- •Прослеживание списка разделов диска
- •Проверка таблицы разделов при помощи программы diskedit
- •Сохранение параметров диска и таблицы разделов диска
- •Исследование расширенного раздела диска
- •Сохранение содержимого таблиц логических дисков
- •Исследование логических дисков fat
- •Проверка загрузочного сектора
- •Анализ зарезервированных секторов
- •Таблицы размещения файлов fat
- •Формат таблицы fat
- •Просмотр таблицы fat
- •Формат каталогов
- •Просмотр каталогов
- •Каталоги в файловой системе vfat
- •Область данных
- •Поиск и восстановление файлов в разделах fat
- •Поиск с помощью программы Norton File Find
- •Поиск с помощью программы diskedit
- •Поиск разделов
- •Поиск таблиц fat
- •Поиск потерянных каталогов
- •Восстановление потерянных каталогов и файлов
Поиск с помощью программы Norton File Find
Наиболее распространенное повреждение файловой системы FAT возникает при внезапном отключении питания и заключается в появлении так называемых потерянных кластеров. Это повреждение также бывает следствием аппаратного сброса компьютера при работающей операционной системе Microsoft Windows.
Потерянные кластеры называются так потому, что на них нет ссылок ни в одном каталоге файловой системы. Такая ситуация может возникнуть, например, из-за того, что соответствующий каталог был просто уничтожен и, следовательно, ссылки на описанные в нем файлы исчезли.
Чаще всего для ремонта повреждений такого рода пользователи применяют программу SCANDISK, входящую в состав операционной системы, или программу Norton Disk Doctor.
После восстановления файловой системы программой Norton Disk Doctor или SCANDISK на диске может образоваться громадное количество файлов со специфическим расширением имени, составленные из цепочек потерянных кластеров (каждая программа восстановления использует свое имя). Таких файлов в зависимости от серьезности повреждений файловой системы может быть до нескольких тысяч.
Если после сбоя или вирусной атаки Вы проверили диск одной из перечисленных выше программ, и в результате нужные Вам файлы исчезли, существует большая вероятность, что они оказались среди восстановленных файлов. Однако как их найти среди сотен и тысяч других?
Проще всего это сделать, например, с помощью программы Norton Find File. Ее можно запустить из популярной оболочки Norton Commander при помощи комбинации клавиш Alt+F7.
В поле File(s) to find Вы должны задать шаблон для имени файла и расширения имени, например, *.NDD. Поиск будет выполняться только среди файлов, имя которых удовлетворяет указанному шаблону.
Необходимо также указать в поле Containing контекст для поиска, то есть какую-либо текстовую строку, присутствующую в файле. Например, для того чтобы найти все файлы, созданные текстовым процессором Microsoft Word for Windows, Вы можете указать строку контекста "Microsoft Word", а для того чтобы найти все файлы, подготовленные в среде процессора электронных таблиц Microsoft Excel, укажите строку контекста "Microsoft Excel".
Список путей к найденным файлам отобразится в верхней части окна программы Norton Find File.
В дальнейшем, если найденных файлов будет все еще очень много, Вы можете переписать их в отдельный каталог и переименовать, а затем продолжить поиск, используя другие строки в качестве контекста.
Поиск с помощью программы diskedit
По сравнению с описанной в предыдущем разделе программой Norton Find File, программа DISKEDIT предоставляет намного больше возможностей для поиска файлов, а также различных структур файловой системы.
Поиск разделов
Обратите внимание на меню Tools программы DISKEDIT.
Если выбрать из этого меню строку Find, на экране появится диалоговая панель Enter search text. С помощью этой диалоговой панели Вы сможете выполнять контекстный поиск строк, заданных как символьным, так и шестнадцатеричным представлением. Дополнительно можно указать смещение сектора и выбрать режим Ignore Case. При использовании этого режима сравнение с образцом будет выполняться без учета строчных или прописных букв.
Строка Find Object позволяет выполнить поиск различных структур файловой системы. Если выбрать эту строку, на экране появится меню второго уровня, где есть строки Partition/Boot, FAT и Subdirectory.
Попробуйте все это в действии. Для этого откройте меню Object и выберите из него строку Physical Sector. Затем укажите самый первый сектор, расположенный на нулевой дорожке. Этот сектор должен содержать главную загрузочную запись MBR. Перейдите в режим неформатированного просмотра, выбрав из меню View строку as Hex.
А что делать, если, взглянув на главную загрузочную запись, Вы увидели, что таблица разделов разрушена или зашифрована?
В этом случае можно выполнить контекстный поиск секторов загрузочных записей, содержащих блоки параметров BIOS BPB. Проще всего это сделать, если после просмотра главной загрузочной записи по ее физическому адресу и перехода к следующему сектору диска выбрать из меню Tools/Find Object строку Partition/Boot.
Программа DISKEDIT найдет сектор, содержащий в конце последовательность байт "55 AA", соответствующую сигнатуре загрузочного сектора 0xAA55.
После того как Вы нашли загрузочный сектор, его физический адрес можно вручную подставить в таблицу разделов, отредактировав ее программой DISKEDIT.
Так как структура разделов диска в процессе эксплуатации последнего может многократно изменяться, не исключено, что Вы найдете слишком много загрузочных секторов. Некоторые из них принадлежали старым разделам и не были уничтожены при изменении структуры разделов, некоторые вообще могут принадлежать другим операционным системам. В любом случае проверяйте расположение найденного загрузочного сектора относительно других найденных вами логических структур файловой системы. Например, Вы можете использовать для "опознания" тот факт, что сразу после загрузочного сектора раздела FAT должна следовать таблица размещения файлов.
Так как в процессе поиска программа DISKEDIT проверяет только последние два байта сектора, возможны ложные срабатывания. Вслед за найденным сектором может располагаться сектор, содержимое которого мало похоже на таблицу размещения файлов.