Лабораторная работа №1
Тема: Программные средства восстановления удаленных файлов
Цель: Освоить приемы восстановления случайно удаленных файлов (каталогов) с помощью программ
Краткие теоретические сведения
Файловые системы, которые используются в ОС Microsoft Windows 95-98-Ме и NT-2000-XP-7:
· FAT12 (дискеты),
· FAT16 (относительно небольшие по размеру диски, использовавшиеся под DOS и первыми версиями Windows 95)
· FAT32
· NTFS
Базовой единицей хранения информации на дисках FAT является кластер, размер которого зависит от конфигурации диска и составляет как правило от 1 килобайта до нескольких десятков. Если файл не помещается целиком в один кластер, система отводит под его хранение несколько кластеров. В том случае, когда занимаемые файлом кластеры не идут последовательной цепочкой, а разбросаны в разных местах диска, файл называется фрагментированным. Структура FAT (File Allocation Table - таблица размещения файлов) содержит информацию обо всех кластерах на диске. Все кластеры в FAT пронумерованы определенным образом. Так, запись первого кластера файла в FAT содержит номер следующего кластера файла и так по порядку до последнего кластера, содержащего специальное значение, обозначающее конец файла. Считывая последовательно номера кластеров из FAT и их реальное содержимое на диске, система "собирает" файл для любого дальнейшего использования (копирования, редактирования и пр.)
При удалении файла с диска собственно удаления его содержимого не происходит. Система лишь стирает первый символ имени файла, и обычные программы перестают его "видеть" (именно поэтому иногда не удается восстановить первую букву имени файла, хотя в большинстве случаев имена файлов, созданных под Windows, продублированы). Кроме того, система стирает все номера кластеров в FAT, считая их более незанятыми. При дальнейшей эксплуатации диска эти кластеры могут быть использованы для хранения других файлов.
| NTFS обеспечивает производительность, надежность и функциональность, отсутствующую в FAT: | |
| · Потоки данных · Журналирование · Шифрование · Компрессию · Квоты диска · и др Как и FAT, NTFS использует кластеры как фундаментальные единицы хранения информации. NTFS создает для каждого файла или директории соответствующую запись. Эти записи хранятся в MFT (Master File Table). Имя, размер и атрибуты файла или директории находятся в этих записях MFT. Помимо атрибутов, каждая запись содержит информацию о расположении данных файла (директории) на диске - так называемую цепочку кластеров. То есть содержимое файла как правило находится вне MFT. Информация о свободных и использованных кластерах хранится в карте тома. | |
| Когда вы удаляете файл, он не удаляется с диска физически. Для экономии времени система лишь помечает соответствующую запись в MFT как незанятую, так что другие программы больше "не видят" этого файла. В дальнейшем NTFS может повторно использовать эту запись MFT для хранения других данных. Кроме того, NTFS очищает значения меток кластеров в карте диска, так что они выглядят незанятыми и также могут быть повторно использованы для хранения других данных. Ущерб файла показывает соотношение повторно использованных кластеров файла к общему числу его кластеров. В отличие от систем FAT, NTFS хранит информацию о всей цепочке кластеров файла в записи MFT даже после удаления файла. Это значит что не нужно догадываться где находятся кластеры файла, как это приходится делать в FAT. Две вещи определяют успех восстановления в NTFS: |
· если запись в MFT не оказалась повторно использованной
· если все кластеры файла оставались нетронутыми после его удаления
Три следующие вещи играют роль при восстановлении удаленных файлов: чем чаще дефрагментируется диск, чем скорее предпринимается попытка восстановить удаленный файл и чем меньше его размер, тем выше вероятность восстановления без потерь.
При восстановлении файла его содержимое считывается с диска записывается в другой файл под соответствующим именем. Настоятельно не рекомендуется без крайней необходимости сохранять файлы на тот же диск, откуда он был восстановлен, поскольку это может перезаписать другие удаленные файлы.
Задание
1. Создайте на диске С три директории: TEST, ТЕST2 и TEST3.
2. В каждой директории создайте два файла с названиями 12345678.TXT и 1234567890.TXT
3. Удалите файлы в директории TEST3 и удалите саму директорию, удалите вторую директорию TEST2 вместе с файлами и удалите файлы в первой директории TEST.
4. Протестируйте программы для восстановления файлов (Back2Life, Recover4All Professional и R-Undelete).
5. Самостоятельно найдите две другие программы, протестируйте и сравните их с рассмотренными.
6. В выводах укажите плюсы и минусы рассмотренных программ.
Ход работы
С помощью DiskEdit'ора проверяем наличие на диске удаленных файлов
Файлы, а вернее то, что от них осталось в порядке (на скриншоте видно, как это выглядит для директории TEST, для директории TEST2 и TEST3 все выглядит почти аналогично).
Первые буквы файлов с короткими именами 12345678.TXT в директориях TEST и TEST3 оказались потеряны. Имя файла 1234567890.TXT сохранилось, благодаря использованию длинных имен. Имена файлов 12345678.TXT и 1234567890.TXT в директории TEST2 сохранились, потому что директория была удалена целиком вместе с файлами.
Back2Life
Back2Life - очень маленькая программа (всего 36Kb) для восстановления удаленных файлов. Возможен поиск удаленного файла по имени (маске) и содержанию, также поиск по отдельным директориям, включая или не включая поддиректории. Можно ограничить условия поиска размером или датой изменения файла.
После запуска программа показывает все установленные на компьютере диски (кроме CD-ROM, томов NTFS и сетевых дисков).
Для поиска удаленных файлов на заданном диске необходимо сначала выбрать диск, с которым предстоит работать. Для выбора диска нажмите кнопку с его именем (или выберите соответствующий диск в меню или нажмите на клавиатуре соответствующую диску клавишу). Теперь подождите, пока программа ищет на диске удаленные файлы.
Если вам нужно восстановить файлы в конкретной директории, производить поиск по всему диску вовсе необязательно. Достаточно выбрать данную директорию через пункт "Найти файл" меню "Файл" в поле "Начать с:" или выбрать ее из дерева каталогов данного диска.
После окончания поиска выберите любую директорию в левом окне, а в правом появится список удаленных файлов из этой директории. Серый значок папки в левом окне свидетельствует о том, что сама папка также удалена.
Файлы в списке могут быть отсортированы по имени, размеру, дате последней модификации или ущербу. Для этого нажмите на заголовок соответствующей колонки.
Ущерб показывает, насколько файл был позже перезаписан. Файлы поврежденные на 100% восстановить невозможно. Чтобы увидеть только восстановимые файлы, установите флаг "Только восстановимые файлы" в меню "Вид".
Нажмите кнопку Восстановить (или всплывающее меню) для восстановления файла или группы выделенных файлов. Затем укажите директорию, куда их сохранить и нажмите OK.
Программа позволяет восстанавливать файлы на тот же диск, хотя этого не рекомендуется делать, но в крайнем случае, если другого диска нет, можно использовать для восстановления тот же. При таком восстановлении файлы сначала копируются в память, а потом записываются на тот же диск в другое место.
Если программа не смогла восстановить первую букву удаленного файла, то при сохранении имя файла будет начинаться с "xxx". Ищем удаленные нами файлы. Как мы видим, программа понимает длинные имена. Она успешно нашла и восстановила все шесть удаленных нами файлов.
Back2Life поддерживает поиск в файловых системах FAT12, FAT16 и FAT32, а также в файловых системы, используемых сменными дисками Zip, дискетами и пр. Программа работает под платформой Windows 9x/Me/XP/NT/2K и поддерживает длинные имена.
Recover4All Professional
Кроме выдачи шансов на восстановление (good и fair) программа показывает начальный кластер для каждого файла, эта информация в случае неудачи сможет пригодиться для ручного восстановления.
На передней панели все, что нужно, дублируется кнопками. Кнопка для сканирования каждого логического диска и кнопка Recover (восстановление) для восстановления выделенных файлов. Удаленные файлы и директории в программе показаны зеленым цветом.
Программа нашла все четыре наших удаленных файла и полностью их восстановила. Восстановление происходит на другой диск в выбранную директорию.
Удаленные директории восстановить нельзя, для восстановления древовидной удаленной структуры придется вручную создавать дерево каталогов и восстанавливать в нее удаленные файлы.
Программа работает как с короткими, так и с длинными именами файлов. Для этого у нее есть пункт меню File: Find long filenames (искать длинные имена файлов), который отмечается галочкой.
R-Undelete
Упрощенная версия программы R-Studio с большими возможностями по восстановлению не только удаленных файлов, но и другой информации при различных сбоях в работе винчестера. Хотя R-Undelete и является упрощенной версией, программа имеет некоторые возможности, не присущие программам такого класса. Можно сохранить образ раздела в файл и загрузить его из файла.
Программа нашла и успешно восстановила все шесть удаленных нами файлов.
Кроме сканирования директорий, программа обладает возможностью сканирования диска напрямую, по секторам. Эта технология в программе называется IntelligentScan ("Умное" сканирование).
Во время "умного" сканирования программа распознает следующие типы записей:
· MBR (Main Boot Record - Главная загрузочная запись);
· NTFS Boot Sector (Загрузочный сектор NTFS);
· FAT Boot Sector (Загрузочный сектор FAT);
· MFT (Master File Table - Таблица размещения файлов NTFS)
· NTFS Folder (Папка NTFS);
· FAT (File Allocation Table - Таблица размещения файлов FAT);
· FAT Folder (Папка FAT);
· Ext2FS SuperBlocks.
На основе полученной информации воссоздается информация о разделах диска, а также содержащихся в них файлах и директориях.
Затем эту картину можно сравнить с реальной (если информация о разметке сохранилась).
В результате сканирования программа выдает удаленные директории, ссылки на которые оказались потерянными, однако которые все еще содержат файлы, которые возможно все еще удастся восстановить.
R-Undelete обладает мощными возможностями для поиска файлов по различным критериям, таким как размер, дата создания, изменения и последнего доступа. Наряду с маской для поиска файлов в программе можно использовать регулярные выражения.
Небольшую путаницу в работу с программой вносят пункты меню, которые различаются в некоторых случаях, причем иногда некоторые пункты не просто становятся недоступными, а вообще исчезают из меню.
7. Создайте на диске С три директории: TEST, ТЕST2 и TEST3.
2. В каждой директории создайте два файла с названиями 12345678.TXT и 1234567890.TXT
3. Удалите файлы в директории TEST3 и удалите саму директорию, удалите вторую директорию TEST2 вместе с файлами и удалите файлы в первой директории TEST.
4. Протестируйте программы для восстановления файлов (Back2Life, Recover4All Professional и R-Undelete).
Back2Life:
R-Undelete
