Topic khôi phục dữ liệu (p1 - nguyên lý khôi phục dữ liệu HDD)

Bài viết này chỉ đề cập đến việc khôi phục dữ liệu do format nhầm, xóa nhầm, viru,s cắn... Việc khôi phục dữ liệu do hỏng hóc phần cứng không thuộc phạm vi bài viết này.
𝗡𝗴𝘂𝘆𝗲̂𝗻 𝗹𝘆́ đ𝗼̣𝗰/𝗴𝗵𝗶 𝗼̂̉ 𝗰𝘂̛́𝗻𝗴.
Trước hết anh em nghe tôi nói qua một xíu về nguyên lý ghi/đọc/xóa của ổ cứng, qua đó anh em sẽ thấy tại sao việc khôi phục dữ liệu lại dễ dàng đến vậy.
Khi GHI (write) một file dữ liệu trên ổ cứng, hệ thống sẽ ghi thực tế file đó trên ổ cứng, sau đó quay về bản FAT (tạm gọi là bản đồ ổ đĩa) ghi lại thông tin như kiểu file này nằm ở vị trí nào, chiếm bao nhiêu ô (block).
Khi ĐỌC (read) một file dữ liệu, thay vì tìm kiếm trên toàn bộ ổ đĩa, hệ thống sẽ tìm đến bản FAT (bản đồ ổ đĩa) để xem file đó ở vị trí nào, rồi sau đó đến trực tiếp vị trí đó để đọc file. Qua đó anh em thấy nhờ có bản FAT mà tốc độ tìm kiếm (truy nhập) file tăng lên khủng khiếp. Nếu ví von file dữ liệu trên ổ đĩa là những ngôi nhà, folder là những khu phố thì bản FAT chính là bản đồ thành phố.
Khi XÓA (delete) một file. Thay vì đi tìm file đó để xóa, hệ thống chỉ quay về bản FAT, xóa tên file đó trên bản FAT (bản đồ đĩa). Có anh em sẽ hỏi tại sao không đi xóa trực tiếp file trên ổ đĩa. Vấn đề là 𝗸𝗵𝗼̂𝗻𝗴 𝗰𝗮̂̀𝗻 𝘁𝗵𝗶𝗲̂́𝘁, hệ thống chỉ cần xóa trên bản FAT, phần đĩa cứng bị chiếm dụng bởi file đó sẽ được đánh dấu là “đất hoang” (free) và lần tới, hệ thống muốn ghi file mới chỉ cần ghi đè lên phần đất hoang đó là được. Việc đó tiết kiệm thời gian kinh khủng, mà trong thế giới máy tính, thời gian là tốc độ, là hiệu năng. Vì thế, anh em nào tinh tế, sẽ để ý thấy là quá trình xóa file/folder rất nhanh nếu so sánh với quá trình ghi file/folder.
𝗣𝗵𝗮̂̀𝗻 𝗺𝗲̂̀𝗺 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 𝗻𝗵𝘂̛ 𝘁𝗵𝗲̂́ 𝗻𝗮̀𝗼?
Qua quá trình phân tích bên trên, anh em thấy là file không thực sự bị xóa, nó vẫn nằm trên ổ đĩa. Phần mềm khôi phục sẽ làm gì? Nó sẽ bỏ qua không đọc bản FAT (bản đồ ổ đĩa) mà quét trực tiếp trên ổ đĩa, tìm ra file thực sự, quá trình này mất khá nhiều thời gian. Phần mềm khôi phục như các cán bộ địa chính, cần mẫn đi đo đạc thực tế từng khu phố, căn hộ này là của anh A, biệt thự này là của anh B…. rồi bổ sung vào bản đồ thành phố, từ đó khôi phục bản đồ chuẩn của thành phố.
Với một phần mềm tiêu chuẩn (chua cần top 1), kỹ năng tiêu chuẩn, xác suất khôi phục dữ liệu bị xóa, tiệm cận 100%.
𝗬𝗲̂́𝘂 𝘁𝗼̂́ 𝗻𝗮̀𝗼 𝗮̉𝗻𝗵 𝗵𝘂̛𝗼̛̉𝗻𝗴 đ𝗲̂́𝗻 𝘅𝗮́𝗰 𝘀𝘂𝗮̂́𝘁 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂?
(1). Vẫn tiếp tục sử dụng mấy tính sau đó: như phân tích bên trên, khi file bị xóa, hệ thống chỉ xóa thông tin ở bản FAT, dữ liệu vẫn còn đó, nhưng vùng đất này đã được đánh đấu “đất hoang” (free), sẵn sàng cho một lệnh ghi đè tiếp tới. Nếu có bất kỳ lệnh ghi đè nào lên vùng “đất hoang” này thì khả năng khôi phục gần như bằng 0. Đây cũng chính là phương pháp xóa file an toàn (ghi đè) mà các trung tâm tài chính, quân đội, tình báo... dùng để tránh dữ liệu của họ bị khôi phục, dữ liệu bị dò rỉ ra ngoài. Tất nhiên phương án ghi đè của họ cao minh hơn chút, nhưng về cơ bản là thế.
(2) Cài phần khôi phục dữ liệu lên chính ổ cứng đang có dữ liệu cần khôi phục: cái này nhiều anh em mắc phải, ngay cả cao thủ đi khôi phục cũng mắc lỗi này. Ví dụ ổ cứng cần khôi phục là ổ C, họ cài luôn phần mềm khôi phục luôn lên ổ C, kết quả chính phần mềm này ghi đè lên những file đã bị xóa, khiến khả năng khôi phục bé đi rất nhiều, hoặc file khội phục được mở ra toàn … rác.
𝗖𝗮̂̀𝗻 𝗹𝗮̀𝗺 𝗴𝗶̀ 𝗸𝗵𝗶 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 𝗯𝗶̣ 𝘅𝗼́𝗮 𝗻𝗵𝗮̂̀𝗺?
(1). Ngừng sử dụng máy tính, ngừng càng sớm, xác suất khôi phục càng cao.
(2) Backup ổ cứng có dữ liệu cần khôi phục (dùng phần mềm disk image hoặc disk clone) để trong trường hợp thất bại, cao thủ đến sau vẫn có cơ hội phục hồi. Cái này mình thường chỉ thấy cao thủ họ làm, chứ người dùng thường làm biếng nên bỏ qua.
(3). Sử dụng phần mềm khôi phục từ USB cứu hộ, hoặc portable. Cái này group cung cấp cả hai loại phần mềm này.
Sau khi quét được file cần cứu thì copy file đó ra ổ cứng khác, tốt nhất là ổ cứng di động bên ngoài.
𝗙𝗔𝗤: 𝗖𝗮́𝗰 𝗰𝗮̂𝘂 𝗵𝗼̉𝗶 𝘁𝗵𝘂̛𝗼̛̀𝗻𝗴 𝗴𝗮̣̆𝗽.
Q: Ổ cứng tôi format nhiều lần, liệu có cứu được dữ liệu không?
A: Được, bản chất của format là xóa bản FAT (bản đồ ổ đĩa), format nhiều lần là xóa đi xóa lại bản FAT đó thôi, chưa hề động chạm đến dữ liệu thực tế trên ổ cứng.
Q: Tôi format ổ cứng rồi cài lại Windows, bây giờ tôi muốn cứu dữ liệu có được không?
A: Vẫn được, nhưng xác suất khôi phục được bé rất nhiều, những file đã bị bộ cài Windows ghi đè là không cứu được

.