Silinen Dosyaları Geri Alındı ​​Olarak İşaretle


11

Sabit diskimin kapasitesi 500 GiB. 150 GB veri yanlışlıkla silindi. O olaydan sonra sürücüye herhangi bir bayt yazmadım, bu yüzden verilerimin orada olacağı garanti ediliyor. Recuva gibi uygulamaları denedim, tüm uygulamalar verinin orada olduğunu gösteriyor ve verileri farklı bir yere kaydetmeme izin veriyor, ancak sorun bunu yapmak istemiyorum.

Sadece dosyaların tekrar MFT'de silinmemiş olarak işaretlenmesini istiyorum. Bu amaçla kullanılabilecek herhangi bir uygulama var mı? Çok aradım ama hiçbir şey bulamadım, MFT'de silindiği gibi dosyaların işaretini kaldırmak mümkün mü yoksa bir şey mi kaçırıyorum? Manuel olarak nasıl yapacağımı biliyorsam bunun için bir uygulama yazabilirim.


2
Aslında, eski DOS günlerinde undeleteve unerasetam olarak bunu yaptı, ancak Windows programları dosyaları kopyalama eğilimindedir . Tam anlamıyla silinmiş dosyaları gördüğümü sanmıyorum. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Belki, ama bu kurtarılabilir oldukları anlamına gelmez; parçalanmış dosyalar muhtemelen sadece dosyanın ilk yığınını geri almanıza izin verir.
Synetech

AFAIK, normalde bir dosyayı sildiğinizde klasör / dosya girişi MFT'den kaldırılır. Biraz açmak veya kapatmak kadar basit olmayabilir.
Ganesh R.

@GaneshR. Bunu yapmak istiyorum, girişi MFT'ye tekrar eklemek istiyorum, bu mümkün değil mi? Veriler zaten sabit sürücüde var, sadece dosya sistemine kaydedilmesi gerekiyor.
Elmo

Recuva bana dosya adını ve dosyanın bulunduğu klasörü gösterir.
Elmo

1
Bazı veri kurtarma araçlarının geliştiricilerinden bu seçeneği eklemelerini istemeyi deneyebilirsiniz. : İşte en popüler bir çift için geri besleme forumları var Recuva , PhotoRec
Synetech

Yanıtlar:


5

NTFS birimindeki dosyaları geri almak, bir biti çevirmek kadar basit değildir. Silinen ve silinmeyen bir dosya arasındaki farkın MFT'de sadece bir bit olduğu doğrudur, ancak akış olarak depolanan dosyanın içeriğini kurtarmanın yanı sıra, silinen sektörleri de kullanıldığı gibi yeniden işaretlemek gerekir. sektör başına bir bit içeren $ Bitmap sözde dosyası, her bit karşılık gelen kümenin kullanılıp kullanılmadığını (ayrıldığını) veya boş (ayırma için kullanılabilir) olduğunu gösterir.

İşin karmaşıklığı, tüm kurtarma araçlarının hasarlı birime yazmamayı tercih etmesidir. Örneğin, bir sektörü $ Bitmap içinde kullanıldığı gibi işaretlemek, o sektör başka bir dosya tarafından zaten kullanılmışsa çapraz zincirlemeye neden olabilir.

Bu makale, onaltılık dökümleri ile sorunu çok iyi gösterdi:
Windows 'Dosya Kurtarma' serisi: Bölüm 5 Bir NTFS Dosya Sisteminden Silinmiş Dosyayı El ile Kurtarma .

Başka bir makale, "silinmiş" biti kaldırmak için değiştirilebilecek bir programın kaynak kodunu da içerir: NTFS'deki bir dosyayı geri alma .

Bu biti çevirmek için MFT'yi düzenleyebilen birkaç NTFS disk düzenleyicisi var. Google aracılığıyla bulduğum bazıları (ama neyse ki kullanmanız gerekmedi):
WinHex
NTFS Veri Kurtarma Araç Seti
DMDE
Freeware Aktif Disk Editör

MFT'de silinen biti geri almak, sonra içeriği kurtarmak için chkdsk yardımcı programını kullanmak bile işe yarayabilecek olası bir çözüm olacaktır. Bu yardımcı program, sektörleri yanlış olarak yeniden kullanılabilir olarak işaretlenen ve $ Bitmap'i düzelten dosyaların sektör zincirlerini kurtarabilir.

Ancak, bu yordamın diskinizi yok etme olasılığı her zaman vardır.

Bu yüzden siz ve yukarıdaki tüm yorumcular (ben dahil) yerinde kurtarma yapan herhangi bir ürün bulamadınız. NTFS üzerinde çalışan bir Microsoft çalışanı olmayan herkes için diskinizi vidalama olasılıkları çok fazladır.

Sizin için en iyi tavsiyem ikinci bir sabit disk almak ve üzerindeki dosyaları kurtarmak. Bir yedekleme diskinin yeterli olmadığını öğrendiğinizi düşünüyorum. Zaten tek yedeklerini kurtarmamı isteyen birkaç arkadaşım vardı ve her zaman iki yedek diske sahip olmaları için bazen (bazen çok geç) danışmanlık yapıyorum.

Ayrıca, iki yedek diskten en az birinin bilgisayarla bağlantısı kesilmelidir. Bunu, bir bilgisayarın kendisini ve bağlı her USB cihazını kızarttığı bir durumu duyduktan sonra sahibine tek bir vuruşta veri ve yedek olmadan bırakmanızı öneririm.


2

Dediğim gibi , kurtarmak için sadece birkaç dosya varsa, her zaman bir hex / disk-editörü ile manuel olarak yapmayı deneyebilirsiniz, ancak kesinlikle tavsiye etmem.

Birkaç dakikalık araştırma ve testten sonra, sonunda bir dosyayı silinmemiş olarak işaretlemeyi başardım $MFT, ancak sorun bu yeterli değil, aynı zamanda kullanımda kullandığı kümeleri de işaretlemeniz gerekiyor $BITMAP. Bu görev çok zor oldu ve sonunda bulmak ve yapmak için çok fazla iş yaptım. chkdsk /fTutarsızlığı tespit edip kümeleri doğru bir şekilde işaretleyip işaretlemeyeceğini görmek için çalışmayı düşündüm , ancak test etmekte olduğum NTFS bölümünün kaybetmek istemediğim birkaç dosyaya sahip olması nedeniyle yapmak çok riskli hissettim.

(Ayrıca, FAT * 'dan farklı olarak, NTFS'nin bir dosya için küme zincirini bir dosyada sakladığına dikkat edin $MFT, bu kurtarma sırasında tüm küme zincirine erişiminizin olacağını garanti etmez, böylece parçalanmış bir dosya kurtarılamayabilir Yanlışlıkla silme işleminden sonra sürücüye bir şey yazmamış olsanız bile, Windows'un çalışmadığı anlamına gelmez. Örneğin \System Volume Information, özellikle Gölge Kopyalama / Önceki Sürümler hizmeti çalışıyorsa , yazmış olabilir .)

Açıkçası manuel kurtarma gerçekten bir çözüm ya da sorunuzun cevabı değil, bu yüzden sadece bir yorum olarak gönderdim. Ne yazık ki, yaptığım tüm aramalar boş çıktı ve sorunuzun kısa cevabı: hayır, bir dosyayı NTFS biriminde silinmemiş olarak işaretleyebilecek herkese açık programlar yok .

(Sürücülerle süslü şeyler yapabilen ve dosyaları kurtarabilen ve yapıları ve benzerlerini göstermek için bir filtre aracılığıyla ham verileri sunabilen “pahalı” adli programlar var, ancak bunlar bile yardımcı olmayacak çünkü özellikle bir noktaya değinmiyorlar. orijinal sürücünün değiştirilmesi.)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.