Безліч різноманітних програм відновлення даних пропонують відновити видалені файли буквально в кілька кліків. Як вони працюють, а головне - чому? Спробуємо дати відповідь на це питання.
Як Windows зберігає файли
Для того щоб зрозуміти, чому можливе відновлення файлів, необхідно спочатку зрозуміти, яким чином ці файли зберігаються на диску і яким саме чином Windows обробляє процедуру видалення файлів.
Файли зберігаються у вигляді блоків інформації, записаних на секторах жорсткого диску. Сектори можуть розташовуватися як послідовно, один за іншим, так і бути хаотично розкиданими по всій поверхні диска. Розташування секторів залежить від того, які саме блоки були вільні у момент збереження файлу на диск. Якщо система не виявила на диску безперервного вільного блоку секторів достатнього розміру для того, щоб зберегти файл у вигляді безперервної послідовності даних, система буде фрагментувати файл, записуючи його окремі частини у вільні блоки.
Для того щоб орієнтуватися в записаній інформації, Windows створює запис у файловій системі із зазначенням того, які саме сектори на диску займає вміст конкретного файлу.
Як Windows видаляє файли
В момент, коли користувач видаляє файл, Windows не стирає і не переписує зміст секторів на диску. Вміст запису про файл у файловій системі також не видаляється, але піддається модифікації: система позначає запис як приналежну віддаленого файлу. Відповідно, всі сектори на диску,які належать даному файлу, виявляються вільними - тепер Windows може зберегти цей простір який-небудь інший файл. Але поки цього не сталося, можна спробувати відновити вміст видаленого файлу. Для цього буде потрібно спеціальний інструмент - продукт для відновлення інформації.
Алгоритм відновлення файлів
Нарешті, ми підібралися до суті питання. Інструменти для відновлення видалених файлів сканують файлову систему в пошуку записів, позначених як видалені. Проаналізувавши такі записи, стає можливим дізнатися точні адреси секторів на диску, в які було записано вміст оригінального файлу. Після швидкої додаткової перевірки - не чи належать ці сектори будь-якому іншого файлу, програма зчитає дані з потрібних секторів і збереже їх у новому файлі. Задача вирішена!
Що відбувається, якщо у файловій системі не залишилося запису, що вказує на видалений файл? У цьому випадку найпростіші інструменти не спрацьовують. Потрібен інший підхід - «сигнатурний пошук для відновлення даних». Суть алгоритму зводиться до пошуку комбінації певних байтів на диску, які позначають початок або закінчення файлів. Наприклад, файли *.avi, *.docx, *.pdf, *..ppt, *.pst, *.zip починаються з байт «52 49 46 46», «50 4B 03 04», «25 50 44 46», «D0 CF 11 E0», «21 42 44 4E», «50 4B 03 04» відповідно.
Відновлення даних з SSD дисків
Технологія зберігання інформації SSD дисків має на увазі роботу алгоритмів TRIM і фонового процесу збирання сміття. Ці алгоритми ефективно знищують вміст видалених файлів на фізичному (електронному) рівні, не дозволяючи відновити вміст навіть нещодавно видалених файлів.
