Восстановление удаленной информации с жесткого диска

Восстановление удаленной информации с жесткого диска

Содержание статьи

Для следователя, проводящего анализ компьютера подозреваемого, всегда есть данные, представляющие особый интерес. Но некоторым кажется, что если перезаписать область, где находился файл, случайными данными, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки данные нередко удается извлечь!

Что происходит при удалении файла? Очень просто: в файловой системе для него меняется один атрибут, и таким образом он помечается как удаленный. При этом содержание файла по-прежнему остается на жестком диске, и его можно восстановить с помощью одной из множества платных и бесплатных программ (например, R-Studio). Мы много раз писали о том, как безопасно удалить файлы без возможности восстановления. Благо для этого разработано огромное количество утилит-шредеров, которые с помощью несложных методик перезаписывают участки диска, на которых были расположены удаленные данные. Таким образом даже при использовании технологий восстановления, при которых производится считывание данных непосредственно с магнитных носителей, восстановить удаленные файлы будет невозможно. В эффективности такого подхода нас заверяли даже настоящие профессионалы в области восстановления данных. Но — лазейки для извлечения информации у гуру все-таки есть!

Файлы изображений

Начнем с рассмотрения простого случая — удаления обычной фотографии. Допустим, у нас есть папка с фотографиями, и мы избавляемся от одной из них. Причем удаляем по всем правилам, перезаписав нужную область диска несколько раз. По идее больше ничего не должно выдавать ее существования (если мы сами до этого не скопировали ее в другую папку и не забыли про это). Но тут-то как раз многие и забывают об одной особенности Windows — файле Thumbs.db. Это специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений из текущей папки. Если в проводнике выбрать режим отображения "Эскизы страниц", то операционка будет брать уменьшенные превьюшки изображений как раз из этого файла. Он создается в каждой папке, в которой есть картинки, и содержит уменьшенные эскизы изображений в формате JPEG (вне зависимости от формата исходного изображения).

Проведем небольшой эксперимент — создадим папку и поместим туда три любых картинки. Теперь откроем эту директорию в проводнике — появился Thumbs.db (чтобы увидеть этот файл, надо включить отображение скрытых файлов). Мы можем просмотреть и проанализировать его с помощью утилиты Thumbnail Database Viewer. Программа, как и положено, показывает эскизы для всех трех файлов. А теперь удалим один из них с помощью программы SDelete или любой другой программы для безопасного удаления данных:

sdelete.exe -p 2 file1.jpg

Параметр р отвечает за количество проходов шредера, то есть указывает, сколько раз файл будет перезаписан перед удалением. В результате изображение будет безвозвратно стерто с жесткого диска. Но посмотрим, повлияло ли как-то это удаление на Thumbs.db? Заново открываем его, и что мы видим? Эскиз для удаленной картинки по-прежнему на месте! Получается, что файл легко может содержать эскизы уже удаленных изображений. И на этом, как мне рассказывали, попался не один умный человек…

Как этого избежать? Очень просто — нужно просто отключить кэширование эскизов в файлах Thumbs.db. На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerAdvanced значение "1". В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer. И, само собой, важно не забыть удалить все Thumbs.db.

Файл подкачки

Подставы со стороны операционной системы на одном только файле с эскизами не заканчиваются. По мере работы с документом информация о нем попадает в различные части ОС — временную папку, реестр и так далее. Поэтому очень трудно отследить и удалить все связанные с файлом данные. Вдобавок ко всему, есть места, где копия файла может оказаться совершенно случайно (иногда такая случайность может стоить очень дорого). Я говорю о файле подкачки (pagefile.sys) и свопе памяти, используемом во время режима Hibernation (hiberfil.sys). Предсказать содержимое файла подкачки заведомо невозможно, и тут никто ничего не может гарантировать. Предлагаю еще на одном эксперименте убедиться в том, что это — опасное место.

Поскольку просмотреть или скопировать файл подкачки операционная система просто так не дает, то у нас есть два варианта: задействовать специальные утилиты или же загрузиться в другую операционку и получить доступ к файлу из нее. Мне второй способ показался более простым, так как под рукой был Back Track, начиненный различными утилитами, в том числе и для восстановления файлов. Поэтому, загрузившись с LiveCD, я смонтировал виндовый раздел и пошел в раздел "BackTrack->Forensic", откуда запустил утилиту Foremost. Эта замечательная консольная прога умеет восстанавливать файлы исходя из их заголовков и внутренней структуры. Необходимо лишь передать имя входного файла, в котором будет осуществляться поиск, и указать директорию, куда будут сохранены все найденные данные:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

В качестве входного файла я указал файл подкачки /mnt/hda1/pagefile.sys, а директорию для сохранения результатов — /root/Desktop/page_file. Программа начала свою работу. За короткое время Foremost сумел найти и извлечь 524 файла.

Статистика извлеченных файлов:
jpg:= 73
gif:= 4
gif:= 19
jpg:= 77
jpg:= 95
doc:= 1
pgp:= 65
pgp:= 62
pgp:= 44
pgp:= 36
dat:= 7
lnk:= 3
cookie:= 38

Утилита удобно отсортировала все файлы по типу и разложила по разным папкам. Первым делом я полез проверять, что же попало в папку jpg. Из всех восстановленных файлов около половины отказалось отображаться, зато другая — отлично просматривалась. И чего только не было среди картинок: пара фоток, которые я не так давно удалил; много мелких изображений с веб-сайтов; аватарки друзей из Facebook и прочее. Честно сказать, я не планировал обнаружить так много изображений. Кроме картинок мне хотелось еще узнать, что за единственный doc-файл, который попал в файл подкачки. Но, к сожалению, Word лишь ругнулся, что файл попорчен и не смог его открыть. Неожиданный сюрприз ждал меня в папке cookie — бегло пролистав несколько файлов, я обнаружил адреса роликов, которые я смотрел чуть ли не год назад на YouTube. Вот и еще одно доказательство, что даже удалив в браузере все куки и историю, все равно можно проколоться.

Что тут можно сделать? Есть несколько вариантов. Первый — отключить вообще файл подкачки. Для этого надо зайти в "Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change" и выбрать опцию "No paging file". Второй вариант — заставить операционную систему затирать все данные в файле подкачки перед выключением компьютера. Такой режим активируется, если установить для ключа ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management значение "1". К сожалению, второй метод очень медленный, и выключение системы будет занимать достаточно длительное время, так что применять его на практике или нет — решай сам. Аналогичная ситуация и с файлом hiberfil.sys. Его также можно попросту отключить, что сэкономит дополнительное место на диске.

Кстати, исследовать файл подкачки можно и под виндой. Но так как операционная система не дает его просмотреть и скопировать с помощью штатных средств, нам понадобится программка FTK Imager. Переходим в раздел "File-> Add Evidence Item" и указываем диск, где находится файл подкачки. На панели слева отобразится дерево каталогов, где необходимо выбрать pagefile.sys и воспользоваться функцией экспорта через контекстное меню. Файл подкачки без проблем скопируется в указанную нами папку, и никакие блокировки системы с этого момента не помешают его анализировать. Для анализа, кстати, можно воспользоваться DiskDigger или PhotoRec. Первая — проще, но вторая умеет восстанавливать более широкий круг различных форматов файлов.

Дефрагментация

Перейдем к следующей причине появления файлов-призраков. Чтобы было наглядней и понятней — опять же проведем небольшой эксперимент. Для него нам понадобится флешка и умение обращаться с WinHex’ом. Сначала обеспечим условия для опыта, удалив все данные с флешки. Для этого запустим WinHex, отдадим команду Open Disk и в появившемся окне выберем наш девайс. После открытия полностью выделяем все его содержимое (Ctrl+A) и забиваем нулями (Ctrl+L). Одно замечание — процесс перезаписи занимает достаточное количество времени, так что рекомендую взять флешку поменьше. С этого момента на драйве нет данных и, более того, нет файловой системы. Так что следующим шагом будет форматирование флешки в NTFS. По умолчанию Windows XP дает форматировать флешку только в FAT, но для наших манипуляций требуется NTFS. Чтобы операционная система позволила отформатировать устройство в нужную нам файловую систему, необходимо зайти в диспетчер устройств, найти там флешку и в параметрах установить опцию "Optimize for performance". После этого винда сможет отформатировать флешку в NTFS.

Цель нашего опыта — посмотреть, что происходит с файлами во время дефрагментации. Для этого создадим искусственную фрагментацию на нашем носителе информации. Возьмем три любых jpeg-файла и три каких-нибудь аудиофайла или видеоклипа (главное, чтобы их размер был больше jpeg’ов) и скопируем их на флешку в следующем порядке: 1.mp3, 1.jpg, 2.mp3, 2.jpg, 3.mp3, 3.jpg.

Читайте также:  Как добавить путь в переменную path

Интересно, как же они расположились на диске? Чтобы посмотреть это, воспользуемся тулзой DiskView от Марка Руссиновича. Она выводит графическую схему диска, на которой можно определить местоположение данных или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть на кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер. Запускаем программу, выбираем нашу флешку и нажимаем . Сначала идет зеленая полосочка, обозначающая системные кластеры, а вот сразу за ней — область синих кластеров, представляющих наши файлы, записанные друг за другом. Теперь создадим фрагментацию, удалив все аудиофайлы. Снова нажимаем и видим, что перед каждым jpeg-файлом есть пустая область. Теперь ненадолго переключимся в WinHex. Чтобы еще раз убедиться, что на флешке нет никаких лишних графических файлов, проведем поиск по сигнатуре: ищем последовательность "jfif", присутствующую в заголовке любого jpeg-файла. В итоге редактор, как и ожидалось, нашел ровно три таких последовательности, по числу оставшихся файлов.

Ну что ж, пришло время навести порядок: не дело, когда файлы вот так разбросаны по диску :). Запускаем дефрагментацию, столь любимую пользователями, для нашего носителя:

C:Documents and SettingsAdministrator>defrag h:
Windows Disk Defragmenter
Copyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Defragmentation Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по "jfif". Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Даже если бы мы использовали утилиты типа Sdelete и переписали перед удалением эти три файла сотни раз, их призраки все равно остались бы на диске и существовали там неопределенно долгое время. До тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить!

Правда и мифы о магнитной микроскопии

Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что их спасет. Другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в Сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить. Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, опять возьмем нашу подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет опять же JPEG. Его легко можно найти в WinHex’е по сигнатуре "jfif". У меня он расположился по смещению 274432. Ну что ж, запустим шредер (я юзал HDD Wipe Tool) и затрем весь диск. Теперь, если посмотреть в WinHex, что расположилось по смещению 274432, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.

"Хорошо, — скажешь ты, — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?" Ну что ж, давай поговорим о магнитной микроскопии. Суть метода в том, чтобы определить состояние каждого бита до его перезаписи. То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII. Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов "anti", выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность "anth". Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее. Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат, как и восстановление путем подбрасывания монетки на "орел-решка". Поэтому нет никакой необходимости по три раза перезаписывать диск.

Лучшая защита — это нападение

Что можно сделать, чтобы усложнить жизнь людям, к которым может попасть для экспертизы твой компьютер? Тут есть несколько вариантов. В случае, если на компьютере нашли "интересный" файл, время его создания будет веским доказательством против его владельца. Чтобы проследить цепь событий, эксперты опираются также на время создания/доступа/модификации файла. Так почему бы не запутать следы? На сайте metasploit.com есть такая замечательная утилита, как Timestomp, которая позволяет менять время создания, модификации или доступа для заданного файла. Основные опции для ее использования:

-m задает дату последней модификации файла
-a задает дату последнего доступа к файлу
-c задает время создания файла
-e задает время модификации файла, хранящееся в MFT
-z задает четыре вышеперечисленных параметра

Дата задается в следующем виде: DayofWeek MonthDayYear HH:MM:SS [AM|PM].

Есть еще очень интересная опция -b, которая устанавливает вышеперечисленные атрибуты таким образом, что известная в кругах компьютерных криминалистов программа EnCase их не видит и отображает пустыми :).

Таким образом, чтобы поменять атрибуты файла, достаточно выполнить в консоли команду:

c:>timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Легко можно набросать скриптик, который будет рекурсивно менять временные атрибуты файлов. Простейший вариант выглядит так:

for /R c:tools %i in (*) do timestomp.exe %i -z "monday 3/12/2009 10:00:00 pm"

Есть и другие способы подпортить жизнь товарищам-исследователям чужих HDD. В своей работе они используют программы, написанные обычными людьми, а потому — содержащими ошибки. Да-да, мы можем использовать уязвимости программного обеспечения, применяемого для поиска улик. Подробней об этом можно почитать в одном из докладов с конференции DefCon.

Заключение

"Безопасное удаление данных" – это не панацея. Смею тебя заверить, что описанные лазейки — не единственные в своем роде. И тот, кто по роду деятельности проводит экспертизы компьютеров на профессиональном уровне, знает, где и как найти необходимые ему данные. Теперь твоя безопасность в твоих руках — не дай "охотникам за приведениями" найти ни одного "призрака" на твоем компе. А еще лучше — не давай им повода приходить к тебе в гости :).

Современные жесткие диски год от года прирастают емкостью, быстротой, становятся всё более компактными, технологичными, но… менее надежными. Производителям не до качества: они стремятся завалить рынок своей продукцией и оставить конкурентов «на бобах». Им выгоднее обменивать бракованные накопители на новые, чем работать над повышением устойчивости их к отказам.

«А как же данные? — спросите вы. — Ведь они погибают вместе с диском!» Данные, друзья, — это наша с вами проблема. Это мы должны думать, как их не потерять. А если такое случилось — уметь их спасать. Сегодня поговорим, как восстановить данные с жесткого диска, не прибегая к помощи мастеров. А также о ситуациях, когда не стоит пытаться достать их самостоятельно, а лучше сразу отнести диск в специализированный сервис.

Когда данные можно восстановить, а когда — нет

Легче всего восстановлению поддаются:

  • Файлы и папки, удаленные пользователем мимо корзины (нажатием Shift + Delete).

  • Информация, поврежденная вследствие сбоя файловой системы.
  • Файлы, стертые вирусами.
  • Данные в отформатированных разделах (за исключением «низкоуровневого» форматирования, при котором вся информация на диске перезаписывается нулями).

Однако 100% гарантии успеха в этом деле быть не может. Максимальные шансы на спасение имеют файлы и папки, которые были удалены недавно, то есть области диска, где они хранились, не были перезаписаны. В последнем случае максимально высоки шансы восстановить информацию после быстрого форматирования, так как при этом стирается только таблица размещения файлов в разделе, а сами они остаются на месте.

Читайте также:  Как отправить заполненную анкету по электронной почте

В следующих случаях восстановить данные невозможно или вероятность этого очень низка:

  • Если дисковый накопитель был отформатирован низкоуровнево (по сути — перезаписан).
  • Если информация была удалена с помощью приложения — шредера файлов.
  • Когда поверх удаленной информации была записана другая. Например, если пользователь случайно отформатировал, скажем, диск C для переустановки Windows, но вспомнил, что на нем оставались важные файлы, только после того как установил новую систему.
  • В случае физического повреждения магнитного слоя, на котором хранится информация.
  • При поражении файлов вирусами-шифровальщиками, если нет ключа расшифровки или эффективного дешифратора. Поиск ключа методом брутфорса (перебора комбинаций) за редким исключением неэффективен. Причина в том, что сегодня всё чаще встречаются вирусы, использующие криптостойкое 128- или 256-битное шифрование. Подобрать к нему ключ при нынешнем уровне технологий невозможно (а для 256 бит невозможно в принципе).

При аппаратной неисправности накопителя, если полетела плата электроники или вышли из строя механические части, вероятность успешного спасения данных — около 50%. Точнее, всё зависит от вида поломки и квалификации мастера. Восстановить информацию с физически поврежденного диска с помощью программ, увы, не получится. Даже наоборот: попытки включить диск, который сломался, чреваты безвозвратной потерей данных.

В каких случаях лучше ничего не предпринимать, а отнести устройство в специализированный сервис:

  • Когда диск не определяется компьютером или периодически пропадает (кроме случая, описанного ниже). Тем более, если он не работает совсем: при подключении не подает никаких признаков «жизни», не раскручивается, не теплеет. Внешний диск для проверки нужно подключать к компьютеру как обычный внутренний (через порт SATA или IDE, если он есть), так как при выходе из строя только интерфейса USB данные обычно не повреждаются.
  • Когда жесткий диск подвергся удару или падению. В этом случае не стоит даже пытаться его включить.
  • Если при обращении к диску появляются сообщения об серьезных неполадках с ним или операционная система падает в BSoD (синий экран смерти).
  • Если есть подозрения на негерметичность корпуса жесткого диска. Кстати, вскрывать его самостоятельно ни в коем случае нельзя. Попавшая внутрь пылинка может повредить магнитный слой и безвозвратно уничтожить информацию на нем при первом же включении.
  • При видимых дефектах интерфейсов подключения и платы электроники диска.
  • Если есть подозрение, что в корпус накопителя попала жидкость. Такое случается, когда съемный жесткий диск кладут в сумку рядом с мокрым зонтом.

Услуги восстановления информации в сервисных центрах — удовольствие не из дешевых. «Лечение» самых легких случаев обходится примерно в половину стоимости накопителя (это если удается вернуть к жизни сам диск без потери данных). В сложных ситуациях стоимость составляет 2 и более цены нового диска. Она зависит от объема информации и трудоемкости работ по восстановлению.

Что делать, если жесткий диск не определяется компьютером, зависает или работает с ошибками

Этот лайфхак касается только жестких дисков, бывших в использовании минимум полгода.

На нижней стороне платы электроники винчестера находятся контактные площадки, которые соединяются с блоком магнитных головок (БГМ, устройством считывания и записи информации на магнитный слой) гибким шлейфом, уходящим внутрь гермозоны (корпуса диска).

Со временем, особенно если диск эксплуатировался в условиях высокой влажности и при значительном нагреве, эти площадки покрываются непроводящим слоем окислов — становятся тусклыми и темными, иногда до черноты. Оксидный слой нарушает контакт БГМ и контроллера, что крайне негативно отражается на работе диска: возникают ошибки чтения/записи, проблемы с распознаванием, лаги и прочие неприятные вещи.

Решение проблемы очень простое: достаточно снять плату электроники (для этого чаще всего нужна отвертка Т6 — шестилучевая звездочка), почистить площадки до блеска школьной стирательной резинкой и протереть спиртом. После такой нехитрой процедуры многие накопители начинают работать как новые.

Программы для восстановления данных в домашних условиях

Recuva

Recuva — одна из самых популярных бесплатных утилит для восстановления данных на ПК под управлением Windows. Особенно эффективно ей удается восстанавливать объекты, удаленные мимо корзины. Она поддерживает практически все типы файлов: графику, музыку, видео, архивы, документы, email-сообщения и многое другое.

Recuva способна считывать информацию не только с исправных, но и с логически поврежденных устройств, а также из отформатированных разделов диска. Она распознает любые типы носителей — жесткие и оптические диски, SSD, флешки, карты памяти, накопители мобильных устройств и т. д. Работает с файловыми системами NTFS, FAT16-32 и ExFat.

Как пользоваться программой:

  • Скачайте установочную или портабельную версию Recuva. Установите или распакуйте ее в отдельную папку и запустите с правами администратора.
  • Если интерфейс программы открылся на английском языке, можете для удобства переключиться на русский: кликните кнопку «Options» и из списка «Language» на вкладке «General» выберите «Russian».

  • Находясь в главном окне, откройте список дисковых разделов и подключенных накопителей. Выберите область, откуда требуется восстановить информацию.
  • В строке поиска (отмечена значком лупы) укажите путь к искомому объекту или нажмите на стрелку и выберите тип файла, который требуется восстановить. В нашем примере это графика. Кстати, текстовые документы можно искать по ключевым словам. Для этого откройте меню «Анализ»и выберите «Просмотр содержимого». В поле «Файловая маска» должен значиться тип документа (doc, pdf и т. д.), а в «Искомой строке» следует указать слово или фразу, по которой программа должна производить поиск. После заполнения обоих полей нажмите кнопку «Анализ».

  • Список найденных документов (или файлов иного типа — смотря что вы задали в настройках) отобразится в главном окне Recuva. В ряде случаев перед восстановлением можно увидеть содержимое текстовых документов и картинок в поле «Просмотр» (справа от списка). В «Сводке» значатся информационные сведения о файле: имя, размер, состояние и количество перезаписанных кластеров. В «Заголовке», соответственно — служебные данные заголовка.
  • Возле каждого элемента списка стоит цветной кружок. Зеленый цвет указывает на хорошую возможность восстановить удаленные файлы. Желтый — на сомнительную, а красный — на ее отсутствие (так как значительная часть файла была перезаписана).
  • Отметьте в списке объекты, которые хотите вернуть, и нажмите кнопку «Восстановить». Выберите папку, в которую программа должна их сохранить. Важно, чтобы это был другой логический раздел того же диска или иное физическое устройство.

DMDE — кроссплатформенная утилита для восстановления, резервного копирования и редактирования содержимого накопителей. Работает в Windows, Linux и DOS. Поддерживает следующие файловые системы: FAT12-16-32, ExFAT, NTFS, NTFS5, Ext2-3-4, HFSX, HFS+, а также RAW (неопределенная). Способна вытягивать данные с исправных и поврежденных жестких дисков, твердотельных носителей и массивов RAID, а также их посекторных копий, созданных в самой программе. Восстанавливает не только удаленные файлы, но и целые разделы, переставшие определяться из-за испорченной служебной информации. Имеет функции реконструкции RAID.

DMDE выпускается в бесплатной и двух платных версиях — домашней и коммерческой. Отличие бесплатного выпуска от платного домашнего заключается в отсутствии функции группового восстановления файлов и количественного ограничения — программа дает возможность восстановить до 4000 объектов из текущей панели.

Все версии DMDE работают без установки — достаточно распаковать архив в отдельную папку и запустить файл Dmde.exe.

Как пользоваться утилитой:

  • После появления на экране главного окна DMDE нажмите кнопку верхнего меню «Выбор диска». Отметьте устройство или логический раздел, откуда требуется восстановить информацию. Подтвердите выбор.

  • Далее еще раз выберите нужный раздел и кликните «Открыть том».

  • В левой панели следующего окна выберите опцию «Всё найденное + реконструкция». Укажите способ реконструирования файловой системы и объекты поиска: все файлы, включая удаленные, только удаленные или все, исключая удаленные. Если хотите получить список только отсутствующих файлов, выбирайте «только удаленные», иначе он может получиться слишком большим.

  • После отображения в программе списка всего найденного кликните по интересующему объекту правой кнопкой мыши и выберите в меню «Восстановить объект».

  • На первой вкладке окошка параметров восстановления укажите место сохранения объекта.

  • На вкладке «Фильтры» можете задать маску имен файлов, их размеры (от и до) и исключить из обработки пустые папки.

  • В настройках, как правило, ничего менять не нужно. После нажатия «ОК» программа сразу начнет процесс восстановления.

Если восстановленные файлы не удается открыть или утилита не нашла того, что вы хотели, разработчики рекомендуют выполнить полное сканирование тома и повторить операцию.

Либо вернуться в раздел выбора дисков и попытаться вычитать другие тома.

R-Studio

R-studio — мощнейший программный комплекс восстановительных инструментов для спасения данных со всех типов носителей, включая глубоко поврежденные. К этой утилите часто прибегают в случаях, когда ничто другое не помогло.

Читайте также:  Форум зимний о фигурном катании

Особенности R-Studio — это поддержка всех видов накопителей и файловых систем, в том числе неопределенных (RAW). А также — улучшенный алгоритм поиска и восстановления поврежденных и частично перезаписанных файлов. Дополнительно в программе присутствуют функции реконструкции RAID и создания виртуальных образов дисков, с которых можно считывать информацию, как с физических.

Как пользоваться программой R-studio:

  • Установите и запустите утилиту с правами администратора. В главном окне отобразится список подключенных накопителей.
  • Укажите носитель или раздел, данные с которого нужно восстановить, и нажмите кнопку «Сканировать».

  • В окне настроек сканирования определите типы файлов, которые необходимо найти (кнопка «Известные типы файлов»), остальное можете оставить по умолчанию. Чтобы продолжить, нажмите «Сканирование».

  • После окончания сканирования зайдите в меню «Диск» и кликните опцию «Восстановить все файлы».

  • Укажите место сохранения найденного и, если нужно, другие параметры восстановления (показаны на скриншоте ниже). Для подтверждения нажмите «Да». Дождитесь окончания операции.

R-studio — эффективная, но платная и весьма недешевая программа. Однако в сети встречаются ее «исправленные» версии.

Здесь мы рассмотрим несколько наиболее популярных инструментов восстановления фотграфий, текстовых документов и прочих важных данных. Все они отличаются высокой скоростью работы, позволяют вернуть удаленную с компьютера, ноутбука информацию, а также подходят для восстановления файлов, поврежденных из-за системного сбоя.

Как найти утерянные файлы используя Hetman Partition Recovery?

Особенности

Partition Recovery – это простая в использовании утилита, позволяющая восстановить удаленные данные с жестких дисков компьютера, а также съемных накопителей (USB-флешки, карты-памяти, CD, DVD). Она также дает возможность исправить поврежденные файлы и загрузочные сектора, восстанавливая не только удаленную информацию, но и структуру логических разделов (с названием файлов, папок, месторасположением и др). Среди других преимуществ — предварительный просмотр, запись на диск, создание образов, загрузка в интернет. Кроме того, нельзя не отметить удобный мастер настройки, с помощью которого разобраться во всем сможет даже начинающий пользователь.

Запуск сканирования

После запуска программы в главном окне можно увидеть перечень HDD и съемных устройств ос windows. Два раза кликаем по тому накопителю, на котором хранился файл до удаления — на экране появится пошаговый мастер процесса восстановления. Указываем тип сканирования. Если вы спешите, выбираем быстрое сканирование. Полный анализ займет больше времени, но и позволяет произвести наиболее глубокое сканирование носителя. Так или иначе, оба типа приходят в режиме чтения, их можно запустить и поочередно. Нажимаем «Далее» и дожидаемся завершения процесса.

Выбор способа возврата

Затем на экране отобразится структура диска вместе с удаленными ранее папками и файлами, которые еще можно восстановить. В правой части экрана предусмотрено окно для предварительного просмотра, что очень удобно при восстановлении картинок и фото. Выбираем подходящий файл, жмем правой кнопкой и в выпадающем списке находим «Восстановить». В следующем окне нужно указать способ сохранения — на жесткий диск (внутренний или внешний диск), на CD/DVD, виртуальный образ или TFP. После выбора нажимаем кнопку «Далее».

Старт

Последний шаг – указываем путь, по которому будет сохранен восстанавливаемый файл. Здесь же можно указать и другие параметры, если требуется восстановить структуру папок, файлы по сигнатурам и альтернативные потоки данных. После этого выбираем кнопку «Восстановить» и остается дождаться завершения процесса. В 99.9% случаев гарантировано успешное восстановление удаленных файлов.

Как восстановить удаленные или поврежденные файлы и папки в R-Studio?

Преимущества R-Студии

R-Studio — специальная профессиональная программа, которая предназначена для удобного восстановления информации с карт памяти, оптических и жестких дисков разных файловых систем. С ее помощью Вы сможете вернуть файлы, которые были удалены с компьютера безвозвратно или после очистки Корзины. Среди других отличий — наличие модуля реконструкции для RAID-массивов и резервного копирования, возможность создания виртуального файла-образа (для всего физического диска, раздела или его части). Кроме того, файлы и все содержимое диска можно просмотреть и изменить во встроенном редакторе. После запуска утилиты на экране появится главное окно (на скрине). В левой части расположена панель разделов жесткого диска, на которой отображены разные накопители.

Начало сканирования

Дважды жмем на нужном диске и в новом окне указываем требуемые параметры — вид сканирования, тип файлов и др. Далее нажимаем кнопку «Сканирование» и дожидаемся окончания процесса.

Результат

Когда сканирование завершится, на экране отобразится результат в виде списка файлов и папок. Для удобного просмотра можно их упорядочить по структуре на диске, расширению, времени создания/изменения/последнего доступа. Доступен поиск файлов по имени, размеру и другим параметрам. Когда вы найдете нужные файоы, остается выбрать их и нажать на кнопку «Восстановить помеченные» (показано на скрине).

Старт процесса

В открывшемся окне задаем папку сохранения и необходимые дополнительные параметры, а затем выбираем «Да». Приложение начнет производить восстановление удаленных данных. Ждем окончания процесса и проверяем результат.

Как вернуть потерянные файлы при помощи утилиты от Wondershare?

Характеристики приложения

Wondershare Data Recovery – удобная программа для восстановления удаленных файлов, которая отличается интуитивно понятными меню и хорошим быстродействием. Она дает возможность восстановить данные из файловой системы fat, ntfs и специфических ФС от ОС Linux, Mac OS (HFS, ext) а значит, поддерживает не только обычные жесткие диски, но и флэш-накопители, карты памяти и др. После запуска отобразится стартовое окно, в котором выбираем тип файлов.

Выбор места сканирования

Нажимаем «Дальше» и переходим к новому этапу. В следующем окне указываем раздел винчестера или внешний накопитель, на котором необходимо будет вернуть данные. Нажимаем кнопку «Старт» справа внизу.

Результат сканирования

После окончания сканирования на экране отобразятся все найденные файлы. Для удобства они отсортированы по разрешению (каждой папке соответствует отдельный тип файла). Кроме того, в правой части экрана можно просмотреть информацию о найденном файле – имя, размер, путь, статус, дату создания и изменения.

Восстановление данных

Остается выделить нужные файлы, нажать правой кнопкой мышки и в перечне выбрать пункт «Восстановить выделенное». В появившемся окне указываем диск и папку для сохранения.

Восстановление файлов на жестком диске с помощью Рекувы

Особенности программного обеспечения

Recuva позволяет восстановить данные с жесткого диска, флешки довольно просто, быстро, а главное, бесплатно. Программа для восстановления файлов предоставляется без покупки и подписки, но вы можете заплатить за профессиональную версию с более мощными алгоритмами сканирования и функцией автоматического обновления. Но на практике от нее толку мало. Бесплатная версия тоже эффективно восстанавливает удалённые файлы с носителей с файловыми системами exfat, ntfs, fat32, fat16. Правда, хорошо срабатывает только в том случае, если объекты были утеряны относительно недавно, а переустановка Windows после не производилась. Итак, для начала работы откройте Рекуву и нажмите далее.

Выбор типа объектов

На следующем этапе пошаговый мастер спросит, какого типа были стёртые файлы. Для музыки, фотографий, документов, видео, аудио предусмотрены разные пункты. Выбор конкретного вида информации позволяет увеличить скорость сканирования. Если же утеряны были как ценные графические файлы, так и документы, выберете пункт «Другое». Поиск пойдет дольше, но покажет все утраченные файлы.

Выбор места хранения

Теперь нужно показать приложению место, где находилась информация. Если нужно восстановить данные на жестком диске, выберете раздел, на котором они находились (Рабочий стол находится на диске С). Также можно выбрать карту памяти мобильного телефона, плеера, папку пользователя или корзину. После указания места, Рекува спросит, каким методом производить сканирование – быстрым или тщательным. Быстрый подходит для недавно удаленного, а глубокое сканирование для сложных случаев, но длится гораздо дольше.

Сохранение результата

По завершению сканирования утилита покажет все найденные объекты, включая сжатые и зашифрованные. К сожалению, она не выводит полную структуру каталогов, так что имена файлов выводятся обычным сортированным списком. Вы просматриваете его и ищете целевые. Восстановление данных с жесткого диска возможно в полном объеме, только если они подсвечены зеленым значком – красные невосстановимы. Чтобы начать сохранение поставьте галочки нажмите на соответствующую кнопку. В конце Рекува спросит, в какую папку положить объекты. Выбирайте любую не на диске С.

Как видите, существует множество приложений, позволяющих восстанавливать файлы с носителей информации после форматирования, удаления. Все рассмотренные в этой инструкции утилиты имеют понятные меню, продуманный интерфейс и хороший набор функций, поэтому разобраться в них сможет любой пользователь.

Если ни один из предложенных вариантов не подошел и со стандартными средствами справиться не вышло, рекомендуем воспользоваться любой из специализированных утилит 7-Data Recovery, Undelete Plus, Easeus Data Recovery Wizard, Zero Assumption Recovery, Ontrack Easyrecoverym Disk Drill и т.д.

Ссылка на основную публикацию
Восстановление после ошибок windows не работает клавиатура
С тем, что USB клавиатура не работает при загрузке, вы можете столкнуться в разных ситуациях: часто это бывает при переустановке...
Взорвался телефон в заднем кармане фото
После просмотра этого видео ты зашьешь все карманы и будешь носить смартфон на вытянутой перед собой лопате. 10 октября 2017...
Вибро при соединении android
Приложение для подачи вибросигнала. Как только на исходящий вызов будет получено «ответ» или «закончено», Вы будите уведомлены вибрацией. Особенности в...
Восстановление поврежденного файла ворд
Нужно исправить или восстановить поврежденный документ Word? Случается, при открытии документа Word вы получаете сообщение об ошибке, в котором говорится,...
Adblock detector