Záchrana dat za pomoci unikátní signatury souboru

Profesionální záchrana dat z digitálních nosičů dat vždy obnáší snahu obnovit data do ideálně původního stavu, tzn. do takové adresářové struktury, jaká byla na paměti před ztrátou dat. V určitých typických případech však již není možné data obnovit tak, aby bylo možné rekonstruovat původní adresářovou strukturu.

Záchrana dat  za pomoci unikátní signatury souboru

Obnova běžných a surových (raw) dat

Na běžné, úspěšně provedené obnově není nic nejasného. Řádná obnova znamená vysoce kvalitní výsledek pro data v normálním formátu: přesně stejné soubory, přesně stejné složky, vše je stejné tak, jako bylo na poškozeném paměťovém zařízení.

Přesto nejsou všechny případy obnovy stejné. I přesto, že se u každého porouchaného zařízení, které přijde do MyBlueDay, použije ta nejlepší technologie obnovy, některá z nich se nepodaří plně obnovit. Někdy se specialista na obnovu musí vypořádat s tak silně poškozenými nebo v předchozích pokusech o obnovu nadměrně opotřebovanými pevnými disky (než se dostanou např. do bezprašného prostředí laboratoře), že na discích nezůstane mnoho čitelných dat.

Při malém množství zbytků dat může být metoda raw recovery poslední možností, jak z disku vytáhnout vše, co je ještě možné.

Záchrana dat do původního stavu není zpravidla možná v případech, kdy dojde z libovolného důvodu k masivnímu následnému zápisu na postižený nosič (např. přeinstalace operačního systému a instalace dalších aplikací bez zálohy původních dat), nebo je pevný disk významně poškozený na vlastní datové plotně.

I v těchto poměrně nepříjemných situacích je však obnova dat možná. Využívá se faktu, že naprostá většina typů souborů obsahuje ve své hlavičce přesně definovaný řetězec (tzv. signaturu), na základě které je možné definovat typ souboru i bez přiřazené extenze (např.JPG, DOCX atp.) a to i v případě, že je takový soubor nemožné alokovat, tj. zjednodušeně správně umístit do adresářové struktury.

Tento způsob obnovy dat je využíván jako poslední možnost (v případě logického poškození, viz. softwarová ztráta dat), kdy jiné metody selhávají. I přes jistý diskomfort výsledku (obnovená data tímto způsobem postrádají původní hierarchii, jsou tříděna dle svého typu) patří tento způsob obnovy dat mezi absolutně nejvýtěžnější. V případě, že probíhá např. záchrana dat z karty, bývá tato metoda nejlepším řešením. Pokud hledané soubory na např. externím disku ještě existují (nesmí být přepsán novým zápisem),najdeme je a obnovíme.

Umíme se učit!  Ačkoliv naše databáze obsahuje unikátní signatury více než 1000 typů souborů různých platforem, dokážeme vyhledávat a obnovit data libovolných exotických typů. K tomu potřebujeme vzorek funkčního souboru hledaného typu, z kterého se potřebnou signaturu "naučíme".

O technologii Raw Recovery & Data Recovery Mining

V situaci, kdy dojde buď v důsledku primární závady, nebo často po nevhodném provozování zařízení v nedobrém stavu, k  nadměrnému fyzickému poškození paměti, kdy jsou již technické možnosti digitální obnovy dat výrazně omezeny, může metoda "Raw Recovery" pomoci obnovit některé typy souborů podle jejich jedinečných identifikačních signatur.

Obvykle metoda Raw Data Recovery poskytuje uspokojivý výsledek pouze pro určité dobře identifikovatelné typy souborů, jako jsou obrázky, fotografie, dokumenty, například soubory jpeg, pdf, doc, xls. U některých z těchto typů souborů (např. JPG) lze automaticky ověřit jejich integritu specializovanými nástroji, jiné je třeba otevřít jeden po druhém a tím jejich funkčnost ověřit. Technicky vzato může být mnoho souborů totožných s původními, ale... nejsou již k dispozici skutečné názvy souborů, ani žádné původní struktury složek. Obnovené soubory bez názvů jsou seskupeny a uloženy do několika složek podle typu jejich přípon, respektive podle typu souborů.

Další otázka týkající se výsledku raw obnovy, na kterou se zákazníci často ptají. Jak zjistíme, zda je výsledek obnovy raw uspokojivý? Například: Co když je spousta dat obnovených raw metodou poškozena a nepoužitelná, budou stále zpoplatněna?

Všeobecně platí, že u  tohoto způsobu obnovy dat nelze očekávat 100% úspěšnost obnovy dat. Protože se jedná o poslední snahu o obnovu dat u silně poškozeného disku s poškozenou datovou plotnou nebo vadné NAND paměti poté, co je systém souborů nenávratně ztracen nebo je některá část disku nečitelná nebo neobnovitelná (například - fyzicky poškrábaný povrch disku v místě s kritickými sektory LBA).

Obnova raw metodou je vždy částečnou obnovou dat. To znamená, že část dat byla nečitelná; jiná část může být poškozená a také vůbec nepoužitelná. Je zřejmé, že větší šanci na úplné obnovení budou mít soubory menší velikosti; dalším důležitým faktorem je míra fragmentace disku v okamžiku jeho havárie a také původně použitý typ souborového systému. Čím méně fragmentovaný disk - tím lepší výsledky obnovy raw. Úspěšnost raw obnovy se v jednotlivých případech pohybuje v absolutním rozpětí od 20 do 95 procent obnovitelných (funkčních) souborů.

Výsledek skutečných případů obnovených touto metodou může být v řádu statisíců  obnovených souborů. Samozřejmě vždy použijeme několik výkonných filtrů k odstranění detekovatelných nefunkčních souborů a otestujeme několik desítek souborů, abychom se ujistili, že výsledek raw obnovy obsahuje uživatelská data. Dále data automaticky vytřídíme dle typu. Vlastník dat se sám po kontrole souborů rozhoduje, zda výsledek obnovy přijme.

Jak probíhá obnova dat RAW metodou

Jak již bylo uvedeno výše, metoda je založena na sekvenčním čtení obnovitelných sektorů a zjišťování existence signatury hlavičky (header) pro jakýkoli známý typ souboru. Nalezená signatura je považována za začátek souboru.

Metoda Raw Recovery nepoužívá žádné oddíly, systémové soubory (FAT/NTFS/HFS/EXT) a položky adresářů. Předpokládejme, že jste měli na pevném disku obrázek JPG, ale všechny záznamy o tomto souboru (název a cesta k němu) na disku byly nevratně zničeny, poškozeny nebo vymazány. Tělo tohoto souboru však může být stále neporušené. Vyhledávání signatury souboru pomůže najít souřadnice sektorů na disku, které soubor obsahují.

Naštěstí všechny obrázky JPEG (a samosebou i další typy souborů) začínají stejnou sadou binárních hodnot. Hexadecimální zobrazení počátečního řetězce poskytuje ještě více informací o nalezeném kandidátovi na obrázek, jak je uvedeno níže na příkladech pro standardní hlavičky souborů JPEG:

Typ souboru Hlavička v HEX Poznámka
Standard JPG FFD8FFE0nnnn4B78946 nnnn se liší podle velikosti souboru
EXIF JPG FFD8FFnnnnnn45731946 nnnnnn se liší podle velikosti souboru

Jak je vidět z této tabulky, všechny typy souborů JPEG začínají stejnou sadou bajtů, zobrazenou jako řetězec hexadecimálních znaků "FF D8 FF". Speciálně navržený software může prohledávat svazek disku a hledat všechny výskyty řetězce záhlaví. Po jeho nalezení se příslušná sekvence sektorů uloží jako "protějškový soubor" (v našem příkladu obrázek JPG). Obnovenému souboru bude přiřazen nějaký náhodný název, protože u takového souboru nelze dohledat skutečný název. Název obnoveného souboru bude něco jako "soubor01234.jpg" a všechny "rawem" obnovené obrázky JPEG budou seskupeny do jedné složky, pojmenované podle přípony souboru: "Složka - obrázky JPG".

Ztráta původních názvů není posledním problémem při obnově raw. Software na obnovu dat může spolu s užitečnými soubory vygenerovat i soubory falešné nebo vadné, pokud je nelze ověřit za běhu (musí se ověřit ručně, nelze je tedy automaticky vytřídit). To se stává nejen v důsledku fragmentace nebo fyzického poškození disků. Při přesunu nebo odstranění souboru zůstane jeho hlavička na starém místě až do okamžiku, kdy bude přepsána nějakým jiným souborem. Obnova raw způsobem však zachytí všechny hlavičky bez rozdílu a všechny pozůstatky odstraněných / přesunutých souborů budou uloženy, jako by se jednalo o skutečné soubory.

Co je nutné vědět o RAW obnově dat! Tento způsob vyčítání dat provádíme vždy po konzultaci se zákazníkem jako poslední možnost, jak v některých případech dosáhnout úspěšné obnovy dat. V případech, kdy je při záchraně dat nutné zachovat adresářovou strukturu je tento způsob obnovy souborů bezpředmětný.