Сегодняшние инструменты для восстановления данных сильно изменились по сравнению с простейшими «восстановителями» двадцатилетней давности. Вместо того, чтобы полагаться исключительно на файловую систему, современные программы для восстановления данных используют чрезвычайно сложные алгоритмы, позволяющие им успешно восстанавливать файлы с RAW дисков. RAW означает, что некоторые разделы или структуры файловой системы, такие как Master Boot Record (MBR), а иногда и вся файловая система повреждены, пусты или полностью отсутствуют. Какие же алгоритмы используются для восстановления файлов с RAW разделов дисков.
Поиск логических разделов жесткого диска
Прежде чем приступить к поиску отдельных файлов, важно найти все разделы (тома диска), записанные на жесткий диск. Как правило, информация о разделах хранится в начале диска в пластинке под названием Partition Table. Windows поддерживает одну или несколько таблиц разделов, описывающих расположение каждого раздела. Таблицы разделов содержат информацию о начале и конце тома, а также о его типе.
Однако жесткий диск бывает поврежден настолько сильно, что отдельные его тома (разделы) не доступны. Если это так, важно обнаружить все разделы диска, чтобы определить местоположение их файловых систем.
Поиск файловой системы
Самый простой способ обнаружить разделы диска – установить присутствие их файловой системы, структуры, которая обычно хранится в начале тома. При восстановлении информации с раздела инструменты восстановления данных обычно считают, что каждый том имеет файловую систему. Если таблица разделов повреждена или недоступна, инструмент будет сканировать диск в поисках доступной файловой системы (или нескольких файловых систем, если диск содержал несколько разделов).
Многие файловые системы имеют фиксированные подписи, благодаря чему найти их относительно легко. Например, файловая система FAT содержит значения 0x55 и 0хАА, расположенные в 510-ом и 511-ом байтах первого сектора раздела. Эти подписи используются для обнаружения присутствия файловой системы. Другие файловые системы (например, ext2 / 3, NTFS, HPFS и так далее) имеют разные подписи, поэтому существуют различные устойчивые алгоритмы их обнаружения, но общий принцип остается тем же. После обнаружения этих подписей проводятся дополнительные проверки. Если после всех проверок алгоритм подтверждает наличие файловой системы, следующим шагом работы инструмента может стать определение начала раздела.
Сканирование раздела
После успешного обнаружения всех томов мы можем выбрать один раздел для извлечения информации с него. Важно понимать, что RAW диски могут содержать поврежденные, недоступные, пустые записи файловой системы, поэтому хороший инструмент восстановления данных не может полагаться только на информацию, хранящуюся в файловых системах. Однако полное игнорирование такой информации также нельзя не было бы хорошей идеей, поскольку файловая система содержит записи, указывающие на многие типы файлов, которые не могут быть обнаружены без использования описанного метода.
Подробнее об анализе файловой системы читайте в других статьях на нашем сайте.