Методика восстановления поврежденной файловой системы FAT32.

При повреждениях файловой системы FAT32 необходимо произвести комплекс мероприятий, которые позволят получить максимально возможный результат восстановления пользовательских данных.

1. Первое действие специалиста по восстановлению данных - это создание посекторной несжатой копии оригинального носителя информации.

2. Анализ содержимого загрузочного сектора. При повреждении служебных данных в нем обязательно скорректировать информацию об идентификаторе файловой системы, размере сектора, количестве секторов в кластере, количестве копий таблиц размещения файлов (File Allocation Table – FAT), длину раздела (в секторах), размер таблицы размещения файлов, номер первого кластера корневого каталога.

3. Сравнить содержимое обеих копий таблиц размещения файлов, удалить заведомо ложные значения, проанализировать наличие сдвигов фрагментов таблиц и при наличии переместить их на корректные позиции (наличие сдвигов несложно определить на цепочках нефрагментированных файлов, состоящих более чем из одного кластера). Далее необходимо установить наличие цикличных ссылок в таблице, их позиции и количество. Исправление этих ошибок необходимо будет выполнить позже.

4. Выполнить проверку файловых записей корневой директории (каталога, папки); формат 11 байтной записи имя файла и расширения, атрибуты, длины файлов, номер первого кластера файла, проверить корректность записи длинных имен (Long File Name – LFN). При наличии сдвигов в корневой директории необходимо их устранить, также удалить некорректные записи и произвести перенос записей так, чтобы не было пропущенных участков, либо пропущенные участки пометить как записи об удаленных файлах, чтобы не нарушалась целостность директории. Далее переходим ко всем остальным директориям и выполняем аналогичные проверки и коррекции, но в отличие от корневой директории необходимо проверять насколько корректны записи адреса возврата к родительской директории.

5. Проанализировать количество цепочек в таблице размещения файлов и сопоставить его с количеством файлов и директорий. Цепочки, не сопоставляемые с файловыми записями, требуют анализа регулярных выражений для установления типов файлов к которым они принадлежат.

6. После того как скорректированы все файловые записи в директориях и исследованы цепочки, утратившие свои имена, дополнительному анализу подвергаются файлы, имеющие потери записей либо циклические ссылки в таблице размещения файлов.

7. Устанавливается факт наличия пересечений объектов по таблице размещения файлов и какой из файлов частично перезаписан другим из-за ошибок в файловой системе.

 

 

Павел Янчарский

 

Перепечатка материалов разрешена только с указанием активной ссылки на оригинал статьи

Поделиться
|