В дополнение к вашему вопросу установил и провел тестирование двух популярных программ автоматического восстановления данных, чтобы вы и многие другие могли убедиться воочию, что они не предназначенных для решения задача вроде описанной в данной статье.
Берем образ накопителя полученный после его вычитки и запускаем полной сканирование всего образа.
1. Используем версию R-Studio 8.10
Древо каталогов ей получить удалось, но открыв предпросмотр JPG файла видим там нечто совсем не похожее на служебный заголовок jpeg.
2. Используем GetDataBack for NTFS 4.33
Древо каталогов получено неверное, к просматриваемой папке присвоены совсем не те объекты, что там должны быть. Предпросмотр JPG файла также показывает некие данные, не похожие на служебный заголовок jpeg.
3. Используем Data Extractor и уточняем места сдвигов в трансляции
после уточнения точек сдвигов получаем корректные указатели на начала файлов. На примере виден правильный служебный заголовок jpeg
Полагаю многим очевидно, что средства автоматического восстановления данных хороши лишь для некоторого круга задач.
На всякий случай, для людей которые «не в теме» сообщаю, что отсутствие подобных знаний у специалиста не влияет на его компетентность в восстановлении данных. Они просто не нужны для практических задач.
исходя из уточнения в личных, мне пока стоит признать, что в данном вопросе у меня недостаточно информации для какого-либо дальнейшего продолжения дискуссии.
Для начала снять плату контроллера. Промыть и прогреть паяльным феном. После этого скорее всего какая-то активность при подаче питания будет, если он просто умер от лежания на одном месте.
В прошлом десятилетии было обращение с MFM диском. В этом нет. В донорское базе в не сортированном старом мусоре вполне возможно, что есть некоторое количество старых MFM накопителей.
Очень старые диски обычно находятся в промышленном оборудовании, которое работает не один десяток лет, но как показывает практика большинство этого оборудования уже родом из девяностых и диски там IDE, SCSI.
Самый древний диск из которого требовалось извлечь данные за последние 3 года был из некого древообрабатывающего станка. Conner емкостью 40Mb с IDE интерфейсом. Датировался или 1991 или 1992 годом выпуска.
Прошу извинить, если невнимательно прочитал, но там вроде про остаточную намагниченность, а не про края дорожек. Разве нет?
так то да, но и рассматривается возможность отыскать признаки каких-либо иных данных на треке и в окрестности (что есть «края»)
Для некоторых семейств известна технокоманда, позволяющая задать смещение головки от центра дорожки.
По большому счету корректируя некоторые адаптивные параметры можно добиться в любом накопителе неточного попадания на трек (но для этого нужно проделать множество работ по реверсу-инжинирингу, чтобы в полной мере понять значение всех параметров), которое в итоге превратится сначала в нестабильное чтение (UNC ошибки), а при больших отклонениях DAM/sync error. При очень больших отклонениях получим громкий стук. Кроме этого нужно отметить, что в современных дисках данные не записываются в явном виде. Сегодня проблематично в каком-либо из дисков получить осмысленные данные из буфера (пусть даже с битовыми ошибками), если чтение завершилось даже банальной UNC ошибкой.
Когда я пишу, что это возможно, я имею в виду конкретные разработки конкретного специалиста, результаты которых видел лично. Если вам интересно, напишите мне в личку, и я сообщу о ком и о чём речь.
Секрета тут нет, но без разрешения разработчика не хотел бы об этом в публичном пространстве писать.
Было бы любопытно узнать, кто именно работает в данном направлении. И точно ли вы или исследователь не ошиблись.
Насколько мне известно, сегодня много кто пытается исследовать возможности чтения в современных дисках с разрушениями в трансляциии (речь идет о некоторых SMR дисках, где транслятор становится похожим на транслятор ssd, а также о возможностях чтения различных медиа кешей (особенно работающих по принципу write back) Именно в таких дисках есть шансы прочесть что-то старе и формально не существующее и дальше гадать, где оно могло быть и к чему относилось. Но пока что работы в этом направлении являются огромным и почти непаханным полем.
CHS адресация. В этих древних накопителях поддержка LBA адресации была опцией. Также в древних conner зачастую логические параметры CHS в паспорте записаны совсем не те, которые нужны для работы. Кроме этого с новыми контроллерами встречались нюансы с работой в режиме ниже, чем PIO 4. Вероятно одна из этих причин не позволила вам запустить старый диск на новой системе.
Уже несколько десятков лет со стороны интерфейса невозможно управлять сервоприводом(со времен анонсирования IDE в 1986 году). Но даже если допустить такую возможность, то другим камнем преткновения будут принципы кодирования данных, которые весьма продвинулись со времен RLL/ARLL.
Ну и как уже приводилась в комментариях ссылка на достаточно давние исследования в области магнитно-силовой микроскопии, материалы в которой достаточно четко поясняют бесполезность подобных затей.
Если диск физически скорее жив — сделать тест чтения программой Victoria HDD (она не травмирует диск принудительными многократными попытками считывания), посмотреть, какие области читаются без проблем, а какие нужно читать аккуратно и в последнюю очередь, чтобы не ухудшить ситуацию.
В современных дисках это давно уже не совсем так. Идеология микропрограмм такова, что накопители обнаружив проблемные участки будут пытаться самостоятельно анализировать проблемы. И попытки тестов накопителей с дефектами могут очень сильно усугубить проблему на пару с процедурами оффлайн-скана. Если кратко, то совет можно дать такой, если в SMART по 5 и 197 атрибутам в поле RAW обнаружились значения отличные от нулевых и данные имеют высокую стоимость и штатным путем уже не копируются, то немедленно прекратить любые попытки.
Куда именно запишется новый файл — это уже решение компонентов ОС работающих с файловой системой. И разумеется не во всех случаях файл будет расположен на том же самом месте. Кроме этого есть еще масса факторов из-за которых одни и те же файлы могут оказаться в нескольких местах на диске (например различные дефрагментаторы-оптимизаторы расположения файлов).
Изначально говоря о перезаписи, так рассматривался вариант именно возможности прочитать какое-то иное содержимое из конкретного сектора кроме того, что в нем записано на данный момент. И на него давался ответ о невозможности такого рода восстановления данных.
Разумеется, что в случае различных шифровальщиков кроме прямых попыток расшифровки зачастую целесообразно провести поиск регулярных выражений характерный для нужных пользователю файлов. В некоторых случаях, где свободное пространство принудительно не зачищалось это позволит получить какой-то объем данных.
1) кто-то не задумывается о резервном копировании вообще.
2) кто-то задумывается, но не особо следит за регулярностью
3) кто-то не проверяет насколько корректно созданы резервные копии
у каждого человека свои причины.
На сегодняшний день Btrfs, ZFS уже не представляет такую диковинку какими были еще несколько лет назад и разумеется на сегодня достаточно много известно об организации метаданных данных файловых систем и разработаны методы анализа.
Возможность или невозможность восстановления определяется в первую очередь характером повреждений файловой системы или самого накопителя.
Перезаписанное поверх — это перезапись именно в то же место. В вашем случае все же запись состоялась в другом месте.
Удаление через корзину не особо отличается от простого удаления, кроме того, что принадлежность объекта сначала приписывается корзине. Не нашлось вероятно потому, что уже успело перезаписаться иными данными.
Если Вы ищете организацию оказывающую услуги восстановления, то в случае СНГ не так и дорого прибегнуть к услугам транспортных компаний, которые выполнят доставку накопителя. Главное определитесь какая из компаний у Вас вызывает больше доверия.
Есть небольшая оговорка, что справедливо это для жестких дисков. В случае накопителей с NAND памятью почти тоже справедливо, но есть нюансы. Например неочищенные блоки исключенные из трансляции в которых могут содержаться небольшие обрывки каких-то пользовательских данных. Доступными они будут, только после получения дампов их микросхем NAND памяти.
Из любого сектора можно прочитать только его текущее содержимое. Каких-либо старых версий содержимого сектора даже в достаточно старых накопителях вам прочитать не удастся. Эксперименты в области магнитно-силовой микроскопии показываю тщетность подобных попыток digital-forensics.sans.org/blog/2009/01/15/overwriting-hard-drive-data
Если уже говорить о самых платежеспособных клиентах, то как правило это юридические лица. Системные администраторы, как правило не выделяются какой-то внешней атрибутикой. Посему оценивать по одежке — это заведомо неверный подход, который вряд ли увеличит прибыль компании.
Берем образ накопителя полученный после его вычитки и запускаем полной сканирование всего образа.
1. Используем версию R-Studio 8.10
Древо каталогов ей получить удалось, но открыв предпросмотр JPG файла видим там нечто совсем не похожее на служебный заголовок jpeg.
2. Используем GetDataBack for NTFS 4.33
Древо каталогов получено неверное, к просматриваемой папке присвоены совсем не те объекты, что там должны быть. Предпросмотр JPG файла также показывает некие данные, не похожие на служебный заголовок jpeg.
3. Используем Data Extractor и уточняем места сдвигов в трансляции
после уточнения точек сдвигов получаем корректные указатели на начала файлов. На примере виден правильный служебный заголовок jpeg
Полагаю многим очевидно, что средства автоматического восстановления данных хороши лишь для некоторого круга задач.
Эти типы и были стандартные по тем временами наборы CHS параметров.
(картинка взята из публичного источника)
Очень старые диски обычно находятся в промышленном оборудовании, которое работает не один десяток лет, но как показывает практика большинство этого оборудования уже родом из девяностых и диски там IDE, SCSI.
Самый древний диск из которого требовалось извлечь данные за последние 3 года был из некого древообрабатывающего станка. Conner емкостью 40Mb с IDE интерфейсом. Датировался или 1991 или 1992 годом выпуска.
так то да, но и рассматривается возможность отыскать признаки каких-либо иных данных на треке и в окрестности (что есть «края»)
По большому счету корректируя некоторые адаптивные параметры можно добиться в любом накопителе неточного попадания на трек (но для этого нужно проделать множество работ по реверсу-инжинирингу, чтобы в полной мере понять значение всех параметров), которое в итоге превратится сначала в нестабильное чтение (UNC ошибки), а при больших отклонениях DAM/sync error. При очень больших отклонениях получим громкий стук. Кроме этого нужно отметить, что в современных дисках данные не записываются в явном виде. Сегодня проблематично в каком-либо из дисков получить осмысленные данные из буфера (пусть даже с битовыми ошибками), если чтение завершилось даже банальной UNC ошибкой.
Было бы любопытно узнать, кто именно работает в данном направлении. И точно ли вы или исследователь не ошиблись.
Насколько мне известно, сегодня много кто пытается исследовать возможности чтения в современных дисках с разрушениями в трансляциии (речь идет о некоторых SMR дисках, где транслятор становится похожим на транслятор ssd, а также о возможностях чтения различных медиа кешей (особенно работающих по принципу write back) Именно в таких дисках есть шансы прочесть что-то старе и формально не существующее и дальше гадать, где оно могло быть и к чему относилось. Но пока что работы в этом направлении являются огромным и почти непаханным полем.
Ну и как уже приводилась в комментариях ссылка на достаточно давние исследования в области магнитно-силовой микроскопии, материалы в которой достаточно четко поясняют бесполезность подобных затей.
В современных дисках это давно уже не совсем так. Идеология микропрограмм такова, что накопители обнаружив проблемные участки будут пытаться самостоятельно анализировать проблемы. И попытки тестов накопителей с дефектами могут очень сильно усугубить проблему на пару с процедурами оффлайн-скана. Если кратко, то совет можно дать такой, если в SMART по 5 и 197 атрибутам в поле RAW обнаружились значения отличные от нулевых и данные имеют высокую стоимость и штатным путем уже не копируются, то немедленно прекратить любые попытки.
Некоторый объем рекомендаций есть в моей заметке от 2017 года hddmasters.by/articles/chto_takoe_SMART.html
Изначально говоря о перезаписи, так рассматривался вариант именно возможности прочитать какое-то иное содержимое из конкретного сектора кроме того, что в нем записано на данный момент. И на него давался ответ о невозможности такого рода восстановления данных.
Разумеется, что в случае различных шифровальщиков кроме прямых попыток расшифровки зачастую целесообразно провести поиск регулярных выражений характерный для нужных пользователю файлов. В некоторых случаях, где свободное пространство принудительно не зачищалось это позволит получить какой-то объем данных.
2) кто-то задумывается, но не особо следит за регулярностью
3) кто-то не проверяет насколько корректно созданы резервные копии
у каждого человека свои причины.
Возможность или невозможность восстановления определяется в первую очередь характером повреждений файловой системы или самого накопителя.
Удаление через корзину не особо отличается от простого удаления, кроме того, что принадлежность объекта сначала приписывается корзине. Не нашлось вероятно потому, что уже успело перезаписаться иными данными.