テスト2:再フォーマット
(FAT32デバイスと、ワイプされたブートを使用した回復方法については前の記事で説明したので、読者はそれらに精通していると思います)
FAT32の「高速フォーマット」は、通常、「クリーンな」ファイルシステムのメタデータの新しいセットを作成することにあります。 つまり、新しいブート、FAT、およびルートテーブルが記録されます。 古いFSと新しいFSが同じ設定の同じドライバーによってフォーマットされたと仮定すると、リストされたメタデータは新しいものによって消去されます。 他の場合には、古いメタデータから何かが残っているか、またはその逆かもしれません-データの一部が書き換えられます。
何ができますか? この場合、考慮から新しいメタデータをすべて削除し、古いシステムに残っているいくつかのFATフォルダーを見つけて、それらを使用してクラスターサイズと古いFSのクラスター化の開始を決定するのが最も正しいです。 また、ほとんどのディレクトリとファイルツリーを構築できます。 なぜなら ルートが削除されると、その中に直接存在するファイルに関する情報は完全に失われます。 ディレクトリの名前と属性は失われますが、対応するFATフォルダがさらに見つかるため、それらが何であり、何が含まれているかがわかります。 このような「破損」ディレクトリには、通常、Folder000020などの新しい名前が付けられます。20は、FATフォルダーを含むクラスター番号です。
一部のプログラムの結果に注意してください-この説明に完全に適合しています。
損失のカウントを続けます。 FATフォルダーは、ファイルの最初のクラスターとそのサイズを示します。 連続して配置されたファイルの場合、これで十分ですが、断片化されたファイルを収集するには、FATテーブルが必要で、両方のコピーが消去されます。 したがって、断片化されたファイルが犠牲者に追加されます。
小計を要約します。 元のファイルシステムの残りのメタデータを分析すると、ファイルシステムツリーのほぼ全体と連続するファイルの場所を構築できます。 ルートディレクトリ内のファイルは失われます。 ソースFSの断片化されたファイルの場所は間違っています(たとえば、jpegは完全には開きません)。
代替方法-ファイルカービング
前に、ファイルシステム構造の検索と分析に基づくアプローチを検討しました。 しかし、別のアプローチがあり、その本質はファイルを直接検索することです。 これは、多くの種類のファイルが最初に検索可能な署名を持っているという事実に基づいています。
たとえば、bmpファイルは「BM」で始まり、jpegは0xFFD8FFで始まり、zipアーカイブは0x504B0304で始まります。
私の意見では、そのような方法の最も学術的な名前はFile Carvingです。 特定のプログラムの特定のモードは、異なる方法で呼び出すことができます(PC3000 DataExtractor-「ドラフト回復」)。 カーバーの実装には、ヘッダーの検索方法、ファイルサイズの決定方法、整合性のチェック方法(ある場合)などに応じて、多くのアプローチがあります。
たとえば、非常にシンプルで「馬鹿げた」アプローチ-ヘッダー/ MaximumSizeを考えてみましょう。 このようなカーバーは、署名によってファイルヘッダーを検索し、事前定義された同じサイズで保存します(実際のファイルは常に小さくなり、ゴミによってファイルのオープンが妨げられることはないと想定しています)。 非常に簡単ですが、たとえば、デジタルゴミ箱から写真を復元するときに非常に効果的です。jpegヘッダーは既知であり、ファイルは通常連続しており、そのサイズはめったに10 MBを超えることはほとんどありません。
カーバーのマイナス面は、ディレクトリツリーとファイル、それらの名前と属性を復元できないことです。 なぜなら この情報はFSメタデータに保存されます。 Carverは、知っているファイルのみを検索します。 断片化されたファイルの問題も未解決のままです。 一部の種類のファイルの特殊なケースは解決されましたが、私の意見では、現代のサイズのディスクに対する一般的な解決策はありません。 上記の抽象的な彫刻家は、それ自身の個人的な欠陥も持っています。 彼はしばしば間違いを犯し、「生きている」ファイルと「生きていない」ファイルを区別できなくなります。 正確なファイルサイズと正確なファイルタイプを決定することはできません(doc、xls、pptなどが共通の形式を持っていることを知っていましたか?docx、pptx、odt、ods、jarなどはすべてzipアーカイブですか?)
2回目のテストの多くのプログラム、および1回目のテストでさえ、ファイルカービングを実行しました。 これは結果から非常に理解しやすいです-ディレクトリとファイルのソースツリーにはヒントがなく、すべてのファイルはタイプごとにグループ化され、テンプレートによって名前が付けられます。 顕著な例はPhotoRec(TestDiskとは別)です。 ソースを見ると、いくつかの機能に注目できます。ファイルヘッダーを検索する手順と、可能であれば、ファイルの最後の署名が実装されています。 いくつかのタイプのファイルはより深く検査され、その内部構造の知識が使用され、誤検知の数が減ります。
また、PC3000 DataExtractorには、 正規表現を使用してファイル形式を分析することでヘッダーが検索されるファイルカーバーがあります 。
私の意見では、2番目のテストで最高品質の結果を得るには、ファイルシステム分析とファイルカービングの組み合わせが必要です。
おわりに
一般に、それぞれの場合のデータ回復の結果は異なる場合があります。 場合によっては、「すべてをそのまま」簡単かつ迅速に返すことができます。また、復旧オプションが原則的に制限されている場合もあります。 したがって、2つのヒントを繰り返します。
- バックアップを作成します。
- 重要なデータを失った場合は、何も触れずに専門家に届けてください。