Data herstellen met Active@ Disk Editor

In dit artikel richten we ons op data herstellen. We gebruiken speciale software die gegevensbestanden en datastructuren op een meer ‘fysiek’ niveau benadert.

Een bestandsbrowser als Windows Verkenner doet wat de naam aangeeft: je kunt er je schijf alleen op bestandsniveau mee benaderen. Je krijgt normaliter alleen toegang tot systeem- en gegevensbestanden, maar niet tot datastructuren als bootsectoren, MFT (Master File Table), MBR (Master Boot Record) of de GPT (GUID Partition Table). Met speciale software, zogeheten fysieke-schijfeditors, krijg je toegang tot (bijna) de complete schijf en laten de ruwe data zich tot op sectorniveau analyseren en bewerken. Twee waarschuwingen zijn hier op hun plaats. Gebruik van zulke tools veronderstelt een stevige voorkennis van schijf-, partitie- en bestandsstructuren. Verder moet je beseffen dat een ondoordachte handeling een onwerkbare schijf of een beschadigd bestand kan veroorzaken.

Verkenning

Een prima schijfeditor is Active@ Disk Editor (gratis voor persoonlijk gebruik). Het programma is beschikbaar voor Linux en Windows. We gaan met deze laatste aan de slag. Je vindt een beknopte handleiding van Active@ Disk Editor via https://kwikr.nl/deman.

Het startvenster mag je gerust sluiten, waarna je vanuit het navigatievenster het gewenste object kunt selecteren. In het linkerdeelvenster onder My Computer vind je zowel de fysieke schijven (zoals PhyiscalDrive0) als de logische mapstructuren terug (zoals C:\Windows\System32). Uiteindelijk kun je zo afdalen tot op bestandsniveau.

Wanneer je een item selecteert, krijg je hierover allerlei nuttige informatie te zien in het venster Properties. Bij een fysieke schijf is dat bijvoorbeeld de partitiestijl en het aantal sectoren per spoor. Bij een logische schijf (zoals C:) is dat onder meer de volumegeometrie, zoals de startsector en het totaal aantal sectoren.

Vanuit Active@ Disk Editor kun je zowel fysieke schijven als logische mapstructuren benaderen.

Schijfniveau

Stel even, je wilt de MBR (Master Boot Record) of de GUID-partitietabel nakijken. Klik dan linksboven op My Computer, klik met rechts op de schijf (bijvoorbeeld PhysicalDrive0) en kies Open in Disk Editor. In het middelste deelvenster tref je zowel de hexadecimale, ASCII- als Unicode-weergave aan van de ruwe data in de opeenvolgende schijfsectoren. Active@ Disk Editor is redelijk slim, want afhankelijk van de partitiestijl van je schijf krijg je automatisch de MBR-sector (in de eerste fysieke sector) of de GUID Partition Table (in LBA 1; net daarvoor bevindt zich de ‘protective’ oftewel dummy MBR).

De app markeert de onderdelen met verschillende kleuren en als het goed is, toont die in het linkerdeelvenster ook automatisch de bijbehorende datastructuur, inclusief aanklikbare links. In het uitklapmenu zijn er nog andere structuursjablonen beschikbaar, maar het heeft natuurlijk alleen zin die te selecteren bij de juiste sector. Goed om weten: via het menu Navigate navigeer je ook rechtstreeks naar specifieke structuren, zoals Primary FAT32 / FAT1 of Primary NTFS / $MFT Mirror. Of je kiest hier Go to Sector of Go to Offset, als je goed weet waar je wilt zijn.

Als je merkt dat een datastructuur, zoals de MBR of GPT corrupt is, op basis van informatie via bijvoorbeeld https://kwikr.nl/drivembr of https://kwikr.nl/drivegpt), dan kun je die eventueel bewerken. Daarvoor moet je wel eerst met rechts op de data klikken, Allow Edit Content selecteren en je aanpassingen bevestigen met de knop Save. Nogmaals: doet dit enkel als je zeer goed weet wat je doet.

Hier zie je een fragment van zowel de protective MBR als het begin van de GPT.

Professioneel dataherstel

Lukt het je maar niet om je data toegankelijk te maken of terug te halen, dan kun je nog de hulp inroepen van een professioneel dataherstelbedrijf. Naast veel praktijkervaring beschikken die over een ISO 5 (Class 100) cleanroom met geavanceerde apparatuur waarmee vaak nog gegevens terug te halen zijn op schijven met een defecte controller of op fysiek beschadigde schijven.

De kostprijs van het herstel is afhankelijk van de aard van de schade en vaak ook van de hoeveelheid te herstellen data. Het is dus belangrijk eerst een vooronderzoek uit te laten voeren. Bij sommige bedrijven is deze diagnose onder bepaalde voorwaarden gratis. Het is wel zo duidelijk als op de website prijzen voor verschillende herstelscenario’s staan vermeld, zoals op www.stellar.nl/prijzen.htm en https://datarecuperatie.be/price_estimate.

Veel bedrijven hanteren het principe ‘no cure, no pay’, wat zoveel betekent als: kunnen we geen data herstellen, dan hoef je niets te betalen. Even op internet zoeken naar bijvoorbeeld dataherstel Nederland of dataherstel België levert al meteen diverse kandidaten op.

Bestandsniveau

Zoals gezegd kun je met Active@ Disk Editor ook dataherstel op bestandsniveau uitvoeren. Ben je bijvoorbeeld op zoek naar specifieke tekst in verloren bestanden en heb je geen idee waar die data zich bevinden, dan kun je de ingebouwde zoekfunctie Find gebruiken, waar je zowel naar ANSI-, Hex- als Unicode kunt zoeken. Jokertekens en reguliere expressies zijn eveneens mogelijk. Via Per block search kun je tevens naar specifieke offsets speuren, wat handig kan zijn als je bijvoorbeeld naar specifieke bestandsheaders of verloren partities gaat speuren.

Het kan natuurlijk ook gewoon zijn dat je het bestand prima kunt lokaliseren, maar dat het beschadigd blijkt. Selecteer dan het bestand vanuit My Computer en open opnieuw Active@ Disk Editor. Misschien is alleen de bestandsheader aangetast en kun je die op basis van een ‘gezond’ exemplaar van hetzelfde type herstellen via een copy-paste operatie. Bij bepaalde bestandstypen krijg je via File Preview een handige voorbeeldweergave.

Ook interessant: klik je vanuit My Computer met rechts op een bestand en kies je Inspect File Record, dan voert de app je meteen naar de bijbehorende ingang in de FAT of de MFT. Kortom, er zijn heel wat manieren waarop je een tool als Active@ Disk Editor voor datahersteloperaties kunt inzetten.

Pas na een hersteloperatie van de bestandsheader konden we van deze (met opzet verwijderde) png-afbeelding een preview zien.

HxD

Mocht Active@ Disk Editor je toch niet bevallen, dan is HxD nog een mogelijk alternatief (gewoon te installeren of portable; 32 en 64 bit). Met deze software, die je bij voorkeur start als administrator, kun je de ruwe data van zowel bestanden, schijfstructuren en -images als gebieden in het intern geheugen benaderen. Om data te kunnen bewerken, moet je wel eerst een veiligheidsschakelaar omzetten bij Extra’s / Opties, waar je op het tabblad Algemeen het vinkje weghaalt bij Open schijven standaard als alleen-lezen.

Handig zijn de ingebouwde zoekfunctie (zowel naar tekststrings, hex-waarden, integers als floating-point-getallen) en de mogelijkheid om geselecteerde datablokken in één keer te vullen met bepaalde patronen. Helaas ontbreken handige navigatie-opties om snel naar een specifieke datastructuur te gaan en structuursjablonen, zoals je die bij Active@Disk Editor wel aantreft.

Met HxD is de gebruiker nog iets meer op zichzelf aangewezen.

Geschreven door: Toon van Daele op

Category: Workshop, Opslag

Tags: data, herstel, disk editor, active@