Tandai file yang dihapus sebagai terhapus

Kapasitas hard drive saya adalah 500 GiB. 150 GB data terhapus secara tidak sengaja. Saya tidak menulis byte ke drive setelah kejadian itu, jadi data saya dijamin ada di sana. Saya telah mencoba aplikasi seperti Recuva, semua aplikasi menunjukkan bahwa data ada di sana dan memungkinkan saya untuk menyimpan data di lokasi yang berbeda, tetapi masalahnya adalah saya tidak ingin melakukan itu.

Saya hanya ingin file-file itu ditandai lagi sebagai tidak dihapus di MFT. Apakah ada aplikasi yang tersedia untuk tujuan ini? Saya sering mencari tetapi tidak menemukan apa-apa, apakah mungkin untuk menghapus tanda file yang dihapus di MFT atau saya kehilangan sesuatu? Saya bisa menulis aplikasi untuk ini jika saya tahu cara melakukannya secara manual.

Membatalkan penghapusan file pada volume NTFS tidak semudah membalik satu bit. Memang benar bahwa perbedaan antara file yang dihapus dan yang tidak dihapus hanya satu bit di MFT, tetapi orang juga perlu memulihkan konten file, yang disimpan sebagai stream, serta menandai kembali sektor yang dihapus seperti yang digunakan dalam file pseudo $ Bitmap yang berisi satu bit per sektor, masing-masing bit mengindikasikan apakah cluster yang sesuai digunakan (dialokasikan) atau gratis (tersedia untuk alokasi).

Kompleksitas pekerjaan adalah sedemikian rupa sehingga semua alat pemulihan memilih untuk tidak menulis ke volume yang rusak. Misalnya, menandai sektor dalam $ Bitmap seperti yang digunakan dapat menyebabkan rantai-silang jika sektor itu sudah digunakan oleh file lain.

Artikel ini menunjukkan masalah dengan hex dumps:
Windows 'File Recovery' series: Bagian 5 Memulihkan File yang Dihapus Secara Manual Dari Sistem File NTFS .

Artikel lain bahkan berisi kode sumber program yang dapat dimodifikasi untuk membatalkan bit "dihapus": Membatalkan penghapusan file dalam NTFS .

Ada beberapa editor disk NTFS yang dapat mengedit MFT untuk membalikkan bit itu. Beberapa yang saya temukan melalui Google (tapi untungnya tidak perlu digunakan) adalah:
WinHex
NTFS Data Recovery Toolkit
DMDE
Freeware Active Disk Editor

Solusi yang mungkin bahkan bekerja adalah untuk membatalkan bit yang dihapus di MFT, kemudian gunakan utilitas chkdsk untuk mencoba memulihkan konten. Utilitas ini dapat memulihkan rantai sektor file yang sektornya salah ditandai sebagai tersedia untuk realokasi dan akan memperbaiki $ Bitmap.

Namun, selalu ada kemungkinan prosedur ini dapat merusak disk Anda.

Inilah sebabnya mengapa Anda dan semua komentator di atas (termasuk saya) belum menemukan produk apa pun yang melakukan pemulihan di tempat. Kemungkinan untuk mengacaukan disk Anda terlalu banyak bagi siapa saja yang bukan karyawan Microsoft yang bekerja pada NTFS.

Rekomendasi terbaik saya untuk Anda adalah mendapatkan hard disk kedua dan memulihkan file di dalamnya. Saya percaya Anda telah menemukan bahwa satu disk cadangan tidak cukup. Saya sudah memiliki beberapa kasus teman yang meminta saya untuk memulihkan satu-satunya cadangan mereka, dan saya selalu menasihati mereka (kadang-kadang terlambat) untuk memiliki dua disk cadangan.

Selain itu, setidaknya satu dari dua disk cadangan harus diputuskan dari komputer. Saya menyarankan ini setelah mendengar kasus di mana komputer telah menggoreng dirinya sendiri dan setiap perangkat USB yang terhubung, meninggalkan pemilik tanpa data dan tanpa cadangan dalam satu pukulan.

Seperti yang saya katakan kemarin , Anda selalu dapat mencoba melakukannya secara manual dengan hex / disk-editor jika hanya ada beberapa file untuk dipulihkan, tetapi saya pasti tidak akan merekomendasikannya.

Setelah beberapa menit penelitian dan pengujian, saya akhirnya berhasil menandai file sebagai tidak terhapus di $MFT, tetapi masalahnya adalah itu tidak cukup, Anda juga harus menandai cluster yang digunakannya di-use in the $BITMAP. Tugas ini terbukti terlalu sulit dan terlalu banyak pekerjaan untuk ditemukan dan akhirnya saya menyerah. Saya menganggap berjalan chkdsk /funtuk melihat apakah itu akan mendeteksi perbedaan dan menandai cluster dengan benar, tetapi itu terasa terlalu berisiko untuk dilakukan karena partisi NTFS yang saya uji memiliki beberapa file lain yang saya tidak ingin kehilangan.

(Juga, perhatikan bahwa sementara tidak seperti FAT *, NTFS menyimpan rantai kluster untuk file di $MFT, itu tidak menjamin bahwa Anda akan memiliki akses ke seluruh rantai kluster pada saat pemulihan, sehingga file yang terfragmentasi dapat berakhir menjadi tidak dapat dipulihkan. (Bahkan jika Anda tidak menulis apa pun ke drive setelah penghapusan yang tidak disengaja, itu tidak berarti bahwa Windows tidak menulis. Misalnya, ia mungkin telah menulis \System Volume Information, terutama jika layanan Shadow Copy / Versi Sebelumnya sedang berjalan.)

Jelas pemulihan manual bukanlah solusi, atau jawaban untuk pertanyaan Anda, itulah sebabnya saya mempostingnya hanya sebagai komentar. Sayangnya, semua pencarian yang saya lakukan telah kosong dan jawaban singkat untuk pertanyaan Anda adalah: tidak, tidak ada program publik yang hanya dapat menandai file sebagai tidak dihapus pada volume NTFS .

(Ada — mahal — program forensik yang dapat melakukan hal-hal mewah dengan drive dan memulihkan file dan menyajikan data mentah melalui filter untuk menunjukkan struktur dan semacamnya, tetapi bahkan itu tidak akan membantu karena mereka secara khusus membuat titik tidak memodifikasi drive asli.)