Ручне відновлення даних в FAT32

Для дослідження внутрішньої структури розділу доцільно використовувати утиліту Disk Editor, що входить в пакет Acronis Disk Director.

Для переходу в новий режим виберіть в меню Object пункт Drive (Пристрій). Після того як Disk Editor завершить сканування, встановіть перемикач режимів в положення Logical disks і потім виберіть в списку логічних дисків той, з яким ви збираєтеся працювати. Після цього Disk Editor почне сканування диска з метою визначення структури файлової системи і побудови повного дерева папок і файлів. Щоб отримати відомості про FAT і кореневий каталог, не обов'язково чекати повного завершення сканування, можна його перервати через кілька секунд після початку, натиснувши клавішу Esc. Після отримання від вас підтвердження про припинення сканування Disk Editor виведе на екран вміст кореневого каталогу в текстовій формі (рис. 7.16). Якщо Disk Editor з якоїсь причини не зміг самостійно виявити кореневої каталог, спробуйте перейти до нього за відносною адресою його першого сектора. Номер цього сектора можна визначити за значенням поля First cluster of Root блоку BPB. Крім того, при пошуку кореневого каталогу необхідно враховувати наступне. Кореневої каталог (як і будь-який інший каталог в FAT32) містить 32-байтові елементи - дескриптори, що описують файли і вкладені каталоги. Перший дескриптор кореневого каталогу містить відомості про логічному диску (точніше кажучи, про сам кореневий каталог), в тому числі: мітку тому, дату і час створення, атрибути каталогу як елемента файлової системи. Решта дескриптори, що зберігаються в кореневому каталозі, містять більшу кількість відомостей про пов'язані з ними елементи даних.

Опис лише найбільш важливих полів дескриптора, які представлені на першому екрані:

- Name - ім'я елемента даних (файлу або папки); якщо елемент даних відзначений як віддалений, то в якості першого символу імені використовується байт Е5 (у текстовому форматі Disk Editor замінює його буквою х);

- Ext - розширення файлу (для папок це поле порожньо);

- ID - тип елемента даних; можливі значення:

1) Vol - тому;

2) Dir - каталог;

3) LFN - абревіатура від Long File Name, довге ім'я файлу (про LFN см. Главу 3, розділ «Вибір імен папок і файлів»);

4) File - файл;

5) Erased - видалений (вказується тільки для файлів);

6) Del LFN - віддалене довге ім'я (ознака встановлюється після перейменування файлу або папки);

- Size - розмір (в байтах);

- Date - дата створення або зміни;

- Time - час створення або зміни;

- Cluster - номер першого кластера;

- A, R, S, Н, D, V - атрибути елемента даних (архівний, тільки читання, системний, прихований, каталог, тому); значення всіх атрибутів зберігаються в одному байті дескриптора.

Щоб переглянути вміст будь-якого вкладеного каталогу, перемістіть курсор до відповідного рядка і натисніть клавішу Enter.

Якщо відомості про кореневий (або вкладеному) каталозі, представлені Disk Editor, здаються вам «підозрілими», можна спробувати інтерпретувати записані в ньому дані самостійно, переключившись у режим перегляду шістнадцятирічного коду. Для цього в меню View виберіть пункт as Hex. Формат дескриптора каталогу представлений в табл. 1

Аналізуючи отриману інформацію, ви можете виявити підозрілі зміни в полях розміру файлу, дати і часу. При необхідності їх можна виправити «вручну».

Таблиця 1.1 – Формат дескриптора каталогу

Крім того, для кожного файлу в стовпці Cluster відображається номер розподіленого йому першого кластера. Слід переглянути весь каталог до кінця: необхідно перевірити, що в каталозі відсутні сторонні дані. Вони можуть бути записані туди вірусом. Якщо перейти в режим неформатованого перегляду, можна переконатися, що вільні елементи каталогу містять нульові значення. Якщо ж після вільних елементів знаходяться будь-які дані, існує дуже велика ймовірність того, що вони записані туди вірусом або системою захисту програм від несанкціонованого копіювання (якщо досліджуваний каталог містить такі програми). У тому випадку, коли каталог пошкоджений повністю або частково, посилання на описані в ньому файли будуть втрачені. Якщо ви знайдете той чи інший спосіб секторів, що містять потрібний вам файл зі зруйнованим дескриптором, то, користуючись описаної нижче методикою, зможете відновити дескриптор і отримати доступ до файлу.

Процедура заснована на використанні функцій Disk Editor з пошуку різних елементів файлової системи FAT. Наприклад, щоб знайти втрачені каталоги (такі, на які немає посилань з інших каталогів, в тому числі з кореневого), потрібно виконати наступне.

1. У меню Tools виберіть команду Find Object (Знайти об'єкт), а в додатковому меню виберіть варіант Subdirectory (Підкаталог).

2. Програма Disk Editor переглядає сектори диска в пошуках такого, на початку якого знаходиться послідовність байтів 2Е 20 20 20 20 20 20 20 20 20 20. Ця послідовність відповідає дескриптору, який містить посилання каталогу на себе самого.

3. Натискаючи комбінацію клавіш Ctrl + G, ви можете продовжити пошук потрібного каталогу, поки не знайдете той, який містить цікаві для вас файли.

4. Як тільки потрібний каталог знайдений, необхідно записати фізичну адресу сектора диска, що містить каталог, а потім знайти або обчислити номер кластера, відповідного каталогу.

Для пошуку номера кластера, в якому розташовується знайдений каталог, перейдіть в режим текстового перегляду каталогу, вибравши в меню View пункт as Directory. Потім в меню Link виберіть команду Cluster chain (fat) (Ланцюжок кластерів (fat)). На екрані з'явиться вміст таблиці FAT в текстовому режимі перегляду, при цьому шуканий номер кластера буде виділено. Знаючи номер кластера втраченого каталогу, можна створити новий дескриптор каталогу, наприклад, в кореневому каталозі диска, і зробити в цьому дескрипторі посилання на знайдений каталог. Після цього втрачений каталог знову стане доступним.

Відновлення даних в файлової системі NTFS

Файлова система NTFS містить цілий ряд механізмів, покликаних підвищити надійність зберігання даних. Це, в свою чергу, веде до істотного ускладнення структури NTFS в порівнянні з FAT32. Навіть детальне вивчення структури записів, що зберігаються в MFT (головній таблиці файлів), не гарантує можливість відновлення даних «вручну». Ситуація ускладнюється тим, що на сьогоднішній день практично відсутні інструменти, що забезпечують зручні засоби перегляду і редагування MFT.

Із зазначеної причини ми обмежимо коло питань, що розглядаються наступними ситуаціями:

- відновлення елемента таблиці розділів, що містить відомості про NTFS-розділі;

- відновлення службової інформації в MFT.

Перераховані завдання можна вирішити за допомогою спільного використання таких інструментів, як Norton Disk Editor і Paragon Partition Manager, а також утиліти Partition Table Editor, що входить до складу пакету Norton PartitionMagic.

Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право...

Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычис­лить, когда этот...

ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между...

ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала...

Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте: