بازیابی اطلاعات هارد فرمت شده در لینوکس؛ راهنمای جامع و کامل

بازیابی اطلاعات هارد فرمت شده در لینوکس_ فرمت کردن هارد یا پارتیشن در لینوکس یکی از کارهای روزمرهٔ خیلی از کاربران و ادمین‌هاست. بعضی‌ها برای نصب دوبارهٔ سیستم‌عامل این کار را انجام می‌دهند، بعضی‌ها می‌خواهند یک درایو را کاملاً تمیز کنند و بعضی‌ها هم متأسفانه به اشتباه دکمهٔ فرمت را می‌زنند و بعد با چشم‌های گرد شده می‌پرسند: «خب حالا چی؟ اطلاعاتم رفت؟»

خبر خوب این است که در ۹۰٪ موارد، اطلاعات واقعاً «رفته» نیستن. فقط «پنهان» شدن و هنوز روی دیسک هستند. حالا چرا؟ بیایید از اول و کامل توضیح بدهیم.

دقیقاً وقتی هارد فرمت می‌شه چه اتفاقی می‌افته؟

وقتی شما یک پارتیشن یا دیسک را فرمت می‌کنید، سیستم‌عامل فقط دو کار اصلی انجام می‌دهد:

1. جدول فایل‌سیستم (مثل inodeها در ext4 یا superblock) را پاک می‌کند یا دوباره می‌سازد.
2. یک فایل‌سیستم جدید و خالی می‌سازد.

داده‌های واقعی شما (عکس‌ها، فیلم‌ها، داکیومنت‌ها و …) تا وقتی فضای جدیدی روی آن‌ها نوشته نشود، دقیقاً همون‌جایی که قبلاً بودن باقی می‌مانند. مثل این می‌مونه که فهرست کتابخونه رو پاره کنید، اما خود کتاب‌ها هنوز روی قفسه باشن. تا وقتی کتاب جدیدی سر جای اونا نذارید، کتاب‌های قبلی هنوز اونجان.

به همین دلیل است که بازیابی اطلاعات بعد از فرمت (به‌خصوص فرمت سریع) در بیشتر مواقع کاملاً شدنی است.

فرمت سریع یا Quick Format چیه و چرا مهمه؟

در لینوکس وقتی با دستور mkfs یا ابزارهای گرافیکی مثل GParted یا Disks فرمت می‌کنید، معمولاً گزینهٔ «Quick Format» به صورت پیش‌فرض فعال است. این یعنی:

• فقط جدول فایل‌سیستم پاک می‌شه
• هیچ داده‌ای روی دیسک بازنویسی نمی‌شه
• شانس بازیابی تقریباً ۹۵–۱۰۰٪ است (اگر سریع اقدام کنید)

اما یک گزینهٔ خطرناک‌تر هم هست به اسم «فرمت کامل» یا «Full Format» یا «Zero-fill». در این حالت سیستم کل دیسک را با صفر یا الگوهای تصادفی پر می‌کند. اینجا دیگه واقعاً اطلاعات برای همیشه پاک می‌شن و حتی بهترین متخصص‌های دنیا هم نمی‌تونن چیزی برگردونن (مگر با تجهیزات آزمایشگاهی خیلی خاص و گرون).

خوشبختانه ۹۹٪ کاربران عادی هیچ‌وقت فرمت کامل انجام نمی‌دن، چون هم خیلی طول می‌کشه (ساعت‌ها یا حتی روزها) و هم گزینهٔ پیش‌فرض نیست.

چرا در SSDها قضیه فرق داره؟

در درایوهای SSD یک قابلیت به اسم TRIM وجود داره که وقتی فایلی پاک می‌شه یا پارتیشن فرمت می‌شه، کنترلر SSD خودش به صورت خودکار بلوک‌های بلااستفاده رو پاک می‌کنه. یعنی حتی اگر شما فرمت سریع هم کرده باشید، ممکنه بعد از چند دقیقه یا چند ساعت بخشی از اطلاعات واقعاً پاک شده باشه.

به همین دلیل در SSDها:

• سرعت پاک شدن اطلاعات خیلی بیشتره
• شانس بازیابی کمتر از هارددیسک‌های معمولیه
• هر دقیقه تأخیر می‌تونه فاجعه‌بار باشه

پس اگر SSD فرمت کردید، واقعاً باید مثل برق اقدام کنید.

بدترین کارهایی که می‌تونید بعد از فرمت اشتباه انجام بدید

1. نصب دوبارهٔ لینوکس یا هر سیستم‌عامل دیگه روی همون پارتیشن
2. کپی کردن حتی چند مگابایت فایل جدید
3. اجرای دستورات dd یا نوشتن تصویر ایزو روی همون دیسک
4. ری‌استارت کردن سیستم و مانت کردن خودکار پارتیشن
5. استفاده از گزینهٔ «secure erase» یا «wipe» در ابزارها

هر کدوم از این کارها می‌تونه بخش بزرگی از اطلاعات قبلی رو برای همیشه overwrite کنه.

بهترین کارهایی که باید بلافاصله انجام بدید

• سیستم رو خاموش کنید یا حداقل دیسک رو آن‌مانت کنید
• اگر ممکنه دیسک رو فیزیکی از سیستم جدا کنید
• از یک سیستم دیگه یا لایو لینوکس (بدون مانت کردن دیسک مشکل‌دار) بوت کنید
• هیچ فایل یا برنامه‌ای روی دیسک آسیب‌دیده ننویسید
• سریع تصمیم بگیرید که خودتون می‌خواید امتحان کنید یا کار رو به متخصص بسپارید

چه مواقعی شانس بازیابی تقریباً صفره؟

1. فرمت کامل (Full Format یا Zero-fill) انجام داده باشید
2. دیسک رمزنگاری‌شده (LUKS یا VeraCrypt و …) بوده و کلیدها پاک شده باشن
3. SSD با TRIM فعال چند ساعت یا چند روز گذشته باشه
4. چندین بار سیستم‌عامل جدید نصب شده باشه
5. از ابزارهای «امحای امن» مثل shred یا wipe استفاده شده باشه
6. دیسک فیزیکی آسیب دیده باشه (بدسکتور زیاد، صدای غیرعادی و …)

چه مواقعی شانس بازیابی خیلی بالاست؟

• فرمت سریع انجام شده باشه
• کمتر از چند ساعت گذشته باشه
• هیچ فایل جدیدی روی دیسک نوشته نشده باشه
• هارددیسک معمولی (HDD) باشه نه SSD
• پارتیشن فقط فرمت شده باشه و جدول پارتیشن‌ها حذف نشده باشه

چرا گاهی حتی با ابزارهای قوی هم چیزی پیدا نمی‌شه؟

چون بعضی فایل‌سیستم‌های مدرن (مثل btrfs یا zfs) ویژگی‌هایی مثل snapshot یا copy-on-write دارن که رفتارشون با فرمت معمولی فرق داره. یا مثلاً وقتی از LVM استفاده می‌کنید و volume رو حذف و دوباره می‌سازید، ساختار پیچیده‌تری ایجاد می‌شه که بازیابی دستی خیلی سخت‌تر می‌شه.

پیشگیری همیشه ارزون‌تر از درمانه

واقعاً بهترین راه اینه که هیچ‌وقت به مرحلهٔ بازیابی نرسید:

• قبل از هر فرمت یا حذف پارتیشنی دوبار و سه‌باز چک کنید
• از بکاپ 3-2-1 استفاده کنید (۳ نسخه، ۲ رسانه مختلف، ۱ نسخه آفلاین یا ابری)
• برای اطلاعات حیاتی همیشه RAID یا بکاپ لحظه‌ای (snapshot) داشته باشید
• از دیسک‌های خارجی یا NAS برای ذخیرهٔ دوم استفاده کنید
• اگر کار حساسی می‌کنید انجام بدید، اول عکس (image) کامل از دیسک بگیرید

حرف آخر

بازیابی اطلاعات هارد فرمت شده در لینوکس در بیشتر موارد کاملاً ممکنه، اما یک قانون طلایی داره: زمان و عدم نوشتن دادهٔ جدید. هر ثانیه‌ای که می‌گذره و هر مگابایتی که روی دیسک نوشته می‌شه، شانس برگردوندن فایل‌ها رو کمتر می‌کنه.

اگر اطلاعات معمولی از دست دادید و فقط چند ساعت گذشته و فرمت سریع بوده، احتمالاً با کمی دقت و ابزارهای موجود خودتون هم می‌تونید برگردونید. اما اگر اطلاعات خیلی مهم، حساس یا حیاتی هستن (مثل عکس‌های خانوادگی ۱۰ ساله، پروژهٔ چندساله، دیتابیس شرکت و …) لطفاً ریسک نکنید. یک حرکت اشتباه می‌تونه همه‌چیز رو برای همیشه از بین ببره.

در این مواقع بهترین کار اینه که دیسک رو کاملاً دست‌نخورده نگه دارید و کار رو به کسانی بسپارید که تجهیزات کلین‌روم، تجربهٔ چندده‌هزار کیس موفق و روش‌های پیشرفته دارن. برای اطلاعات بیشتر در مورد شرایطی که حتماً نیاز به کمک حرفه‌ای دارید، می‌تونید صفحهٔ بازیابی اطلاعات هارد رو ببینید.

امیدوارم این مقاله کامل و جامع بهتون کمک کرده باشه که دقیقاً بدونید بعد از فرمت کردن چه اتفاقی می‌افته، چه امیدی هست و چه کارهایی باید بکنید یا نکنید. موفق باشید و امیدوارم هیچ‌وقت بهش نیاز پیدا نکنید! 😊