Bài hướng dẫn khôi phục dữ liệu trên ổ cứng HDD cho người bắt đầu của bác Andy Phạm chia sẻ trên Group Nghiện Tech khá chi tiết dành cho những bạn mới tìm hiểu về cách lấy lại dữ liệu đã xóa trên ổ cứng HDD. Đây là toàn bộ bài viết của bác ấy đã chia sẻ:
Nghe đến khôi phục dữ liệu, người dùng thường nghĩ đến những trung tâm chuyên nghiệp với hệ thống phòng lab tiên tiến. Anh em nào từng biết mình hồi còn ở VN, đội kỹ thuật của mình hỗ trợ kỹ thuật cho hàng loạt các nhà máy, trung tâm dữ liệu, ngân hàng… Số lượng máy tính lên tới vài ngàn, vì thế các ca mất dữ liệu cứ vài ngày lại phải xử lý một lần. Mỗi lần tuyển thêm bạn KTV mới, quẳng cho cái ổ cứng, vài phần mềm chuyên nghiệp, cho ngồi luyện tập, tự xóa, tự phục hồi, tự cảm nhận phương án tối ưu. Khoảng 3 ngày là có thể bắt đầu lên mạng nói chém gió, 1 tuần là nói chuyện bắt đầu rất thâm sâu rồi .
Mất dữ liệu thường liên quan đến
-
Phần cứng: ổ cứng bị rớt, chập cháy… việc khôi phục đòi hỏi các phòng lab với thiết bị chuyên dụng (cái này sẽ không bàn trong bài viết bên dưới)
-
Phần mềm: virus cắn, xóa nhầm, format nhầm, cài win nhầm ổ… Cái này trong nhiều trường hợp có thể khôi phục hoàn hảo nếu được xử lý đúng cách.
Vậy như thế nào là đúng cách và tại sao lại có thể khôi phục hoàn hảo, anh em nghe mình dài dòng một chút.
Ghi/Write dữ liệu
Khi ghi/write một file mới lên ổ cứng, sau khi hoàn tất việc ghi file, hệ thống sẽ trở về bản FAT (File Allocation Table) – tạm gọi là sơ đồ phân bố file, và ghi lại thông tin về file đó như vị trí file, dung lượng….
Đọc/Read dữ liệu
Lúc đọc/read file thì thứ tự ngược lại, hệ thống sẽ truy nhập bản FAT trước, dựa theo chỉ dẫn của bản FAT để tìm đến vị trí thực tế của file trên ổ cứng (không phải là như anh em nhập môn nghĩ là hệ thống xống thẳng đến chỗ file đó luôn). Đến đây anh em có thể hình dung bản FAT như một “bản đồ” cho ổ cứng.
Nếu ví file như những ngôi nhà, toàn bộ ổ cứng là một thành phố (Hà nội chẳng hạn) thì bản FAT chính là bản đồ thành phố Hà nội, cả hệ thống sẽ vận hành xoay “bản đồ” này.
Xóa/Delete dữ liệu
Khi xóa một file, hệ thống xóa thông tin về file này trên “bản đồ” FAT chứ không xóa file thực tế trên ổ cứng. Vùng đĩa cứng mà file đó tồn tại sẽ coi như là đất hoang (free). Lần tới có file mới cần tạo/write thì cứ ghi đè lên thôi. Chính vì thế nếu anh em nào tinh ý sẽ thấy quá trình xóa file rất nhanh (nhiều khi vài trăm file cũng chỉ trong vài giây), trong khi quá trình copy/write file đó có thể lên tới vài tiếng đồng hồ. Đây là điểm mấu chốt để các để các phần mềm khôi phục dữ liệu có thể lấy lại dữ liệu.
Vậy các phần mềm khôi phục dữ liệu làm việc như thế nào? Các phần mềm khôi phục dữ liệu sẽ bỏ qua “bản đồ” FAT mà quét trực tiếp ổ cứng để tìm ra file thực tế, quá trình quét chi tiết đến từng block của HDD để đảm bảo tính toàn vẹn của file, vì thế nó thường rất lâu (sơ sơ cũng vài giờ). Phần mềm khôi phục như anh cán bộ địa chính cần mẫn, dò dẫm đến từng ngôi nhà trong thành phố, đo đạc thực tế để khôi phục lại bản đồ gốc: lô biệt thự A1, A2, A3 này là của anh Chung chủ tịch, lô liền kề B2, B3 kia là của anh Quyết… và cứ thế cho đến khi bản đồ thành phố được khôi phục, dữ liệu được phục hồi.
Ví dụ này có thể không phản ánh chính xác 100% thực tế vận hành của hệ thống, nhưng qua đó anh em nắm được một điểm mấu chốt: các lệnh xóa/format do người dùng (người dùng thôi nhé) không xóa trực tiếp file trên ổ cứng, dữ liệu vẫn còn đó. Vì thế với một phần mềm trung bình + kỹ năng tiêu chuẩn, anh em đều có thể khôi phục dữ liệu về mức hoàn hảo.
Kiến thức thường gặp:
Có. Format (quick format) chỉ khác lệnh xóa là nó xóa trắng toàn bộ bản FAT (thay vì chỉ xóa một vài thông tin trên bản FAT như lệnh xóa). Dữ liệu vẫn còn nguyên trên ổ cứng. Format nhiều lần không khác gì so với format một lần (xóa đi xóa lại bản FAT thôi). Mặc dù đứng từ phía người dùng nhìn lại, format nhiều lần khủng khiếp hơn format một lần rất nhiều lần.
Yếu tố nào ảnh hưởng đến việc khôi phục dữ liệu trên HDD?
Như phân tích ở trên, sau khi xóa, thông tin về file sẽ được gỡ bỏ trên “bản đồ” FAT, mặc dù dữ liệu vẫn còn nguyên đó, nhưng vùng đất đó đối với hệ thống là vùng đất hoang, sẵn sàng cho bất kỳ ghi nào tiếp tới. Vì thế sau khi xóa file mà người dùng vẫn tiếp tục dùng máy tính thì tỷ lệ khôi phục sẽ bé đi theo thời gian, hoặc file khôi phục lại được sẽ không hoàn thiện (dẫn đến không mở ra được). Một nguyên nhân khác là kỹ thuật viên thiếu kinh nghiệm cài phần mềm khôi phục lên chính ổ cứng cần khôi phục, chính phần mềm này sẽ ghi đề lên “vùng đất” có file cần khôi phục.
SSD khi xóa nhầm có khôi phục được không?
Không, cụ thể anh em có thể đọc tại đây.
Nên dùng phần mềm khôi phục dữ liệu nào?
Một phần mềm trung bình + kỹ năng tốt ⇒ khả năng phục hồi dữ liệu trên HDD có thể tiệm cận 100%. Vì thế kỹ năng phục hồi vẫn là điểm mấu chốt. Anh em có thể tham khảo các phần mềm khôi phục xuất sắc nhất tại đây:
-
Thứ nhất là R-Studio, thằng này không phải là thằng dễ dùng nhất, nhưng tuyệt đối là thằng bá đạo nhất. Cách đây khoảng 15 năm gì đó, cụm RAID server khách hàng bị sập, đặt hàng đồ thay thế mất khoảng 2 tuần, mà khách hàng là đơn vị sản xuất, không đợi được lâu thế, mình đã dùng nó để nhấc toàn bộ dữ liệu ra khỏi cụm RAID của server bị sập, rồi đưa ra một máy Windows bình thường, share cho toàn bộ nhà máy dùng tạm. Tại thời điểm đó, mỗi nó làm được. Sau này, có thể một vài phần mềm có tính năng này. Nhưng nó vẫn là thằng số 1, quan trọng là sử dụng tốt trong môi trường chuyên nghiệp nhất, được thừa nhận bởi những IT khó tính nhất.
-
Thứ hai là EaseUS Data Recovery mạnh mẽ, dễ dùng, mình đã có bài riêng về thằng này rồi
-
Thứ ba là Stellar Data Recovery, GetDataBack,… Bây giờ có thể GetDataBack và một số phần mềm khác được biết đến nhiều hơn R-Studio, nhưng lúc R-Studio được 4-5 tuổi rồi, GetDataBack mới bắt đầu gia nhập thị trường phần mềm khôi phục dữ liệu. (2 phần mềm này lâu lâu vẫn được giveaway bản quyền, bạn có thể canh để tìm Key nhé)
Lời khuyên dành cho KTV nhập môn?
Khôi phục dữ liệu trên ổ cứng HDD bằng phần mềm không khó, bằng chứng là rất nhiều người dùng thông thường đã thành công. Nhưng để đạt tỷ lệ thành công tiệm cận 100% đòi hỏi KTV thao tác chuẩn chỉ:
-
Yêu cầu người dùng dừng thao tác ngay sau khi xóa nhầm
-
Tiến hành sao lưu ổ cứng bị xóa nhầm trước khi khôi phục
-
Cài đặt phần mềm khôi phục ra một ổ cứng riêng rẽ, hay nhất là dùng USB boot riêng
-
File khôi phục phải được copy ra một ổ cứng riêng rẽ (tuyệt đối không được copy vào ổ cứng đang bị xóa nhầm). Mọi sai lầm nhỏ sẽ khiến khả năng khôi phục giảm đi đáng kể.