PR
Q 質問 Windowsをインストールしたハード・ディスク内のファイルを,ウイルスで消去されてしまいました。消されたデータを復元できるのでしょうか

A 回答 ファイルが参照できない状況でも,データ領域が残っていれば復元可能です

 ハード・ディスクの内容を消去するウイルスはいくつか種類があります。チェルノブイリ型(CIH)ウイルスのように,Windowsのブート情報や各ファイルの保存場所を管理しているファイル・アロケーション・テーブル(FAT)などを消去するタイプであれば,ファイルは参照できなくなりますが,データはディスクに残っています。こうした場合,データ・ファイルの復元が可能です。

ファイルが見えない理由

 復元方法を見る前に,なぜファイルが参照できなくなるのか,について確認しておきましょう。それにはまず,Windowsをインストールしたハード・ディスクの構造を理解する必要があります。

図1●Windows環境でデータが参照できなくなる状況
Windowsで管理するハード・ディスク内(FATを利用している場合)には,MBR,FAT,ディレクトリ・エントリ,データ領域がある。MBR,FAT,ディレクトリ・エントリが壊れると,ファイルが参照できなくなる。しかし,データ領域にはデータは残っているため,復元することができる

 ハード・ディスクの領域には,先頭から,マスター・ブート・レコード(MBR),FAT(ただし,Windows NTではNTFSと呼ぶファイル管理システムもある),ディレクトリ・エントリ,データ領域──が入っています(図1[拡大表示])。MBRは,パソコンを起動したときに,BIOSがハード・ディスクから読み出して実行する最初の起動プログラムと,そのディスクの各パーティションにおける先頭のクラスタ(ファイルを管理する単位)番号が記録されています。各パーティションの先頭には,ブート・セクターがあり,MBRが壊れると,システムが起動しなくなります。

 FATはディスクに含まれる全クラスタの使用状況と,複数のクラスタに分割してファイルを置いた場合のリンク情報が記録してあります。OSがディスクにデータを書き込むときには,FATを調べ,空いているクラスタにデータを追加します。FATには,データを保存するときに使用したクラスタの番号が書き込まれます。

 ディレクトリ・エントリには,ファイル名,拡張子,属性,更新時刻,更新日,ファイルが保存してある先頭のクラスタ番号,ファイル・サイズなどの情報が書き込まれています。エクスプローラで見るファイルの情報は,ディレクトリ・エントリ内に置いてあるものです。

 ファイルを読み込む場合,まず,ディレクトリ・エントリからファイル名,ファイル・サイズ,更新日付,先頭クラスタ番号といった情報を読み取ります。さらに,先頭クラスタ番号とFATにある位置情報から,データ領域に散在したデータをつなぎ合わせてデータを読み込みます。そのため,ディレクトリ・エントリやFATが壊れるとデータを参照できなくなります。


復元ツールやサービスを利用

 データを復元するには,データ復元のサービスやデータ復元ツールを利用します。国内では,アルファテクノがデータ復元サービスを提供しています。Windowsに限らず,UNIXやMacintoshなどにも対応しています。また,ハード・ディスクだけでなく,DATや光磁気ディスクなどにも適用できます。料金は,調査が3万円,復旧は200Mバイト未満で20万円です。

図2●データ復元ツールFINALDATAの操作環境
Windowsが起動する環境で,ファイルが読めないディスクをスキャンすることで,見えないファイルを一覧表示する。復元したいファイルを指定すれば,元に戻すことができる

 Windows用データ復元ツールとして,アルファ・オメガソフトが「FINALDATA」(米FINAL DATA社が開発)を販売しています。ウイルスに破壊されたディスクを,FINALDATAでスキャンすれば,FATが壊れて見えなくなっていたファイルの一覧が表示されます(図2[拡大表示])。そのファイルを指定すれば,復元できます。Windowsが起動しない場合は,別のWindowsマシンに接続して利用します。価格は1万5800円です。

フォーマットしても復元できる

 これらのサービスやツールでは,ウイルス以外でも,ディスク・クラッシュでFATが壊れた場合,あるいはフォーマットしてしまった場合,「ごみ箱」から消去してしまった場合でも,同様に復元できる可能性があります。Windowsのクイック・フォーマットや通常フォーマットでは,ブート・セクター,FAT,ルート・ディレクトリ領域を初期化して再配置しますが,データ領域はそのまま残っているので復元が可能です。ただし,フロッピ・ディスクの場合は,「通常フォーマット」すると,データ領域を初期化するため復元できません。

 ごみ箱から消去すると,ディレクトリ・エントリに記録されているファイル名の先頭の文字を消去するため,OSからデータを参照することができません。しかし,この場合もデータは残っています。そのため,復元可能です。削除ファイルの復元には,シマンテックのNorton Utilitiesが備えるUnErase Wizardも利用できます。

(本誌)