Методика восстановления данных в случае частичной перезаписи накопителя.

Нередко для потери информации совсем не требуются какие-либо сбои накопителей, повреждения файловой системы, а достаточно ошибок пользователя или обслуживающего персонала. Примерами таких ситуации может быть: ошибочное удаление файлов и папок с последующей записью на диск иных данных, ошибочное форматирование не того раздела с последующей установкой операционной системы или удаление всех разделов с последующим созданием новых, установкой ОС и записью иной информации. Во всех случаях будем иметь ситуацию, когда доступа к нужным данным нет.

 

Тем, кто решит, что в такой ситуации будет достаточно запуска программ автоматического восстановления, необходимо удостовериться в исправности накопителя, прежде чем запускать процедуру автоанализа, чтобы в процессе сканирования неисправный диск окончательно не деградировал.

 

деградировавший накопитель.

Рис. 1. Пример деградировавшего (запиленного) накопителя.

 

Как самостоятельно диагностировать проблемы накопителя, вы можете прочесть в нашей публикации «Самостоятельная диагностика жестких дисков и восстановление данных”.

 

После сканирования диска и нахождения данных ни в коем случае найденное нельзя записывать на диск, с которого вы хотите скопировать обнаруженные программой автоматического восстановления данные. В случае игнорирования этого предупреждения многие ваши файлы вы превратите в мусор безвозвратно.

 

Во многих случаях предстоит столкнуться с тем, что объем найденного программами автоматического восстановления может превышать емкость диска, в некоторых случаях даже многократно. Это не означает, что обнаруженные метаданные различных файловых систем действительно указывают на существующие файлы. Исправных данных с корректным размером файлов не может быть больше, чем емкость самого накопителя, остальное будет представлять из себя фрагменты иных существующих файлов.

 

После копирования результата необходимо проверить целостность файлов, так как существование записи, описывающей имя файла, размер и его положение на диске, не гарантирует, что в местах расположения файла действительно корректные данные.

 

восстановление без контроля целостности

Рис. 2. Пример некорректного восстановления данных популярной утилитой.

 

Эксплуатацию диска, с которого вы восстанавливали данные программами автоматического восстановления, можно начинать лишь тогда, когда вы удостоверились в его исправности и в том, что результат восстановления данных вас полностью устроил.

 

Если же получен неудовлетворительный результат, то есть смысл обратиться к специалистам, так как профессиональный подход существенно отличается от запуска утилит автоматического восстановления данных.

 

При попадании диска в нашу лабораторию восстановления данных специалисты оценивают его состояние и с помощью комплекса PC3000 создают посекторную копию до начала аналитических мероприятий. При таком варианте копирования диск не монтируется ОС, что позволяет избежать привнесения проблем в результате действий некоторых сервисов ОС Windows.

 

Средствами Data Extractor выполняется поиск различных регулярных выражений в рамках всего логического пространства.

 

pc3000 dataextractor metadata GREP

Рис. 3. Пример результатов поиска регулярных выражений, характерных для метаданных файловых систем и различных типов файлов.

 

В первую очередь специалиста интересуют обнаруженные метаданные файловых систем, так как именно исходя из их расположения можно сделать вывод о том какие разделы существовали на диске, сколько их было и в каких границах они располагались и соответствуют ли они границам текущих разделов.

 

Обращаем внимание, имеются ли признаки наличия необходимых типов файлов на диске.

 

dataextractor GREP

Рис. 4. На данном рисунке показано обнаружение признаков документов и графических файлов.

 

Если признаков нужных типов файлов не обнаружено, то можно сделать выводы о том, что либо нужных данных уже не существует, либо есть ошибки в техническом задании, либо содержимое диска было зашифровано. В этом случае работы приостанавливаются и задается серия уточняющих вопросов по техническому заданию. В случае обнаружения признаков нужных данных следуют дальнейшие аналитические мероприятия.

 

Проверяем корректность текущих файловых систем и построим карты расположения существующих файлов

 

карта расположения файлов

Рис. 5. Построение карты существующих файлов по результатам сканирования MFT.

 

Выполняем изменение маркирования секторов (изменяем легенду), принадлежащим цепочкам существующих файлов, что позволит нам далее использовать аналитические инструменты, как и Data Extractor, так за пределами комплекса с вычетом информации о существующих файлах.

 

оперция с легендой существующих файлов

Рис. 6. Изменение легенды для цепочек секторов существующих файлов.

 

В зависимости от дальнейшей постановки задач выбираем тип легенды, а также определяем необходимость маркирования текущих метаданных файловых систем.

 

Проведем анализ записей, в которых содержится информация об удаленных файлах в текущих файловых системах, и выполним копирование с учетом легенды, чтобы файлы, перезаписанные текущими данными не были включены в результат. Далее этот результат будет подлежать дополнительному контролю, о котором будет сказано в конце данной публикации.

 

Из результатов поиска регулярных выражений мы опишем все разделы, которые найдены на диске, и осуществим привязку обнаруженных метаданных. Если метаданные неполны, то предстоит скрупулезный анализ всех обнаруженных записей, и, как например в случае реконструкции NTFS раздела, предстоит собрать все записи, которые могут относиться к нужному разделу.

 

создание MFT

Рис. 7. Формирование таблицы из найденных MFT записей.

 

Далее в редакторе убираем заведомо некорректные или относящиеся к иным разделам записи. Особое внимание уделяем крупным фрагментам MFT, диапазоны записей которых являются пересекающимися по номерам.

 

Полученную MFT привязываем к начальной точке не существующего на данный момент раздела и выполняем сканирование записей. В полученном древе включаем режим контроля заголовков файлов.

 

контроль целостности файлов

Рис. 8 Включение режима контроля заголовков.

 

В данном режиме проводим грубую оценку соответствия заголовков файлов к их типу, заявленному в файловой системе. В случае обнаружения массовых соответствий выполняем копирование файлов с учетом легенды, чтобы отделить мусорные файлы, для которых еще существует запись в файловой системе, но место их расположения гарантированно переписано новыми данными. Это позволит убрать из конечного результата множество папок и файлов, где оригинального содержимого нет в помине.

 

Далее строим карты расположения найденых файлов, которые мы скопировали и изменяем легенду для них, как для существующих файлов. Это нам необходимо, чтобы отыскать файлы, для которых не сохранилось файловых записей, описывающих их имя, размер и положение на диске, без включения в результат того, что уже обнаружено.

 

построение субкарты из мест не описанных файловыми системами

Рис. 9. Построение субкарты по легенде.

 

По легенде строим субкарту цепочек, использование которых не заявлено ни существующими файловыми системами, ни обнаруженными в результате предыдущих анализов. И проводим поиск регулярных выражений для нужных клиенту типов файлов.

 

Обнаруженный материал, как и обнаруженные удаленные файлы в текущих файловых системах, подлежат дополнительному контролю, при котором оценивается структура различных форматов файлов, с удалением того, что мало соответствует заявленному типу.

 

Все эти меры в случаях серьезных повреждений файловых систем позволяют восстановить максимальное количество данных с минимальным количеством мусора.

 

Описанные в данной публикации меры не являются исчерпывающими, и существует множество задач, где требуются дополнительные аналитические процедуры, целесообразность применения которых оценивается специалистом выполняющим работу по восстановлению данных.

 

 

Павел Янчарский

 

Перепечатка материалов разрешена только с указанием активной ссылки на оригинал статьи

Поделиться
|