Войти
Отмена удаления - это функция для восстановления компьютерных файлов, которые были удалены из файловой системы посредством удаления файлов. Удаленные данные можно восстановить во многих файловых системах, но не во всех файловых системах есть функция восстановления. Восстановление данных без возможности восстановления обычно называется восстановлением данных, а не восстановлением. Хотя восстановление может помочь предотвратить случайную потерю данных пользователями, оно также может представлять угрозу компьютерной безопасности, поскольку пользователи могут не знать, что удаленные файлы остаются доступными.
Не все файловые системы или операционные системы поддерживают восстановление. Восстановление возможно во всех файловых системах FAT. Утилиты восстановления доступны с MS-DOS 5.0 и DR DOS 6.0 в 1991 году. Они не поддерживаются большинством современных Файловые системы UNIX, хотя AdvFS является заметным исключением. Файловая система ext2 имеет дополнительную программу под названием e2undel, которая позволяет восстанавливать файлы. Подобная файловая система ext3 официально не поддерживает восстановление, но такие утилиты, как ext4magic, extundelete, PhotoRec и ext3grep, были написаны для автоматизации восстановления на томах ext3. Отменить удаление было предложено в ext4, но еще не реализовано. Однако функция корзины была опубликована в виде исправления 4 декабря 2006 г. Функция корзины использует атрибуты восстановления удаления в файловых системах ext2 / 3/4 и Reiser.
Norton UNERASE был важным компонентом в Norton Utilities версии 1.0 в 1982 году.
Microsoft включила аналогичную программу UNDELETE в версиях 5.0–6.22 из MS-DOS, но в более поздних операционных системах, использующих FAT, вместо него применялся подход Корзина.
DR DOS 6.0 и выше также поддерживают UNDELETE, но при необходимости предлагают дополнительную защиту с использованием утилиты моментальных снимков FAT DISKMAP и резидентного компонента отслеживания удаления, который активно сохраняет отметки даты и времени удаленных файлов и предохраняет содержимое удаленных файлов от перезаписи, если не исчерпывается дисковое пространство. DELWATCH также поддерживает восстановление удаленных файлов на файловых серверах. Начиная с Novell DOS 7, ядро будет сохранять первую букву удаленных файлов в записях каталога, чтобы в дальнейшем помочь инструментам восстановления восстановить исходное имя.
PTS-DOS предлагает ту же функцию, которую можно настроить с помощью директивы SAVENAME CONFIG.SYS.
Версия UNDELETE для FreeDOS была разработана Эриком Ауэром и распространяется по лицензии GPL.
Графические В пользовательских средах часто используется другой подход к восстановлению, вместо этого используется «область хранения» для файлов, подлежащих удалению. Нежелательные файлы перемещаются в эту область хранения, и все файлы в области хранения периодически удаляются или по запросу пользователя. Этот подход используется корзиной для мусора в операционных системах Macintosh и корзиной в Microsoft Windows. Это естественное продолжение подхода, применявшегося в более ранних системах, таких как группа лимбо, используемая LocoScript. Этот подход не подвержен риску того, что другие файлы, записываемые в файловую систему, очень быстро повредят удаленный файл; безвозвратное удаление произойдет по предсказуемому расписанию или только при ручном вмешательстве.
Другой подход предлагается такими программами, как Norton GoBack (ранее Roxio GoBack): часть места на жестком диске отводится для операций изменения файлов, которые должны быть записаны таким образом, чтобы их можно было позже отменить. Этот процесс обычно намного безопаснее для восстановления удаленных файлов, чем операция восстановления, описанная ниже.
Аналогичным образом файловые системы, которые поддерживают «моментальные снимки» (например, ZFS или btrfs ), могут использоваться для создания моментальных снимков всей файловой системы через определенные промежутки времени (например, каждый час), что позволяет восстанавливать файлы из более раннего снимка.
Восстановление не является отказоустойчивым. Как правило, чем раньше будет предпринята попытка восстановления, тем больше вероятность, что она будет успешной. Это связано с тем, что чем больше используется система, тем больше данных записывается на диск и потенциально выделяется для этого удаленного пространства. Фрагментация удаленного файла также может снизить вероятность восстановления в зависимости от типа файловой системы (см. Ниже). Фрагментированный файл разбросан по разным частям диска, а не в непрерывной области.
Работа восстановления зависит от файловой системы, в которой был сохранен удаленный файл. Некоторые файловые системы, такие как HFS, не могут обеспечить функцию восстановления, поскольку информация об удаленном файле не сохраняется (за исключением дополнительного программного обеспечения, которое обычно отсутствует). Однако некоторые файловые системы не стирают все следы удаленного файла, включая файловые системы FAT:
Когда файл «удаляется» с использованием FAT файловой системы запись каталога остается почти неизменной, за исключением первого символа имени файла, сохраняя большую часть имени «удаленного» файла вместе с его отметкой времени, file длина и, самое главное, его физическое расположение на диске. Однако список дисковых кластеров, занятых файлом, будет удален из Таблицы размещения файлов, отмечая эти сектора доступными для использования другими файлами, созданными или измененными впоследствии. В случае FAT32 дополнительно стирается поле, отвечающее за старшие 16 бит значения начального кластера файла.
При попытке восстановления файла должны быть выполнены следующие условия для успешного восстановления файла:
Шансы на восстановление удаленных файлов часто выше на FAT12 и FAT16 по сравнению с томами FAT32 из-за обычно большего размера размеры кластера, используемые прежними системами, и из-за потери старших 16 бит логического адреса кластера для FAT32.
Если программа восстановления не может обнаружить явных признаков несоблюдения вышеуказанных требований, она восстановит запись каталога как используемую и пометит все последовательные кластеры, начиная с того, что записано в старой записи каталога, как используется в таблице размещения файлов. Затем пользователь должен открыть восстановленный файл и убедиться, что он содержит полные данные ранее удаленного файла.
Восстановление фрагментированных файлов (после первого фрагмента) обычно невозможно с помощью автоматических процессов, а только путем ручного исследования каждого (неиспользуемого) блока диска. Это требует подробных знаний о файловой системе, а также о двоичном формате восстанавливаемого типа файла, поэтому это делают только специалисты по восстановлению или криминалисты.
NTFS хранит информацию о файлах в виде набора записей фиксированного размера (обычно 1 КБ) в так называемой главной таблице файлов (MFT). Имя файла и информация о размещении файлов инкапсулируются в эти записи, обеспечивая полную информацию о каждом конкретном файле. Когда система удаляет файл, запись в главной таблице файлов освобождается для отмены связи или повторного использования, но по-прежнему остается на диске. Пока запись MFT не будет повторно использована или перезаписана, файл может быть легко восстановлен: программа восстановления данных может найти «потерянную» запись MFT и получить из нее полную информацию о потерянном файле.
Однако обратите внимание: когда функция SSD TRIM включена, содержимое файла может быть уничтожено вскоре после удаления для повторного использования ячеек памяти SSD. Это делает невозможным восстановление содержимого файла (на диске останется только информация об имени, дате и размере файла).
Удаление данных - это термин, обозначающий программные методы предотвращения восстановления файлов.
