𝗧𝗼̂̉𝗻𝗴 𝗵𝗼̛̣𝗽 𝘃𝗲̂̀ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂
Last updated
Was this helpful?
Last updated
Was this helpful?
𝗧𝗼̂̉𝗻𝗴 𝗵𝗼̛̣𝗽 𝘃𝗲̂̀ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂
Khôi phục dữ liệu bị xóa nhầm, format nhầm, v͟i͟r͟u͟s cắn... không khó, bằng chứng là mình đã từng chứng kiến rất nhiều người dùng sau khi được hướng dẫn cơ bản, tự tiến hàng khôi phục một cách hoàn hảo
Tuy nhiên, công việc này đòi khỏi phải được tiến hành một cách chính xác. Nếu không, không những không khôi phục được dữ liệu, mà còn phá hoại, khiến việc khôi phục dữ liệu sau đó trở lên không thể (cho dù bởi những chuyên gia)
Vì thế, anh em nào lười đọc, mình khuyên anh em mang ổ cứng ra tiệm hoặc trung tâm khôi phục dữ liệu, bỏ tiền tránh rắc rối.
Còn trong trường hợp anh em sẵn sàng tìm hiểu, thì bộ tổng hợp đó đây:
(1). Phần 1: Nguyên lý khôi phục dữ liệu trên HDD.
𝗣𝗵𝗮̂̀𝗻 𝟭: 𝗡𝗴𝘂𝘆𝗲̂𝗻 𝗹𝘆́ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 𝘁𝗿𝗲̂𝗻 𝗛𝗗𝗗.
Bài viết này nằm trong 𝗧𝗼̂̉𝗻𝗴 𝗵𝗼̛̣𝗽 𝘃𝗲̂̀ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 tại đây:
Bài viết này chỉ đề cập đến việc khôi phục dữ liệu do format nhầm, xóa nhầm, viru,s cắn... Việc khôi phục dữ liệu do hỏng hóc phần cứng không thuộc phạm vi bài viết này.
𝗡𝗴𝘂𝘆𝗲̂𝗻 𝗹𝘆́ đ𝗼̣𝗰/𝗴𝗵𝗶 𝗼̂̉ 𝗰𝘂̛́𝗻𝗴.
Trước hết anh em nghe tôi nói qua một xíu về nguyên lý ghi/đọc/xóa của ổ cứng, qua đó anh em sẽ thấy tại sao việc khôi phục dữ liệu lại dễ dàng đến vậy.
Khi GHI (write) một file dữ liệu trên ổ cứng, hệ thống sẽ ghi thực tế file đó trên ổ cứng, sau đó quay về bản FAT (tạm gọi là bản đồ ổ đĩa) ghi lại thông tin như kiểu file này nằm ở vị trí nào, chiếm bao nhiêu ô (block).
Khi ĐỌC (read) một file dữ liệu, thay vì tìm kiếm trên toàn bộ ổ đĩa, hệ thống sẽ tìm đến bản FAT (bản đồ ổ đĩa) để xem file đó ở vị trí nào, rồi sau đó đến trực tiếp vị trí đó để đọc file. Qua đó anh em thấy nhờ có bản FAT mà tốc độ tìm kiếm (truy nhập) file tăng lên khủng khiếp. Nếu ví von file dữ liệu trên ổ đĩa là những ngôi nhà, folder là những khu phố thì bản FAT chính là bản đồ thành phố.
Khi XÓA (delete) một file. Thay vì đi tìm file đó để xóa, hệ thống chỉ quay về bản FAT, xóa tên file đó trên bản FAT (bản đồ đĩa). Có anh em sẽ hỏi tại sao không đi xóa trực tiếp file trên ổ đĩa. Vấn đề là 𝗸𝗵𝗼̂𝗻𝗴 𝗰𝗮̂̀𝗻 𝘁𝗵𝗶𝗲̂́𝘁, hệ thống chỉ cần xóa trên bản FAT, phần đĩa cứng bị chiếm dụng bởi file đó sẽ được đánh dấu là “đất hoang” (free) và lần tới, hệ thống muốn ghi file mới chỉ cần ghi đè lên phần đất hoang đó là được. Việc đó tiết kiệm thời gian kinh khủng, mà trong thế giới máy tính, thời gian là tốc độ, là hiệu năng. Vì thế, anh em nào tinh tế, sẽ để ý thấy là quá trình xóa file/folder rất nhanh nếu so sánh với quá trình ghi file/folder.
𝗣𝗵𝗮̂̀𝗻 𝗺𝗲̂̀𝗺 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 𝗻𝗵𝘂̛ 𝘁𝗵𝗲̂́ 𝗻𝗮̀𝗼?
Qua quá trình phân tích bên trên, anh em thấy là file không thực sự bị xóa, nó vẫn nằm trên ổ đĩa. Phần mềm khôi phục sẽ làm gì? Nó sẽ bỏ qua không đọc bản FAT (bản đồ ổ đĩa) mà quét trực tiếp trên ổ đĩa, tìm ra file thực sự, quá trình này mất khá nhiều thời gian. Phần mềm khôi phục như các cán bộ địa chính, cần mẫn đi đo đạc thực tế từng khu phố, căn hộ này là của anh A, biệt thự này là của anh B…. rồi bổ sung vào bản đồ thành phố, từ đó khôi phục bản đồ chuẩn của thành phố.
Với một phần mềm tiêu chuẩn (chua cần top 1), kỹ năng tiêu chuẩn, xác suất khôi phục dữ liệu bị xóa, tiệm cận 100%.
𝗬𝗲̂́𝘂 𝘁𝗼̂́ 𝗻𝗮̀𝗼 𝗮̉𝗻𝗵 𝗵𝘂̛𝗼̛̉𝗻𝗴 đ𝗲̂́𝗻 𝘅𝗮́𝗰 𝘀𝘂𝗮̂́𝘁 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂?
(1). Vẫn tiếp tục sử dụng mấy tính sau đó: như phân tích bên trên, khi file bị xóa, hệ thống chỉ xóa thông tin ở bản FAT, dữ liệu vẫn còn đó, nhưng vùng đất này đã được đánh đấu “đất hoang” (free), sẵn sàng cho một lệnh ghi đè tiếp tới. Nếu có bất kỳ lệnh ghi đè nào lên vùng “đất hoang” này thì khả năng khôi phục gần như bằng 0. Đây cũng chính là phương pháp xóa file an toàn (ghi đè) mà các trung tâm tài chính, quân đội, tình báo... dùng để tránh dữ liệu của họ bị khôi phục, dữ liệu bị dò rỉ ra ngoài. Tất nhiên phương án ghi đè của họ cao minh hơn chút, nhưng về cơ bản là thế.
(2) Cài phần khôi phục dữ liệu lên chính ổ cứng đang có dữ liệu cần khôi phục: cái này nhiều anh em mắc phải, ngay cả cao thủ đi khôi phục cũng mắc lỗi này. Ví dụ ổ cứng cần khôi phục là ổ C, họ cài luôn phần mềm khôi phục luôn lên ổ C, kết quả chính phần mềm này ghi đè lên những file đã bị xóa, khiến khả năng khôi phục bé đi rất nhiều, hoặc file khội phục được mở ra toàn … rác.
𝗖𝗮̂̀𝗻 𝗹𝗮̀𝗺 𝗴𝗶̀ 𝗸𝗵𝗶 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 𝗯𝗶̣ 𝘅𝗼́𝗮 𝗻𝗵𝗮̂̀𝗺?
(1). Ngừng sử dụng máy tính, ngừng càng sớm, xác suất khôi phục càng cao.
(2) Backup ổ cứng có dữ liệu cần khôi phục (dùng phần mềm disk image hoặc disk clone) để trong trường hợp thất bại, cao thủ đến sau vẫn có cơ hội phục hồi. Cái này mình thường chỉ thấy cao thủ họ làm, chứ người dùng thường làm biếng nên bỏ qua.
(3). Sử dụng phần mềm khôi phục từ USB cứu hộ, hoặc portable. Cái này group cung cấp cả hai loại phần mềm này.
Sau khi quét được file cần cứu thì copy file đó ra ổ cứng khác, tốt nhất là ổ cứng di động bên ngoài.
𝗙𝗔𝗤: 𝗖𝗮́𝗰 𝗰𝗮̂𝘂 𝗵𝗼̉𝗶 𝘁𝗵𝘂̛𝗼̛̀𝗻𝗴 𝗴𝗮̣̆𝗽.
Q: Ổ cứng tôi format nhiều lần, liệu có cứu được dữ liệu không?
A: Được, bản chất của format là xóa bản FAT (bản đồ ổ đĩa), format nhiều lần là xóa đi xóa lại bản FAT đó thôi, chưa hề động chạm đến dữ liệu thực tế trên ổ cứng.
Q: Tôi format ổ cứng rồi cài lại Windows, bây giờ tôi muốn cứu dữ liệu có được không?
A: Vẫn được, nhưng xác suất khôi phục được bé rất nhiều, những file đã bị bộ cài Windows ghi đè là không cứu được.
... còn tiếp Phần 2,3,4,5
Như mọi khi, anh em đi qua, cho mình xin 01 còm, đẩy bài lên cho anh em chưa biết nhé. Cảm ơn anh em nhiều lắm.
#thitluoc #nl_khoiphucdulieu
.......................................................
(2). Phần 2: Nguyên lý khôi phục dữ liệu trên SSD.
𝗣𝗵𝗮̂̀𝗻 𝟮: 𝗡𝗴𝘂𝘆𝗲̂𝗻 𝗹𝘆́ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 𝘁𝗿𝗲̂𝗻 𝗦𝗦𝗗.
Bài viết này nằm trong 𝗧𝗼̂̉𝗻𝗴 𝗵𝗼̛̣𝗽 𝘃𝗲̂̀ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 tại đây:
Mọi người thường gọi SSD là ổ cứng, thực chất nó là chip nhớ, nó làm việc như một chip nhớ (memory/flash). Vì thế, nếu nhìn nhận SSD từ góc độ của một chíp nhớ thì mọi vấn đề loằng ngoằng sẽ được giải thích một cách dễ dàng hơn.
𝗫𝗼́𝗮 𝗸𝗵𝗼̂𝗻𝗴 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 đ𝘂̛𝗼̛̣𝗰
Vì nó là một chip nhớ, nên nó phải được xóa trắng trước khi nó có thể ghi vào (khác với đĩa từ HDD. HDD không cần xóa, chỉ cần đánh dấu là đất hoang, lần tới là ghi đè lên thôi).
Thường thì lúc hệ thống xóa file, hệ thống chỉ đánh dấu không dùng nữa (Mark as Unused). Lúc nào muốn ghi dữ liệu vào những chỗ đó, SSD bắt buộc phải xóa trước rồi mới ghi được. Việc này khiến quá trình ghi dữ liệu kéo dài gấp đôi, thậm chí gấp ba. SSD nhanh thế thì cho dù kéo dài gấp đôi/gấp ba cũng không đáng bao nhiêu, có thể một vài bạn sẽ nghĩ vậy. Trong môi trường thực tế, SSD thực hiện cả ngàn lần ghi/đọc trong một phút thì cái gấp đôi đó được nhân lên ngàn lần, sẽ là một gánh nặng rất lớn, khiến hệ thống giảm hiệu năng một cách kinh ngạc.
TRIM sinh ra để giải quyết vấn đề “hiệu năng” này. Trong lúc OS làm các việc khác, SSD đang rảnh rang, TRIM sẽ ra lệnh cho nó thong thả đi xóa trắng những chỗ đã được đánh dấu không dùng nữa, sẵn sàng cho lệnh ghi tiếp tới, đây là lệnh xóa triệt để được thực hiện bởi chính 𝗰𝗼𝗻𝘁𝗿𝗼𝗹𝗹𝗲𝗿 𝗰𝘂̉𝗮 𝗦𝗦𝗗.
Vì thế nếu dữ liệu bị xóa nhầm trên ổ SSD thì 𝗸𝗵𝗼̂𝗻𝗴 𝘁𝗵𝗲̂̉ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 được cho dù là bởi những trung tâm khôi phục dữ liệu tiên tiến nhất.
𝗖𝗵𝗼̂́𝗻𝗴 𝗽𝗵𝗮̂𝗻 𝗺𝗮̉𝗻𝗵 𝗼̂̉ 𝗰𝘂̛́𝗻𝗴
Vì là chip nhớ, nên SSD ghi dữ liệu vào theo khối (block). Mình nói nôm na một khối có 5 đơn vị dữ liệu chẳng hạn. Nếu mà dữ liệu cần ghi có 6 đơn vị dữ liệu, vậy phải dùng 2 khối: khối thứ nhất có 5 đơn vị và khối thứ hai lại chỉ có 1 đơn vị. Vậy là khối thứ 2 còn 4 đơn vị để trống. Đáng buồn là lần ghi dữ liệu tới, SSD lại không tận dụng được 4 đơn vị để trống này mà phải ghi ra một khối mới (vì nó ghi theo khối, đơn giản vậy thôi). Anh em có thể thấy, nếu là file dữ liệu luôn là 5, 10, 15, 20 đơn vị dữ liệu gì đó, thì mọi thứ sẽ rất đẹp, SSD sẽ ghi nó thành 1,2,3,4 khối dữ liệu, sẽ không có khối dữ liệu nào bị dư thừa vài chỗ trống.
Đời không đẹp thế, việc đó vốn hiếm xảy ra trong thực tế. Vì thế, kiểu gì khối cuối cùng cũng bị trống vài đơn vị (lãng phí nho nhỏ). Với tốc độ khủng khiếp của SSD hiện nay, ghi đọc hàng ngàn file trong vài phút, số lượng khối cuối cùng này tăng nhanh một cách chóng mặt, đến đây thì lãng phí không còn nhỏ nữa mà bắt đầu rất lớn rồi. Để giải quyết vấn đề này, hệ thống có một phương án rất hay, trong lần ghi tiếp tới, OS sẽ đọc cái đơn vị dữ liệu lẻ loi ở khối thứ hai bên trên ra một bộ nhớ tạm (cache), ghép nó với 4 đơn vị dữ liệu khác cho thành 1 khối chuẩn rồi ghi ngược lại vào SSD, như thế không lãng phí tý nào, vừa đẹp. Nhưng vấn đề mới lại đặt ra, SSD phải thực hiện cả ngàn vụ như thế trong một phút (đọc dữ liệu ra, ghép khối, ghi ngược lại), nghe thôi đã thấy rầy rà, lãng phí thời gian một cách kinh khủng, mà trong thế giới công nghệ này, thời gian là tốc độ.
TRIM sinh ra để làm việc đó, nó vẫn làm mấy việc bên trên thôi, nhưng nó lặng lẽ làm lúc SSD rảnh rỗi, vì thế, nó không làm ảnh hưởng gì đến tốc độ của SSD.
Mình lấy một ví dụ thực tế như thế này: trong lớp học cứ 5 người ngồi một bàn, nhưng nếu có 6 người thì bắt buộc phải dùng 2 bàn, ông thứ sáu sẽ ngồi bàn thứ hai, ông ấy ngồi ngay đầu bàn, mỗi lần có người muốn ngồi vào bàn thứ hai này, ông thứ 6 này lại phải đi ra khỏi chỗ để cho người ta vào rồi mới ngồi được (giống quá trình caching bên trên). Lớp học thì chỉ cần khoảng 10 ông ngồi đầu bàn như ông thứ sáu này là chắn hết chỗ ngồi (phân mảnh, lãng phí chỗ ngồi).
Cô giáo chủ nhiệm TRIM sẽ giải quyết vấn đến này, TRIM sẽ gom các ông ngồi đầu bàn này thành một nhóm 5 người rồi nhét vào 1 bàn. Như thế, cô giáo chủ nhiệm TRIM giải quyết được 2 vấn đề: các bàn còn lại đều sẵn sàng để cho người mới vào ngồi, thứ hai là mọi người ngồi tập trung (không bị phân mảnh). Chính vì thế mọi người đều nói SSD 𝗸𝗵𝗼̂𝗻𝗴 𝗯𝗮𝗼 𝗴𝗶𝗼̛̀ 𝗯𝗶̣ 𝗽𝗵𝗮̂𝗻 𝗺𝗮̉𝗻𝗵, thực tế đấy là công của cô giáo chủ nhiệm TRIM.
Ví dụ và cách giải thích bên trên của mình chỉ là nôm na, nhiều khi hơi khác với thực tế chút chút, mục đích cho anh em nhập môn dễ hiểu thôi. Chứ còn đi sâu vào mọi thứ sẽ loằng ngoằng như hình bên dưới 😁
Như mọi khi, anh em đi qua cho mình xin 01 còm động viên, đẩy bài lên cho anh em chưa biết nhé. Cảm ơn anh em nhiều lắm.
#thitluoc #nl_khoiphucdulieu #nl_chiase
.....................................
(3). Phần 3: Phần mềm khôi phục dữ liệu (WinPE) trên Win.
𝗣𝗵𝗮̂̀𝗻 𝟯: 𝗣𝗵𝗮̂̀𝗻 𝗺𝗲̂̀𝗺 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 (𝗪𝗶𝗻𝗣𝗘) 𝘁𝗿𝗲̂𝗻 𝗪𝗶𝗻.
Bài viết này nằm trong 𝗧𝗼̂̉𝗻𝗴 𝗵𝗼̛̣𝗽 𝘃𝗲̂̀ 𝗸𝗵𝗼̂𝗶 𝗽𝗵𝘂̣𝗰 𝗱𝘂̛̃ 𝗹𝗶𝗲̣̂𝘂 tại đây:
Mình giới thiệu anh em một pm khôi phục dự liệu để anh em găm sẵn trong người, khi gặp tai nạn xóa nhầm là có thể sử dụng ngay. Nó là 𝗘𝗮𝘀𝗲𝗨𝗦 𝗗𝗮𝘁𝗮 𝗥𝗲𝗰𝗼𝘃𝗲𝗿𝘆. Lý do:
(1). 𝗡𝗮̆̀𝗺 𝘁𝗿𝗼𝗻𝗴 𝘁𝗼𝗽 𝟭: thâm niên rất sâu. Phần mềm cứu dữ liệu thì nhan nhản, nhưng cần một thằng có đủ uy tín, có đủ thâm niên, đủ tầm, từ đó nó thể thể tiên liệu được tất cả kịch bản xấu có thể xảy ra.
(2). 𝗗𝗲̂̃ 𝗱𝘂̀𝗻𝗴: thằng này không phải là thằng số 1 mình từng dùng, nhưng tuyệt đối là thằng dễ dùng nhất.
(3). 𝗕𝗼𝗼𝘁 đ𝘂̛𝗼̛̣𝗰 𝘁𝘂̛̀ 𝗨𝗦𝗕: vụ này quan trọng, mình sẽ giải thích ngay sau đây. Thường thì anh em khôi phục dữ liệu hay gặp một lỗi cơ bản là cài đặt tool khôi phục lên chính cái ổ cứng cần khôi phục. Điều đó vô tình làm tool khôi phục ghi đè lên chính dữ liệu cần cứu, khiến tỷ lệ khôi phục đáng được 100% thì lại nhỏ đi rất nhiều, chưa kể một số file khôi phục xong không mở ra được, hoặc mở ra toàn rác... Ngày xưa mình làm quản lý, ông kỹ sư nào mà cài đặt tool khôi phục dữ liệu trực tiếpvào máy khách hàng làm mình hạ cấp ông ấy ngay, cho đi làm kỹ sư lau chùi máy. Như thế là phá hoại, không phải khôi phục.
Về mặt lý thuyết, dữ liệu bị xoá nhầm trên HDD (nếu người dùng sau đó dừng lại ngay) thì tỷ lệ cứu lại được là tiệm cận 100%. Thậm chí nói vui, anh em muốn xoá đi để không thể khôi phục lại còn rất khó, nhất là trong khoảng thời gian ngắn. Ví dụ thế này: #thitluoc đang ngồi xem pỏn, FBI đập cửa xông vào, Mạnh Tuấn cố gắng chặn cửa để câu thêm cho #thitluoc 10 phút xoá dấu vết, thú thực với 10p ấy, với tool tốt nhất hành tinh, #thitluoc cũng không thể xoá triệt để bộ sưu tập 30TB của mình mà không bị FBI khôi phục lại.
Tuy là nói vui thế nhưng để mọi người hiểu một thực tế, khi dữ liệu bị xoá nhầm, với một tool tốt, cách làm đúng thì tỷ lệ khôi phục sẽ tiệm cận 100%
EaseUS Data Recovery cũng đã có trên một số USB cứu hộ trên thị trường nhưng cái U͟S͟B͟ ͟W͟i͟n͟P͟E này, mình cố gắng chọn sao cho đơn giản nhất, boot từ U͟S͟B͟ ͟W͟i͟n͟P͟E lên là vào luôn phần mềm khôi phục, vào việc ngay, đơn giản nhất cho mấy anh em nhập môn. Pro thì chẳng bàn rồi, tool nào họ chẳng dùng được, mà có khi họ dùng tool khác.
Cái tool này, anh em nên giữ lại nhé, không thừa đâu, như để thêm một bình cứu hỏa trong nhà thôi.
Em linh đã ngon dưới còm nhé 👇
Như mọi khi, anh em đi qua cho mình xin 01 còm, đẩy bài lên cho anh em chưa biết nhé. Cảm ơn anh em nhiều lắm.
#thitluoc #nl_khoiphucdulieu #nl_chiase
(4). Phần 4: Phần mềm khôi phục dữ liệu (Portable) trên Win.
https://voz.ee/s/El9pZ-CxN
(5). Phần 5: Phần mềm khôi phục dữ liệu (Cài đặt) trên Win.
https://voz.ee/s/hsDA9BiVG
(6). Phần 6: Phần mềm khôi phục dữ liệu trên Mac.
https://voz.ee/s/BKlR8UMc9
