Marcar arquivos excluídos como não eliminados

11

A capacidade do meu disco rígido é de 500 GiB. 150 GB de dados foram excluídos acidentalmente. Como não escrevi nenhum byte na unidade após esse incidente, é garantido que meus dados estejam lá. Eu tentei aplicativos como o Recuva, todos os aplicativos mostram que os dados estão lá e permitem que eu os salve em um local diferente, mas o problema é que não quero fazer isso.

Eu só quero que os arquivos sejam novamente marcados como não excluídos na MFT. Existe algum aplicativo disponível para esse fim? Pesquisei bastante, mas não encontrei nada. É possível desmarcar os arquivos como excluídos na MFT ou estou perdendo alguma coisa? Eu poderia escrever um aplicativo para isso se soubesse fazê-lo manualmente.

Elmo
fonte
2
Na verdade, nos velhos tempos do DOS, undeletee unerasefazia exatamente isso, mas os programas do Windows tendem a copiar arquivos. Eu não acho que eu tenha visto algum que literalmente desclui arquivos. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Talvez, mas isso não significa que eles são recuperáveis; todos os arquivos fragmentados provavelmente só permitirão recuperar o primeiro pedaço do arquivo.
Synetech
AFAIK, normalmente a entrada para a pasta / arquivo é removida da MFT quando você exclui um arquivo. Pode não ser tão simples quanto ligar ou desligar um pouco.
Ganesh R.
@GaneshR. É isso que eu quero fazer, quero adicionar novamente a entrada na MFT, isso não é possível? Os dados já estão no disco rígido, só precisam ser registrados no sistema de arquivos.
Elmo
Recuva mostra o nome do arquivo e a pasta em que o arquivo estava situado.
Elmo
1
Você pode tentar solicitar que os desenvolvedores de algumas ferramentas de recuperação de dados adicionem essa opção. Aqui estão os fóruns de feedback para um casal dos mais populares: Recuva , PhotoRec
Synetech

Respostas:

5

Cancelar a exclusão de arquivos em um volume NTFS não é tão simples quanto inverter um bit. É verdade que a diferença entre um arquivo excluído e não excluído é apenas um bit na MFT, mas é preciso recuperar também o conteúdo do arquivo, que é armazenado como fluxos, além de sinalizar novamente os setores excluídos, conforme usado em o pseudo-arquivo $ Bitmap, que contém um bit por setor, cada bit indica se o cluster correspondente é usado (alocado) ou gratuito (disponível para alocação).

A complexidade do trabalho é tal que todas as ferramentas de recuperação preferem não gravar no volume danificado. Por exemplo, marcar um setor em $ Bitmap como usado pode causar encadeamento se esse setor já foi usado por outro arquivo.

Este artigo demonstrou muito bem o problema com os dumps hexadecimais:
Série 'Recuperação de arquivos' do Windows: Parte 5 Recupere manualmente um arquivo excluído de um sistema de arquivos NTFS .

Outro artigo ainda contém o código fonte de um programa que pode ser modificado para descompactar o bit "excluído": Cancele a exclusão de um arquivo no NTFS .

Existem alguns editores de disco NTFS que podem editar o MFT para inverter esse bit. Alguns que eu encontrei no Google (mas felizmente nunca precisei usar) são:
WinHex
NTFS Data Recovery Toolkit
DMDE -
Editor de Disco Ativo de Freeware

Uma solução possível que pode até funcionar seria desfazer o bit excluído na MFT e usar o utilitário chkdsk para tentar recuperar o conteúdo. Esse utilitário pode recuperar as cadeias de setores de arquivos cujos setores foram marcados incorretamente como disponíveis para realocação e corrigirá o $ Bitmap.

No entanto, sempre há a chance de que esse procedimento possa destruir seu disco.

É por isso que você e todos os comentadores acima (inclusive eu) não encontraram nenhum produto que faça a recuperação no local. As possibilidades de estragar seu disco são simplesmente demais para quem não é funcionário da Microsoft que trabalha no NTFS.

Minha melhor recomendação para você é obter um segundo disco rígido e recuperar os arquivos nele. Eu acredito que você descobriu que um disco de backup não é suficiente. Já tive vários casos de amigos me pedindo para recuperar seu único backup e sempre os aconselho (às vezes tarde demais) a ter dois discos de backup.

Além disso, pelo menos um dos dois discos de backup deve ser desconectado do computador. Aconselho isso depois de ouvir um caso em que um computador fritou a si próprio e todos os dispositivos USB conectados, deixando o proprietário sem dados e sem backup em um único clique.

harrymc
fonte
2

Como eu disse ontem , você sempre pode tentar fazê-lo manualmente com um editor de hex / disk se houver apenas alguns arquivos para recuperar, mas eu certamente não o recomendaria.

Após vários minutos de pesquisa e teste, finalmente consegui marcar um arquivo como não excluído no arquivo $MFT, mas o problema é que não é suficiente, você também precisa marcar os clusters que ele usa em uso no $BITMAP. Essa tarefa se mostrou muito difícil e com muito trabalho para encontrar e fazer. Por fim, desisti. Pensei em correr chkdsk /fpara ver se ele detectaria a discrepância e marcaria os clusters corretamente, mas isso parecia muito arriscado, porque a partição NTFS em que testei tinha alguns outros arquivos que não queria perder.

(Além disso, observe que, diferentemente do FAT *, o NTFS armazena a cadeia de clusters de um arquivo no $MFT, isso não garante que você terá acesso a toda a cadeia de clusters no momento da recuperação, portanto, um arquivo fragmentado pode acabar sendo irrecuperável Mesmo que você não tenha gravado nada na unidade após a exclusão acidental, isso não significa que o Windows não fez. Por exemplo, pode ter sido gravado \System Volume Information, especialmente se o serviço Shadow Copy / Previous Versions estiver em execução.

Obviamente, a recuperação manual não é realmente uma solução, nem uma resposta para sua pergunta, e é por isso que eu a publiquei apenas como um comentário. Infelizmente, toda a pesquisa que fiz foi vazia e a resposta curta para sua pergunta é: não, não há programas públicos que possam simplesmente marcar um arquivo como não excluído em um volume NTFS .

(Existem programas forenses caros que podem fazer coisas sofisticadas com unidades e recuperar arquivos e apresentar dados brutos por meio de um filtro para mostrar estruturas e coisas assim, mas mesmo esses não serão de grande ajuda, porque fazem questão especificamente de não modificando a unidade original.)

Synetech
fonte