Como o Testdisk pode recuperar mais dados do que o tamanho da partição em que os dados estão?

Este será um texto longo, porque não tenho certeza de quais partes da história anterior são relevantes - se você quiser pular as partes chatas, basta ler os dois últimos parágrafos que têm a pergunta real.

Para encurtar a história, eu era descuidado com um utilitário de particionamento e estraguei minhas partições, possivelmente corrompendo alguns arquivos, pois havia uma operação de redimensionamento de partição que movia os arquivos quando eu precisei encerrar o processo do utilitário. O resultado foi que a última partição (cerca de 420 GB) no disco desapareceu, levando consigo a minha máquina / casa. Meus backups estavam, digamos, um pouco desatualizados, então decidi tentar recuperar o máximo possível e limpá-lo mais tarde.

Acionei uma distribuição Linux ao vivo destinada à recuperação de dados e lancei o Testdisk para ver se encontrava a partição ausente. Na primeira execução, configurei-o com "partições Intel", analisei o disco com pesquisas rápidas e mais profundas e não obtive nada. Imaginei que, como sabia como era a tabela de partições antes do acidente, usaria o GParted para recriar a partição perdida (sem formatação) e tente novamente. Com as partições Intel, o Testdisk ainda não conseguiu encontrar nada no final do disco, então tentei com a opção inicial "Sem particionamento". Dessa vez, a análise encontrou a partição que eu recriei e, na lista de arquivos, pude realmente ver meus arquivos ausentes (juntamente com vários arquivos que eu havia excluído anteriormente). Ganhar!

Agora, aprendi minha lição sobre backups freqüentes e tome cuidado com o particionamento (eu nem queria tocar no disco rígido que estava bagunçado, mas acidentes acontecem). Felizmente, parece que o Testdisk salvou o dia e está copiando os arquivos perdidos para um disco rígido externo enquanto escrevo isso, mas há algo na cópia que me deixou confusa.

Como mencionei anteriormente, a partição que perdi tinha cerca de 420 GB de tamanho. O disco rígido em que a partição reside é de 1 TB no total. No momento, o Testdisk está presente há cerca de 15 horas (estou copiando os arquivos pelo USB2.0, sloooow) e dfme diz que há mais de 900 GB de material na unidade externa no momento. Quando examino o conteúdo da cópia, ainda não parece haver muito conteúdo, embora eu possa ter perdido alguns arquivos grandes.

Como é possível para o Testdisk copiar mais de 900 GB de dados de uma partição de tamanho 420 GB? Existe alguma pré-localização para copiar arquivos excluídos que o Testdisk pode ver, mas na verdade não é mais recuperável / já existe?

A resposta é testdisk / photorec, muitas vezes em excesso. Às vezes, o marcador inicial, o marcador final ou o tamanho do arquivo estão corrompidos ou fazem uma suposição incorreta e agarram mais setores do que o necessário para um arquivo. Em seguida, outro arquivo tem um ponteiro nessa região e agarra setores sobrepostos novamente.

Portanto, agora o arquivo 1 contém todos os arquivos 1 mais dados aleatórios. O arquivo 2 contém parte dos dados aleatórios. Freqüentemente, esses programas não lidam bem com arquivos fragmentados e isso também pode resultar em uma captura de dados.

Em um esforço para garantir que ele se recupere o máximo possível, não acompanha os setores que fazem parte de outros arquivos, para o caso de estar errado. Portanto, os mesmos setores são duplicados em muitos arquivos.

Encontrei arquivos, como documentos do word, com 2 GB, mas quando abertos e salvos novamente com um novo nome, eles retornam ao tamanho correto.

Finja que cada símbolo é um cluster de armazenamento.

G é um arquivo GIF W é um documento do Word U não é usado

GGGGGWWWWUUUG

A maioria dos arquivos possui cabeçalho e rodapé. Portanto, quando as varreduras detectam o cabeçalho do gif, ele procura o rodapé do GIF. Portanto, agora o arquivo GIF recuperado contém GGGGGGGWWWWUUUG porque o arquivo está fragmentado. Então, à medida que avança, ele detecta o W ou o cabeçalho e o rodapé da palavra, para que o documento da palavra saia corretamente como WWWW, apesar da captura anterior.