Шанси на відновлення даних: файлові системи Windows

Успіх відновлення даних багато в чому залежить від типу файлової системи, яка застосовується на запам'ятовувальному пристрої. За умови, що файли, які ви шукаєте, не знищені новою інформацією, записаною поверх них, і сам носій функціонує, оцінити ймовірність відновлення легко, просто подивившись на деякі особливості використовуваного формату. Таким чином, ви зможете мати реальні очікування ще до запуску інструменту для відновлення даних.

Якщо у вас комп'ютер під управлінням Windows, його внутрішній диск, швидше за все, відформатований за допомогою NTFS. Портативні пристрої, такі як флеш-накопичувачі та карти пам'яті, зазвичай використовують FAT/FAT32 або exFAT. Досвідчені користувачі іноді обирають ReFS, але ця файлова система Microsoft нового покоління більш характерна для серверів, тому вона не розглядатиметься в цій статті.

NTFS

NTFS зберігає інформацію про файли у спеціальній базі даних, яка називається Головною файловою таблицею (Master File Table, скорочено MFT). Кожен файл має принаймні один запис у MFT, який знає про нього все, включаючи його ім'я, розмір та місце розташування на накопичувачі. Деякі дуже дрібні файли зберігаються у MFT повністю, тоді як більші файли розміщуються поза нею, а запис у MFT вказує на розташування фактичного вмісту файлу.

Каталог у NTFS – це також особливий тип файлу, який містить не дані, а список імен файлів, що належать до цього каталогу.

Інший спеціальний файл під назвою Бітмапа (Bitmap) відстежує, які з блоків зайняті, а які з них вільні та можуть бути використані повторно.

Видалення

Процедура: Коли видаляється файл, NTFS позначає запис у MFT, що описує його, як вільний. Блоки даних також позначаються як вільні у Бітмапі. Ім'я файлу видаляється з каталогу.

Відновлення: Поки NTFS не вирішить повторно використати цей запис у MFT, ім'я, розмір та розташування файлу залишаються в ньому. Цієї інформації більш ніж достатньо, щоб відновити файл в його первісному вигляді. Імовірність успіху в цьому випадку досить висока. Якщо ж запис у MFT більше не існує, але блоки даних не були перезаписані, можливість відновлення все одно лишається. Але оскільки файлова система більше не може підказати, де знаходиться вміст файлу, інструмент для відновлення даних повинен обійти її та проаналізувати все сховище на нижчому рівні, ідентифікуючи та відтворюючи файли на основі відомих особливостей різних файлових форматів. Цей метод також називається RAW-відновленням даних. Його головний недолік полягає в тому, що файли втрачають свої початкові імена і, ймовірно, будуть розміщені в інших каталогах, створених автоматично.

Форматування

Процедура: Процедура форматування створює нову таблицю MFT. Вона записується поверх перших записів поточної таблиці MFT. Однак решта записів продовжують існувати до їх повторного використання для нових файлів.

Відновлення: Інформація про перші 256 файлів недоступна в таблиці MFT. Їх можна повернути тільки за допомогою RAW-відновлення даних. Решту файлів можна успішно відновити з їх початковими іменами й каталогами.

FAT/FAT32

FAT/FAT32 розподіляє вміст файлів по блоках, які називаються кластерами. Їй не завжди вдається знайти кластери, розташовані близько один до одного, що призводить до фрагментації. Розташування кожного з кластерів, які складають кожен файл, і їх послідовність записуються в Таблицю розміщення файлів (File Allocation Table, скорочено FAT). Ця таблиця також вказує, коли кластер наразі не зайнятий і до нього можна здійснити запис.

Кожен файл у FAT/FAT32 належить до певного каталогу, де він має свій власний запис. Такий запис зберігає його ім'я, розмір та початковий кластер. Якщо ім'я задовге, для нього може бути створений додатковий запис каталогу, на ряду з основним.

Самі ж каталоги є спеціальними файлами. Головний каталог називається кореневим, і зазвичай він знаходиться десь на початку розділу.

Видалення

Процедура: FAT/FAT32 видаляє з таблиці FAT інформацію про те, які кластери складають файл. Запис каталогу, який містить його ім'я, розмір і початковий кластер, позначається як видалений. Перший символ в імені замінюється.

Відновлення: За умови, що запис у каталозі досі існує, можна знайти перший кластер та розмір файлу. Однак послідовність кластерів втрачено. Якщо вони знаходяться поруч один з одним, файл буде успішно відновлений. Однак у разі значної фрагментації відновлення даних буде неповним, оскільки важко передбачити розташування наступних кластерів.

Форматування

Процедура: Інформація, яка міститься в таблиці FAT, знищується. Кореневий каталог видаляється. Однак вміст файлів залишається незмінним.

Відновлення: Так само, файли, які зберігаються в послідовних кластерах, можна повернути з високою ймовірністю. Однак у фрагментованих файлів не так багато шансів на відновлення.

exFAT

exFAT є наступницею FAT/FAT32, розробленою для подолання ряду обмежень цієї файлової системи. Вона організовує дані майже таким же чином, але з кількома важливими відмінностями. Замість усіх кластерів Таблиця розподілу файлів описує лише ті, які належать фрагментованим файлам. Тим часом окрема структура, яка називається Бітмапою розподілу (Allocation Bitmap), вказує на стан кожного кластера – чи він зайнятий, чи його можна використати для нових файлів. Така практика дозволяє розміщувати вміст файлів більш послідовно і, таким чином, зменшити фрагментацію.

Видалення

Процедура: exFAT позначає відповідні кластери як звільнені в Бітмапі розподілу. Запис каталогу також позначається як неактивний. У випадку фрагментованого файлу послідовність його кластерів залишається в таблиці FAT.

Відновлення: Нефрагментований файл можна легко відновити, використовуючи інформацію про його початковий кластер та розмір, яка залишається в записі каталогу. Фрагментований файл можна відновити за допомогою послідовності кластерів, доступної в таблиці FAT. Таким чином, відновлення видалених файлів, у тому числі фрагментованих, стає набагато точнішим порівняно з FAT/FAT32.

Форматування

Процедура: exFAT стирає інформацію про вміст фрагментованих файлів, яка зберігається в таблиці FAT. Вона також видаляє кореневий каталог.

Відновлення: З огляду на менший ступінь фрагментації більшість файлів можна відновити повністю з використанням методу RAW-відновлення даних. Однак, оскільки інформація про фрагменти відсутня, певна кількість файлів може виявитися неповною і, отже, пошкодженою.

Читайте далі, щоб дізнатися про можливості відновлення даних з інших файлових систем: