Методика восстановления данных в случае частичной перезаписи накопителя.

Из-за ошибочных действий пользователей, либо различного обслуживающего персонала происходит уничтожение пользовательских данных. Чаще всего ошибки допускаются при выборе раздела для установки операционной системы, различных операциях с дисковыми менеджерами по изменению размера разделов, удаление и создание новых разделов, ошибочное удаление нужных файлов с последующими записями на этот же раздел других данных, указание некорректного смещения или раздела при разворачивании образа.

Для максимальной эффективности восстановления данных в таких случаях необходимо:

1. Выполнить создание посекторной несжатой копии оригинального носителя информации.

2. Построить карту пространства, занятого существующими файлами, элементами файловых систем и таблиц разделов.

3. Заполнить легко узнаваемым паттерном (на основании которого при дальнейшем анализе мы будем идентифицировать области не подлежащие анализу) все существующие файлы, элементы файловой системы, и таблицы разделов.

4. Установить границы разделов, существовавших до начала ошибочных действий пользователя и записать их в таблице разделов, затем определить основные параметры файловых систем и описать их в загрузочных секторах.

5. Провести анализ регулярных выражений для типов файлов, указанных в техническом задании.

6. Выполнить поиск структур файловых систем и проанализировать наличие описаний файлов, которые необходимо найти согласно технического задания. После нахождения записей отсеять файлы, содержимое которых заполнено паттерном, как перезаписанные другими данным.

7. Сопоставить результат анализа регулярных выражений и результат анализа структур файловых систем на предмет фильтрации дубликатов.

 

 

Павел Янчарский

 

Перепечатка материалов разрешена только с указанием активной ссылки на оригинал статьи

Поделиться
|