Markieren Sie gelöschte Dateien als nicht gelöscht

11

Die Kapazität meiner Festplatte beträgt 500 GiB. 150 GB Daten wurden versehentlich gelöscht. Ich habe nach diesem Vorfall kein Byte auf das Laufwerk geschrieben, daher sind meine Daten garantiert dort. Ich habe Apps wie Recuva ausprobiert. Alle Apps zeigen, dass die Daten vorhanden sind, und ermöglichen es mir, die Daten an einem anderen Ort zu speichern. Das Problem ist jedoch, dass ich das nicht tun möchte.

Ich möchte nur, dass die Dateien in der MFT wieder als nicht gelöscht markiert werden. Gibt es eine App für diesen Zweck? Ich habe viel gesucht, aber nichts gefunden. Ist es möglich, die Markierung von Dateien als gelöscht in der MFT aufzuheben, oder fehlt mir etwas? Ich könnte eine App dafür schreiben, wenn ich wüsste, wie man es manuell macht.

Elmo
quelle
2
Eigentlich in den alten DOS-Tagen undeleteund unerasegenau das getan, aber Windows-Programme neigen dazu, Dateien zu kopieren . Ich glaube nicht, dass ich jemals Dateien gesehen habe, deren Löschung buchstäblich aufgehoben wurde. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Vielleicht, aber das bedeutet nicht, dass sie wiederherstellbar sind. Bei fragmentierten Dateien erhalten Sie wahrscheinlich nur den ersten Teil der Datei zurück.
Synetech
AFAIK, normalerweise wird der Eintrag für den Ordner / die Datei aus MFT entfernt, wenn Sie eine Datei löschen. Es kann sein, dass es nicht so einfach ist, etwas ein- oder auszuschalten.
Ganesh R.
@GaneshR. Das ist, was ich tun möchte, ich möchte den Eintrag in der MFT erneut hinzufügen, ist das nicht möglich? Die Daten befinden sich bereits auf der Festplatte und müssen nur noch im Dateisystem registriert werden.
Elmo
Recuva zeigt mir den Dateinamen und den Ordner, in dem sich die Datei befand.
Elmo
1
Sie können versuchen, die Entwickler einiger Datenwiederherstellungstools anzufordern, und diese Option hinzufügen. Hier sind die Feedback-Foren für einige der beliebtesten: Recuva , Photorec
Synetech

Antworten:

5

Das Wiederherstellen von Dateien auf einem NTFS- Volume ist nicht so einfach wie das Spiegeln eines Bits. Es ist wahr, dass der Unterschied zwischen einer gelöschten und einer nicht gelöschten Datei nur ein Bit in der MFT ist, aber man muss auch den Inhalt der Datei wiederherstellen, die als Streams gespeichert sind, und die gelöschten Sektoren, wie sie in verwendet werden, neu markieren In der $ Bitmap-Pseudodatei, die ein Bit pro Sektor enthält, gibt jedes Bit an, ob der entsprechende Cluster verwendet wird (zugewiesen) oder frei ist (für die Zuordnung verfügbar).

Aufgrund der Komplexität des Auftrags ziehen es alle Wiederherstellungstools vor, nicht auf das beschädigte Volume zu schreiben. Wenn Sie beispielsweise einen Sektor in $ Bitmap als verwendet markieren, kann dies zu einer Kreuzverkettung führen, wenn dieser Sektor bereits von einer anderen Datei verwendet wurde.

Dieser Artikel hat das Problem mit Hex-Dumps sehr gut demonstriert:
Windows 'File Recovery'-Reihe: Teil 5 Manuelles Wiederherstellen einer gelöschten Datei von einem NTFS-Dateisystem .

Ein anderer Artikel enthält sogar den Quellcode eines Programms, das geändert werden könnte, um das "gelöschte" Bit zu entfernen: Wiederherstellen einer Datei in NTFS .

Es gibt einige NTFS-Festplatteneditoren, die die MFT bearbeiten können, um dieses Bit umzukehren. Einige, die ich über Google gefunden habe (aber zum Glück nie verwenden musste), sind:
WinHex
NTFS
Datenrettungs- Toolkit DMDE
Freeware Active Disk Editor

Eine mögliche Lösung, die sogar funktionieren könnte, wäre, das gelöschte Bit in der MFT rückgängig zu machen und dann mit dem Dienstprogramm chkdsk zu versuchen, den Inhalt wiederherzustellen. Dieses Dienstprogramm kann die Sektorketten von Dateien wiederherstellen, deren Sektoren fälschlicherweise als für die Neuzuweisung verfügbar markiert wurden, und $ Bitmap reparieren.

Es besteht jedoch immer die Möglichkeit, dass diese Prozedur Ihre Festplatte zerstört.

Aus diesem Grund haben Sie und alle oben genannten Kommentatoren (einschließlich meiner) kein Produkt gefunden, das eine direkte Wiederherstellung ermöglicht. Die Möglichkeiten, Ihre Festplatte zu vermasseln, sind einfach zu groß für jeden, der kein Microsoft-Mitarbeiter ist, der an NTFS arbeitet.

Meine beste Empfehlung für Sie ist, sich eine zweite Festplatte zu besorgen und die darauf befindlichen Dateien wiederherzustellen. Ich glaube, Sie haben herausgefunden, dass eine Sicherungsdiskette nicht ausreicht. Es gab bereits mehrere Fälle, in denen Freunde mich baten, ihre einzige Sicherung wiederherzustellen, und ich rate ihnen immer (manchmal zu spät), zwei Sicherungsdisketten zu haben.

Außerdem sollte mindestens eine der beiden Sicherungsdisketten vom Computer getrennt sein. Ich rate dies, nachdem ich von einem Fall gehört habe, in dem sich ein Computer und jedes angeschlossene USB-Gerät selbst gebrannt haben und der Besitzer keine Daten und kein Backup in einem Treffer hat.

Harrymc
quelle
2

Wie ich gestern schon sagte , kann man es immer manuell mit einem Hex / Disk-Editor versuchen, wenn nur ein paar Dateien wiederhergestellt werden müssen, aber ich würde es auf keinen Fall empfehlen.

Nach einigen Minuten Recherche und Test habe ich es schließlich geschafft, eine Datei in der als nicht gelöscht zu markieren $MFT, aber das Problem ist, dass dies nicht ausreicht. Sie müssen auch Cluster markieren, die in der verwendet werden $BITMAP. Diese Aufgabe erwies sich als zu schwierig und zu viel Arbeit zu finden und so gab ich schließlich auf. Ich überlegte chkdsk /f, ob ich versuchen sollte, die Diskrepanz zu erkennen und die Cluster korrekt zu markieren, aber das schien mir zu riskant, weil die NTFS-Partition, auf der ich getestet hatte, einige andere Dateien enthielt, die ich nicht verlieren wollte.

(Beachten Sie auch, dass NTFS im Gegensatz zu FAT * die Clusterkette für eine Datei in der speichert $MFT, jedoch nicht garantiert, dass Sie zum Zeitpunkt der Wiederherstellung Zugriff auf die gesamte Clusterkette haben, sodass eine fragmentierte Datei möglicherweise nicht wiederhergestellt werden kann Auch wenn Sie nach dem versehentlichen Löschen nichts auf das Laufwerk geschrieben haben, bedeutet dies nicht, dass Windows dies nicht getan hat. Dies kann z. B. der Fall sein, \System Volume Informationwenn der Dienst Shadow Copy / Previous Versions ausgeführt wird.)

Offensichtlich ist die manuelle Wiederherstellung weder eine Lösung noch eine Antwort auf Ihre Frage. Deshalb hatte ich sie nur als Kommentar veröffentlicht. Leider ist die Suche leer und die kurze Antwort auf Ihre Frage lautet: Nein, es gibt keine öffentlichen Programme, die eine Datei auf einem NTFS-Volume einfach als nicht gelöscht markieren können .

(Es gibt - teure - forensische Programme, die mit Laufwerken etwas anfangen und Dateien wiederherstellen und Rohdaten durch einen Filter darstellen können, um Strukturen und Ähnliches anzuzeigen. Aber selbst diese werden nicht hilfreich sein, da sie ausdrücklich darauf abzielen, dies nicht zu tun.) Ändern des ursprünglichen Laufwerks.)

Synetech
quelle