Zelf overgeschreven bestanden terughalen zonder data recovery software
Uit de term ‘data recovery’ blijkt al dat verwijderde en overgeschreven bestanden terughalen mogelijk is, ondanks dat ze niet meer zichtbaar zijn op uw opslagmedium. Vaak markeert het besturingssysteem deze bestanden slechts als overschrijfbaar, wat betekent dat ze met de juiste tools nog steeds hersteld kunnen worden. Met de juiste tools kunt u deze zogenaamd verwijderde en overgeschreven bestanden terughalen.
Is het zelf terughalen van overgeschreven bestanden een slimme manier om geld te besparen?
Het zelf terughalen van overgeschreven bestanden kan aantrekkelijk lijken als een manier om kosten te besparen, maar het brengt aanzienlijke risico’s met zich mee. Experts raden het meestal af om zelf verwijderde of overgeschreven bestanden te herstellen zonder professionele hulp. Een onervaren poging tot dataherstel kan de bestaande schade verergeren en kan leiden tot permanent dataverlies. Hoewel het in sommige gevallen mogelijk is om met gespecialiseerde recovery software veilig bestanden zelf terug te halen, vereist dit nauwkeurige kennis en voorzichtigheid. Voor diegene die meer willen leren over de technieken achter data recovery, kan het experimenteren met een hex-editor een inzicht geven in de complexiteit van dataherstel. Voor het veilig terughalen van overgeschreven bestanden, wordt echter sterk aangeraden om professionele data recovery-diensten te overwegen. Deze specialisten beschikken over de benodigde tools en expertise om uw gegevens veilig en effectief te herstellen.
Het gebruik van een hex-editor voor data recovery
Voordat u een hex-editor gebruikt om overgeschreven bestanden terug te halen, is het belangrijk te weten dat onjuist gebruik permanente dataverliezen kan veroorzaken. Indien u ervoor kiest om met een hex-editor aan de slag te gaan, gebruik dan een opslagmedium dat u kunt missen, zoals een oude harde schijf of een USB-stick. Het zelfstandig terugvinden en herstellen van verwijderde of overgeschreven bestanden wordt over het algemeen afgeraden vanwege de technische complexiteit en de risico’s op verder dataverlies. Fouten tijdens het herstelproces kunnen leiden tot onherstelbare schade. Ons particuliere recherchebureau staat klaar om u te helpen met veilige data recovery methodes. Indien u zelf wilt proberen om verwijderde of overgeschreven bestanden terug te halen van een NTFS-schijf, heeft u het volgende nodig:
- De schijf met verwijderde data. Dit moet een schijf zijn met gegevens die u kunt missen. Wij raden aan een USB-stick te gebruiken met één gewist bestand;
- Een pc om het bestandsherstel op uit te voeren;
- Een hex-editor (wij raden WinHex aan);
- Een tweede opslagapparaat om herstelde data op te slaan;
- De naam van het verwijderde bestand.
Sluit beide opslagapparaten op uw pc aan, start de hex-editor op en u bent klaar om te beginnen.
Hoe gaat een data recovery met een hex-editor in z’n werk?
Data recovery met behulp van een hex-editor gaat in drie stappen:
- Scannen: Begin met het scannen van uw NTFS-schijf met de hex-editor om verwijderde bestanden te identificeren, zoals in een voorbeeld waarin we zoeken naar “My Presentation.ppt”.
- Cluster Identificatie: Identificeer en noteer de relevante data clusters die hersteld moeten worden, evenals details zoals cluster size en de data runs.
- Herstel: Voer het herstel van de clusters uit door de data te kopiëren naar een veilig opslagapparaat, beginnend bij de exacte locatie van het eerste cluster.
Onthoud wel dat niet elk verwijderd of overgeschreven bestand kan worden hersteld. Als de data clusters al zijn overschreven, is de kans groot dat de bestanden permanent verloren zijn. Stop direct met het gebruik van het opslagapparaat na dataverlies om verdere overschrijving te voorkomen.
1. Het NTFS-volume scannen
Op de NTFS-schijf zoekt u met de zoekfunctie van uw hex-editor op de bestandsnaam van het verwijderde bestand. In dit voorbeeld zoeken we op “My Presentation.ppt”, de bestandsnaam van een PowerPointpresentatie. De hex-editor laat het volgende zien:
In de rechterkolom kunt u de bestandsnaam opmaken: M.y..P.r.e.s.e.n.t.a.t.i.o.n…p.p.t.€. Onder de vele details die u na een zoekopdracht te zien krijgt is er een specificatie genaamd ‘Flags’: de rood gemarkeerde cijfers achter de tweeëntwintigste byte van de header van het bestandsrecord. Staat het veld op ‘1’, dan is het overgeschreven bestand in gebruik en niet verwijderd, waardoor terughalen een mogelijkheid is. In ons voorbeeld staat het veld op ‘0’, wat betekent dat het bestand My Presentation.ppt daadwerkelijk verwijderd is. De zoekopdracht geeft ook waarden voor ‘Cluster size’, ‘Compression Unit Size’, ‘Allocated size of the attribute’, ‘Real size of the attribute’ en ‘Data runs’. Noteer deze waarden; u heeft ze nodig voor stap 2 van de data recovery.
2. Clusters identificeren
U scant het opslagmedium opnieuw voor de volgende stap: het doorlopen van alle bestandsclusters tot u de bestandsgrootte vindt die overeenkomt met de geselecteerde clusters. Het NTFS-bestandssysteem geeft elk bestand een _DATA_-kenmerk dat de ‘data runs’ aangeeft, welke op hun beurt de locatie weergeven van de bestandsclusters die hersteld kunnen worden. Voordat u verdergaat ontcijfert u de ‘data runs’. Bekijk het volgende fragment uit de hex-editor:
Hier begint het lastiger te worden:
- De eerste byte (0x31) geeft aan hoeveel bytes de lengte van de data run aangeven, in dit voorbeeld 0x1, en de eerste-cluster-offset aangeven: 0x3;
- De volgende byte, 0x6E, geeft de lengte van de data run weer;
- De volgende drie bytes geven de begincluster-offset weer: 0xEBC404;
- Door het veranderen van de volgorde van de bytes kunt u uitvinden dat de eerste cluster 312555 is (of 0x04C4EB in hexadecimaal);
- Door het toepassen van de lengte van de data run zoals hierboven gevonden werd, ontdekken we dat de volgende 110 clusters (0x6E) onze PowerPointpresentatie bevatten.
We weten dat dit juist is omdat de volgende byte 0x00 is, wat betekent dat er geen verdere data runs bestaan.
3. Clusters herstellen
Nu we de clusters gevonden hebben rest alleen nog het kopiëren van de verwijderde data naar een ander opslagmedium. Door gebruik te maken van de locatie van de eerste cluster, gevonden in stap 2 (312555), kopieert u simpelweg de 110 daaropvolgende clusters, maar allereerst berekent u de offset van het eerste cluster. Dit doet u door de clustergrootte (512) te vermenigvuldigen met de locatie van de eerste cluster: 512 * 312555 = 160028160. De uitkomst moet vervolgens omgezet worden naar hex, zodat u de offset krijgt die markeert waar uw verwijderde bestand begint = 0x0989D600. U kopieert vervolgens de 110 clusters erachter (512 * 110 = 56320 bytes) naar het andere opslagmedium en voilà, u heeft nu het verwijderde en/of overgeschreven bestand van de NTFS-partitie teruggehaald.
Is het terughalen van overgeschreven bestanden de moeite waard?
Alhoewel het dus wel mogelijk is, kost een data recovery op deze manier enorm veel tijd en bovendien bestaat er de kans dat er nog meer data verloren gaan. Zoals we al eerder zeiden zijn er veel factoren die een data recovery kunnen doen slagen of falen. U zult deze methode dan ook zien als louter educatief. Het is beter om gebruik te maken van betrouwbare, deugdelijke data recovery software die dit voor u doet of een data recovery service waarbij al uw zorgen uit handen worden genomen. Tevens laat het zien wat voor puzzelwerk het is om overgeschreven bestanden terug te halen.
Schakel een expert in
Aangezien het terughalen van overgeschreven bestanden geen gemakkelijke taak is, raadt PSG u aan om dit over te laten aan specialisten. Onze rechercheurs hebben de benodigde kennis opgedaan om dit probleem op een goede manier op te lossen. Tevens kunt u bij ons terecht voor het oplossen van een datalek. Neem contact met ons op als u gebruik wilt maken van onze diensten.
Dit blogbericht is voortgekomen uit de blog van onze partner Ontrack, geschreven door Jaap-Jan Visser. Voor vragen omtrent herstelmogelijkheden van uw data, kunt u vrijblijvend contact opnemen met de adviseurs van PSG Forensics, erkend partner van Ontrack.
De originele publicatie vindt u hier:
https://www.ontrack.com/nl-nl/blog/how-to-recover-your-own-data-without-data-recovery-software/
