Нередко возникают ситуации, когда восстановить утерянные фотографии пользователя с опорой на остаточные данные файловой системы не представляется возможным в связи с отсутствием необходимых структур файловой системы либо их повреждения (например форматирование или удаление директорий с частичной перезаписью новыми данными). В таких случаях применяется метод восстановления данных на основе анализа регулярных выражений, характерных для JPG файлов.

JPG файл, созданный цифровой камерой, начинается с регулярного выражения 0xff 0xd8 0xff по нулевому внутрисекторному смещению, далее идет Exif тег, в котором содержится информация о снимке, такая как производитель и модель камеры, дата, время, параметры съемки. После Exif тега располагается копия снимка с небольшим разрешением (миниатюра) и далее основное изображение в полном разрешении. Об окончании JPG файла, как правило, свидетельствует регулярное выражение 0xff 0xd9.

Метод восстановления основывается на поиске во всем LBA диапазоне накопителя регулярных выражений 0xff 0xd8 0xff по нулевому внутрисекторному смещению, далее производится анализ найденной структуры, в результате которого устанавливается, действительно ли найденная последовательность байт принадлежит JPG файлу. Следующий этап проверки целостности JPG заключается в расчете размера файла, проверки наличия конечного маркера (0xff 0xd9) на заданной позиции и контроле промежуточных точек, значения которых при знании структуры JPG файла заведомо известны. Стоит отметить, что не все варианты JPG файлов содержат конечный маркер (0xff 0xd9). В этих случаях применяются дополнительные меры для определения корректного размера и анализа целостности файла.

После получения всех возможных JPG файлов, которые подлежали восстановлению, выполняются сортировочные мероприятия, суть которых сводится к анализу информации Exif блока, и на его основании именование каталогов для фотографий по производителям и моделям цифровых камер, которыми они были сняты, а сами файлы по дате съемки, которая записана в Exif.

Павел Янчарский

Перепечатка материалов разрешена только с указанием активной ссылки на оригинал статьи