Особенности восстановления данных в различных файловых системах

Форматирование файловой системы (диска) - это операция, которая инициализирует файловую систему на диске или в разделе диска и подготавливает ее для хранения файлов. С форматированием файловой системы хранилище начинает свою жизнь и работу. После создания файловой системы можно начать работу с хранилищем.

В то же время случайное форматирование файловой системы может привести к потере и повреждению существующей файловой системы. Каждая файловая система действует по-своему во время форматирования, предопределяя вероятность восстановления данных из форматированного хранилища или раздела.

Дополнительная информация может быть полезной в отношении способов оценки перспектив восстановления данных после форматирования файловой системы в той же файловой системе.

Содержание статьи:

 

Файловые системы Windows

Основные файловые системы Windows включают FAT (с расширением FAT32), NTFS и недавно разработанную ReFS для Windows Servers. Следует подчеркнуть, что восстановление данных из этих файловых систем, как и любых других систем, возможно до тех пор, пока файлы не будут перезаписаны.

 

Файловая система: FAT / FAT32

Удаление файла: запись в каталоге отмечена как «неиспользуемая». Кластеры отмечены как «свободные», которые разрушают цепочку кластеров, используемых файлом.

  • Восстановление не фрагментированных файлов: имя файла, размер и положение на диске остаются внутри записи в каталоге, увеличивая вероятность восстановления файлов почти до 100%.
  • Восстановление фрагментированных файлов: цепочка файловых кластеров уничтожается, не оставляя информации о фрагментах файла. Тем не менее, имя файла, размер файла и начальная позиция остаются известными. Однако при эвристике (метод проб и ошибок) предсказание местоположений фрагментов возможно без каких-либо гарантий правильности.

Форматирование: таблица размещения файлов уничтожается. Создается новая корневая папка.

 

  • Восстановление не фрагментированных файлов: имя файла, размер и положение на диске остаются внутри записи в каталоге, что увеличивает вероятность восстановления файлов почти на 100%.
  • Восстановление фрагментированных файлов: цепочка файловых кластеров уничтожается, не оставляя информации о фрагментах файла. Тем не менее, имя файла, размер файла и начальная позиция остаются известными. Однако при эвристике (метод проб и ошибок) предсказание местоположений фрагментов возможно без каких-либо гарантий правильности.

 

Файловая система: NTFS

Удаление файла: запись в таблице основных файлов отмечена как «неиспользуемая». Растровое изображение используемого пространства обновляется, чтобы очистить используемые кластеры. Запись файла удаляется из записи в каталоге.

  • Восстановление файлов: имя файла, размер и положение на диске остаются в таблице основного файла, что увеличивает вероятность восстановления файлов почти на 100%.

Форматирование: запись в таблице основных файлов отмечена как «неиспользуемая». Растровое изображение используемого пространства обновляется для освобождения используемых кластеров. Запись файла удаляется из записи в каталоге.

  • Восстановление не фрагментированных файлов: имя файла, размер и положение на диске остаются в записи основного файла, что увеличивает вероятность восстановления файлов почти на 100%.
  • Восстановление фрагментированных файлов: информация о цепочке файлов, размерах и фрагментах остается в таблице основного файла, что увеличивает вероятность восстановления файлов почти на 100%. Шансы восстановления ниже для сильно фрагментированных файлов.

 

Файловая система: ReFS

Удаление файла: структура метаданных изменяется с помощью операции CoW, обозначающей область, свободную для новых записей.

  • Восстановление файлов: система хранит огромное количество старых резервных копий, что позволяет восстановить данные с результатом восстановления до 100%.

 

Файловые системы MacOS

Apple MacOS применяет файловую систему HFS + в качестве основной файловой системы для компьютеров Mac, iPod и т. д. Следует подчеркнуть, что восстановление данных из HFS +, как и любой другой системы, возможно до тех пор, пока файлы не будут перезаписаны.

 

Файловая система: HFS +

Удаление файла: файловая система стирает данные из записей метаданных B-Tree (B-Tree - это древовидная структура данных, которая хранит данные и в которых узел может иметь более двух ответвлений) о файле и обновляет карту свободного места.

  • Восстановление файлов: имя файла, размер и положение на диске стираются; однако журнал файловой системы может содержать эту информацию, позволяющую восстанавливать хорошие файлы. Однако использование IntelliRAW ™ повышает шансы восстановить потерянную информацию, однако информация о имени файла может быть потеряна.

 

Файловые системы Linux

Современные операционные системы Linux используют файловые системы Ext2, Ext3 и Ext4, XFS, ReiserFS, JFS (JFS2).

 

Файловая система: XFS

Удаление файла: XFS очищает часть информации об узле файла и обновляет дерево свободных блоков. Информация о имени файла отключена от записи в каталоге.

  • Восстановление не фрагментированных файлов. Используя эвристику, можно найти имя и размер файла, а также позицию, округленную до блока. Шансы на восстановление близки к 100%; тогда как шансы получить реальное имя файла составляют почти 80%.
  • Восстановление фрагментированных файлов: имя файла, его размер и цепочку фрагментов можно получить с помощью эвристики. Если данные файла не повреждены, вероятность восстановления файлов близка к 100%. Шансы получить реальное имя файла близки к 80%.

Форматирование: XFS уничтожает карту используемых кластеров и создает новый корневой каталог. Также обновляются группы распределения файлов.

  • Восстановление не фрагментированных файлов: информация о файлах пользователя остается на диске. Шансы на восстановление близки к 100%; тогда как шансы получить исходное имя файла близки к 95%.
  • Восстановление фрагментированных файлов: то же, что и для не фрагментированных файлов.

 

Файловая система: Ext2

Удаление файла: Ext2 помечает узел файла как «свободный» и обновляет карту свободных блоков. Информация об имени файла отключается от записи каталога. Будет удалена ссылка на имя файла для узла.

  • Восстановление не фрагментированных файлов: информация о начале файла и его размере может оставаться на диске. Анализ узлов может помочь восстановить неповрежденные файлы. В то же время информация об имени файла теряется.
  • Восстановление фрагментированных файлов: То же, что и для не фрагментированных файлов.

Форматирование. Все группы распределения, а также узлы файлов стираются.

  • Восстановление не фрагментированных файлов: Полное восстановление файлов возможно с эвристикой, но без начальных имен файлов.
  • Восстановление фрагментированных файлов: восстановление неповрежденных файлов возможно только с применением эвристики. Однако исходные имена файлов будут потеряны.

 

Файловая система: Ext3 / Ext4

Удаление файла: файловая система стирает узел файла и обновляет карту свободных блоков. Информация об имени файла отключается от записи в каталоге, но ссылается на правильный узел.

  • Восстановление не фрагментированных файлов: информация о начале файла и его размере постоянно уничтожается, но может оставаться в журнале файловой системы. Отсутствует ссылка между именем файла и местоположением на диске. Эвристика и анализ журналов позволяют восстанавливать файлы, полностью сохраняя начальные имена файлов.
  • Восстановление фрагментированных файлов. Обычно информация о первых 12 блоках файла отсутствует. Там также нет информации о имени файла и его размере. Шансы на восстановление удаленных файлов довольно плохие, однако информация о последних удаленных файлах может оставаться в журнале файловой системы, увеличивая шансы восстановить файл с начальным именем файла до 100%.

Форматирование. Все группы распределения, а также узлы файлов стираются. В зависимости от драйвера журнал файловой системы может содержать информацию о некоторых недавно созданных файлах.

  • Восстановление не фрагментированных файлов: восстановление неповрежденных файлов возможно только путем применения расширенной эвристики и анализа журналов; однако в большинстве случаев исходные имена файлов не могут быть восстановлены.
  • Восстановление фрагментированных файлов: только расширенная эвристика и анализ журналов позволяют полностью восстановить файлы, однако в большинстве случаев исходные имена файлов теряются.

 

Файловая система: ReiserFS

Удаление файла: система обновляет S + -tree, чтобы исключить файл и обновляет карту свободного места.

  • Восстановление не фрагментированных файлов: узел S + -tree может оставаться на диске (копия в журнале файловой системы и старая копия, созданная с помощью копирования при записи). В этом случае шансы восстановления файлов до 100%.
  • Восстановление фрагментированных файлов: то же, что и для не фрагментированных файлов.

Форматирование. Файловая система создает новый S + -tree поверх существующего.

  • Восстановление не фрагментированных файлов: узел S + -tree может оставаться на диске (копия в журнале файловой системы и старая копия, созданная с помощью копирования при записи). В этом случае шансы восстановления файлов близки к 100%.
  • Восстановление фрагментированных файлов: то же, что и для не фрагментированных файлов.

 

Файловая система: JFS (JFS2)

Удаление файла: JFS обновляет счетчик использования объекта и очищает индексный дескриптор на карте использования inode. Каталог перестраивается, чтобы отражать изменения.

  • Восстановление не фрагментированных файлов: индексный дескриптор файла остается на диске, увеличивая вероятность восстановления файлов почти до 100%. Однако имя файла вряд ли будет восстановлено.
  • Восстановление фрагментированных файлов: то же, что и для не фрагментированных файлов.

 

Файловые системы BSD, Solaris, Unix

Эти файловые системы обычно используют файловые системы UFS и UFS2.

 

Файловая система: UFS / UFS2

Удаление файла: UFS очищает узел файла и обновляет карту свободных блоков. Информация об имени файла отключается от записи в каталоге.

  • Восстановление не фрагментированных файлов: информация о начале файла и его размере уничтожается постоянно. Отсутствует ссылка между именем файла и местоположением на диске. Эвристические методы позволяют восстанавливать хорошие файлы, тип которых известен. В то же время вы редко сталкиваетесь с не фрагментированными файлами на UFS из-за особенностей его алгоритма Soft Updates.
  • Восстановление фрагментированных файлов: информация о первых 12 блоках файла отсутствует. Там также нет информации о имени файла и его размере. Шансы на восстановление удаленных файлов довольно плохие, но это возможно.

Форматирование. Все группы распределения, а также узлы файлов стираются.

  • Восстановление не фрагментированных файлов: Полное восстановление файлов возможно с эвристикой, но без начальных имен файлов.
  • Восстановление фрагментированных файлов: восстановление неповрежденных файлов возможно только с применением эвристики. Однако исходные имена файлов будут потеряны.

 

Кластерные файловые системы

Восстановление данных из таких файловых систем, как Apple Xsan (файловая система CentraVision, файловая система StorNext), глобальная файловая система RedHat Linux (GFS), файловая система виртуальной машины VMware ESX (VMFS) очень сложная задача, которая под силу только опытному специалисту. Если вам необходимо восстановить данные из любой из этих файловых систем, свяжитесь со специализированной лабораторией и запросите службу удаленного восстановления.


Читайте также

 

 

 
 

Добавить комментарий