Hồi sinh dữ liệu đã xóa với PhotoRec: Khi những tập tin 'chết' thực sự chưa hẳn đã chết

Bạn chắc hẳn đã từng làm điều này: Click chuột phải vào một tập tin không cần thiết, chọn Delete, sau đó xóa sạch thùng rác (Recycle Bin). Vậy là xong, dữ liệu đã biến mất vào hư không mãi mãi. Hay là không?

Khi còn nhỏ, tôi thường nghe những câu chuyện về việc người ta có thể khôi phục lại các tập tin đã bị xóa. Không phải là mở thùng rác ra khôi phục từng cái một, mà là những tin đồn rằng dữ liệu thực chất chưa bị tiêu hủy hoàn toàn và vẫn có thể được "hồi sinh" ngay cả khi đã bị xóa khỏi hệ thống.

Gần đây, tôi đã có cơ hội kiểm chứng điều này bằng cách sử dụng bộ đôi công cụ TestDisk và PhotoRec. Đây là những phần mềm đóng vai trò then chốt trong lĩnh vực Điều tra kỹ thuật số (Digital Forensics), giúp các nhà nghiên cứu đưa hệ thống về trạng thái trước đó và phân tích mọi loại tập tin.

Giao diện và quá trình quét dữ liệu

TestDisk hay PhotoRec?

Theo tài liệu chính thức, TestDisk có khả năng sửa bảng phân vùng, khôi phục phân vùng đã xóa, sửa chữa boot sector hay bảng FAT của hệ thống tập tin. Tuy nhiên, mục tiêu của tôi nằm ở hai tính năng cuối cùng: khôi phục tập tin từ các hệ thống tập tin FAT, exFAT, NTFS và ext2, cũng như sao chép tập tin từ các phân vùng đã bị xóa.

Có một sự khác biệt quan trọng trong bộ công cụ này mà bạn cần lưu ý:

• TestDisk: Chuyên sửa chữa đĩa và hệ thống tập tin.
• PhotoRec: Chuyên khôi phục các tập tin riêng lẻ bằng cách quét dữ liệu thô (raw data).

Vì tôi muốn "undelete" (khôi phục tập tin đã xóa), tôi chỉ cần sử dụng PhotoRec.

Chuẩn bị và lọc tập tin

Tôi có trong tay một bộ sưu tập phần cứng cũ kỹ với đủ loại thiết bị lưu trữ: laptop Toshiba 13 năm tuổi (1TB), thẻ nhớ SD dùng cho GoPro 10 năm trước (7GB), thẻ nhớ PSP hơn 20 năm tuổi (32MB), hay chiếc iPod Video khoảng 20 năm tuổi (30GB).

Quá trình khôi phục dữ liệu tốn khá nhiều thời gian, tùy thuộc vào dung lượng lưu trữ và phân vùng. Hơn nữa, chính các tập tin được khôi phục cũng cần chỗ để chứa, chiếm dụng thêm dung lượng. Vì vậy, tôi quyết định giới hạn thử nghiệm đầu tiên của mình với hai thiết bị: laptop Toshiba và thẻ SD GoPro.

Quá trình quét đang diễn ra

PhotoRec cho phép lọc quét theo các loại tập tin cụ thể. Việc thêm nhiều định dạng sẽ làm tăng thời gian quét. Để an toàn và tiết kiệm thời gian, tôi chỉ chọn các định dạng:

• Toshiba: .jpg
• Thẻ SD: .png, .mp4, .jpg

Chạy thử nghiệm trên Laptop Toshiba

Tôi khởi chạy PhotoRec trực tiếp từ USB cắm vào laptop Toshiba mà không chuẩn bị kỹ lưỡng về số lượng tập tin hay thời gian. Một sai lầm lớn là tôi chọn vị trí lưu các tập tin đã khôi phục chính là chiếc USB 7GB đang cắm vào máy (vốn chỉ còn khoảng 5,5-6GB trống).

Tôi lẽ ra phải nghe theo lời cảnh báo từ wiki của TestDisk: "Không được lưu tập tin đã khôi phục onto hệ thống tập tin nguồn. Nếu không, dữ liệu bị mất có thể bị ghi đè và mất vĩnh viễn."

Dù vậy, kết quả sau hơn 5 giờ chạy vẫn khá ấn tượng:

• Thời gian khôi phục: >5 giờ.
• Số lượng tập tin khôi phục: >16.000 tập tin.
• Dung lượng: Chiếm hết toàn bộ chỗ trống trên USB.
• Kết quả: Quá trình bị dừng do thiếu dung lượng lưu trữ.
• PhotoRec tạo ra 30 thư mục chứa hàng ngàn tập tin.

Phân tích kết quả

Kết quả khá "đáng kinh ngạc" nhưng cũng khá lộn xộn. PhotoRec đã khôi phục được một lượng lớn dữ liệu, nhưng nó không giữ lại tên tập tin gốc hay cấu trúc thư mục. Nó kéo về mọi thứ: ảnh LinkedIn, avatar web, logo trang web, ảnh profile chat xã hội với nhiều kích cỡ khác nhau, và cả các bản sao trùng lặp.

Việc sàng lọc kết quả rất tốn thời gian và công sức. Nếu có một script hoặc hỗ trợ từ LLM, tôi có thể phân loại tập tin dựa trên kích thước hoặc mẫu dữ liệu. Mỗi thư mục là một hỗn hợp hỗn độn của các loại ảnh và kích thước, khiến việc nhận diện đâu là dữ liệu hữu ích trở nên khó khăn. Tuy nhiên, điểm cộng là PhotoRec sẵn sàng tiếp tục quá trình nếu tôi cung cấp thiết bị lưu trữ lớn hơn.

Chạy thử nghiệm trên Thẻ SD

Có thêm kinh nghiệm từ lần đầu, tôi cắm thẻ nhớ SD của GoPro vào laptop và chọn đích đến lưu trữ là chính thẻ SD đó. Đây không phải là khuyến nghị, nhưng tôi khá tự tin vì thẻ nhớ này chỉ được sử dụng trong vài tuần.

Kết quả lần này nhanh chóng và gọn gàng hơn nhiều:

• Thời gian: <1 phút.
• Kết quả: 1 thư mục, 12 tập tin.
• Dung lượng: <1GB.

Bài học và Kết luận

PhotoRec là một công cụ vô cùng quan trọng để bảo quản tập tin qua các thế hệ phần cứng. Tuyệt đối không quét tất cả các loại tập tin ngay từ đầu. Hãy chỉ chọn những loại bạn biết (hoặc hy vọng) từng tồn tại trên hệ thống và từ từ bật thêm các bộ lọc khác. Luôn sao lưu dữ liệu và cắm sạc cho máy trong quá trình chạy. Điều cuối cùng bạn muốn là dữ liệu bị hỏng hóc trong lúc khôi phục.

Dữ liệu được khôi phục lộn xộn nhưng đầy đủ

Về mặt bảo mật, các công cụ điều tra như PhotoRec chứng minh giá trị to lớn. Những kẻ xấu có thể khôi phục các tập tin đã bị xóa từ các thiết bị cũ đã qua sử dụng, xâm phạm quyền riêng tư của người dùng trước. Làm thế nào người dùng bình thường biết khi nào dữ liệu thực sự bị xóa sạch? Ngược lại, các trường hợp hỗ trợ kỹ thuật sẽ được lợi ích rất nhiều, vì PhotoRec có thể cứu vãn ngày làm việc (hoặc thậm chí là "cuộc đời") của ai đó bằng cách khôi phục lại những tài liệu đã mất hàng thập kỷ chỉ trong vài phút.

Luôn sử dụng các công cụ này một cách thận trọng và tiếp tục sao lưu dữ liệu của bạn (nếu bạn thực sự quan tâm đến nó về lâu dài). Mục tiêu của tôi là dùng PhotoRec để kiểm chứng những tin đồn xưa cũ. Và kết quả là tôi có thêm lý do để gìn giữ những chiếc máy và thẻ nhớ cũ kỹ của mình. Cảm giác này giống như chơi xổ số, vì tôi không biết mình sẽ tìm thấy gì từ quá khứ của chính mình.