Отмена - Undeletion

Для восстановления в Википедии см. Википедия: Восстановление.

Отмена это функция для восстановления компьютерные файлы которые были удалены из файловая система к удаление файла. Удаленные данные можно восстановить во многих файловых системах, но не во всех файловых системах есть функция восстановления. Восстановление данных без возможности восстановления обычно называется восстановление данных, а не восстановление. Хотя восстановление может помочь предотвратить случайную потерю данных пользователями, оно также может вызвать компьютерная безопасность риск, поскольку пользователи могут не знать, что удаленные файлы остаются доступными.

Поддерживать

Не все файловые системы или операционные системы поддерживают восстановление. Восстановление возможно на всех ТОЛСТЫЙ файловые системы, с утилитами восстановления, предоставленными с MS-DOS 5.0[1][2] и DR DOS 6.0 в 1991 году. Не поддерживается большинством современных UNIX файловые системы, хотя AdvFS является заметным исключением. В ext2 файловая система имеет дополнительную программу под названием e2undel[3] что позволяет восстановить файл. Подобный ext3 файловая система официально не поддерживает восстановление, но такие утилиты, как ext4magic,[4] extundelete,[5] PhotoRec и ext3grep[6] был написан для автоматизации восстановления на ext3 тома.[7] Отменить удаление было предложено в ext4, но еще не реализован.[8] Однако 4 декабря 2006 г. в качестве исправления была добавлена ​​функция корзины для мусора.[9] Функция корзины использует атрибуты восстановления удаленных файлов в файловых системах ext2 / 3/4 и Reiser.[10]

Инструменты командной строки

Смотрите также: Список команд DOS

Norton Utilities

Norton UNERASE был важным компонентом в Norton Utilities версия 1.0 в 1982 году.

MS-DOS

Microsoft включила аналогичную программу UNDELETE в версии 5.0–6.22 MS-DOS, но применил Корзина подход вместо этого в более поздних операционных системах с использованием FAT.

DR DOS

DR DOS 6.0 и выше поддерживают UNDELETE, но при желании предлагают дополнительную защиту с помощью утилиты моментальных снимков FAT DISKMAP и резидент DELWATCH компонент отслеживания удалений, который активно поддерживает отметки даты и времени удаленных файлов и предохраняет содержимое удаленных файлов от перезаписи, если на диске не закончится свободное место. DELWATCH также поддерживает восстановление удаленных файлов на файловых серверах. С Novell DOS 7 ядро будет хранить первая буква удаленных файлов в записях каталога, чтобы помочь инструментам восстановления восстановить исходное имя.

ПТС-ДОС

ПТС-ДОС предлагает ту же функцию, настраиваемую SAVENAME CONFIG.SYS директива.

FreeDOS

В FreeDOS версия UNDELETE была разработана Эриком Ауэром и находится под лицензией GPL.[11]

Графические программы

В графических пользовательских средах часто используется другой подход к восстановлению, вместо этого используется «область хранения» для файлов, подлежащих удалению. Нежелательные файлы перемещаются в эту область хранения, а все файлы в области хранения периодически удаляются или по запросу пользователя. Такой подход используется Мусорная корзина в Macintosh операционные системы и корзина в Майкрософт Виндоус. Это естественное продолжение подхода, применявшегося в более ранних системах, таких как группа неопределенности, используемая LocoScript.[12] Этот подход не подвержен риску того, что другие файлы, записываемые в файловую систему, очень быстро повредят удаленный файл; безвозвратное удаление произойдет по предсказуемому расписанию или только при ручном вмешательстве.

Другой подход предлагают такие программы, как Norton GoBack (ранее Roxio GoBack): часть пространства на жестком диске зарезервирована для операций изменения файлов, которые будут записаны таким образом, чтобы впоследствии их можно было отменить. Этот процесс обычно намного безопаснее для восстановления удаленных файлов, чем операция восстановления, описанная ниже.

Точно так же файловые системы, поддерживающие "снимки" (например, ZFS или же btrfs ), можно использовать для создания моментальных снимков всей файловой системы через равные промежутки времени (например, каждый час), что позволяет восстанавливать файлы из более раннего снимка.

Ограничения

Восстановление не является надежным. Как правило, чем раньше будет предпринята попытка восстановления, тем больше вероятность, что она будет успешной. Это связано с тем, что чем больше используется система, тем больше данных записывается на диск и потенциально выделяется для этого удаленного пространства. Фрагментация удаленного файла также может снизить вероятность восстановления, в зависимости от типа файловой системы (см. ниже). Фрагментированный файл разбросан по разным частям диска, а не в непрерывной области.

Механика

Работа восстановления зависит от файловой системы, в которой был сохранен удаленный файл. Некоторые файловые системы, например HFS, не может обеспечить функцию восстановления, поскольку информация об удаленном файле не сохраняется (за исключением дополнительного программного обеспечения, которое обычно отсутствует). Однако некоторые файловые системы не стирают все следы удаленного файла, включая файловые системы FAT:

Файловые системы FAT

Когда файл «удаляется» с помощью ТОЛСТЫЙ файловая система, запись в каталоге остается почти без изменений за исключением первого символа имени файла, в котором сохраняется большая часть имени «удаленного» файла, а также его отметка времени, длина файла и, что наиболее важно, его физическое расположение на диске. Однако список дисковых кластеров, занятых файлом, будет удален из Таблица размещения файлов, помечая эти сектора доступными для использования другими файлами, созданными или измененными впоследствии. В случае FAT32 дополнительно стирается поле, отвечающее за старшие 16 бит значения начального кластера файла.

Когда выполняется попытка восстановления, для успешного восстановления файла должны быть выполнены следующие условия:

  • Запись удаленного файла должна все еще существовать в каталоге, что означает, что он еще не должен быть перезаписан новым файлом (или папкой), созданным в том же каталоге. Так ли это, можно довольно легко определить, проверив, присутствует ли в каталоге оставшееся имя файла, который нужно восстановить.
  • Кластеры, ранее использовавшиеся удаленным файлом, не должны быть перезаписаны другими файлами. Это можно довольно хорошо проверить, проверив, что кластеры не помечены как используемые в Таблица размещения файлов. Однако, если тем временем новый файл был записан на диск с использованием этих секторов, а затем снова удален, снова освободив эти сектора, это не может быть обнаружено автоматически программой восстановления. В этом случае операция восстановления, даже если она окажется успешной, может завершиться ошибкой, поскольку восстановленный файл содержит другие данные.
  • За FAT32 устройств младшие 16 бит физического адреса обычно сохраняются в записи каталога, но старшие биты адреса обнуляются. Многие программы восстановления игнорируют этот факт и не могут правильно восстановить данные.

Шансы на восстановление удаленных файлов часто выше FAT12 и FAT16 по сравнению с томами FAT32 из-за обычно больших размеров кластеров, используемых в прежних системах, и из-за потери старших 16 бит логического адреса кластера для FAT32.

Если программа отмены удаления не может обнаружить явных признаков несоблюдения вышеуказанных требований, она восстановит запись каталога как используемую и пометит все последовательные кластеры, начиная с того, что записано в старой записи каталога, как использовалось в Таблица размещения файлов. Затем пользователь должен открыть восстановленный файл и убедиться, что он содержит полные данные ранее удаленного файла.

Поэтому восстановление фрагментированных файлов (после первого фрагмента) обычно невозможно с помощью автоматических процессов, а только путем ручного исследования каждого (неиспользуемого) блока диска. Это требует подробных знаний о файловой системе, а также о двоичном формате восстанавливаемого типа файла, поэтому это делают только специалисты по восстановлению или криминалисты.

Файловые системы NTFS

NTFS хранит информацию о файлах в виде набора записей фиксированного размера (обычно 1 КБ) в так называемой главной таблице файлов (MFT). Имя файла и информация о размещении файлов инкапсулируются в эти записи, обеспечивая полную информацию о каждом конкретном файле. Когда система удаляет файл, запись в главной таблице файлов освобождается для отмены связи или повторного использования, но по-прежнему остается на диске. Пока запись MFT не будет повторно использована или перезаписана, файл можно легко восстановить: программное обеспечение для восстановления данных может найти «потерянную» запись MFT и получить из нее полную информацию о потерянном файле.

Однако обратите внимание, когда SSD ПОДРЕЗАТЬ Если функция включена, содержимое файла может быть уничтожено вскоре после удаления для повторного использования ячеек памяти SSD. Это делает невозможным восстановление содержимого файла (на диске останется только информация об имени, дате и размере файла).

Профилактика

Дальнейшая информация: Стирание данных

Удаление данных - это термин, обозначающий программные методы предотвращения восстановления файлов.

Смотрите также

Рекомендации

  1. ^ «Когда не следует использовать команды MS-DOS 5.0 CHKDSK и UNDELETE». Support.microsoft.com. 2006-11-16. В архиве из оригинала от 02.02.2012. Получено 2012-01-09.
  2. ^ «Использование обычного файла UNDELETE.INI с функцией отмены удаления». Support.microsoft.com. 1999-11-16. В архиве из оригинала от 26.08.2009. Получено 2012-01-09.
  3. ^ "домашняя страница e2undel". e2undel.sourceforge.net. Получено 2020-07-02.
  4. ^ "Ext4magic". ext4magic.sourceforge.net. Получено 2020-07-02.
  5. ^ "extundelete: утилита для восстановления файлов ext3 и ext4". extundelete.sourceforge.net. Получено 2020-07-02.
  6. ^ "Архив Google Code - долгосрочное хранилище для хостинга проектов Google Code". code.google.com. Получено 2020-07-02.
  7. ^ Карло Вуд (2007-02-07). «КАК восстановить удаленные файлы в файловой системе ext3». Xs4all.nl. Архивировано из оригинал 19 сентября 2010 г.. Получено 2012-01-09.
  8. ^ Новые возможности ext4 В архиве 18 декабря 2008 г. Wayback Machine
  9. ^ "Безопасное удаление и поддержка корзины для Ext4". Article.gmane.org. В архиве из оригинала 2008-07-09. Получено 2012-01-09.
  10. ^ «Гмане Ткацкий станок». Thread.gmane.org. В архиве из оригинала на 2016-01-11. Получено 2012-01-09.
  11. ^ http://www.ibiblio.org/pub/micro/pc-stuff/freedos/files/distributions/1.2/repos/pkg-html/undelete.html
  12. ^ "Лэнгфорд в столбце № 6 PCW TODAY". Ansible.co.uk. В архиве из оригинала от 14.02.2012. Получено 2012-01-09.

внешняя ссылка