125 Кібербезпека / 4 Курс / 3.1_3.2_4.1_Захист інформації в інформаційно-комунікаційних системах / Лабораторнi роботи / 5 семестр / ЛР3 Вiдновлення даних
.pdf
ЛАБОРАТОРНА РОБОТА №3. ВІДНОВЛЕННЯ ДАНИХ.
Мета: ознайомлення з інструментами відновлення даних на носіях.
Принцип роботи програм відновлення даних
Примітка. Перед початком роботи із носіями даних необхідно розуміти зміст деяких базових понять: файлова система, сектор, розділ диска, том, завантажувальний сектор, MBR, GUID Partition table (див. лекційний матеріал або відповідні теоретичні відомості з інших джерел).
Кожен видалений файл продовжує перебувати на жорсткому диску, але Windows його не бачить. Якщо програмі відновлення даних необхідно відновити цей файл, вона переглядає завантажувальний сектор розділу (>PartitionBootSector). У ньому є вся інформація про будову розділу, наприклад розмір секторів (зазвичай, 512 байт) і кількість секторів щодо одного кластера.
У розділі NTFS розміром 2 Гбайт щодо одного кластера міститься чотири сектори. Програми відновлення даних сканують головну таблицю файлів (>MasterFileTable, MFT), що перебуває у PartitionBootSector. Це список всіх файлів, що у розділі. Ті, котрі за розмірам менш 1500 байт, записуються просто у MFT. Для файлів більшого обсягу у MFT є на адреси секторів, де лежать дані. Спочатку MFT є інші записи, наприклад, так звана бітова карта розподілу кластерів (>ClusterBitmap), показує усі використовувані кластери, і навіть файл пошкоджених кластерів (>BadClusterFile), який реєструє всі кластери з помилками. Зазвичай таблиця MFT в Windows не видно. Але є дискові редактори, наприклад WinHex, які показують зміст MFT в шістнадцятквих кодах.
Основне правило після (випадкового) видалення даних – як можна менше звернень до жорсткого диска. Чим менше разів вмикався комп`ютер і чим менше даних було записано на вінчестер після видалення, тим вища вірогідність повного відновлення даних.
Руйнування логічної структури призводить до втрати доступу до розділів диску, зникнення елементів файлової системи, відображення розділів як неформатованих і т.і. Як і в попередньому випадку, важливо мінімізувати кількість звернень до диска. Тому робота ведеться тільки з точною посекторною копією диска, без внесення змін в логічну структуру накопичувача, що дозволяє уникнути помилок при відновленні інформації.
R-Studio.
Підключаємо носій (далі розглядається «флешка») в USB порт комп'ютера і при спробі її відкрити можна отримати таке повідомлення.
Форматувати її зараз не треба, тому що нам потрібно витягти хоч якісь небудь файли. У властивостях носія бачимо, що розмір диска дорівнює 0, а файлова система з FAT32 перетворилася в RAW.
1. Встановлюємо і запускаємо програму.
2. Знаходимо у списку знайдених дисків нашу флешку. Якщо програма не знайшла флеш, значить пошкодження файлової системи досить значні. Може бути несправний контролер або пошкоджена мікросхема пам'яті. У цьому випадку краще звернутися до фахівців з відновлення інформації. У нашому випадку програма знайшла наш накопичувач. Виділяємо флешку і правою кнопкою миші викликаємо контекстне меню і вибираємо Scan.
3. В меню сканування вказуємо тип файлової системи в якій була відформатована флешка. Start - звідки почнемо сканування, зазвичай 0. Size - обчислений програмою обсяг нашої флеш. Інші параметри можна виставити як на скріншоті. Після налаштування натискаємо на Scan.
4. Запуститься режим сканування файлової системи.
5. Сканування підходить до завершення ...
6. Сканування завершено, натискаємо OK.
7. Відкриється список знайдених програмою в процесі сканування файлових систем. Recognized1, Recognized2, Recognized3 і так далі. Вибираємо список з файловою системою, в якій було відформатовано носій (на рисунку Recognized2). Викликаємо контекстне меню і вибираємо Open Drive Files.
8. У вкладці Recognized2 у списку папок $ ROOT00001 і т.д. можна переглянути знайдені файли та директорії.
9. Перед потрібними нам файлами або папками ставимо галочки і натискаємо кнопку
Recover Marked.
10. Тут потрібно вибрати місце (Output Folder) куди програма скопіює відновлені файли. Установки можна залишити такі ж як на скріншоті. Якщо ви хочете спробувати відновити інформацію у пошкоджених секторах пам'яті флешки, зніміть галочку Skip files with bad sectors. Після налаштування натискаємо OK.
11. У вказану директорію скопіюються вибрані файли. Частина даних може бути не читана або відновлена частково. Тоді пробуємо просканувати носій з іншими налаштуваннями програми.
Таким чином, програма дозволяє відновлювати інформацію при випадковому видаленні файлів з флешки або швидкому форматуванні накопичувача.
Існують й інші програми для відновлення даних, опис алгоритму покрокового виконання яких легко знайти на сайтах вендорів чи в Інтернет (наприклад, http://habrahabr.ru/sandbox/57103/ Описание утилиты GetDataBack
Завдання. На попередньо підготовленому носії (додатковий жорсткий диск, флешка) видалити декілька файлів і відновити їх з допомогою однієї із програм.
Контрольні запитання.
1.Основні поняття файлової системи.
2.Структура MBR.
3.Переваг GUID Partintion Table.
4.Класифікація файлових систем.