Почему программы восстановления данных часто восстанавливают файлы без оригинальных имен / структуры?
Почему программы восстановления данных часто восстанавливают файлы без оригинальных имен / структуры?
Например, я использую PhotoRec, я думаю, что это очень хорошее приложение для целей восстановления, но все, что он находит, восстанавливается без их имен и структуры.
Это почему? Я понимаю, что "источником" имен является главная таблица файлов, в которой хранятся имена / структуры / атрибуты и т. Д. Это правда?
Для истинного восстановления, со структурой и именами, обязательно ли иметь неповрежденный MFT?
2 ответа
основы
Существует два вида программ восстановления данных:
- Те, которые смотрят на файловую систему для подсказки файлов, чтобы восстановить
- Те, которые используют подписи
Программы файловой системы
В первом случае посмотрите на файловую систему на диске для получения информации о файлах и папках для восстановления. Они могут смотреть на FAT/MFT, но обычно, когда файл теряется, эта информация теряется, и поэтому эти программы часто проверяют кластеры на диске, чтобы найти то, что похоже на каталоги. Затем они изучат записи каталога, чтобы определить файлы, помеченные как удаленные. Если указанные файлы не были перезаписаны, то в каталоге должно быть достаточно данных (имя, начальный кластер и размер) для восстановления файла. То же самое касается подкаталогов: должно быть достаточно информации (имя, начальный кластер), чтобы идентифицировать подкаталог и повторить вышеупомянутый процесс для файлов в нем.
У этого метода есть два основных недостатка:
- Это работает, только если файлы и папки являются смежными. То есть, если они фрагментированы, программа может восстановить только начало файла / папки вплоть до конца непрерывной цепочки. У него нет возможности найти следующий кластер в цепочке.
- У него нет возможности узнать, какие файлы были недавно удалены и подлежат восстановлению, поэтому он просто перечисляет все, что находит, что помечено как удаленное. Таким образом, он может содержать файлы / папки, которые были удалены очень давно и, таким образом, были перезаписаны.
Подпись Программы
Последний тип программы восстановления данных полностью игнорирует файловую систему и вместо этого ищет типы файлов. Обычно он содержит список подписей файлов (например, заголовков, магических чисел и т. Д.), Которые типичны для разных типов файлов. Затем он сканирует диск в поисках этих шаблонов байтов, и всякий раз, когда он его находит, он добавляет этот кластер и ряд последующих кластеров в виде файла, а затем отображает список файлов.
Этот метод имеет другой набор недостатков:
- У него нет информации об имени файла, его местонахождении, дате или даже размере, потому что он находит их в соответствии с необработанным содержимым файла, а не с данными файловой системы.
- Поскольку у него нет информации об именах, он даст им придуманное имя, такое как
file0001
,file0002
, так далее. - Поскольку у него нет информации о местоположении, он свалит их все в одну гигантскую папку (хотя некоторые могут отсортировать их по типу файла).
- Поскольку у него нет информации о размере файла, он округляет его до ближайшего кластера, добавляя, таким образом, от 511 до 65 535 байт мусора до конца.
- Он может найти старые файлы, которые были удалены очень давно, или даже файлы, которые почти идентичны, но имеют разные версии. Например, если вы работали над файлом и сохраняли его много раз после каждой серии изменений, то вы можете обнаружить, что многие из этих изменений представлены в виде отдельных файлов, и тогда вам придется выяснить, какая версия является самой последней.
- Как и метод файловой системы, он требует, чтобы файлы были смежными, потому что у него нет информации о цепочках кластеров.
сравнение
У этих двух методов есть свои плюсы и минусы, и то, что вы используете, зависит от вас, потому что это будет зависеть от вашего диска и файлов. Возможно, вам лучше всего использовать хотя бы одну программу каждого типа, чтобы максимизировать свой успех. Таким образом, вы найдете большинство файлов, восстановив как большую часть контента, так и метаданные (имена файлов и т. Д.). Возможно, вам потребуется выполнить некоторые сравнения и ручную работу, чтобы скопировать правильные метаданные в правильный контент, но это Ваша лучшая ставка при максимальном выздоровлении. С другой стороны, использование нескольких программ приведет к большому количеству беспорядка и ложных срабатываний, которые необходимо отсортировать, поэтому вы сами должны определить значение потерянных файлов.
заявка
Почему программы восстановления часто восстанавливают файлы без оригинальных имен / структуры?
Например, я использую PhotoRec, я думаю, что это очень хорошее приложение для целей восстановления, но все, что он находит, восстанавливается без их имен и структуры.
Это почему?
Потому что PhotoRec - это программа для восстановления данных по типу подписи.
Я понимаю, что "источником" имен является главная таблица файлов, в которой хранятся имена / структуры / атрибуты и т. Д. Это правда? Для истинного восстановления, со структурой и именами, обязательно ли иметь неповрежденный MFT?
Да и да.
Восстановление удаленных файлов часто более успешно с NTFS, чем с FAT по причинам, которые вы описали, однако PhotoRec - это программа в стиле подписи, поэтому она не обращается к MFT для метаданных о файлах / папках.
Более того, если вы немедленно не прекратите использование диска, содержащего удаленные файлы, и сразу же выполните восстановление, есть вероятность, что кластеры, содержащие файлы и / или записи MFT, ссылающиеся на них, могут быть переработаны и перезаписаны. (У Windows есть неприятная и довольно сбивающая с толку привычка таинственно перезаписывать удаленные файлы сразу. Я неоднократно заходил так далеко, что нажимал кнопку "Сбросить" - чтобы избежать перезаписи Windows во время завершения работы - после случайного удаления файла, и все же обнаружил, что файл вопрос был перезаписан.)
В зависимости от файловой системы имя и содержимое файла обычно хранятся в разных местах. Имя и отметка времени будут помещены в каталог со ссылкой на отдельную серию блоков, содержащих содержимое файла. Когда файл удаляется, блоки, содержащие содержимое, возвращаются на свободное место, и каталог редактируется для удаления записи. Восстановленные программы могут обнаружить блоки, которые были недавно освобождены, но запись в каталоге уже исчезнет. Опять же, специфика зависит от ОС и файловой системы, но я надеюсь, что это даст вам полезную, но общую идею.