Grundlagen
Es gibt zwei Arten von Datenwiederherstellungsprogrammen:
- Diejenigen, die im Dateisystem nach Hinweisen auf wiederherzustellende Dateien suchen
- Diejenigen, die Unterschriften verwenden
Dateisystemprogramme
Die erste Art betrachtet das Dateisystem auf der Festplatte nach Informationen zu wiederherzustellenden Dateien und Ordnern. Sie können sich die FAT / MFT ansehen, aber normalerweise gehen diese Informationen verloren, wenn eine Datei verloren geht. Daher werden diese Programme häufig die Cluster auf der Festplatte untersuchen, um herauszufinden, welche Verzeichnisse aussehen. Anschließend prüfen sie die Verzeichniseinträge, um Dateien zu identifizieren, die als gelöscht markiert sind. Wenn die angegebenen Dateien nicht überschrieben wurden, sollten sich im Verzeichnis genügend Daten befinden (Name, Startcluster und Größe), um die Datei wiederherzustellen. Das gleiche gilt für Unterverzeichnisse: Es sollten genügend Informationen (Name, Startcluster) vorhanden sein, um das Unterverzeichnis zu identifizieren und den oben genannten Vorgang für die darin enthaltenen Dateien zu wiederholen.
Es gibt zwei Hauptnachteile für diese Methode:
- Dies funktioniert nur, wenn die Dateien und Ordner zusammenhängend sind . Das heißt, wenn sie fragmentiert sind, kann das Programm nur den Anfang der Datei / des Ordners bis zum Ende der zusammenhängenden Kette wiederherstellen . Es ist nicht möglich, den nächsten Cluster in der Kette zu finden.
- Es hat keine Möglichkeit zu wissen, welche Dateien kürzlich gelöscht und wiederhergestellt wurden. Daher werden nur die gefundenen Dateien aufgelistet, die als gelöscht markiert wurden. Es könnte also Dateien / Ordner enthalten, die vor langer Zeit gelöscht und somit lange überschrieben wurden.
Unterschriftenprogramme
Die letztgenannte Art von Daten-Recovery - Programm ignoriert das Dateisystem insgesamt und stattdessen sucht nach Dateitypen . Sie enthält normalerweise eine Liste von Dateisignaturen (z. B. Kopfzeilen, magische Zahlen usw.), die für verschiedene Arten von Dateien typisch sind. Anschließend wird der Datenträger durchsucht und nach diesen Bytemustern gesucht. Wenn er eines findet, fügt er diesen Cluster und eine Anzahl nachfolgender Cluster als Datei hinzu und zeigt dann die Liste der Dateien an.
Diese Methode hat andere Nachteile:
- Es enthält keine Informationen zu Name, Speicherort, Datum oder sogar Größe der Datei, da sie nicht nach Dateisystemdaten, sondern nach dem Inhalt der Rohdatei gesucht werden.
- Weil es keine Informationen über die Namen hat, wird es ihnen einen erfundenen Namen geben wie
file0001,file0002usw. - Da keine Informationen zum Speicherort vorhanden sind, werden alle in einem einzigen riesigen Ordner abgelegt (obwohl einige nach Dateityp sortiert werden können).
- Da keine Informationen über die Dateigröße vorliegen, wird sie auf den nächstgelegenen Cluster gerundet, sodass am Ende zwischen 511 und 65535 Bytes Junk hinzugefügt wird.
- Es kann alte Dateien finden, die vor langer Zeit gelöscht wurden, oder sogar Dateien, die fast identisch sind, jedoch unterschiedliche Versionen haben. Wenn Sie beispielsweise an einer Datei gearbeitet und diese nach jedem Änderungsstapel mehrfach gespeichert haben, können Sie viele dieser Änderungen als separate Dateien finden und müssen dann herausfinden, welche Version die aktuellste ist.
- Wie bei der Dateisystemmethode müssen Dateien zusammenhängend sein, da keine Informationen zu Cluster-Ketten vorhanden sind.
Vergleich
Die beiden Methoden haben ihre Vor- und Nachteile. Welche Sie verwenden, bleibt Ihnen überlassen, da dies von Ihrer Festplatte und Ihren Dateien abhängt. Sie sind wahrscheinlich am besten bedient, wenn Sie mindestens ein Programm jedes Typs verwenden, um Ihren Erfolg zu maximieren. Auf diese Weise finden Sie die meisten Dateien, indem Sie sowohl die meisten Inhalte als auch Metadaten (Dateinamen usw.) wiederherstellen. Möglicherweise müssen Sie einige Vergleiche und manuelle Arbeiten durchführen, um die korrekten Metadaten in die richtigen Inhalte zu kopieren. Dies ist jedoch der Fall Ihre beste Wette bei maximaler Erholung. Auf der anderen Seite führt die Verwendung mehrerer Programme zu einer Menge Störechos und Fehlalarmen, die sortiert werden müssen. Daher müssen Sie den Wert der verlorenen Dateien festlegen.
Anwendung
Warum stellen Wiederherstellungsprogramme häufig Dateien ohne die ursprünglichen Namen / Strukturen wieder her?
Zum Beispiel verwende ich PhotoRec. Ich denke, es ist eine sehr gute Anwendung für Wiederherstellungszwecke, aber alles, was es findet, wird ohne Namen und Struktur wiederhergestellt.
Warum das?
Weil PhotoRec ein Datenwiederherstellungsprogramm vom Signaturtyp ist.
Ich verstehe, dass die 'Quelle' für die Namen die Master-Dateitabelle ist, in der Namen / Strukturen / Attribute usw. gespeichert werden. Stimmt das? Ist eine echte Wiederherstellung mit Struktur und Namen erforderlich, muss die MFT intakt sein?
Ja und ja.
Das Wiederherstellen gelöschter Dateien ist mit NTFS aus den von Ihnen beschriebenen Gründen häufig erfolgreicher als mit FAT. PhotoRec ist jedoch ein Programm im Signaturstil. Es bezieht sich daher nicht auf die MFT für Metadaten zu Dateien / Ordnern.
Darüber hinaus besteht die Möglichkeit, dass die Cluster, die die Dateien und / oder die MFT-Einträge enthalten, auf die sie sich beziehen, wiederverwendet und überschrieben werden, sofern Sie die Festplatte mit den gelöschten Dateien nicht sofort beenden und die Wiederherstellung sofort durchführen. (Windows hat eine unangenehme und ziemlich verwirrende Angewohnheit, gelöschte Dateien sofort auf mysteriöse Weise sofort zu überschreiben. Ich habe in vielen Fällen die Zurücksetzen-Taste gedrückt, um das Überschreiben von Windows beim Herunterfahren zu vermeiden, nachdem eine Datei versehentlich gelöscht wurde, und die Datei trotzdem gefunden wurde in der Frage wurde überschrieben.)