Marquer les fichiers supprimés comme non supprimés

11

La capacité de mon disque dur est de 500 Gio. 150 Go de données ont été supprimés accidentellement. Je n'ai écrit aucun octet sur le disque après cet incident, donc mes données sont garanties d'être là. J'ai essayé des applications comme Recuva, toutes les applications montrent que les données sont là et me permettent d'enregistrer les données dans un emplacement différent, mais le problème est que je ne veux pas le faire.

Je veux juste que les fichiers soient à nouveau marqués comme non supprimés dans le MFT. Existe-t-il une application disponible à cet effet? J'ai beaucoup cherché mais je n'ai rien trouvé, est-il possible de décocher les fichiers supprimés dans la MFT ou est-ce que je manque quelque chose? Je pourrais écrire une application pour cela si je savais comment le faire manuellement.

Elmo
la source
2
En fait, dans les anciens jours DOS, undeleteet unerasefaisait exactement cela, mais les programmes Windows ont tendance à copier des fichiers. Je ne pense pas en avoir vu qui supprimaient littéralement les fichiers. I didn't write any byte to the drive after that incident, so my data is guaranteed to be there.Peut-être, mais cela ne signifie pas qu'ils sont récupérables; tous les fichiers fragmentés ne vous permettront probablement de récupérer que le premier morceau du fichier.
Synetech
AFAIK, normalement l'entrée pour le dossier / fichier est supprimée de MFT lorsque vous supprimez un fichier. Ce n'est peut-être pas aussi simple que d'activer ou de désactiver un peu.
Ganesh R.
@GaneshR. C'est ce que je veux faire, je veux rajouter l'entrée dans le MFT, n'est-ce pas possible? Les données sont déjà présentes sur le disque dur, il suffit de les enregistrer dans le système de fichiers.
Elmo
Recuva me montre le nom du fichier et le dossier dans lequel le fichier était situé.
Elmo
1
Vous pouvez essayer de demander aux développeurs de certains outils de récupération de données d'ajouter cette option. Voici les forums de discussion pour un couple des plus populaires: Recuva , PhotoRec
Synetech

Réponses:

5

La suppression de fichiers sur un volume NTFS n'est pas aussi simple que de retourner un bit. Il est vrai que la différence entre un fichier supprimé et non supprimé n'est que d'un bit dans la MFT, mais il faut également récupérer le contenu du fichier, qui est stocké sous forme de flux, ainsi que re-marquer les secteurs supprimés comme utilisé dans le pseudo-fichier $ Bitmap qui contient un bit par secteur, chaque bit indique si son cluster correspondant est utilisé (alloué) ou libre (disponible pour l'allocation).

La complexité du travail est telle que tous les outils de récupération préfèrent ne pas écrire sur le volume endommagé. Par exemple, le fait de marquer un secteur dans $ Bitmap comme utilisé peut entraîner un chaînage croisé si ce secteur était déjà utilisé par un autre fichier.

Cet article a très bien démontré le problème avec les vidages hexadécimaux:
série «Récupération de fichiers» de Windows: partie 5 récupérer manuellement un fichier supprimé à partir d'un système de fichiers NTFS .

Un autre article contient même le code source d'un programme qui pourrait être modifié pour décompresser le bit "supprimé": Undelete un fichier dans NTFS .

Il existe de nombreux éditeurs de disques NTFS qui peuvent modifier le MFT pour inverser ce bit. Certains que j'ai trouvés via Google (mais qui n'ont heureusement jamais dû être utilisés) sont:
WinHex
NTFS Data Recovery Toolkit
DMDE
Freeware Active Disk Editor

Une solution possible qui pourrait même fonctionner serait d'annuler le bit supprimé dans le MFT, puis d'utiliser l'utilitaire chkdsk pour essayer de récupérer le contenu. Cet utilitaire peut récupérer les secteurs-chaînes de fichiers dont les secteurs ont été marqués à tort comme disponibles pour la réallocation et corrige $ Bitmap.

Cependant, il est toujours possible que cette procédure détruise votre disque.

C'est pourquoi vous et tous les commentateurs ci-dessus (y compris moi-même) n'avez trouvé aucun produit permettant une récupération sur place. Les possibilités de visser votre disque sont tout simplement trop pour quiconque n'est pas un employé de Microsoft travaillant sur NTFS.

Ma meilleure recommandation pour vous est d'obtenir un deuxième disque dur et de récupérer les fichiers dessus. Je pense que vous avez découvert qu'un seul disque de sauvegarde ne suffit pas. J'ai déjà eu plusieurs cas d'amis me demandant de récupérer leur seule sauvegarde, et je leur conseille toujours (parfois trop tard) d'avoir deux disques de sauvegarde.

En outre, au moins l'un des deux disques de sauvegarde doit être déconnecté de l'ordinateur. Je le conseille après avoir entendu parler d'un cas où un ordinateur s'est frit et de chaque périphérique USB connecté, laissant le propriétaire sans données et sans sauvegarde en un seul coup.

harrymc
la source
2

Comme je l'ai dit hier , vous pouvez toujours essayer de le faire manuellement avec un éditeur hexadécimal / disque s'il n'y a que quelques fichiers à récupérer, mais je ne le recommanderais certainement pas.

Après plusieurs minutes de recherche et de test, j'ai finalement réussi à marquer un fichier comme non supprimé dans le $MFT, mais le problème est que cela ne suffit pas, vous devez également marquer les clusters qu'il utilise en cours d'utilisation dans le $BITMAP. Cette tâche s'est avérée trop difficile et trop de travail à trouver et à faire, j'ai finalement abandonné. J'ai envisagé de courir chkdsk /fpour voir s'il détecterait la différence et marquerait correctement les clusters, mais cela semblait trop risqué car la partition NTFS sur laquelle j'avais testé avait quelques autres fichiers que je ne voulais pas perdre.

(Notez également que, contrairement à FAT *, NTFS stocke la chaîne de cluster pour un fichier dans le $MFT, cela ne garantit pas que vous aurez accès à la chaîne de cluster entière au moment de la récupération, donc un fichier fragmenté pourrait finir par être irrécupérable . Même si vous n'avez rien écrit sur le lecteur après l'effacement accidentel, cela ne signifie pas que Windows ne l'a pas fait. Par exemple, il a peut-être écrit sur \System Volume Information, en particulier si le service Shadow Copy / Previous Versions est en cours d'exécution.)

Évidemment, la récupération manuelle n'est pas vraiment une solution, ni une réponse à votre question, c'est pourquoi je l'avais postée uniquement en tant que commentaire. Malheureusement, toutes les recherches que j'ai faites sont vides et la réponse courte à votre question est: non, aucun programme public ne peut simplement marquer un fichier comme non supprimé sur un volume NTFS .

(Il existe des programmes médico-légaux - coûteux - qui peuvent faire des choses fantaisistes avec des lecteurs et récupérer des fichiers et présenter des données brutes via un filtre pour afficher les structures et autres, mais même ceux-ci ne seront pas utiles car ils font spécifiquement un point de non modification du lecteur d'origine.)

Synetech
la source