بازیابی ( ریکاوری ) اطلاعات

بازیابی اطلاعات

بازیابی ( ریکاوری ) اطلاعات

بازیابی (ریکاوری) اطلاعات – به روش استخراج اطلاعات از انواع حافظه ها ( هارد، فلش، رم sd، گوشی، سی دی و …) در حالتی که به صورت عادی قابل دسترسی نیستند ، بازیابی اطلاعات یا ریکاوری اطلاعات می گویند.

 بازیابی (ریکاوری) اطلاعات را می توان از انواع حافظه های کامپیوتری مانند فلش دیسک Flash Drive، هارد دیسک Hard Disk ، سی دی CD ، دی وی دی DVD و … انجام داد و فایلهای ارزشمند را از آنها استخراج کرد.

در مقاله ی پیش رو که به قلم مسعود ادهمی کارشناس بازیابی اطلاعات در مرکز ریکاوری اطلاعات ادهمی نوشته شده بازیابی (ریکاوری) اطلاعات را به صورت کامل تشریح می نماییم.

محتویات

  • دلایل
  • راه های بازیابی (ریکاوری) اطلاعات
  • بازیابی (ریکاوری) اطلاعات به روش نرم افزاری
  • بازگرداندن اطلاعات ساختار فایل
  • بازگرداندن اطلاعات فایلهای پاک شده
  • بازگرداندن امضای فایل (عدد یا متنی ثابت که در ابتدا یا انتهای یک فایل کامپیوتری، فرمت آن را مشخص می‌کند)
  • بازگرداندن اطلاعات با استفاده از چند روش فوق
  • بازیابی (ریکاوری) اطلاعات به روش سخت افزاری
  • بدست آوردن اطلاعات از دیسکت های مغناطیسی
  • بدست آوردن اطلاعات از CD/DVD/BLUERAY
  • بدست آوردن اطلاعات از نند فلش NAND-Flash
  • بدست آوردن اطلاعات از هارد دیسک
  • واقعیت های جالب

بازیابی اطلاعات

دلایل

نیاز به بازیابی اطلاعات زمانی احساس می گردد که فایلهای (اطلاعات) مورد نیاز یا عمدی یا سهوی حذف شده باشند یا اینکه دسترسی به آنها از روشهای معمولی امکان پذیر نباشد. تا زمانی که روی اطلاعات حذف شده داده ی جدید نوشته نشود امکان دسترسی به اطلاعات پاک شده امکان پذیر است.

روش های بازیابی اطلاعات (عکس ، فیلم ، دیتاهای حسابداری و …)

در حال حاضر دو روش برای ریکاوری اطلاعات موجود می باشد و انتخاب هر یک از این روشها بستگی به میزان خسارت وارده به حافظه دارد. روش سخت افزاری بازیابی اطلاعات زمانی استفاده می شود که روشهای نرم افزاری جواب نمی دهند.

بازیابی اطلاعات

روش نرم افزاری

ریکاوری نرم افزاری اطلاعات : به روشی از بازیابی اطلاعات گفته می شود که در حافظه ( هارد ، رم ، فلش و …) هیچگونه دستکاری سخت افزاری انجام نگیرد. یعنی حتی بر روی ماژولهای حافظه نیز کاری صورت نگیرد.

این روش زمانی کاربرد دارد که اطلاعات (عکس ، فیلم ، دیتاهای حسابداری و …) روی حافظه موجود است اما دسترسی به آن امکان پذیر نیست .

 علتهای شایع این اتفاق ممکن است فرمت کردن اتفاقی حافظه، پاک کردن اطلاعات، از بین رفتن فایلهای سیستمی، بهم ریختگی ساختار اطلاعات یا عللی از این دست باشد. در اکثر موارد بازگرداندن کامل اطلاعات یا قسمت زیادی از آن امکان پذیر می باشد مگر در مواردی که اطلاعات بر روی فضای قبلی دوباره بازنویسی یا Rewrite شده باشند، که در این صورت ریکاوری اطلاعات با مشکلات جدی مواجه می شود. برای ریکاوری اطلاعات برنامه های زیادی نوشته شده که در حال حاضر بسیاری از آنها به صورت رایگان در فضای اینترنت یافت می شوند.

بازیابی ساختار فایل ها

زمانی که حافظه فرمت یا پارتیشن بندی می شود، ساختار و متعلقات داده ها آسیبی نمی بینند، اما دسترسی به محل قرار گیری داده ها بر روی حافظه به حالت اولیه ی حافظه برگشته و عملا دسترسی به اطلاعات امکان پذیر نیست.

در حالت فرمت سریع، قسمتی از جدول MFT (Master file table) بروزرسانی می شود. بقیه ی قسمت های آن به صورت دست نخورده باقی می مانند که ما می توانیم آن قسمت ها را خوانده و با استفاده از آن اطلاعات را با کمترین تغییر و به صورت کامل با ساختار بندی قدیم ( تمام فولدرها و فایلها در حالت قبلی خودشان) بازیابی نماییم.

فرمت کامل، تمام جدول را بروزرسانی می کند و به همین دلیل نمی توان همیشه  ریکاوری اطلاعات به صورت کامل و با ساختار بندی قدیم (تمام فولدرها و فایلها در حالت قبلی خودشان) را انجام داد. برای بازیابی اینگونه اطلاعات از روش بازیابی فایل با امضای فایل (عدد یا متنی ثابت که در ابتدا یا انتهای یک فایل کامپیوتری، فرمت آن را مشخص می‌کند) استفاده می شود که در بین متخصصان ریکاوری به ریکاوری به روش RAW معروف است.

برگرداندن اطلاعات پاک شده

هنگامی که داده ها را حذف می کنید، در واقع، داده ها به طور فیزیکی از روی حافظه (درایو) پاک نمی شوند، اما سیستم فایل آن دیگر نمایش داده نمی شود. در اصل اطلاعات سر جای قبلیشان هستند ولی دیده نمی شوند. جایی که این اطلاعات قرار دارند برای سیستم به عنوان فضایی آزاد برای جایگزینی توسط اطلاعات جدید مشخص می گردد. به همین دلیل اگر شما اطلاعات جدید روی حافظه ی خود بنویسید امکان زیادی دارد که این اطلاعات بر روی فایلهای قبلی نوشته شوند و ریکاوری را با مشکلاتی مواجه کند. به همین دلیل اگر فایلی از روی حافظه پاک شد و شما به آن اطلاعات نیاز داشتید به هیچ وجهه روی حافظه چیز جدیدی کپی نکنید.

مرکز بازیابی (ریکاوری) اطلاعات ادهمی با دارا بودن متخصصین بازیابی و تجهیزات مناسب، ریکاوری اطلاعات شما را با کمترین هزینه و در سریعترین زمان ممکن انجام می دهد.

بازیابی اطلاعات با استفاده از امضای فایل (عدد یا متنی ثابت که در ابتدا یا انتهای یک فایل کامپیوتری، فرمت آن را مشخص می‌کند)

در حالتی که بازیابی اطلاعات با حفظ محل قرارگیری آن و پیکربندی صحیح قبلی امکان پذیر نباشد، هنوز می توانیم تعدای از فایلها را بازیابی کنیم.

اساس الگوریتم جستجوی امضا دقیقا مانند الگوریتم جستجوی ویروس در آنتی ویروسهای اولیه است. آنتی ویروس های اولیه با جستجو در مناطق مختلف حافظه به جستجوی اطلاعات شناسایی شده از کد ویروس می گشتند و فایلهای شناسایی شده را که دارای کد مذکور بودند به عنوان ویروس شناخته می شدند. در این روش بازیابی نیز همینگونه اقدام می شود. به عنوان مثال، فایلهای JPEG  حاوی کاراکتر “JFIF” هستند، فایلهای ZIP با حروف  “PK” شروع می شوند و اسناد PDF با “ %PDF” شروع می شوند. در زیر امضای تعدادی از فایلها برای شما گذاشته می شود.

فایل امضای شروع
avi 5249
bmp 424D
tif 4949
doc D0CF
docx 504B
jpeg FFD8
png 8950

در بیشتر مواقع نتیجه ی اسکن لیستی از فایلها بر اساس فرمت فایل است و ساختار قرار گیری قبلی فایل به دست نمی آید.

این روش برای بازیابی عکس از کارتهای حافظه بسیار کاربردی است زیرا که بر روی کارت های حافظه فایلهای به صورت پشت سرهم ذخیره می شوند.

بازیابی اطلاعات به روش ترکیبی

بیشتر نرم افزارهای ریکاوری با یکبار اسکن حافظه چندین روش را همزمان به کار می گیرند و در نتیجه بیشترین امکان برای ریکاوری اطلاعات در دسترس ما قرار می دهند.

بازیابی اطلاعات

بازیابی اطلاعات از کپی پشتیبان

ساده ترین، کم هزینه ترین و مطمئن ترین راه برای دستیابی به اطلاعات از دست رفته، بازیابی اطلاعات از روی کپی پشتیبان می باشد. در حال حاضر برای پشتیبان گیری نرم افزارهای بسیاری در دسترس می باشند که در حال حاضر ریکاوری از آنها امکان پذیر می باشد.

بازیابی اطلاعات به روش سخت افزاری- نرم افزاری

به روشی که برای ریکاوری اطلاعات مجبور به استفاده از روشهای فیزیکی گردیم، روش سخت افزاری- نرم افزاری می گویند. در اینجا حتما باید به نوع حافظه ی در حال ریکاوری توجه ویژه کرد:

دیسکهای مغناطیسی نرم (فلاپی دیسک)، دیسکهای مغناطیسی سخت (هارد درایو)، فلش درایو (حافظه های نند) یا CD/DVD/BD. در زیر به بررسی نقاط ضعف حافظه ها می پردازیم.

دیسکهای مغناطیسی نرم (فلاپی دیسک)

نقطه ضعف اصلی دیسکهای مغناطیسی نرم مغناطیس کاهی یا مغناطیس زدایی می باشد. این اتفاق بیشتر در زمانی می افتد که از میدان های مغناطیسی در فرودگاه (دستگاه امنیتی)، گیت مترو و گیت فروشگاهی عبور می کنیم. بازیابی اطلاعات فقط در قسمتهایی که مغناطیس زدایی نشده امکان پذیر است. همچنین بسیاری از دیسکتهایی که آسیب فیزیکی دیده اند را نیز نمی توان بازیابی کرد. برای بازیابی اطلاعات باید هر دیسکت را به صورت مجزا چک کرد و نحوه ی بازیابی اطلاعات یا عدم امکان ریکاوری را بررسی کرد.

حافظه های CD/DVD/BD

درایوهای نوری می توانند دلایل مختلفی برای خوانده نشدن داشته باشند.

  1. دلایل مکانیکی :

. آسیب به لایه ی شفاف

. آسیب به لایه ی بازتابنده

  1. شیمیایی

. تجزیه ی لایه ی شفاف

. تجزیه ی لایه ی ثبت شده ( برای دیسکهای دارای قابلیت ضبط)

. خوردگی لایه ی منعکس کننده

  1. نقص سازمان داده ها

. به دلیل اشتباهات سخت افزاری و نرم افزاری هنگام نوشتن داده ها

. به دلیل داده های نادرست

بیشترین دلیل خوانده نشدن این نوع حافظه ها خراش برداشتن لایه های روی دیسک ها می باشد. که میتوان با لایه برداری از روی دیسک عمل خوانده شدن آن را تسهیل کرد. از آنجایی که این روش دارای خطراتی برای دیسک و در نتیجه از بین رفتن اطلاعات دارد توصیه نمی گردد.

فلش های نند (NAND-Flash)

تمامی حافظه هایی که در ادامه نام برده خواهند شد زیر مجموعه های حافظه های نند می باشند:

USB Flash, SSD, SD, mini SD, micro SD, xD, MS, M2, Compact Flash

شایعترین مشکلات فنی حافظه ها :

  • مشکلات مدارات منطقی :

این مشکلات وقتی رخ می دهد که بر روی حافظه آسیب فیزیکی قابل مشاهده نیست و حافظه در سیستم کامپیوتر شما نیز شناخته شده است.

اما زمانی که شما سعی می کنید بر روی حافظه داده ای بنویسید یا از روی آن داده بخوانید دسترسی ایجاد نمی گردد. این مشکلات بر اثر موارد مختلفی رخ می دهد که یکی از رایج ترین آنها قطع ارتباط حافظه از رایانه در حالت غیر امن (safe) است.

در صورت بوجود آمدن این نوع مشکلات می توان اطلاعات موجود بر روی حافظه را با دستگاه ها و نرم افزارهای مخصوص بدست آورد و جای نگرانی زیادی نمی باشد.

مرکز بازیابی (ریکاوری) اطلاعات ادهمی با دارا بودن ابزار مورد نیاز این مشکلات را برطرف کرده و اطلاعات را در اختیارتان قرار می دهد.

  • آسیبهای فیزیکی

دیسک یا حافظه عملکرد صحیح خود را بر اثر هرگونه اتفاق فیزیکی از دست بدهد ( مانند: افتادن، خیس شدن، شکستن، سوختن و …).

البته بر طبق تجربه بیشترین آسیب شکستن برد یا سوکت اتصال می باشد. در اینگونه مشکلات میتوان با تعویض سوکت یا قطعه ی خراب برد و یا اتصال قطعات بر روی برد شکسته اطلاعات را برگرداند. همچین میتوان توسط دستگاه مخصوص، اطلاعات را مستقیم از چیپ حافظه خواند.

  • آسیب الکتریکی

دلیل اصلی آسیب های الکتریکی به حافظه می تواند اتصال یا بالاتر از حد نیاز بودن ولتاژ منبع تغذیه باشد. در نتیجه قطعاتی مانند فیلتر، دیود، فیوز یا کنترلر اصلی میتوانند بسوزند یا آسیب جدی ببینند. برای به دست آوردن اطلاعات مانند روش قبل باید قطعات معیوب را تعویض کرده یا چیپ را به صورت مستقیم خواند.

هارد دیسک مغناطیسی

امروزه این نوع درایوها را به عنوان هاردهایی با سرعت و حجم مناسب اما بسیار حساس در مقابل ضربه و شوک الکتریکی می شناسند.

یک ولتاژ ناپایدار یا ولتاژ بیش از حد می تواند به کنترلر یا قطعات مکانیکی آسیب جدی بزند. در مورد اول و آسیب به برد هارد دیسک برای بازیابی اطلاعات می توان با جایگزینی برد اقدام به بازیابی اطلاعات کرد. اما در بسیاری از موارد دیده شده که با آسیب دیدن برد دستگاه به قطعات الکترومکانیکی داخل هارد نیز صدمه وارد می شود. به عنوان مثال هد نیز آسیب می بیند که برای اینکار باید هد هارد طبق ضوابطی خاص و با هدی که مناسب آن باشد تعویض گردیده و کار ریکاوری اطلاعات انجام گردد که اساسا این کار هزینه بر و گران می باشد.

در صورت ضربه یا افتادن یا تغییر شکل هارد، برای ریکاوری آن، درایو حتما باید توسط متخصص ریکاوری اطلاعات و تعمیر هارد بازدید شده و ایراد آن مشخص گردد. این کار کاملا ضروری است. هر حرکت نادرستی می تواند شما را از داشتن اطلاعات برای همیشه محروم سازد.

خط افتادن یا خراشیدگی صفحات مغناطیسی داخل هارد ایرادات جدی در بازیابی اطلاعات ایجاد می کند. زیرا داشتن سطحی کاملا صاف و سیقلی برای ریکاوری هارد و خواندن اطلاعات از روی دیسکها ضروریست. در بسیاری از موارد ضربه های فیزیکی به اسپیندل موتور هارد دیسک آسیب می زند و چرخش دیسکها را با مشکل همراه می سازد که متخصصین مرکز بازیابی اطلاعات ادهمی کل دیسکها را برداشته و بر روی هارد مشابهی که موتور و هد سالم دارد می گذارند، سپس کالیبره کرده و اطلاعات را بازیابی می نمایند.

بسیاری از ایرادات از آسیب به قسمت سفت افزار هارد بوجود می آیند. بسیاری از اطلاعات سفت افزار را می توان از روی قسمتهای هارد یا قسمت پشتیبان به کمک دستگاه های مخصوص تعمیر هارد کپی برداری کرده و جایگزین کرد. یا جایگزینی بعضی از این موارد با اطلاعات مشابه از روی هاردهایی با همان ترکیب بندی . این نوع از بازیابی از اطلاعات بسیار حساس و در مرحله ی فوق حرفه ای می باشد. براساس تجربه ی چندین ساله ی مجموعه ی ما، دستکاری افراد کم اطلاع یا صاحب هارد در عملکرد تعمیر هارد و چک کردن راه های مختلف به صورت قابل ملاحظه ای برگرداندن اطلاعات را با سختی و در بسیاری از موارد حتی غیر ممکن می کند.

اتفاقات جالب

از یکی از هاردهای آسیب دیده در حادثه سقوط شاتل کلمبیا، که آسیب دیدگی شدیدی داشت توانسته شد بیش از 90 درصد اطلاعات بازیابی شود.

این کارباعث شد دانشمندان بتوانند تحقیقات 20 ساله خود را به پایان رسانده و از حوادث مشابه اینچنینی جلوگیری کنند. بازیابی اطلاعات این هارد 5 سال زمان برد.

ادامه دارد …