Odzyskiwanie danych z nośników sprawnych fizycznie, z których dane zostały wykasowane przez użytkownika odbywa się zwykle poprzez programy do odzyskiwania danych. W najprostszych przypadkach pomocny może być nawet bezpłatny program do odzyskiwania danych, jednak zwykle konieczne jest użycie profesjonalnych narzędzi.
Poniżej przedstawiamy testy trzech skutecznych programów do odzyskiwania danych. Zanim zaczniemy jakiekolwiek działania mające na celu odzyskanie danych należy pamiętać, że nieumiejętne obchodzenie się z danymi może doprowadzić do bezpowrotnej ich utraty. Poza tym używając program do odzyskiwania danych, należy zwrócić również uwagę na:
Po pierwsze, jeżeli utraciliśmy dane na partycji systemowym zalecanie jest nie używanie tego systemu do momentu odzyskania danych. System Windows zanim jeszcze się do końca uruchomi zaczyna wykonywać operacje zapisu na dysk co może uszkodzić utracone dane. Aby znacznie ograniczyć niszczący potencjał Windowsa, najlepiej nie przechowywać danych na systemowej partycji C. Domyślnie większość danych jest zapisywana w katalogu użytkownika na tym właśnie dysku. Z punktu widzenia odzyskiwania danych jest to praktyka bardzo utrudniająca życie.
Jedyną dopuszczalną opcją w przypadku utraty danych na partycji systemowej jest wcześniejsze zainstalowanie na dysku programu do odzyskiwania danych i natychmiastowe jego użycie po utracie danych. W pozostałych przypadkach jesteśmy skazani na wymontowanie dysku i podłączenie go do innego komputera. Użytkownicy zaznajomieni z systemem Linux mogą użyć LiveCD/USB. My jednak w artykule skupimy się na odzyskiwaniu danych za pomocą innego komputera. Nowe dyski z laptopów (SATA) można bez problemu podłączyć do komputera stacjonarnego.
Największym jednak grzechem przy odzyskiwaniu danych jest zapisywanie ich z powrotem na „uszkodzonym” nośniku. Wykonanie takiej operacji nadpisuje utracone dane i nie tylko zakończy się niepowodzeniem, ale przekreśli jakiekolwiek szanse na dalsze odzyskiwanie. Od momentu utraty danych do momentu ich pomyślnego odzyskania na dysku nie powinno być zapisane absolutnie nic.
Co nadaje się do odzyskiwania programowego
Istnieje wiele przyczyn utraty danych. Dyski upadają, są przepalane lub po prostu tak jak wszystko na tym świecie uginają się pod wpływem czasu. Z takich nie identyfikowanych przez komputer dysków, nie uda nam się nic odzyskać metodami programowymi. Nie będziemy ich więc omawiać w tym artykule. Skupimy się za to na przypadkach w których zawinił użytkownik lub oprogramowanie. Najczęściej będzie to przypadkowe usunięcie plików, format dysku lub tak zwane przywrócenie (recovery) systemu operacyjnego, które ironicznie usuwa z dysku wszystkie dane. Niezależnie od przyczyny jeżeli dysk jest „widoczny” w systemie – jest potencjał na odzyskiwanie programowe. Jeżeli wiemy, że wina leży po naszej stronie to możemy przejść do odzyskiwania. W przypadkach, które nie są do końca jasne najpierw powinniśmy zainteresować się co się właściwie wydarzyło zanim zaczniemy robić cokolwiek innego, aby nie uszkodzić przypadkiem dysku.
Test powierzchni
Nie mając pewności co do przyczyn utraty danych pierwszym krokiem powinno być przeskanowanie powierzchni dysku w poszukiwaniu uszkodzonych sektorów. Do tego celu posłuży nam darmowa wersja popularnego programu HDTune. Jest dostępny niestety tylko w wersji angielskiej, jednak na nasze potrzeby jest wystarczająco prosty w obsłudze, aby nie stanowiło to dużego problemu.
Zaczynamy od wyboru odpowiedniego dysku z menu w lewym górnym rogu. W tym przypadku wybierzemy dysk marki SAMSUNG o modelu HD154UI oraz pojemności (1500 GB).
Jeżeli nie jesteśmy pewni, który dysk wybrać, możemy przełączyć się na zakładkę „Info”. Będziemy mieli tam dostęp między innymi do informacji o partycjonowaniu dysku. W naszym przykładzie na wybranym dysku znajduje się jedna partycja E: oznaczona jako PB-06. Gdyby i to było zbyt mało to wszystkie potrzebne informacje można znaleźć na etykiecie dysku. Proszę jednak pamiętać, aby z dyskiem, który jest w trakcie pracy obchodzić się bardzo delikatnie. Najbezpieczniej jest go wyłączyć zanim zacznie się nim kręcić.
Następnie przechodzimy do zakładki „Error Scan” w zaznaczamy „Quick Scan” i naciskamy przycisk „Start”.
Jeżeli skanowanie zakończy się bez błędów stan fizyczny dysku możemy uznać jako dobry. Pełne skanowanie (bez opcji „Quick Scan”) możemy wykonać jeżeli będą problemy z odczytam jakichś danych.
Odzyskiwanie danych Recuva
Bardzo prostym i przyjaznym dla niedoświadczonego użytkownika jest darmowy program Recuva. Wykazuje się on dużą skutecznością w odzyskiwaniu danych usuniętych ręcznie przez użytkownika. Polecam każdemu instalacje tego programu zanim dojdzie do problemów z utraconymi danymi. Zaoszczędzi nam to problemów z przekładaniem dysku do innego komputera. Po przypadkowym usunięciu czegoś po prostu odpalamy program i odzyskujemy dane na inną partycję niż tę na której znajdowały się dane. Użytkownicy posiadający wyłącznie jedną partycję muszą podłączyć wcześniej pamięć zewnętrzną np. PenDrive lub przenośny dysk. Jedną z najprzyjemniejszych funkcji jest kreator parametrów odzyskiwania (Recuva Wizard). Prowadzi on użytkownika za rękę na tyle dokładnie, że rozważałem czy cokolwiek o jego obsłudze pisać.
W pierwszym kroku jesteśmy pytani o rodzaj plików jakie chcemy odzyskać. Jeżeli chcemy odzyskać różne typy plików zaznaczamy „Wszystkie pliki”. W przeciwnym razie wybieramy odpowiednią opcję i przechodzimy dalej. W przykładzie zdecydowaliśmy się na odzyskiwanie zdjęć.
W następnym kroku musimy wybrać gdzie program ma szukać utraconych danych. Opcja „Nie jestem pewien” nie powinna być nigdy użyta. Jeżeli w żadnym stopniu nie jesteśmy w stanie określić gdzie były dane oznacza to możliwość, że były one na partycji systemowej i komputer już dawno powinien zostać odłączony od zasilania. To samo tyczy się opcji „W moich dokumentach” – Domyślnie znajdują się one na dysku C. Najlepiej jeżeli znamy dokładną lokalizację utraconych danych tak jak w przedstawionym przykładzie. Jeżeli nie chcemy wpisywać pełnej ścieżki ręcznie możemy oczywiście wskazać lokalizację w strukturze poprzez przycisk „Przeglądaj…”
Tak jak informuje nas program w następnym kroku, wybór pełnego skanowania powinien być wybrany tylko w przypadku niepowodzenia skanowania zwykłego. Jest on dość czasochłonny, a często udaje się odzyskać dane bez niego, szczególnie w przypadkach gdy dane są „świeżo” skasowane. Pierwsze skanowanie ukończy się dość szybko i w przypadku powodzenia wyświetli miniaturki zdjęć, lub jakichkolwiek innych usuniętych plików mieszczących się w zdefiniowanych w kreatorze parametrach. W naszym przykładzie udało się odzyskać z powodzeniem wszystkie 8 plików graficznych skasowanych z katalogu.
Aby metodologicznie przekonać się o wyższości przechowywania danych na partycji innej niż systemowa wystarczy prosty eksperyment. Te same dane w takim samym katalogu umieszczamy na dysku C. Robiąc wszystko dokładnie tak samo jak w powyższym przykładzie wyniki odzyskiwania były następujące
Dwa pliki zostały uszkodzone poprzez system. W ramach pracy domowej dla chętnych, proponuję partię odtwarzalnych danych z dysku C i spróbować odzyskać je zaraz po usunięciu oraz po kilku dniach aktywnego użytkowania komputera.
Jeżeli udało nam się odnaleźć dużą ilość plików i nie chcemy zaznaczać ich pojedynczo możemy „Przełączyć się w tryb zaawansowany” i tam zaznaczyć okienko w lewym górnym rogu. W przykładzie podświetlone na niebiesko.
Jeżeli potrzebujemy plików o innym rozszerzeniu niż oferuje nam kreator to wpisujemy je w trybie zaawansowanym obok lupki według wzoru dostarczonego przez kreator.
DMDE
Nic nie stoi na przeszkodzie, aby poważniejsze uszkodzenia, również próbować odzyskiwać programem Recuva. Jeżeli jednak wyniki nie będą zadowalające nic nie równa się programowi DMDE. Jest to program płatny, jednak ma bardzo bogatą wersję demonstracyjną, ograniczoną wyłącznie możliwością odzyskiwania plików pojedynczo. Program jest bardzo złożony i często zbyt skomplikowany dla zwykłego użytkownika. My również, aby nie wprowadzać zamieszania skupimy się tylko na podstawowej funkcjonalności programu. Ponadto jeżeli nie wiemy co robimy przy zamykaniu programu jeżeli zostaniemy zapytani czy zachować zmiany na dysku każdorazowo powinniśmy odmówić. Użytkownicy, który nie czują się na siłach powinni ograniczyć swoje próby odzyskiwania danych do programu Recuva.
Wybór urządzenia
Program każdorazowo będzie nas witał powyższym ekranem. Powinniśmy z niego skorzystać jeżeli nie wiemy na której partycji na dysku utracone zostały dane lub jeżeli wcale nie mamy dostępu do partycji. Widzimy na nim listę urządzeń przechowujących dane w naszym komputerze. Trzy główne kategorie urządzeń jakie na liście możemy zobaczyć to : Physical Drive – dysk twardy; Optical Drive – dysk optyczny (CD/DVD etc.) oraz coraz rzadziej już spotykane Floppy Drive dla wszelkiego rodzaju stacji dyskietek. Nas oczywiście najbardziej interesują dyski twarde. Przy większej ilości dysków w komputerze identyfikacja urządzenia bywa trudna, większość użytkowników powinno zobaczyć jednak coś na kształt tego co mamy w przykładzie. Dwa dyski twarde. Ten o numerze 0 zawsze będzie dyskiem systemowym także wybieramy Physical Drive 1. Dla pewności sprawdzamy czy parametry podane przez program zgadzają się ze stanem faktycznym. Mamy do dyspozycji pojemność, producenta, model, a nawet numer seryjny dysku.
Jeżeli wiemy, że tablica partycji jest sprawna i wiemy gdzie dane się znajdowały możemy przełączyć się na bardziej czytelną opcję „Dyski logiczne/woluminy”
Tutaj już w miarę prosty sposób wybieramy partycję po opisującej ją literce oraz ewentualnie pojemności, która jest nam podawana po zaznaczeniu konkretnej partycji. Niezależnie od tego czy skorzystamy z wyboru partycji czy całego dysku, dalsze kroki poza zakresem powierzchni są fundamentalnie identyczne.
Czasami po wyborze partycji program może zaprezentować nam takie okienko
Jeżeli wartości nie są bardzo rozbieżne, tak jak w tym przypadku, gdzie wszystkie pola mają 500GB, możemy kontynuować naciskając „Tak”
Dochodzimy w tym momencie do wyboru partycji z której dane zostały usunięte. W zależności od historii partycjonowania dysku możemy zobaczyć, albo tyko partycje oznaczone na niebiesko, albo coś podobnego do przedstawionego obrazka. Partycje oznaczone niebieskim kwadratem są partycjami aktualnie obecnymi na dysku. Szare wpisy z żółtym kwadratem i są najprawdopodobniej starymi partycjami. Nieaktywne partycje, przy założeniu, że zachowało się wystarczająco dużo danych możemy za pomocą programu DMDE otwierać równie skutecznie jak nowe. Otwieramy wybraną przez nas partycję przyciskiem „Otwórz wolumin”
W oknie partycji możemy rozwinąć katalog $Root aby obejrzeć zawartość dysku. Pójdźmy jednak o krok dalej i otwórzmy [Wszystkie znalezione]. Ukażą się informacje o skanowaniu tablicy MFT lub FAT w zależności od systemu plików i po chwili wrócimy do widoku katalogu $Root tym razem z dodanymi usuniętymi wpisami. Wystarczy wybrać odpowiedni plik z danymi i naciskając prawy przycisk myszy wybrać opcję „Odzyskaj”. Cały czas pamiętamy, aby nie zapisywać danych na tej samej partycji.
Jeżeli dysk jest używany od dawna to ukaże nam się duża ilość danych z których większość może być nadpisana.
Świat uszkodzeń logicznych jest dużo bogatszy niż przedstawiony powyżej prosty przykład z usunięciem danych. W szczególności problematyczne są wspomniane wcześniej przypadki po odzyskiwaniu systemu lub formacie i instalacji nowego systemu. W efekcie stworzona zostaje nowa partycja w miejsce poprzedniej. W związku z tym – po pierwsze wiele wpisów alokacyjnych danych zostaje przez to nadpisane, a po drugie możemy mieć problemy z rozróżnieniem nowej partycji od starej. Jeżeli zachowamy środki ostrożności (nie zapiszemy nic na dysk) to możemy podejmować próby w każdym przypadku. Polecam jednak bardzo dużą ostrożność. Tak jak w przypadku dysku systemowego nie zawsze mamy wpływ na to co, kiedy i gdzie jest w komputerze zapisywane. Źle skonfigurowany lub zawirusowany komputer do którego nasz dysk podłączymy w celu odzyskiwania danych potencjalnie narobi więcej szkody niż przyniesie pożytku. Mając na dysku bardzo cenne dla nas dane często lepiej rozważyć skorzystanie z profesjonalnej pomocy lub jeżeli Państwa umiejętności – przed podjęciem jakichkolwiek działań, zrobienie pełnej kopii posektorowej dysku.
Źródła:
HDTune – http://www.hdtune.com
bezpośredni link do darmowej wersji – http://www.hdtune.com/files/hdtune_255.exe
Recuva – https://www.piriform.com/recuva
DMDE – http://dmde.com/
Odzyskiwane obrazki – http://beksinski.republika.pl/
