استعادة الملفات المحذوفة

من أرابيكا، الموسوعة الحرة
اذهب إلى التنقل اذهب إلى البحث

استعادة البيانات (بالإنجليزية: Data recovery)‏ هي عملية لإنقاذ البيانات التي لا يمكن الوصول إليها من مخزن البيانات الثانوي التالف أو من الوسائط المتعددة القابلة للإزالة أو من الملفات عندما تكون البيانات عليها لا يمكن الوصول إليها بالطريقة الطبيعية، الإنقاذ للبيانات من الوسائط التخزينية مثل الأقراص الصلبة الداخلية والخارجية ومحرك الأقراص ذو الحالة الصلبة ووحدة الذاكرة الفلاشية والأقراص المضغوطة ودي في دي ونظم ريد RAID ومشتقاته والأجهزة الإلكترونية الأخرى، تتطلب عملية استعادة البيانات بسبب حدوث تلف مادي لوسائط التخزين أو تلف غير مادي لنظام الملفات يمنع نظام التشغيل من التعامل معه (أو ارتباطه بنظام التشغيل).

الأنماط والأساليب

أشهر السيناريوهات لإستعادة البيانات مثل سقوط نظم التشغيل وأعطال وسائط التخزين والتلف والمسح المفاجئ أو غير المقصود إلخ، في هذه الحالة يتم عمل نسخة من كل الملفات المطلوبة إلى وسائط تخزينية أخرى جيدة، يتم عمل النسخ عن طريق استخدام إسطوانة مدمجة تلقائية الإقلاع أو ذاكرة متنقلة تلقائية الإقلاع، وتتم عملية الاستعادة للملفات من خلال عمل نقطة إرتباط لكل من النظام المطلوب النقل منه system drive والمطلوب النقل إليه backup drives (كالوسائط القابلة للإزالة) ويستخدم للنقل مدير الملفات أو النسخ الضوئي باستخدام محرك الأقراص الضوئية أو قرص بلو راي.

سيناريو آخر ينطوي على فشل على مستوى القرص، مثل نظام الملفات أو تقسيم القرص، أو فشل القرص الصلب. في أي من هذه الحالات، فإن البيانات لا يمكن قراءتها بسهولة. وبناء على الحالة، تشمل الحلول إصلاح نظام الملفات، تقسيم الجدول أو سجل الإقلاع الرئيسي MBR وجدول الأقسام، أو أي من تقنيات الإسترداد لبيانات القرص الصلب تتراوح بين استعادة البيانات المخربة أو المفقودة باستخدام البرمجيات، أو استعادة البيانات عن طريق الفيرموير (الفيرموير هي برامج تربط ما بين العتاد وبرامج نظام التشغيل وهي برامج ثابتة لا يمكن مسحها أو تغيرها أو تحديثها بالطرق العادية)، أو المفقودة بسبب عطب في أجزاء مادية من العتاد نفسه (مثل عطب الأقراص أو الرأس المغناطيسي أو في مكون من المكونات الإلكترونية).

السيناريو الثالث في حالة مسح ملفات وسائط التخزين. في الواقع لا يتم مسح هذه الملفات ولكن يمسح المشير لها فقط من جدول البيانات (بنية أو معمارية الدليل) الموجود في نظام الملفات للمستخدم، وتكون المساحة التي تشغلها البيانات الممسوحة متاحة للكتابة فوقها في وقت لاحق (بمعنى أنها غير محمية)، بالنسبة للمستخدم العادي فإنها لا تظهر أي من هذه الملفات أو البيانات في مدير الملفات ولكنها تقنيًا ما زالت موجودة، وتظل محتويات الملف موجودة لبرهة من الوقت وفي حالة توقف عملية التجزئة وإلغاء التجزئة وهي عملية لتنظيم القطاعات على الأقسام لتكون قريبة ومتتالية لتسهيل الوصول للبيانات والمحافظة على القرص الصلب، وبالتالي يمكن إسترداد الملفات مرة أخرى.

ويستخدم مصطلح «استعادة البيانات» أيضًا في تطبيقات العلوم الجنائيه المتعلقة بالحاسب الالي أو التجسس حيث تكون البيانات مشفرة أو مخفية، ليتم إستردادها.

الأضرار المادية (المادة المكونة لوسائط التخزين)

الأضرار المادية (بالإنجليزية: Physical damage)‏ هناك تشكيلة واسعة من الأسباب للتلف المادي لوسائط التخزين، ومعظمها ناتج من الأخطاء البشرية والمشاكل الطبيعية (مثل ارتفاع الحرارة)، القرص المدمج يمكن أن يصاب سطحه المعدني (طبقة الومنيوم رقيقة) ببعض الخدوش. القرص الصلب يمكن أن يعاني من العديد من الأعطال الميكانيكية مثل تحطم الرأس المغناطيسي وتعطل المحرك أو انكسار الشريط، ويتسبب ذلك على الأقل في فقد بعض البيانات، في العديد من الحالات يتلف أيضًا البناء غير المادي لنظام الملفات، ولإنقاذ المحتويات (البيانات والملفات والمجلدات) يجب علاج هذا التلف أولًا.

معظم الأضرار المادية لا يمكن إصلاحها بواسطة المستخدمين العاديين فعلا سبيل المثال فان فتح قرص صلب في البيئة العادية سيؤدي للسماح للغبار المتطاير بالتساقط على سطح الأسطوانة العلوي وستفصل هذه الطبقة ما بين رأس الكتابة والقراءة head وسطح الإسطوانة، وسيتسبب ذلك في تحطم رأسه ويؤدي ذلك إلى خدوش في طبقة الإسطوانة وسيصعب ذلك من عملية استعادة البيانات، المستخدم العادي بشكل عام ليس لديه أجهزة أو خبرة تقنية لإصلاح تلك المشاكل، ولهذا فإنه يتم الاستعانة بالشركات المشهورة باستعادة البيانات ماديًا لإنقاذ البيانات المهمة، تستخدم هذه الشركات غرفة نظيفة لإتمام الإنقاذ.[1]

تقنيات الإسترداد

استعادة البيانات من الأجهزة التي تضررت ماديًا يمكن أن تتم بتقنيات متعددة، بعض الضرر يمكن إصلاحه عن طريق استبدال أجزاء من مكونات جهاز القرص الصلب وهذا وحده قد يجعل القرص يعمل ويصبح صالح للإستعمال، ولكن قد يكون هناك تلف غير مادي باقي، ولهذا يمكن استخدم بعض الإجراءات المتخصصة لعمل نسخ مطابقة لكل بت مقروء من على سطح القرص، وما أن يتم الحصول على هذه النسخة المطابقة وحفظها على وسائط أخرى صالحة فيمكن بعد ذلك تحليلها وإعادة بناء نظام الملفات الأصلي مرة أخرى.

إصلاح العتاد

(بالإنجليزية: Fix Hardware)‏

وسائط عانت من سقوط إلكتروني كارثي يتطلب استعادة البيانات من أجل إنقاذ محتوياته.

يوجد مفهوم خاطئ عام وهو أن الدائرة الإلكترونية أو اللوحة المطبوعة PCB التالفة يمكن إستبدالها ببساطة بلوحة مطابقة لها من قرص صلب آخر صالح، وكان هذا ممكنًا للوحات المصنعة قبل سنة 2003، ولكن في اللوحات الحديثة أصبح صعب لوجود بعض البيانات المضافة المطلوبة للوصول لمناطق نظامها لهذا فإن المكون الإلكتروني المرتبط بذلك يحتاج لإعادة برمجة (إن أمكن) أو فك لحامه ونقله إلى الدائرة الجديدة.[2][3]

كل جهاز قرص صلب به منطقة نظام أو منطقة الخدمة، هذه المنطقة لا يمكن الوصول لها بواسطة المستخدم العادي، غالبًا تحتوي على برنامج ثابت يسمى فيرموير، وبعض البيانات الأخرى المهمة والمهيأة التي تساعد على عمل القرص الصلب وبقائه صالحًا لأطول مدة [4]، أحد أهم وظائف منطقة النظام أن تسجل بعض البيانات عن القطاعات التالفة على القرص لإخبار نظام التشغيل عن عدم إمكانية الكتابة عليها وأنه تم نقل القطاع لمكان آخر.

توجد قائمة بالقطاعات مخزنة على العديد من الرقائق الإلكترونية الموجودة على اللوحة الإلكترونية وهي فريدة على كل جهاز قرص صلب، فإن كانت البيانات على اللوحة غير مطابقة لما هو مُخزَّن على طبقة القرص الصلب فلن يعمل بطريقة صحيحة.[5]، في معظم هذه الحالات سيتم سماع قرقعة أو طقطقة بواسطة الرأس المغناطيسية بسبب عدم القدرة على إيجاد البيانات المطابقة لما هو على اللوحة الإلكترونية.

الأضرار الغير مادية

صورة تظهر الفشل في الإسترجاع من القرص الصلب

الأضرار الغير مادية (بالإنجليزية: Logical damage)‏ مرجعية هذا المصطلح تعود إلى الحالات التي يكون فيها الخطأ أو التلف ليس مشكلة من العتاد ولإصلاحها يتطلب حلول بواسطة برمجيات الإصلاح المشهورة.

أنظمة الملفات والأقسام التالفة وأخطاء الوسائط

في بعض الحالات تكون البيانات على القرص الصلب صعبة أو مستحيلة القراءة بسبب تلف ناتج عن نظام الملفات أو جدول التقسيم أو أخطاء التوقف اللحظي (المتقطع) للقرص، في غالبية هذه الحالات يتم على الأقل استرجاع بعض البيانات الأصلية عن طريق إصلاح جدول التقسيم ونظام الملفات بواسطة برمجيات متخصصة مثل تست ديسك أو أم 3 لإسترجاع البيانات الأولية (M3 RAW Drive Recovery)، [6] أو باستخدام أوامر الإنقاذ مثل الأمر dd أو الأمر dd rescue (يستخدمان مع نظام التشغيل لينكس) ويمكن لهما أن يستعيدا البيانات على الرغم من وجود أخطاء التوقف اللحظي (المتقطع) وتقوم بعمل نسخة مطابقة أو نسخ مطابقة خامة في حالة سقوط نظام الملفات وجدول التجزئة (التقسيم)، هذا النوع من طرق استعادة البيانات يمكن أن يتم بدون خبرة بالعتاد حيث أنها لا تحتاج لمعدات خاصة للوصول إلى الأقراص.

في بعض الأحيان يمكن إسترداد البيانات باستخدام أساليب وأدوات بسيطة نسبيًا، يمكن في الحالات الأكثر خطورة تدخل الخبراء لا سيما إذا كانت أجزاء من الملفات غير قابلة للإسترداد أو يتعذر إصلاحها، عملية استعادة ملف من نظام ملفات بدون بيانات وصفية لإعادة بناء ملف (بالإنجليزية: File carving)‏.

البيانات المعاد الكتابة فوقها

البيانات المعاد الكتابة فوقها (بالإنجليزية: Overwritten data)‏، بعد أن يتم الكتابة فوق البيانات القديمة، يُعتقد بأنه لا يمكن إسترجاع المعلومات القديمة، ولكن سنة 1996 قام عالم الكمبيوتر بيتر غوتمان بتقديم بحث علمي يقترح فيه أنه يمكن استعادة بعض البيانات باستخدام مجهر ميكروسكوب ذو القوة المغناطيسية، Magnetic force microscope، [7] وفي سنة 2001 قام بتقديم أوراق بحثية أخرى لنفس الموضوع،[8] وللحماية من هذا النوع من استعادة البيانات (لخطورته في بعض الأحيان) قام كل من بيتر غوتمان وكولن راسيا بعمل تصميم طريقة لا رجعة فيها لمحو البيانات تسمى طريقة غوتمان طريقة غوتمان وتستخدم في العديد من البرامج للمحو الكامل للقرص.

وقد لقت تلك النظرية انتقادات كبيرة بسبب عدم وجود أدلة وافتقاد أي أمثلة ملموسة قوية عن إمكانية إسترداد البيانات المعاد الكتابة عليها أو فوقها،[9]، وعلى الرغم من إمكانية أن تكون نظرية غوتمان صحيحة فلا يوجد دليل فعلي عن إمكانية استعادة البيانات المكتوب عليها، والأبحاث التي ظهرة دعمت عدم إمكانية حدوث ذلك..[10][11][12]

تختلف طرق استعادة البيانات من وسائط التخزين ذات الحالة الثابتة عن الأقراص الصلبة، وتختلف إعادة الكتابة وتكون طريقة الإسترداد لبعض البيانات أسهل، تتكون وسائط التخزين ذات الحالة الثابتة من ذاكرة فلاشية لتخزين البيانات في ما يسمى بصفحات وبلوكات ويتم الإشارة لها باستخدام مخطط يسمى العنونة بالبلوكات LBA Logical Block Addressing والذي يتم إدارته بواسطة مترجم يسمى flash translation layer (FTL) فعندما يقوم هذا المترجم بالتعديل على القطاع فإنه يقوم بكتابة البيانات الجديدة في مكان آخر ثم يقوم بتحديث الخريطة بحيث تظهر هذه البيانات الجديدة في المكان الهدف (البلوك)، هذا يترك البيانات السابقة في مكانها فتزداد إمكانية استعادة البيانات بواسطة برمجيات إسترجاع البيانات.

استعادة البيانات عن بعد

(بالإنجليزية: Remote data recovery)‏ خبراء استعادة البيانات لا يحتاجون دائمًا إلى الوصول المادي للعتاد التالف ولكن يمكنهم الوصول حتى من الإنترنت، لوجود حالات استعادة للبيانات بأساليب تقنية وبرامج، كما يمكن الوصول أيضًا من خلال أي شبكة محلية أو أي طريقة للإتصال بالوسائط التالفة ماديًا. العملية لا تختلف عما يستطيع المستخدم العادي إنجازه بنفسه.[13]

لكي تتم عملية استعادة البيانات عن بعد يجب توفر إتصال ثابت مستقر بسرعة كافية وهذه الطريقة غير قابل للتطبيق في حالة تطلب الوصول للعتاد في حالة التلف المادي.

أربع طرق لإستعادة البيانات

غالبًا هناك أربعة طرق ناجحة لإسترجاع واستعادة البيانات وتختلف بناءًا على نوع التلف والاستعادة المطلوبة.[14]

الطريقة الأولى

إصلاح محرك الأقراص ليتمكن من قراءة البيانات، على سبيل المثال إن كان الرأس المغناطيسي تالف فيجب تغييره، وإن كانت اللوحة الالكترونية سيئة أو بها تلف فيجب إستبدالها أو إصلاح العطب.

الطريقة الثانية

عمل نسخة مطابقة من محرك القرص إلى محرك القرص الجديد أو ملف (مثل ملف.iso أو.img)

الطريقة الثالثة

الاستعادة الغير مادية للملفات والأقسام وسجل الإقلاع الرئيسي والجدول الرئيسي للملفات master file table MFT

الطريقة الرابعة

إصلاح الملفات التالفة التي تم إستردادها.

انظر أيضاً

المراجع

  1. ^ فاسكونسيلوس، بيدرو. "أستعادة البيانات بنفسك ربما تعني وداعا للبيانات". The Ontrack Data Recovery Blog. Kroll Ontrack UK. مؤرشف من الأصل في 2013-12-19. اطلع عليه بتاريخ 2013-05-23.
  2. ^ "دليلك لإستبدال لوحات الدارات الكهربائية (PCB) للقرص الصلب أو كيفية تبديل (PCB)". donordrives.com. مؤرشف من الأصل في 29 سبتمبر 2018. اطلع عليه بتاريخ 27 مايو، 2015. {{استشهاد ويب}}: تحقق من التاريخ في: |تاريخ الوصول= (مساعدة)
  3. ^ "Firmware Adaptation Service - ROM Swap". pcb4you.com. مؤرشف من الأصل في 2013-03-29. اطلع عليه بتاريخ 2015-05-27.
  4. ^ Ariel Berkman (14 فبراير 2013). "بيانات القرص الصلب المخفية في منطقة قطاعات الخدمة (Service Areas)" (PDF). recover.co.il. مؤرشف من الأصل (PDF) في 2016-12-27. اطلع عليه بتاريخ 2015-01-23.
  5. ^ مبادلة تقرير إستعادة البيانات(swapping data recovery report) نسخة محفوظة 24 أبريل 2020 على موقع واي باك مشين.
  6. ^ ""برمجيات أحترافية لتحويل البيانات الأولية (RAW) الى إن تي أس أف (NTFS) مثل (M3 RAW Drive Recovery 5.0)". مؤرشف من الأصل في 2019-03-30. اطلع عليه بتاريخ 2015-03-15.
  7. ^ تأمين حذف البيانات من الذاكرة المغناطيسية والذاكرة ذات الحالة الصلبة Solid-State Memory، بيتر غوتمان (peter gutmann)، قسم علوم الحاسوب، جامعة أوكلاند "نسخة مؤرشفة". مؤرشف من الأصل في 2017-12-23. اطلع عليه بتاريخ 2018-01-29.{{استشهاد ويب}}: صيانة الاستشهاد: BOT: original URL status unknown (link)
  8. ^ البيانات المتبقية في أشباه الموصلات نسخة محفوظة 21 فبراير 2007 على موقع واي باك مشين., بيتر غوتمان، آي بي إم مركز أبحاث واتسون (IBM T.J. Watson Research Center) "نسخة مؤرشفة" (PDF). مؤرشف من الأصل (PDF) في 2017-08-10. اطلع عليه بتاريخ 2018-01-29.
  9. ^ Feenberg، Daniel (14 مايو 2004). "هل تستطيع وكالات الإستخبارات قراءة البيانات المعاد الكتابة عليها؟ ردا على غوتمان ". المكتب الوطني للبحوث الاقتصادية. مؤرشف من الأصل في 2018-10-01. اطلع عليه بتاريخ 2008-05-21.
  10. ^ "مسح القرص من الجزور (disk wiping) ممر واحد كافي (One Pass is Enough)". anti-forensics.com. 17 مارس 2009. مؤرشف من الأصل في 2018-05-21.
  11. ^ "مسح القرص (disk wiping) ممر واحد كافي (One Pass is Enough) الجزء الثاني (هذه المرة بلقطات شاشة للتوضيح)". anti-forensics.com. 18 مارس 2009. مؤرشف من الأصل في 2017-12-16.
  12. ^ Wright، Dr. Craig (15 يناير 2009). "إعادة الكتابة فوق البيانات التي على القرص الصلب". مؤرشف من الأصل في 2010-08-21.
  13. ^ بارتون، اندريه (17 ديسمبر 2012). "إستعادة البيانات عن طريق أو عبر الإنترنت". النبش لإستعادة البيانات (Data Recovery Digest). مؤرشف من الأصل في 2017-08-06. اطلع عليه بتاريخ 2015-04-29.
  14. ^ مورغان ستانلي (Stanley Morgan) (28 ديسمبر 2012). "[Infographic] أربع مراحل من استعادة البيانات". dolphindatalab.com. مؤرشف من الأصل في 2018-01-02. اطلع عليه بتاريخ 2015-03-23.