Многие считают, что данные утеряны безвозвратно. Но это не так. Рассмотрим наиболее типичные случаи... А также - обзор утилиты для гарантированного удаления данных.

Продолжая начатый ранее разговор о программном обеспечении для восстановления потерянных данных на жестких дисках, стоило бы более подробно разобраться со структурой хранения данных, а так же причинах, вызывающих потерю информации, разрушения формата и логического строения дисков. Ведь на самом деле данные могут быть уничтожены по-разному, или точнее будет сказать – разными способами можно потерять доступ к данным, все еще находящимся на жестком диске. Пользователь будет считать данные потерянными, если к ним нельзя получить доступ с помощью стандартных средств операционной системы. Специалист и тот, кто дочитает до конца эту статью, будут чувствовать себя гораздо более уверенно, так как в большинстве случаев сможет восстановить информацию, даже если она недоступна средствами операционной системы. Специальным службам доступны наиболее совершенные программно-аппаратные методы, с помощью которых можно получить доступ даже к намеренно уничтоженным данным.

Рассмотрим логическое строение жесткого диска. Внутри привода жестких дисков находится один или несколько дисков (пластин, блинов), изготовленных из металла, иногда стекла. У каждого диска по две магнитных поверхности (Sides) (в ряде случаев может использоваться лишь одна поверхность диска). Каждая рабочая сторона диска разбита на концентрические дорожки (треки, цилиндры) (Cylinders) по которым позиционируются головки и где находится информация. В свою очередь, каждая дорожка разбита на определенное число секторов (Sectors) по 512 байт. Сектор является минимальным фрагментом, содержащим информацию. При форматировании, по несколько секторов объединяется в кластеры, и для операционной системы минимальным фрагментом является уже кластер. В рабочем состоянии над поверхностями диска движутся считывающие/записывающие головки (Hides). Что бы головка попала к цели, то есть, получила доступ к нужной информации (сектору), ей нужно указать путь в виде номеров (Сторона/Дорожка/Сектор). Современные жесткие диски работают в режиме адресации LBA, которая более оптимальна для восприятия ОС. Логическая структура жесткого диска представленная в виде LBA отличается от физической (по набору Сторона/Дорожка/Сектор), трансляцию выполняет контроллер дискового накопителя. На жестком диске присутствуют пользовательские данные, доступные пользователю и программам, а так же служебная информация, которая служит для обеспечения функциональности жесткого диска.

В самом начале диска, в секторе 0/0/1 находится PT (Partition Table) - таблица разделов и MBR (Master Boot Record) - главная загрузочная запись. Когда мы разбиваем жесткий диск на логические разделы (логические диски, тома), скажем, с помощью программы fdisk.exe, то мы как раз и создаем в его начале MRB и таблицу разделов. Таблица разделов показывает, на какое число логических дисков разбито физическое пространство жесткого диска, определяет их характеристики. (Жесткий диск может содержать всего один логический раздел (диск), занимающий всю его физическую поверхность) Эти данные являются служебной информацией. Обязательным атрибутом каждого логического диска является FAT (File Allocation Table) – таблица размещения файлов (файловая система). FAT создается при форматировании логического диска, например, с помощью программы format.com или средствами операционной системы. Таблица размещения файлов содержит информацию о том, где на диске хранится каждый файл. В начале раздела содержится две копии FAT (FAT1, FAT2). После второй копии FAT расположены секторы ROOT (Root Directory), где содержится описание файлов в корневом каталоге диска. Далее следует область данных (Data area) – та область диска, где хранятся привычные нам данные, восстановлению, в случае необходимости, которых и посвящена данная статья.

Таблица разделов (Partition Table) и таблица расположения файлов (FAT) являются своего рода «географической картой местности», по которой операционная система определяет где и что расположено на магнитной поверхности жесткого диска. Если операционная система потеряет доступ к этой «карте местности», то она попросту ослепнет, не сможет ориентироваться и найти нужную информацию, данные окажутся недоступны. Исходя из этого, становиться понятно, что для того, что бы преградить доступ к информации, не обязательно уничтожать сами данные, достаточно сбить с толку операционную систему, лишив ее служебной информации, и она перестанет ориентироваться на физической поверхности жесткого диска или в области какого-то его логического раздела, – для пользователя эта поверхность окажется совершенно пустой и недоступной. Итак, рассмотрим типичные способы потери данных, наиболее часто случающиеся в практике пользователей ПК.

Разрушение (повреждение) Partition Table и MBR. Излюбленное средство вирусов. Прикиньте, достаточно испортить относительно небольшой начальный участок диска с информацией о его структуре, как все логические разделы, а значит и данные на них становятся недоступны. Времени для подобной деструктивной деятельности потребуется очень мало, а результат наиболее эффектен – потеря доступа к данным на всей поверхности жесткого диска. Возможны и частные варианты: удаление из Partition Table какого либо одного логического диска, – так система вроде бы и сохраняет работоспособность, но данные на некоторой части жесткого диска недоступны, впрочем, и эта область становится как бы невидима.

При повреждении таблицы разделов, область данных и даже FAT обычно не страдают, сохраняясь в своем первозданном виде. Хорошие утилиты для восстановления данных, как правило, выходят из такой ситуации без особого труда: программа восстановления анализирует структуру данных, определяет FAT, и может извлечь данные практически в полном объеме. В этом случае главное не впадать в панику, не пытаться создавать заново потерянные разделы и вообще, исключить возможность любой записи на пострадавший диск до работы с ним специализированной программы восстановления данных. Имеются отдельные средства, позволяющие восстанавливать на жестком диске отдельные потерянные разделы вместе с данными, содержавшимися в них.

Разрушение (повреждение) FAT. При незначительном повреждении файловой системы, логический диск остается в видимости операционной системы, но может быть потерян доступ к некоторым файлам на нем. При существенном повреждении FAT раздела, операционная система потеряет доступ к логическому диску, так, если бы диск был не отформатирован. Естественно, не станет доступа и ко всем имеющимся на этом логическом диске данным. Этот способ так же любим вирусами, так как позволяет быстро испохабить информацию или преградить доступ к ней, может возникать из-за сбоев ОС, так как FAT постоянно обновляется в процессе работы, нередко происходит из-за аппаратных сбоев, внезапного пропадания питания компьютера. Частный случай: намеренное переформатирование логического диска. Так, пользователь может просто заново отформатировать логический диск, желая скрыть данные на нем или произвести акт вредительства. При этом операционная система видит логический диск, как вполне работоспособный, но совершенно пустой.

При повреждении или уничтожении FAT, переформатировании диска, область данных, как правило, не страдает. Для операционной системы логический диск может быть недоступен или определяться, как пустой, но старая информация остается на своем же месте. Здесь главное не производить никаких записей на логический диск, особенно, когда диск переформатирован заново и доступен для действий ОС. Данные станут потеряны навсегда лишь тогда, когда поверх них будет записана новая информация. Опять же, утилиты для восстановления данных в большинстве случаев могут корректно извлечь данные с логических дисков, у которых повреждена файловая система или они отформатированы заново.

Удаление данных стандартными средствами ОС. В Windows по умолчанию удаляемые файлы переносятся в корзину, и какое-то время хранятся там, откуда могут быть восстановлены пользователем – мы не будем рассматривать этот банальный случай. Допустим, вы безвозвратно удалили файлы средствами ОС (удерживая кнопку Shift или очистив корзину). Что происходит с файлами? Здесь нужно принять во внимание, что даже очень большие файлы на вид, как бы удаляются практически мгновенно, чего никак не могло бы произойти при физическом затирании всей занимаемой ими поверхности диска. На самом деле файлы не стираются, – они помечаются ОС, как удаленные и продолжают существовать на том же месте. Операционная система просто добавляет в название удаляемого файла специальные символы, теперь он считается несуществующим для пользователя, хотя и видим ОС. Пространство, занимаемое файлом, помеченным как удаленный, считается пустым и может в любой момент использоваться ОС по своему усмотрению, то есть на него может быть осуществлена новая запись. Специальные программы могут восстанавливать файлы, помеченные ОС, как удаленные, если на их место еще не произведена новая запись.

Выше описаны наиболее распространенные причины потери доступа к информации, с которыми пользователи сталкиваются в подавляющем большинстве случаев. Конечно, возможны их комбинации, а так же и более разрушительные способы поражения информации. Скажем, на жестком диске можно разрушить или заменить файловую систему и таблицу разделов одновременно, но это еще не значит, что к информации в области данных доступ потерян навсегда. Программы для восстановления данных анализируют структуру оставшихся данных, по разрозненным данным определяют параметры файловой системы, из раздельных фрагментов собирают целостные файлы и извлекают их на другие носители. Как они это делают? – это, наверное, известно лишь  разработчикам подобных программ, вряд ли такими знаниями кто-то захочет делиться просто так.

Как уже было отмечено, данные, к которым потерян доступ, очень легко уничтожить навсегда, произведя самую обычную запись поверх них новой информацией. Способы тотального уничтожения информации мы также рассмотрим – в конце статьи. Никогда ничего не пишите на пострадавшие диски, сначала воспользуйтесь специальными программами для восстановления информации, часть из которых рассмотрена ниже.

Программы для восстановления данных

Здесь мы рассмотрим несколько новых утилит для восстановления потерянных данных. Для оценки эффективности работы программ, в данном случае использовался жесткий диск, данные на котором были потеряны при весьма тяжелых обстоятельствах. Сначала жесткий диск объемом 2,5 Gb содержал три логические диска с файловой системой FAT16. Потом, при помощи стандартной утилиты fdisk, жесткий диск был разбит по-новому – на два раздела, логические диски были отформатированы в FAT32. При этом там осталась ценная информацию, которую нужно было восстановить. Особую ценность представляли несколько Мб – в основном текстовые и графические файлы, в нескольких подкаталогах, большей частью с именами на кириллице. Как видим, здесь FAT и таблица разделов были не просто разрушены, они были заменены другими, вполне корректными атрибутами, напрочь несовместимыми со старыми данными. Но, тем не менее, старая информация была восстановлена – именно это сейчас является критерием для оценки программ в данном обзоре.