Интернет жизнь

Все об интернете

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Реконструкция разделов и файловых систем с помощью программы RStudio.

В лучшем случае удается полностью или почти полностью восстановить логическую структуру диска. Одни средства позволяют работать как с образом, так и с самим носителем. К этой группе относится неоднократно упоминаемая программа RStudio. Вообще, RStudio обладает таким набором функций и настроек, что это приложение можно смело поставить на первое место в своей категории.

Второй вариант, подходящий для дисков с полностью исправной аппаратной частью, — восстановление структур непосредственно на самом диске. Рискованно? Конечно! Однако мы договорились, что образ все равно сделали заранее, — он и послужит резервной копией в случае неудачи.

Непосредственно с диском работают любые утилиты: от пакета Test Disk (www.cgsecurity.org/wiki/TestDisk) с минималистичным консольным интерфейсом до популярной программы EasyRecovery (www.ontrack.com) и многочисленных приложений, рассчитанных на неподготовленного пользователя.

Все разработчики ПО для восстановления данных досконально знают и тонкости логического устройства дисков, и все, что с дисками может произойти. Точно так же общеизвестны принципы анализа и извлечения содержимого поврежденных логических структур. Поэтому особых идеологических прорывов в этой области ждать не приходится — разница между различными программами заключена в конкретной реализации алгоритмов и организации пользовательского интерфейса.

В качестве примера взят диск, на котором были созданы разделы NTFS и FAT-32.

В них были скопированы файлы. Затем на диске разрушены (вручную заполнены нулями) MBR, часть MFT и начало раздела FAT-32. Диск вновь отформатирован в NTFS и на него скопированы другие файлы.

Вот из таких руин и попробуем извлечь что-то осмысленное. Для чистоты эксперимента мы будем работать с несжатым образом, снятым с диска программой RStudio.

Двоичные (несжатые) образы можно открыть любой программой, которая способна работать с таким типом файлов. Как уже сказано, расширение файла никакой роли не играет. Начнем с обработки образа средствами RStudio.

1. Откройте образ — нажмите кнопку Open Image (Открыть образ) на панели инструментов. Выберите нужный файл в стандартном диалоговом окне открытия файлов. Подключенный образ будет показан в главном окне про граммы на вкладке Device View (Обзор устройств) в общем дереве дисков в группе Image Files (Файлы образов).

2. Чтобы программа проанализировала содержимое диска или образа, нажмите кнопку Scan (Сканировать) на панели инструментов или щелкните правой кноп кой мыши на значке диска и выберите одноименную команду в контекстном меню. Откроется диалоговое окно настроек сканирования.

По умолчанию предлагается проанализировать весь диск и искать на нем следы всех известных программе файловых систем, а также файлы наиболее употреби тельных типов по сигнатурам. Если ограничить списки, сканирование выполнится быстрее.

3. Чтобы конкретизировать список файловых систем, нажмите кнопку Change (Выбрать) и в открывшемся диалоговом окне оставьте флажки только напротив тех ФС, которые вы хотите искать. Например, если диск работал только на компьютере с Windows, есть смысл искать на нем лишь структуры файловой системы NTFS и, возможно, FAT.

4. Чтобы выбрать типы файлов, которые следует искать, нажмите кнопку Known File Types (Известные типы файлов). В открывшемся диалоговом окне оставьте флажки напротив только тех типов и расширений, которые вы хотите извлечь с диска. Нажмите кнопку OK.

5. Если образ (или диск) велик по объему, есть смысл сохранить протокол сканирования в файл, чтобы при необходимости не сканировать все снова. Для этого установите флажок Save to File (Сохранить в файл) и в поле ввода укажите имя файла для сохранения результатов.

6. Нажмите кнопку Scan (Сканировать). В правой части окна откроется область Scan Information (Информация о сканировании). На ней в виде карты отображаются блоки диска, а обнаруженные в них логические структуры помечаются разными цветами.

Если навести указатель мыши на блок, во всплывающем сообщении будет показано, что именно (файлы, записи FAT или NTFS и т.п.) обнаружено в этом блоке. Кроме того, по завершении сканирования под картой блоков выводится легенда: она поясняет, какими цветами какие структуры обозначаются.

Когда сканирование будет выполнено, на вкладке Device View (Обзор устройств) под значком выбранного диска отобразятся файловые системы (или разделы, что в данном случае то же самое). Среди них перечислены как ныне здравствующие, так и утраченные когда-то. Для каждой записи приводятся сведения о смещении начала раздела относительно начала диска и размере раздела.

Цвета записей указывают на прогноз восстановления найденных структур (зеленый — хороший, желтый — сомнительный, красный — плохой). Зависит прогноз от того, как полно сохранились остатки записей, насколько были они затерты более свежими.

Теперь пора приступать собственно к извлечению данных. Для этого выберите из списка обнаруженных файловых систем ту, которую вы планируете восстановить. Щелкните правой кнопкой мыши на записи и в контекстном меню выберите команду Open Drive Files (Открыть файлы диска) либо нажмите клавишу <F5>. На новой вкладке отобразится результат анализа восстанавливаемой файловой системы.

В левой части вкладки приведено дерево папок (Folders) восстанавливаемой файловой системы, а в правой отображается содержимое (Contents) папки, указан ной в дереве. Ниже структурированной информации приведены еще два элемента:

- Extra Found Files — дополнительно найденные файлы. Они будут извлечены и сохранены без учета иерархии и, скорее всего, без оригинальных имен;

- Metafiles — метафайлы NTFS, которые могут быть извлечены с диска и сохранены в виде обычных бинарных файлов, например, для дальнейшего анализа вручную.

Напротив каждого элемента присутствуют флажки. Чтобы пометить объект на восстановление, соответствующий флажок следует установить.

Для восстановления и сохранения всех найденных элементов без исключения нажмите на панели инструментов кнопку Recover (Восстановить). Для извлечения только выбранных объектов нажмите кнопку Recover Marked (Восстановить по меченное). Откроется диалоговое окно сохранения с двумя вкладками.

В поле Output Folder укажите папку, в которую будут сохраняться данные. На вкладке Main (Основные) задаются основные параметры восстановления. Предлагаемое по умолчанию сочетание установленных и снятых флажков подходит в большинстве случаев.

На вкладке Advanced (Расширенные) три переключателя по умолчанию установлены в положение Prompt (Подсказка). При перезаписи ранее восстановленных файлов, сохранении файлов с утраченными именами и файлов, которые в оригинале несли атрибут «скрытый», программа каждый раз будет предлагать вам выбрать желаемое действие.

Для продолжения нажмите кнопку OK. В соответствии с предварительным выбором и заданными настройками программа поместит восстановленные файлы указанную директорию.

 

Поиск

===============================

Интернет теперь в твоей судьбе!

В интернете принято дарить -

Музыку, свои воспоминанья...

Тянется невидимая нить

Через страны, дни и расстоянья.

Незнакомым людям дарят сны,

Нежные стихи и пожеланья...

Теплые слова всегда нужны

В мире виртуального свиданья.

Тот, кто дарит - чувствует сильней,

Ничего не требуя в награду.

Подарить другим любовь сумей,

Потому что это многим надо!

И вернутся смайлики к тебе,

И друзья появятся, конечно.

Интернет теперь в твоей судьбе -

На короткий миг, длиною в вечность!

П.Давыдов

===============================

Войти


Яндекс.Метрика