Восстановление данных без структуры или восстановление файлов по сигнатурам.
Что же это такое за восстановление данных? Давайте попробуем разобраться. Иногда это единственный способ получить назад свои файлы, хотя и с потерей оригинальных названий (имен). Но пойдем по порядку.
Пользователи создают, копируют, удаляют, редактируют и переименовывают свою информацию в виде файлов. Файл можно определить, как структурированный набор байт, который соответствующая программа интерпретирует в картинку, документ, видео, музыкальный файл и т.д. И каждый такой файл описывает файловая запись операционной системы (ОС), содержащая информацию об имени файла, его размере и расположении на диске или флешке, дате создания, изменения, последнего доступа и другие атрибуты.
Именно на поиске «уцелевших» файловых записей после удаления файлов или форматирования носителя основана работа большинства программ для восстановления данных.
Файловая запись условно делится на фрагменты. В них содержится вся необходимая информация, описывающая файл, которую начитывает драйвер файловой системы или программа восстановления данных в процессе сканирования, для работы с
файлом или его восстановления.
Иными словами, файловые записи представляют «оглавление» жесткого диска, флешки, карты памяти или другого накопителя, по которому можно найти тот или иной файл. Но что же делать, если это «оглавление» сильно повреждено или вовсе отсутствует (затерто)?
Тогда остается единственный шанс – сканировать накопитель, «заглядывая» в каждый сектор, и, если в каком то секторе начинается файл заданного типа, то сохранять его на другой диск.
Большинство современных программ для восстановления поддерживают такой режим работы. Среди них R-Studio, TestDisk, Active@ File Recovery Professional, EasyRecovery, Hetman Software и др. В их базе данных запрограммирован набор широко распространенных типов файлов. Среди них rar, zip, pdf, ppt, pptx, doc, docx, rtf, xls, xlsx, psd, dwg, cr2, gif, jpg, jpeg, nef, png, tif, bmp, mp4, mp3, 3gp, mov, avi, mpg и др.
Посмотреть сигнатуры файлов можно с помощью различных инструментов. Например, в Total Commader выделить нужный файл и нажать F3 и переключить режим просмотра в HEX, нажав 3.
Или для просмотра «внутренностей» файла можно воспользоваться дисковым редактором. В своей практике для определения и извлечения сигнатур мы отдаем предпочтение программе WinHex.
Бывает и такое, что приходят заказчика с какими-нибудь специфическими форматами файлов. И таких расширений, конечно же, программы не знают. И для восстановления редких файлов по сигнатурам (без структуры или в raw формате) нам необходимо предоставить «живые» образцы таких файлов (минимум два, а лучше около десятка). После получения примеров файлов специалист проводит их сравнение, определяет уникальную сигнатуру, характерные элементы в структуре файла, сигнатуру окончания (футера) файла. Проводит тестовое сканирование и только после этого прописывает (добавляет) в настройки программы новый тип файла, требуемый заказчику, и запускает полное сканирование жесткого диска или флешки.
Сигнатуры (уникальную последовательность байт), по которой можно найти файлы заданного типа, есть у большинства файлов. Но не у всех. Файлы txt, для примера, не имеют уникальной сигнатуры и для восстановления в режиме raw не по подходят.
Алгоритм работы такой программы заключается в чтении каждого сектора жесткого диска, его анализе и, если в секторе встречается указанная сигнатура, по которой можно определить тип найденного файла, то по заданному алгоритму либо сразу сохраняется файл, либо пользователь потом сам сохраняет выбранные типы.
Другими словами, на пальцах это можно описать как процесс поиска нужной главы в книге, если в книге вырваны страницы с оглавлением. И вам нужно найти, где начинается новая глава.
Надо сказать, что такой способ восстановления данных подходит не всем. Для кого-то важно сохранение именно файловой структуры. Как правило, это связано с какими-то проектами, состоящими из нескольких файлов, или структурированными архивами.
Другое дело, когда важно, например, восстановить фотоархив. В таких случаях, важно найти и восстановить сами фотографии. И неважно как они будут называться. А в некоторых случаях их можно рассортировать по дате съемки, ведь эта информация хранится внутри jpg, cr2, crw, raw, nef и др. файлов.
В заключении же хотелось бы сказать несколько слов о плюсах и минусах такого восстановления данных без структуры (по сигнатурам). Неоспоримым преимуществом этого метода является то, что находится максимально возможное количество заданных файлов. Ну а к недостаткам можно отнести отсутствие оригинальных имен файлов и то, что такой подход к восстановлению данных не подходит для фрагментированных файлов.