Khi bạn vô tình xóa đi dữ liệu quan trọng, hoặc format ổ cứng, hoặc thậm chí là ghost nhầm, bạn có thể cảm thấy như mọi thứ đều biến mất. Tuy nhiên, bạn có biết tại sao kỹ thuật viên vẫn có thể cứu lại dữ liệu?
Thực tế là khi bạn xóa một file hoặc thư mục, quá trình này chỉ xóa danh sách địa chỉ của file hoặc thư mục trong bảng quản lý của phân vùng ổ cứng đó. Tuy nhiên, dữ liệu thực tế của file vẫn còn tồn tại, trừ khi bị ghi đè bởi dữ liệu khác.
Trong phân vùng FAT (với định dạng FAT/FAT32), thông tin về file được lưu trữ trong File Allocation Table (FAT) hoặc được đánh dấu “xoá” trong Master File Table (MFT Entry) đối với phân vùng NTFS. Khi này, các vùng (cluster) chứa dữ liệu của file được coi là trống và được tính là dung lượng chưa sử dụng của ổ cứng, mặc dù dữ liệu vẫn tồn tại.
Dữ liệu của bạn sẽ bị mất hoàn toàn khi bị ghi đè bởi dữ liệu khác.
Hãy cùng tìm hiểu cấu trúc ghi của dữ liệu trên đĩa cứng
Trước tiên, hãy tìm hiểu cách thông tin của một file được lưu trữ trên đĩa cứng. Với phân vùng FAT, dữ liệu được lưu trữ tại 3 nơi trên đĩa cứng:
- Directory Entry: chứa thông tin về tên file, dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của file.
- FAT: chứa số hiệu các cluster được sử dụng cho file.
- Cluster chứa dữ liệu của file (vùng Allocation).
Với phân vùng NTFS, dữ liệu được lưu trữ trong MFT (Master File Table) Entry và vùng Allocation.
Mọi phần mềm cứu dữ liệu đều cố gắng tìm lại thông tin từ 3 nơi này để khôi phục đầy đủ nội dung của file. Nếu thiếu bất kỳ thông tin nào trong số này, dữ liệu có thể không toàn vẹn hoặc không thể khôi phục được.
Như vậy, khả năng khôi phục dữ liệu thường khá thấp. Trong trường hợp các cluster của Allocation bị hỏng hoặc bị ghi đè, bạn hầu như không thể khôi phục được vì dữ liệu đã bị xóa và ghi đè bởi dữ liệu mới. Tuy nhiên, lý thuyết vẫn cho phép bạn khôi phục dữ liệu cũ bằng kỹ thuật MFM (Magnetic Force Microscope). Tuy nhiên, kỹ thuật này không phổ biến trên thực tế do đòi hỏi nhiều thời gian và chi phí cao.
Khả năng khôi phục dữ liệu:
- Tập tin bị xóa: Việc xóa tập tin chỉ đánh dấu xóa trong Directory Entry và các thông tin liên quan trong bảng FAT hoặc MFT Entry. Hiển nhiên, khả năng khôi phục đầy đủ tập tin này là cao. Tuy nhiên, kết quả thực tế đôi khi không như mong đợi do một số nguyên nhân như ghi đè dữ liệu mới lên các cluster đã đánh dấu xóa.
- Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng: Hầu hết dữ liệu có thể khôi phục được trong trường hợp này, vì FAT và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng.
- Phân vùng bị định dạng: Với phân vùng FAT, quá trình định dạng sẽ xóa bảng FAT, Boot Record và thư mục gốc (Root Directory), nhưng Partition Table và dữ liệu trong Allocation vẫn còn. Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32KB theo mặc định của FAT32 hoặc tùy chọn của bạn khi định dạng) có thể khôi phục hoàn toàn vì chúng không cần thông tin trong bảng FAT. Tuy nhiên, với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, việc khôi phục sẽ khó khăn hơn do sự phân mảnh và thay đổi nội dung theo thời gian. Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từ bảng FAT. Tuy nhiên, nội dung của những tập tin sau khi khôi phục không đầy đủ hoặc không thể đọc được. Chính vì vậy, bạn cần phần mềm trích xuất nội dung còn đọc được từ những tập tin này. Với phân vùng NTFS, quá trình định dạng tạo MFT mới, và kết quả khôi phục sẽ tốt hơn phân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa dữ liệu của file.
- Phân vùng bị định dạng và ghi đè HĐH mới hoặc sử dụng Ghost: Trường hợp này thực sự khó khăn, vì Directory Entry (FAT) hoặc MFT (NTFS) đã bị xóa. Giả sử bạn có 10GB dữ liệu trên một phân vùng 20GB, phân vùng này bị định dạng và ghi đè 5GB dữ liệu mới lên. Do đó, bạn không thể khôi phục những dữ liệu đã bị ghi đè, mà chỉ có thể khôi phục dữ liệu từ 5GB trở về sau.
Một số lưu ý
- Tránh ghi dữ liệu lên ổ cứng cần khôi phục. Sau khi xóa, vị trí cluster của tập tin không được bảo vệ và sẵn sàng để ghi đè dữ liệu mới. Ngay cả khi người dùng không tạo ra tập tin mới, hoạt động của hệ điều hành vẫn ảnh hưởng đến dữ liệu đã xóa khi tạo ra các tập tin nhật ký ghi lại hoạt động của hệ thống. Ngoài ra, việc truy cập Internet cũng tải về khá nhiều tập tin tạm được ghi trên ổ cứng. Vì vậy, tốt nhất là ngừng sử dụng ổ cứng này ngay lập tức và chỉ gắn nó vào một hệ thống khác khi đã sẵn sàng để cứu dữ liệu.
- Đừng chần chừ khi cứu dữ liệu. Hãy hành động nhanh chóng khi nhận thấy sai sót, vì bạn sẽ có nhiều cơ hội để lấy lại dữ liệu đã xóa. Tuy nhiên, khả năng khôi phục phụ thuộc vào loại dữ liệu. Đối với những tập tin hình, bạn có thể lấy lại được hầu hết chúng. Tuy nhiên, đối với cơ sở dữ liệu, bảng biểu… dù lấy lại được 90% dữ liệu, nhưng chúng có thể vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết và phụ thuộc lẫn nhau.
- Một ổ cứng được coi là “chết” khi BIOS hoặc tiện ích quản lý ổ cứng không thể nhận dạng. Ổ cứng “chết” thường có những hiện tượng lạ như không nghe tiếng mô-tơ quay, phát ra những tiếng động lạ khi hoạt động… Đây là những hỏng hóc vật lý của bo mạch điều khiển, đầu đọc, mô-tơ, đĩa từ… Hãy cố gắng sao lưu ảnh của ổ cứng bằng Norton Ghost, Drive Image hoặc tính năng tương tự trong một số phần mềm cứu dữ liệu. Khi ổ cứng gặp sự cố, bạn có thể lấy lại dữ liệu từ bản sao ảnh của ổ cứng.
- Nếu dữ liệu thực sự quan trọng, hãy đưa ổ cứng đến dịch vụ cứu dữ liệu uy tín để kiểm tra. Đừng tự mình thao tác trên ổ cứng, vì điều này sẽ ảnh hưởng đến khả năng khôi phục dữ liệu hoặc có thể làm tình hình trở nên nghiêm trọng hơn. Và tất nhiên, việc này sẽ không rẻ chút nào.
Hãy tránh để những sự cố không mong muốn xảy ra như câu chuyện có thật về dữ liệu bị mất.
