Obnova smazaných dat

Tento způsob ztráty dat patří mezi typické uživatelské chyby. Z tohoto důvodu disponují operační systémy (Windows, Mac OS X, Linuxové distribuce...) funkcí "koš", která má být v případě neopatrného smazání dat z disku tzv. poslední instancí obnovy smazaného souboru z pohledu uživatele. Problém však nastává v okamžiku, kdy dojde k tzv. rychlému vymazání dat (např. pomocí ctr+shift+del v systému Windows), nebo k odstranění dat z koše.

Červenec 9, 2022 - 22:48 Aktualizováno: Listopad 5, 2023 - 23:58

2355

Kdy k takovému selhání dochází?

Smazaná data jsou obvykle důsledkem náhodné chyby uživatele. Obvykle se setkáváme se ztrátou dat v důsledku příkazu "formátování" nebo použití funkce "obnovení systému z výroby", která je součástí mnoha počítačů OEM. V druhém případě dojde k instalaci nové verze operačního systému nad stávající data. Důsledkem je částečný přepis původních dat a individuální šance na záchranu dat.

Čas od času dostáváme k pokusu o obnovu souborů paměťová zařízení, u nichž se jednotlivci úmyslně pokusili zničit data. V těchto případech nabízíme vyšetřovací / forenzní obnovu dat pro organizace / státní instituce.

Co je třeba udělat při tomto typu ztráty dat?

Vypněte počítač a nepoužívejte pevný disk, paměťovou kartu, SSD (!!!) nebo jiné úložné zařízení, ze kterého byla data smazána. Zapnutí zařízení a jeho používání může vést k zápisu nových dat na úložné zařízení. Data lze zpravidla obnovit, pokud nebyla přepsána novými daty.

Zápis nových dat na paměť je zcela nevratný proces, a zásadně zvyšuje riziko definitivní a trvalé ztráty dat. U každého paměťového zařízení které obdržíme k obnově dat, ať HDD, SSD nebo paměťovou kartu, provedeme úplný klon celé paměti v režimu uzamčení zdroje proti zápisu. U disků SSD vždy pracujeme v prostředí s deaktivovanou funkcí TRIM. To nám umožní bezpečně pracovat na obnově dat bez rizika, že se situace ještě zhorší.

Při smazání dat a potřebě je obnovit platí vždy a v každém případě toto pravidlo: "NEpoužívejte, NEzapisujte, NEzkoušejte". Chcete-li, aby měla šance na obnovu smazaných dat na disku dobrou prognózu, postiženou paměť v žádném případě nepoužívejte. Pokud se jedná o disk, z kterého je spuštěný operační systém, ihned vypněte počítač (i tzv. "natvrdo"), jakmile si chybu uvědomíte. Na disk obsahující smazaná data neukládejte žádné nové soubory, neinstalujte žádný software, neprohlížejte internet. Vězte, že smazané soubory zůstávají na pevném disku i po jejich vymazání. A to do té doby, dokud nebudou přepsány, například soubory, které vznikají při provozu operačního systému (různé dočasně vytvořené soubory, swap soubory atp.). Šanci na obnovu smazaných souborů minimalizuje také provedená defragmentace (často spuštěná na pozadí jako služba) nebo např. antivirové skenování.

Obnova smazaných souborů

Obr.1: Ilustrace schematicky zobrazuje způsob uložení dat (u disků typicky FAT32 nebo NTFS) na nosiči. Je-li novým zápisem zasažena oblast fyzického uložení smazaného souboru (s.s.), může být záchrana dat u některých typů souborů komplikovaná až nemožná.

Co se děje se smazanými daty

Nejčastěji se smazaný soubor odešle do dočasného úložiště (zpravidla jde o složku s názvem Koš, Trash atp), které je uchovává po určitou dobu a po jejím uplynutí se automaticky vyprázdní. Přesto v některých případech uživatelé odstraňují soubory pomocí příkazového řádku, klávesové zkratky Shift+Delete nebo pomocí některých aplikací třetích stran. Tyto metody jsou určeny k jejich odstranění z pevného disku bez odeslání do nějakého dočasného umístění. Ale i když není soubor smazaný standardními prostředky operačního systému, nemusí to nutně znamenat, že jsou trvale zničeny.

Obecně platí, že když je soubor odstraněn, operační systém zaznamená, že již není potřeba. Místo, které zabíral, se uvolní k použití. Ačkoli každý operační systém má s ohledem na tento proces určitá specifika, samotná data obvykle zůstávají na disku přítomna. Dokud se přes ně nezapíší nějaké jiné informace, lze smazaný soubor obnovit pomocí specializovaného nástroje.

Abyste mohli obnovit smazané soubory z pevného disku, SD karty, flash disku nebo jiného externího paměťového média, přestaňte v první řadě zapisovat data právě na toto úložiště. V případě interního disku počítače PC nebo Mac je třeba začít s obnovou dat co nejdříve. To proto, že i takové operace, jako je spouštění systému, instalace softwaru, editace dokumentů, streamování videa atd. mohou způsobit přepsání souborů.

Mezi další faktory, které byste měli při pokusu o obnovení smazaných souborů vzít v úvahu, patří:

Typ paměťového úložiště HDD vs. SSD

SSD disky s pamětí NAND flash podporují funkci TRIM. Jedná se o speciální příkaz, který operační systém vyvolá pokaždé, když uživatel odstraní soubor. Jeho účelem je upozornit disk SSD, že určité bloky dat již nejsou používány. Paměťové buňky, které jsou jimi obsazeny, se vymažou a připraví se na pozdější zaplnění. Většina operačních systémů je ve výchozím nastavení nastavena tak, aby tuto funkci aktivovala, když zjistí, že je svazek připojen na SSD. TRIM výrazně zrychluje disky SSD a přispívá k jejich delší životnosti, ale zároveň prakticky znemožňuje obnovení smazaných souborů z disku SSD s aktivovanou funkcí TRIM. Jedinou možností je využít ono krátké období, kdy je operace odložena, dokud se disk nevypne. Na standardním mechanickém pevném disku HDD smazané soubory zůstávají do okamžiku, než jsou kompletně nebo částečně přepsané novým obsahem.

Chcete vědět více: obnova smazaných fotek a videa na paměťové kartě

Typ svazku

Pokud byly soubory, které mají být obnoveny, uloženy v některém adresáři systémového oddílu počítače, například na ploše nebo v uživatelských dokumentech, měl by být počítač co nejdříve vypnut. Důvodem je, že operační systém může "uvolněný" úložný prostor využít pro své potřeby, přepsat odstraněné soubory a tím je trvale zničit. Poté by měl být disk vyjmut z počítače a připojen k jinému počítači jako sekundární úložiště. Alternativně lze stejný počítač spustit v bezpečném prostředí pomocí vyměnitelného zařízení s předinstalovaným spouštěcím operačním systémem (např. některá z Live boot Linux distribucí). Tím se vyloučí zápis systémových souborů na pozadí na problémový svazek.

Není obnova smazaných dat jako obnova. Velice záleží na jakém typu zařízení ke smazání došlo a také na jakém souborovém systému. Obnovit data na Windows je všeobecně snazší, než na dalších operačních systémech. Například obnovit smazaná data na zařízení Apple které disponuje SSD diskem může být velmi komplikované.

Typ odstraněných dat

Velké soubory, zejména ty, které vznikají postupně, jsou na jednotce s velkou pravděpodobností uloženy nekonzistentně - tento problém se označuje jako fragmentace. Fragmentace výrazně snižuje šance na úplné obnovení smazaných souborů. Pravděpodobnost je obvykle nepřímo úměrná počtu fragmentů, na které je soubor rozdělen. Soubory určitých typů, jako jsou obrázky nebo videa, lze v některých případech otevřít a částečně zobrazit, i když fragment chybí. Obvykle se však většina souborů poškodí a stane se tak nepoužitelnou.

Obnova smazaných dat na dalších typech pamětí

Máte smazané fotky nebo video (v jakémkoliv formátu) na vaší paměťové kartě (např SD, SDHC, SDXC, CF, CFexpress, CFast)? V MyBlueDay probíhá obnova smazaných dat nejen z HDD nebo SSD, ale ze všech typů paměťových karet.

»» DALŠÍ KROK: Chcete-li začít, vyberte si z níže uvedených okamžitých možností.

Volejte: 722 150 150

Zavolejte na naši 24/7 bezplatnou linku a promluvte si přímo se specialistou na obnovu dat. Pokud akutně řešíte situaci související se ztrátou dat, přečtěte si jak postupovat při ztrátě dat abyste předešli zhoršování stavu.