próbowałem aplikacji takich jak Recuva, wszystkie aplikacje pokazują, że dane tam są i pozwalają mi zapisać dane w innej lokalizacji, ale problem polega na tym, że nie chcę tego robić.

Chcę tylko, aby pliki zostały ponownie oznaczone jako nie usunięte w MFT. Czy jest dostępna jakaś aplikacja do tego celu? Dużo szukałem, ale nic nie znalazłem, czy można odznaczyć pliki jako usunięte w MFT, czy coś brakuje? Mógłbym napisać do tego aplikację, gdybym wiedział, jak to zrobić ręcznie.

Elmo
źródło
2
Właściwie w dawnych czasach DOS- undeletea uneraserobił dokładnie to, ale programy Windows zwykle kopiują pliki. Nie sądzę, że widziałem dosłownie cofanie usuwania plików. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Może, ale to nie znaczy, że można je odzyskać; wszelkie pofragmentowane pliki zapewnią tylko odzyskanie pierwszej części pliku.
Synetech
AFAIK, zwykle pozycja folderu / pliku jest usuwana z MFT po usunięciu pliku. To może nie być tak proste, jak włączenie lub wyłączenie.
Ganesh R.
@GaneshR. To właśnie chcę zrobić, chcę ponownie dodać wpis w MFT, czy to nie jest możliwe? Dane są już na dysku twardym, należy je tylko zarejestrować w systemie plików.
Elmo
Recuva pokazuje mi nazwę pliku i folder, w którym plik się znajdował.
Elmo
1
Możesz spróbować poprosić twórców niektórych narzędzi do odzyskiwania danych o dodanie tej opcji. Oto forum opinię na kilka najbardziej popularnych: Recuva , PhotoRec
Synetech

Odpowiedzi:

5

Cofanie usuwania plików na woluminie NTFS nie jest tak proste jak przerzucanie o jeden bit. Prawdą jest, że różnica między plikiem usuniętym a nieusuniętym w MFT jest tylko jeden bit, ale należy również odzyskać zawartość pliku, który jest przechowywany jako strumienie, a także ponownie oflagować usunięte sektory, jak zastosowano w pseudoplik $ Bitmap, który zawiera jeden bit na sektor, każdy bit wskazuje, czy odpowiadający mu klaster jest używany (przydzielony) czy wolny (dostępny do przydzielenia).

Złożoność zadania jest taka, że ​​wszystkie narzędzia do odzyskiwania wolą nie pisać na uszkodzonym woluminie. Na przykład oznaczenie sektora w używanej bitmapie $ może powodować krzyżowanie, jeśli sektor ten był już używany przez inny plik.

W tym artykule bardzo dobrze zademonstrowano problem ze zrzutami szesnastkowymi:
seria Windows „File Recovery”: część 5 Ręcznie odzyskaj usunięty plik z systemu plików NTFS .

Kolejny artykuł zawiera nawet kod źródłowy programu, który można zmodyfikować w celu odpięcia „usuniętego” bitu: Cofnąć usunięcie pliku w systemie plików NTFS .

Istnieje wiele edytorów dysków NTFS, które mogą edytować MFT, aby odwrócić ten bit. Niektóre, które znalazłem za pośrednictwem Google (ale na szczęście nigdy nie musiałem używać) to:
WinHex
NTFS Data Recovery Toolkit
DMDE
Freeware Active Disk Editor

Możliwym rozwiązaniem, które mogłoby nawet zadziałać, byłoby cofnięcie usuniętego bitu w MFT, a następnie użycie narzędzia chkdsk w celu odzyskania zawartości. To narzędzie może odzyskać łańcuchy sektorów plików, których sektory zostały błędnie oznaczone jako dostępne do realokacji i naprawi $ Bitmap.

Jednak zawsze istnieje szansa, że ​​ta procedura może zniszczyć dysk.

To dlatego ty i wszyscy komentatorzy powyżej (w tym ja) nie znaleźliście żadnego produktu, który przywróciłby na miejscu. Możliwości zepsucia dysku są po prostu zbyt duże dla każdego, kto nie jest pracownikiem Microsoftu pracującym w NTFS.

Moim najlepszym zaleceniem jest zdobycie drugiego dysku twardego i odzyskanie na nim plików. Wierzę, że dowiedziałeś się, że jeden dysk zapasowy nie wystarczy. Miałem już kilka przypadków znajomych proszących mnie o odzyskanie ich jedynej kopii zapasowej i zawsze doradzam im (czasem za późno), aby mieli dwa dyski z kopią zapasową.

Ponadto co najmniej jeden z dwóch dysków kopii zapasowych powinien zostać odłączony od komputera. Radzę to po wysłuchaniu sprawy, w której komputer sam się usmażył i każde podłączone urządzenie USB, pozostawiając właściciela bez danych i kopii zapasowej za jednym razem.

harrymc
źródło
2

Jak powiedziałem wczoraj , zawsze możesz spróbować zrobić to ręcznie za pomocą edytora szesnastkowego / dyskowego, jeśli jest tylko kilka plików do odzyskania, ale na pewno nie poleciłbym tego.

Po kilku minutach badań i testów w końcu udało mi się oznaczyć plik jako nieusunięty w $MFT, ale problem polega na tym, że nie wystarczy, musisz także oznaczyć używane w nim klastry $BITMAP. To zadanie okazało się zbyt trudne i zbyt wiele pracy do znalezienia i zrobienia, więc w końcu się poddałem. Rozważyłem uruchomienie, chkdsk /faby sprawdzić, czy wykryje rozbieżność i poprawnie oznaczy klastry, ale było to zbyt ryzykowne, ponieważ testowana partycja NTFS zawierała kilka innych plików, których nie chciałem utracić.

(Należy również zauważyć, że chociaż w przeciwieństwie do FAT *, NTFS przechowuje łańcuch klastrów dla pliku w pliku $MFT, nie gwarantuje to, że będziesz mieć dostęp do całego łańcucha klastrów w momencie odzyskiwania, więc fragmentaryczny plik może być niemożliwy do odzyskania Nawet jeśli nie zapisałeś niczego na dysku po przypadkowym skasowaniu, nie oznacza to, że Windows tego nie zrobił. Na przykład mógł napisać do \System Volume Information, zwłaszcza jeśli działa usługa Shadow Copy / Previous Versions).

Oczywiście ręczne odzyskiwanie nie jest tak naprawdę rozwiązaniem ani odpowiedzią na twoje pytanie, dlatego zamieściłem je tylko jako komentarz. Niestety, wszystko, co przeprowadziłem, stało się puste, a krótka odpowiedź na twoje pytanie brzmi: nie, nie ma programów publicznych, które mogłyby po prostu oznaczyć plik jako nieusunięty na woluminie NTFS .

(Istnieją - drogie - programy kryminalistyczne, które potrafią robić wymyślne rzeczy z dyskami i odzyskiwać pliki oraz prezentować surowe dane przez filtr, aby pokazać struktury i tym podobne, ale nawet te nie będą pomocne, ponieważ specjalnie nie zwracają uwagi modyfikowanie oryginalnego dysku).

Synetech
źródło