Tải bản đầy đủ (.docx) (38 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Nghiên cứu vấn đề khôi phục liệu bị máy tính xóa format đĩa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.15 MB, 38 trang )

Đồ án học phần

LỜI CẢM ƠN
Đầu tiên em xin gửi lời cảm ơn chân thành đến thầy đã giúp đỡ em trong
quá trình tìm hiểu về nội dung đồ án, thầy đã chỉ bảo và hướng dẫn tận tình cho
em những kiến thức lý thuyết, giúp em hoàn thành tốt bài báo cáo này.
Em xin chân thành biết ơn sự tận tình dạy dỗ của tất cả quý thầy cô khoa
Công nghệ thông tin trường ….đã tận tâm và nhiệt tình hướng dẫn và tạo điều
kiện cho em trong suốt thời gian được học tập tại trường.
Lời cảm ơn chân thành và sâu sắc, em xin gửi đến gia đình, đã luôn sát
cánh động viên em trong những giai đoạn khó khăn nhất.
Em xin chân thành cảm ơn.

1


Đồ án học phần

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................


................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
Thanh Hóa, ngày ….tháng….năm 2013
NGƯỜI NHẬN XÉT

2


Đồ án học phần

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
Thanh Hóa, ngày ….tháng….năm 2013

NGƯỜI NHẬN XÉT

3


Đồ án học phần

MỤC LỤC

4


Đồ án học phần

LỜI MỞ ĐẦU
Ngày nay cùng với sự phát triển của khoa học kĩ thuật nói chung và công
nghệ thông tin nói riêng đã làm cho máy tính hiện diện ở rất nhiều lĩnh vực
trong cuộc sống. Máy tính đã giúp con người chúng ta giải quyết rất nhiều công
việc mà chúng ta không thể làm nổi được. Đặc biệt là khi chúng ta muốn lưu trữ
một khối lượng lớn công việc hay dữ liệu nào đó. Giúp chúng ta có thể tiết kiệm
được nhiều thời gian và công sức. Nhưng trong quá trình sử dụng, đôi khi không
được như mình mong muốn. Sẽ có những lúc máy tính bị hư hoặc gặp một số
trục trặc nào đó do người dùng đã xóa hoặc format các dữ liệu, tài liệu lưu trong
máy tính khiến chúng bị mất đi. Nếu gặp phải trường hợp như vậy thì phải làm
thế nào ? Nhận thấy tầm quan trọng của việc cần phải khôi phục lại những dữ
liệu, tài liệu bị mất nên em đã chọn đề tài “Nghiên cứu vấn đề khôi phục dữ
liệu bị mất trên máy tính do xóa hoặc format đĩa. ”

5



Đồ án học phần

PHẦN A . GIỚI THIỆU CHUNG VỀ ĐỀ TÀI
I.

Lý do chọn đề tài
Bộ phận nào đáng giá nhất trong máy tính của chúng ta? Đó không là
CPU, đầu đọc CD-ROM, màn hình hay ổ đĩa, mà là dữ liệu và chương trình ghi
trên đĩa. Khi bị mất dữ liệu quan trọng trên máy tính của mình do xóa hoặc
format đĩa, người ta có cảm giác như đánh rơi một chiếc cốc pha lê quí giá. Điều
này có thể ảnh hưởng lớn gây ra thiệt hại lớn cho chúng ta khi chẳng may đó là
những dữ liệu quý giá. Nhưng nếu chúng ta biết cách thì đó chỉ là cảm giác
thoáng qua vì ai trong chúng ta cũng có thể khôi phục lại tập tin một cách dễ
dàng,với các công cụ thích hợp trong tay và kiến thức cần thiết. Chính vì vậy
việc nghiên cứu để khôi phục dữ liệu cũng là một việc không thể thiếu khi mất

II.

đi dữ liệu quan trọng
Mục đích nghiên cứu
Tìm hiểu nguyên nhân, cách khắc phục dữ liệu do xóa hay ghost nhầm.
Nghiên cứu các cách khôi phục dữ liệu bằng thủ công và các phần mềm khôi
phục dữ liệu, cách cài đặt và lựa chọn để đáp ứng tốt nhất cho bản thân cũng

III.

như người sử dụng.
Phương pháp nghiên cứu
- Nghiên cứu qua giáo trình, các tài liệu tham khảo hay qua internet.

- Nghiên cứu qua thực tế.
- Đặc biệt là tham khảo qua thầy giáo hướng dẫn Nguyễn Xuân Lô.

6


Đồ án học phần

PHẦN B . NỘI DUNG
I.
1.

Giới thiệu tổng quát cấu trúc dữ liệu trong ổ cứng và việc xóa dữ liệu.
Giới thiệu chung.
Chúng ta thường nghĩ rằng những file bị xóa, ổ đĩa bị fomat hoặc lỗi hệ
thống mà file đó bị mất đi thì sẽ ra đi mãi mãi. Với những phần cứng và phần
mềm đặc biệt hiện nay, chúng ta có thể khôi phục gần như hầu hết các file đó.
Để tìm hiểu cách khôi phục những dự liệu bị xóa , trước tiên chúng ta phải tìm
hiểu nó được lưu trữ như thế nào?
Một ổ cứng (HDD) thường có nhiều mặt đĩa( platter). Dữ liệu được lưu
trên các platter trong các vòng tròn đồng tâm, còn gọi là rãnh ghi (track). Các
đầu đọc/ghi di chuyển trên bề mặt các đĩa để truy xuất dữ liệu trên HDD. Do dữ
liệu có thể truy nhập trực tiếp bất kỳ nơi nào trên HDD, các file hay các mảnh
file cũng được lưu giữ bất kỳ nơi nào trên ổ.
Dữ liệu được lưu trên HDD trong các cluster (liên cung). Kích thước của
các cluster rất khác nhau theo hệ điều hành và kích thước của dung lượng logic.
Nếu HDD có kích thước cluster là 4k, thì một file dù chỉ 1k cũng chiếm tới 4k.
Một file lớn có thể chứa hàng trăm hoặc hàng nghìn cluster, nằm rải rác trên
khắp HDD. Dữ liệu nằm rải rác trên HDD được theo dõi và quản lý bởi thành
phần hệ thống file của hệ điều hành.

Hiện nay có 3 loại hệ thống file HDD được sử dụng trong Windows của
Microsoft là FAT( File Allocation Table - bảng phân bố tệp) được giới thiệu với
DOS; FAT32 được giới thiệu với Win95 và NTFS( hệ thống file công nghệ mới)
được đưa ra với WINNT 4.0. Tất cả 3 hệ thống này sử dụng một chiến lược cơ
bản giống nhau. Một mục liệt kê các file trên ổ và chứa một con trỏ (pointer)
đến cluster khởi đầu (starting cluster) chưa phần khởi đầu của file. Mục nhập
FAT (FAT entry) của cluster khởi đầu chứa một pointer đến liên cung sau và nối
tiếp cho đến vạch dấu cuối cùng của file.
Khi xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnh
này chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quan
trong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc

7


Đồ án học phần

đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạng
NTFS).
Ký tự đầu tiên của tên file được thay đổi thành ký tự đặc biệt và các
cluster chứa dữ liệu đó bị đánh dấu, nhưng dữ liệu vẫn còn. Lúc này, các vùng
(cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưa
dùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại. Khi dữ liệu mới được ghi vào,
lúc này dữ liệu cũ mới thực sự bị xóa đi và ghi đè bằng dữ liệu mới. Chúng ta
(và cả hệ điều hành) đều không thể "nhìn" thấy được những dữ liệu bị đánh dấu
xóa nhưng những phần mềm cứu dữ liệu vẫn nhìn thấy chúng khi quét qua bề
2.

mặt đĩa. Vì vậy chúng ta mới cần đến phần mềm trong việc khôi phục dữ liệu.
Cấu trúc dữ liệu trong ổ đĩa cứng

Trước tiên, chúng ta cùng tham khảo qua cách thức thông tin của một tập
tin được lưu trữ trên đĩa cứng. Với phân vùng FAT, dữ liệu được lưu trữ tại 3
nơi trên đĩa cứng, bao gồm: Directory Entry chứa thông tin về tập tin gồm tên,
dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của tập tin;
FAT chứa số hiệu các cluster được sử dụng cho tập tin và các cluster chứa dữ
liệu của tập tin (vùng Allocation). Với phân vùng NTFS, dữ liệu được lưu trữ
trong MFT (Master File Table) Entry và vùng Allocation (hình minh họa).

Bất kỳ phần mềm cứu dữ liệu nào cũng cố gắng tìm lại những thông tin từ
3 nơi này để có thể khôi phục đầy đủ nội dung của một tập tin, nếu thiếu (hoặc
mất) một trong những thông tin này, dữ liệu không toàn vẹn hoặc không thể
khôi phục (xem bảng).

8


Đồ án học phần

Như vậy, xem xét các trường hợp trên thì khả năng khôi phục dữ liệu
thường khá thấp. Trường hợp các cluster của Allocation bị hỏng hoặc bị chép
đè, hầu như không thể khôi phục được vì dữ liệu đã bị xóa và chép đè bởi dữ
3.

liệu mới.
Cơ chế xóa dữ liệu trong hệ điều hành Windows
Để quản thông tin của các file và các thư mục đang được lưu trữ trên thư
mục gốc của đĩa mềm hoặc đĩa logi trên đĩa cứng hệ điều hành DOS sử dụng
bảng thư mục gốc(root directory).
Bảng thư mục gốc gồm nhiều phần tử (entry/mục vào), số lượng phần tử
trong bảng thư mục gốc được DOS quy định trước trong quá trình Format đĩa và

được ghi tại word tại offset 11h trong boot sector, giá trị này không thể thay đổi.
Do đó, tổng số file và thư mục con mà người sử dụng có thể chứa trên thư mục
gốc của đĩa là có giới hạn. Đây là một hạn chế của DOS. Trong hệ thống file
FAT32 và NTFS số phần tử trong bảng thư mục gốc không bị giới hạn, có thể
thay đổi được và có thể được định vi tại một vị trí bất kỳ trên đĩa hoặc chứa
trong một tập tin nào đó.
Mỗi phần tử trong bảng thư mục gốc dùng để chứa thông tin về một file
hay thư mục nào đó đang được lưu trên thư mục gốc của đĩa. Khi có một file
hoặc một thư mục nào đó được tạo ra trên thư mục gốc của đĩa thì hệ điều hành
dùng một phần tử trong bảng thư mục gốc để chứa các thông tin liên quan của
nó, khi một file hoặc thư mục bị xoá/ di chuyển khỏi thư mục gốc thì hệ điều
hành sẽ thu hồi lại phần tử này để chuẩn bị cấp cho các file thư mục khác sau
này.
Vậy khi xóa một file thì hệ điều hành không xóa nội dung file đó trên các
cluster trên vùng data, không xóa dãy các cluster chứ file trong bảng FAT… Mà
9


Đồ án học phần

hệ điều hành chỉ thay đổi ký tự đầu của file trong bảng thư mục gốc bằng giá trị
E5h.
Như vậy khi khôi phục một file do hệ điều hành xóa thì chỉ cần thay ký tự
đầu tiên là E5h bằng một ký tự khác. Và các trường hợp không thể khôi phục
được là do hệ điều hành đã sữ dụng phần tử của thư mục gốc. Khi duyệt bằng
bảng thư mục gốc gặp các phần tử có byte đầu bằng E5h hệ điều hành biết là
phần tử của một file đã bị xóa nên không cho hiện ra màn hình. Và các điều này
là hoàn toàn đúng với các thư mục con trên đĩa.
Đề giải thích E5h là gì thì ta có thể biết rằng các byte đầu tiền (offset 00)
của một phần tử trong thư mục gốc còn được gọi là byte trạng thái, byte này

chứa một trong các giá trị đạc biệt sau:




0: cho biết phần tử này chưa được sữ dụng.
E5h: cho biết phần tử này của một file đã được tạo nhưng đã bị xóa.
05h: cho biết ký tự đầu tiên của file này thực tế là E5h. Nhưng nều ngưới sữ
dụng cố tình tạo file bắt đầu bằng ký tự có mà asscii là E5h thì hệ điều hành sẽ



chuyển đổi ký tự này bằng 05h, để phân biệt với file này với file đã bị xóa.
2Eh: ký tự dấu chấm(“.”) cho biết phần tử chứ thông tin một thư mục con, nếu
byte thứ 2 có giá trị là 2Eh ký tự 2 dấu chấm liên tiếp (“..”) thì trường hợp start
cluster sẽ chứ số hiệu đầu tiên của thư mục cha, nếu như thư mục gốc là 0000h.
Nếu bằng một cách nào đó người lập trình tạo ra một file có 1 giá trị byte
đầu tiên không thược một trong các giá trị trên và không phải là dữ liệu file
thông thường, vào đầu tiên của các file trong bảng thư mục gốc đang cấp phát ở
file nào đó, thì DOS và tiện ích trên DOS không thể nhận diện được file đó, và
không thể thực hiện các thao tác Dir và Del v.v trên nó.

II.

Nguyên nhân mất dữ liệu
Có nhiều nguyên nhân dẫn đến mất mát dữ liệu, nhìn chung có ba nguyên
nhân chính sau đây :
1. Lỗi thiết bị phần cứng:
Đây là nguyên nhân hàng đầu dẫn đến mất dữ liệu, chiếm khoảng 44%.
Lỗi phần cứng có thể xảy ra do có sự bất thường về dòng điện hoặc thiệt hại về

vật lý của thiết bị lưu trữ... Nguyên nhân này thường xảy ra đối với những dữ
10


Đồ án học phần

liệu lưu trữ trên đĩa mềm, bởi sự tác động của môi trường cũng như cách bảo
quản đĩa của người dùng. Thảm họa mất dữ liệu vẫn cứ xảy ra khi người ta
chuyển sang dùng các đĩa CD-ROM, ĐV vì chúng có thể bị trầy xước, ẩm mốc,
biến dạng... Các ổ đĩa di động kết nối cổng USB như flash disk, thẻ nhớ
(memory card), mặc dù có độ tin cậy cao nhưng khả năng mất hoặc hư hỏng dữ
liệu vẫn có thể xảy ra khi mua phải các thiết bị kém chất lượng.Đối với thiết bị
lưu trữ chính của máy tính là đĩa cứng, tần số hỏng hóc xả ra không cao, tuy
nhiên một khi có sự hỏng hóc xảy ra thì nguy cơ mất dữ liệu rất cao. Hỏng hóc ở
đĩa cứng có thể là: Hỏng phần cơ, hư board mạch... dẫn đến không truy xuất
được đĩa cứng, hoặc bị bad sector ở một vùng nào đó trên đĩa – do từ tính ở
vùng này yếu làm dữ liệu lưu trữ trên vùng này không liên tục và bị lỗi khi đọc.
Tất cả những dữ liệu bị mất do hỏng hóc thiết bị đều rất khó cứu lại được.
2. Lỗi phần mềm:
Chiếm khoảng 21%, nguyên nhân do Virus phá hoại, hệ điều hành hư
hỏng.. Trong số này, nguy hiểm nhất là các chương trình virus phá hoại (xóa,
format, phá master boot record) toàn bộ dữ liệu trên đĩa cứng. Tiếp đến là sự
nhầm lẫn, thao tác sai trên các phần mềm có liên quan đến đĩa cứng như:
Format, Fdisk, Ghost, PQMagic. Chẳng hạn: khi dùng lệnh format để định dạng
1 phân vùng trên đĩa cứng thì toàn bộ dữ liệu trên phân vùng này sẽ mất sạch;
khi dùng lệnh Ghost để tạo file ảnh rồi đem phục hồi thì toạn bộ ổ đĩa đích, phân
vùng đích sẽ bị mất sạch dữ liệu. Tất cả dữ liệu mất trong những trường hợp này
còn có thể khôi phục lại nhở các phần mềm chuyên dụng về khôi phục dữ liệu
như Fast Undelete ( Norton
Utilities (www.symantec.com), Lost & Found, Magic Recovery Professional

(www.softwware-recovery.com)... Tuy nhiên quá trình khôi phục dữ liệu cũng
khá gian nan. Mức độ khôi phục còn tùy thuộc vào chương trình làm mất dữ
liệu, file dữ liệu cần khôi phục có dung lượng lớn hay nhỏ (những file có dung
lượng nhỏ thì dễ dàng khôi phục hơn), cũng như vị trí lưu file cần khôi phục trên
đĩa đã bị một file khác chiếm dụng hay chưa.
11


Đồ án học phần

3. Lỗi người sử dụng:
Chiếm khoảng 32%, nguyên nhân do người sử dụng thao tác không đúng
cách như: xóa nhầm, format hay fdisk khi chưa sao lưu dữ liệu...
III.

Khả năng và nguyên tắc khi khôi phục dữ liệu.
1. Khả năng khôi phục dữ liệu
1.1 . Tập tin bị xóa
Như đã đề cập ở trên, việc xóa tập tin sẽ đánh dấu xóa trong Director
Entry và những thông tin liên quan trong bảng FAT hoặc MFT Entry. Về lý
thuyết, khả năng khôi phục đầy đủ tập tin này là cao.Tuy nhiên, kết quả thực tế
đôi khi không được như mong đợi vì một số nguyên nhân:


Sau khi xóa, người dùng cố gắng thực hiện một số thao tác nhằm lấy lại dữ liệu,



HĐH ghi đè dữ liệu mới vào các cluster được đánh dấu xóa...
Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format): Hầu hết dữ liệu

đều có thể khôi phục được trong trường hợp này vì FAT và MFT không bị ảnh

hưởng khi người dùng xóa và tạo mới phân vùng.
1.2 . Phân vùng bị fomat
• Với phân vùng FAT, việc định dạng sẽ xóa bảng FAT, Boot Record và thư mục
gốc (Root Directory) nhưng Partition Table và dữ liệu trong Allocation vẫn còn.
Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32KB, mặc định
của FAT32 hoặc theo tùy chọn của bạn khi định dạng), tập tin được khôi phục
hoàn toàn vì chúng không cần đến thông tin trong bảng FAT.
Với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, chúng
sẽ bị phân mảnh khi có sự thay đổi nội dung theo thời gian. Việc tìm và ráp các
cluster có liên quan với nhau là công việc khó khăn, nhất là với những tập tin có


dung lượng lớn và hay thay đổi.
Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từ
bảng FAT. Tuy nhiên, nội dung những tập tin sau khi tìm lại sẽ không đầy đủ
hoặc không thể đọc được. Vì vậy, bạn sẽ cần đến một phần mềm có khả năng
trích xuất những nội dung còn đọc được từ những tập tin này.Với phân vùng
NTFS, việc định dạng sẽ tạo MFT mới, tuy nhiên kết quả khôi phục sẽ tốt hơn
phân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa
dữ liệu của cùng tập tin.
12


Đồ án học phần
1.3

. Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format):
Hầu hết dữ liệu đều có thể khôi phục được trong trường hợp này vì FAT


và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng.
1.4 . Phân vùng bị format và cài đè HĐH mới hoặc sử dụng Ghost:
Trường hợp này thực sự là khó khăn vì Directory Entry (FAT), MFT
(NTFS) đã bị xóa. Giả sử bạn có 10GB dữ liệu lưu trữ trên phân vùng 20GB,
phân vùng này bị format và chép đè 5GB dữ liệu mới.
1.5 . Ngoài ra, khả năng khôi phục phụ thuộc vào loại dữ liệu:
Nếu những tập tin hình, bạn có thể lấy lại được 9 trên 10 hình. Tuy nhiên,
nếu là cơ sở dữ liệu (database), phép tính bảng, email… dù lấy lại được 90%
nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết,
phụ thuộc lẫn nhau.
2. Nguyên tắc khi khôi phục dữ liệu
2.1 . Một số nguyên tắc trước khi dùng công cụ khôi phục
• Không copy hay cài thêm phần mêm đè lên các phân vùng cần khôi phục.
• Không fomat thêm.
• Không chia lại ổ cứng.
• Nắm rõ thông tin ổ cứng kiểu fomat partition, kích thước.
• Nắm rõ các loại file cần cứu.
• Sau đó mới dùng tới các công cụ khôi phục
2.2 . Khi khôi phục dữ liệu
• Nên dùng và sử dụng ngay thiết bị lưu trữ đang bị mất dữ liệu, không nên tiến
hành cài đặt hay ghi/xóa, việc này có thể làm mất hẳn dữ liệu, không thê khôi


phục được.
Nên sử dụng thêm một HDD khác dùng để lưu các dữ liệu tìm thấy, HDD này
được gọi là Destination. Tránh lưu dữ liệu được tìm thấy lên HDD bị mất dữ




liệu.
Các file dữ liệu sau khi được khôi phục có thề bị đổi tên không như trước, cấu



trúc thư mục thay đổi hoàn toàn.
Các file hình ảnh hoặc Exel tìm được có thể chi có tên nhưng không có nội dung

hoặc hư hỏng hoàn toàn không sử dụng được
2.3 . Các trường hợp dùng phần mềm khôi phục
Có rất nhiều phần mềm chuyên dụng dùng khôi phục dữ liệu, tất cả các
phần mềm này chỉ có khả năng khôi phục dữ liệu trong các trường hợp không bị
thiệt hại nặng về vật lý, cụ thể các trường hơp sau cóthể dùng phần mềm khôi
phục dữ liệu:
13


Đồ án học phần


Dữ liệu bị mất do người sử dụng vô ý xóa nhầm hay fdisk. format nhầm.



Lỗi trong bảng định dạng file FAT, FAT 32, NTFS và không cho phép try cập
đến partition hoặc sector của HDD.



Lỗi hư hỏng ngẫu nhiên của file dữ liệu.




Hư hỏng do Virus.

2.4




. Các trường hợp không dùng phần mềm khôi phục
Hư hỏng, cháy nổ mạch điện của thiết bị lưu trữ.
Không nhận dạng được thiết bị lưu trữ.
Thiệt hại nặng về vật lý như: hư hỏng, biến dạng đầu từ ghi/đọc của HDD, bề


3.

mặt từ tính của đĩa từ trầy xước, bong tróc.
Đã format cấp thấp hoàn toàn
Một số lưu ý
Một số phần mềm cho dùng thử và chỉ yêu cầu người dùng nhập số đăng ký

-

(license key) khi sao lưu những dữ liệu cần khôi phục. Vì vậy, hãy tận dụng điều
này thử qua một vài phần mềm để tìm ra phần mềm thích hợp nhất với loại dữ
-

liệu của mình cần khôi phục.

Một số phần mềm cho phép tạo đĩa khởi động và làm việc trong chế độ MSDOS. Tuy nhiên, sẽ khó khăn hơn trong việc chọn lựa những dữ liệu cần khôi
phục. Nếu có thể, hãy cài đặt phần mềm cứu dữ liệu trên một hệ thống khác và
gắn ổ đĩa cần khôi phục vào khi đã sẵn sàng. Sẽ dễ dàng làm việc hơn với những
tập tin theo cấu trúc cây thư mục, xem qua nội dung những tập tin có thể khôi
phục trước khi mua license key. Lưu ý: đừng lo lắng khi HĐH không nhận ra
đĩa cứng cần khôi phục, phần mềm khôi phục sẽ làm việc này tốt hơn nếu trong

-

BIOS Setup vẫn nhận dạng được ổ cứng này.
Tránh những thao tác ghi dữ liệu lên đĩa cứng cần khôi phục. Sau khi xóa, vị trí
những cluster của tập tin không được bảo vệ, sẵn sàng cho việc ghi đè dữ liệu
mới. Cả khi người dùng không tạo ra những tập tin mới, hoạt động của HĐH
cũng ảnh hưởng đến dữ liệu đã xóa khi tạo ra những tập tin nhật ký (log) ghi lại
hoạt động của hệ thống, ngoài ra, việc truy cập Internet sẽ tải về khá nhiều tập
tin tạm cũng được ghi trên đĩa cứng. Tốt nhất nên ngừng ngay việc sử dụng ổ

14


Đồ án học phần

cứng này, chỉ gắn nó vào một hệ thống khác sau khi đã chuẩn bị sẵn sàng cho
-

việc cứu dữ liệu.
Đừng chậm trễ khi cứu dữ liệu. Hãy hành động thật nhanh khi nhận thấy sai lầm
của mình, sẽ có nhiều cơ hội lấy lại được dữ liệu đã xoá mất. Ngoài ra, khả năng
khôi phục phụ thuộc vào loại dữ liệu. Nếu là những tập tin hình, bạn có thể lấy
lại được 9 trên 10 hình. Tuy nhiên, nếu là cơ sở dữ liệu (database), bảng biểu...

dù lấy lại được 90% nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu

-

thường có sự liên kết, phụ thuộc lẫn nhau.
Một đĩa cứng "chết" nếu BIOS hay tiện ích quản lý đĩa cứng không thể nhận
dạng được. Ổ cứng chết thường có những hiện tượng lạ như không nghe tiếng
môtơ quay, phát ra những tiếng động lách cách khi hoạt động... Đây là những
hỏng hóc vật lý của bo mạch điều khiển, đầu đọc, môtơ, đĩa từ... Hãy cố gắng
tạo bản sao ảnh của đĩa cứng với Norton Ghost, Drive Image hoặc tính năng
tương tự của một số phần mềm cứu dữ liệu. Khi đĩa cứng gặp sự cố, có thể lấy

-

lại dữ liệu từ bản sao ảnh của đĩa cứng.
Nếu dữ liệu thực sự rất quan trọng, nên đem ổ cứng đến những dịch vụ cứu dữ
liệu có uy tín để kiểm tra, đừng thao tác trên đĩa cứng vì sẽ ảnh hưởng đến khả
năng khôi phục dữ liệu hoặc làm tình hình thêm nghiêm trọng. Tuy nhiên, đừng
trông chờ nhiều vào việc cứu dữ liệu khi ổ cứng chết vì việc này ít khi thành

IV.
1.
1.1

công.
Các phương pháp khôi phục
Khôi phục bằng thủ công
. Khôi phục bằng công cụ có sẵn trong Win7
Previous Versions là 1 phần của chức năng khôi phục hệ thống (System
Restore). Bất cứ khi nào 1 điểm phục hồi được tạo ra (Restore Point) thì các file

khi đó sẽ được lưu lại dưới dạng 1 version. Tuy nhiên máy tính có thể tự nhận
biết được các file có sự thay đổi hay không để tiến hành lưu, còn các file khác
không có sự thay đổi sẽ không bị ảnh hưởng.
Để bật chức năng Previous Versions bạn vào Start -> Control Panel ->
System Protection:

15


Đồ án học phần

Trong mục System protection bạn chọn ổ đĩa muốn thiết lập Previous
Versions.

Rồi nhấn Configure, 1 bảng chứa các tùy chọn sẽ xuất hiện.

16


Đồ án học phần

Nếu muốn phục hồi cả các setting của hệ thống thì chọn như hình trên,
nếu chỉ muốn lưu trữ các version của file không thôi thì chọn ở dưới. Lựa chọn
thứ 3 là tắt tính năng System Protection.
Phía dưới là 1 thanh trượt để chỉnh mức dung lượng tối đa của ổ cứng
dành ra cho việc lưu trữ các Previous Versions. Mức này càng nhiều thì có thể
lưu nhiều version của file hơn đồng nghĩa với việc lấy lại được các file càng cũ
hơn. Tuy nhiên nếu để quá nhiều thì khả năng lưu trữ các file mới cũng giảm
nên cần cân nhắc về dung lượng này sao cho hợp lý.
Để khôi phục dữ liệu ta làm như sau:

Click chuột phải lên vùng có file bị xóa và đã được thiết lập tiện ích
Previous Versions
Sau đó chọn Properties -> Previous Versions. Ta có thể thấy 1 life đã bị
xóa Việc cuối cùng chỉ việc copy và Paste file bạn muốn khôi phục hoặc Restore
toàn bộ những file bạn đã xóa
1.2

. Khôi phục bằng câu lệnh Command
- Vào Start -> Run -> gõ cmd -> Enter.
- Tiếp theo di chuyển thư mục hiện hành tới ổ đĩa (hay thư mục của bạn bị
ẩn file) bằng cách gõ lệnh:
X:[\path]
- Ở đây X: là tên ổ đĩa, "[\path]" - đường dẫn có thể không có (thường do
virus làm ẩn tất cả các dữ liệu trên ổ đĩa nên ta có thể không cần quan tâm đến
đối số này).
--> VD: Ở đây cần di chuyển tới ổ G, gõ "G:" (G ở đây là ổ đĩa USB)

- Khi đang đứng ở thư mục gốc của ổ đĩa bị nhiễm Virus (đã diệt xong
rồi) ta bắt đầu dùng lệnh để thay đổi thuộc tính với tất cả các file và thư mục:
"attrib -s -h -a * /s /d”
17


Đồ án học phần

- Sau khi gõ lệnh trên, mở lại ổ đĩa/thư mục sẽ thấy toàn bộ file và thư
2.
2.1

mục của bạn hiện lại.

Khôi phục bằng phần mềm
. Sử dụng phần mềm File Recovery
Hướng dẫn cách sử dụng
Để có thể thực hiện chương trình bạn tiến hành các bước như sau:
Bước 1: Click double vào biểu tượng”Files Recovery”:

hoặc có thể nhấp chuột phải vào biểu tượng và chọn open

Bước 2: Ta sẽ thấy được giao diện của “Files Recovery” như sau:

18


Đồ án học phần

Bước 3: Khi nhấp chuột vào menu File sẽ xuất hiện các menu con:
Open Image: Để mở ra file ảnh
Clear Log: Để làm sạch log
Save Log: Để lưu đường dẫn của log
Exit: Để thoát khỏi chương trình

Bước 4 :Khi bạn click chuột vào
menu View sẽ xuất hiện các menu con:
Scan: Quét
Stop:Dừng lại

Bước 5: Khi bạn click chuột vào menu Help sẽ xuất hiện các menu con:
Contents: Nội dung
Recovery Service on the Web: Dịch vụ khôi phục trên mạng
File Recovery Online: Khôi phục trực tuyến

Frequently Asked Questions: Thường xuyên hỏi những câu hỏi
Help:Trợ giúp
19


Đồ án học phần

Lsoft Home Page:Lsoft trang chủ
About Recovery Service Tool: Công cụ khôi phục

Bước 6: Khi click vào biểu tượng Scan hộp thoại Scan sẽ list ra danh sách tên
các drive, type, file system, totalsize hiện tại trên máy tính của:

20


Đồ án học phần

Bước 7 : Chọn tên ổ đĩa và nhấp chuột vào nút Scan, khi đó “File Recovery” sẽ
hiện thị cho danh sách các folder và các file có trong ổ đĩa:

Sau đó chọn tên file cần cứu và nhấp nút Recover :

Ngay sau khi nhấp chuột vào nút Recover hộp thoại xuất hiện nhắc rằng:
“chọn folder nơi mà sẽ lưu khôi phục đó” :
Có 3 lựa chọn :
Make folder new: Tạo folder mới
Ok: Chấp nhận (lưu đường dẫn mặc định)
Cancel: từ chối
Khi này chương trình tiến hành quá trình

tìm kiếm:
21


Đồ án học phần

Bước 8: Nếu như chọn Cancel như ở bước 7 thì giờ đây sau khi tìm kiếm
những file đã xóa Click chuột vào menu file chọn Save log để lưu lại file mà
muốn cứu và chọn save.

Chú ý: khi ta dùng chương trình “File Recovery” để cứu dữ liệu chúng ta
thấy các file có các màu khác nhau như:


File có màu vàng: bình thường thì các file đó là các file chưa bị xóa.



File có màu xám bạc: file này đã bị xóa tuy nhiên khả năng phục hồi lại
file là khá cao. Gần như là ta có thể phục hồi lại nguyên vẹn dữ liệu như ban
đầu.



File có màu đen: file này đã bị xóa tương đối lâu, ta khó có khả năng khôi
phục lại được hay là nếu có khôi phục lại được đi chăng nữa thì file đó cũng khó
22


Đồ án học phần


có khả năng trở về hiện trạng ban đầu được bởi vì một số dữ liệu trong file đó đã
bị xóa mất rồi (do là ta đã ghi đè dữ liệu khác nên nó). Ngoài ra giao diện của
“File Recovery” còn cho ta biết được file đã được tạo vào ngày giờ nào, ngày ta
thay đổi (xóa) file đó đi và còn dung lượng của nó là bao nhiêu.

2.2. Cứu dữ liệu bằng GetDataback (GDB)
Chương trình GetDataBack (GDB) của Runtime Software . GDB có hai
phiên bản, một dùng cho hệ thống FAT và một dùng cho hệ thống NTFS. Việc
sử dụng hai phiên bản này hoàn toàn tương tự nên mình chỉ giới thiệu phiên bản
dùng cho FAT.
GDB sẽ giúp truy tìm lại những dữ liệu đã mất do ổ cứng bị hư vì virus
phá, dữ liệu bị xóa nhầm, format hay Fdisk đĩa.
Với người dùng bình thường, GDB có thể giúp bạn phục hồi dữ liệu của
mình thông qua sáu bước rất dễ hiểu. Ngoài ra, với người dùng có trình độ cao
hơn, GDB cung cấp những chọn lựa nâng cao nhằm giúp việc phục hồi được
hiệu quả hơn. GDB có thể phục hồi dữ liệu từ ổ cứng, phân vùng, đĩa mềm, file
ảnh của ổ đĩa (Drive Image), ổ Zip, ổ đĩa mạng. Tương thích với Windows
95/98/ME, Windows NT, 2000, XP, WIN 7. GDB chỉ đọc ổ đĩa hư và sao chép
toàn bộ dữ liệu phục hồi được lên một ổ đĩa khác.
a.

Tính năng GetDataback for FAT and NTFS 3.03)

23


Đồ án học phần

GetDataBack Data Recovery là một chương trình khôi phục dữ liệu an

toàn, nhanh chóng và dễ sử dụng giúp cứu dữ liệu bị mất từ các sự cố có thể xảy
đến cho ổ cứng. Việc khôi phục dữ liệu thường thành công hơn so với những gì
mong đợi - dĩ nhiên là cũng không cần đưa ổ cứng tới các dịch vụ khôi phục dữ
b.

liệu.
Hướng dẫn sử dụng
Bước 1: Các bạn khởi động GDB sau đó nhấn NEXT để tiến hành cài:

Bước 2: Cửa sổ đầu tiên mà nhìn thấy khi chạy GDB cũng là bước 2. Trong
bước này, GDB sẽ tiến hành quét tìm các ổ đĩa vật lý hay logic có trên máy (tùy
thuộc vào chọn lựa của bạn)

Trong cửa sổ bên tay trái là danh sách rất nhiều ổ đĩa vật lý quy ước như sau:
- FD: Ổ đĩa mềm
- HD: Ổ đĩa vật lý (HD128 là ổ đĩa thứ nhất, HD129 là ổ đĩa thứ hai,...)
24


Đồ án học phần

- Logical Drives: Ổ đĩa logic (phân vùng)
- Image files :Tập tin ảnh
Nếu đã tạo tập tin ảnh, có thể chọn vào mục Image File. GDB sẽ quét tìm
tập tin này , nếu không có thể tự tìm nó ở trong bước 2 bên phải của cửa sổ là
nơi sẽ chọn để chứa các tập tin, hay thư mục tạm thời được GDB tạo ra trong
quá trình làm việc. Không được chọn những thư mục trên ổ đĩa hư để lưu những
thư mục hay tập tin tạm này.Xong xuôi, nhấn Next để sang bước 3
Bước 3: Với những chọn lựa ở bước 2 nêu trên, sang bước 3 sẽ nhìn thấy
cấu trúc của ổ đĩa như trong hình:


Lưu ý: Nếu không vừa ý với cách hiển thị như vậy, hoặc không tìm thấy ổ
đĩa mà cần phục hồi, bạn có thể nhấn nút Back, quay trở lại bước 1 để thực hiện
lại việc lựa chọn.
Bên dưới cửa sổ Bước 2 này có hai mục là Image File... và Remote... Có
thể chọn Image File... để xác định vị trí của tập tin ảnh mà cần phục hồi dữ liệu
trong đó. Có thể chọn nhiều file ảnh cùng lúc. Chọn Remote... để xác định ổ đĩa
cần phục hồi trên máy khác thông qua mạng LAN, hoặc giữa hai máy nối với

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×