Восстановление информации: обзор программ и мнение экспертов
Журнал ITСПЕЦ (#12)
Никто не застрахован от нелепых случайностей и несчастных случаев. Если вы удалили нужный файл, а может, и того хуже – у вас сломался винчестер или невозможно прочитать важную информацию с флэш накопителя, то это еще не повод ставить крест на своих данных. Современные программы позволяют восстановить информацию, утерянную из-за сбоя оборудования или по ошибке пользователя.
От чего зависит успех восстановления информации? От количества записанных данных после ее потери. Каждый винчестер хранит таблицу размещения файлов на диске. Для NTFS она называется Master File Table, для FAT – File Allocation Table. Когда происходит удаление файла, то система просто помечает его в качестве удаленного в своей файловой системе. То есть в реальности данные не удаляются, просто место, занимаемое ими, помечается как свободное. Таким образом, если в момент восстановление на носитель производилось минимум записи (идеальный вариант – когда ничего не писалось вовсе), то специализированная программа просканирует диск, найдя физическое расположение файла, построив так называемую карту его фрагментов, и вернет то, что казалось потерянным навсегда.
В момент сканирования носителя вам будет доступна информация о месторасположении данных на нем. Все найденные файлы будут рассортированы по группам в соответствии с их типом. R-Studio попытается также восстановить путь, по которому располагается файл с его полным именем, что явно удобнее, чем просматривать кучу файлов с именами Text1.doc, Text2.doc и т.п., пытаясь найти нужное. R-Studio работает в двух режимах:
- восстановление удаленных данных. Предположим, носитель имеет файловую структуру NTFS. В этом случае осуществляется просмотр MFT (Master File Table), затем попытка отобразить имена всех файлов, которые были удалены, но запись о них в таблице еще осталась;
- сканирование носителя. При этом используется методика IntelligentScan, позволяющая с высокой вероятностью вернуть информацию. Данный режим предназначен для ситуаций случайного форматирования винчестера, его неработоспособности в результате сбоя или разрушения файловой системы, например под действием вируса.
Название: Recover My Files
Официальный сайт: www.recovermyfiles.com
ОС: Windows 95, 98, ME, NT, 2000, XP, 2003
Условия распространения: Shareware (условно-бесплатная)
Без регистрации вы можете только производить поиск файлов и просмотр, но не сохранять их. Полнофункциональная версия стоит $69,95.
«Эта утилита позволяет очень легко восстановить файлы, случайно удаленные, потерянные после форматирования или в результате сбоя носителя», - из описания на официальном сайте. Интуитивно понятный интерфейс и поддержка большого количества типов файлов, которые программа может обнаружить и распознать, делают ее незаменимым средством по спасению от нелепых случайностей. Стоит отметить, что с его помощью вы сможете также работать и с модулями памяти цифровых камер.
В Recover My Files поддерживаются следующие режимы сканирования носителя:
- Fast File Search - восстановление удаленных и временных файлов и папок;
- Complete File Search – аналогично первому режиму, а также полное сканирование жесткого диска на предмет потерянных файлов;
- Fast Format Recover – быстрое сканирование диска, подвергшегося форматированию или сбою в работе;
- Complete Format Recover – полное сканирование диска, подвергшегося форматированию или сбою в работе.
Весьма удобная возможность утилиты – по мере поиска файлов можно сразу просматривать их содержимое, не дожидаясь окончания всего процесса.
EasyRecovery
Название: EasyRecovery Pro
Официальный сайт: www.ontrackdatarecovery.com
ОС: Windows 9x, ME, 2000, XP
Условия распространения: Trial
Продвинутая и в то же время самая «тяжелая» утилита – объем дистрибутива 35Мб с лишним. EasyRecovery помимо восстановления информации может продиагностировать ваш накопитель с помощью специальной утилиты – DataAdvisor. Это комплексная утилита для диагностики жесткого диска, профилактики сбоев в работе системы и предотвращения ситуаций, приводящих к потере данных.
Еще EasyRecovery умеет исправлять поврежденные файлы Word, Excel, PowerPoint, ACCESS и zip-архивы. К примеру, вы не успели сохранит важные документ и было отключено электричество. После включения компьютера документ может оказаться «битым», здесь EasyRecovery и пригодиться.
В EasyRecovery доступно несколько режимов работы, позволяющих производить как поверхностное сканирование для восстановления удаленных файлов, так и доскональный просмотр накопителя на предмет потерянных данных. Скорость работы и качество восстановленных данных на высоте.
Превентивные меры
Почему выходят из строя жесткие диски? Дело в том, что винчестер – это механическое устройство, а значит, со временем он изнашивается. Поэтому рекомендуется изредка проводить диагностику, тогда вы сможете заранее понять, когда дешевле и надежнее будет сменить сам жесткий диск. Например, можно воспользоваться бесплатной программой HDDScan – Она позволяет проводить тестирование накопителя на предмет BAD-блоков, диагностировать состояние механики накопителя и его поверхности, получать подробные сведения о параметрах и настройках накопителя.
МНЕНИЕ ЭКСПЕРТОВ
Алексей Силкин, технический директор лаборатории восстановления данных DATALABS (www.datalabs.ru)
Алексей Писаков, руководитель и старший специалист специализированного центра восстановления информации DATA RECOVERY MAIN CENTER (www.drmc.ru)
Александр Зеленцов, коммерческий директор центра восстановления данных «Феникс» (www.venu.ru)
Кто чаще к вам обращается – мелкие организации или большие компании? Есть ли какая-то статистика по обращениям?
Алексей Силкин: В основном это первая группа, так как в больших компаниях хорошо налажено резервное копирование. Хотя иногда заскакивают и последние. Точной статистики нет, а если брать примерно, на глазок, то 45 и 10 соответственно, остальные 45% составляют частные лица, желающие восстановить утерянные данные.
Алексей Писаков: Если честно, данным вопросом не интересовались. К нам приходит человек, и мы стараемся ему помочь, будь он хоть глава корпорации, системный администратор банка или обычный студент. Место работы обычно не спрашиваем, поэтому никакой статистики не ведем. А оплата организациями за выполненные услуги частот производиться наличными.
Александр Зеленцов: Среди наших клиентов мы никого не выделяем – любой человек или компания имеют абсолютно равный приоритет. Основополагающими факторами являются характер неисправности носителя и предъявляемые заказчиком сроки. Но скорее средние и малые организации являются нашими основными клиентами. Они зачастую не уделяют должного внимания надежности, а при выходе из строя всего одного носителя информации встает работа целого отдела или, еще хуже, всей компании. Их главным требованием является выполнение работ в кратчайшие сроки. Отдельно могу отметить, что к нам обращается и достаточно много частных лиц, так как наша компания является партнером ряда официальных сервисных центров. Приблизительно статистика обращений: 10% - крупные компании, 60% - средний и малый бизнес, 30% - частные лица.
Какая наиболее популярная причина обращений к вам?
Алексей Силкин: Нечаянное удаление, форматирование, глюки Windows и программ, приводящие к разрушению файловой структуры, скачки напряжения, физические падения, заводской брак, устаревание оборудования (люди думают, что диски вечны) – аппаратные поломки, другими словами.
Алексей Писаков: Большая часть корпоративных клиентов обращается к нам за помощью при утере документов и баз данных, относящихся к ведению бизнеса, а частные лица – при утере домашних документов, фотографий и видео. Причины могут быть различными, в зависимости от типов носителей. На USB-flash информация может быть утеряна вследствие некорректного извлечения из компьютера или ноутбука или случайного удаления. На жестких дисках документы и базы чаще всего пропадают в связи с повреждениями файловой системы логических дисков (когда недоступны файлы и папки) или при выходе из строя самих жестких дисков (когда диск не определяется компьютером). Причины обращений к нам за помощью по восстановлению информации с серверов и хранилищ – сбои (некорректная работа) оборудования и ПО, а также неквалифицированное вмешательство в работу оборудования.
Александр Зеленцов: За последний год в отличии от предыдущих наиболее популярными стали обращения, связанные со случаями выхода из стоя компонентов жестких дисков. Начиная от неисправности контроллера до выхода из строя блока магнитных головок (БМГ). Причем можно отметить, что случаи неисправности БМГ увеличились примерно в три раза.
Обращения, связанные с потерей данных на флэш-картах, в основной массе заключаются в ошибочных действиях пользователей (удаление файлов, форматирование носителя, неправильная эксплуатация, приводящая к сбоям файловой системы).
Какое восстановление технически наиболее сложное?
Алексей Силкин: Самое сложное – это когда повреждена поверхность накопителя, то самое важное место, где и лежат данные. А по времени самый долгий случай занял месяц, но там у винчестера умерли головки и требовалась их замена. Все упиралось в то, чтобы найти аналогичный винчестер, которого в продаже уже нет несколько лет. И мы, и клиент искали «доноров», меняли головки, но они опять умирали. В итоге потребовалось несколько доноров, поиски которых заняли больше времени, чем сам проесс восстановления.
Алексей Писаков: В каждой неисправности есть свои сложности. Но самые сложные работы с технической точки зрения – с внутренней механикой дисков. Диски с данным типом повреждений к нам доставляют после пожаров, автомобильных аварий, намеренной или случайной порчи оборудования (уронили диск на пол или ударили по корпусу накопителя тяжелым предметом).
Александр Зеленцов: Самые сложные случаи связаны с выходом из строя различных компонентов жесткого диска и последующими последствиями попыток самостоятельного восстановления или обращения к неквалифицированным специалистам. Часто к нам приносят полностью перебранный заляпанный диск, который нам приходиться приводить в рабочее состояние. После чего выясняется, что первоначально проблему можно было решить без вскрытия диска.
А самый курьезный случай, связанный с восстановлением информации?
Алексей Силкин: Из флэшек – восстановление данных с карты памяти фотоаппарата, который упал в пропасть при попытке сфотографироваться в горах. Кстати человек тоже чуть не улетел. Когда каким-то чудом нашли фотоаппарат у подножия горы, карта памяти была разбита на несколько частей. Из дисков - однажды утром раздался звонок. Молодой человек сообщил, что у него упал RAID5 массив из пяти SCSI винчестеров и требуется восстановление данных. Сказал что из области и приедет через пару часов. С учетом московских пробок приехал только под закрытие, оставив нам на диагностику полчаса. Сервер привез целиком, около 30 кг. Получаса хватило, что бы констатировать страшный факт. Данные на всех винчестерах из массива уничтожены. Со слов системного администратора, ситуация была следующая. Сервер работал, к нему обращались пользователи. Документы, 1С бухгалтерия и т.п. Заметили, что к одному из дисков нет обращения, не моргает лампочка. БИОС RAID контроллера показывает что массив поврежден (Array DEGRADED), но данные при этом читаются, хоть и скорость работы сервера заметно упала. Решили сделать «благое» дело. Вставить вместо сломанного винчестера новый и воспользоваться функцией REBUILD. Собственно RAID5 на это и рассчитан. После долгой работы REBUILD сервер перестал загружаться вообще. Когда диски попали к нам, на обычном SCSI контроллере, через DiskEditor, на всех дисках были видны нули, по всей поверхности. Налицо грубейшая ошибка системного администратора и халатное отношение к информации предприятия. Ведь прежде чем совершать какие либо манипуляции с данными, пока они читаются, их нужно скопировать в надежное место. Вот так, мы остались без денег, а фирма - без данных.
Алексей Писаков: Вот один из таких случаев. Отмечая Новый год, сотрудники случайно облили шампанским работающие ноутбуки. На одном их них была критично важная информация для работы. То, что диски в ноутбуках не работают и нет бекапов, обнаружилось 2 января, а работать нужно было уже с 4-го числа. Информация в срочном порядке была восстановлена и отдана заказчикам 3 января.
Александр Зеленцов: Отвечая на данный вопрос, хотелось бы отдельно отметить участившиеся случаи недобросовестных работ в сфере восстановления данных. Как пример, могу рассказать одну историю. К нам обратился клиент с просьбой провести диагностику и оценить стоимость работ по восстановлению данных с жесткого диска. В процессе диагностики мы определили, что поверхность диска была специально зацарапана и в данном случае восстановление невозможно. Из беседы с клиентом мы узнали, что он обратился в одну компанию, где диагностику проводили в течение нескольких дней и сообщили, что он может забрать восстановленную информацию, но стоимость работ превышает средне рыночную в 10 раз! Уважающие свое имя и своих клиентов компании, всегда после диагностики сообщают точную стоимость работ по восстановлению информации, исходя из имеющегося приблизительного прайс-листа на предоставляемые услуги. Если клиента не удовлетворяет обозначенная цена, то носитель возвращается в исходном виде.
Какое ПО посоветуете для восстановления своими силами?
Алексей Силкин: Раньше советовал «любое бесплатное ПО», сейчас не советую ничего, так как участились случаи порчи данных некорректными действиями самих пользователей и горе-мастеров.
Алексей Писаков: Для того чтобы пользоваться ПО для восстановления данных, необходимы хотя бы начальные знания о накопителях и файловых системах. Если их нет или недостаточно, есть очень большая вероятность, что человек может усугубить ситуацию или уничтожить данные безвозвратно. Для остальных – в Интернете есть очень много программ с описанием. Но мы не можем ничего конкретного порекомендовать, так как сами работаем на более высоком уровне.
Александр Зеленцов: Самостоятельно можно рекомендовать только восстановление с логически поврежденного носителя (в таких случаях, когда накопитель исправно работает, а данные недоступны). Хорошо зарекомендовали себя в этом такие программы, как R-Studio и GetDataBack. Но необходимо помнить, что нельзя производить запись новых данных на поврежденный носитель. С накопителей, имеющих поврежденные секторы, сначала рекомендуется сделать копию-образ на другой носитель. R-Studio это тоже поддерживает.
Расскажите немного о технологиях восстановления и технических средствах, применяемых вашей компанией?
Алексей Писаков: С технической точки зрения все зависит от конкретного случая, так как в разных ситуациях применяются совершенно различные методы и средства восстановления информации. Но наши наработки, методы восстановления данных и используемое оборудование являются коммерческой тайной.
Мы работаем с носителями информации только в режиме чтения или с физическими образами этих носителей, если требуется вмешательство в структуру данных. Для хранения восстановленной информации у нас имеются отдельные серверы, которые специально собирались для безотказной работы (с избыточностью компонентов).
Иногда восстановление производиться около месяца – на носителях с сильно поврежденной поверхностью. Причем не все фирмы берутся за подобные заказы, так как они требуют для восстановления данных больших накладных расходов (оборудование долгое время занято одним заказом). Чтобы выполнить такие заказы, компания должна обладать достаточными мощностями, рассчитанными на любую сложность и длительность выполнения работ, у нас они имеются.
Александр Зеленцов: Из-за возникновения различных неисправностей и многообразия накопителей со своими особенностями технология подбирается в каждом конкретном случае, но в общем можно выделить несколько отдельных этапов восстановления с жесткого диска. Вначале диск приводится в состояние, позволяющее считать образ с накопителя на аппаратном комплексе (замена контроллера, с последующей корректировкой служебной информации носителя, установка нового комплекта блока магнитных головок, расклинивание двигателя и т.п.), если это необходимо. После это производится разбор логической структуры полуенног образа программными средствами. При восстановлении с флэш-карт определяется исправность карты. Если карта исправна, то производится программное восстановление. В случае неисправности карты, информация восстанавливается с микросхем памяти.
В нашей компании применяются программно-аппаратные комплексы, разработанные компанией BVG-group: HDD Repair Tool 3 и HDD Repair Tool UDMA 5 для восстановления данных с жестких дисков и новый комплекс для восстановления информации с флэш-карт – Flash Recovery Tool.