بازیابی و استخراج اطلاعات از هارد دیسک و رسانه های دیگر
زمانی که اطلاعات بر روی یک رسانه ذخیره سازی مثلا هارد دیسک، فلش مموری و … ذخیره و نگهداری می شود، به دلایل مختلف این اطلاعات ممکن است از دسترس کاربر خارج شود. از جمله این دلایل، حذف اطلاعات عمدی و غیر عمدی توسط کاربر، تخریب اطلاعات به صورت نرم افزاری به دلیل آلودگی به ویروس و یا مشکلات نرم افزاری و یا مشکلات و تخریب فیزیکی رسانه ذخیره ساز می تواند باشد. به مجموعه اقداماتی که برای دسترسی مجدد به این اطلاعات انجام می شود؛ بازیابی و استخراج اطلاعات گفته می شود. بازیابی اطلاعات با توجه به نوع مشکلی که مانع دسترسی به آنها شده است روش ها و فرآیند های مختلفی دارد که ما در اینجا به طور اجمالی، آنها را بررسی خواهیم کرد.
بازیابی اطلاعات حذف شده
خود عمل حذف شدن اطلاعات از یک رسانه می تواند ابعاد مختلفی داشته باشد. ساده ترین حالت زمانی است که اطلاعات از طریق فرمان Delete در سیستم عامل حذف می شوند و پس از آن هیچ عملیاتی از قبیل ذخیره سازی و یا جابجایی اطلاعات در رسانه مورد نظر انجام نمی گردد. این سناریو بیشترین احتمال بازگشت بی عیب و نقص اطلاعات را دارد.
در این شرایط اطلاعات از نظر فیزیکی هنوز بر روی رسانه ذخیره شده اند و حتی آدرس های آنها در جداول فایل موجود در رسانه (File Table) هنوز وجود دارند و تنها سیستم عامل آنها را حذف شده نشان گذاری کرده است و به آن آدرس ها توجهی نمی کند. نرم افزار های حرفه ای بازیابی اطلاعات قادر هستند که این آدرس ها را پیدا کرده و به اطلاعات موجود در فایل ها دسترسی پیدا کنند.اما انجام هر نوع عملیات برروی رسانه همچون ذخیره اطلاعات جدید و استفاده از رسانه و یا حتی اقدام به بازیابی اطلاعات، توسط افراد غیر متخصص می تواند به شدت شانس بازیابی اطلاعات را کاهش و محتوای قابل بازیابی را از بین ببرد.
زمانی که حذف اطلاعات به دلیل فرمت شدن درایو و یا تغییر در پارتیشن بندی اتفاق بیافتد، فرآیند بازیابی کمی پیچیده تر خواهد شد. در این حالت اطلاعت جداول فایل نیز ممکن است از هارد دیسک حذف شده باشد و حتی محتوی جدول پارتیشن ها نیز می تواند تغییر کرده باشد. در این حالت سامانه های حرفه ای بازیابی اطلاعات فارق از محتوای موجود در جداول، تمام فضای خالی رسانه ذخیره سازی را بررسی کرده و داده های موجود را با الگو های از پیش تعیین شده برای ساختار فایل های مختلف مقایسه می کنند و در صورت یافتن ساختار های مشابه فایل های احتمالی را استخراج می کنند.
این پروسه در رسانه هایی همچون هارد دیسک ها شانس موفقیت بسیار بالاتری دارد. چرا که در رسانه های بر مبنای فلش و به طور خاص در SSD ها ساختار فایل ها الزاما یکپارچه و پیوسته نیست و فایل ممکن است به صورت قطعات جدا از هم در تمام سطح مدیا پخش شده باشد. زمانی که جداول مربوط به این ساختار از بین رفته باشد، پیدا کردن این قطعات و بهم پیوستن آنها تقریبا غیر ممکن است. به همین دلیل در بسیاری از مواقع SSD های فرمت شده یا به طور کامل پاک شده شانس بسیار ضعیف تری برای بازیابی اطلاعات خواهند داشت.
بازیابی اطلاعات حذف شده
تخریب اطلاعات موجود روی یک رسانه می تواند به دلایل مختلف اتفاق بیافتد. انجام خراب کاری توسط ویروس، قطع جریان برق در زمان ذخیره اطلاعات، نقص در عملکرد نرم افزار هایی که به اطلاعات دسترسی دارند و اشتباهات و مشکلات سیستم عامل در خواندن و نوشتن اطلاعات می تواند از جمله این دلایل باشد. البته برخی از مشکلات سخت افزاری حتی از جانب رم و پردازنده سیستم نیز می تواند به طور غیر مستقیم باعث تخریب اطلاعات ذخیره شده بر روی رسانه و یا اختلال در آدرس های دسترسی به فایل ها شود. این اتفاقات می تواند طیف وسیعی از انواع مشکلات در فایل ها را به وجود آورد. در ساده ترین حالت ما با همان حذف اطلاعات مشابه Delete سرو کار خواهیم داشت. اما در حالت های پیچیده تر نیاز به استفاده از روش های پیچیده و همچنین پالایش اطلاعات استخراج شده برای دسترسی به فایل های مورد نظر است. طبعا هرچه فرآیند بازیابی اطلاعات پیچیده تر می شود، شانس بازیابی کامل اطلاعات کمتر شده و همچنین میزان سلامت فایل های استخراج شده کاهش می یابد. به طور مثال فایل های تصویری ممکن است نیمه کاره، مخدوش یا با کیفیت پایین تر از نسخه اصلی بازیابی شوند.
ویروس ها
ویروس ها به دو شکل ممکن است اطلاعات شما را تخریب کنند. ویروس های رایانه ای معمول ممکن است اطلاعات شما را حذف کرده و یا آنها را جابجا کرده و آدرس های آنها را تغییر داده و خود جایگزین آنها شوند. بازیابی این نوع از اطلاعات تخریب شده نیز تفاوت چندانی با موارد حذف شده توسط خود کاربر ندارد.
اما انواع دیگری از ویروس ها وجود دارند که به ویروس های باجگیر یا باج افزار (Ransomware) موسوم هستند. این نوع از ویروس ها با کد گذاری اطلاعات ذخیره شده از شما می خواهند برای دریافت نرم افزار رمز گشایی از فایل ها هزینه ای به آنها پرداخت کنید. در اصطلاح این ویروس ها اطلاعات شما را در برابر دریافت پول گروگان میگیرند.برای بازیابی فایل های رمز گذاری شده، نیاز به یافتن و استخراج آنها نیست؛ چراکه فایل در مکان اصلی خود حضور دارند و تنها به دلیل تغییر محتوای آنها توسط ویروس قابل استفاده نیستند. اولین راهکار برای دسترسی به فایل ها، انجام معامله با گروگان گیران و پرداخت باج است، که البته کاری بسیار خطرناک، پرهزینه و بدون ضمانت موفقیت است و ممکن است باج گیران پس از دریافت وجه از ارسال نرم افزار رمز گشا خودداری کنند.
راه دیگر برای نجات این نوع فایل استفاده از نرم افزار های رمز گشای دیگر است. شرکت های تولید کننده نرم افزار های بازیابی اطلاعات و شرکت های تولید کننده آنتی ویروس نرم افزار هایی را برای رمز گشایی از این فایل ها طراحی کرده اند. این نرم افزار ها قادر هستند، تعدادی از انواع باج افزار ها را شناسایی کرده و فایل های رمز گذاری شده آنها را رمز گشایی کنند. اما به دلیل تنوع روز افزون این نوع از ویروس ها درصد موفقیت این نرم افزار ها بسیار پایین است و در بسیاری از مواقع هیچ راهی برای رمزگشایی از این فایل ها وجود ندارد.
بهترین نوع مقابله با این نوع ویروس ها پیشگیری از آلودگی به آنها و حفاظت صحیح از اطلاعات با اهمیت است. داشتن نسخه های پشتیبان متعدد در مکان های مختلف و استفاده از آنتی ویروس های قدرتمند اوریجینال و به روز بهترین سپر دفاعی در برابر انواع باج افزار ها است. همچنین خودداری از نصب نرم افزار های ناشناخته و یا تهیه نرم افزار از منابع غیر معتبر می تواند نقش بسزایی در پیشگیری از آلودگی به انواع باج افزار باشد.
بازیابی اطلاعات با مشکلات سخت افزاری
مشکلات سخت افزاری که مانع دسترسی کامل و صحیح به اطلاعات می شوند به دو دسته کلی قابل تقسیم هستند. مشکلاتی که باعث تخریب اطلاعات می شوند و مشکلاتی که مانع دسترسی به اطلاعات می شوند.
تخریب فیزیکی اطلاعات
تخریب فیزیکی اطلاعات یا اصطلاحا بد سکتور از شایع ترین مشکلات سخت افزاری است که باعث از بین رفتن اطلاعات و یا دشواری دسترسی به آنها می شود. سکتور ها کوچک ترین واحد های سخت افزاری در سطح رسانه های ذخیره سازی اطلاعات هستند. در هارد دیسک ها این تقسیم بندی ها به صورت قطاع های کوچک هم مرکز در سطح دیسک گسترده شده اند. این واحد ها به دلایل مختلف ممکن است توانایی خود در ذخیره و بازخوانی اطلاعات را از دست بدهند که به آنها سکتور های خراب یا بد سکتور گفته می شود.زمانی که یک سکتور (معادل سکتور در SSDها Cell نامیده می شود) در شرایطی قرار می گیرد که برای رسانه امکان بازخوانی اطلاعات ذخیره شده در آن وجود ندارد، فایل یا فایل هایی که بخشی از اطلاعات آنها با آن سکتور همپوشانی دارد دچار مشکل خواهند شد. برای بازیابی اطلاعات از سکتور های خراب علاوه بر نرم افزار های تخصصی به سخت افزار های ویژه ای نیز نیاز است؛ که با تغییر مؤلفه های عمل کردی رسانه هایی همچون هارد دیسک ها، از جمله کاهش سرعت چرخش دیسک ها و افزایش حساسیت هد ها شانس خواندن موفقیت آمیز داده ها را افزایش می دهند.
اما به طور کلی در زمان بروز چنین مشکلاتی بخشی اطلاعات از بین خواهد رفت، اما استفاده از روش های تخصصی بازیابی اطلاعات این اجازه را به متخصصین می دهد که حتی بخشی از اطلاعات را از رسانه معیوب استخراج کرده و در اختیار کاربر قرار دهد. در زمانی که تعداد سکتور های خراب زیاد باشد این خرابی می تواند کلا مانع از فعالیت صحیح هارد دیسک شود. در این شرایط ممکن حتی اقدام به بازیابی و استخراج اطلاعات به دلیل فشار عملکردی زیاد، منجر به خرابی بیشتر هارد دیسک شده و میزان اطلاعات از بین رفته را افزایش دهد.
در چنین مواقعی متخصصین در ابتدا با استفاده از بزار های مختلف تلاش می کنند با کمترین میزان تحمیل فشار برروی رسانه یک نسخه رو نوشت (Image) از آن تهیه کنند. این رونوشت می تواند در هارد دیسک دیگر با مشخصات مشابه ذخیره شده و یا به صورت یک فایل به اندازه کل ظرفیت هارد دیسک ذخیره گردد. سپس با اتصال هارد دیسک نسخه رونوشت و یا قرار دادن فایل در شبیه ساز به بازیابی اطلاعات از آن اقدام می کنند. این کار یکی از مرسوم ترین روش ها برای استخراج اطلاعات از هارد دیسک های دارای مشکلات عملکردی است. سخت افزار های مختلفی همچون Deep Spur و Salvation به طور خاص برای این منظور ساخته و طراحی شده اند.
این ابزار های تخصصی امکانات منحصر به فردی نیز دارند. از جمله اینکه، در زمان تهیه نسخه رو نوشت بنا به انتخاب کاربر و یا به صورت تشخیص خودکار، می توانند از خواندن بعضی از مناطق سطح دیسک ها خودداری کنند. این عمل احتمال مواجه هد با سطوح خراب را کاهش داده و در نتیجه احتمال بروز اختلال در عملکرد طبیعی هارد دیسک و فرآیند خواندن اطلاعات را به شکل چشمگیری کاهش می دهد. از سوی دیگر، در این حالت قطعا بخشی از اطلاعات به طور کامل از دسترس خواهد شد و قابل استخراج نخواهد بود. اما یک موفقیت محدود بهتر از شکست کامل است.
خرابی های سخت افزاری اساسی
حالت دیگر خرابی رسانه ها در پروسه استخراج اطلاعات، وجود مشکلات کلی در آنهاست که به طور کامل مانع عملکرد آنها می گردد؛ یا در واقع استخراج داده از هارد دیسک یا رسانه سوخته. در این شرایط لازم است ابتدا هر مشکلی؛ اعم از مشکلات در بخش لاجیک یا بورد الکترونیکی و یا مشکلات در بخش فیزیکی یا مدیا یا سیلندر، بر طرف شده و سپس نسبت به بازیابی اطلاعات اقدام کرد.
نکته قابل توجه در اینجا این است، معمولا رسانه ای (به طور خاص هارد دیسکی) که مورد تعمیرات اساسی همچون تعویض هد و یا تغییر درگاه قرار گرفته است، فقط به منظور بازیابی اطلاعات راه اندازی می گردد؛ و برای بازگشت به چرخه استفاده معمول و روزمره پایداری و شرایط لازم را دارا نمی باشند. جتی ممکن است قطعات استفاده شده برای به کار اندازی آنها صرفا قطعات مصرفی نبوده و پس پایان بازیابی اطلاعات، این قطعات برای استفاده های بعدی بازیافت شوند و رسانه خراب دور انداخته شود.
این اقدام برای کاهش هزینه های کاربران در فرآیند ها بازیابی اطلاعات بسیار موثر است.پس از انجام تعمیرات و انجام تست های اولیه لازم، براساس وضعیت کنونی رسانه تعمیر شده نسبت به انتخاب روش بازیابی و اقدامات بعدی تصمیم گیری می شود و هارد دیسک تعمیر شده ممکن است در هر یک از گروه های بالا برای روش های استخراج اطلاعات قرار گیرد.
نکته پایانی
در صورت بروز هرگونه مشکل برای اطلاعات شما و یا رسانه هایی که اطلاعات بر روی آن ذخیره شده است، به هیچ عنوان شخصا نسبت به بازیابی اطلاعات اقدام نکنید و از سپردن سرنوشت داده های خود به افراد غیر متخصص اکیدا خودداری کنید. در بسیاری از موارد مشاهده شده که یک بازیابی اطلاعات ساده و کم هزینه، به دلیل اقدام به بازیابی اطلاعات خودسرانه و یا غیر تخصصی، تبدیل به یک پروژه بسیار وقت گیر تر، پر هزینه تر و حتی بعضا غیر ممکن شده است و امکان بازیابی اطلاعات به طور کامل از بین رفته است. اولین قدم صحیح در نجات اطلاعات از بین رفته، مراجعه به متخصص تعمیرات هارد دیسک و بازیابی اطلاعات، دارای مجوز مرتبط از نظام صنفی است.