Recuperação de dados - Data recovery

Na computação , a recuperação de dados é um processo de resgate de dados inacessíveis, perdidos, corrompidos, danificados ou formatados de armazenamento secundário , mídia removível ou arquivos , quando os dados armazenados neles não podem ser acessados ​​de forma usual. Os dados são mais frequentemente recuperados de mídia de armazenamento, como unidades de disco rígido internas ou externas (HDDs), unidades de estado sólido (SSDs), unidades flash USB , fitas magnéticas , CDs , DVDs , subsistemas RAID e outros dispositivos eletrônicos . A recuperação pode ser necessária devido a danos físicos aos dispositivos de armazenamento ou danos lógicos ao sistema de arquivos que o impede de ser montado pelo sistema operacional host (SO).

Cerca de

Os cenários de recuperação de dados mais comuns envolvem uma falha do sistema operacional, mau funcionamento de um dispositivo de armazenamento, falha lógica dos dispositivos de armazenamento, dano acidental ou exclusão, etc. (normalmente, em uma unidade única , partição única, sistema de SO único), Nesse caso, o objetivo final é simplesmente copiar todos os arquivos importantes da mídia danificada para outra nova unidade. Isso pode ser feito usando um Live CD ou DVD inicializando diretamente de uma ROM em vez da unidade corrompida em questão. Muitos Live CDs ou DVDs fornecem um meio de montar a unidade do sistema e unidades de backup ou mídia removível, e mover os arquivos da unidade do sistema para a mídia de backup com um gerenciador de arquivos ou software de criação de disco óptico . Esses casos geralmente podem ser atenuados pelo particionamento de disco e armazenamento consistente de arquivos de dados valiosos (ou cópias deles) em uma partição diferente dos arquivos de sistema do sistema operacional substituíveis.

Outro cenário envolve uma falha no nível da unidade, como um sistema de arquivos ou partição da unidade comprometida , ou uma falha na unidade de disco rígido . Em qualquer um desses casos, os dados não são lidos facilmente nos dispositivos de mídia. Dependendo da situação, as soluções envolvem reparar o sistema de arquivos lógico, tabela de partição ou registro mestre de inicialização , ou atualizar o firmware ou técnicas de recuperação de unidade que vão desde recuperação baseada em software de dados corrompidos, recuperação baseada em hardware e software de áreas de serviço danificadas ( também conhecido como "firmware" da unidade de disco rígido), para substituição de hardware em uma unidade fisicamente danificada que permite a extração de dados para uma nova unidade. Se uma recuperação de unidade for necessária, a própria unidade normalmente falhou permanentemente e o foco está mais em uma recuperação única, salvando todos os dados que podem ser lidos.

Em um terceiro cenário, os arquivos foram acidentalmente " excluídos " de um meio de armazenamento pelos usuários. Normalmente, o conteúdo dos arquivos excluídos não é removido imediatamente da unidade física; em vez disso, as referências a eles na estrutura de diretório são removidas e, a partir daí, o espaço que os dados excluídos ocupam é disponibilizado para sobrescrever os dados posteriormente. Na mente dos usuários finais , os arquivos excluídos não podem ser descobertos por meio de um gerenciador de arquivos padrão, mas os dados excluídos ainda existem tecnicamente na unidade física. Nesse ínterim, o conteúdo do arquivo original permanece, geralmente em vários fragmentos desconectados , e pode ser recuperado se não for substituído por outros arquivos de dados.

O termo "recuperação de dados" também é usado no contexto de aplicativos forenses ou espionagem , onde os dados que foram criptografados ou ocultos, em vez de danificados, são recuperados. Às vezes, os dados presentes no computador são criptografados ou ocultados por motivos como ataques de vírus, que só podem ser recuperados por alguns especialistas forenses em computadores.

Dano físico

Uma ampla variedade de falhas pode causar danos físicos à mídia de armazenamento, que podem resultar de erros humanos e desastres naturais. Os CD-ROMs podem ter seu substrato metálico ou camada de tinta arranhada; os discos rígidos podem sofrer uma infinidade de falhas mecânicas, como colisões de cabeça , falha de PCB e motores com falha; as fitas podem simplesmente quebrar.

Danos físicos a um disco rígido, mesmo nos casos em que ocorreu um colapso de cabeça, não significa necessariamente que haverá perda permanente de dados. As técnicas empregadas por muitas empresas profissionais de recuperação de dados podem resgatar a maioria, senão todos, os dados que foram perdidos quando a falha ocorreu.

É claro que há exceções, como casos em que podem ter ocorrido danos graves aos pratos do disco rígido . No entanto, se o disco rígido puder ser reparado e uma imagem completa ou um clone criado, a estrutura lógica do arquivo pode ser reconstruída na maioria dos casos.

A maioria dos danos físicos não pode ser reparada pelos usuários finais. Por exemplo, abrir uma unidade de disco rígido em um ambiente normal pode permitir que a poeira suspensa no ar se acumule no prato e fique presa entre o prato e o cabeçote de leitura / gravação . Durante a operação normal, as cabeças de leitura / gravação flutuam de 3 a 6 nanômetros acima da superfície do prato, e a média das partículas de poeira encontradas em um ambiente normal tem cerca de 30.000 nanômetros de diâmetro. Quando essas partículas de poeira ficam presas entre as cabeças de leitura / gravação e o prato, elas podem causar novos colisões de cabeça que danificam ainda mais o prato e, portanto, comprometem o processo de recuperação. Além disso, os usuários finais geralmente não têm o hardware ou o conhecimento técnico necessário para fazer esses reparos. Consequentemente, as empresas de recuperação de dados são frequentemente empregadas para salvar dados importantes com as mais confiáveis, usando salas limpas classe 100 livres de poeira e estática .

Técnicas de recuperação

A recuperação de dados de hardware fisicamente danificado pode envolver várias técnicas. Alguns danos podem ser reparados com a substituição de peças no disco rígido. Isso por si só pode tornar o disco utilizável, mas ainda pode haver danos lógicos. Um procedimento de imagem de disco especializado é usado para recuperar cada bit legível da superfície. Depois que essa imagem é adquirida e salva em um meio confiável, ela pode ser analisada com segurança quanto a danos lógicos e possivelmente permitirá que grande parte do sistema de arquivos original seja reconstruído.

Conserto de hardware

A mídia que sofreu uma falha eletrônica catastrófica requer recuperação de dados para salvar seu conteúdo.

Um equívoco comum é que uma placa de circuito impresso (PCB) danificada pode ser simplesmente substituída durante os procedimentos de recuperação por uma PCB idêntica de uma unidade íntegra. Embora isso possa funcionar em raras circunstâncias em unidades de disco rígido fabricadas antes de 2003, não funcionará em unidades mais recentes. As placas eletrônicas de drives modernos geralmente contêm dados de adaptação específicos do drive (geralmente um mapa de setores defeituosos e parâmetros de ajuste) e outras informações necessárias para acessar os dados adequadamente no drive. As placas de reposição geralmente precisam dessas informações para recuperar com eficácia todos os dados. A placa de substituição pode precisar ser reprogramada. Alguns fabricantes (Seagate, por exemplo) armazenam essas informações em um chip EEPROM serial , que pode ser removido e transferido para a placa de substituição.

Cada unidade de disco rígido possui o que é chamado de área do sistema ou área de serviço ; esta parte do inversor, que não pode ser acessada diretamente pelo usuário final , geralmente contém o firmware do inversor e os dados adaptativos que ajudam o inversor a operar dentro dos parâmetros normais. Uma função da área do sistema é registrar os setores defeituosos na unidade; essencialmente dizendo à unidade onde ela pode ou não gravar dados.

As listas de setores também são armazenadas em vários chips conectados ao PCB e são exclusivas para cada unidade de disco rígido. Se os dados no PCB não corresponderem aos armazenados no prato, a unidade não será calibrada corretamente. Na maioria dos casos, os cabeçotes da unidade clicam porque não conseguem encontrar os dados correspondentes ao que está armazenado no PCB.

Dano lógico

Resultado de uma falha na recuperação de dados de uma unidade de disco rígido.

O termo "dano lógico" refere-se a situações em que o erro não é um problema de hardware e requer soluções em nível de software.

Partições e sistemas de arquivos corrompidos, erros de mídia

Em alguns casos, os dados em uma unidade de disco rígido podem ser ilegíveis devido a danos na tabela de partição ou sistema de arquivos , ou a erros de mídia (intermitentes). Na maioria desses casos, pelo menos uma parte dos dados originais pode ser recuperada reparando a tabela de partição ou sistema de arquivos danificado usando um software de recuperação de dados especializado, como Testdisk ; softwares como o dd rescue podem criar imagens de mídia, apesar de erros intermitentes, e criar imagens de dados brutos quando houver tabela de partição ou danos no sistema de arquivos. Este tipo de recuperação de dados pode ser executado por pessoas sem experiência em hardware de unidade, pois não requer nenhum equipamento físico especial ou acesso a pratos.

Às vezes, os dados podem ser recuperados usando métodos e ferramentas relativamente simples; casos mais sérios podem exigir intervenção de um especialista, principalmente se partes dos arquivos forem irrecuperáveis. A escultura de dados é a recuperação de partes de arquivos danificados usando o conhecimento de sua estrutura.

Dados sobrescritos

Depois que os dados foram sobrescritos fisicamente em uma unidade de disco rígido , geralmente assume-se que os dados anteriores não podem mais ser recuperados. Em 1996, Peter Gutmann , um cientista da computação, apresentou um artigo que sugeria que dados sobrescritos poderiam ser recuperados por meio do uso de microscopia de força magnética . Em 2001, ele apresentou outro artigo sobre um tema semelhante. Para se proteger contra esse tipo de recuperação de dados, Gutmann e Colin Plumb desenvolveram um método de limpeza irreversível de dados, conhecido como método Gutmann e usado por vários pacotes de software de limpeza de disco.

Seguiram-se críticas substanciais, principalmente relacionadas à falta de exemplos concretos de recuperação de quantidades significativas de dados sobrescritos. Embora a teoria de Gutmann possa estar correta, não há evidência prática de que dados sobrescritos possam ser recuperados, enquanto a pesquisa mostrou que os dados sobrescritos não podem ser recuperados.

As unidades de estado sólido (SSD) substituem os dados de maneira diferente das unidades de disco rígido (HDD), o que torna pelo menos alguns de seus dados mais fáceis de recuperar. A maioria dos SSDs usa memória flash para armazenar dados em páginas e blocos, referenciados por endereços de bloco lógico (LBA) que são gerenciados pela camada de tradução flash (FTL). Quando o FTL modifica um setor, ele grava os novos dados em outro local e atualiza o mapa para que os novos dados apareçam no LBA de destino. Isso deixa os dados de pré-modificação no lugar, possivelmente com muitas gerações, e recuperáveis ​​por software de recuperação de dados.

Dados perdidos, excluídos e formatados

Às vezes, os dados presentes nas unidades físicas (disco rígido interno / externo, Pen Drive, etc.) são perdidos, excluídos e formatados devido a circunstâncias como ataque de vírus, exclusão acidental ou uso acidental de SHIFT + DELETE. Nestes casos, o software de recuperação de dados é usado para recuperar / restaurar os arquivos de dados.

Setor lógico ruim

Na lista de falhas lógicas de discos rígidos, setor lógico inválido é o mais comum em que os arquivos de dados não podem ser recuperados de um determinado setor das unidades de mídia. Para resolver isso, o software é usado para corrigir os setores lógicos da unidade de mídia. Se isso não for suficiente, o hardware que contém os setores defeituosos lógicos deve ser substituído.

Recuperação remota de dados

Os especialistas em recuperação nem sempre precisam ter acesso físico ao hardware danificado. Quando os dados perdidos podem ser recuperados por técnicas de software, eles geralmente podem executar a recuperação usando software de acesso remoto pela Internet, LAN ou outra conexão com o local físico da mídia danificada. O processo não é essencialmente diferente do que o usuário final poderia realizar por si mesmo.

A recuperação remota requer uma conexão estável com largura de banda adequada. No entanto, não é aplicável onde o acesso ao hardware é necessário, como em casos de danos físicos.

Quatro fases de recuperação de dados

Normalmente, existem quatro fases quando se trata de recuperação de dados bem-sucedida, embora isso possa variar dependendo do tipo de corrupção de dados e recuperação necessária.

Fase 1
Repare a unidade de disco rígido
O disco rígido é reparado para que funcione de alguma forma ou, pelo menos, em um estado adequado para a leitura de seus dados. Por exemplo, se os cabeçotes estiverem ruins, eles precisam ser trocados; se o PCB estiver com defeito, ele precisa ser consertado ou substituído; se o motor do eixo estiver ruim, os pratos e cabeças devem ser movidos para uma nova unidade.
Fase 2
Imagem da unidade para uma nova unidade ou um arquivo de imagem de disco
Quando uma unidade de disco rígido falha, a importância de retirar os dados da unidade é a principal prioridade. Quanto mais tempo uma unidade com defeito é usada, maior a probabilidade de ocorrer mais perda de dados. A criação de uma imagem da unidade garantirá que haja uma cópia secundária dos dados em outro dispositivo, no qual é seguro realizar os procedimentos de teste e recuperação sem danificar a fonte.
Fase 3
Recuperação lógica de arquivos, partição, MBR e estruturas do sistema de arquivos
Depois que a unidade foi clonada em uma nova unidade, é adequado tentar recuperar os dados perdidos. Se a unidade falhou logicamente, há uma série de razões para isso. Usando o clone, pode ser possível reparar a tabela de partição ou o registro mestre de inicialização (MBR) para ler a estrutura de dados do sistema de arquivos e recuperar os dados armazenados.
Fase 4
Reparar arquivos danificados que foram recuperados
Podem ocorrer danos aos dados quando, por exemplo, um arquivo é gravado em um setor da unidade que foi danificado. Esta é a causa mais comum em uma unidade com falha, o que significa que os dados precisam ser reconstruídos para se tornarem legíveis. Documentos corrompidos podem ser recuperados por vários métodos de software ou reconstruindo manualmente o documento usando um editor hexadecimal.

Restaurar disco

O sistema operacional Windows pode ser reinstalado em um computador já licenciado para ele. A reinstalação pode ser feita baixando o sistema operacional ou usando um "disco de restauração" fornecido pelo fabricante do computador. Eric Lundgren foi multado e condenado à prisão federal dos Estados Unidos em abril de 2018 por produzir 28.000 discos de restauração e com a intenção de distribuí-los por cerca de 25 centavos cada como uma conveniência para oficinas de conserto de computadores.

Lista de software de recuperação de dados

Inicializável

A recuperação de dados nem sempre pode ser feita em um sistema em execução. Como resultado, um disco de inicialização , live CD , live USB ou qualquer outro tipo de distro live contém um sistema operacional mínimo.

  • BartPE : uma variante leve dos sistemas operacionais Microsoft Windows XP ou Windows Server 2003 de 32 bits, semelhante a um ambiente de pré-instalação do Windows , que pode ser executado a partir de um live CD ou drive USB dinâmico. Interrompido.
  • Finnix : um Live CD baseado em Debian com foco em ser pequeno e rápido, útil para computador e resgate de dados
  • Disk Drill Basic : capaz de criar drives USB Mac OS X inicializáveis para recuperação de dados
  • Knoppix : contém utilitários para recuperação de dados no Linux
  • SpinRite : uma ferramenta de recuperação de dados baseada em FreeDOS para discos rígidos e dispositivos de armazenamento magnético
  • SystemRescueCD : um live CD baseado no Arch Linux , útil para reparar sistemas de computador não inicializáveis ​​e recuperar dados após uma falha do sistema
  • Ambiente de pré-instalação do Windows (WinPE): um DVD de inicialização personalizável do Windows (feito pela Microsoft e distribuído gratuitamente). Pode ser modificado para inicializar em qualquer um dos programas listados.

Verificadores de consistência

  • CHKDSK : um verificador de consistência para sistemas DOS e Windows
  • Disk First Aid : um verificador de consistência para Mac OS 9
  • Utilitário de disco : um verificador de consistência para Mac OS X
  • fsck : um verificador de consistência para UNIX
  • gparted : uma GUI para GNU parted , o editor de partição GNU, capaz de chamar fsck

Recuperação de arquivos

forense

Ferramentas de imagem

  • Clonezilla : um disco gratuito de clonagem, imagem de disco, recuperação de dados e disco de inicialização de implantação
  • ddrescue : uma ferramenta de código aberto semelhante ao dd, mas com a capacidade de pular e, posteriormente, tentar novamente os blocos danificados em dispositivos de armazenamento com falha
  • dd : ferramenta comum de clonagem byte a byte encontrada em sistemas semelhantes ao Unix
  • Team Win Recovery Project : um sistema de recuperação gratuito e de código aberto para dispositivos Android

Veja também

Referências

Leitura adicional

  • Tanenbaum, A. & Woodhull, AS (1997). Sistemas Operacionais: Design e Implementação, 2ª ed. Nova York: Prentice Hall.
  • Recuperação de dados em Curlie