Gelöschte Dateien als nicht wiederhergestellt markieren

2738
Elmo

Die Kapazität meiner Festplatte beträgt 500 GiB. 150 GB Daten wurden versehentlich gelöscht. Ich habe nach diesem Vorfall kein Byte mehr auf die Festplatte geschrieben, so dass meine Daten garantiert da sind. Ich habe Apps wie Recuva ausprobiert, alle Apps zeigen an, dass die Daten vorhanden sind, und erlauben mir, die Daten an einem anderen Ort zu speichern, aber das Problem ist, dass ich das nicht tun möchte.

Ich möchte nur, dass die Dateien wieder als nicht gelöscht in der MFT markiert werden. Gibt es eine App für diesen Zweck? Ich habe viel gesucht, aber nichts gefunden. Ist es möglich, Dateien in der MFT als gelöscht zu entfernen, oder fehlt mir etwas? Ich könnte eine App dafür schreiben, wenn ich wüsste, wie man es manuell macht.

11
In den alten DOS-Tagen haben `undelete` und` unerase` genau das getan, aber Windows-Programme neigen dazu, * Dateien * zu kopieren. Ich glaube nicht, dass ich Dateien gesehen habe, die nicht wirklich gelöscht wurden. "Nach diesem Vorfall habe ich kein Byte auf die Festplatte geschrieben, daher sind meine Daten garantiert vorhanden." Vielleicht, aber das bedeutet nicht, dass sie wiederherstellbar sind. Bei fragmentierten Dateien erhalten Sie wahrscheinlich nur den ersten Teil der Datei zurück. Synetech vor 10 Jahren 2
AFAIK, normalerweise wird der Eintrag für den Ordner / die Datei aus MFT entfernt, wenn Sie eine Datei löschen. Es kann nicht so einfach sein wie ein wenig ein- oder auszuschalten. Ganesh R. vor 10 Jahren 0
@GaneshR. Das möchte ich tun, ich möchte den Eintrag in der MFT erneut hinzufügen. Ist das nicht möglich? Die Daten befinden sich bereits auf der Festplatte und müssen nur im Dateisystem registriert werden. Elmo vor 10 Jahren 0
Recuva zeigt mir den Dateinamen und den Ordner an, in dem sich die Datei befand. Elmo vor 10 Jahren 0
@ Don'tForgettoUpvote Nur eine Empfehlung, wenn Sie die Dateien mit einem Wiederherstellungswerkzeug wiederherstellen können, beginnen Sie damit. Ihr Ansatz ist interessant, aber ich würde die Dateien zuerst persönlich abrufen und dann experimentieren :) Ganesh R. vor 10 Jahren 0
@GaneshR. Eigentlich war das mein Backup-Laufwerk und ich habe keine zusätzlichen freien Laufwerke herumliegen. Elmo vor 10 Jahren 0
@ Don'tForgettoUpvote Siehe http://www.ntfs.com/recovery-toolkit.htm#diskscan Ganesh R. vor 10 Jahren 0
@GaneshR. Hast du das gesehen? "Die wichtigste Information für uns in diesem Block ist ein Dateizustand: gelöscht oder in Verwendung. Wenn das Feld" Flags (in roter Farbe) "auf Bit 1 gesetzt ist, bedeutet dies, dass die Datei verwendet wird. In unserem Beispiel ist es null. dh die Datei wird gelöscht. " Bedeutet das, dass ein bisschen Änderung jede Datei wiederherstellen kann? Elmo vor 10 Jahren 0
@ Don'tForgettoUpvote Kann sein. Aber machen Sie das für alle Dateien manuell? Auch die direkte Bearbeitung von NTFS-Metadaten ist riskant. Daher würde ich vorschlagen, die gelöschten Daten irgendwie zu sichern und dann zu experimentieren. Außerdem habe ich ihr Metadaten-Tool ausprobiert und konnte keinen Sinn daraus machen. Vielleicht ist es mir zu kompliziert Ganesh R. vor 10 Jahren 0
@GaneshR. Ich habe eine Sicherungskopie der Daten, und natürlich mache ich das nicht manuell, ich wünschte mir nur, es gäbe ein einfaches Werkzeug für diesen Zweck. Elmo vor 10 Jahren 0
Tipps und Lösungen zur Datenwiederherstellung: Windows, Linux und BSD: http://www.amazon.com/Data-Recovery-Tips-Solutions-Windows/dp/8183331971/ref=sr_1_5/190-4250863-2306501?s=books&ie = UTF8 & qid = 1388857995 & sr = 1-5 STTR vor 10 Jahren 0
Sie könnten versuchen, die Entwickler einiger Datenwiederherstellungs-Tools anzufordern, indem Sie diese Option hinzufügen. Hier sind die Feedback-Foren für einige der beliebtesten: [Recuva] (http://forum.piriform.com/index.php?showforum=18), [Photorec] (http://forum.cgsecurity.org/phpBB3) /file-recovery-f7.html?sid=1679d342f967fa752f5c52641a67697e) Synetech vor 10 Jahren 1
Sie können es immer manuell versuchen, wenn es nur wenige Dateien gibt, aber ich würde es auf keinen Fall empfehlen. Nach einigen Minuten Recherche und Prüfung konnte ich eine Datei in der $ MFT als nicht gelöscht markieren. Das Problem ist jedoch, dass dies nicht ausreicht. Sie müssen auch die verwendeten Cluster in $ als verwendet markieren BITMAP-Datei, die sich als zu schwierig erwies und zu aufwendig war. Synetech vor 10 Jahren 0

2 Antworten auf die Frage

5
harrymc

Das Wiederherstellen von Dateien auf einem NTFS- Volume ist nicht so einfach wie das Umdrehen eines Bits. Es ist wahr, dass der Unterschied zwischen einer gelöschten und einer nicht gelöschten Datei nur ein Bit in der MFT ist, aber man muss auch den Inhalt der Datei wiederherstellen, der als Streams gespeichert ist, und die gelöschten Sektoren wie in verwendet neu kennzeichnen Die $ Bitmap-Pseudo-Datei, die ein Bit pro Sektor enthält. Jedes Bit gibt an, ob der entsprechende Cluster verwendet (zugewiesen) oder frei (für die Zuordnung verfügbar) ist.

Die Komplexität des Jobs ist so, dass alle Wiederherstellungstools es vorziehen, nicht auf das beschädigte Volume zu schreiben. Wenn Sie beispielsweise einen Sektor in $ Bitmap als verwendet markieren, kann dies zu einer Verkettung führen, wenn dieser Sektor bereits von einer anderen Datei verwendet wurde.

Dieser Artikel demonstrierte das Problem sehr gut mit Hex-Dumps:
Windows 'File Recovery'-Reihe: Teil 5 Manuelles Wiederherstellen einer gelöschten Datei aus einem NTFS-Dateisystem .

Ein anderer Artikel enthält sogar den Quellcode eines Programms, das geändert werden könnte, um das "gelöschte" Bit zu entfernen: Löschen Sie eine Datei in NTFS .

Es gibt einige NTFS-Festplatten-Editoren, die die MFT bearbeiten können, um dieses Bit umzukehren. Einige, die ich über Google gefunden habe (aber zum Glück nie brauchte), sind:
WinHex
NTFS Data Recovery Toolkit
DMDE
Freeware Active Disk Editor

Eine mögliche Lösung, die möglicherweise sogar funktionieren könnte, besteht darin, das gelöschte Bit in der MFT rückgängig zu machen und dann mit dem Dienstprogramm chkdsk zu versuchen, den Inhalt wiederherzustellen. Dieses Dienstprogramm kann die Sektorketten von Dateien wiederherstellen, deren Sektoren fälschlicherweise als für die Neuzuweisung verfügbar gekennzeichnet waren, und $ Bitmap reparieren.

Es besteht jedoch immer die Möglichkeit, dass diese Prozedur Ihre Festplatte zerstört.

Aus diesem Grund haben Sie und alle oben genannten Kommentatoren (einschließlich mir selbst) kein Produkt gefunden, das eine direkte Wiederherstellung durchführt. Die Möglichkeiten, Ihre Festplatte zu vermasseln, sind einfach zu viel für jeden, der kein Microsoft-Mitarbeiter ist, der an NTFS arbeitet.

Meine beste Empfehlung für Sie ist, sich eine zweite Festplatte zu besorgen und die Dateien darauf wiederherzustellen. Ich glaube, Sie haben herausgefunden, dass eine Sicherungsplatte nicht ausreicht. Ich hatte bereits mehrere Fälle von Freunden, die mich gebeten haben, ihre einzige Sicherung wiederherzustellen, und ich empfehle ihnen (manchmal zu spät), zwei Sicherungsdatenträger zu haben.

Außerdem sollte mindestens eine der beiden Sicherungsplatten vom Computer getrennt sein. Ich empfehle dies, nachdem ich von einem Fall gehört habe, bei dem ein Computer sich selbst und jedes angeschlossene USB-Gerät gebraten hat und der Besitzer keine Daten und kein Backup in einem Treffer hat.

2
Synetech

Wie ich bereits sagte, Sie könnten es immer mit einem Hex / Disk-Editor tun, wenn nur wenige Dateien wiederhergestellt werden müssen. Ich würde es jedoch nicht empfehlen.

Nach einigen Minuten Recherche und Tests ist es mir schließlich gelungen, eine Datei als nicht gelöscht zu kennzeichnen $MFT, aber das Problem ist, dass dies nicht genug ist. Sie müssen auch Cluster markieren, die in der verwendeten Anwendung verwendet werden $BITMAP. Diese Aufgabe erwies sich als zu schwierig und zu aufwendig, und so gab ich schließlich auf. Ich überlegte chkdsk /f, ob das Laufen erkannt werden sollte, um die Diskrepanz zu erkennen und die Cluster korrekt zu kennzeichnen. Das war jedoch zu riskant, da die NTFS-Partition, auf der ich getestet habe, einige andere Dateien hatte, die ich nicht verlieren wollte.

(Beachten Sie auch, dass NTFS im Gegensatz zu FAT * die Cluster-Kette für eine Datei in speichert. Dies $MFTbedeutet jedoch nicht, dass Sie zum Zeitpunkt der Wiederherstellung auf die gesamte Cluster-Kette zugreifen können. Eine fragmentierte Datei kann daher möglicherweise nicht wiederhergestellt werden Selbst wenn Sie nach dem versehentlichen Löschen nichts auf die Festplatte geschrieben haben, bedeutet dies nicht, dass Windows dies nicht getan hat. Möglicherweise wurde dies auch geschrieben \System Volume Information, insbesondere wenn der Dienst " Schattenkopie / Vorherige Versionen" ausgeführt wird.

Offensichtlich ist die manuelle Wiederherstellung keine Lösung oder Antwort auf Ihre Frage, weshalb ich sie nur als Kommentar gepostet habe. Leider ist die gesamte Suche, die ich durchgeführt habe, leer, und die kurze Antwort auf Ihre Frage ist: Nein, es gibt keine öffentlichen Programme, die eine Datei einfach als nicht gelöscht auf einem NTFS-Volume kennzeichnen können .

(Es gibt - teure - forensische Programme, die mit Laufwerken ausgefallene Dinge tun und Dateien wiederherstellen und Rohdaten durch einen Filter darstellen können, um Strukturen und ähnliches darzustellen, aber selbst diese werden nicht hilfreich sein, da sie ausdrücklich darauf hinweisen, dass dies nicht der Fall ist Ändern des ursprünglichen Laufwerks.)

Verwandte Probleme