Nghiên cứu vấn đề khôi phục liệu bị máy tính xóa format đĩa

Nhận thấy tầm quan trọng của việc cần phải khôi phục lại những dữ liệu, tài liệu bị mất nên em đã chọn đề tài “Nghiên cứu vấn đề khôi phục dữ liệu bị mất trên máy tính do xóa hoặc format

LỜI CẢM ƠN

Đầu tiên em xin gửi lời cảm ơn chân thành đến thầy đã giúp đỡ em trongquá trình tìm hiểu về nội dung đồ án, thầy đã chỉ bảo và hướng dẫn tận tình cho

em những kiến thức lý thuyết, giúp em hoàn thành tốt bài báo cáo này

Em xin chân thành biết ơn sự tận tình dạy dỗ của tất cả quý thầy cô khoaCông nghệ thông tin trường ….đã tận tâm và nhiệt tình hướng dẫn và tạo điềukiện cho em trong suốt thời gian được học tập tại trường

Lời cảm ơn chân thành và sâu sắc, em xin gửi đến gia đình, đã luôn sátcánh động viên em trong những giai đoạn khó khăn nhất

Em xin chân thành cảm ơn

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Thanh Hóa, ngày ….tháng….năm 2013

NGƯỜI NHẬN XÉT

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

Thanh Hóa, ngày ….tháng….năm 2013

NGƯỜI NHẬN XÉT

MỤC LỤC

LỜI MỞ ĐẦU

Ngày nay cùng với sự phát triển của khoa học kĩ thuật nói chung và côngnghệ thông tin nói riêng đã làm cho máy tính hiện diện ở rất nhiều lĩnh vựctrong cuộc sống Máy tính đã giúp con người chúng ta giải quyết rất nhiều côngviệc mà chúng ta không thể làm nổi được Đặc biệt là khi chúng ta muốn lưu trữmột khối lượng lớn công việc hay dữ liệu nào đó Giúp chúng ta có thể tiết kiệmđược nhiều thời gian và công sức Nhưng trong quá trình sử dụng, đôi khi khôngđược như mình mong muốn Sẽ có những lúc máy tính bị hư hoặc gặp một sốtrục trặc nào đó do người dùng đã xóa hoặc format các dữ liệu, tài liệu lưu trongmáy tính khiến chúng bị mất đi Nếu gặp phải trường hợp như vậy thì phải làmthế nào ? Nhận thấy tầm quan trọng của việc cần phải khôi phục lại những dữ

liệu, tài liệu bị mất nên em đã chọn đề tài “Nghiên cứu vấn đề khôi phục dữ liệu bị mất trên máy tính do xóa hoặc format đĩa ”

PHẦN A GIỚI THIỆU CHUNG VỀ ĐỀ TÀI

I. Lý do chọn đề tài

Bộ phận nào đáng giá nhất trong máy tính của chúng ta? Đó không làCPU, đầu đọc CD-ROM, màn hình hay ổ đĩa, mà là dữ liệu và chương trình ghitrên đĩa Khi bị mất dữ liệu quan trọng trên máy tính của mình do xóa hoặcformat đĩa, người ta có cảm giác như đánh rơi một chiếc cốc pha lê quí giá Điềunày có thể ảnh hưởng lớn gây ra thiệt hại lớn cho chúng ta khi chẳng may đó lànhững dữ liệu quý giá Nhưng nếu chúng ta biết cách thì đó chỉ là cảm giácthoáng qua vì ai trong chúng ta cũng có thể khôi phục lại tập tin một cách dễdàng,với các công cụ thích hợp trong tay và kiến thức cần thiết Chính vì vậyviệc nghiên cứu để khôi phục dữ liệu cũng là một việc không thể thiếu khi mất

đi dữ liệu quan trọng

II. Mục đích nghiên cứu

Tìm hiểu nguyên nhân, cách khắc phục dữ liệu do xóa hay ghost nhầm.Nghiên cứu các cách khôi phục dữ liệu bằng thủ công và các phần mềm khôiphục dữ liệu, cách cài đặt và lựa chọn để đáp ứng tốt nhất cho bản thân cũngnhư người sử dụng

III. Phương pháp nghiên cứu

- Nghiên cứu qua giáo trình, các tài liệu tham khảo hay qua internet

- Nghiên cứu qua thực tế

- Đặc biệt là tham khảo qua thầy giáo hướng dẫn Nguyễn Xuân Lô

PHẦN B NỘI DUNG

I. Giới thiệu tổng quát cấu trúc dữ liệu trong ổ cứng và việc xóa dữ liệu.

1. Giới thiệu chung.

Chúng ta thường nghĩ rằng những file bị xóa, ổ đĩa bị fomat hoặc lỗi hệthống mà file đó bị mất đi thì sẽ ra đi mãi mãi Với những phần cứng và phầnmềm đặc biệt hiện nay, chúng ta có thể khôi phục gần như hầu hết các file đó

Để tìm hiểu cách khôi phục những dự liệu bị xóa , trước tiên chúng ta phải tìmhiểu nó được lưu trữ như thế nào?

Một ổ cứng (HDD) thường có nhiều mặt đĩa( platter) Dữ liệu được lưutrên các platter trong các vòng tròn đồng tâm, còn gọi là rãnh ghi (track) Cácđầu đọc/ghi di chuyển trên bề mặt các đĩa để truy xuất dữ liệu trên HDD Do dữliệu có thể truy nhập trực tiếp bất kỳ nơi nào trên HDD, các file hay các mảnhfile cũng được lưu giữ bất kỳ nơi nào trên ổ

Dữ liệu được lưu trên HDD trong các cluster (liên cung) Kích thước củacác cluster rất khác nhau theo hệ điều hành và kích thước của dung lượng logic.Nếu HDD có kích thước cluster là 4k, thì một file dù chỉ 1k cũng chiếm tới 4k.Một file lớn có thể chứa hàng trăm hoặc hàng nghìn cluster, nằm rải rác trênkhắp HDD Dữ liệu nằm rải rác trên HDD được theo dõi và quản lý bởi thànhphần hệ thống file của hệ điều hành

Hiện nay có 3 loại hệ thống file HDD được sử dụng trong Windows củaMicrosoft là FAT( File Allocation Table - bảng phân bố tệp) được giới thiệu vớiDOS; FAT32 được giới thiệu với Win95 và NTFS( hệ thống file công nghệ mới)được đưa ra với WINNT 4.0 Tất cả 3 hệ thống này sử dụng một chiến lược cơbản giống nhau Một mục liệt kê các file trên ổ và chứa một con trỏ (pointer)đến cluster khởi đầu (starting cluster) chưa phần khởi đầu của file Mục nhậpFAT (FAT entry) của cluster khởi đầu chứa một pointer đến liên cung sau và nốitiếp cho đến vạch dấu cuối cùng của file

Khi xóa một tập tin hay thư mục nào đó trong hệ thống, thực chất lệnhnày chỉ đánh dấu "đã xóa" trong Directory Entry và những thông tin liên quantrong File Allocation Table - FAT (với phân vùng định dạng FAT/FAT32) hoặc

đánh dấu "xoá” trong Master File Table - MFT Entry (với phân vùng định dạngNTFS).

Ký tự đầu tiên của tên file được thay đổi thành ký tự đặc biệt và cáccluster chứa dữ liệu đó bị đánh dấu, nhưng dữ liệu vẫn còn Lúc này, các vùng(cluster) chứa dữ liệu của tập tin xem như trống và được tính là dung lượng chưadùng đến của đĩa cứng mặc dù dữ liệu vẫn tồn tại Khi dữ liệu mới được ghi vào,lúc này dữ liệu cũ mới thực sự bị xóa đi và ghi đè bằng dữ liệu mới Chúng ta(và cả hệ điều hành) đều không thể "nhìn" thấy được những dữ liệu bị đánh dấuxóa nhưng những phần mềm cứu dữ liệu vẫn nhìn thấy chúng khi quét qua bềmặt đĩa Vì vậy chúng ta mới cần đến phần mềm trong việc khôi phục dữ liệu

2. Cấu trúc dữ liệu trong ổ đĩa cứng

Trước tiên, chúng ta cùng tham khảo qua cách thức thông tin của một tậptin được lưu trữ trên đĩa cứng Với phân vùng FAT, dữ liệu được lưu trữ tại 3nơi trên đĩa cứng, bao gồm: Directory Entry chứa thông tin về tập tin gồm tên,dung lượng, thời gian tạo và số hiệu cluster đầu tiên chứa dữ liệu của tập tin;FAT chứa số hiệu các cluster được sử dụng cho tập tin và các cluster chứa dữliệu của tập tin (vùng Allocation) Với phân vùng NTFS, dữ liệu được lưu trữtrong MFT (Master File Table) Entry và vùng Allocation (hình minh họa)

Bất kỳ phần mềm cứu dữ liệu nào cũng cố gắng tìm lại những thông tin từ

3 nơi này để có thể khôi phục đầy đủ nội dung của một tập tin, nếu thiếu (hoặcmất) một trong những thông tin này, dữ liệu không toàn vẹn hoặc không thểkhôi phục (xem bảng)

Như vậy, xem xét các trường hợp trên thì khả năng khôi phục dữ liệuthường khá thấp Trường hợp các cluster của Allocation bị hỏng hoặc bị chép

đè, hầu như không thể khôi phục được vì dữ liệu đã bị xóa và chép đè bởi dữliệu mới

3. Cơ chế xóa dữ liệu trong hệ điều hành Windows

Để quản thông tin của các file và các thư mục đang được lưu trữ trên thưmục gốc của đĩa mềm hoặc đĩa logi trên đĩa cứng hệ điều hành DOS sử dụngbảng thư mục gốc(root directory)

Bảng thư mục gốc gồm nhiều phần tử (entry/mục vào), số lượng phần tửtrong bảng thư mục gốc được DOS quy định trước trong quá trình Format đĩa vàđược ghi tại word tại offset 11h trong boot sector, giá trị này không thể thay đổi

Do đó, tổng số file và thư mục con mà người sử dụng có thể chứa trên thư mụcgốc của đĩa là có giới hạn Đây là một hạn chế của DOS Trong hệ thống fileFAT32 và NTFS số phần tử trong bảng thư mục gốc không bị giới hạn, có thểthay đổi được và có thể được định vi tại một vị trí bất kỳ trên đĩa hoặc chứatrong một tập tin nào đó

Mỗi phần tử trong bảng thư mục gốc dùng để chứa thông tin về một filehay thư mục nào đó đang được lưu trên thư mục gốc của đĩa Khi có một filehoặc một thư mục nào đó được tạo ra trên thư mục gốc của đĩa thì hệ điều hànhdùng một phần tử trong bảng thư mục gốc để chứa các thông tin liên quan của

nó, khi một file hoặc thư mục bị xoá/ di chuyển khỏi thư mục gốc thì hệ điềuhành sẽ thu hồi lại phần tử này để chuẩn bị cấp cho các file thư mục khác saunày

Vậy khi xóa một file thì hệ điều hành không xóa nội dung file đó trên cáccluster trên vùng data, không xóa dãy các cluster chứ file trong bảng FAT… Mà

hệ điều hành chỉ thay đổi ký tự đầu của file trong bảng thư mục gốc bằng giá trịE5h.

Như vậy khi khôi phục một file do hệ điều hành xóa thì chỉ cần thay ký tựđầu tiên là E5h bằng một ký tự khác Và các trường hợp không thể khôi phụcđược là do hệ điều hành đã sữ dụng phần tử của thư mục gốc Khi duyệt bằngbảng thư mục gốc gặp các phần tử có byte đầu bằng E5h hệ điều hành biết làphần tử của một file đã bị xóa nên không cho hiện ra màn hình Và các điều này

là hoàn toàn đúng với các thư mục con trên đĩa

Đề giải thích E5h là gì thì ta có thể biết rằng các byte đầu tiền (offset 00)của một phần tử trong thư mục gốc còn được gọi là byte trạng thái, byte nàychứa một trong các giá trị đạc biệt sau:

 0: cho biết phần tử này chưa được sữ dụng

 E5h: cho biết phần tử này của một file đã được tạo nhưng đã bị xóa

 05h: cho biết ký tự đầu tiên của file này thực tế là E5h Nhưng nều ngưới sữdụng cố tình tạo file bắt đầu bằng ký tự có mà asscii là E5h thì hệ điều hành sẽchuyển đổi ký tự này bằng 05h, để phân biệt với file này với file đã bị xóa

 2Eh: ký tự dấu chấm(“.”) cho biết phần tử chứ thông tin một thư mục con, nếubyte thứ 2 có giá trị là 2Eh ký tự 2 dấu chấm liên tiếp (“ ”) thì trường hợp startcluster sẽ chứ số hiệu đầu tiên của thư mục cha, nếu như thư mục gốc là 0000h

Nếu bằng một cách nào đó người lập trình tạo ra một file có 1 giá trị byteđầu tiên không thược một trong các giá trị trên và không phải là dữ liệu filethông thường, vào đầu tiên của các file trong bảng thư mục gốc đang cấp phát ởfile nào đó, thì DOS và tiện ích trên DOS không thể nhận diện được file đó, vàkhông thể thực hiện các thao tác Dir và Del v.v trên nó

II. Nguyên nhân mất dữ liệu

Có nhiều nguyên nhân dẫn đến mất mát dữ liệu, nhìn chung có ba nguyênnhân chính sau đây :

1 Lỗi thiết bị phần cứng:

Đây là nguyên nhân hàng đầu dẫn đến mất dữ liệu, chiếm khoảng 44%.Lỗi phần cứng có thể xảy ra do có sự bất thường về dòng điện hoặc thiệt hại vềvật lý của thiết bị lưu trữ Nguyên nhân này thường xảy ra đối với những dữ

liệu lưu trữ trên đĩa mềm, bởi sự tác động của môi trường cũng như cách bảoquản đĩa của người dùng Thảm họa mất dữ liệu vẫn cứ xảy ra khi người tachuyển sang dùng các đĩa CD-ROM, ĐV vì chúng có thể bị trầy xước, ẩm mốc,biến dạng Các ổ đĩa di động kết nối cổng USB như flash disk, thẻ nhớ(memory card), mặc dù có độ tin cậy cao nhưng khả năng mất hoặc hư hỏng dữliệu vẫn có thể xảy ra khi mua phải các thiết bị kém chất lượng.Đối với thiết bịlưu trữ chính của máy tính là đĩa cứng, tần số hỏng hóc xả ra không cao, tuynhiên một khi có sự hỏng hóc xảy ra thì nguy cơ mất dữ liệu rất cao Hỏng hóc ởđĩa cứng có thể là: Hỏng phần cơ, hư board mạch dẫn đến không truy xuấtđược đĩa cứng, hoặc bị bad sector ở một vùng nào đó trên đĩa – do từ tính ởvùng này yếu làm dữ liệu lưu trữ trên vùng này không liên tục và bị lỗi khi đọc.Tất cả những dữ liệu bị mất do hỏng hóc thiết bị đều rất khó cứu lại được.

2 Lỗi phần mềm:

Chiếm khoảng 21%, nguyên nhân do Virus phá hoại, hệ điều hành hưhỏng Trong số này, nguy hiểm nhất là các chương trình virus phá hoại (xóa,format, phá master boot record) toàn bộ dữ liệu trên đĩa cứng Tiếp đến là sựnhầm lẫn, thao tác sai trên các phần mềm có liên quan đến đĩa cứng như:Format, Fdisk, Ghost, PQMagic Chẳng hạn: khi dùng lệnh format để định dạng

1 phân vùng trên đĩa cứng thì toàn bộ dữ liệu trên phân vùng này sẽ mất sạch;khi dùng lệnh Ghost để tạo file ảnh rồi đem phục hồi thì toạn bộ ổ đĩa đích, phânvùng đích sẽ bị mất sạch dữ liệu Tất cả dữ liệu mất trong những trường hợp nàycòn có thể khôi phục lại nhở các phần mềm chuyên dụng về khôi phục dữ liệunhư Fast Undelete (http://www.undelete.com.au/downloads.html), NortonUtilities (www.symantec.com), Lost & Found, Magic Recovery Professional(www.softwware-recovery.com) Tuy nhiên quá trình khôi phục dữ liệu cũngkhá gian nan Mức độ khôi phục còn tùy thuộc vào chương trình làm mất dữliệu, file dữ liệu cần khôi phục có dung lượng lớn hay nhỏ (những file có dunglượng nhỏ thì dễ dàng khôi phục hơn), cũng như vị trí lưu file cần khôi phục trênđĩa đã bị một file khác chiếm dụng hay chưa

3 Lỗi người sử dụng:

Chiếm khoảng 32%, nguyên nhân do người sử dụng thao tác không đúngcách như: xóa nhầm, format hay fdisk khi chưa sao lưu dữ liệu

III. Khả năng và nguyên tắc khi khôi phục dữ liệu.

1. Khả năng khôi phục dữ liệu

1.1 Tập tin bị xóa

Như đã đề cập ở trên, việc xóa tập tin sẽ đánh dấu xóa trong DirectorEntry và những thông tin liên quan trong bảng FAT hoặc MFT Entry Về lýthuyết, khả năng khôi phục đầy đủ tập tin này là cao.Tuy nhiên, kết quả thực tếđôi khi không được như mong đợi vì một số nguyên nhân:

• Sau khi xóa, người dùng cố gắng thực hiện một số thao tác nhằm lấy lại dữ liệu,HĐH ghi đè dữ liệu mới vào các cluster được đánh dấu xóa

• Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format): Hầu hết dữ liệuđều có thể khôi phục được trong trường hợp này vì FAT và MFT không bị ảnhhưởng khi người dùng xóa và tạo mới phân vùng

1.2 Phân vùng bị fomat

• Với phân vùng FAT, việc định dạng sẽ xóa bảng FAT, Boot Record và thư mụcgốc (Root Directory) nhưng Partition Table và dữ liệu trong Allocation vẫn còn.Những tập tin có dung lượng nhỏ hơn kích thước một cluster (32KB, mặc địnhcủa FAT32 hoặc theo tùy chọn của bạn khi định dạng), tập tin được khôi phụchoàn toàn vì chúng không cần đến thông tin trong bảng FAT

Với những tập tin có dung lượng lớn, nhiều cluster liên tiếp nhau, chúng

sẽ bị phân mảnh khi có sự thay đổi nội dung theo thời gian Việc tìm và ráp cáccluster có liên quan với nhau là công việc khó khăn, nhất là với những tập tin códung lượng lớn và hay thay đổi

• Một số phần mềm cứu dữ liệu có khả năng khôi phục mà không cần thông tin từbảng FAT Tuy nhiên, nội dung những tập tin sau khi tìm lại sẽ không đầy đủhoặc không thể đọc được Vì vậy, bạn sẽ cần đến một phần mềm có khả năngtrích xuất những nội dung còn đọc được từ những tập tin này.Với phân vùngNTFS, việc định dạng sẽ tạo MFT mới, tuy nhiên kết quả khôi phục sẽ tốt hơnphân vùng FAT vì NTFS không sử dụng bảng FAT để xác định các cluster chứa

dữ liệu của cùng tập tin

1.3 Phân vùng bị xóa (hoặc tạo lại) nhưng chưa định dạng (format):

Hầu hết dữ liệu đều có thể khôi phục được trong trường hợp này vì FAT

và MFT không bị ảnh hưởng khi người dùng xóa và tạo mới phân vùng

1.4 Phân vùng bị format và cài đè HĐH mới hoặc sử dụng Ghost:

Trường hợp này thực sự là khó khăn vì Directory Entry (FAT), MFT(NTFS) đã bị xóa Giả sử bạn có 10GB dữ liệu lưu trữ trên phân vùng 20GB,phân vùng này bị format và chép đè 5GB dữ liệu mới

1.5 Ngoài ra, khả năng khôi phục phụ thuộc vào loại dữ liệu:

Nếu những tập tin hình, bạn có thể lấy lại được 9 trên 10 hình Tuy nhiên,nếu là cơ sở dữ liệu (database), phép tính bảng, email… dù lấy lại được 90%nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệu thường có sự liên kết,phụ thuộc lẫn nhau

2. Nguyên tắc khi khôi phục dữ liệu

2.1 Một số nguyên tắc trước khi dùng công cụ khôi phục

• Không copy hay cài thêm phần mêm đè lên các phân vùng cần khôi phục

• Không fomat thêm

• Không chia lại ổ cứng

• Nắm rõ thông tin ổ cứng kiểu fomat partition, kích thước

• Nắm rõ các loại file cần cứu

• Sau đó mới dùng tới các công cụ khôi phục

2.2 Khi khôi phục dữ liệu

• Nên dùng và sử dụng ngay thiết bị lưu trữ đang bị mất dữ liệu, không nên tiếnhành cài đặt hay ghi/xóa, việc này có thể làm mất hẳn dữ liệu, không thê khôiphục được

• Nên sử dụng thêm một HDD khác dùng để lưu các dữ liệu tìm thấy, HDD nàyđược gọi là Destination Tránh lưu dữ liệu được tìm thấy lên HDD bị mất dữliệu

• Các file dữ liệu sau khi được khôi phục có thề bị đổi tên không như trước, cấutrúc thư mục thay đổi hoàn toàn

• Các file hình ảnh hoặc Exel tìm được có thể chi có tên nhưng không có nội dunghoặc hư hỏng hoàn toàn không sử dụng được

2.3 Các trường hợp dùng phần mềm khôi phục

Có rất nhiều phần mềm chuyên dụng dùng khôi phục dữ liệu, tất cả cácphần mềm này chỉ có khả năng khôi phục dữ liệu trong các trường hợp không bịthiệt hại nặng về vật lý, cụ thể các trường hơp sau cóthể dùng phần mềm khôiphục dữ liệu:

• Dữ liệu bị mất do người sử dụng vô ý xóa nhầm hay fdisk format nhầm.

• Lỗi trong bảng định dạng file FAT, FAT 32, NTFS và không cho phép try cậpđến partition hoặc sector của HDD

• Lỗi hư hỏng ngẫu nhiên của file dữ liệu

• Hư hỏng do Virus

2.4 Các trường hợp không dùng phần mềm khôi phục

• Hư hỏng, cháy nổ mạch điện của thiết bị lưu trữ

• Không nhận dạng được thiết bị lưu trữ

• Thiệt hại nặng về vật lý như: hư hỏng, biến dạng đầu từ ghi/đọc của HDD, bềmặt từ tính của đĩa từ trầy xước, bong tróc

• Đã format cấp thấp hoàn toàn

3. Một số lưu ý

- Một số phần mềm cho dùng thử và chỉ yêu cầu người dùng nhập số đăng ký(license key) khi sao lưu những dữ liệu cần khôi phục Vì vậy, hãy tận dụng điềunày thử qua một vài phần mềm để tìm ra phần mềm thích hợp nhất với loại dữliệu của mình cần khôi phục

- Một số phần mềm cho phép tạo đĩa khởi động và làm việc trong chế độ DOS Tuy nhiên, sẽ khó khăn hơn trong việc chọn lựa những dữ liệu cần khôiphục Nếu có thể, hãy cài đặt phần mềm cứu dữ liệu trên một hệ thống khác vàgắn ổ đĩa cần khôi phục vào khi đã sẵn sàng Sẽ dễ dàng làm việc hơn với nhữngtập tin theo cấu trúc cây thư mục, xem qua nội dung những tập tin có thể khôiphục trước khi mua license key Lưu ý: đừng lo lắng khi HĐH không nhận rađĩa cứng cần khôi phục, phần mềm khôi phục sẽ làm việc này tốt hơn nếu trongBIOS Setup vẫn nhận dạng được ổ cứng này

MS Tránh những thao tác ghi dữ liệu lên đĩa cứng cần khôi phục Sau khi xóa, vị trínhững cluster của tập tin không được bảo vệ, sẵn sàng cho việc ghi đè dữ liệumới Cả khi người dùng không tạo ra những tập tin mới, hoạt động của HĐHcũng ảnh hưởng đến dữ liệu đã xóa khi tạo ra những tập tin nhật ký (log) ghi lạihoạt động của hệ thống, ngoài ra, việc truy cập Internet sẽ tải về khá nhiều tậptin tạm cũng được ghi trên đĩa cứng Tốt nhất nên ngừng ngay việc sử dụng ổ

cứng này, chỉ gắn nó vào một hệ thống khác sau khi đã chuẩn bị sẵn sàng choviệc cứu dữ liệu.

- Đừng chậm trễ khi cứu dữ liệu Hãy hành động thật nhanh khi nhận thấy sai lầmcủa mình, sẽ có nhiều cơ hội lấy lại được dữ liệu đã xoá mất Ngoài ra, khả năngkhôi phục phụ thuộc vào loại dữ liệu Nếu là những tập tin hình, bạn có thể lấylại được 9 trên 10 hình Tuy nhiên, nếu là cơ sở dữ liệu (database), bảng biểu

dù lấy lại được 90% nhưng có thể chúng vẫn vô dụng vì cấu trúc cơ sở dữ liệuthường có sự liên kết, phụ thuộc lẫn nhau

- Một đĩa cứng "chết" nếu BIOS hay tiện ích quản lý đĩa cứng không thể nhậndạng được Ổ cứng chết thường có những hiện tượng lạ như không nghe tiếngmôtơ quay, phát ra những tiếng động lách cách khi hoạt động Đây là nhữnghỏng hóc vật lý của bo mạch điều khiển, đầu đọc, môtơ, đĩa từ Hãy cố gắngtạo bản sao ảnh của đĩa cứng với Norton Ghost, Drive Image hoặc tính năngtương tự của một số phần mềm cứu dữ liệu Khi đĩa cứng gặp sự cố, có thể lấylại dữ liệu từ bản sao ảnh của đĩa cứng

- Nếu dữ liệu thực sự rất quan trọng, nên đem ổ cứng đến những dịch vụ cứu dữliệu có uy tín để kiểm tra, đừng thao tác trên đĩa cứng vì sẽ ảnh hưởng đến khảnăng khôi phục dữ liệu hoặc làm tình hình thêm nghiêm trọng Tuy nhiên, đừngtrông chờ nhiều vào việc cứu dữ liệu khi ổ cứng chết vì việc này ít khi thànhcông

IV. Các phương pháp khôi phục

1. Khôi phục bằng thủ công

1.1 Khôi phục bằng công cụ có sẵn trong Win7

Previous Versions là 1 phần của chức năng khôi phục hệ thống (SystemRestore) Bất cứ khi nào 1 điểm phục hồi được tạo ra (Restore Point) thì các filekhi đó sẽ được lưu lại dưới dạng 1 version Tuy nhiên máy tính có thể tự nhậnbiết được các file có sự thay đổi hay không để tiến hành lưu, còn các file kháckhông có sự thay đổi sẽ không bị ảnh hưởng

Để bật chức năng Previous Versions bạn vào Start -> Control Panel ->System Protection:

Trong mục System protection bạn chọn ổ đĩa muốn thiết lập PreviousVersions.

Rồi nhấn Configure, 1 bảng chứa các tùy chọn sẽ xuất hiện

Nếu muốn phục hồi cả các setting của hệ thống thì chọn như hình trên,nếu chỉ muốn lưu trữ các version của file không thôi thì chọn ở dưới Lựa chọnthứ 3 là tắt tính năng System Protection.

Phía dưới là 1 thanh trượt để chỉnh mức dung lượng tối đa của ổ cứngdành ra cho việc lưu trữ các Previous Versions Mức này càng nhiều thì có thểlưu nhiều version của file hơn đồng nghĩa với việc lấy lại được các file càng cũhơn Tuy nhiên nếu để quá nhiều thì khả năng lưu trữ các file mới cũng giảmnên cần cân nhắc về dung lượng này sao cho hợp lý

Để khôi phục dữ liệu ta làm như sau:

Click chuột phải lên vùng có file bị xóa và đã được thiết lập tiện íchPrevious Versions

Sau đó chọn Properties -> Previous Versions Ta có thể thấy 1 life đã bịxóa Việc cuối cùng chỉ việc copy và Paste file bạn muốn khôi phục hoặc Restoretoàn bộ những file bạn đã xóa

1.2 Khôi phục bằng câu lệnh Command

- Vào Start -> Run -> gõ cmd -> Enter

- Tiếp theo di chuyển thư mục hiện hành tới ổ đĩa (hay thư mục của bạn bị

ẩn file) bằng cách gõ lệnh:

X:[\path]

- Ở đây X: là tên ổ đĩa, "[\path]" - đường dẫn có thể không có (thường dovirus làm ẩn tất cả các dữ liệu trên ổ đĩa nên ta có thể không cần quan tâm đếnđối số này)

> VD: Ở đây cần di chuyển tới ổ G, gõ "G:" (G ở đây là ổ đĩa USB)

- Khi đang đứng ở thư mục gốc của ổ đĩa bị nhiễm Virus (đã diệt xongrồi) ta bắt đầu dùng lệnh để thay đổi thuộc tính với tất cả các file và thư mục:

"attrib -s -h -a * /s /d”

- Sau khi gõ lệnh trên, mở lại ổ đĩa/thư mục sẽ thấy toàn bộ file và thưmục của bạn hiện lại.

2. Khôi phục bằng phần mềm

2.1 Sử dụng phần mềm File Recovery

Hướng dẫn cách sử dụng

Để có thể thực hiện chương trình bạn tiến hành các bước như sau:

Bước 1: Click double vào biểu tượng”Files Recovery”:

hoặc có thể nhấp chuột phải vào biểu tượng và chọn open

Bước 2: Ta sẽ thấy được giao diện của “Files Recovery” như sau:

Bước 3: Khi nhấp chuột vào menu File sẽ xuất hiện các menu con:

Open Image: Để mở ra file ảnh

Clear Log: Để làm sạch log

Save Log: Để lưu đường dẫn của log

Exit: Để thoát khỏi chương trình

Bước 4 :Khi bạn click chuột vào

menu View sẽ xuất hiện các menu con:

Scan: Quét

Stop:Dừng lại

Bước 5: Khi bạn click chuột vào menu Help sẽ xuất hiện các menu con:Contents: Nội dung

Recovery Service on the Web: Dịch vụ khôi phục trên mạng

File Recovery Online: Khôi phục trực tuyến

Frequently Asked Questions: Thường xuyên hỏi những câu hỏi

Help:Trợ giúp