HTI Services

092.8765.688 htiservices@htigroup.vn

  • vi
    • en

HTI Services
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 2: macOS

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 2: macOS

quantri2025-06-13T09:22:36+07:00
quantri 2025-06-09 Bài viết chia sẻ thông tin, Phục hồi dữ liệu

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT, ReFS

Filesystem và cơ hội khôi phục dữ liệu

Filesystem (hệ thống tập tin) đóng vai trò then chốt trong việc tổ chức, lưu trữ và truy xuất dữ liệu trên thiết bị lưu trữ. Mỗi phân vùng trên ổ đĩa có thể có filesystem riêng, với cơ chế sắp xếp và quản lý metadata khác nhau. Khi dữ liệu bị xóa hoặc định dạng, nội dung tệp thường chưa bị xóa hoàn toàn, nhưng metadata sẽ bị xóa hoặc thay đổi, ảnh hưởng lớn đến khả năng khôi phục. Vì vậy, loại filesystem được sử dụng có ảnh hưởng trực tiếp đến tỷ lệ thành công khi khôi phục dữ liệu.

Các loại Filesystem và cơ hội khôi phục dữ liệu

Các loại filesystem của macOS

Ngày nay, Disk Utility của Apple cho phép lựa chọn một số loại FS. Ban đầu, HFS+ (còn được gọi là Mac OS Extended) đóng vai trò là tùy chọn mặc định cho ổ đĩa macOS. Tuy nhiên, đã có sự chuyển đổi sang APFS filesystem hiện đại được tối ưu hóa cho bộ lưu trữ flash trong những phiên bản gần đây. Định dạng exFAT được mô tả trước đây, mặc dù do Microsoft tạo ra, cũng có thể được áp dụng trên các thiết bị bên ngoài được chia sẻ giữa các nền tảng khác nhau.

 

1. HFS+

Volume Header xuất hiện ở đầu phân vùng HFS+. Nó chứa tất cả thông tin chung về nó cũng như vị trí các cấu trúc filesystem chính. Một bản sao giống hệt của Volume Header được đặt ở cuối phân vùng. Phần còn lại của metadata FS được thể hiện bằng một tập hợp các tệp đặc biệt có thể được lưu trữ ở bất kỳ đâu trong phân vùng. Hầu hết chúng được tổ chức dưới dạng B-tree. Mỗi B-tree gồm các node chứa các bản ghi gồm một khóa và dữ liệu cụ thể.

HFS+ chia toàn bộ không gian lưu trữ thành các đơn vị có kích thước bằng nhau gọi là các block phân bổ. Như một nỗ lực giảm sự phân mảnh, các block này thường được phân bổ thành các nhóm nối tiếp nhau gọi là cụm (clump). Allocation File ghi nhận xem mỗi block phân bổ có được sử dụng vào thời điểm hiện tại hay không.

Thông tin về nội dung của mỗi tệp được quản lý bằng cách sử dụng cấu trúc phân nhánh đặc biệt – một là dành cho dữ liệu thực tế (phân nhánh dữ liệu) và một là dành cho thông tin hỗ trợ (phân nhánh tài nguyên). Khu vực liền kề các block phân bổ được gán cho một nhánh gọi là phạm vi (extent). Mỗi extent được biểu thị bằng số block bắt đầu và độ dài của block. Catalog File mô tả phân cấp của tất cả các tệp và thư mục cùng các thuộc tính quan trọng của chúng, ví dụ như tên. Nó cũng chiếm 8 extent đầu tiên của mỗi nhánh. Các extent bổ sung có thể được tìm thấy trong Extents Overflow File. Các thuộc tính khác của tệp được chứa trong Attributes File.

Hơn thế nữa, HFS+ hỗ trợ các hard link với nhiều tham chiếu đến một phiên bản duy nhất của nội dung tệp. Các tham chiếu như vậy chỉ là một tệp hard-link riêng biệt được tạo trong Catalog File cho mỗi đường dẫn thư mục. Trong khi đó, nội dung gốc được chuyển tới thư mục gốc ẩn. Tất cả các sửa đổi đối với FS đếu được ghi lại trong Nhật ký (Journal). Nhật ký trong HFS+ bị giới hạn về kích thước – những thông tin mới được thêm vào và được ghi lại trên các bản ghi cũ. Bằng cách này, HFS+ ghi đè lên những thông tin cũ để cập nhật Nhật ký mỗi khi có những sự thay đổi mới.

Trong hình dưới đây, bạn có thể thấy mối quan hệ giữa các thành phần chính của cấu trúc HFS+ gồm Volume Header, Nhật ký và Catalog File:

khôi phục dữ liệu filesystem macOS

Đối với lệnh xóa

Nguyên lý: HFS+ cập nhật Catalog File bằng cách sắp xếp lại B-tree, điều này có thể dẫn đến việc ghi đè lên các bản ghi trong các node tương ứng với tệp đã xóa. Các block tương ứng trong Allocation File được đánh dấu là trống. Hard link bị xóa khỏi đường dẫn thư mục. Tuy nhiên, extent phân nhánh dữ liệu vẫn nằm trong volume. Ngoài ra, các thông tin này cũng được lưu trữ trong Nhật ký một thời gian.

Cách phục hồi: Bằng cách tham khảo Nhật ký, ta có thể tìm thấy các bản ghi mô tả trạng thái trước đó của các block được cập nhật và xác định metadata của các mục đã xóa gần đây. Cơ hội phục hồi dữ liệu sẽ phụ thuộc rất lớn vào thời gian hệ thống hoạt động sau khi xóa. Tuy nhiên, nếu các bản ghi Nhật ký này đã bị xóa, phương pháp khôi phục RAW có thể mang lại kết quả tốt cho các tệp không bị phân mảnh. Dù vậy, các tệp bị phân mảnh còn lại sẽ gây ra sự cố và dẫn đến việc khôi phục không đầy đủ.

Đối với lệnh định dạng

Nguyên lý: Catalog File được reset về cấu trúc phân cấp mặc định, do đó, nó sẽ mất tất cả bản ghi về các tệp trước đó. Mặt khác, Nhật ký và nội dung dữ liệu của chúng sẽ được giữ nguyên vẹn.

Cách phục hồi: Chương trình khôi phục dữ liệu có thể sử dụng Nhật ký để truy xuất mọi thứ có khả năng khôi phục từ các bản ghi của nó, sau đó sử dụng phương pháp khôi phục RAW để khôi phục các tệp bị thiếu bằng cách sử dụng các mẫu đã được xác định trước. Tương tự vậy, cơ hội phục hồi sẽ thấp hơn trong các trường hợp bị phân mảnh trên diện rộng.

filesystem macOS

2. APFS

APFS sử dụng một chiến lược hoàn toàn khác để tổ chức dữ liệu. Ổ đĩa APFS luôn nằm trong một Container đặc biệt. Mỗi Container có thể kết hợp với nhiều volume (filesystem) để chia sẻ không gian lưu trữ có sẵn. Tất cả các block đã được sử dụng hay còn trống trong Container đều được ghi lại với sự trợ giúp của các cấu trúc Bitmap phổ biến. Trong khi đó, mỗi volume đều có Superblock riêng và quản lý các thành phần lưu trữ thông tin riêng, chẳng hạn như phân cấp thư mục, nội dung tệp và metadata.

Việc phân bổ các tệp và thư mục được trình bày dưới dạng B-tree. Nó có các chức năng tương tự như Catalog File trong HFS+. Mỗi mục trong đó được tạo nên từ một vài bản ghi, mỗi bản ghi được lưu trữ dưới dạng khóa và giá trị. Nội dung của một tệp tin bao gồm ít nhất một extent. Một extent mang thông tin về nơi nội dung bắt đầu và độ dài của nó trong block. Một B-tree riêng biệt tồn tại cho tất cả extent trong volume. Trái ngược với HFS+, APFS không bao giờ sửa đổi bất kỳ đối tượng nào ngay tại chỗ. Thay vào đó, nó tạo ra các bản sao và thực hiện những thay đổi cần thiết trên một vị trí mới trong bộ lưu trữ – nguyên tắc này được gọi là Copy-on-Write (CoW).

Đối với lệnh xóa

Nguyên lý: APFS xóa sạch các node tương ứng trong B-tree phân bổ tệp và thư mục.

Cách phục hồi: Ta có thể tìm thấy các phiên bản cũ hơn của các node bị thiếu và phân tích chúng để dựng lại các phiên bản gần đây nhất của chúng. Tuy nhiên, vì được thiết kế cho ổ đĩa SSD, APFS thực hiện thao tác TRIM ngay sau khi xóa dữ liệu. Cơ chế TRIM sẽ khiến nội dung dữ liệu thực tế bị xóa đi nhanh chóng và ta sẽ không còn cơ hội phục hồi dữ liệu một khi thao tác này được bắt đầu.

 

Phần 3: Các loại Filesystem và cơ hội khôi phục dữ liệu: Linux

Phần 4: Các loại filesystem của BSD, Solaris, Unix

 

 

Xem thêm: Bảng giá khôi phục dữ liệu

Liên hệ ngay với chúng tôi qua Hotline 0928.765.688 để nhận được tư vấn và kiểm tra miễn phí.

🏢 Trụ sở Hà Nội: Tầng 12 – VP2, Tòa nhà Sun Square, 21 Lê Đức Thọ, Nam Từ Liêm, Hà Nội
🏢 Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 179 Trần Hưng Đạo, Phường An Hải Bắc, Quận Sơn Trà, Đà Nẵng
🏢 Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Võ Thị Sáu, Quận 3, TP. Hồ Chí Minh

Để trao đổi kinh nghiệm, hỏi thêm một số vấn đề về phục hồi dữ liệu, bạn có thể vào fanpage:

 https://www.facebook.com/htiservices.vn

Từ khóa:

APFSAPFS filesystemcứu dữ liệufilesystemHFS+khả năng khôi phục dữ liệukhôi phục dữ liệumacOSPhục hồi dữ liệu

Chia sẻ:

Facebook LinkedIn

Bài viết liên quan

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun30/06/2025

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun24/06/2025

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

file-RSV
18Jun18/06/2025

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

Các loại Filesystem và cơ hội khôi phục dữ liệu
13Jun13/06/2025

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 4: BSD, Solaris, Unix

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT,... read more

khoi-phuc-du-lieu-macbook
12Jun12/06/2025

Khôi phục dữ liệu ổ NVMe MacBook bị lỗi nguồn

Một chiếc MacBook với ổ NVMe được gửi tới HTI Services trong tình trạng không thể khởi động –... read more

Các loại Filesystem và cơ hội khôi phục dữ liệu
11Jun11/06/2025

Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 3: Linux

Phần 1: Cơ hội khôi phục dữ liệu trên các định dạng ổ đĩa Windows – NTFS, FAT32, exFAT,... read more

Search

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

Bài viết mới nhất

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware
30/06/2025
Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
RANSOMWARE – BE AWARE [Qilin]
24/06/2025
file-RSV
Tất tần tật về khôi phục file Sony RSV
18/06/2025
Các loại Filesystem và cơ hội khôi phục dữ liệu
Các loại Filesystem và cơ hội khôi phục dữ liệu – Phần 4: BSD, Solaris, Unix
13/06/2025
khoi-phuc-du-lieu-macbook
Khôi phục dữ liệu ổ NVMe MacBook bị lỗi nguồn
12/06/2025

Tin tuyển dụng mới nhất

Tuyển dụng kỹ sư bán hàng
Kỹ sư bán hàng
26/08/2022
Tuyển dụng chuyên viên phân tích dữ liệu (Business Analystic)
04/08/2022

HTI Services - A member of HTI Group

Trụ sở Hà Nội: Tầng 12 – VP2, Tòa nhà Sun Square, 21 Lê Đức Thọ, Nam Từ Liêm, Hà Nội

Chi nhánh Đà Nẵng: Tầng 5, Tòa nhà Vietnam Innovation Hub, 179 Trần Hưng Đạo, Phường An Hải Bắc, Quận Sơn Trà, Đà Nẵng

Chi nhánh Hồ Chí Minh: 203A Võ Thị Sáu, Phường Võ Thị Sáu, Quận 3, TP. Hồ Chí Minh

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Giờ làm việc: 8h30 – 17h30 từ Thứ 2 – Thứ 6, Từ 8h30 – 12h Thứ 7, Chủ Nhật nghỉ

Dịch vụ của chúng tôi

Tư vấn giải mã dữ liệu bị mã hóa

Hủy dữ liệu an toàn

Tư vấn điều tra nội bộ về rò rỉ dữ liệu

Khôi phục dữ liệu

Tư vấn đánh giá mức độ an toàn dữ liệu

Rà quét thiết bị điện tử

Chính sách

Đăng ký để nhận tin

Theo dõi chúng tôi

fb
yt
lkn

HTI Services - A member of HTI Group

Hanoi Head Office: 12th Floor – Office 2, SunSquare Building, 21 Le Duc
Tho, My Dinh 2 Ward, Nam Tu Liem District, Hanoi Capital.

Da Nang Branch: 5th Floor, Vietnam Innovation Hub Building, 179 Tran Hung Dao, An Hai Bac Ward, Son Tra District, Da Nang

Ho Chi Minh Branch: 203A Vo Thi Sau, Vo Thi Sau Ward, District 3, Ho Chi Minh City

Hotline: 092.8765.688

Email: htiservices@htigroup.vn

Working hour: 8h30 – 17h30 on Monday – Friday,  8h30 – 12h on Saturday

Our services

Data decryption

Data destruction

Data breaches investigation consulting

Data recovery

Network security consulting

Electronic devices scanning

Newsletter

Follow us

fb
yt
lkn
All Rights Reserved © HTI Services 2022
  • Trang chủ
  • Giới thiệu
  • Dịch vụ
    • Khôi phục dữ liệu
      • Khôi phục dữ liệu trên HDD
      • Khôi phục dữ liệu trên SSD
      • Khôi phục dữ liệu RAID, NAS, SAN
      • Khôi phục dữ liệu trên thiết bị di động
      • Khôi phục dữ liệu USB, thẻ nhớ
      • Bảng giá khôi phục dữ liệu
    • Hủy dữ liệu an toàn
      • Khử từ xóa dữ liệu tại địa điểm khách hàng
      • Xác thực kết quả khử từ
      • Phá hủy vật lý
      • Data Wiping
      • Đánh giá khả năng thực hiện Data Wiping
    • Tư vấn điều tra nội bộ về rò rỉ dữ liệu
      • Điều tra máy tính
      • Điều tra thiết bị di động
      • Phân tích phần mềm độc hại
      • Giải pháp phần mềm Qator Series – IJB
      • Điều tra và phân tích mạng máy tính
    • Tư vấn giải mã dữ liệu bị mã hóa
      • Giải mã dữ liệu bị mã hóa bởi Ransomware
      • Giải mã dữ liệu bị mã hóa FDE
    • Tư vấn đánh giá mức độ an toàn dữ liệu
      • Kiểm tra, đánh giá, bảo trì hệ thống máy tính lưu trữ dữ liệu nhạy cảm
      • Tư vấn bảo vệ, bảo mật hệ thống lưu trữ dữ liệu
    • Đào tạo Điều tra kỹ thuật số điện tử
      • Đào tạo Điều tra kỹ thuật số điện tử – Cơ bản
      • Đào tạo Điều tra kỹ thuật số điện tử – Nâng cao
  • Sản phẩm
    • Máy chủ GPU WinFast
      • WinFast GS4850T
      • WinFast GS4855 ST
      • WinFast GS4840
      • WinFast GS4845
      • WinFast GS2040T
      • WinFast GS2045T
      • WinFast GS 2050T
    • Máy trạm GPU WinFast
      • WinFast WS2040
      • WinFast WS1050
      • WinFast WS950
      • WinFast WS2050
      • WinFast WS1040
      • WinFast WS940
      • WinFast WS945
      • WinFast WS850
      • WinFast WS750
    • Card đồ họa Leadtek
      • RTX PRO™ 5000 Blackwell
      • RTX PRO™ 6000 Blackwell
      • RTX PRO™ 6000 Blackwell Max-Q
      • RTX 4500 Ada Generation 24GB GDDR6
      • RTX 5000 Ada Generation 32GB GDDR6
      • RTX 5880 Ada Generation 48GB GDDR6
      • RTX 6000 Ada Generation 48GB GDDR6
    • Tùy biến theo nhu cầu
      • Hệ thống tạo ảnh và lưu trữ dữ liệu – Hermers Forensics
      • Hệ thống HBS
      • Hệ thống HGS
  • Tin tức
  • Bài viết
    • An toàn dữ liệu
    • Khôi phục dữ liệu
    • Điều tra dữ liệu
    • Hủy dữ liệu
  • Tuyển dụng
  • Chính sách
    • Chính sách bảo mật thông tin
    • Hướng dẫn mua hàng
    • Chính sách giao hàng
    • Hình thức thanh toán
  • Liên hệ
  • vi
    • en
messenger
Zalo
Phone
0928765688

APPLICATION FORM

×
Click to select & upload your CV