Ручное восстановление данных в FAT32

файл информация утилита алгоритм В том разделе я опишу алгоритм восстановления данных в файловой системе FAT 32 для начала необходимо:

1. Исследовать внутреннюю структуру раздела.

После исследования внутренней структуры раздела идет:

2. Восстановление дескриптора, что позволит получить доступ к утраченному файлу.

Для исследования внутренней структуры раздела целесообразно использовать утилиту Disk Editor, входящую в пакет Acronis Disk Director.

Для перехода в новый режим в меню Object пункт Drive (Устройство). После того как Disk Editor завершит сканирование, нужно переключатель режимов установить в положение Logical disks и затем выбрать в списке логических дисков тот, с которым необходимо работать.

После этого Disk Editor начнет сканирование диска с целью определения структуры файловой системы и построения полного дерева папок и файлов.

Чтобы получить сведения о FAT и корневом каталоге, не обязательно дожидаться полного завершения сканирования, можно его прервать через несколько секунд после начала, нажав клавишу Esc.

После получения подтверждения о прекращении сканирования Disk Editor выведет на экран содержимое корневого каталога в текстовой форме. Если Disk Editor по какой-то причине не смог самостоятельно обнаружить корневой каталог, нужно перейти к нему по относительному адресу его первого сектора. Номер этого сектора можно определить по значению поля First cluster of Root блока BPB.

При поиске корневого каталога необходимо учитывать следующее.

• 1. Корневой каталог (как и любой другой каталог в FAT32) содержит 32-байтовые элементы — дескрипторы, описывающие файлы и вложенные каталоги.
• 2. Первый дескриптор корневого каталога содержит сведения о логическом диске (точнее говоря, о самом корневом каталоге), в том числе: метку тома, дату и время создания, атрибуты каталога как элемента файловой системы.
• 3. Остальные дескрипторы, хранящиеся в корневом каталоге, содержат большее количество сведений о связанных с ними элементах данных.

Важные поля дескриптора, которые представлены на первом экране:

• · Name — имя элемента данных (файла или папки); если элемент данных отмечен как удаленный, то в качестве первого символа имени используется байт Е 5 (в текстовом формате Disk Editor заменяет его буквой х);
• · Ext — расширение файла (для папок это поле пусто);
• · ID — тип элемента данных; возможные значения:
  • § Vol — том;
  • § Dir — каталог;
  • § LFN — аббревиатура от Long File Name, длинное имя файла (об LFN см. главу 3, раздел «Выбор имен папок и файлов»);
  • § File — файл;
  • § Erased — удален (указывается только для файлов);
  • § Del LFN — удаленное длинное имя (признак устанавливается после переименования файла или папки);
• · Size — размер (в байтах);
• · Date — дата создания или изменения;
• · Time — время создания или изменения;
• · Cluster — номер первого кластера;
• · A, R, S, Н, D, V — атрибуты элемента данных (архивный, только чтение, системный, скрытый, каталог, том); значения всех атрибутов хранятся в одном байте дескриптора.

Если сведения о корневом (или вложенном) каталоге, представленные Disk Editor, выглядят как «подозрительные», нужно попробовать интерпретировать записанные в нем данные самостоятельно, переключившись в режим просмотра шестнадцатеричного кода.

Формат дескриптора каталога представлен в табл. &&.

Анализируя полученную информацию, можно обнаружить подозрительные изменения в полях размера файла, даты и времени. При необходимости их можно исправить «вручную» .

Таб.5 Формат дескриптора каталога.

Кроме того, для каждого файла в столбце Cluster отображается номер распределенного ему первого кластера. Следует просмотреть весь каталог до конца: необходимо проверить, что в каталоге отсутствуют посторонние данные. Они могут быть записаны туда вирусом. Если перейти в режим неформатированного просмотра, можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы). В том случае, когда каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если обнаружатся тем или иным способом секторы, содержащие нужный файл с разрушенным дескриптором, то, пользуясь описанной ниже методикой, можно восстановить дескриптор и получить доступ к файлу.

Процедура основана на использовании функций Disk Editor по поиску различных элементов файловой системы FAT. Чтобы найти потерянные каталоги (такие, на которые нет ссылок из других каталогов, в том числе из корневого), требуется выполнить следующее.

В меню Tools выбрать команду Find Object (Найти объект), а в дополнительном меню выбрать вариант Subdirectory (Подкаталог).

Программа Disk Editor просматривает секторы диска в поисках такого, в начале которого находится последовательность байтов 2Е 20 20 20 20 20 20 20 20 20 20. Эта последовательность соответствует дескриптору, содержащему ссылку каталога на себя самого.

Нажав комбинацию клавиш Ctrl+G, продолжается поиск нужного каталога, пока не найдется тот, который содержит нужные файлы.

Как только нужный каталог найден, необходимо записать физический адрес сектора диска, содержащего каталог, а затем найти либо вычислить номер кластера, соответствующего каталогу.

Для поиска номера кластера, в котором располагается найденный каталог, нужно перейти в режим текстового просмотра каталога, выбрав в меню View пункт as Directory. Затем в меню Link выбрать команду Cluster chain (fat) (Цепочка кластеров (fat)).

На экране появится содержимое таблицы FAT в текстовом режиме просмотра, при этом искомый номер кластера будет выделен.

Зная номер кластера потерянного каталога, можно создать новый дескриптор каталога, например, в корневом каталоге диска, и сделать в этом дескрипторе ссылку на найденный каталог. После этого потерянный каталог вновь станет доступным.