Gjenopprett dine tapte filer

PowerQuest har nylig gitt ut to produkter som skal kunne gjenopprette filer og filstrukturer fra harddisker som enten er blitt slettet ved uhell eller av ondsinnede virus. Selskapet hevder at også disker slettet med CIH-virus nå enkelt kan gjenopprettes.

De fleste datamaskinbrukere opplever nok fra tid til annen at de har slettet en eller flere filer fra harddisken som de gjerne ville ha igjen. Kanskje de til og med ved et uhell har formatert feil partisjon på harddisken. Produktene Lost&Found og Search&Resue fra PowerQuest er av den typen produkter som kan hjelpe disse databrukerne.

De to produktene er i utgangspunktet temmelig like. Search&Rescue er en utvidet utgave av Lost&Found og har derfor noen flere verktøy innebygget. I tillegg er Lost&Found slik den leveres begrenset til å kunne brukes sammen med én PC. Dette lar seg gjøre ved at programvaren kun lar seg kjøre fra disketter og at diskettene må ha skrivebeskyttelsen av - noe som gjør det mulig for programvaren å knytte maskinen til programvaren.

André Eivind Forsberg ved PowerQuest Scandinavia forteller til digi.no at selskapet i ettertid har kommet til at denne ordningen kanskje var noe streng, i hvert fall har det lagt ut en oppdatering til programvaren som fjerner denne sperren.

Search&Rescue er som nevnt endel mer omfattende enn Lost&Found. Blant annet finnes det et verktøy hvor man manuelt kan søke seg gjennom hver eneste sektor på harddisken for å finne igjen filer og data som er slettet fra Windows eller DOS.

Den vanligste metoden for å finne igjen tapte filer er likevel felles for begge programmene. Framgangsmåten er som følger:

PowerQuest Lost&Found

Man starter opp PC-en ved hjelp av disketten programvaren er lagret på. Dette fører brukeren inn i DOS, men det er ingen grunn til å la seg skremme av den grunn. Det eneste man trenger å gjøre for å starte programmet er å skrive en svært kort kommando i tekstgrensesnittet til DOS.

Deretter starter programmet opp. Man blir spurt om et serienummer som står skrevet på disketten og deretter er programmet i gang.

Får å kunne bruke de to programmene fra PowerQuest må man ha to lagringsenheter, den enheten hvor de slettede filene befinner seg, og den enheten som de gjenopprettede filene skal lagres. Programmene prøver altså ikke å gjenopprette filene der de opprinnelig befant seg. Hvis disken som skal fikses har flere partisjoner, kan man velge om det letes etter filer kun i én partisjon eller på hele disken.

Deretter starter man prosessen som analyserer harddisken. Alle kommandoene innen programmene gis ved hjelp av tastaturet, fortrinnsvis med piltastene. Så vil man bli presentert en liste over katalogstrukturen på harddisken, inkludert slettede kataloger og filer.

PowerQuest Search&Rescue

En fargekode på navnene til katalogene og filene gir et anslag om hvor sannsynlig det er at dataene lar seg gjenopprette. Hvis filene er blitt skrevet over etter at de ble slettet, er det lite man kan gjøre.

Når man i grensesnittet over har valgt ut de filene og katalogene man ønsker å gjenopprette, blir disse kopiert til destinasjonsdisken. Denne behøver ikke være en harddisk, en diskettstasjon eller Zip-Drive kan også gjøre nytten. Det som teller er at enheten er tilgjengelig i DOS.

digi.no har utført to generelle tester med produktene. I det ene forsøket vi gjorde var å gjenopprette filer som var blitt slettet fra Papirkurven i Windows 98. Det andre forsøket var å gjenopprette alle filene på en partisjon som akkurat var blitt formatert.

Resultatene var svært oppløftende. Så langt vi kunne se, fungerte alt som lovet.

PowerQuest sendte nylig ut en pressemelding hvor det hevdes at de to programmene også skal kunne gjenopprette filer som er blitt slettet av CIH-viruset. Dette viruset er ikke så "snilt" at det kun sletter filene, det sletter også deler av den såkalte FAT-tabellen hvor informasjonen om hvor filene befinner seg på disken.

Jan Kristensen ved Norman Data Defence Systems forteller til digi.no at det normalt ikke er mulig å gjenopprette filstrukturen på harddisker slettet med CIH-viruset kun ved hjelp av programvare. Det finnes likevel unntak. Fordi CIH-viruset kun sletter FAT-tabellen på den første partisjonen på hver harddisk. Blant annet Compaq-maskiner benytter denne partisjonen til å lagre endel systeminformasjon. Innholdet i denne partisjonen kan enkelt gjenopprettes fra en medfølgende CD-plate eller diskett. Filtabellene på andre partisjonene på harddisken vil forbli uberørte. Hvis maskinen derimot har flere harddisker, vil filtabellen på den første partisjonen slettes og dataene bli utilgjengelige.

Kristensen mener at den eneste metoden som kan brukes for å gjenopprette data som er slettet av CIH-viruset er å gå gjennom hver sektor på disken manuelt. Dette er et svært tidkrevende arbeid, men er altså mulig å gjøre med blant annet Search&Rescue-programvaren. Dette er også metoden som benyttes av selskaper som tjener gode penger på å gjenopprette slettede data.

Men PowerQuest hevder at også Lost&Found kan gjenopprette filer på partisjoner hvor filtabellen er slettet av CIH-viruset. En ikke navngitt representant for utviklingsavdelingen til PowerQuest forteller via Forsberg til digi.no at CIH-viruset kun sletter den første megabyten av filtabellen. Dette betyr - ifølge representanten - at det fortsatt er massevis av informasjon igjen som kan brukes til å gjenopprette dataene. Faktisk er det ofte slik at blant annet katalogtabellen vil være intakt. I tillegg benytter programvaren fra selskapet seg av en proprietær algoritme som skanner hver sektor for å finne strukturer på disken som er uskadde. Basert på denne informasjonen skal programvaren kunne gjenskape informasjonen som lå på harddisken.

Akkurat hvordan denne metoden fungerer, vil selskapet av naturlige årsaker ikke ut med. Men selskapet forteller at det etter virusangrepet er mange som har benyttet seg av enten Lost&Found eller Search&Rescue for å prøve å få tilbake de tapte filene - med suksess.

digi.no er blitt anbefalt å teste dette selv. Men vi er i den heldige/uheldige situasjon at vi ikke har noe CIH-virus tilgjengelig - og enda mindre en harddisk som er blitt slettet av det. :-)

I stedet for å gå til en av produsentene av antivirusverktøy for å få tak i et CIH-virus som vi så kan la slette en harddisk på en av våre PC-er, vil vi gjerne tilby oss å prøve å gjenskape tapt informasjon på harddisken(e) til én av våre lesere eller én bekjent av disse.

Altså, har du fortsatt en eller flere harddisker som er blitt slettet av CIH-viruset som du ikke har skrevet over siden slettingen skjedde, ta kontakt med undertegnede per e-post så skal vi forsøke å gjenopprette den tapte informasjonen og en gang for alle for å få vite om det faktisk er mulig. E-postadressen du skal bruke er denne: harald@digi.no. Vær klar over at de to programmene fra PowerQuest kun fungerer sammen med FAT16- og FAT32-filsystemene, det vil si DOS og Windows 3.x/9x.

Prisen på Lost&Found er i USA omtrent 70 dollar, mens Search&Rescue koster 149 dollar. Produktene skal nå også være tilgjengelige i Norge.

Det er i det siste også dukket opp et program med navnet MRECOVER laget av en student fra Bangladesh. Det er fortsatt mye usikkerhet om dette programmet faktisk fungerer, dokumentasjon på dette er ikke blitt fremlagt. Men programmet er fritt tilgjengelig på Internett. I spalten til høyre finner du en peker til et nettsted som forteller mer om programmet og som inneholder en peker til selve programmet.

digi.no vil også gjerne høre fra lesere som har prøvd MRECOVER.

Til toppen