استعادة البيانات (Data recovery) هي عملية لإنقاذ البيانات التي لا يمكن الوصول إليها من مخزن البيانات الثانوي التالف أو من الوسائط المتعددة القابلة للإزالة أو من الملفات عندما تكون البيانات عليها لا يمكن الوصول إليها بالطريقة الطبيعية، الإنقاذ للبيانات من الوسائط التخزينية مثل الأقراص الصلبة الداخلية والخارجية ومحرك الأقراص ذو الحالة الصلبة ووحدة الذاكرة الفلاشية والأقراص المضغوطة ودي في دي ونظم ريد RAID ومشتقاته والأجهزة الإلكترونية الأخرى، تتطلب عملية استعادة البيانات بسبب حدوث تلف مادي لوسائط التخزين أو تلف غير مادي لنظام الملفات يمنع نظام التشغيل من التعامل معه (أو ارتباطه بنظام التشغيل).
الأنماط والأساليب
أشهر السيناريوهات لإستعادة البيانات مثل سقوط نظم التشغيل وأعطال وسائط التخزين والتلف والمسح المفاجئ أو غير المقصود إلخ، في هذه الحالة يتم عمل نسخة من كل الملفات المطلوبة إلى وسائط تخزينية أخرى جيدة، يتم عمل النسخ عن طريق استخدام إسطوانة مدمجة تلقائية الإقلاع أو ذاكرة متنقلة تلقائية الإقلاع، وتتم عملية الاستعادة للملفات من خلال عمل نقطة إرتباط لكل من النظام المطلوب النقل منه system drive والمطلوب النقل إليه backup drives (كالوسائط القابلة للإزالة) ويستخدم للنقل مدير الملفات أو النسخ الضوئي باستخدام محرك الأقراص الضوئية أو قرص بلو راي.
سيناريو آخر ينطوي على فشل على مستوى القرص، مثل نظام الملفات أو تقسيم القرص، أو فشل القرص الصلب. في أي من هذه الحالات، فإن البيانات لا يمكن قراءتها بسهولة. وبناء على الحالة، تشمل الحلول إصلاح نظام الملفات، تقسيم الجدول أو سجل الإقلاع الرئيسي MBR و جدول الأقسام، أو أي من تقنيات الإسترداد لبيانات القرص الصلب تتراوح بين استعادة البيانات المخربة أو المفقودة بإستخدام البرمجيات، أو استعادة البيانات عن طريق الفيرموير (الفيرموير هي برامج تربط ما بين العتاد وبرامج نظام التشغيل وهي برامج ثابتة لا يمكن مسحها أو تغيرها أو تحديثها بالطرق العادية)، أو المفقودة بسبب عطب في أجزاء مادية من العتاد نفسه (مثل عطب الأقراص أو الرأس المغناطيسي أو في مكون من المكونات الإلكترونية).
السيناريو الثالث في حالة مسح ملفات وسائط التخزين. في الواقع لا يتم مسح هذه الملفات ولكن يمسح المشير لها فقط من جدول البيانات (بنية أو معمارية الدليل) الموجود في نظام الملفات للمستخدم، وتكون المساحة التي تشغلها البيانات الممسوحة متاحة للكتابة فوقها في وقت لاحق (بمعنى أنها غير محمية)، بالنسبة للمستخدم العادي فإنها لا تظهر أي من هذه الملفات أو البيانات في مدير الملفات ولكنها تقنيًا ما زالت موجودة، وتظل محتويات الملف موجودة لبرهة من الوقت وفي حالة توقف عملية التجزئة وإلغاء التجزئة وهي عملية لتنظيم القطاعات على الأقسام لتكون قريبة ومتتالية لتسهيل الوصول للبيانات والمحافظة على القرص الصلب، وبالتالي يمكن إسترداد الملفات مرة أخرى.
ويستخدم مصطلح "استعادة البيانات" أيضًا في تطبيقات العلوم الجنائيه المتعلقة بالحاسب الالي أو التجسس حيث تكون البيانات مشفرة أو مخفية، ليتم إستردادها.
الأضرار المادية (المادة المكونة لوسائط التخزين)
الأضرار المادية (Physical damage) هناك تشكيلة واسعة من الأسباب للتلف المادي لوسائط التخزين، ومعظمها ناتج من الأخطاء البشرية والمشاكل الطبيعية (مثل ارتفاع الحرارة)، القرص المدمج يمكن أن يصاب سطحه المعدني (طبقة الومنيوم رقيقة) ببعض الخدوش. القرص الصلب يمكن أن يعاني من العديد من الأعطال الميكانيكية مثل تحطم الرأس المغناطيسي وتعطل المحرك أو إنكسار الشريط، ويتسبب ذلك على الأقل في فقد بعض البيانات، في العديد من الحالات يتلف أيضًا البناء غير المادي لنظام الملفات، ولإنقاذ المحتويات (البيانات والملفات والمجلدات) يجب علاج هذا التلف أولًا.
معظم الأضرار المادية لا يمكن إصلاحها بواسطة المستخدمين العاديين فعلا سبيل المثال فان فتح قرص صلب في البيئة العادية سيؤدي للسماح للغبار المتطاير بالتساقط على سطح الأسطوانة العلوي وستفصل هذه الطبقة ما بين رأس الكتابة والقراءة head وسطح الإسطوانة، وسيتسبب ذلك في تحطم رأسه ويؤدي ذلك إلى خدوش في طبقة الإسطوانة وسيصعب ذلك من عملية استعادة البيانات، المستخدم العادي بشكل عام ليس لديه أجهزة أو خبرة تقنية لإصلاح تلك المشاكل، ولهذا فإنه يتم الاستعانة بالشركات المشهورة بإستعادة البيانات ماديًا لإنقاذ البيانات المهمة، تستخدم هذه الشركات غرفة نظيفة لإتمام الإنقاذ.[1]
تقنيات الإسترداد
استعادة البيانات من الأجهزة التي تضررت ماديًا يمكن أن تتم بتقنيات متعددة، بعض الضرر يمكن إصلاحه عن طريق استبدال أجزاء من مكونات جهاز القرص الصلب وهذا وحده قد يجعل القرص يعمل ويصبح صالح للإستعمال، ولكن قد يكون هناك تلف غير مادي باقي، ولهذا يمكن استخدم بعض الإجراءات المتخصصة لعمل نسخ مطابقة لكل بت مقروء من على سطح القرص، وما أن يتم الحصول على هذه النسخة المطابقة وحفظها على وسائط أخرى صالحة فيمكن بعد ذلك تحليلها وإعادة بناء نظام الملفات الأصلي مرة أخرى.
إصلاح العتاد
(Fix Hardware)
يوجد مفهوم خاطئ عام وهو أن الدائرة الإلكترونية أو اللوحة المطبوعة PCB التالفة يمكن إستبدالها ببساطة بلوحة مطابقة لها من قرص صلب آخر صالح، وكان هذا ممكنًا للوحات المصنعة قبل سنة 2003، ولكن في اللوحات الحديثة أصبح صعب لوجود بعض البيانات المضافة المطلوبة للوصول لمناطق نظامها لهذا فإن المكون الإلكتروني المرتبط بذلك يحتاج لإعادة برمجة (إن أمكن) أو فك لحامه ونقله إلى الدائرة الجديدة.[2][3]
كل جهاز قرص صلب به منطقة نظام أو منطقة الخدمة، هذه المنطقة لا يمكن الوصول لها بواسطة المستخدم العادي، غالبًا تحتوي على برنامج ثابت يسمى فيرموير، وبعض البيانات الأخرى المهمة والمهيأة التي تساعد على عمل القرص الصلب وبقائه صالحًا لأطول مدة [4]، أحد أهم وظائف منطقة النظام أن تسجل بعض البيانات عن القطاعات التالفة على القرص لإخبار نظام التشغيل عن عدم إمكانية الكتابة عليها وأنه تم نقل القطاع لمكان آخر.
توجد قائمة بالقطاعات مخزنة على العديد من الرقائق الإلكترونية الموجودة على اللوحة الإلكترونية وهي فريدة على كل جهاز قرص صلب، فإن كانت البيانات على اللوحة غير مطابقة لما هو مُخزَّن على طبقة القرص الصلب فلن يعمل بطريقة صحيحة.[5]، في معظم هذه الحالات سيتم سماع قرقعة أو طقطقة بواسطة الرأس المغناطيسية بسبب عدم القدرة على إيجاد البيانات المطابقة لما هو على اللوحة الإلكترونية.
الأضرار الغير مادية
- طالع أيضًا: قائمة برمجيات استعادة البيانات
الأضرار الغير مادية (Logical damage) مرجعية هذا المصطلح تعود إلى الحالات التي يكون فيها الخطأ أو التلف ليس مشكلة من العتاد ولإصلاحها يتطلب حلول بواسطة برمجيات الإصلاح المشهورة.
أنظمة الملفات والأقسام التالفة وأخطاء الوسائط
في بعض الحالات تكون البيانات على القرص الصلب صعبة أو مستحيلة القراءة بسبب تلف ناتج عن نظام الملفات أو جدول التقسيم أو أخطاء التوقف اللحظي (المتقطع) للقرص، في غالبية هذه الحالات يتم على الأقل استرجاع بعض البيانات الأصلية عن طريق إصلاح جدول التقسيم ونظام الملفات بواسطة برمجيات متخصصة مثل تست ديسك أو أم 3 لإسترجاع البيانات الأولية (M3 RAW Drive Recovery)، [6] أو بإستخدام أوامر الإنقاذ مثل الأمر dd أو الأمر dd rescue (يستخدمان مع نظام التشغيل لينكس) ويمكن لهما أن يستعيدا البيانات على الرغم من وجود أخطاء التوقف اللحظي (المتقطع) وتقوم بعمل نسخة مطابقة أو نسخ مطابقة خامة في حالة سقوط نظام الملفات وجدول التجزئة (التقسيم)، هذا النوع من طرق استعادة البيانات يمكن أن يتم بدون خبرة بالعتاد حيث أنها لا تحتاج لمعدات خاصة للوصول إلى الأقراص.
في بعض الأحيان يمكن إسترداد البيانات بإستخدام أساليب وأدوات بسيطة نسبيًا، يمكن في الحالات الأكثر خطورة تدخل الخبراء لا سيما إذا كانت أجزاء من الملفات غير قابلة للإسترداد أو يتعذر إصلاحها، عملية استعادة ملف من نظام ملفات بدون بيانات وصفية لإعادة بناء ملف (File carving).
البيانات المعاد الكتابة فوقها
- طالع أيضًا: محو البيانات
البيانات المعاد الكتابة فوقها (Overwritten data)، بعد أن يتم الكتابة فوق البيانات القديمة، يُعتقد بأنه لا يمكن إسترجاع المعلومات القديمة، ولكن سنة 1996 قام عالم الكمبيوتر بيتر غوتمان بتقديم بحث علمي يقترح فيه أنه يمكن استعادة بعض البيانات باستخدام مجهر ميكروسكوب ذو القوة المغناطيسية، Magnetic force microscope، [7] وفي سنة 2001 قام بتقديم أوراق بحثية أخرى لنفس الموضوع،[8] وللحماية من هذا النوع من استعادة البيانات (لخطورته في بعض الأحيان) قام كل من بيتر غوتمان وكولن راسيا بعمل تصميم طريقة لا رجعة فيها لمحو البيانات تسمى طريقة غوتمان طريقة غوتمان وتستخدم في العديد من البرامج للمحو الكامل للقرص.
وقد لقت تلك النظرية إنتقادات كبيرة بسبب عدم وجود أدلة وافتقاد أي أمثلة ملموسة قوية عن إمكانية إسترداد البيانات المعاد الكتابة عليها أو فوقها،[9]، وعلى الرغم من إمكانية أن تكون نظرية غوتمان صحيحة فلا يوجد دليل فعلي عن إمكانية استعادة البيانات المكتوب عليها، والأبحاث التي ظهرة دعمت عدم إمكانية حدوث ذلك..[10][11][12]
تختلف طرق استعادة البيانات من وسائط التخزين ذات الحالة الثابتة عن الأقراص الصلبة، وتختلف إعادة الكتابة وتكون طريقة الإسترداد لبعض البيانات أسهل، تتكون وسائط التخزين ذات الحالة الثابتة من ذاكرة فلاشية لتخزين البيانات في ما يسمى بصفحات وبلوكات ويتم الإشارة لها باستخدام مخطط يسمى العنونة بالبلوكات LBA Logical Block Addressing والذي يتم إدارته بواسطة مترجم يسمى flash translation layer (FTL) فعندما يقوم هذا المترجم بالتعديل على القطاع فإنه يقوم بكتابة البيانات الجديدة في مكان آخر ثم يقوم بتحديث الخريطة بحيث تظهر هذه البيانات الجديدة في المكان الهدف (البلوك)، هذا يترك البيانات السابقة في مكانها فتزداد إمكانية استعادة البيانات بواسطة برمجيات إسترجاع البيانات.
استعادة البيانات عن بعد
(Remote data recovery) خبراء استعادة البيانات لا يحتاجون دائمًا إلى الوصول المادي للعتاد التالف ولكن يمكنهم الوصول حتى من الإنترنت، لوجود حالات استعادة للبيانات بأساليب تقنية وبرامج، كما يمكن الوصول أيضًا من خلال أي شبكة محلية أو أي طريقة للإتصال بالوسائط التالفة ماديًا. العملية لا تختلف عما يستطيع المستخدم العادي إنجازه بنفسه.[13]
لكي تتم عملية استعادة البيانات عن بعد يجب توفر إتصال ثابت مستقر بسرعة كافية وهذه الطريقة غير قابل للتطبيق في حالة تطلب الوصول للعتاد في حالة التلف المادي.
أربع طرق لإستعادة البيانات
غالبًا هناك أربعة طرق ناجحة لإسترجاع واستعادة البيانات وتختلف بناءًا على نوع التلف والاستعادة المطلوبة.[14]
- الطريقة الاولى
إصلاح محرك الأقراص ليتمكن من قراءة البيانات، على سبيل المثال إن كان الرأس المغناطيسي تالف فيجب تغييره، وإن كانت اللوحة الالكترونية سيئة أو بها تلف فيجب إستبدالها أو إصلاح العطب.
- الطريقة الثانية
عمل نسخة مطابقة من محرك القرص إلى محرك القرص الجديد أو ملف (مثل ملف .iso أو .img)
- الطريقة الثالثة
الاستعادة الغير مادية للملفات والأقسام وسجل الإقلاع الرئيسي والجدول الرئيسي للملفات master file table MFT
- الطريقة الرابعة
إصلاح الملفات التالفة التي تم إستردادها.
انظر أيضاً
- نسخ احتياطي
- غرفة نظيفة
- مقارنة بين نظم الملفات
- العلوم الجنائيه المتعلقة بالحاسب الالي
- علم البيانات المشفرة
- كشف الأخطاء وتصحيحها
- File carving
- ملف مخفي ومجلد مخفي
- استخلاص المعلومات
- قائمة برمجيات استعادة البيانات
- ويندوز تو جو
- نسخ احتياطي
- غرفة نظيفة
- مقارنة بين نظم الملفات
- تحاليل جنائية حاسوبية
- Continuous data protection
- Crypto-shredding
- علم آثار البيانات
- Data curation
- Data preservation
- Data loss
- كشف وتصحيح أخطاء
- File carving
- ملف مخفي ومجلد مخفي
- Undeletion
- استعادة الملفات المحذوفة
- List of data-erasing software
المراجع
- فاسكونسيلوس، بيدرو. "أستعادة البيانات بنفسك ربما تعني وداعا للبيانات". Kroll Ontrack UK. مؤرشف من الأصل في 19 ديسمبر 201323 مايو 2013.
- "دليلك لإستبدال لوحات الدارات الكهربائية (PCB) للقرص الصلب أو كيفية تبديل (PCB)". donordrives.com. مؤرشف من الأصل في 29 سبتمبر 201827 مايو، 2015.
- "Firmware Adaptation Service - ROM Swap". pcb4you.com. مؤرشف من الأصل في March 29, 2013May 27, 2015.
- Ariel Berkman (February 14, 2013). "بيانات القرص الصلب المخفية في منطقة قطاعات الخدمة (Service Areas)" (PDF). recover.co.il. مؤرشف من الأصل (PDF) في 27 ديسمبر 2016January 23, 2015.
- مبادلة تقرير إستعادة البيانات(swapping data recovery report)
- ""برمجيات أحترافية لتحويل البيانات الأولية (RAW) الى إن تي أس أف (NTFS) مثل (M3 RAW Drive Recovery 5.0)". مؤرشف من الأصل في 30 مارس 201915 مارس 2015.
- تأمين حذف البيانات من الذاكرة المغناطيسية والذاكرة ذات الحالة الصلبة Solid-State Memory، بيتر غوتمان (peter gutmann)، قسم علوم الحاسوب، جامعة أوكلاند نسخة محفوظة 23 ديسمبر 2017 على موقع واي باك مشين.
- البيانات المتبقية في أشباه الموصلات, بيتر غوتمان، آي بي إم مركز أبحاث واتسون (IBM T.J. Watson Research Center) نسخة محفوظة 10 أغسطس 2017 على موقع واي باك مشين.
- Feenberg، Daniel (14 مايو 2004). "هل تستطيع وكالات الإستخبارات قراءة البيانات المعاد الكتابة عليها؟ ردا على غوتمان .". المكتب الوطني للبحوث الاقتصادية. مؤرشف من الأصل في 01 أكتوبر 201821 مايو 2008.
- "مسح القرص من الجزور (disk wiping) ممر واحد كافي (One Pass is Enough)". anti-forensics.com. 17 March 2009. مؤرشف من الأصل في 21 مايو 2018.
- "مسح القرص (disk wiping) ممر واحد كافي (One Pass is Enough) الجزء الثاني (هذه المرة بلقطات شاشة للتوضيح)". anti-forensics.com. 18 March 2009. مؤرشف من الأصل في 16 ديسمبر 2017.
- Wright، Dr. Craig (15 January 2009). "إعادة الكتابة فوق البيانات التي على القرص الصلب". مؤرشف من الأصل في 21 أغسطس 2010.
- بارتون، اندريه (17 ديسمبر 2012). "إستعادة البيانات عن طريق أو عبر الإنترنت". النبش لإستعادة البيانات (Data Recovery Digest). مؤرشف من الأصل في 06 أغسطس 201729 أبريل 2015.
- مورغان ستانلي (Stanley Morgan) (28 ديسمبر 2012). "[Infographic] أربع مراحل من استعادة البيانات". dolphindatalab.com. مؤرشف من الأصل في 02 يناير 2018March 23, 2015.