我删除了笔记本电脑上的许多文件和文件夹,然后又在相同的文件夹中放了新文件。我需要恢复已删除的文件。我尝试了很多恢复软件,但都无法恢复旧文件。
我读到过,如果删除旧文件后用新文件重新填充文件夹,那么我就无法再恢复它们。这是真的吗?
我应该怎么办?
答案1
如果数据实际上已被覆盖,则无法恢复。
以下是 1996 年发表的一篇论文,该论文首次提出了这种可能性:彼得·古特曼 (Peter Gutmann) 说道:“安全删除磁性和固态存储器中的数据“(也在这里)。
公平地说,古特曼博士在论文的第一篇结语中指出:
很多读者似乎忽略的另一点是,本文没有提出数据恢复解决方案,而是提出了数据删除解决方案。换句话说,它在问题陈述中指出存在潜在风险,然后本文的主体部分探讨了减轻该风险的方法。
换句话说,这篇论文并没有声称要证明可以恢复被覆盖的数据。他只是给出了理由,让人们相信这是可能的。合理, 并提出了足以阻止此类恢复的覆盖模式。(尽管他似乎从未实际演示过任何覆盖数据的恢复,他无法测试这些模式,因此它们的有效性和必要性都尚未得到证实。)
然而,下面链接的论文表明,风险比声称的要小得多。
(我不得不提一下,Gutmann 博士也因声称 Windows Vista 的反盗版、DRM 强制功能会消耗大量能源,从而显著加剧全球变暖而闻名。George Ou:“关于 Vista DRM 导致 CPU 满负荷和全球变暖的说法已被揭穿!“(2007)
在以下章节中,我将引用几篇与葛特曼博士关于可能性恢复被覆盖的数据。
美国国家经济研究局的丹尼尔·芬伯格表示:“情报机构可以读取被覆盖的数据吗?“(2003 年,修订版 2013 年)彻底分析了 Gutmann 的说法,发现它们“过于夸张”。该陈述相当非技术性,为后续论文提供了一个很好的“起点”。(请注意,此链接之前由 Moab 发布在问题评论中。另请注意:在下面的引文中以及本答案的其余部分中,“MFM”指的是“磁力显微镜”,这是一种以非常高的分辨率显示磁化模式的显微镜,而不是“改进的频率调制”,这是一种现已过时的硬盘数据记录技术。“MFM”是还在 Gutmann 的论文和下面链接的一些论文中后一种情况下使用。
Gutmann 提到,在对 MFM 设备进行简单设置后,数据位会在几分钟内开始流动。这可能是真的,但他提到的数据位不是来自磁盘文件,而是磁盘表面图片中的像素。Charles Sobey [...] 表示,使用最新的 MFM 技术扫描单个盘片需要一年多的时间,并且必须处理数十 TB 的图像数据。
和:
如果覆盖是真正随机的,那么一次写入就足够了,即使使用比参考文献中功率大得多的 STM 显微镜。事实上,在要恢复的数据之前写入磁盘的数据会干扰恢复,就像在要恢复的数据之后写入的数据一样——STM 显微镜无法分辨磁矩产生的顺序。它不像墨水,后面的应用在物理上位于较早的标记之上。
和:
最近,我收到了 Wright、Kleiman 和 Sundhar (2008) 的一篇精彩文章,他们展示了恢复图像数据准确性的实际数据。虽然图像中包含了一些有关底层比特的信息,但错误率太高,很难想象结果有什么用处。虽然偶尔可能会从数千个单词中恢复出一个单词,但绝大多数看似恢复的单词都是虚假的。
(Wright 的论文等人是我在下一节中介绍的论文。
另一个值得深思的事实是,没有人读懂罗斯玛丽·伍兹在尼克松讨论水门事件的录音带上留下的“18 分钟空白”。尽管 20 世纪 60 年代模拟录音机上的数据密度比当前的驱动技术低大约一百万倍,而且音频恢复不需要很高的准确度,但一个音素也没有被恢复。
Feenberg 链接到 Charles Sobey 的一篇论文:“恢复无法恢复的数据“。(他使用的链接已经过时了;这个现在是有效的。)然而,Sobey 的论文是关于从故障驱动器中恢复数据的,而不是从被覆盖的驱动器中恢复数据的:
如果磁盘没有物理损坏,用户的数据仍然存在, 除非它已被覆盖。(强调添加 - jeh)
Craig Wright、Dave Kleiman 和 Shyaam Sundhar RS:“覆盖硬盘数据:大擦除争议“(2008)是一篇更具技术性的论文。作者已测试古特曼 (Gutmann) 使用磁力显微镜的理论(古特曼显然从未用过,也从未声称拥有过)并发现它不起作用。
他们论点的要点是:旧数据确实会对新数据覆盖旧数据时产生的磁场产生影响;但是,他们(通过实际数据)表明,这种影响非常微弱。它与读取以前完好的驱动器时“自然”遇到的信号变化(噪声)处于同一数量级,并且两者无法可靠地分开.也就是说,由于硬盘运行过程中的正常噪声而导致的磁场强度变化和由于旧数据而导致的磁场强度变化无法相互区分。
事实是,对于现代驱动器(甚至可以追溯到 1990 年),整个过程基本上是一个猜谜游戏,在测试时会失败。
此外,他们还表示,恢复覆盖数据背后的基本理论是站不住脚的:
这个论点源于这样的陈述:“每条轨道都包含了曾经写入其中的所有内容的图像,但是每个“层”的贡献随着其形成时间的推移而逐渐变小”。这是一个误解驱动函数和磁共振的物理学。实际上没有时间成分,图像也不是分层的。它更像是密度图。[强调添加 - jeh]
和
当呈现完美图像时,恢复水平太低,即使在低密度原始驱动器(在任何实际环境中都不存在)上也无法使用。
和
因此,我们可以明确地说,在新的、未使用的驱动器上恢复任何数据的可能性很小(不到 0.01%),该驱动器只经过一次原始擦除(甚至没有经过低级格式化)。在驱动器被使用过(甚至被格式化以供使用)的情况下,不可能恢复信息——恢复位的可能性很小,但获得整个字的可能性很小。
戈登·休斯和汤姆·考夫林:“安全擦除磁盘驱动器数据“(2004)对从头部恢复的信号进行“奇异的”模拟分析得出了类似的结论。
它们表明,恢复的信号和旧数据之间可能存在弱相关性,但仅当您已经知道旧数据是什么时。这显然在法医上毫无用处。如果你没有任何东西可以尝试关联,那么旧数据对信号的残留影响与噪声是无法区分的。这与之前 Wright、Kleiman 和 Sundhar 引用的论文中得出的结论相同,但是是通过分析电信号而不是 MFM 图像得出的。
他们得出的结论是:
一次擦除似乎足以使旧数据无法恢复。
此外,关于磁畴的 MFM“图像”:
很容易获得显示未擦除轨道边缘数据的图片。但没有人展示过数据扇区的完整恢复,包括数据同步前导码、位去随机化器、部分响应和调制代码以及纠错码。
最后我想补充一点自己的想法:如果可以将两组不同的数据写入驱动器的同一物理区域并可靠地恢复它们,那么硬盘制造商几年前就应该开始研究这个问题了。他们本可以利用驱动器在同一位置存储两组不同数据的能力来增加驱动器的可用容量。但这显然没有发生。
答案2
它们被扔进垃圾箱了吗?现代操作系统使用垃圾箱模式。文件不会当场被删除,而只是已移动到一个特殊的存储库。
如果文件占用的空间已被释放,则操作系统可能第一次使用时就重复使用该空间。这意味着无法回收该空间来重建已删除的文件。
就像教室里的黑板一样。如果内容被抹掉了,只要仔细观察黑板,你就可以重建内容。如果内容被抹掉了,或者被覆盖了,以前的数据就会丢失。如果内容被部分覆盖,你可能可以部分重建丢失的数据。
答案3
我不知道您提到的是哪种操作系统,但是,是的,如果文件位于 HDD 中,您可以恢复它们。
由于磁性,磁盘可以将信息从其表面(磁盘的最顶层)传播到更深的层。一个好的程序可以读取所有这些层中的信息(每个扇区数百甚至数千次),比较所有这些扇区的读数并尝试恢复原始信息,这些信息在统计上将是每个扇区最常见的信息。
如果文件被正常删除(不是 DoD 5220-22M 方法),您可以尝试使用 SpinRite 来恢复它们。
但由于其特性,它的运行速度非常慢,并且可能会消耗大量时间,具体取决于硬盘速度(磁盘和控制器)。