- •Прослеживание списка разделов диска
- •Проверка таблицы разделов при помощи программы diskedit
- •Сохранение параметров диска и таблицы разделов диска
- •Исследование расширенного раздела диска
- •Сохранение содержимого таблиц логических дисков
- •Исследование логических дисков fat
- •Проверка загрузочного сектора
- •Анализ зарезервированных секторов
- •Таблицы размещения файлов fat
- •Формат таблицы fat
- •Просмотр таблицы fat
- •Формат каталогов
- •Просмотр каталогов
- •Каталоги в файловой системе vfat
- •Область данных
- •Поиск и восстановление файлов в разделах fat
- •Поиск с помощью программы Norton File Find
- •Поиск с помощью программы diskedit
- •Поиск разделов
- •Поиск таблиц fat
- •Поиск потерянных каталогов
- •Восстановление потерянных каталогов и файлов
Область данных
Вслед за корневым каталогом начинается область данных, простирающаяся до конца логического диска. Эта область разбита на кластеры, причем нумерация кластеров начинается с числа 2. Кластеру с номером 2 соответствуют первые секторы области данных.
Приведем формулу, связывающую номер кластера с номерами секторов, занимаемых им на логическом диске:
SectNumber = DataStart + ((ClustNumber - 2) * ClustSize)
В этой формуле использованы следующие обозначения:
|
Переменная |
Описание |
|
SectNumber |
Номер первого сектора, распределенного кластеру с номером ClustNumber |
|
DataStart |
Начальный сектор области данных |
|
ClustNumber |
Номер кластера, для которого необходимо определить номер первого сектора |
|
ClustSize |
Количество секторов, занимаемых одним кластером |
Эта формула может Вам пригодиться при ручном восстановлении файловой системы.
Поиск и восстановление файлов в разделах fat
В этом разделе мы приведем некоторые рекомендации, направленные на восстановление файлов, доступ к которым стал невозможен из-за вредоносного действия вирусов или в результате разрушения файловой системы FAT по любой другой причине. В любом случае перед началом восстановительных работ следует провести полное исследование параметров BIOS и файловой системы с использованием сведений, изложенных нами ранее.
Необходимо также убедиться, что Вы хорошо владеете структурой файловой системы и знаете форматы всех ее компонентов, таких как таблица разделов, таблица логических дисков, таблица размещения файлов FAT и так далее.
Если в процессе исследования файловой системы Вы обнаружили, что некоторые структуры оказались полностью разрушены (например, главная загрузочная запись с таблицей разделов, таблица логических дисков, каталоги и так далее), еще не все потеряно.
Если сохранность информации не имеет для Вас решающего значения, то многие повреждения файловой системы можно исправить в автоматическом режиме при помощи программ Norton Disk Doctor или SCANDISK. Однако, эти весьма неплохие программы в некоторых случаях не смогут оказать Вам существенной помощи. Хуже того, они может окончательно разрушить логическую структуру диска, после чего восстановление файлов станет невозможным.
Поэтому Вы должны владеть хотя бы основными приемами ручного восстановления файловой системы. В тяжелых или ответственных случаях мы настоятельно рекомендуем обращаться к нам в службу DataRecovery.Ru через сервер http://www.datarecovery.ru или http://www.frolov.pp.ru.
Основная идея поиска потерянных файлов и структур данных заключается в том, что Вам известно (хотя бы приблизительно) их имя или содержимое.
Например, секторы, содержащие таблицу разделов, таблицу логических дисков и загрузочную запись, имеют сигнатуру 0xAA55. Из предыдущих разделов этой главы Вы знаете, что программы начальной загрузки содержат в своем теле известные текстовые строки. Вы можете использовать их для поиска. Такие строки есть и в теле расширенного блока параметров BIOS Extended PBP (это строки FAT12, FAT16 или FAT32).
Если Вы знаете характерные слова или последовательности байт, встречающиеся в потерянных файлах данных, они тоже пригодны для поиска секторов файла с целью восстановления.
Секторы, содержащие дескрипторы каталогов, легко обнаруживаются, если знать имена описанных в нем файлов.