Veri Kurtarma Yazılımını Aynı Diske Kurmak Neden Ölümcül?

Hızlı cevap: Veri kurtarma yazılımını, silinen verinin bulunduğu diske kurmak ya da kurtardığınız dosyaları aynı diske geri yazmak, veriyi kalıcı olarak yok edebilir. Sebebi şudur: bir dosya silindiğinde içeriği hemen yok olmaz, sadece o alan boş olarak işaretlenir. O alana yapılan her yeni yazma, kurtarılabilir veriyi gerçekten ezer. Bu yüzden ilk kural diski kullanmayı bırakmaktır. DSET Ankara: +90 536 662 38 09.

Silinen veri aslında nereye gider?

Bir dosyayı sildiğinizde ya da diski formatladığınızda, çoğu durumda verinin kendisi silinmez. Dosya sistemi sadece o alanı "boş, yeniden kullanılabilir" olarak işaretler. Dosyanın gerçek içeriği, üzerine yeni bir şey yazılana kadar diskte fiziksel olarak durmaya devam eder. Veri kurtarma yazılımlarının ilkesi tam olarak budur: dosya sistemine değil, diskin ham içeriğine bakıp bu kalıntıları bulurlar.

İşte bu yüzden zamanlama her şeydir. Silinen veri ne kadar uzun süre dokunulmadan kalırsa, kurtulma şansı o kadar yüksek olur. Tersine, o diski kullanmaya devam etmek, boş işaretlenmiş alanların üzerine yeni verilerle yazılması demektir.

Overwrite mantığı: neden geri dönüşü yoktur

Diskte her bayt bir yerde fiziksel olarak saklanır. Bir alan "boş" işaretlendiğinde, sistem oraya yeni veri yazmakta serbesttir. Yeni veri yazıldığı anda, eski veri o fiziksel konumda artık yoktur, yerini yeni bayt almıştır. Bu işleme overwrite, yani üzerine yazma denir ve yazılımsal olarak geri dönüşü yoktur.

Manyetik disklerde, çok özel ve pahalı yöntemlerle bile üzerine yazılmış veriyi geri getirmek pratik olarak mümkün değildir. NIST SP 800-88 rehberi, modern yüksek yoğunluklu disklerde tek geçişlik üzerine yazmanın veriyi geri getirilemez kıldığını belirtir. Yani overwrite, hem güvenli silmenin hem de yanlışlıkla veri kaybının temelidir.

Kurtarma yazılımını aynı diske kurmak neden bunu tetikler

Senaryo şudur: önemli dosyalarınızı yanlışlıkla sildiniz ve panikle internetten bir kurtarma yazılımı indirdiniz. İndirdiğiniz dosya, yüklerken oluşan geçici dosyalar ve programın kendisi, aynı diske yazılır. Her yazma işlemi, tam da kurtarmaya çalıştığınız silinmiş alanın üzerine düşebilir.

Daha da kötüsü, yazılım bulduğu dosyaları yine aynı diske kurtarmayı önerir. Kurtarılan her dosya, henüz kurtarılmamış başka bir dosyanın üzerine yazarak onu yok eder. Sonuçta "kurtardım ama dosyalar bozuk açılıyor" durumu ortaya çıkar. Bunun nedeni çoğu zaman kurtarma sırasında verinin kısmen ezilmiş olmasıdır. Bu hata, veriyi yok eden hataların en sık görülenlerinden biridir.

SSD ve TRIM: ayrı ve daha sert bir gerçek

SSD'lerde durum manyetik disklerden farklıdır ve genelde daha az affedicidir. Modern işletim sistemleri SSD'lerde TRIM adlı bir komut kullanır. TRIM, bir dosya silindiğinde ilgili blokları SSD kontrolcüsüne "artık gerekmiyor" diye bildirir. SSD kontrolcüsü de bu blokları arka planda gerçekten temizler.

Sonuç şudur: bir SSD'de TRIM etkinse, silinen dosya saniyeler ya da dakikalar içinde fiziksel olarak yok olabilir. Bu durumda yazılımsal kurtarmanın şansı manyetik diske göre çok daha düşüktür. Bu yüzden SSD'de yanlışlıkla silme olduğunda, mümkünse bilgisayarı hiç açık tutmadan kapatmak ve uzmana danışmak gerekir. SSD'lerin ani ölümünde uygulanan farklı yaklaşımları SSD aniden öldü yazımızda bulabilirsiniz.

Doğru ve yanlış iş akışı

Adım YANLIŞ DOĞRU
Kurtarma yazılımı Aynı diske kur Başka diske / USB'ye kur
Tarama Arızalı diski uzun süre çalıştır Önce imaj al, imajdan tara
Kurtarılan dosya Aynı diske geri yaz Farklı hedef diske yaz
Silme sonrası Diski kullanmaya devam et Diski hemen durdur
SSD silme Bekle, kullanmaya devam et Hemen kapat, TRIM'i durdur

Altın kural tek cümledir: kurtarmaya çalıştığınız disk asla hedef disk olmamalı, hatta mümkünse hiç yazılmamalıdır. Profesyonel akışta önce diskin imajı alınır, sonra tüm kurtarma o imaj üzerinden yapılır. İmaj almanın neden ilk adım olduğunu disk imajı ne zaman alınır yazımızda anlattık.

Profesyonel yaklaşım neden farklı?

Bir veri kurtarma laboratuvarı, hiçbir koşulda orijinal diske yazmaz. Önce diskin sektör sektör birebir kopyası alınır, orijinal disk kasaya kaldırılır ve tüm çalışma kopya üzerinde yürür. Bu, yanlış bir adımın orijinal veriyi mahvetmesini imkânsız kılar. Ayrıca laboratuvar, dosya sistemi ham düzeyde yeniden inşa edilebildiği için yazılımsal araçların bulamadığı bozuk yapıları da çözebilir.

DSET olarak 2003'ten beri Ankara Hacettepe Teknokent Beytepe kampüsünde bu disiplinle çalışıyoruz. Genel başarımız yüzde 99,4. İlk teşhis ücretsizdir, veri çıkmazsa ücret almayız.

Sık Sorulan Sorular (SSS)

Dosyaları yanlışlıkla sildim, ilk ne yapmalıyım?

Diski hemen kullanmayı bırakın. Yeni dosya kaydetmeyin, program kurmayın, hatta mümkünse bilgisayarı kapatın. Her yazma işlemi silinen veriyi ezme riski taşır.

Kurtarma yazılımını USB belleğe kurabilir miyim?

Evet, doğrusu budur. Kurtarma yazılımını ve kurtardığınız dosyaları her zaman farklı bir diske ya da USB belleğe yazın. Asıl diske hiçbir şey yazmamaya çalışın.

Kurtardım ama dosyalar bozuk açılıyor, neden?

Büyük olasılıkla kurtarma sırasında verinin bir kısmı zaten üzerine yazılmış. Aynı diske kurtarmak ya da silme sonrası diski kullanmaya devam etmek bu sonuca yol açar. Bu aşamada profesyonel laboratuvar bazen kalan kısmı çıkarabilir.

SSD'de silinen dosya neden kurtulmuyor?

Çünkü TRIM komutu silinen blokları arka planda gerçekten temizler. Manyetik diskten farklı olarak, SSD'de silinen veri çok hızlı yok olabilir. Bu yüzden SSD'de zaman manyetik diske göre çok daha kritiktir.

Format attım, veri tamamen gitti mi?

Hızlı format genelde sadece dosya tablosunu siler, veri çoğu zaman hâlâ yerindedir ve kurtulabilir. Ancak format sonrası diske yeni veri yazdıysanız, o oranda kalıcı kayıp olur. En doğrusu diski durdurup ücretsiz teşhise getirmektir: +90 536 662 38 09.

Kaynaklar