Datagendannelse - Data recovery
I computing er datagendannelse en proces til at redde utilgængelige, tabte, beskadigede, beskadigede eller formaterede data fra sekundært lager , flytbare medier eller filer , når data, der er gemt i dem, ikke kan tilgås på en sædvanlig måde. Dataene gemmes oftest fra lagermedier, såsom interne eller eksterne harddiske (HDD'er), solid-state-drev (SSD'er), USB-flashdrev , magnetbånd , cd'er , dvd'er , RAID- undersystemer og andre elektroniske enheder . Recovery kan være nødvendig som følge af fysisk beskadigelse af lagerenheder eller logisk skader på filsystemet at forhindrer, at den er monteret af værten operativsystemet (OS).
Om
De mest almindelige data recovery scenarier er et operativsystem fejl, fejlfunktion af en lagerenhed, logisk svigt af lagerenheder, utilsigtet skade eller deletion etc. (typisk på et enkelt-drev, enkelt- partition , single-OS system), i så fald er det ultimative mål simpelthen at kopiere alle vigtige filer fra det beskadigede medie til et andet nyt drev. Dette kan opnås ved hjælp af en Live CD eller DVD ved at starte direkte fra en ROM i stedet for det pågældende korrupte drev. Mange Live -cd'er eller dvd'er giver et middel til at montere systemdrevet og backup -drev eller flytbare medier og til at flytte filerne fra systemdrevet til backup -mediet med en filhåndtering eller software til redigering af optisk disk . Sådanne sager kan ofte afhjælpes ved diskpartitionering og konsekvent lagring af værdifulde datafiler (eller kopier af dem) på en anden partition end de udskiftelige OS -systemfiler.
Et andet scenario involverer en fejl på drevniveau, f.eks. Et kompromitteret filsystem eller en drevpartition eller en fejl på harddisken . I nogen af disse tilfælde læses dataene ikke let fra medieenhederne. Afhængigt af situationen indebærer løsninger reparation af det logiske filsystem, partitionstabel eller master boot record , eller opdatering af firmware eller drevgendannelsesteknikker, der spænder fra software-baseret gendannelse af beskadigede data, hardware og software-baseret gendannelse af beskadigede serviceområder ( også kendt som harddiskens "firmware"), til hardwareudskiftning på et fysisk beskadiget drev, som muliggør udtrækning af data til et nyt drev. Hvis en drevgendannelse er nødvendig, har selve drevet typisk mislykkedes permanent, og fokus er snarere på en engangsgendannelse, hvor alle data kan læses.
I et tredje scenario er brugerne ved et uheld blevet " slettet " fra et lagermedium. Typisk fjernes indholdet af slettede filer ikke umiddelbart fra det fysiske drev; i stedet fjernes henvisninger til dem i biblioteksstrukturen, og derefter gøres den slettede dataoptagelse tilgængelig for senere dataoverskrivning. I slutbrugernes sind kan slettede filer ikke findes med en standard filhåndtering, men de slettede data findes stadig teknisk på det fysiske drev. I mellemtiden forbliver det originale filindhold, ofte i et antal frakoblede fragmenter , og kan være genopretteligt, hvis det ikke overskrives af andre datafiler.
Udtrykket "datagendannelse" bruges også i forbindelse med retsmedicinske applikationer eller spionage , hvor data, der er blevet krypteret eller skjult, snarere end beskadiget, gendannes. Nogle gange bliver data til stede på computeren krypteret eller skjult på grund af årsager som virusangreb, som kun kan gendannes af nogle computerforensiske eksperter.
Fysisk skade
En lang række fejl kan forårsage fysisk skade på lagermedier, som kan skyldes menneskelige fejl og naturkatastrofer. Cd-rom'er kan have deres metalliske substrat eller farvestofskraber skrabet af; harddiske kan lide af en lang række mekaniske fejl, såsom hovednedbrud , PCB -fejl og fejlede motorer; bånd kan simpelthen gå i stykker.
Fysisk skade på en harddisk, selv i tilfælde hvor der er opstået et hovedulykke, betyder ikke nødvendigvis, at der vil være permanent tab af data. De teknikker, der anvendes af mange professionelle datagendannelsesvirksomheder, kan typisk redde de fleste, hvis ikke alle, de data, der var gået tabt, da fejlen opstod.
Der er selvfølgelig undtagelser til dette, såsom de tilfælde, hvor alvorlige skader på harddisken fade kan være sket. Men hvis harddisken kan repareres og et fuldt billede eller klon oprettes, kan den logiske filstruktur genopbygges i de fleste tilfælde.
De fleste fysiske skader kan ikke repareres af slutbrugere. For eksempel kan åbning af en harddisk i et normalt miljø tillade luftbåren støv at falde på fadet og blive fanget mellem fadet og læse/skrivehovedet . Under normal drift flyder læse/skrivehoveder 3 til 6 nanometer over fadets overflade, og de gennemsnitlige støvpartikler, der findes i et normalt miljø, er typisk omkring 30.000 nanometer i diameter. Når disse støvpartikler bliver fanget mellem læse-/skrivehovederne og tallerkenen, kan de forårsage nye hovednedbrud, der yderligere beskadiger tallerkenen og dermed kompromitterer genoprettelsesprocessen. Endvidere har slutbrugere generelt ikke den hardware eller tekniske ekspertise, der kræves for at foretage disse reparationer. Derfor bruges datagendannelsesvirksomheder ofte til at redde vigtige data med de mere velrenommerede ved hjælp af klasse 100 støv- og statisk-fri renrum .
Genopretningsteknikker
Gendannelse af data fra fysisk beskadiget hardware kan involvere flere teknikker. Nogle skader kan repareres ved at udskifte dele på harddisken. Dette alene kan gøre disken brugbar, men der kan stadig være logisk skade. En specialiseret disk-billeddannelsesprocedure bruges til at gendanne hver læsbar bit fra overfladen. Når dette billede er erhvervet og gemt på et pålideligt medium, kan billedet sikkert analyseres for logisk skade og muligvis tillade meget af det originale filsystem at blive rekonstrueret.
Hardware reparation
En almindelig misforståelse er, at et beskadiget printkort (PCB) simpelthen kan udskiftes under genoprettelsesprocedurer af et identisk printkort fra et sundt drev. Selvom dette i sjældne tilfælde kan fungere på harddiske fremstillet før 2003, fungerer det ikke på nyere drev. Elektronikkort på moderne drev indeholder normalt drevspecifikke tilpasningsdata (generelt et kort over dårlige sektorer og tuningparametre) og andre oplysninger, der kræves for korrekt adgang til data på drevet. Udskiftningskort har ofte brug for disse oplysninger for effektivt at gendanne alle data. Udskiftningskortet skal muligvis omprogrammeres. Nogle producenter (f.eks. Seagate) gemmer disse oplysninger på en seriel EEPROM -chip, som kan fjernes og overføres til udskiftningskortet.
Hver harddisk har det, der kaldes et systemområde eller serviceområde ; denne del af drevet, som ikke er direkte tilgængelig for slutbrugeren , indeholder normalt drevets firmware og adaptive data, der hjælper drevet med at fungere inden for normale parametre. En funktion af systemområdet er at logge defekte sektorer inden for drevet; hovedsageligt at fortælle drevet, hvor det kan og ikke kan skrive data.
Sektorlisterne gemmes også på forskellige chips, der er knyttet til printkortet, og de er unikke for hver harddisk. Hvis dataene på printkortet ikke stemmer overens med det, der er gemt på fadet, kalibreres drevet ikke korrekt. I de fleste tilfælde klikker drevhovederne, fordi de ikke kan finde dataene, der matcher det, der er gemt på printkortet.
Logisk skade
Udtrykket "logisk skade" refererer til situationer, hvor fejlen ikke er et problem i hardwaren og kræver løsninger på software-niveau.
Korrupte partitioner og filsystemer, mediefejl
I nogle tilfælde kan data på en harddisk være ulæselige på grund af beskadigelse af partitionstabellen eller filsystemet eller (intermitterende) mediefejl. I størstedelen af disse tilfælde kan mindst en del af de originale data gendannes ved at reparere den beskadigede partitionstabel eller filsystem ved hjælp af specialiseret datagendannelsessoftware såsom Testdisk ; software som dd rescue kan billedmedier trods intermitterende fejl og billedrå data, når der er partitionstabel eller filsystemskade. Denne type datagendannelse kan udføres af mennesker uden ekspertise inden for hardwaredrev, da det ikke kræver noget særligt fysisk udstyr eller adgang til tallerkener.
Nogle gange kan data gendannes ved hjælp af relativt enkle metoder og værktøjer; mere alvorlige sager kan kræve ekspertintervention, især hvis dele af filer ikke kan genoprettes. Dataskæring er gendannelse af dele af beskadigede filer ved hjælp af kendskab til deres struktur.
Overskrevne data
Efter at data er blevet fysisk overskrevet på en harddisk , antages det generelt, at de tidligere data ikke længere er muligt at gendanne. I 1996 præsenterede Peter Gutmann , en datalog, et papir, der foreslog, at overskrevne data kunne gendannes ved hjælp af magnetisk kraftmikroskopi . I 2001 præsenterede han endnu et papir om et lignende emne. For at beskytte mod denne form for datagendannelse, designede Gutmann og Colin Plumb en metode til irreversibelt skrubning af data, kendt som Gutmann-metoden og bruges af flere disk-skrubbning softwarepakker.
Der er fulgt betydelig kritik, primært om manglen på konkrete eksempler på, at betydelige mængder overskrevne data er blevet genoprettet. Selvom Gutmanns teori kan være korrekt, er der ingen praktisk dokumentation for, at overskrevne data kan gendannes, mens forskning har vist, at overskrevne data ikke kan gendannes.
Solid-state-drev (SSD) overskriver data anderledes end harddiske (HDD), hvilket i det mindste gør nogle af deres data lettere at gendanne. De fleste SSD'er bruger flash-hukommelse til at gemme data i sider og blokke, der refereres til af logiske blok adresser (LBA), der administreres af flash-oversættelse lag (FTL). Når FTL ændrer en sektor, skriver den de nye data til et andet sted og opdaterer kortet, så de nye data vises på mål -LBA. Dette efterlader præ-modifikationsdataene på plads, muligvis med mange generationer, og kan gendannes af datagendannelsessoftware.
Tabte, slettede og formaterede data
Nogle gange går data til stede på de fysiske drev (intern/ekstern harddisk, pen -drev osv.) Tabt, slettet og formateret på grund af omstændigheder som virusangreb, utilsigtet sletning eller utilsigtet brug af SHIFT+DELETE. I disse tilfælde bruges software til gendannelse af data til at gendanne/gendanne datafiler.
Logisk dårlig sektor
På listen over logiske fejl på harddiske er logisk dårlig sektor den mest almindelige, hvor datafiler ikke kan hentes fra en bestemt sektor af mediedrevene. For at løse dette bruges software til at korrigere de logiske sektorer i mediedrevet. Hvis dette ikke er nok, skal hardwaren, der indeholder de logiske dårlige sektorer, udskiftes.
Ekstern datagendannelse
Gendannelseseksperter behøver ikke altid at have fysisk adgang til den beskadigede hardware. Når de tabte data kan gendannes ved hjælp af softwareteknikker, kan de ofte udføre gendannelsen ved hjælp af fjernadgangssoftware over internettet, LAN eller anden forbindelse til det fysiske sted for det beskadigede medie. Processen er i det væsentlige ikke forskellig fra, hvad slutbrugeren selv kunne udføre.
Fjerngendannelse kræver en stabil forbindelse med en passende båndbredde. Det er dog ikke relevant, hvor adgang til hardwaren er påkrævet, som i tilfælde af fysisk skade.
Fire faser af datagendannelse
Normalt er der fire faser, når det kommer til vellykket datagendannelse, selvom det kan variere afhængigt af den type datakorruption og genopretning, der kræves.
- Fase 1
- Reparer harddisken
- Harddisken repareres for at få den til at køre i en eller anden form eller i det mindste i en tilstand, der er egnet til at læse dataene fra den. For eksempel, hvis hoveder er dårlige, skal de ændres; hvis printkortet er defekt, skal det rettes eller udskiftes; hvis spindelmotoren er dårlig, skal tallerkenerne og hovederne flyttes til et nyt drev.
- Fase 2
- Billede drevet til et nyt drev eller en diskafbildningsfil
- Når et harddiskdrev fejler, er vigtigheden af at få dataene fra drevet højeste prioritet. Jo længere et defekt drev bruges, desto større sandsynlighed er der for yderligere datatab. Oprettelse af et billede af drevet vil sikre, at der er en sekundær kopi af dataene på en anden enhed, hvor det er sikkert at udføre test- og gendannelsesprocedurer uden at skade kilden.
- Fase 3
- Logisk gendannelse af filer, partitioner, MBR og filsystemstrukturer
- Efter at drevet er blevet klonet til et nyt drev, er det egnet til at forsøge at hente tabte data. Hvis drevet har fejlet logisk, er der en række årsager til det. Ved hjælp af klonen kan det være muligt at reparere partitionstabellen eller master boot record (MBR) for at læse filsystemets datastruktur og hente lagrede data.
- Fase 4
- Reparer beskadigede filer, der blev hentet
- Dataskade kan forårsages, når f.eks. En fil skrives til en sektor på det drev, der er blevet beskadiget. Dette er den mest almindelige årsag til et fejlbehæftet drev, hvilket betyder, at data skal rekonstrueres for at blive læsbare. Beskadigede dokumenter kan gendannes ved flere softwaremetoder eller ved manuel rekonstruktion af dokumentet ved hjælp af en hex -editor.
Gendan disk
Den Windows -operativsystemet kan geninstalleres på en computer, der allerede er godkendt til det. Geninstallationen kan udføres ved at downloade operativsystemet eller ved hjælp af en "gendannelsesdisk", som computerproducenten har leveret. Eric Lundgren blev idømt en bøde og idømt amerikansk føderalt fængsel i april 2018 for at producere 28.000 gendannelsesdiske og have til hensigt at distribuere dem for cirka 25 øre hver som en bekvemmelighed for computerværksteder.
Liste over datagendannelsessoftware
Startbar
Datagendannelse kan ikke altid udføres på et kørende system. Som følge heraf indeholder en bootdisk , live -cd , live USB eller enhver anden form for live distro et minimalt operativsystem.
- BartPE : en letvægtsvariant af Microsoft Windows XP eller Windows Server 2003 32-bit operativsystemer, der ligner et Windows-forudinstallationsmiljø , som kan køres fra en live-cd eller et levende USB-drev. Udgået.
- Finnix : en Debian -baseret Live CD med fokus på at være lille og hurtig, nyttig til computer- og dataredning
- Disk Drill Basic : i stand til at oprette bootable Mac OS X USB -drev til datagendannelse
- Knoppix : indeholder værktøjer til datagendannelse under Linux
- SpinRite : et FreeDOS -baseret datagendannelsesværktøj til harddiske og magnetiske lagerenheder
- SystemRescueCD : en Arch Linux -baseret live -cd, nyttig til reparation af ikke -opstartbare computersystemer og hentning af data efter et systemnedbrud
- Windows Preinstallation Environment (WinPE): En Windows Boot DVD, der kan tilpasses (lavet af Microsoft og distribueret gratis). Kan ændres til at starte til et af de programmer, der er angivet.
Konsistenscheck
- CHKDSK : en konsistenschecker til DOS- og Windows -systemer
- Disk førstehjælp : en konsistenschecker til Mac OS 9
- Diskværktøj : en konsistenschecker til Mac OS X
- fsck : en konsistenschecker for UNIX
- gparted : en GUI for GNU -parted , GNU -partitionseditoren, der kan kalde fsck
File gendannelse
- CDRoller : gendanner data fra optisk disk
- Datagendannelsesguide : Windows filgendannelsesværktøj af EaseUS
- Disk Drill Basic : applikation til datagendannelse til Mac OS X og Windows
- dvdisaster : genererer fejlkorrigeringsdata for optiske diske
- GetDataBack : et Windows -gendannelsesprogram
- Hetman Partition Recovery : gendannelsesløsning til datadrev
- IsoBuster : gendanner data fra optiske diske, USB -sticks , flashdrev og harddiske
- Mac Data Recovery Guru : Mac OS X datagendannelsesprogram, der fungerer på USB -sticks, optiske medier og harddiske
- MiniTool Partition Wizard : til Windows 7 og nyere; omfatter datagendannelse
- Norton Utilities : en pakke værktøjer, der har en filgendannelseskomponent
- PhotoRec : avanceret multi-platform program med tekstbaseret brugergrænseflade, der bruges til at gendanne filer
- Gendan mine filer : proprietær software til Windows 2000 og senere - FAT, NTFS og HFS
- Recovery Toolbox : freeware- og shareware -værktøjer plus onlinetjenester til forskellige Windows 2000 og senere programmer
- Recuva : proprietær software til Windows 2000 og senere - FAT og NTFS
- Stellar Data Recovery til Mac : datagendannelsesværktøj til Mac OS
- Stellar Data Recovery til Windows : datagendannelsesværktøj til Windows
- Stellar Photo Recovery : fotogendannelsesværktøj til Mac OS og Windows
- TestDisk : gratis, open source, multi-platform. gendanne filer og tabte partitioner
- TuneUp Utilities : en pakke værktøjer, der har en filgendannelseskomponent til Windows XP og senere
- Windows Filgendannelse : et kommandolinjeværktøj fra Microsoft til at gendanne slettede filer til Windows 10 version 2004 og senere
Retsmedicin
- Fremst : et open-source kommandolinjefilgendannelsesprogram , oprindeligt udviklet af US Air Force Office of Special Investigations og NPS Center for Information Systems Security Studies and Research
- Forensic Toolkit : af AccessData, brugt af lovhåndhævelse
- Open Computer Forensics Architecture : Et open source-program til Linux
- Coroner's Toolkit : en række værktøjer til at hjælpe med retsmedicinsk analyse af et UNIX-system efter et indbrud
- The Sleuth Kit : også kendt som TSK, en pakke med retsmedicinske analyseværktøjer udviklet af Brian Carrier til UNIX-, Linux- og Windows -systemer. TSK inkluderer autopsi -retsmedicinsk browser.
Billedværktøjer
- Clonezilla : en gratis diskkloning , diskbilleddannelse, datagendannelse og opstartsdiskette
- ddrescue : et open source-værktøj, der ligner dd, men med evnen til at springe over og efterfølgende prøve igen dårlige blokke på fejlbehæftede lagerenheder
- dd : almindeligt byte-til-byte kloningsværktøj fundet på Unix-lignende systemer
- Team Win Recovery Project : et gratis og open source-gendannelsessystem til Android-enheder
Se også
- Sikkerhedskopiering
- Rent rum
- Sammenligning af filsystemer
- Computer retsmedicin
- Kontinuerlig databeskyttelse
- Krypto-makulering
- Dataarkeologi
- Datakuration
- Databevarelse
- Datatab
- Fejlfinding og korrektion
- Fil udskæring
- Skjult fil og skjult bibliotek
- Fortrydelse
- Liste over datagendannelsessoftware
- Liste over software til sletning af data
Referencer
Yderligere læsning
- Tanenbaum, A. & Woodhull, AS (1997). Operativsystemer: Design og implementering, 2. udg. New York: Prentice Hall.
- Datagendannelse hos Curlie