Реконструкция дерева каталогов и восстановление файлов - «Восстановление».
В подавляющем большинстве случаем потерь информации ничего фатального не происходит, и грамотная реакция пользователей и обслуживающего
персонала позволяет восстановить возникшие проблемы собственными руками. Самая главная задача, это не предпринимать никаких действий,
которые могут полечь необратимые искажения секторного пространства проблемного носителя.
При этом надо заботиться не о том, что надо делать, а о том, что НЕ НАДО ДЕЛАТЬ!
Главная задача это не предпринимать действия, которые приведут к изменению данных на носителе!
В первую очередь это относится к использованию программ, предпринимающих любые корректировки секторного пространства и
программ ремонта носителей. Все эти средства предназначены для приведения состояния накопителей в корректное состояние
(ремонта накопителей), а не для восстановления пользовательских данных.
Ремонт производится путем уничтожения части данных, среди которых, с большой долей вероятности, могут быт нужные данные.
К основным достоинствам программы Fomsoft Recovery NTFS можно отнести:
- Чрезвычайно бережное отношение к неприкосновенности данных на проблемном носителе.
В сложных случаях она может и не справится с задачей восстановления данных, но никогда не ухудшит (усугубит) текущее
состояние носителя.
- Наличие собственного механизм доступа к дереву каталогов и имеющихся файлов, что исключает проблемы доступа
файловой системы Windows в случае наличии физических сбоев и логических ошибок построения бинарного дерева поиска файлов и каталогов.
- Наличие специального адаптивного механизма, который обрабатывает сбои чтения секторов проблемного диска.
- Гибкое использование интернет технологии, позволяющее пользователю выполнять большинство работ собственными руками и
эффективное использование помощи специалистами Лаборатории Fomsoft.
Программа Fomsoft Data Recovery использует собственный механизм доступа к файловой системе. Этот механизм не использует функции
файловой системы Windows. Хотя программа не обладает высокой скоростью доступа, но позволяет получить доступ к информации при
физических сбоях участков секторного пространства проблемного диска и разрушении логической структуры бинарных индексных файлов.
Для полноценной реконструкции дерева каталогов и доступа к данным, программе требуется указать один из параметров:
- Букву существующего логического диска;
- Физический адрес одного из трех элементов файловой структуры:
- загрузочного сектора логического сектора:
- начала таблицы MFT;
- записи FILE Record.
Восстановление данных по букве проблемного логического диска.
В случаях, когда операционная система Windows монтирует логический раздел (партицию) и назначает ему букву логического
диска, но впоследствии не может получить полноценный доступ к дереву каталогов и входящих в него файлов, надо
вызвать подпункт меню "Восстановление" - "С проблемного логического диска", рис. 24.
Рис. 24. Восстановление по букве проблемного логического диска.
Восстановление данных по букве отформатированного логического диска.
В случаях, когда по тем или иным причинам был случайно отформатирован логический диск, с него можно восстановить данные, которые не перекрыты
новым содержимым. Для этого надо вызвать подпункт меню "Восстановление" - "С отформатированного диска", рис. 24a.
Рис. 24a. Восстановление по букве отформатированного логического диска.
Запрос буквенного идентификатора проблемного диска и параметров фильтрации.
После активации описанных выше функций на экране появляется диалоговая панель настройки дополнительных режимов и фильтра поиска,
нужных пользователю файлов.
Рис. 25. Запрос буквенного идентификатора диска и параметров фильтрации.
После настройки дополнительных параметров и фильтра поиска по расширению файлов и нажатия диалоговой кнопки "ПРИМЕНИТЬ",
программа производит отбор файлов в соответствии с настойками фильтра поиска. Ход этого процесса отображается на
экране, рис. 33.
Восстановление по данным загрузочного сектора NTFS.
Для восстановления данных по адресу загрузочного сектора партиции надо вызвать пункт меню
"Восстановление" - "С виртуального диска, рассчитанного" - "по данным загрузочного сектора", рис. 26.
Рис. 26. Меню - Восстановление данных по данным загрузочного сектора.
В появившемся диалоговом окне надо ввести адрес загрузочного сектора, рис. 27.
Рис. 27. Пример заполненных данных для восстановления данных по данным загрузочного сектора.
После нажатия диалоговой кнопки "ЗАНУСК РЕКОНСТРУКЦИИ", программа считывает загрузочный сектор,
производит моделирование некого виртуально
логического диска и отображает панель настойки фильтра отбора указанных пользователем файлов по их расширениям.
Восстановление по адресу начальной записи таблицы MFT.
Для реконструкции дерева каталогов по адресу начала таблицы MFT, в файловой системе Windows эта запись именуется как $MFT,
партиции надо вызвать пункт меню "Восстановление" - "С виртуального диска, рассчитанного" - "по данным записи $MFT", рис. 28.
Рис. 28. Меню - Восстановление данных по данным файловой записи $MFT.
В этом случае программа Fomsoft Data Recovery выводит на экран диалоговое окно, представленное на рис. 29.
Рис. 29. Меню - Восстановление данных по данным файловой записи $MFT.
По нажатию диалоговой кнопки "ЗАНУСК РЕКОНСТРУКЦИИ" программа самостоятельно вычисляет остальные параметры, требуемые для реконструкции,
и выводит панель настройки фильтра поиска файлов, расширения которых задал пользователь.
По данным файловой записи FILE Record из первого фрагмента таблицы MFT.
Используя адрес любой файловой записи из первого фрагмента таблицы MFT, описывающей нерезидентный файл, можно вычислить все остальные
параметры, необходимые для полноценной реконструкции дерева каталогов файловой системы NTFS. Для этого
надо вызвать пункт меню "Восстановление" - "С виртуального диска, рассчитанного" - "по файловой записи FILE Record", рис. 30.
Рис. 30. Меню - Восстановление данных по данным файловой записи FILE Record.
Наиболее удобной записью является запись, описывающая системный файл $AttrDef. На рис. 31 представлен пример
заполнения диалоговой панели адресом $AttrDef, описывающей файл $AttrDef на жестком диске
№ 1 для партиции (раздела) № 0.
Рис. 31. Меню - Восстановление данных по данным файловой записи $AttrDef.
Произвольная установка параметров для поиска и восстановления данных.
В случае существенных разрушений файловой системы на проблемном диске, можно ввести параметры, используя которые программа Fomsoft Data Recovery
смоделирует некий виртуальный логический диск и выполнит реконструкцию дерева каталогов на проблемном диске.
Для реконструкции дерева каталогов и восстановления файлов программе необходимы следующие параметры:
- Адрес загрузочного сектора или его копии
- Адрес начала файловой таблицы или адрес ее копии.
- Адрес файловой записи FILE Record любого нефрагментированного файла из первого фрагмента Главной Файловой Таблицы.
- Адрес начала логического диска на жестком диске.
- Число секторов в логическом кластере
- Перечень физических адресов начала и конца фрагментов Главной Файловой Таблицы.
Для этого надо выбрать меню "Восстановление данных" - "С виртуального диска, рассчитанного" - "произвольная установка параметров", рис. 31a.
Рис. 31а. Меню - Произвольная установка параметров.
В появившейся диалоговой панели, рис. 31b, нужно выбрать проблемный жесткий диск и указать физические адреса элементов файловой системы, полученные
по результатам выполнения функции "Диагностика".
Рис. 31b Диалоговая панель задания произвольных параметров для поиска и восстановления данных.
Настройка фильтра поиска и отбора пользовательских файлов.
После нажатия диалоговой кнопки "ЗАПУСК РЕКОНСТРУКЦИИ", рисунки 27, 29, 31 и 31b, на дисплее отображается панель настройки
фильтра для отбора файлов, необходимых пользователю рис. 32.
Рис. 32. Настройка фильтра поиска файлов, необходимых пользователю.
Ход процесса реконструкции дерева каталогов отображается на экране дисплея, рис. 33.
Рис. 33. Отображение хода процесса поиска и отбора нужных файлов.
Загрузить результат предыдущей реконструкции.
В процессе реконструкции дерева каталогов проблемного диска программа формирует лог-файл FomsoftDataRecoverySave.bin,
который помещается в папке, откуда запускалась программа.
Этот файл содержит все данные о реконструируемом дереве каталогов проблемного диска. Его можно сохранить в другом месте
или передать специалистам для получения консультации. Для того чтобы не тратить время на реконструкцию, можно вызвать
пункт подменю "Загрузить результат реконструкции", рис. 33a:
Рис. 33a. Загрузить результат предыдущей реконструкции.
После активации этого подпункта, программа считает сохраненный ранее лог-файл FomsoftDataRecoverySave.bin,
проверит наличие на компьютере проблемного диска и выведет на экран результат предыдущей его реконструкции.
Если проблемный диск обнаружен не будет, программа выдаст на экран соответствующее сообщение, рис. 33b:
Рис. 33b. Проблемный диск не найден, возможен только просмотр.
Пробное восстановление файлов длиной от 1 до 64 КБ.
После завершения процесса поиска и отбора нужных файлов на экран выводится реконструированное дерево каталогов.
На рис. 34 представлено изображение бесплатной версии программы.
Рис. 34. Реконструированное дерево каталогов.
Формат выдачи изображения для лицензионной версии остается таким же, но вместо диалоговой кнопки
"[ЗАПРОС ЛИЦЕНЗИОННОЙ ПРОГРАММЫ]", выводится кнопка "[ВОССТАНОВИТЬ ОТМЕЧЕННЫЕ ФАЙЛЫ]".
Сформированное дерево отображается в две колонки, первая содержит собственно дерево каталогов, а вторая отображает список
субкаталогов и перечень файлов содержащихся в выбранном каталоге. Отображаемый список состоит из одиннадцати колонок,
представленных ниже в таблице:
| № | Отображаемое значение в колонке | Примечание
|
|---|
| 1 | Наименование папки или файла
|
|
|---|
| 2 | Размер файла в байтах
| Для папки это поле остается пустым
|
|---|
| 3 | Дата и время создания
|
|
|---|
| 4 | Дата и время модификации
|
|
|---|
| 5 | Расширение
| Трехсимвольное расширение формата DOS
|
|---|
| 6 | Признак удаленного элемента
| Содержит текст "Удален (а)" для удаленных файлов или папок.
|
|---|
| 7 | Номер временного файла TMP
| используется для отладки, размер установлен равным нулю.
|
|---|
| 8 | Номер записи FIRE Record в таблице MFT
|
|
|---|
| 9 | LBA сектора записи FIRE Record в таблице MFT
| Это адрес физического сектора на диске.
|
|---|
| 10 | LBA адрес начала данных файла на диске
| Физический адрес начала первого фрагмента данных файла.
|
|---|
| 11 | Число фрагментов файла
|
|
|---|
Для контроля правильности результата восстановления найденных программой Fomsoft Data Recovery,
перед тем, как использовать коммерческое восстановление всех найденных файлов, пользователь может бесплатно выполнить
пробное восстановление некоторой части файлов.
Пользователь может устанавливать или снимать флажок рядом с наименование файла или папки, а также диалоговые кнопки
[Выбрать все] и [Погасить все], отмечая, таким образом, интересующие его файлы. После нажатия диалоговой кнопки
[ПРОБНОЕ ИЗВЛЕЧЕНИЕ] программа выполнит извлечение отмеченных файлов для контроля правильности восстановления
отмеченных файлов и принятия решения восстановлении всей найденной информации. При этом программа сообщает, что
пробное восстановление будет выполнено только для не фрагментированных файлов длиной от 1 до 64 Кбайт, рис. 35.
Рис. 35. Предупреждение о пробном восстановлении файлов.
После нажатия диалоговой кнопки [Да], программа запросит задать ей местоположение папки для записи
извлеченных файлов.
Проверив результат пробного восстановления информации, пользователь может принять решение о дальнейших своих дальнейших действиях.
Восстановление всех найденных папок и файлов.
В случае использования лицензионной версии пользователь может нажать диалоговую кнопку [ВОССТАНОВИТЬ ОТМЕЧЕННЫЕ ФАЙЛЫ].
При этом программа передаст на сервер Лаборатории Fomsoft серийный номер жесткого диска, с которого надо восстановить
файлы. Если серийного номера этого диска в списке лицензированных дисков нет, программа запросит и пользователя подтвердить
лицензирование этого диска, рис. 36.
Рис. 36. Запрос использования свободной лицензии.
Если серийный номер этого винчестера присутствует в списке лицензированных дисков, программа запросит указать локальный или
сетевой диск, куда и запишет отмеченные файлы и папки.
В случае использования бесплатной версии программы Fomsoft Data Recovery, пользователь может
дать программе команду на передачу в Лабораторию Fomsoft запроса на изготовление Лицензионного экземпляра, нажав диалоговую кнопку
[ЗАПРОС ЛМЦЕНЗИОННОЙ ПРОГРАММЫ].
При этом пользователь получает возможность использовать Лицензионную версию программы на нескольких носителях, не зависимо от разбивки
на логические диски.
Стоимость лицензирования единичного диска существенно снижается от заказанного количества обслуживаемых носителей.
Ручное восстановление, запись физических секторов в файл.
Программа позволяет восстановить интересующий пользователя файл, указав ей физический диск, начальный адрес данных файла,
а также число секторов или конкретный адрес сектора конца данных. Для этого надо вызвать подпункт меню
"Восстановление" - "Запись секторов диска в файл", рис. 38.
Рис. 38. Меню - Запись секторов с диска в файл.
После вызова этого меню на экране появляется диалоговое меню ввода соответствующих параметров, представленное на рис. 38a.
Рис. 38a. Диалоговое окно ввода параметров восстанавливаемого файла.
Конкретное значение параметров можно взять из реконструированного дерева каталогов (рис. 34). На рис. 38b представлен фрагмент
реконструированного дерева каталогов, описывающий 5 файлов исходного кода. Опираясь на эти данные можно без труда восстановить
4 файла. На рис. 38а указаны параметры для извлечения данных первого файла:
| № | Параметр | Значение параметра | Примечание
|
|---|
| 1 | Наименование восстанавливаемого файла | DataRecoveryDSP.asm |
|
|---|
| 2 | Начальный адрес фрагмента на диске | 36544 |
|
|---|
| 3 | Конец фрагмента или число секторов | 2938 | Расчетная величина, длина файла/512,
округленная до целого значения с избытком
|
|---|
| 4 | НАММЕНОВАНИЕ ФАЙЛА | Wirk.asm | Наименование записываемого файла
|
|---|
| 4 | ТЕКУЩИЙ КАКТАЛОГ | F:|Masm32\-FomsoftDataRecovery |
|
|---|
| 4 | Идентификатор диска | HD2 |
|
|---|
Рис. 38b. Фрагмент реконструированного дерева каталогов.
|
