Khôi phục dữ liệu – Kỳ 2: Đánh giá khả năng khôi phục dữ liệu

Bài trước : Khôi phục dữ liệu – Kỳ 1: Nguyên nhân gây mất dữ liệu

Tại sao có thể khôi phục dữ liệu đã xóa?

Bạn đã bao giờ thắc mắc tại sao dữ liệu đã xóa còn phục hồi lại được không? Nếu như bạn xóa theo cách thông thường (Delete hay Shift+Delete) thì dữ liệu vẫn chưa bị xóa hoàn toàn khỏi ổ cứng mà nó chỉ xác nhận rằng vùng dữ liệu này đã được “đánh dấu” là đã xóa mà thôi. Khi bị dữ liệu khác ghi đè lên thì nó mới bị mất hoàn toàn, chính vì thế mà chúng ta vẫn có thể khôi phục dữ liệu lại được.

Thông thường khi bạn xóa một file khỏi thiết bị lưu trữ (ổ cứng, USB, thẻ nhớ…) thì chỉ có tham chiếu của dữ liệu về file là được đánh dấu là bị xóa, còn nội dung của file thực chất vẫn còn tồn tại trên thiết bị liệu trữ. Chỉ khi ngày càng nhiều dữ liệu được ghi chồng lên đó thì nội dung của file mới bị xóa hoàn toàn.

Một chú ý nữa là những file có thời gian bị xóa càng mới thì khả năng được khôi phục sẽ càng cao hơn. Do vậy, bạn nên cài đặt sẵn một phần mềm có khả năng “cứu hộ” vào máy tính của mình để có thể khôi phục ngay những file bị xóa nhầm với tỉ lệ thành công cao nhất.

Các khả năng khôi phục dữ liệu:

Đối với trường hợp máy bị format, ghi thêm dữ liệu, cài đè hệ điều hành mới hoặc sử dụng Ghost: Trường hợp này thực sự là khó khăn hơn vì Directory Entry (FAT), MFT (NTFS) đã bị xóa (Vd: bạn có 10GB dữ liệu lưu trữ trên phân vùng 20GB, phân vùng này bị format và chép đè 5GB dữ liệu mới. Như vậy, bạn không thể khôi phục những dữ liệu đã bị chép đè mà chỉ có thể khôi phục dữ liệu từ 5GB trở về sau)Ngoài ra, khả năng khôi phục phụ thuộc vào loại dữ liệu. Nếu những tập tin hình, bạn có thể lấy lại được 9 trên 10 hình. Tuy nhiên, nếu là cơ sở dữ liệu (database), phép tính bảng, email… dù lấy lại được 100% nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết, phụ thuộc lẫn nhau.

Đối với tập tin bị xóa: như đã đề cập ở trên, việc xóa tập tin sẽ đánh dấu xóa trong Director Entry và những thông tin liên quan trong bảng FAT hoặc MFT Entry. Về lý thuyết, khả năng khôi phục đầy đủ tập tin này là cao. Tuy nhiên, kết quả thực tế đôi khi không được như mong đợi vì một số nguyên nhân: sau khi xóa, người dùng cố gắng thực hiện một số thao tác nhằm lấy lại dữ liệu, HĐH ghi đè dữ liệu mới vào các cluster được đánh dấu xóa…

Đối với phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format): hầu hết dữ liệu đều có thể khôi phục được trong trường hợp này vì FAT và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng.

Đối với phân vùng format: với phân vùng FAT, việc định dạng sẽ xóa bảng FAT, boot record và thư mục gốc (root directory) nhưng Partition Taable và dữ liệu trong Allocation vẫn còn. Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32km, mặc định của FAT32 hoặc theo tùy chọn của bạn khi định dạnh), tập tin được khôi phục hoàn toàn vì chúng không cần đến thông tin trong bảng FAT. Với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, chúng sẽ bị phân mảnh khi có sự thay đổi nội dung theo thời gian. Việc tìm và ráp các cluster có liên quan với nhau là công việc khó khăn, nhất là với những tập tin có dung lượng lớn và hay thay đổi. Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từ bảng FAT; tuy nhiên, nội dung những tập tin sau khi tìm lại sẽ không đầy đủ hoặc không thể đọc được. Vì vậy, bạn sẽ cần đến một phần mềm có khả năng trích xuất những nội dung còn đọc được từ những tập tin này. Với phân vùng NTFS, việc định dạng sẽ tạo MFT mới, tuy nhiên kết quả khôi phục sẽ tốt hơn phân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa dữ liệu của cùng tập tin

Ban biên tập