При повреждениях файловой системы FAT32 необходимо произвести комплекс мероприятий, которые позволят получить максимально возможный результат восстановления пользовательских данных.
1. Первое действие специалиста по восстановлению данных - это создание посекторной несжатой копии оригинального носителя информации.
2. Анализ содержимого загрузочного сектора. При повреждении служебных данных в нем обязательно скорректировать информацию об идентификаторе файловой системы, размере сектора, количестве секторов в кластере, количестве копий таблиц размещения файлов (File Allocation Table – FAT), длину раздела (в секторах), размер таблицы размещения файлов, номер первого кластера корневого каталога.
3. Сравнить содержимое обеих копий таблиц размещения файлов, удалить заведомо ложные значения, проанализировать наличие сдвигов фрагментов таблиц и при наличии переместить их на корректные позиции (наличие сдвигов несложно определить на цепочках нефрагментированных файлов, состоящих более чем из одного кластера). Далее необходимо установить наличие цикличных ссылок в таблице, их позиции и количество. Исправление этих ошибок необходимо будет выполнить позже.
4. Выполнить проверку файловых записей корневой директории (каталога, папки); формат 11 байтной записи имя файла и расширения, атрибуты, длины файлов, номер первого кластера файла, проверить корректность записи длинных имен (Long File Name – LFN). При наличии сдвигов в корневой директории необходимо их устранить, также удалить некорректные записи и произвести перенос записей так, чтобы не было пропущенных участков, либо пропущенные участки пометить как записи об удаленных файлах, чтобы не нарушалась целостность директории. Далее переходим ко всем остальным директориям и выполняем аналогичные проверки и коррекции, но в отличие от корневой директории необходимо проверять насколько корректны записи адреса возврата к родительской директории.
5. Проанализировать количество цепочек в таблице размещения файлов и сопоставить его с количеством файлов и директорий. Цепочки, не сопоставляемые с файловыми записями, требуют анализа регулярных выражений для установления типов файлов к которым они принадлежат.
6. После того как скорректированы все файловые записи в директориях и исследованы цепочки, утратившие свои имена, дополнительному анализу подвергаются файлы, имеющие потери записей либо циклические ссылки в таблице размещения файлов.
7. Устанавливается факт наличия пересечений объектов по таблице размещения файлов и какой из файлов частично перезаписан другим из-за ошибок в файловой системе.
Павел Янчарский
Перепечатка материалов разрешена только с указанием активной ссылки на оригинал статьи