Интернет жизнь

Все об интернете

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Извлечение «сырых» данных с помощью программы RStudio.

При восстановлении логических структур и RStudio, и TestDisk ориентируются на их неповрежденные остатки, а также на уцелевшие зеркальные копии. Понятно, что при обширных повреждениях диска (даже если они не связаны с физической недоступностью секторов) прогноз становится сомнительным. Более того, при повторном форматировании диска в ту же ФС с тем же размером разделов основные элементы файловой системы полностью перезаписываются. В результате получается, что восстанавливать нечего и неоткуда!

Для извлечения данных в такой ситуации приходится идти иным путем. Если нельзя воссоздать логическую структуру диска, остается возможность найти «тела» файлов и скопировать их на другой носитель. В программе RStudio такая процедура называется извлечением дополнительно найденных файлов. В пакете Ontrack EasyRecovery предусмотрена функция Raw Recovery (восстановление сырых данных). В проект cgsecurity.org входит утилита PhotoRec, которая занимается практически тем же самым.

Смысл подобного восстановления в том, что файл всегда начинается по границе кластера. Программа сравнивает содержимое начала каждого кластера с различны ми шаблонами. При совпадении она предполагает, что в этом кластере начинается файл определенного типа или формата. На формат файла указывают сигнатура типа файла либо последовательности, характерные для всех файлов этого типа.

Возможности разных программ в этой области в основном определяются тем, каким набором шаблонов они оперируют. Например, RStudio пытается распознавать сотни типов файлов, программа PhotoRec версии 6.12 ищет файлы 38 распространенных типов. Многие утилиты, предназначенные для восстановления данных с карт памяти фотоаппаратов и плееров, ограничиваются только основными форматами файлов изображений и мультимедиа.

Одним из лучших средств «вольного поиска» остается все та же программа RStudio. Если перед сканированием диска в диалоговом окне настроек был установлен флажок Extra Search for Known File Types (Дополнительно искать известные типы файлов), в списке найденных файловых систем появится и элемент Extra Found Files (Дополнительно найденные файлы).

1. На вкладке Device View (Обзор устройств) щелкните на этом элементе. Сначала в правой части окна на вкладке Properties (Свойства) отображаются описание выбранной группы и ссылка.

2. Щелкните на ссылке. В окне программы откроются две вкладки: Extra Found Files (Дополнительно найденные файлы), на которой перечисляются группы найденных файлов (по типам, расширениям, времени создания и т.п.), и Contents (Содержание), на которой отображаются значки файлов, относящихся к выбранной группе.

3. Чтобы просмотреть любой из найденных файлов, выберите его на вкладке Contents (Содержание) и нажмите кнопку Preview (Предварительный просмотр) на панели инструментов. Содержимое файла будет открыто в отдельном окне просмотра.

Валидность файла, обнаруженного при расширенном поиске, проще всего оценить именно таким образом. Для документов большинства известных типов про грамма RStudio использует встроенные фильтры-просмотрщики.

Если в окне предварительного просмотра отображается что-либо вразумительное, файл, скорее всего, цел и не искажен. Можно смело устанавливать напротив него флажок, чтобы в дальнейшем сохранить найденный файл на диск.

Если файл поврежден либо предварительный просмотр этого типа (например, исполняемых файлов) не предусмотрен, RStudio предлагает открыть его во встроенном HEX-редакторе. Редактор построен по уже знакомому нам принципу, но обладает некоторыми удобными дополнительными функциями:

  • кнопки в правой части панели инструментов включают/отключают колонки интерпретации двоичных данных как текста в разных кодировках;

  • на вкладке Templates (Шаблоны) из раскрывающегося списка выбираются шаблоны для интерпретации содержимого сектора как различных логических структур диска: MBR, записи файловых систем NTFS, FAT и т.п. Такой просмотр удобен при анализе диска — ведь в том же редакторе вы можете открыть не только найденные файлы, но и любую структуру, выбранную на вкладках Device View (Обзор устройств) и Scan Information (Информация о сканировании);

  • на вкладке Data Interpreter (Интерпретатор данных) содержимое байтов, вы бранных в рабочей области окна, одновременно отображается в разных представлениях.

Если целостность найденного файла не удается проверить путем быстрого про смотра, вы можете все равно сохранить его на диск, а затем попробовать открыть этот файл в подходящем приложении. Возможно, что предварительный просмотр дал сбой из-за того, что версия формата не поддерживается встроенным просмотрщиком RStudio.

Информация, полученная в результате дополнительного поиска, сохраняется точно так же, как и содержимое, отнесенное к найденным файловым системам. Чтобы сохранить в указанное расположение все дополнительно найденные файлы, в главном окне программы нажмите кнопку Recover (Восстановить). Для извлечения только выбранных объектов нажмите кнопку Recover Marked (Восстановить помеченное).

Основной источник проблем при извлечении файлов, не относимых к каким-либо файловым системам, — фрагментация диска. Программы легко находят первый фрагмент — он явно начинается с сектора, содержащего сигнатуру. Все секторы, идущие следом до следующей сигнатуры, могут принадлежать этому файлу — таким соображением программы восстановления и руководствуются в первую очередь.

Возможен и такой вариант — файл заканчивается, а между его концом и ближайшим сектором с сигнатурой следующего файла вклинилось что-то еще. Восстановленный файл будет состоять из «правильного» начала и чужеродного «хвоста». Прикладная программа при открытии такого документа, скорее всего, сообщит, что файл поврежден или имеет неизвестный формат.

К сожалению, конец файла зачастую не обозначается какими-либо стандартны ми последовательностями наподобие сигнатуры EOF. Если заголовок файла содержит сведения о его размере, как это предусмотрено в некоторых форматах — хорошо. RStudio обычно корректно обрабатывает признаки длины или окончания файла, если они в нем присутствуют.

В противном случае вернуть файл в нормальное состояние позволяет редактирование вручную. С помощью HEX-редактора вы можете поэтапно «отстригать» лишние фрагменты с конца файла, сохранять его каждый раз и пытаться открыть в соответствующем приложении. Вполне возможно, что в очередной раз приложение сумеет корректно открыть документ.

Таким образом, восстановление нефрагментированных файлов обычно заканчивается победой логики (вашей и компьютера). Гораздо хуже, когда извлекаемый файл был фрагментирован. Если первый фрагмент находится по сигнатуре, то для поиска следующих фрагментов каких-либо достоверных критериев не существует.

Гипотетически можно по очереди «прицеплять» к первому фрагменту все найденные на диске последовательности, которые не удалось соотнести с каким-либо файлом. Однако такой перебор упирается в количественные ограничения — число возможных сочетаний очень велико, а проверять корректность сборки для каждого из них на практике нереально. Поэтому область применения расширенного поиска обычно ограничивается восстановлением файлов, занимавших на диске непрерывную последовательность блоков.

 

===============================

Интернет теперь в твоей судьбе!

В интернете принято дарить -

Музыку, свои воспоминанья...

Тянется невидимая нить

Через страны, дни и расстоянья.

Незнакомым людям дарят сны,

Нежные стихи и пожеланья...

Теплые слова всегда нужны

В мире виртуального свиданья.

Тот, кто дарит - чувствует сильней,

Ничего не требуя в награду.

Подарить другим любовь сумей,

Потому что это многим надо!

И вернутся смайлики к тебе,

И друзья появятся, конечно.

Интернет теперь в твоей судьбе -

На короткий миг, длиною в вечность!

П.Давыдов

===============================

Поиск

Войти


Яндекс.Метрика