Cứu dữ liệu bị mất
Khi bạn xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng NTFS). Lúc này, các vùng (cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại. Khi bạn xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng NTFS). Lúc này, các vùng (cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại.
Khi dữ liệu mới được ghi vào, lúc này dữ liệu cũ mới thực sự bị xóa đi và ghi đè bằng dữ liệu mới. Chúng ta (và cả hệ điều hành) đều không thể "nhìn" thấy được những dữ liệu bị đánh dấu xóa nhưng những phần mềm cứu dữ liệu vẫn nhìn thấy chúng khi quét qua bề mặt đĩa. Vì vậy chúng ta mới cần đến những phần mềm này trong việc khôi phục dữ liệu.
CẤU TRÚC CỦA DỮ LIÊU TRÊN ĐĨA CỨNG
Trước tiên, chúng ta cùng tham khảo qua cách thức thông tin của một tập tin được lưu trữ trên đĩa cứng. Với phân vùng FAT, dữ liệu được lưu trữ tại 3 nơi trên đĩa cứng, bao gồm: Directory Entry chứa thông tin về tập tin gồm tên, dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của tập tin; FAT chứa số hiệu các cluster được sử dụng cho tập tin và các cluster chứa dữ liệu của tập tin (vùng Allocation). Với phân vùng NTFS, dữ liệu được lưu trữ trong MFT (Master File Table) Entry và vùng Allocation (hình minh họa).
Bất kỳ phần mềm cứu dữ liệu nào cũng cố gắng tìm lại những thông tin từ 3 nơi này để có thể khôi phục đầy đủ nội dung của một tập tin, nếu thiếu (hoặc mất) một trong những thông tin này, dữ liệu không toàn vẹn hoặc không thể khôi phục (xem bảng).
Như vậy, xem xét các trường hợp trên thì khả năng khôi phục dữ liệu thường khá thấp. Trường hợp các cluster của Allocation bị hỏng hoặc bị chép đè, bạn hầu như không thể khôi phục được vì dữ liệu đã bị xóa và chép đè bởi dữ liệu mới. Về lý thuyết, bạn vẫn có thể lấy lại dữ liệu cũ với kỹ thuật MFM (Magnetic Force Microscope) tuy nhiên kỹ thuật này không được áp dụng rộng rãi trên thực tế vì mất nhiều thời gian và chi phí rất cao.
KHẢ NĂNG KHÔI PHỤC DỮ LIÊU
- Tập tin bị xóa: Như đã đề cập ở trên, việc xóa tập tin sẽ đánh dấu xóa trong Director Entry và những thông tin liên quan trong bảng FAT hoặc MFT Entry. Về lý thuyết, khả năng khôi phục đầy đủ tập tin này là cao. Tuy nhiên, kết quả thực tế đôi khi không được như mong đợi vì một số nguyên nhân: sau khi xóa, người dùng cố gắng thực hiện một số thao tác nhằm lấy lại dữ liệu, HĐH ghi đè dữ liệu mới vào các cluster được đánh dấu xóa...
- Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format): Hầu hết dữ liệu đều có thể khôi phục được trong trường hợp này vì FAT và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng.
- Phân vùng bị format: Với phân vùng FAT, việc định dạng sẽ xóa bảng FAT, Boot Record và thư mục gốc (Root Directory) nhưng Partition Table và dữ liệu trong Allocation vẫn còn. Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32KB, mặc định của FAT32 hoặc theo tùy chọn của bạn khi định dạng), tập tin được khôi phục hoàn toàn vì chúng không cần đến thông tin trong bảng FAT. Với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, chúng sẽ bị phân mảnh khi có sự thay đổi nội dung theo thời gian. Việc tìm và ráp các cluster có liên quan với nhau là công việc khó khăn, nhất là với những tập tin có dung lượng lớn và hay thay đổi. Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từ bảng FAT. tuy nhiên, nội dung những tập tin sau khi tìm lại sẽ không đầy đủ hoặc không thể đọc được. Vì vậy, bạn sẽ cần đến một phần mềm có khả năng trích xuất những nội dung còn đọc được từ những tập tin này (chúng tôi sẽ đề cập đến vấn đề này trong bài viết khác khi điều kiện cho phép). Với phân vùng NTFS, việc định dạng sẽ tạo MFT mới, tuy nhiên kết quả khôi phục sẽ tốt hơn phân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa dữ liệu của cùng tập tin.
- Phân vùng bị format và cài đè HĐH mới hoặc sử dụng Ghost: Trường hợp này thực sự là khó khăn vì Directory Entry (FAT), MFT (NTFS) đã bị xóa. Giả sử bạn có 10GB dữ liệu lưu trữ trên phân vùng 20GB, phân vùng này bị format và chép đè 5GB dữ liệu mới. Như vậy, bạn không thể khôi phục những dữ liệu đã bị chép đè mà chỉ có thể khôi phục dữ liệu từ 5GB trở về sau.
MỘT SỐ LƯU Ý
- Tránh những thao tác ghi dữ liệu lên đĩa cứng cần khôi phục. Sau khi xóa, vị trí những cluster của tập tin không được bảo vệ, sẵn sàng cho việc ghi đè dữ liệu mới. Cả khi người dùng không tạo ra những tập tin mới, hoạt động của HĐH cũng ảnh hưởng đến dữ liệu đã xóa khi tạo ra những tập tin nhật ký (log) ghi lại hoạt động của hệ thống, ngoài ra, việc truy cập Internet sẽ tải về khá nhiều tập tin tạm cũng được ghi trên đĩa cứng. Tốt nhất bạn nên ngừng ngay việc sử dụng ổ cứng này, chỉ gắn nó vào một hệ thống khác sau khi đã chuẩn bị sẵn sàng cho việc cứu dữ liệu.
- Đừng chậm trễ khi cứu dữ liệu. Hãy hành động thật nhanh khi nhận thấy sai lầm của mình, bạn sẽ có nhiều cơ hội lấy lại được dữ liệu đã xoá mất. Ngoài ra, khả năng khôi phục phụ thuộc vào loại dữ liệu. Nếu là những tập tin hình, bạn có thể lấy lại được 9 trên 10 hình. Tuy nhiên, nếu là cơ sở dữ liệu (database), bảng biểu... dù lấy lại được 90% nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết, phụ thuộc lẫn nhau.
- Một đĩa cứng "chết" nếu BIOS hay tiện ích quản lý đĩa cứng không thể nhận dạng được. Ổ cứng chết thường có những hiện tượng lạ như không nghe tiếng môtơ quay, phát ra những tiếng động lách cách khi hoạt động... Đây là những hỏng hóc vật lý của bo mạch điều khiển, đầu đọc, môtơ, đĩa từ... Hãy cố gắng tạo bản sao ảnh của đĩa cứng với Norton Ghost, Drive Image hoặc tính năng tương tự của một số phần mềm cứu dữ liệu. Khi đĩa cứng gặp sự cố, bạn có thể lấy lại dữ liệu từ bản sao ảnh của đĩa cứng.
- Nếu dữ liệu thực sự rất quan trọng, bạn nên đem ổ cứng đến những dịch vụ cứu dữ liệu có uy tín để kiểm tra, đừng thao tác trên đĩa cứng vì sẽ ảnh hưởng đến khả năng khôi phục dữ liệu hoặc làm tình hình thêm nghiêm trọng. Và dĩ nhiên, cái giá phải trả cho việc này sẽ không rẻ chút nào.
Khi bạn xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng NTFS). Lúc này, các vùng (cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại. Khi bạn xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng NTFS). Lúc này, các vùng (cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại.
Khi dữ liệu mới được ghi vào, lúc này dữ liệu cũ mới thực sự bị xóa đi và ghi đè bằng dữ liệu mới. Chúng ta (và cả hệ điều hành) đều không thể "nhìn" thấy được những dữ liệu bị đánh dấu xóa nhưng những phần mềm cứu dữ liệu vẫn nhìn thấy chúng khi quét qua bề mặt đĩa. Vì vậy chúng ta mới cần đến những phần mềm này trong việc khôi phục dữ liệu.
CẤU TRÚC CỦA DỮ LIÊU TRÊN ĐĨA CỨNG
Trước tiên, chúng ta cùng tham khảo qua cách thức thông tin của một tập tin được lưu trữ trên đĩa cứng. Với phân vùng FAT, dữ liệu được lưu trữ tại 3 nơi trên đĩa cứng, bao gồm: Directory Entry chứa thông tin về tập tin gồm tên, dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của tập tin; FAT chứa số hiệu các cluster được sử dụng cho tập tin và các cluster chứa dữ liệu của tập tin (vùng Allocation). Với phân vùng NTFS, dữ liệu được lưu trữ trong MFT (Master File Table) Entry và vùng Allocation (hình minh họa).
Bất kỳ phần mềm cứu dữ liệu nào cũng cố gắng tìm lại những thông tin từ 3 nơi này để có thể khôi phục đầy đủ nội dung của một tập tin, nếu thiếu (hoặc mất) một trong những thông tin này, dữ liệu không toàn vẹn hoặc không thể khôi phục (xem bảng).
Như vậy, xem xét các trường hợp trên thì khả năng khôi phục dữ liệu thường khá thấp. Trường hợp các cluster của Allocation bị hỏng hoặc bị chép đè, bạn hầu như không thể khôi phục được vì dữ liệu đã bị xóa và chép đè bởi dữ liệu mới. Về lý thuyết, bạn vẫn có thể lấy lại dữ liệu cũ với kỹ thuật MFM (Magnetic Force Microscope) tuy nhiên kỹ thuật này không được áp dụng rộng rãi trên thực tế vì mất nhiều thời gian và chi phí rất cao.
KHẢ NĂNG KHÔI PHỤC DỮ LIÊU
- Tập tin bị xóa: Như đã đề cập ở trên, việc xóa tập tin sẽ đánh dấu xóa trong Director Entry và những thông tin liên quan trong bảng FAT hoặc MFT Entry. Về lý thuyết, khả năng khôi phục đầy đủ tập tin này là cao. Tuy nhiên, kết quả thực tế đôi khi không được như mong đợi vì một số nguyên nhân: sau khi xóa, người dùng cố gắng thực hiện một số thao tác nhằm lấy lại dữ liệu, HĐH ghi đè dữ liệu mới vào các cluster được đánh dấu xóa...
- Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format): Hầu hết dữ liệu đều có thể khôi phục được trong trường hợp này vì FAT và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng.
- Phân vùng bị format: Với phân vùng FAT, việc định dạng sẽ xóa bảng FAT, Boot Record và thư mục gốc (Root Directory) nhưng Partition Table và dữ liệu trong Allocation vẫn còn. Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32KB, mặc định của FAT32 hoặc theo tùy chọn của bạn khi định dạng), tập tin được khôi phục hoàn toàn vì chúng không cần đến thông tin trong bảng FAT. Với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, chúng sẽ bị phân mảnh khi có sự thay đổi nội dung theo thời gian. Việc tìm và ráp các cluster có liên quan với nhau là công việc khó khăn, nhất là với những tập tin có dung lượng lớn và hay thay đổi. Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từ bảng FAT. tuy nhiên, nội dung những tập tin sau khi tìm lại sẽ không đầy đủ hoặc không thể đọc được. Vì vậy, bạn sẽ cần đến một phần mềm có khả năng trích xuất những nội dung còn đọc được từ những tập tin này (chúng tôi sẽ đề cập đến vấn đề này trong bài viết khác khi điều kiện cho phép). Với phân vùng NTFS, việc định dạng sẽ tạo MFT mới, tuy nhiên kết quả khôi phục sẽ tốt hơn phân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa dữ liệu của cùng tập tin.
- Phân vùng bị format và cài đè HĐH mới hoặc sử dụng Ghost: Trường hợp này thực sự là khó khăn vì Directory Entry (FAT), MFT (NTFS) đã bị xóa. Giả sử bạn có 10GB dữ liệu lưu trữ trên phân vùng 20GB, phân vùng này bị format và chép đè 5GB dữ liệu mới. Như vậy, bạn không thể khôi phục những dữ liệu đã bị chép đè mà chỉ có thể khôi phục dữ liệu từ 5GB trở về sau.
MỘT SỐ LƯU Ý
- Tránh những thao tác ghi dữ liệu lên đĩa cứng cần khôi phục. Sau khi xóa, vị trí những cluster của tập tin không được bảo vệ, sẵn sàng cho việc ghi đè dữ liệu mới. Cả khi người dùng không tạo ra những tập tin mới, hoạt động của HĐH cũng ảnh hưởng đến dữ liệu đã xóa khi tạo ra những tập tin nhật ký (log) ghi lại hoạt động của hệ thống, ngoài ra, việc truy cập Internet sẽ tải về khá nhiều tập tin tạm cũng được ghi trên đĩa cứng. Tốt nhất bạn nên ngừng ngay việc sử dụng ổ cứng này, chỉ gắn nó vào một hệ thống khác sau khi đã chuẩn bị sẵn sàng cho việc cứu dữ liệu.
- Đừng chậm trễ khi cứu dữ liệu. Hãy hành động thật nhanh khi nhận thấy sai lầm của mình, bạn sẽ có nhiều cơ hội lấy lại được dữ liệu đã xoá mất. Ngoài ra, khả năng khôi phục phụ thuộc vào loại dữ liệu. Nếu là những tập tin hình, bạn có thể lấy lại được 9 trên 10 hình. Tuy nhiên, nếu là cơ sở dữ liệu (database), bảng biểu... dù lấy lại được 90% nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết, phụ thuộc lẫn nhau.
- Một đĩa cứng "chết" nếu BIOS hay tiện ích quản lý đĩa cứng không thể nhận dạng được. Ổ cứng chết thường có những hiện tượng lạ như không nghe tiếng môtơ quay, phát ra những tiếng động lách cách khi hoạt động... Đây là những hỏng hóc vật lý của bo mạch điều khiển, đầu đọc, môtơ, đĩa từ... Hãy cố gắng tạo bản sao ảnh của đĩa cứng với Norton Ghost, Drive Image hoặc tính năng tương tự của một số phần mềm cứu dữ liệu. Khi đĩa cứng gặp sự cố, bạn có thể lấy lại dữ liệu từ bản sao ảnh của đĩa cứng.
- Nếu dữ liệu thực sự rất quan trọng, bạn nên đem ổ cứng đến những dịch vụ cứu dữ liệu có uy tín để kiểm tra, đừng thao tác trên đĩa cứng vì sẽ ảnh hưởng đến khả năng khôi phục dữ liệu hoặc làm tình hình thêm nghiêm trọng. Và dĩ nhiên, cái giá phải trả cho việc này sẽ không rẻ chút nào.