Data utvinning fungerer ulike måter og avhenger av hvordan dataene er tapt . Selv om datalagring kan være svært omfattende, er det enkleste tilfellet som en hjemme-PC som har en harddisk for lagring og at harddisken har kun én partisjon . Bakgrunn

En hjemme-PC kjører et operativsystem (Windows , Macintosh , etc. ) . Operativsystemet vet om filer . Harddisken ikke vet om filer, det vet om sektorer . Sektorer er små biter av data , vanligvis 512 bytes. Et filsystem ( NTFS, HFS + , etc. ) oversetter mellom filer og harddisk sektorer. Tap av data er når operativsystemet ikke lenger kan lese en eller flere filer fra harddisken .
File System

I sin enkleste form er et filsystem bare en tabell på harddisken med en kolonne for filnavnet og en annen kolonne for sektoren tall som brukes av filen. Når operativsystemet oppretter en fil , finner filsystemet en tom rad i tabellen , skriver deretter inn filnavnet og sektorens tall. Når operativsystemet leser en fil , ser filsystemet opp filnavnet og deretter leser sektorene fra disken .
Slettede filer

Når du tømme papirkurven , forteller operativsystemet filsystemet for å slette hver fil i papirkurven. De fleste filsystemer ikke egentlig slette informasjonen , de bare markere raden i tabellen som tilgjengelig . Raden i tabellen kan gjenbrukes av filsystemet i fremtiden. Til slutt kan disse sektorer bli gjenbrukt på disken , men de blir ikke brukt på nytt umiddelbart. Inntil de blir gjenbrukt , kan filen gjenopprettes ved å lese filsystemet informasjon direkte og handle som om raden var tilgjengelig. Lagre filer og defragmentere disken kan gjøre slettede filer uopprettelig ved å gjenbruke filen tabellrader og harddisk sektorer.
Ødelagt filer

En fil er ødelagt når det ikke kan leses tilbake i. En fil kan bli ødelagt av en software bug , en sektor svikt eller av en skadet filsystem . Selv om deler kan gjenvinnes , korrupte filer generelt ikke kan gjenopprettes helt.
Ødelagt File System

Filsystemet informasjon er lagret på disken , slik at den kan bli ødelagt som alle andre filer . De fleste moderne filsystemer enten beholde en kopi av filsystemet informasjon eller dagbok som kan spilles av å gjenskape informasjon. Selv når et filsystem ikke kan bli fullstendig gjenopprettet, kan filene fortsatt gjenopprettes ved å lese filsystemet informasjon direkte . Noen filer er vanligvis tapt når du gjenoppretter korrupte filsystemer .
Data Carving

Mange filtyper inneholder forskjellige heksadesimale strenger eller signaturer som identifiserer dem . JPEG-filer , for eksempel begynne med heksadesimalstreng 0xFFD8FF . Lese harddisken sektorer direkte og leter etter tilgjengelige sektorer som begynner med 0xFFD8FF kan tillate deg å gjenopprette en JPEG -fil. Men denne teknikken , som kalles " data carving , " lider av flere begrensninger . Det er svært tidkrevende. Non - JPEG-filer kan også begynne med 0xFFD8FF . Du kan finne mange filer som ikke er JPEG. Sektorer er gjenbrukt, og filer kan fragmentert. Noen ganger blir bare deler av filen utvinnes. Ikke alle filtyper kan gjenkjennes ved en enkel signatur og så ikke alle filer kan gjenopprettes .