основы
Существует два вида программ восстановления данных:
- Те, которые смотрят на файловую систему для подсказки файлов, чтобы восстановить
- Те, которые используют подписи
Программы файловой системы
В первом случае посмотрите на файловую систему на диске для получения информации о файлах и папках для восстановления. Они могут смотреть на FAT/MFT, но обычно, когда файл теряется, эта информация теряется, и поэтому эти программы часто проверяют кластеры на диске, чтобы найти то, что похоже на каталоги. Затем они изучат записи каталога, чтобы определить файлы, помеченные как удаленные. Если указанные файлы не были перезаписаны, то в каталоге должно быть достаточно данных (имя, начальный кластер и размер) для восстановления файла. То же самое касается подкаталогов: должно быть достаточно информации (имя, начальный кластер), чтобы идентифицировать подкаталог и повторить вышеупомянутый процесс для файлов в нем.
У этого метода есть два основных недостатка:
- Это работает, только если файлы и папки являются смежными. То есть, если они фрагментированы, программа может восстановить только начало файла / папки до конца непрерывной цепочки. У него нет возможности найти следующий кластер в цепочке.
- У него нет возможности узнать, какие файлы были недавно удалены и подлежат восстановлению, поэтому он просто перечисляет все, что находит, что помечено как удаленное. Таким образом, он может содержать файлы / папки, которые были удалены очень давно и, таким образом, были перезаписаны.
Подпись Программы
Последний тип программы восстановления данных полностью игнорирует файловую систему и вместо этого ищет типы файлов. Обычно он содержит список подписей файлов (например, заголовков, магических чисел и т.д.), Которые типичны для разных типов файлов. Затем он сканирует диск в поисках этих шаблонов байтов и всякий раз, когда находит его, добавляет этот кластер и ряд последующих кластеров в виде файла, а затем отображает список файлов.
Этот метод имеет другой набор недостатков:
- У него нет информации об имени файла, его местонахождении, дате или даже размере, потому что он находит их в соответствии с необработанным содержимым файла, а не данными файловой системы.
- Поскольку у него нет информации об именах, он даст им придуманное имя, такое как
file0001 , file0002 и т.д.
- Поскольку у него нет информации о местоположении, он будет сбрасывать их все в одну гигантскую папку (хотя некоторые могут сортировать их по типу файла).
- Поскольку у него нет информации о размере файла, он округляет его до ближайшего кластера, добавляя, таким образом, от 511 до 65 535 байт мусора до конца.
- Он может найти старые файлы, которые были удалены очень давно, или даже файлы, которые почти идентичны, но имеют разные версии. Например, если вы работали с файлом и сохраняли его много раз после каждой серии изменений, то вы можете обнаружить, что многие из этих изменений представлены в виде отдельных файлов, и тогда вам придется выяснить, какая из них является самой последней версией.
- Как и метод файловой системы, он требует, чтобы файлы были смежными, потому что у него нет информации о цепочках кластеров.
сравнение
У этих двух методов есть свои плюсы и минусы, и то, что вы используете, зависит от вас, потому что это будет зависеть от вашего диска и файлов. Возможно, вам лучше всего использовать хотя бы одну программу каждого типа, чтобы максимизировать свой успех. Таким образом, вы найдете большинство файлов, восстановив как большую часть контента, так и метаданные (имена файлов и т.д.) Возможно, вам потребуется выполнить некоторые сравнения и ручную работу, чтобы скопировать правильные метаданные в правильный контент, но это ваш лучший выбор при максимальном восстановлении. С другой стороны, использование нескольких программ приведет к большому количеству беспорядка и ложных срабатываний, которые необходимо отсортировать, поэтому вы сами должны определить значение потерянных файлов.
заявка
Почему программы восстановления часто восстанавливают файлы без оригинальных имен / структуры?
Например, я использую PhotoRec, я думаю, что это очень хорошее приложение для целей восстановления, но все, что он находит, восстанавливается без их имен и структуры.
Это почему?
Потому что PhotoRec - это программа для восстановления данных по типу подписи.
Я понимаю, что «источником» для имен является главная таблица файлов, где хранятся имена / структуры / атрибуты и т.д. Это правда? Для истинного восстановления, со структурой и именами, необходимо ли иметь неповрежденным MFT?
Да и да.
Восстановление удаленных файлов часто более успешно с NTFS, чем с FAT по причинам, которые вы описали, однако PhotoRec - это программа в стиле подписи, поэтому она не ссылается на MFT для метаданных о файлах / папках.
Более того, если вы немедленно не прекратите использовать диск, содержащий удаленные файлы, и сразу же выполните восстановление, есть вероятность, что кластеры, содержащие файлы и / или записи MFT, ссылающиеся на них, могут быть перезаписаны и перезаписаны. (У Windows есть неприятная и довольно сбивающая с толку привычка загадочно перезаписывать удаленные файлы немедленно. Во многих случаях я заходил настолько далеко, что нажимал кнопку «Сброс» - чтобы избежать перезаписи Windows во время выключения - после случайного удаления файла, и все же обнаружил, что рассматриваемый файл был перезаписан.)
