Восстановление данных с флеш-носителей (стр. 6 из 8)
8.Подождите завершения процесса сохранения, и проверьте результат. Если всё получилось – закрываем R-Studio
Перед закрытием программы убедитесь, что корректно восстановилось всё, что Вам требуется, или сохраните результат сканирования. Иначе, если обнаружится, что вам нужно что-то ещё, придётся сканировать заново. Сохранить результат сканирования можно из интерфейса выбора накопителя. Чтобы туда снова попасть, нажмите кнопку «Back» на панели инструментов. Затем в меню, выпадающем при щелчке правой кнопкой мышки на отсканированном объекте, выберите пункт «Save Scan Information», определите папку для сохранения и нажмите «Сохранить».
Если в результате проведённых действий часть данных восстановить не удалось, или восстановленные файлы содержат некорректную информацию, то в интерфейсе выбора накопителя открываем другой вариант карты (из «зелёных» или «желтых») и повторяем операции, описанные в пунктах 5-8. В случае, когда и это не помогло, обращаемся к RawRecovery
Использование EasyRecovery Pro в режиме RawRecovery.
После запуска EasyRecovery Pro, слева выберите пункт «Data Recovery», затем справа «RawRecovery». Из появившегося списка выбираем нужный накопитель, нажимаем кнопку «next». Наблюдаем за прогресс-баром, ждём результата. Работая в режиме RawRecovery, EasyRecovery Pro собирает файлы по частям на основании имеющихся сигнатур. Сигнатура – это характерный фрагмент, по которому можно понять, что файл относится к определённому типу. Список имеющихся сигнатур можно увидеть, нажав кнопку «File Types». Воспользовавшись предложенными инструментами можно добавить свои сигнатуры. В качестве результата сканирования получаем список файлов, с именами вида FIL1.RAR, FIL2.RAR и т.п., рассортированных в соответствии с типами по различным папкам. В выборе объектов для последующего сохранения, могут помочь функции поиска, отображения в соответствии с фильтром и просмотра содержимого файла, вызываемые нажатием кнопок «Find», «Filter Options» и «View File» соответственно. Пометьте чекбоксы рядом с нужными файлами и папками, нажимаем «next». Затем выбираем папку и сохраняем в неё результат восстановления. После копирования выбранной информации, есть возможность сохранить результат сканирования, для дальнейшего использования. Если R-Studio выдаёт ошибки чтения, виснет EasyRecovery, то это может означать наличие нечитаемых секторов. Возможно, потеря данных и была вызвана их появлением. Чем их больше, тем медленнее будет идти сканирование и считывание информации. При большом количестве бэд-секторов ( >50 ) стоит в R-Studio уменьшить количество попыток чтения. Чтобы это сделать, выделите жесткий диск в интерфейсе выбора накопителя, выберите параметр I/O Tries в появившемся в правой части экрана списке и выставите его в 1.
Ручное восстановление данных в FAT32
Для исследования внутренней структуры раздела целесообразно использовать утилиту DiskEditor, входящую в пакет Acronis Disk Director.
Для перехода в новый режим выберите в меню Objectпункт Drive(Устройство). После того как DiskEditor завершит сканирование, установите переключатель режимов в положение Logicaldisksи затем выберите в списке логических дисков тот, с которым вы собираетесь работать. После этого DiskEditor начнет сканирование диска с целью определения структуры файловой системы и построения полного дерева папок и файлов. Чтобы получить сведения о FAT и корневом каталоге, не обязательно дожидаться полного завершения сканирования, можно его прервать через несколько секунд после начала, нажав клавишу Esc. После получения от вас подтверждения о прекращении сканирования DiskEditor выведет на экран содержимое корневого каталога в текстовой форме (рис. 7.16). Если DiskEditor по какой-то причине не смог самостоятельно обнаружить корневой каталог, попробуйте перейти к нему по относительному адресу его первого сектора. Номер этого сектора можно определить по значению поля FirstclusterofRootблока BPB. Кроме того, при поиске корневого каталога необходимо учитывать следующее. Корневой каталог (как и любой другой каталог в FAT32) содержит 32-байтовые элементы — дескрипторы, описывающие файлы и вложенные каталоги. Первый дескриптор корневого каталога содержит сведения о логическом диске (точнее говоря, о самом корневом каталоге), в том числе: метку тома, дату и время создания, атрибуты каталога как элемента файловой системы. Остальные дескрипторы, хранящиеся в корневом каталоге, содержат большее количество сведений о связанных с ними элементах данных.
Описание лишь наиболее важных полей дескриптора, которые представлены на первом экране:
· Name— имя элемента данных (файла или папки); если элемент данных отмечен как удаленный, то в качестве первого символа имени используется байт Е5 (в текстовом формате DiskEditor заменяет его буквой х);
· Ext— расширение файла (для папок это поле пусто);
· ID— тип элемента данных; возможные значения:
- Vol — том;
- Dir — каталог;
- LFN— аббревиатура от LongFileName, длинное имя файла (об LFN см. главу 3, раздел «Выбор имен папок и файлов»);
- File — файл;
- Erased— удален (указывается только для файлов);
- DelLFN— удаленное длинное имя (признак устанавливается после переименования файла или папки);
· Size — размер (в байтах);
· Date— дата создания или изменения;
· Time— время создания или изменения;
· Cluster — номер первого кластера;
· A, R, S, Н, D, V — атрибуты элемента данных (архивный, только чтение, системный, скрытый, каталог, том); значения всех атрибутов хранятся в одном байте дескриптора.
Чтобы просмотреть содержимое какого-либо вложенного каталога, переместите курсор в соответствующую строку и нажмите клавишу Enter.
Если сведения о корневом (или вложенном) каталоге, представленные DiskEditor, кажутся вам «подозрительными», можно попробовать интерпретировать записанные в нем данные самостоятельно, переключившись в режим просмотра шестнадцатеричного кода. Для этого в меню Viewвыберите пункт asHex. Формат дескриптора каталога представлен в табл. 1
Анализируя полученную информацию, вы можете обнаружить подозрительные изменения в полях размера файла, даты и времени. При необходимости их можно исправить «вручную».
Таб. 1 Формат дескриптора каталога [13]
Кроме того, для каждого файла в столбце Clusterотображается номер распределенного ему первого кластера. Следует просмотреть весь каталог до конца: необходимо проверить, что в каталоге отсутствуют посторонние данные. Они могут быть записаны туда вирусом. Если перейти в режим неформатированного просмотра, можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы). В том случае, когда каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если вы найдете тем или иным способом секторы, содержащие нужный вам файл с разрушенным дескриптором, то, пользуясь описанной ниже методикой, сможете восстановить дескриптор и получить доступ к файлу.
Процедура основана на использовании функций DiskEditor по поиску различных элементов файловой системы FAT. Например, чтобы найти потерянные каталоги (такие, на которые нет ссылок из других каталогов, в том числе из корневого), требуется выполнить следующее.
1. В меню Toolsвыберите команду FindObject(Найти объект), а в дополнительном меню выберите вариант Subdirectory(Подкаталог).
2. Программа DiskEditor просматривает секторы диска в поисках такого, в начале которого находится последовательность байтов 2Е 20 20 20 20 20 20 20 20 20 20. Эта последовательность соответствует дескриптору, содержащему ссылку каталога на себя самого.
3. Нажимая комбинацию клавиш Ctrl+G, вы можете продолжить поиск нужного каталога, пока не найдете тот, который содержит интересующие вас файлы.
4. Как только нужный каталог найден, необходимо записать физический адрес сектора диска, содержащего каталог, а затем найти либо вычислить номер кластера, соответствующего каталогу.
Для поиска номера кластера, в котором располагается найденный каталог, перейдите в режим текстового просмотра каталога, выбрав в меню View пункт asDirectory. Затем в меню Link выберите команду Clusterchain (fat) (Цепочка кластеров (fat)). На экране появится содержимое таблицы FAT в текстовом режиме просмотра, при этом искомый номер кластера будет выделен. Зная номер кластера потерянного каталога, можно создать новый дескриптор каталога, например, в корневом каталоге диска, и сделать в этом дескрипторе ссылку на найденный каталог. После этого потерянный каталог вновь станет доступным.
Восстановление данных в файловой системе NTFS
Файловая система NTFS содержит целый ряд механизмов, призванных повысить надежность хранения данных. Это, в свою очередь, ведет к существенному усложнению структуры NTFS по сравнению с FAT32. Даже детальное изучение структуры записей, хранящихся в MFT (главной таблице файлов), не гарантирует возможность восстановления данных «вручную». Ситуация усугубляется тем, что на сегодняшний день практически отсутствуют инструменты, обеспечивающие удобные средства просмотра и редактирования MFT.
По указанной причине мы ограничим круг рассматриваемых вопросов следующими ситуациями:
· восстановление элемента таблицы разделов, содержащего сведения об NTFS-разделе;
· восстановление служебной информации в MFT.
Перечисленные задачи можно решить посредством совместного использования таких инструментов, как NortonDiskEditor и ParagonPartitionManager, а также утилиты PartitionTableEditor, входящей в состав пакета NortonPartitionMagic.
Восстановление элемента таблицы разделов
Имеется в виду ситуация, когда операционной системе Windows ХР не удается опознать флеш диск с NTFS вследствие повреждения описывающего его (диск) элемента таблицы разделов. Чтобы получить более полное представление о возникшей ситуации, целесообразно запустить утилиту NortonPartitionTableEditor. После запуска PTEdit на экране появится диалоговое окно, с помощью которого можно просмотреть и отредактировать основные параметры любого элемента таблицы разделов выбранного физического диска. Выбор физического диска выполняется с помощью раскрывающегося списка HardDisk(Жесткий диск).