O que é recuperação de dados em modo RAW?

Facebook
Twitter
LinkedIn
WhatsApp

Cada recuperação de dados é única, e os resultados podem ser muito diferentes de um caso para outro. Muitas vezes, é possível recuperar completamente os arquivos perdidos de um HD, incluindo os nomes dos arquivos originais e a estrutura de pastas. 

Outras vezes, os arquivos e dados podem ser parcialmente recuperados, mas os nomes dos arquivos e seus atributos serão perdidos. E, em alguns casos, nenhum arquivo íntegro pode ser encontrado. Por que isso acontece?

Embora a recuperação de dados profissional exija anos de experiência e conhecimento profundo dos sistemas de arquivos e e particularidade de cada sistema operacional, aprender o básico pode ajudá-lo a ter expectativas razoáveis para o resultado da recuperação de dados do seu HD ou SSD.

COMO OS ARQUIVOS SÃO ARMAZENADOS NO HD?

Para entender como os arquivos podem ser recuperados de um disco rígido, é vamos entender como os arquivos são armazenados  antes de serem perdidos. A maioria dos sistemas operacionais modernos como Windows, Linux e Mac OS divide todo o HD em uma ou várias partes independentes chamadas partições. 

Nas famílias de sistemas operacionais baseados em DOS / Windows, essas partições são chamadas de “discos lógicos”. Os discos lógicos são atribuídos a letras de unidade individuais. Por exemplo, C: (Sistema) ou D: (Dados). Cada partição tem seu próprio tipo de sistema de arquivos, independente de outras partições no mesmo disco físico. 

Por exemplo, um HD físico para um sistema Windows pode conter dois discos lógicos: um NTFS e outro FAT32. As informações sobre as partições do disco são armazenadas no início do disco rígido. Isso geralmente é conhecido como “tabela de partição” ou “mapa de partição”. Os dados dos arquivos do HD e as informações sobre parte da estrutura da partição são conhecidos como “metadados”, ou seja, informações sobre os dados gravados no disco. 

Da mesma forma, cada partição ou disco lógico é dividido em duas partes: uma armazena informações sobre o disco (estrutura de pastas, sistema de arquivos, etc.), e a outra armazena os dados que compõem esses arquivos. Esta divisão de dados de metadados permite melhor gerenciamento de espaço em disco, pesquisa de arquivos mais rápida e maior confiabilidade.

As informações de serviço do HD contêm informações específicas sobre o tamanho da partição, tipo de sistema de arquivos, etc. Isso é necessário para que o computador encontre corretamente os dados necessários na partição.

As informações sobre arquivos e pastas contêm registros de arquivos que armazenam nomes de arquivos, tamanhos, datas de criação / modificação e outras informações técnicas. Essas informações também incluem os locais físicos exatos (setores) em que os dados estão armazenados no disco. Caso a primeira cópia seja corrompida, há uma segunda cópia dessas informações gravadas no disco.

Vários sistemas de arquivos têm diferentes formas de armazenar essas informações. Por exemplo, o sistema de arquivos FAT armazena essas informações em uma Tabela de alocação de arquivos (FAT), enquanto o sistema de arquivos NTFS as armazena em uma Tabela de Arquivos Mestre (MFT).

Quando um computador precisa ler um arquivo, ele primeiro acessa as informações sobre arquivos e pastas e procura o registro desse arquivo. Em seguida, ele procura o endereço do arquivo, vai para o local especificado no disco e, a seguir, lê os dados do arquivo.

Para arquivos contíguos, onde os dados estão agrupados no disco, esse processo é muito simples. No entanto, os arquivos no disco podem estar fragmentados. Ou seja, eles podem ocupar várias áreas do disco não adjacentes. Isso é mais comum do que a maioria dos usuários imagina. Afinal, quando você visualiza um arquivo no Windows Explorer ou no Finder, ele é sempre representado como um único arquivo. 

Isso ocorre porque o sistema de arquivos está fazendo todo o trabalho de juntar os fragmentos nos bastidores, em segundo plano. As informações sobre arquivos e pastas armazenam os endereços de cada fragmento de dados, para que possam ser recuperados de forma rápida e confiável quando o computador precisar ler o arquivo. Como essas informações são recuperadas desempenham um papel importante na recuperação dos dados.

Quando um computador deseja excluir um arquivo, ele não destrói imediatamente seus dados. Em vez disso, ele faz algumas alterações nas informações sobre arquivos e pastas, para indicar que o arquivo foi excluído. Alguns sistemas operacionais simplesmente marcam o arquivo como excluído, retendo todos os metadados sobre o arquivo até que seja necessário sobrescrevê-lo com metadados sobre um novo arquivo. 

É assim que os sistemas de arquivos do Windows tratam as exclusões. Outros sistemas operacionais, como o Mac OS X, destroem completamente o registro do arquivo excluído. Embora os sistemas operacionais variem quanto à preservação ou exclusão imediata das informações sobre arquivos e pastas, todos os sistemas operacionais deixam os dados do arquivo real intactos até que seja necessário alocar esse espaço para outro arquivo. 

Se nenhum arquivo for gravado no disco, as informações sobre o arquivo e seus dados podem permanecer para sempre. Conforme explicado anteriormente, a parte do disco que armazena os dados do arquivo também contém uma cópia de backup das informações sobre arquivos e pastas. Esta parte do disco também pode conter algumas informações adicionais sobre a estrutura de arquivos e pastas espalhadas por todo o disco.

Entretanto, se você está usando um SSD em vez de um HD tradicional, o processamento de arquivos apagados é diferente. Quando você deleta um arquivo no SSD, assim que o disco estiver ocioso, ele realmente limpará todos os setores onde o arquivo estava armazenado. Saiba mais sobre esta particularidade dos SSDs lendo o post sobre o comando TRIM do nosso blog.

MÉTODOS DE RECUPERAÇÃO DE DADOS DE ARQUIVOS

Antes de discutirmos os diferentes métodos de recuperação de arquivos, é importante observar uma coisa: se os dados no disco forem sobrescritos, os dados antigos desaparecerão. Nenhum programa ou método de recuperação de dados disponível comercialmente pode recuperá-los.

É por isso que é de extrema importância que nenhum arquivo novo seja gravado em um disco antes de tentar uma recuperação de dados. Para arquivos que não foram substituídos, existem dois métodos de recuperação de arquivos. Todos os softwares de recuperação de dados usam uma ou ambas as técnicas.

  • MÉTODO 1 – Recuperação de arquivos por meio da análise das informações sobre arquivos e pastas. Este é o primeiro método que um programa de recuperação de arquivos tenta executar. Isso ocorre porque ele pode recuperar arquivos com seus nomes originais, caminhos e atributos de data / hora e seus dados se bem-sucedido. O software de recuperação de arquivos começa tentando ler e processar a primeira cópia das informações sobre arquivos e pastas. Em alguns casos (como exclusão acidental de arquivo ), essa é a única etapa que precisa ser executada para recuperar os arquivos por completo. Se a primeira cópia das informações sobre arquivos e pastas estiver gravemente danificada, o software verifica o disco em busca da segunda cópia das informações sobre arquivos e pastas . Ele também tenta coletar informações adicionais sobre as pastas e a estrutura de arquivos que podem estar na parte de dados do disco. Em seguida, ele processa todas essas informações para reconstruir as pastas originais e a estrutura de arquivos. Se o sistema de arquivos no disco não estiver gravemente danificado, geralmente é possível recuperar toda a estrutura de arquivos e pastas. Se o sistema de arquivos no disco estiver gravemente danificado, esse método de recuperação não poderá recriar toda a estrutura da pasta. Em seguida, os arquivos recuperados aparecerão em pastas “órfãs”.
  • MÉTODO 2 – Recuperação de arquivo usando a pesquisa de tipos de arquivo conhecidos, também conhecida como recuperação de arquivos em modo RAW. Se o primeiro método falhar em produzir resultados satisfatórios, uma pesquisa de arquivos em modo RAW é executada. Este segundo método de recuperação de dados pode recuperar dados de arquivo com maior sucesso do que o primeiro método, mas não pode reconstruir os nomes de arquivo originais, atributos de data / hora, a pasta inteira ou a estrutura de arquivo do disco. Uma pesquisa por tipos de arquivo conhecidos, ou recuperação de arquivo RAW, funciona analisando o conteúdo do disco em busca de “assinaturas de arquivo”. Assinaturas de arquivo são padrões comuns que significam o início ou o fim de um tipo específico de arquivo. Quase todo tipo de arquivo tem pelo menos uma assinatura de arquivo. Por exemplo, todos os arquivos do tipo de arquivo PNG começam com a string “‰ PNG” e muitos arquivos MP3 começam com a string “ID3”. Essas assinaturas de arquivos podem ser usadas para reconhecer que uma parte dos dados no disco pertence a um determinado tipo de arquivos e, portanto, podem ser recuperadas.

LIMITAÇÕES DA RECUPERAÇÃO DE DADOS EM MODO RAW

Embora esse método geralmente seja a melhor técnica para recuperar dados de um sistema de arquivos muito danificado, existem algumas limitações. O primeiro é o fato de que alguns tipos de arquivo têm uma assinatura de arquivo “inicial” e “final”, alguns têm apenas uma assinatura de arquivo “inicial” (e nenhuma assinatura de arquivo “final”) e alguns tipos de arquivo não têm nenhuma assinatura de arquivo imediatamente reconhecível .

Se o software de recuperação de dados puder identificar o “início” e o “fim” da assinatura do arquivo, o arquivo pode ser facilmente identificado e recuperado. Para arquivos que não possuem uma assinatura de “final”, o software pode, às vezes, recuperar o arquivo presumindo que ele termina no início do próximo arquivo. Para arquivos sem assinatura, como discos criptografados, uma pesquisa de arquivo em modo RAW não será capaz de reconhecer nenhum tipo de arquivo.

Cada uma dessas circunstâncias é ainda mais complicada pela fragmentação do arquivo. Além disso, os arquivos sem assinaturas finais podem ter longas trilhas de “lixo” após a recuperação. Além das complicações de arquivos fragmentados, uma pesquisa de arquivo em RAW mode também pode ocasionalmente produzir “falsos positivos”. 

Por exemplo, a string “ID3” pode ocorrer em um arquivo sem ser uma assinatura de arquivo. Por exemplo, o texto que você está lendo atualmente inclui a string “ID3”, mas não é um arquivo MP3. Como tal, uma pesquisa RAW de arquivos pode identificar incorretamente uma parte deste texto como o início de um arquivo MP3.

RECUPERAÇÃO DE DADOS AVANÇADA DE ARQUIVOS

Embora todos os programas de recuperação de dados usem uma variação de um dos métodos acima, há uma série de parâmetros de pesquisa adicionais e técnicas de recuperação de dados que podem ser aplicados para obter melhores resultados. Programas avançados de recuperação de arquivos permitem que os usuários especifiquem cabeçalhos complexos  de assinaturas de arquivo, incluindo assinaturas de arquivo personalizadas e pouco comuns. 

Na prática, esses dois métodos de recuperação de arquivo são geralmente usados juntos. Alguns arquivos são recuperados usando um método, enquanto os arquivos restantes são recuperados usando o segundo método, onde os arquivos em RAW podem aparecer, por exemplo, como “lost files”.

O dano causado a um sistema de arquivos pode ser imprevisível. A condição de seus arquivos dependerá do que causou a perda dos arquivos, da integridade do disco antes da falha ou perda de dados e de quaisquer ações tomadas pelo usuário antes das tentativas de recuperação de dados. 

A recuperação de dados não deve ser tentada em discos com falhas de hardware. Se você suspeitar que o disco pode estar fisicamente danificado, procure um profissional de recuperação de dados com experiência e equipamento adequados. Qualquer tentativa de mexer um disco fisicamente danificado pode causar mais perda de dados, tornando inúteis as tentativas subsequentes de recuperação de dados.

Recomendamos realizar todas as tarefas de recuperação de dados a partir de imagens dos discos reais para preservar os dados originais do HD. Isso permite que você execute várias tentativas de recuperação de dados sem causar alterações no disco ou arriscar mais perda de dados. 

A E-RECOVERY é uma empresa especializada em recuperação de dados de HD e SSD, e podemos ajudar você em quase todas as situações de perda de dados. Entre em contato conosco, e solicite um orçamento sem compromisso.

SOLICITAÇÃO DE ORÇAMENTO

Rolar para cima