Пометить удаленные файлы как удаленные

11

Емкость моего жесткого диска составляет 500 ГиБ. 150 ГБ данных были удалены случайно. После этого инцидента я не записал ни одного байта на диск, поэтому мои данные гарантированно будут там. Я пробовал такие приложения, как Recuva, все приложения показывают, что данные есть, и позволяют сохранять данные в другом месте, но проблема в том, что я не хочу этого делать.

Я просто хочу, чтобы файлы снова были помечены как не удаленные в MFT. Есть ли какое-либо приложение для этой цели? Я много искал, но ничего не нашел, можно ли пометить файлы как удаленные в MFT или я что-то упустил? Я мог бы написать приложение для этого, если бы знал, как сделать это вручную.

Elmo
источник
2
Собственно, в старые времена DOS undeleteи uneraseделали именно это, но программы Windows, как правило, копируют файлы. Я не думаю, что видел какие-либо файлы, которые буквально удаляют файлы. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Может быть, но это не значит, что их можно восстановить; любые фрагментированные файлы, вероятно, позволят вам вернуть только первый фрагмент файла.
Synetech
AFAIK, обычно запись для папки / файла удаляется из MFT при удалении файла. Это может быть не так просто, как включить или выключить немного.
Ганеш Р.
@GaneshR. Это то, что я хочу сделать, я хочу добавить запись в MFT, разве это не возможно? Данные уже есть на жестком диске, их нужно только зарегистрировать в файловой системе.
Elmo
Recuva показывает мне имя файла и папку, в которой он находился.
Elmo
1
Вы можете попробовать запросить разработчиков некоторых инструментов восстановления данных, добавив эту опцию. Вот на форумах обратной связи для нескольких наиболее популярных: Recuva , Photorec
Synetech

Ответы:

5

Удаление файлов на томе NTFS не так просто, как перевернуть один бит. Это правда, что разница между удаленным и не удаленным файлом составляет всего один бит в MFT, но необходимо также восстановить содержимое файла, которое хранится в виде потоков, а также повторно пометить удаленные сектора, как используется в псевдофайл $ Bitmap, который содержит один бит на сектор, каждый бит указывает, используется ли соответствующий кластер (выделен) или свободен (доступен для выделения).

Сложность работы такова, что все инструменты восстановления предпочитают не записывать на поврежденный том. Например, маркировка сектора в $ Bitmap как использованная может привести к перекрестной цепочке, если этот сектор уже использовался другим файлом.

Эта статья очень хорошо продемонстрировала проблему с шестнадцатеричными дампами:
Серия Windows «Восстановление файлов»: Часть 5. Восстановление удаленного файла из файловой системы NTFS вручную .

В другой статье даже содержится исходный код программы, которую можно изменить, чтобы отменить «удаленный» бит: восстановить файл в NTFS .

Существует довольно много дисковых редакторов NTFS, которые могут редактировать MFT, чтобы перевернуть этот бит. Вот некоторые из них, которые я нашел через Google (но, к счастью, никогда не использовал):
WinHex
NTFS Data Recovery Toolkit
DMDE
Freeware Active Disk Editor

Возможное решение, которое могло бы даже работать, состояло бы в том, чтобы отменить удаленный бит в MFT, а затем использовать утилиту chkdsk, чтобы попытаться восстановить содержимое. Эта утилита может восстановить сектора-цепочки файлов, сектора которых были ошибочно помечены как доступные для перераспределения, и исправит $ Bitmap.

Однако всегда есть вероятность, что эта процедура может уничтожить ваш диск.

Вот почему вы и все вышеперечисленные комментаторы (в том числе и я) не нашли ни одного продукта, способного к восстановлению на месте. Возможности испортить ваш диск слишком велики для тех, кто не является сотрудником Microsoft, работающим над NTFS.

Моя лучшая рекомендация для вас - получить второй жесткий диск и восстановить файлы на нем. Я полагаю, вы обнаружили, что одного резервного диска недостаточно. У меня уже было несколько случаев, когда друзья просили меня восстановить их единственную резервную копию, и я всегда советую им (иногда слишком поздно) иметь два резервных диска.

Кроме того, по крайней мере один из двух резервных дисков должен быть отключен от компьютера. Я советую это после того, как услышал о случае, когда компьютер зажег себя и каждое подключенное USB-устройство, оставив владельца без данных и без резервного копирования за один удар.

harrymc
источник
2

Как я уже говорил вчера , вы всегда можете попробовать сделать это вручную с помощью hex / disk-editor, если есть только несколько файлов для восстановления, но я, конечно, не рекомендовал бы это.

После нескольких минут исследований и тестирования мне в итоге удалось пометить файл как не удаленный в $MFT, но проблема в том, что этого недостаточно, вам также нужно пометить кластеры, которые он использует в $BITMAP. Это задание оказалось слишком сложным и слишком много работы, чтобы найти и сделать, и я в конце концов сдался. Я подумал о том, chkdsk /fчтобы проверить, обнаружит ли он несоответствие и правильно ли пометить кластеры, но это было слишком рискованно, поскольку в разделе NTFS, который я тестировал, было несколько других файлов, которые я не хотел потерять.

(Также обратите внимание, что, в отличие от FAT *, NTFS сохраняет цепочку кластеров для файла в файле $MFT, что не гарантирует, что у вас будет доступ ко всей цепочке кластеров во время восстановления, поэтому фрагментированный файл может оказаться невосстановимым. Даже если вы ничего не записали на диск после случайного стирания, это не значит, что Windows этого не сделала. Например, возможно, что она записала \System Volume Information, особенно если запущена служба Shadow Copy / Previous Versions.)

Очевидно, что ручное восстановление не является ни решением, ни ответом на ваш вопрос, поэтому я разместил его только в качестве комментария. К сожалению, все мои поиски оказались пустыми, и краткий ответ на ваш вопрос: нет, нет общедоступных программ, которые могут просто пометить файл как не удаленный на томе NTFS .

(Существуют - дорогие - криминалистические программы, которые могут делать причудливые вещи с дисками и восстанавливать файлы и представлять необработанные данные через фильтр, чтобы показать структуры и тому подобное, но даже они не помогут, потому что они специально не доработка оригинального диска.)

Synetech
источник