ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.01.2024
Просмотров: 70
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Практическая работа № 8.
1.Цель и задачи работы
Ознакомление с хранением и удалением файлов в файловых системах FAT и NTFS операционных систем семейства MS Windows, а также получение навыков по восстановлению удаленных файлов.
2.Введение
Надежность файловой системы – это одно, а ошибочно удаленные файлы – совсем другое. Файловая система, даже такая мощная как NTFS, бессильна защитить пользователя от себя самого. Хорошо, если удаленный файл сохранился в "Корзине", но что делать, если там его нет? В этом случае остается лишь попытаться восстановить удаленный файл из файловой системы вручную или с помощью специализированных программ.
3.Хранение и удаление файлов в файловой системе FAT
В файловой системе FAT смежные секторы диска объединяются в единицы, называемые кластерами. Количество секторов в кластере равно степени двойки. Для хранения данных файла отводится целое число кластеров (минимум один), так что, например, если размер файла составляет 40 байт, а размер кластера 4 кбайт, реально занят информацией файла будет лишь 1% отведенного для него места. Для избежания подобных ситуаций целесообразно уменьшать размер кластеров, а для сокращения объёма адресной информации и повышения скорости файловых операций – наоборот.
Пространство тома FAT32 логически разделено на три смежные области:
– зарезервированная область. Содержит служебные структуры, которые принадлежат загрузочной записи раздела (Partition Boot Record – PBR, для отличия от Master Boot Record – главной загрузочной записи диска; также PBR часто некорректно называется загрузочным сектором) и используются при инициализации тома;
– область таблицы FAT, содержащая массив индексных указателей («ячеек»), соответствующих кластерам области данных. Обычно на диске представлено две копии таблицы FAT в целях надежности;
– область данных, где записано собственно содержимое файлов – то есть текст текстовых файлов, кодированное изображение для файлов рисунков, оцифрованный звук для аудиофайлов и т.д. – а также т.н. метаданные – информация относительно имен файлов и папок, их атрибутов, времени создания и изменения, размеров и размещения на диске.
В FAT12 и FAT16 также специально выделяется область корневого каталога. Она имеет фиксированное положение (непосредственно после последнего элемента таблицы FAT) и фиксированный размер в секторах.
Если кластер принадлежит файлу, то соответствующая ему ячейка содержит номер следующего кластера этого же файла. Если ячейка соответствует последнему кластеру файла, то она содержит специальное значение (FFFF16 для FAT16). Таким образом выстраивается цепочка кластеров файла. Неиспользуемым кластерам в таблице соответствуют нули. «Плохим» кластерам (которые исключаются из обработки, например, по причине нечитаемости соответствующей области устройства) также соответствует специальный код.
При удалении файла первый знак имени заменяется специальным кодом E516 и цепочка кластеров файла в таблице размещения обнуляется. Поскольку информация о размере файла (которая располагается в каталоге рядом с именем файла) при этом остаётся нетронутой, в случае, если кластеры файла не были перезаписаны новой информацией, возможно восстановление удалённого файла.
4.Хранение и удаление файлов в файловой системе NTFS
В процессе удаления файла с NTFS-раздела происходит следующее:
– корректируется файл /$MFT:$BITMAP, каждый бит которого определяет "занятость" соответствующей файловой записи (FILE Record) в MFT ("0" – запись не используется);
– корректируется файл /$BITMAP, каждый бит которого определяет "занятость" соответствующего кластера ("0" – кластер не используется);
– файловые записи, соответствующие файлу, помечаются как удаленные (поле FLAG, находящееся по смещению 16h от начала FILE Record, сбрасывается в ноль);
– ссылка на файл удаляется из двоичного дерева индексов (технические подробности этого животрепещущего процесса здесь опускаются, поскольку восстановить таблицу индексов вручную сможет только гуру, да и зачем? В NTFS индексы играют вспомогательную роль – проще переиндексировать директорию заново, чем восстанавливать сбалансированное B*tree дерево);
– обновляется атрибут $STANDART_INFORMATION каталога, хранившего удаляемый файл (время последнего доступа и т.д.);
– в /$LogFile обновляется Sequence Number (изменения, происходящие в журнале транзакций мы не рассматриваем);
– Update Sequence Number следующих файловых записей увеличивается на единицу – сам удаляемый файл, текущий каталог, /$MAF, /$MFT:$BITMAP, /$BITMAP, /$BOOT, /$TRACKING.LOG.
Каталоги удаляются практически точно так же, как и файлы (с точки зрения файловой системы каталог – тот же файл, только особый – с двоичным B*tree деревом индексов внутри).
Ни в том, ни в другом случае физического удаления файла не происходит и он может быть легко восстановлен до тех пор, пока не будет затерта принадлежащая ему FILE Record, хранящая резидентное тело файла или список отрезков (run-list) нерезидентного содержимого. Утрата FILE Record очень неприятна, поскольку в этом случае файл придется собирать по кусочкам руками и чем сильнее он фрагментирован, тем сложнее эта задача. В отличии от FAT, NTFS не затирает первого символа именем файла, чем значительно упрощает свое восстановление.
5.Восстановление удаленных файлов
Если запись в сектора, содержащие файлы не производилась, то данные физически остались на своих местах, но потерялись или исказились сведения об их расположении. Таким образом, требуется определить, где именно находятся сектора, содержащие нужную информацию, и считать их в правильной последовательности.
В случае, когда производилась запись на диск, например, форматирование с последующей установкой операционной системы, вероятность физического уничтожения нужной информации может быть достаточно велика. В подобных ситуациях возможность успешного восстановления данных зависит от везения и соотношения объёмов утраченной и записанной информации. Скажем, если Вы случайно удалили 1Гб бухгалтерских баз и после этого записали на этот же логический раздел 70Гб интересных фильмов, вероятность восстановления хоть чего-то близка к нулю.
Также стоит принять к сведению, что при потере данных из-за ошибок в файловой системе, запуск программ типа ScanDisk существенно уменьшает вероятность успешного восстановления. Основная задача этих утилит – приведение в порядок служебных структур файловой системы, что они и делают, не особо заботясь о судьбе пользовательских данных. При этом уничтожаются «следы», по которым можно было бы реконструировать структуру файловой системы до повреждения и спасти данные.
В общем случае, программа для восстановления данных сначала сканирует весь носитель. По результатам сканирования, на основе обнаруженных служебных записей, составляется карта расположения фрагментов восстанавливаемых файлов и строится дерево каталогов. В карте содержатся сведения о том, какой кластер к какому файлу относится, размеры, названия и другие атрибуты элементов сканируемой файловой системы – всё, что удалось узнать на основании остатков служебной информации. Если полученных в результате сканирования сведений не достаточно, то используются определённые методы экстраполяции. Затем файлы и папки, которые требуется восстановить, выбираются в соответствии с составленной картой и переносятся на другой носитель.
Чаще всего всё, что в принципе возможно восстановить с исправного носителя информации, достаётся при помощи специализированных программ. И лишь в меньшей части случаев, высококвалифицированный специалист, работая на более низком уровне, способен восстановить информацию в большем объёме.
Перед тем, как приступить к самостоятельному восстановлению данных, следует принять во внимание возможность физической неисправности устройства. Особенно это вероятно в случаях, когда данные пропали без видимых причин, или при попытке открытия файлов выдаётся сообщение об ошибке. И хотя нижеупомянутые программы сами по себе не совершают деструктивных действий (они вообще ничего не пишут на раздел, с которым работают), дальнейшая работа с неисправным накопителем без специального оборудования может привести к усугублению ситуации, вплоть до полной невозможности восстановления данных. Поэтому, в случае потери критически важной информации, рекомендуется сразу обратиться к специалистам.
6.Программы для восстановления удаленных файлов R.saver
Бесплатная программа для восстановления данных R.saver поможет спасти данные с FAT или NTFS. Она предназначена для пользователей, не знакомых с устройством файловых систем и принципами восстановления данных, поэтому интерфейс максимально упрощён. Настройки выполняются автоматически, для запуска сканирования достаточно нажать всего одну кнопку. Это делает программу менее удобной для профессионалов, но значительно упрощает её применение обычными пользователями. Интерфейс и инструкции на русском. Установка не требуется, достаточно скачать и распаковать. Условия лицензии допускают исключительно некоммерческое использование на территории бывшего СССР.
Настройка параметров сканирования производится автоматически. Программа выполняет:
– Восстановление удаленных файлов.
– Реконструкцию поврежденных файловых систем.
– Восстановление данных после форматирования.
– Восстановление файлов по сигнатурам.
R.saver также обеспечивает доступ к данным на исправных файловых системах следующих типов:
– Microsoft Windows: exFAT, FAT12, FAT16, FAT32, NTFS, NTFS5.
– Apple Mac OS: HFS, HFS+/HFSX.
– Linux: Ext2, Ext3, Ext4, ReiserFS, JFS и XFS.
– Unix, BSD, Sun Solaris: UFS и UFS2 (FFS), включая UFS с обратным порядком байтов, которая используется на Sparc/Power серверах.
– Novell Netware: NWFS.
– CD/DVD: ISO9660, UDF.
Системные требования
– Операционная система: Microsoft Windows 2000/ 2003/XP/ Vista/Windows 7.
– Intel-совместимая платформа.
– Как минимум, 256 MB оперативной памяти.
– Не менее 10 MB свободного пространства на жестком диске для установки.
– Наличие интернет-браузера.
Для установки достаточно распаковать содержимое архива в любую папку на разделе, отличном от того, с которого будет вестись восстановление.
6.1.Интерфейс
Окно выбора раздела
Появляется сразу после запуска программы.
Главное меню представляет собой панель, с помощью кнопок которой можно открыть образ накопителя или виртуальный диск, обновить список устройств и разделов, а также посмотреть руководство и краткую информацию о программе.
Список разделов содержит перечень носителей информации и обнаруженных на них логических разделов.
Устройства обозначены иконками в виде жестких дисков, разделы – круглыми иконками различных цветов:
-
Синий цвет означает, что предварительная проверка содержащейся на разделе файловой системы показала её удовлетворительное состояние. -
Желтый — возможное повреждение файловой системы, связанное с форматированием раздела или тем, что раздел, возможно, является частью RAID-массива. -
Красный — повреждения структур файловой системы и дерева директорий. -
Серым цветом программа помечает разделы, на которых предварительное сканирование не обнаружило поддерживаемых R.saver файловых систем.
Подробную информацию о выбранном элементе списка можно увидеть на информационной панели в правой части окна.
Информационная панель отображает детальные сведения об устройстве или логическом разделе, выбранном в списке слева.
Тулбар информационной панели содержит иконки для запуска функций, применимых к объекту, выбранному в списке разделов. В зависимости от его типа, возможны следующие наборы кнопок:
-
Этот компьютер. Вызываются те же функции, что и при нажатии аналогичных кнопок главного меню.
-
«Открыть» -
«Обновить»
Накопитель.
-
«Задать раздел» Если известны параметры потерянных разделов, то вы можете задать их вручную, воспользовавшись этой функцией. -
«Найти раздел» Эта кнопка запускает сканирование, которое позволяет найти потерянные разделы, а также определить тип файловой системы, если программе не удалось сделать это при запуске.