Файловая система используется для индексирования и организации файлов на диске. Записи в файловой системе располагаются в четко определенных областях диска, содержащего информацию, которая относится к определенному файлу. В различных файловых системах организация данных происходит по-разному. Мы поговорим о системах FAT (File Allocation Table), включая FAT, FAT16 и FAT32.
Содержание
Анализ файловой системы
Современные программы для восстановления данных используют различные методы определения точного местоположения удаленных файлов. Для начала они пытаются проанализировать файловую систему (если таковая имеется), ведь запись в таблице размещения файлов содержит наиболее полную информацию о расположении файла, его имени и атрибутах. Если какая-либо часть файловой системы по-прежнему доступна, программа сможет проанализировать все записи, существующие в файловой системе, определить записи, принадлежащие определенному файлу, и узнать, какие секторы на диске занимал файл и в каком порядке. Для правильного восстановления файла это просто необходимо, поскольку файл может храниться на диске в виде нескольких сегментов (фрагментов), а не одной непрерывной записи, из-за фрагментации диска.
Фрагментированные файлы крайне трудно (даже не всегда возможно) восстановить без действующей ссылки файловой системы.
Поиск файлов в FAT
В FAT каждому файлу присваивается индивидуальная запись в системе. Эти записи содержат информацию о файле, включая все кластеры данных занимаемые файлом. FAT структуры используются для идентификации последующих кластеров в файлы, а также для определения текущего состояния кластеров (например, они могут быть еще доступны, если файл удален, все еще принадлежать файлу, либо уже быть занятыми другим файлом).
Фрагментированные файлы всегда занимают более одного кластера, и, следовательно, имеют взаимосвязанные цепочки FAT структур, записанных в файловой системе. Доступ к самой первой записи и последующим имеет важное значение при поиске всех записей.
Анализ файловой системы это все, что может сделать программа восстановления, работая в режиме быстрого сканирования. Но что, если файловая система пуста (например, после форматирования диска), повреждена или полностью отсутствует? В этом случае придется выполнить комплексный анализ всей поверхности диска с использованием метода поиска по сигнатурам – наиболее действенного метода обнаружения определенных типов файлов.
Расширенный анализ и поиск по сигнатурам
Поиск по сигнатурам позволяет программам для восстановления данных успешно выявлять, анализировать и восстанавливать файлы, которые не индексируются в файловой системе. Поиск по сигнатурам может обнаружить файлы, имеющие стандартные сигнатуры (например, «JFIF» для файлов JPEG) или содержащие ограниченные подмножества (например, текстовые файлы).
Иногда файлы с циклической или «повторяющейся» структурой могут быть найдены и восстановлены. После обнаружения существующих файлов и анализа его заголовка алгоритм поиска по сигнатурам сможет вычислить кластеры, занимаемые этим файлом на диске, и успешно восстановить файл. Читайте подробнее о поиске по сигнатурам в других статьях на нашем сайте!
