Hướng dẫn khôi phục dữ liệu: Những cách để tìm lại phân vùng bị mất

Những người yêu cầu dịch vụ khôi phục dữ liệu thường yêu cầu khôi phục dữ liệu từ một phân vùng bị mất. Các lý do gây ra tình trạng phân vùng bị mất mát như vậy có thể khác nhau rất nhiều: trục trặc ổ đĩa, cố gắng phân bổ không gian đĩa không thành công, vi rút, v.v.

Hôm nay chúng ta sẽ cố gắng tìm hiểu lý do tại sao chúng ta không thể nhìn thấy dữ liệu trong những trường hợp như vậy và cách chúng ta có thể khôi phục nó bằng hệ thống phần cứng-phần mềm PC-3000. Bài viết sẽ đặc biệt có lợi cho những bạn mới bắt đầu thực hiện những bước đầu tiên trong việc khôi phục dữ liệu.

Một chút lý thuyết

Chúng ta hãy xem xét tổ chức dữ liệu điển hình trên ổ đĩa để tìm ra lý do tại sao chúng ta không thể truy cập vào dữ liệu thông qua các công cụ của hệ điều hành.

Để truy cập các tệp ở đây, ta cần:

1. Đọc MBR trong sector 0, nơi chúng ta biết rằng một phân vùng nhất định bắt đầu từ sector 2048 và chiếm N sector;
2. Đọc sector 0 của phân vùng và tìm cấu trúc Boot NTFS ở đó để hiểu rằng: Ta cần xử lý hệ thống tệp NTFS. Trong quá trình xử lý, ta có thể nhận được một số thông tin về metadata của nó;
3. Để tìm metadata khác của hệ thống tệp, sử dụng thông tin Boot NTFS, để hiển thị dữ liệu của người dùng.

Về cơ bản, metadata có thể được chia thành 3 loại:

– Metadata về phân bổ không gian đĩa. Trong ví dụ của ta, đó là MBR, nhưng GPT, Sơ đồ phân vùng Apple, cấu trúc LDM và LVM, v.v. cũng có thể được đưa vào đây.

–  Điểm vào hệ thống (File system entry point) cần thiết để lấy thông tin về loại hệ thống tệp và thường chứa một số tham số quan trọng. Trong ví dụ của ta, đó là Boot NTFS, nhưng Boot cho FAT và ExFAT, Superblock cho EXT, XFS, UFS và ReiserFS cũng thuộc loại này.

– Metadata khác của hệ thống tệp – tất cả các cấu trúc, lưu trữ thông tin về vị trí, tên và thuộc tính của danh mục và tệp. Đây là các bản ghi MFT cho NTFS, bảng FAT và các danh mục cho FAT12 / 16/32, các bảng inode cho EXT, v.v.

Trong trường hợp sự cố metadata loại 1 hoặc loại 2, hệ điều hành có thể ngừng hiển thị phân vùng. Nói cách khác, chúng ta sẽ thấy vấn đề của các phân vùng bị mất.

Thực tế các trường hợp phục hồi phân vùng bị mất

1. You need to format the disk in drive before you can use it

Trong hầu hết các trường hợp, đây là những gì chúng ta nhận được nếu chúng ta làm hỏng FAT Boot chính. Người dùng thấy thông báo này thay vì dữ liệu của họ, nếu dữ liệu được lưu trữ trên ổ đĩa flash hoặc ổ cứng ngoài HDD với hệ thống tệp FAT.

Nói về phân loại, đây là trường hợp làm hỏng điểm nhập hệ thống tệp. Hệ thống PC-3000 biết nơi lưu trữ bản sao Khởi động (Boot copy). Do đó, nếu nó không bị hỏng, phân vùng bên trong Data Extractor sẽ mở ra mà không cần thực hiện thêm bất kỳ hành động nào. Tuy nhiên, trường hợp này không thú vị cho lắm, vì vậy chúng ta hãy xem xét trường hợp cả hai Boots FAT đều bị hư hỏng. Do đó, phân vùng sẽ không mở trong Windows hoặc trong trình trích xuất dữ liệu. Ta sẽ thử cách đơn giản nhất để có được kết quả – bằng cách khởi chạy chế độ “Quick disk analysis”

Phân vùng ảo FAT32 đã được thêm vào ngay sau khi khởi chạy. Ở bên phải, chúng ta có thể thấy nó chứa dữ liệu gì. Nếu chúng ta quay lại trình khám phá tệp Data Extractor ngay bây giờ, thì sẽ có một phân vùng ảo ở đó. Ta có thể lưu dữ liệu ngay bây giờ.

Nếu không đi sâu vào chi tiết, chúng ta có thể nói rằng FAT Boot chứa dữ liệu khá quan trọng để mở hệ thống tệp, tuy nhiên, phân tích danh mục và bảng FAT cho phép chúng ta xác định các tham số này và xây dựng một FAT Boot nhân tạo.

Bảng FAT32 mà ta đã tìm thấy cho phép ta bắt đầu phân tích như vậy. Nó cũng có thể đã được khởi chạy từ quá trình RAW recovery vì ta sẽ làm điều đó cho ExtX Superblock trong ví dụ tiếp theo.

“Quick disk analysis là một phương pháp tự động, được sử dụng để tìm hệ thống tệp “bị mất”. FAT32 chỉ là một trường hợp cụ thể và chế độ này nhằm mục đích tìm kiếm tất cả các hệ thống tệp được hỗ trợ. “

Phương pháp này dựa trên các quan sát sau:

• Các phân vùng thường nằm cạnh nhau và bao phủ gần như hoàn toàn đĩa, tức là “khoảng trống” giữa các phân vùng cũng như lề từ “các cạnh” của đĩa không vượt quá vài nghìn cung;
• Metadata trên tổ chức đĩa (bao gồm cả các bản sao) được đặt ở đầu hoặc cuối đĩa;
• Các điểm vào hệ thống tệp và bản sao của chúng thường nằm ở đầu và cuối phân vùng.

Hãy xem xét một ví dụ khác về tổ chức đĩa để minh họa những quan sát này.

• Các cấu trúc GPT, thông tin về các phân vùng, nằm ở đầu và cuối đĩa (MBR cho biết phân vùng có kích thước đĩa duy nhất, thường được ghi trước các cấu trúc GPT trong sector 0);
• Phần đầu của phân vùng FAT32 gần với phần đầu của đĩa và Boot của nó – điểm vào hệ thống tệp – nằm trong sector đầu tiên của phân vùng;
• Phân vùng HFS + gần như ngay sau phân vùng FAT32 và phần đầu của nó chứa HFS + Volume Header – điểm vào hệ thống tệp HFS +;
• Phân vùng HFS + kết thúc gần với phần cuối của đĩa và ở cuối phân vùng có một bản sao của HFS + Volume Header;
• Bản sao GPT nằm ở cuối đĩa

Nếu chúng ta xử lý một đĩa không xác định, việc quét dung lượng ở đầu và cuối đĩa là rất hợp lý. Nếu bạn tìm thấy thông tin về các vị trí phân vùng hoặc có thể khôi phục toàn bộ phân vùng, thì bạn có thể thêm các phạm vi gần với phần đầu và phần cuối của phân vùng, vào tìm kiếm của mình, vì có rất nhiều khả năng để tìm thấy một phân vùng liền kề.

Mục đích của việc quét như vậy là để tìm một điểm vào hệ thống tệp hoặc các cấu trúc, điều này sẽ cho phép ta khôi phục thông tin về phân vùng bị mất (trong ví dụ này đó là bảng FAT32).

Phân tích đĩa nhanh quét các phạm vi “thú vị” nhất và tự động phóng to chúng khi quá trình quét diễn ra. Nếu một cấu trúc thích hợp được tìm thấy, phương pháp thêm một phân vùng ảo sẽ được khởi chạy. Sau đó, tất cả các phân vùng được phục hồi sẽ được hiển thị trong khung chế độ, nơi có thể nhìn thấy ngay cây hệ thống tệp.

2. Dữ liệu có còn tồn tại sau khi format (định dạng lại) hay không?

Khả năng và phương pháp khôi phục dữ liệu sau khi “quick format” là một chủ đề xứng đáng dành cho một bài viết riêng. Tuy nhiên, trong một số trường hợp, nó có thể khá đơn giản. Hãy xem xét một trường hợp như vậy: một ổ đĩa có cài đặt Ubuntu (tạo phân vùng EXT theo mặc định), được giải nén từ máy tính, sau đó được kết nối với một ổ đĩa khác có cài đặt Windows và được định dạng ở NTFS. Ngay sau đó, ổ đĩa đã được đưa đi phục hồi.

Trong trường hợp này, ta cũng có thể chạy phân tích đĩa nhanh như ta đã làm trước đó. Nhưng chúng ta hãy thử một cách khác – khởi động Khôi phục thô để kiểm tra ổ đĩa. Raw Recovery là một chế độ chuyên dụng để tìm kiếm dữ liệu của người dùng (hình ảnh, tài liệu, v.v.) và metadata của hệ thống tệp. Việc tìm kiếm dựa trên phân tích bằng các biểu thức chính quy cũng như các thuật toán nội bộ để kiểm tra các cấu trúc khác nhau, tức là nó không phụ thuộc vào tổ chức đĩa logic (hệ thống tệp ở đó là gì và nếu có bất kỳ thiệt hại nào). Nói cách khác, chế độ thực hiện File Carving

Phân vùng NTFS bắt đầu bằng LBA: 2048. Phân vùng EXT cũng có thể đã bắt đầu ở đây, nhưng ta không thể biết chắc chắn. Hơn nữa, ta tìm thấy một số cấu trúc khác liên quan đến NTFS. Trong sector 264 192, chúng ta có thể thấy một trong những bản sao Superblock của hệ thống tệp EXT. Hãy để ta nêu một số thông tin quan trọng về hệ thống tệp EXT:

• Không gian được cấp cho hệ thống tệp được chia thành các nhóm bằng nhau (có lẽ ngoại trừ nhóm cuối cùng). Kích thước của một nhóm được chỉ ra trong Superblock. Trong ví dụ này, nó tương đương với 262144 sector.
• Superblock chính nằm ở nhóm 0 và được chuyển thành 1024 Byte.
• Các bản sao của superblock chính được viết trong một số nhóm khác với dịch chuyển 0. Đây là nhóm 1 và các nhóm khác, số của chúng là lũy thừa của 3, 5 và 7. Do đó, đầu của mảng như sau: 0 ( +1024 byte), 1, 3, 5, 7, 9, 25,…
• Các superblock của các phân vùng khác nhau rất dễ nhận ra bởi GUID, được viết trong chúng.

Tổ chức như vậy cung cấp cho ta hai lựa chọn:

• Nếu superblock chính bị hỏng, rất có cơ hội tìm thấy bản sao của nó;
• Nếu chúng ta tìm thấy một số superblock của cùng một phân vùng và xác định vị trí của chúng trong chuỗi, chúng ta có thể xác định chính xác vị trí bắt đầu của phân vùng.

Các tùy chọn này là cơ sở cho phương pháp thêm phân vùng ảo có sẵn từ menu ngữ cảnh trên ExtX Superblock.

Trong trường hợp của ta, phương thức này dễ dàng xác định phần đầu của phân vùng – đó cũng là sector 2048. Nếu ta quay lại trình khám phá tệp, ta sẽ thấy một phân vùng ảo mới ở đó cung cấp quyền truy cập vào dữ liệu. Trong trường hợp này, “ảo” có nghĩa là Trình trích xuất dữ liệu thu được thông tin về đầu, kích thước và loại phân vùng, cũng như điểm vào của nó (Superblock) không phải từ cấu trúc đĩa, nhưng lưu trữ nó trong một cơ sở dữ liệu cụ thể.

Chúng ta hãy tổng hợp các thông tin trên.

Sau khi định dạng lại, điểm vào hệ thống tệp EXT, chứa dữ liệu cần thiết, đã bị xóa cùng với cấu trúc của hệ thống tệp mới (NTFS). Chế độ khôi phục thô đã tìm thấy EXT Superblocks. Sử dụng một phương pháp cụ thể, ta đã thêm phân vùng ảo và có quyền truy cập vào dữ liệu.

Phương pháp trước (Phân tích đĩa nhanh) cũng có thể được áp dụng tại đây.

3. Mất MBR

Nếu LBA = 0 thường chứa MBR bị hỏng (BAD sector), chúng ta sẽ thấy một hình ảnh tương tự trong Windows Disk Management như trên ảnh chụp màn hình ở trên. Bây giờ không thể nhìn thấy dữ liệu của phân vùng, ở đó, bằng các phương tiện thông thường. Như chúng ta đã biết, chúng ta có thể sử dụng chế độ phân tích đĩa nhanh và phục hồi RAW để giải quyết vấn đề. Nhưng hãy thử một cách khác, ít tự động nhất để hiểu rõ hơn về cách mọi thứ hoạt động.

Nếu ta tìm kiếm các phân vùng theo cách thủ công, thì nơi đầu tiên cần tìm phải là nơi chúng bắt đầu trong hầu hết các trường hợp: LBA 63, 2048, 264192, 409640 hoặc lũy thừa của hai phân vùng như 128, 256, 512, v.v.

Khi chúng ta mở sector 2048, chúng ta thấy chữ ký, điển hình cho Boot NTFS – dòng “NTFS” ở đầu sector. Hãy sử dụng tùy chọn xem sector dưới dạng cấu trúc Boot NTFS (View as…> Boot NTFS) và thấy rằng các trường liên quan là hợp lệ. Sau đó, ta thêm một phân vùng ảo từ menu “Service”.

Sau đó, chúng ta có thể xem dữ liệu của người dùng trong trình khám phá tệp Data Extractor. Bằng cách thêm một phân vùng ảo, ta đã bỏ qua bước xác định phần bắt đầu của một phân vùng từ MBR hoặc các cấu trúc khác, vì ta đã thiết lập rõ ràng phần bắt đầu và loại phân vùng mới. Tất cả dữ liệu người dùng được hiển thị trong trình khám phá tệp Data Extractor vì Boot sector và metadata NTFS khác là chính xác.

Tổng kết lại

Do hư hỏng lôgic (định dạng ổ đĩa sai, vi-rút, lỗi phần mềm, v.v.) hoặc các vấn đề về ổ đĩa vật lý (BAD-sector, trầy xước, head yếu, v.v.), bạn có thể gặp phải sự cố “phân vùng bị mất”. Nó khá thường xuyên xảy ra trên các ổ đĩa bị hỏng. Và PC-3000 Systems Data Extractor là giải pháp duy nhất để xử lý các ổ đĩa bị hỏng một cách đảm bảo và chuẩn nhất (theo kinh nghiệm người dùng)

Có 2 lý do phổ biến nhất của việc mất phân vùng:

1. Thông tin về vị trí phân vùng bị hỏng (ví dụ: không thể đọc MBR)
2. Điểm nhập hệ thống tệp bị hỏng (ví dụ: Boot hoặc Superblock bị xóa)

Hệ thống PC-3000 với Data Extractor có một số giải pháp cho vấn đề này. Trong bài này, ta đã thảo luận về cách:

• Sử dụng phân tích đĩa nhanh để tự động tìm các phân vùng bị mất
• Thêm phân vùng ảo từ chế độ khôi phục RAW
• Thêm phân vùng ảo từ trình soạn thảo hex

Các giải pháp này đã nhiều lần chứng minh tính hiệu quả của chúng trong các nhiệm vụ thực tế.

Tham khảo thêm:

PC-3000 PORTABLE III SYSTEMS – HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN Ổ CỨNG

PC-3000 EXPRESS – HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN HDD, SSD

PC-3000 FLASH – HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN THIẾT BỊ SỬ DỤNG CHIP NHỚ

HỆ THỐNG PHỤC HỒI DỮ LIỆU TRÊN THIẾT BỊ DI ĐỘNG PC-3000 MOBILE

Để tìm hiểu thêm về các công cụ này, vui lòng liên hệ với chúng tôi theo hotline: 092.8765.688