Быстрое форматирование – это форматирование диска без физического уничтожения информации, хранящейся на диске, что позволяет инструменту для восстановления данных вернуть все, вплоть до последнего файла? Неверно! Команда «Быстрое форматирование» уничтожает достаточно информации, чтобы сделать восстановление сложным, а его результат – негарантированным. Рассмотрим подробнее, что происходит, когда вы форматируете диск с помощью команды «Быстрое форматирование», что может быть восстановлено после, а что нет, и почему.
Быстрое форматирование в ОС Windows
Итак, давайте посмотрим, что происходит, когда вы быстро форматируете диск в различных версиях Windows. Начнем с Windows 7, как наиболее популярной операционной системы на момент написания этой статьи.
Большинство жестких дисков, используемых в настольных и портативных компьютерах и работающих под Windows, отформатированы в файловой системе NTFS. Начиная с XP-версии, Windows невозможно установить на диск, имеющий другую файловую систему (например, FAT), поэтому NTFS является наиболее популярной файловой системой, когда речь идет о жестких дисках.
NTFS имеет уникальный и очень логический подход к организации информации. В этой файловой системе, *все* представляет собой файл. В результате NTFS хранит информацию о пользовательских файлах, таких как фотографии и документы, в специальном файле системы с именем $MFT. Этот файл содержит записи, идентифицирующие другие файлы на диске и содержащие указатели, вмещающие физические адреса всех кластеров на диске, занимаемых данным файлом. Чтобы вернуть нужные файлы, инструмент для восстановления данных, как правило, пытается восстановить и проанализировать $MFT. Остальное просто: инструмент «разберет» этот файл и обнаружит все другие файлы на диске на основе записей, содержащихся в $MFT.
Что происходит, когда Windows быстро форматирует диск? Хотя никакая информация в действительности не стирается, система создает пустой $MFT-файл определенного размера. Новый $MFT имеет размер 32Кб в Windows XP, 64 КБ в Windows Vista, 256 КБ в Windows 7. Каждая запись MFT имеет длину 1 Кб, так что MFT размером 32 Кб может содержать информацию не более чем о 32 файлах.
Когда вы начинаете размещать файлы на этом созданном диске, Windows автоматически настраивает размер MFT, чтобы он мог соответствовать информации о каждом созданном файле и папке. В результате $MFT фрагментируется довольно быстро. Таким образом, типичная система может иметь $MFT файлы, включающие от 3 до 10 фрагментов, хранящихся в случайных местах на диске.
Когда вы быстро форматируете диск, Windows создает пустой файл $MFT в фиксированном положении. Очевидно, что новый $MFT переписывает начало старого файла с таким же именем. В результате первые записи в старом $MFT теряются (перезаписываются). Учитывая небольшой размер пустого $MFT, количество файлов, которые становятся невосстановимыми, является относительно небольшим. Кроме того, первые 27 записей указывают на системные файлы, которые не так важны для целей восстановления данных. То есть невосстановимых файлов остается действительно немного.
С учетом размера пустого файла $MFT, созданного различными версиями Windows, мы, в конечном итоге, получаем следующее количество невосстановимых файлов:
- Windows XP: новый $MFT составляет 32 Кбайта. 27 записей указывают на системные файлы, значит, 32-27=5 файлов являются невосстановимыми.
- Windows Vista: новый $MFT составляет 64 Кбайта, значит, 37 файлов являются невосстановимыми.
- Windows 7: новый $MFT составляет 256 Кбайт, значит, 229 файлов не подлежат восстановлению.
Существует еще одна вещь, которую часто (если не всегда) непрофессионалы упускают из виду. Если вы берете диск NTFS, который был быстро отформатирован в Windows XP (с $MFT размером 32 KB) и подключаете его к ПК с Windows 7, система мгновенно, автоматически, без предупреждения увеличивает размер $MFT до размеров, предусмотренных Windows-7, то есть 256 КБ, делая первые 229 файлов нечитаемыми. Это одна из причин, по которым профессиональные лаборатории по восстановлению данных всегда подключают диск через аппаратное устройство, блокирующее запись. В качестве альтернативы диск может быть подключен как физическое устройство, что не позволит Windows смонтировать тома.
Следующая таблица показывает, сколько файлов становятся невосстановимыми после быстрого форматирования диска в различных версиях Windows. Цифры в каждой ячейке обозначают количество файлов, которые не подлежат восстановлению при данной комбинации факторов.
Восстановление данных в Windows XР
Восстановление данных в Windows Vista
Восстановление данных в ОС Windows 7
Альтернативные методы восстановления файлов
Как вы могли увидеть, традиционные методы восстановления данных, которые полагаются исключительно на файловую систему (исходный файла $MFT) не всегда могут восстановить все файлы, изначально хранящихся на диске NTFS. Тем не менее, существуют альтернативные методы, позволяющие успешно восстановить недостающие файлы, даже если они больше не отображаются в файловой системе.
использует инновационный алгоритм восстановления, основанный на Content-Aware анализе. Content-Aware анализ выполняет полное сканирование диска, поиск файлов на основе сигнатур, то есть ищет файлы, которые можно идентифицировать по постоянным подписям. Для большинства популярных типов файлов, таких как офисные документы, большинство изображений, видео форматов, баз данных, электронной почты и т.д. идентифицирующие подписи уже включены во встроенную базу данных утилиты.
Этот тип анализа также имеет свои ограничения. Поиск по сигнатурам прекрасно работает при определении файлов, хранящихся в одной части диска непрерывно. Если файл фрагментирован, и его части разбросаны по всему диску, поиск по сигнатурам может не дать результатов. Согласно недавнему исследованию, уровень фрагментации созданных пользователем важных файлов, таких как сообщения электронной почты, фотографии, видео или офисные документы является относительно высоким. Так, установлено, что около 16% JPEG файлов, 17% документов Word, и 22% AVI видео фрагментированы. Базы данных электронной почты являются одними из наиболее сильно фрагментированных файлов (до 58% таких файлов фрагментированы).
Однако это не причина отказываться от использования Content-Aware анализа. Фактическая вероятность столкнуться с восстановлением фрагментированного файла крайне низка, так как эти файлы обычно хранятся на жестком диске и редко изменяются. И даже если вы в конечном итоге получите несколько поврежденных или неполных файлов, к примеру, фотографий в формате .jpg, вы всегда можете использовать , чтобы исправить (отремонтировать) поврежденный файл.