Khôi phục dữ liệu

Bách khoa toàn thư mở Wikipedia
Bước tới điều hướng Bước tới tìm kiếm

Trong lĩnh vực điện toán, Khôi phục dữ liệu (hay Phục hồi dữ liệu) là quá trình sử dụng các thiết bị, phần mềm lấy lại dữ liệu từ bị hư hỏng, lỗi hoặc bị định dạng hay không thể tiếp cận từ cấc thiết bị lưu trữ thứ cấp, phương tiện di động, hay các file khi nó không thể được truy cập bình thường. Dữ liệu thường được lấy từ các phương tiện lưu trữ như ổ cứng gắn trong hoặc gắn ngoài (HDD), solid-state drives (SSD), USB flash, băng từ, CD, DVD, hệ thống con RAID, và các thiết bị điện tử khác. Có thể cần khôi phục do hư hỏng vật lý đối với thiết bị lưu trữ hoặc hư hỏng lôgic đối với hệ thống file khiến hệ điều hành chủ không thể gắn nó.

Tình huống khôi phục dữ liệu phổ biến nhất liên quan đến lỗi hệ điều hành, sự cố của thiết bị lưu trữ, lỗi logic của thiết bị lưu trữ, hư hỏng hoặc xóa ngẫu nhiên, v.v. (thường là trên một ổ đĩa đơn, một phân vùng, hệ thống một hệ điều hành), trong trường hợp đó, mục tiêu cuối cùng chỉ đơn giản là sao chép tất cả các file quan trọng từ phương tiện bị hỏng sang một ổ đĩa mới khác. Điều này có thể dễ dàng thực hiện bằng cách sử dụng Live CD hoặc Live USB bằng cách khởi động trực tiếp từ ROM thay vì ổ đĩa bị hỏng được đề cập. Nhiều Live CD hoặc DVD cung cấp phương tiện để gắn ổ đĩa hệ thống và ổ đĩa sao lưu hoặc bộ nhớ di động, và để di chuyển file từ ổ đĩa hệ thống sang phương tiện sao lưu bằng trình quản lý file hoặc phần mềm ghi đĩa quang. Những trường hợp như vậy thường có thể được giảm thiểu bằng cách phân vùng đĩa và lưu trữ liên tục các file dữ liệu có giá trị (hoặc các bản sao của chúng) trên một phân vùng khác với các file hệ điều hành có thể thay thế.

Một tình huống khác liên quan đến lỗi cấp ổ đĩa, chẳng hạn như hệ thống file hoặc phân vùng ổ đĩa bị xâm nhập hoặc ổ đĩa cứng bị lỗi. Trong bất kỳ trường hợp nào, dữ liệu không dễ đọc từ các thiết bị media. Tùy thuộc vào tình huống, các giải pháp liên quan đến việc sửa chữa hệ thống file logic, bảng phân vùng hoặc master boot record, hoặc cập nhật chương trình cơ sở hoặc các kỹ thuật khôi phục ổ đĩa, từ khôi phục dựa trên phần mềm đối với dữ liệu bị hỏng, khôi phục dựa trên phần cứng và phần mềm của các khu vực dịch vụ bị hỏng (còn được gọi là "firmware" của ổ đĩa), để thay thế phần cứng trên một ổ đĩa bị hư hỏng vật lý, cho phép trích xuất dữ liệu sang một ổ đĩa mới. Nếu cần khôi phục ổ đĩa, bản thân ổ đĩa đó thường bị lỗi vĩnh viễn và trọng tâm là khôi phục một lần, lấy lại bất kỳ dữ liệu nào có thể đọc được.

Trong trường hợp thứ ba, các tệp đã bị người dùng vô tình "xóa" khỏi phương tiện lưu trữ. Thông thường, nội dung của các tệp đã xóa không được xóa ngay lập tức khỏi ổ đĩa vật lý;thay vào đó, các tham chiếu đến chúng trong cấu trúc thư mục sẽ bị loại bỏ, và sau đó không gian mà dữ liệu đã xóa đang chiếm giữ sẽ được cung cấp cho việc ghi đè dữ liệu sau này. Theo suy nghĩ của người dùng cuối, các file đã xóa không thể được phát hiện thông qua trình quản lý file tiêu chuẩn, nhưng về mặt kỹ thuật, dữ liệu đã xóa vẫn tồn tại trên ổ đĩa vật lý. Trong khi đó, nội dung file gốc vẫn còn, thường ở một số đoạn bị ngắt kết nối và có thể khôi phục được nếu không bị các file dữ liệu khác ghi đè.

Thuật ngữ "khôi phục dữ liệu" cũng được sử dụng trong ngữ cảnh của các ứng dụng pháp y hoặc gián điệp, nơi dữ liệu đã được mã hóa hoặc ẩn, thay vì bị hỏng, được phục hồi. Đôi khi dữ liệu hiện diện trong máy tính bị mã hóa hoặc ẩn do các lý do như virus tấn công mà chỉ một số chuyên gia pháp y máy tính mới có thể khôi phục được.

Lỗi vật lý[sửa | sửa mã nguồn]

Nhiều loại lỗi có thể gây ra hư hỏng vật lý cho phương tiện lưu trữ, có thể do lỗi của con người và thiên tai. CD-ROM có thể bị xước lớp nền kim loại hoặc lớp thuốc nhuộm; đĩa cứng có thể bị vô số lỗi cơ học, chẳng hạn như hỏng đầu đọc, hỏng PCB và hỏng động cơ; băng có thể bị đứt một cách đơn giản.

Hư hỏng vật lý đối với ổ cứng, ngay cả trong trường hợp xảy ra va chạm đầu đọc, không nhất thiết có nghĩa là sẽ mất dữ liệu vĩnh viễn. Các kỹ thuật được sử dụng bởi nhiều công ty khôi phục dữ liệu chuyên nghiệp thường có thể cứu vãn hầu hết, nếu không phải tất cả, của dữ liệu đã bị mất khi xảy ra lỗi.

Tất nhiên vẫn có những trường hợp ngoại lệ, chẳng hạn như những trường hợp có thể đã xảy ra hư hỏng nghiêm trọng đối với đĩa cứng. Tuy nhiên, nếu ổ cứng có thể được sửa chữa và một hình ảnh hoặc bản sao đầy đủ được tạo, thì cấu trúc file logic có thể được xây dựng lại trong hầu hết các trường hợp.

Hầu hết các thiệt hại vật chất không thể được sửa chữa bởi người dùng cuối. Ví dụ, mở ổ đĩa cứng trong môi trường bình thường có thể cho phép bụi trong không khí đọng lại trên đĩa và bị kẹt giữa đĩa và đầu đọc/ghi. Trong quá trình hoạt động bình thường, đầu đọc/ghi nổi từ 3 đến 6 nanomet trên bề mặt đĩa và các hạt bụi trung bình được tìm thấy trong môi trường bình thường có đường kính khoảng 30.000 nanomet.[1] Khi các hạt bụi này bị kẹt giữa các đầu đọc / ghi và đĩa, chúng có thể gây ra các sự cố đầu mới làm hỏng thêm đĩa và do đó ảnh hưởng đến quá trình khôi phục. Hơn nữa, người dùng cuối thường không có chuyên môn về phần cứng hoặc kỹ thuật cần thiết để thực hiện các sửa chữa này. Do đó, các công ty khôi phục dữ liệu thường được sử dụng để cứu dữ liệu quan trọng với những công ty uy tín hơn sử dụng phòng sạch class 100 không có bụi và tĩnh điện.[2]

Kỹ thuật phục hồi[sửa | sửa mã nguồn]

Khôi phục dữ liệu từ phần cứng bị hư hỏng vật lý có thể liên quan đến nhiều kỹ thuật. Một số hư hỏng có thể được sửa chữa bằng cách thay thế các bộ phận trong đĩa cứng. Chỉ điều này có thể làm cho đĩa có thể sử dụng được, nhưng vẫn có thể có hư hỏng logic. Một quy trình chụp ảnh đĩa chuyên dụng được sử dụng để khôi phục mọi bit có thể đọc được từ bề mặt. Sau khi hình ảnh này được thu thập và lưu trên một phương tiện đáng tin cậy, hình ảnh có thể được phân tích một cách an toàn về hư hỏng lôgic và có thể sẽ cho phép phần lớn hệ thống file gốc được tái tạo.

Sửa chữa phần cứng[sửa | sửa mã nguồn]

Một quan niệm sai lầm phổ biến là một bảng mạch in (PCB) bị hỏng có thể được thay thế đơn giản trong quá trình khôi phục bằng một PCB giống hệt từ một ổ đĩa bình thường. Mặc dù điều này có thể hoạt động trong một số trường hợp hiếm hoi trên các ổ đĩa cứng được sản xuất trước năm 2003, nhưng nó sẽ không hoạt động trên các ổ đĩa mới hơn. Bo mạch điện tử của các ổ đĩa hiện đại thường chứa dữ liệu thích ứng dành riêng cho ổ đĩa (thường là bản đồ các thành phần xấu và các thông số điều chỉnh) và các thông tin khác cần thiết để truy cập dữ liệu trên ổ đĩa một cách chính xác. Bản thay thế thường cần thông tin này để khôi phục hiệu quả tất cả dữ liệu. Bo mạch thay thế có thể cần được lập trình lại. Một số nhà sản xuất (Seagate chẳng hạn) lưu trữ thông tin này trên chuỗi chip EEPROM, chip này có thể được tháo ra và chuyển sang bo mạch thay thế.[3][4]

Mỗi ổ đĩa cứng có cái được gọi là system area hay service area; phần này của ổ đĩa, không thể truy cập trực tiếp cho người dùng cuối, thường chứa firmware của ổ đĩa và dữ liệu thích ứng giúp ổ đĩa hoạt động trong các thông số bình thường.[5] Một chức năng của khu vực hệ thống là ghi lại các cung bị lỗi trong ổ đĩa; về cơ bản cho ổ đĩa biết nơi nó có thể và không thể ghi dữ liệu.

Danh sách khu vực cũng được lưu trữ trên các chip khác nhau gắn với PCB và chúng là duy nhất cho mỗi ổ đĩa cứng. Nếu dữ liệu trên PCB không khớp với những gì được lưu trữ trên đĩa, thì ổ đĩa sẽ không hiệu chỉnh đúng cách.[6] Trong hầu hết các trường hợp, các đầu đọc ổ đĩa sẽ click vì chúng không thể tìm thấy dữ liệu khớp với những gì được lưu trữ trên PCB.

Lỗi logic[sửa | sửa mã nguồn]

Kết quả khôi phục dữ liệu không thành công từ ổ đĩa cứng.

Thuật ngữ "lỗi logic" nói đến tình trạng các lỗi không do các vấn đề về phần cứng và yêu cầu yêu cầu giải pháp cấp độ phần mềm.

Hỏng phân vùng, và lỗi file systems, phương tiện[sửa | sửa mã nguồn]

Trong một số trường hợp, dữ liệu trên ổ đĩa cứng có thể không đọc được do bảng phân vùng hoặc hệ thống file bị hỏng hoặc do lỗi phương tiện (không liên tục). Trong phần lớn các trường hợp này, ít nhất một phần dữ liệu gốc có thể được phục hồi bằng cách sửa chữa bảng phân vùng hoặc hệ thống file bị hỏng bằng phần mềm khôi phục dữ liệu chuyên dụng như Testdisk; phần mềm như dd rescue có thể tạo ảnh phương tiện bất chấp lỗi gián đoạn và ảnh dữ liệu thô khi có bảng phân vùng hoặc hệ thống file bị hỏng. Loại phục hồi dữ liệu này có thể được thực hiện bởi những người không có chuyên môn về phần cứng ổ đĩa vì nó không yêu cầu thiết bị vật lý đặc biệt hoặc quyền truy cập vào đĩa cứng.

Đôi khi dữ liệu có thể được khôi phục bằng các phương pháp và công cụ tương đối đơn giản;[7] các trường hợp nghiêm trọng hơn có thể yêu cầu sự can thiệp của chuyên gia, đặc biệt nếu các phần của tệp không thể khôi phục được. Data carving là việc khôi phục các phần của fiile bị hỏng bằng cách sử dụng kiến thức về cấu trúc của chúng.

Ghi đè dữ liệu[sửa | sửa mã nguồn]

After data has been physically overwritten on a hard disk drive, it is generally assumed that the previous data are no longer possible to recover. In 1996, Peter Gutmann, a computer scientist, presented a paper that suggested overwritten data could be recovered through the use of magnetic force microscopy.[8] In 2001, he presented another paper on a similar topic.[9] To guard against this type of data recovery, Gutmann and Colin Plumb designed a method of irreversibly scrubbing data, known as the Gutmann method and used by several disk-scrubbing software packages.

Substantial criticism has followed, primarily dealing with the lack of any concrete examples of significant amounts of overwritten data being recovered.[10] Although Gutmann's theory may be correct, there is no practical evidence that overwritten data can be recovered, while research has shown to support that overwritten data cannot be recovered.[cần định rõ][11][12][13]

Solid-state drives (SSD) overwrite data differently from hard disk drives (HDD) which makes at least some of their data easier to recover. Most SSDs use flash memory to store data in pages and blocks, referenced by logical block addresses (LBA) which are managed by the flash translation layer (FTL). When the FTL modifies a sector it writes the new data to another location and updates the map so the new data appear at the target LBA. This leaves the pre-modification data in place, with possibly many generations, and recoverable by data recovery software.

Lost, deleted, and formatted data[sửa | sửa mã nguồn]

Sometimes, data present in the physical drives (Internal/External Hard disk, Pen Drive, etc.) gets lost, deleted and formatted due to circumstances like virus attack, accidental deletion or accidental use of SHIFT+DELETE. In these cases, data recovery software are used to recover/restore the data files.

Logical bad sector[sửa | sửa mã nguồn]

In the list of logical failures of hard disks, logical bad sector is the most common in which data files cannot be retrieved from a particular sector of the media drives. To resolve this, software is used to correct the logical sectors of the media drive. If this is not enough, the hardware containing the logical bad sectors must be replaced.

Remote data recovery[sửa | sửa mã nguồn]

Recovery experts do not always need to have physical access to the damaged hardware. When the lost data can be recovered by software techniques, they can often perform the recovery using remote access software over the Internet, LAN or other connection to the physical location of the damaged media. The process is essentially no different from what the end user could perform by themselves.[14]

Remote recovery requires a stable connection with an adequate bandwidth. However, it is not applicable where access to the hardware is required, as in cases of physical damage.

Four phases of data recovery[sửa | sửa mã nguồn]

Usually, there are four phases when it comes to successful data recovery, though that can vary depending on the type of data corruption and recovery required.[15]

Phase 1
Repair the hard disk drive
The hard drive is repaired in order to get it running in some form, or at least in a state suitable for reading the data from it. For example, if heads are bad they need to be changed; if the PCB is faulty then it needs to be fixed or replaced; if the spindle motor is bad the platters and heads should be moved to a new drive.
Phase 2
Image the drive to a new drive or a disk image file
When a hard disk drive fails, the importance of getting the data off the drive is the top priority. The longer a faulty drive is used, the more likely further data loss is to occur. Creating an image of the drive will ensure that there is a secondary copy of the data on another device, on which it is safe to perform testing and recovery procedures without harming the source.
Phase 3
Logical recovery of files, partition, MBR and filesystem structures
After the drive has been cloned to a new drive, it is suitable to attempt the retrieval of lost data. If the drive has failed logically, there are a number of reasons for that. Using the clone it may be possible to repair the partition table or master boot record (MBR) in order to read the file system's data structure and retrieve stored data.
Phase 4
Repair damaged files that were retrieved
Data damage can be caused when, for example, a file is written to a sector on the drive that has been damaged. This is the most common cause in a failing drive, meaning that data needs to be reconstructed to become readable. Corrupted documents can be recovered by several software methods or by manually reconstructing the document using a hex editor.

Restore disk[sửa | sửa mã nguồn]

The Windows operating system can be reinstalled on a computer that is already licensed for it. The reinstallation can be done by downloading the operating system or by using a "restore disk" provided by the computer manufacturer. Eric Lundgren was fined and sentenced to U.S. federal prison in April 2018 for producing 28,000 restore disks and intending to distribute them for about 25 cents each as a convenience to computer repair shops.[16]

Danh sách phần mềm khôi phục dữ liệu[sửa | sửa mã nguồn]

Bootable[sửa | sửa mã nguồn]

Không phải lúc nào cũng có thể thực hiện khôi phục dữ liệu trên hệ thống đang chạy. Do đó, boot disk, live CD, live USB, hoặc bất kỳ loại phân phối trực tiếp nào khác đều chứa một hệ điều hành tối thiểu.

  • BartPE: một biến thể nhẹ của hệ điều hành Microsoft Windows XP hoặc Windows Server 2003 32-bit, tương tự như Windows Preinstallation Environment, có thể chạy từ live CD hoặc live USB. đã ngừng phát triển.
  • Finnix: một LiveCD dựa trên Debian với trọng tâm là nhỏ và nhanh, hữu ích cho việc cứu hộ máy tính và dữ liệu.
  • Disk Drill Basic: có khả năng tạo ổ USB Mac OS X có thể khởi động để khôi phục dữ liệu
  • Knoppix: chứa các tiện ích phục hồi dữ liệu trong Linux
  • SpinRite: một công cụ khôi phục dữ liệu dựa trên FreeDOS cho đĩa cứng và thiết bị lưu trữ từ tính
  • SystemRescueCD: một liveCD dựa trên Arch Linux, hữu ích để sửa chữa các hệ thống máy tính không thể khởi động và truy xuất dữ liệu sau sự cố hệ thống
  • Windows Preinstallation Environment (WinPE): một live DVD Windows có thể tùy chỉnh (tạo bởi Microsoft và phân phối miễn phí). Có thể được sửa đổi để khởi động vào bất kỳ chương trình nào được liệt kê.

Consistency checkers[sửa | sửa mã nguồn]

  • CHKDSK: a consistency checker for DOS and Windows systems
  • Disk First Aid: a consistency checker for Mac OS 9
  • Disk Utility: a consistency checker for Mac OS X
  • fsck: a consistency checker for UNIX
  • gparted: a GUI for GNU parted, the GNU partition editor, capable of calling fsck

File recovery[sửa | sửa mã nguồn]

Forensics[sửa | sửa mã nguồn]

Imaging tools[sửa | sửa mã nguồn]

  • Clonezilla: a free disk cloning, disk imaging, data recovery, and deployment boot disk
  • ddrescue: an open-source tool similar to dd but with the ability to skip over and subsequently retry bad blocks on failing storage devices
  • dd: common byte-to-byte cloning tool found on Unix-like systems
  • Team Win Recovery Project: a free and open-source recovery system for Android devices

Tham khảo[sửa | sửa mã nguồn]

  1. ^ https://acsdata.com/data-recovery-3tb-seagate-hard-drive/#Hard_Drive_Flying_Height Lưu trữ 2017-02-13 tại Wayback Machine
  2. ^ Vasconcelos, Pedro. “DIY data recovery could mean "bye-bye". The Ontrack Data Recovery Blog. Ontrack Data Recovery. Truy cập ngày 26 tháng 7 năm 2019.
  3. ^ “Hard Drive Circuit Board Replacement Guide or How To Swap HDD PCB”. donordrives.com. Bản gốc lưu trữ ngày 27 tháng 5 năm 2015. Truy cập ngày 27 tháng 5 năm 2015.
  4. ^ “Firmware Adaptation Service - ROM Swap”. pcb4you.com. Bản gốc lưu trữ ngày 29 tháng 3 năm 2013. Truy cập ngày 27 tháng 5 năm 2015.
  5. ^ Ariel Berkman (ngày 14 tháng 2 năm 2013). “Hiding Data in Hard Drive's Service Areas” (PDF). recover.co.il. Bản gốc (PDF) lưu trữ ngày 26 tháng 2 năm 2015. Truy cập ngày 23 tháng 1 năm 2015.
  6. ^ “Data Recovery Report - Read Before Choosing A Data Recovery Company”. ngày 16 tháng 4 năm 2013. Bản gốc lưu trữ ngày 16 tháng 4 năm 2013.
  7. ^ Data Recovery Software Lưu trữ 2016-10-17 tại Wayback Machine
  8. ^ Secure Deletion of Data from Magnetic and Solid-State Memory Lưu trữ 2007-12-09 tại Wayback Machine, Peter Gutmann, Department of Computer Science, University of Auckland
  9. ^ Data Remanence in Semiconductor Devices Lưu trữ 2007-02-21 tại Wayback Machine, Peter Gutmann, IBM T.J. Watson Research Center
  10. ^ Feenberg, Daniel (ngày 14 tháng 5 năm 2004). “Can Intelligence Agencies Read Overwritten Data? A response to Gutmann”. National Bureau of Economic Research. Bản gốc lưu trữ ngày 9 tháng 5 năm 2008. Truy cập ngày 21 tháng 5 năm 2008.
  11. ^ “Disk Wiping – One Pass is Enough”. anti-forensics.com. ngày 17 tháng 3 năm 2009. Bản gốc lưu trữ ngày 2 tháng 9 năm 2012.
  12. ^ “Disk Wiping – One Pass is Enough – Part 2 (this time with screenshots)”. anti-forensics.com. ngày 18 tháng 3 năm 2009. Bản gốc lưu trữ ngày 27 tháng 11 năm 2012.
  13. ^ Wright, Dr. Craig (ngày 15 tháng 1 năm 2009). “Overwriting Hard Drive Data”. Bản gốc lưu trữ ngày 23 tháng 5 năm 2010.
  14. ^ Barton, Andre (ngày 17 tháng 12 năm 2012). “Data Recovery Over the Internet”. Data Recovery Digest. Bản gốc lưu trữ ngày 27 tháng 5 năm 2015. Truy cập ngày 29 tháng 4 năm 2015.
  15. ^ Stanley Morgan (ngày 28 tháng 12 năm 2012). “[Infographic] Four Phases Of Data Recovery”. dolphindatalab.com. Bản gốc lưu trữ ngày 2 tháng 4 năm 2015. Truy cập ngày 23 tháng 3 năm 2015.
  16. ^ Washington Post (ngày 26 tháng 4 năm 2018). “Electronics-recycling innovator is going to prison for trying to extend computers' lives”. Washington Post. Truy cập ngày 2 tháng 5 năm 2018.