Bevor Sie mit der Diagnose beginnen, müssen Sie zunächst den Status des Laufwerks überprüfen. Da dies Seagate ist, müssen wir das Terminalprotokoll ab dem Zeitpunkt der Stromversorgung sehen, SMART und die Fähigkeit zum Lesen von Köpfen in Zonen unterschiedlicher Dichte bewerten. Ein so kurzer Test zeigt in der Regel viele Fehler.
Wir verbinden, liefern Strom. Im Terminal meldet das Laufwerk kurz, dass der Startvorgang erfolgreich war, und zeigt anhand der DRD- und DSC- Register seine Bereitschaft, Befehle anzunehmen.
Zahl: 2 Startprotokoll des Terminals der Seagate ST4000DM000- Festplatte
Als Nächstes müssen Sie die SMART- Messwerte überprüfen ( was ist SMART und worauf ist darin zu achten, was ich bereits in meinem Hinweis beschrieben habe).
Zahl: 3 SMART- Messwerte
Das erste, was wir uns ansehen, ist die Betriebszeit (Attribut 0x09). Wenn sich herausstellt, dass sie nahe Null liegt, ist es nicht sinnvoll, auf die SMART- Messwerte zu achten , da die Wahrscheinlichkeit hoch ist, dass es sich bei den Statistiken um jemanden handelt Durch technologische Befehle zurückgesetzt, und die aktuellen Messwerte zeigen nicht alle Ereignisse an, die während des Betriebs des Frequenzumrichters aufgezeichnet wurden. In unserem Fall beträgt die Betriebszeit 3 696 Stunden, was darauf hinweist, dass die SMART- Messwerte höchstwahrscheinlich nicht gestört wurden.
Beachten Sie als nächstes die Messwerte der Attribute 0x05, 0xC5 (197), 0xC6 (196) in der RAW-Spalte. Nullwerte zeigen an, dass während des Betriebs des Laufwerks keine ernsthaften Probleme beim Ablesen von der Oberfläche aufgezeichnet wurden und keine Neuzuordnungen durchgeführt wurden.
Das Lesen des Attributs 0xC7 (199) weist auf mögliche Probleme bei der Datenübertragung in Hochgeschwindigkeitsmodi hin. Unter Berücksichtigung der Tatsache, dass die Anzahl der Fehler gering ist, werden wir vorerst keine vorzeitigen Schlussfolgerungen ziehen.
Da dies kein Tiled Recorder (SMR) istDann ist die Fähigkeit, alle Köpfe in Zonen unterschiedlicher Dichte abzulesen, leicht zu beurteilen. Dazu reicht es aus, die Anzahl der Köpfe, die ungefähre Größe der Minibands und deren Wechselreihenfolge beim Aufbau des logischen Raums des Laufwerks zu kennen. Wir werden Data Extractor zur Demonstration verwenden. Lassen Sie uns eine Karte der Miniräume erstellen.
Zahl: 4 Karte der Miniräume im logischen Raum Seagate ST4000DM000
Die Liste zeigt die Reihenfolge der Verwendung von Miniräumen zum Erstellen eines logischen Raums:
0, 1, 2, 3, 4, 5, 6, 7, 7, 6, 5, 4, 3, 2, 1, 0 und dann zyklische Wiederholung. Anhand der Größe einer Mini-Zone für ein bestimmtes Laufwerk ist es offensichtlich, dass es ausreicht, mehrere Abschnitte des logischen Speicherplatzes (normalerweise Anfang, Mitte und Ende des logischen Bereichs) mit einer Länge von etwa 500.000 Sektoren zu lesen, um sicherzustellen, dass das Laufwerk nicht einfriert und die Scan-Geschwindigkeit nicht drastisch abnimmt. eine der Oberflächen.
Es wurde von der verwendeten Oberfläche gelesen und nicht überprüft, um gleichzeitig zu überprüfen, ob während der Datenübertragung Fehler auftreten würden. In diesem Fall wurden keine Lesefehler gefunden. Mit diesen Aktionen können Sie das Laufwerk als bedingt fehlerfrei betrachten und mit der Analyse der Strukturen von Dateisystemen beginnen.
Zunächst werden wir prüfen, ob derzeit Partitionen auf der Festplatte vorhanden sind und welche Dateisysteme dort verwendet werden.
Ich möchte Ihre Aufmerksamkeit auf die Tatsache lenken, dass Sie auf Festplatten mit einer Anzahl von mehr als 4.294.967.296 Sektoren GPT verwenden müssenum die volle Kapazität zu nutzen, da die klassische Partitionstabelle 32-Bit-Werte verwendet, die nicht breit genug sind. In unserem Fall ist ST4000DM000 ein 4-TB-Laufwerk, in dem der logische Bereich aus 7.814.037.168 512-Byte-Sektoren besteht.
Betrachten wir zunächst den Inhalt in LBA 0.
Zahl: 5 Partitionstabelle, die das Vorhandensein von GPT beschreibt .
Hier finden wir eine klassische Partitionstabelle mit einer Beschreibung eines Volumes. Bei Offset 0x1C2 wird der Partitionstyp 0xEE mit einem Offset von 0x00000001 Sektor vom Anfang der Festplatte und einer Größe von 0x3A3817D5 angezeigt.
Mit diesem Eintrag soll angegeben werden, dass der gesamte für die klassische Partitionstabelle verfügbare Inhalt der Festplatte belegt ist, sodass verschiedene alte Festplatten-Dienstprogramme, die keine Ahnung von GPT haben , die Partition nicht erstellen können. Bei Festplatten, bei denen die Anzahl der Sektoren größer als 4.294.967.296 ist, muss der geschützte Bereich 0xFFFFFFF und nicht 0x3A3817D5 sein.
Bitte beachten Sie, dass der Wert 0x3A3817D5 (976 754 645) ungefähr 8-mal kleiner ist als 7 814 037 168 - die Gesamtzahl der Sektoren auf der Festplatte. Dies lässt die Annahme zu, dass die Festplatte höchstwahrscheinlich als Gerät mit einer Sektorgröße von 4096 Byte und nicht von 512 Byte verwendet wurde. Lassen Sie uns die Annahme überprüfen und versuchen, nach dem regulären Ausdruck 0x45 0x46 0x49 0x20 0x50 0x41 0x52 0x54 (EFI PART) zu suchen. Wenn es sich in Sektor 1 befindet, ist die Annahme falsch. Wenn es sich in Sektor 8 befindet, wird die Annahme bestätigt.
Zahl: 6 GPT- Header
Überprüfen wir auch, ob in diesem GPT Volumes beschrieben sind , für die wir zu Sektor 16 gehen
Zahl: 7 In GPT beschriebene Abschnitte
Hier finden Sie zwei Einträge.
Der erste Datensatz ist ein Sektorvolumen von 76.800 (614.400), das das FAT32-Dateisystem verwendet. Dieses Volume ist für EFI-Anforderungen reserviert.
Der zweite Datensatz ist ein Volume von 976 644 858 (7 813 158 864) Sektoren, die das HFS + -Dateisystem verwenden.
Da die Version mit der Tatsache, dass die Festplatte als Gerät mit einer Sektorgröße von 4096 Byte verwendet wurde, bestätigt wird, besteht der nächste Schritt darin, die Analyse mit Data Extractor fortzusetzen.
Ändern Sie nach dem Erstellen der Aufgabe den Sektorgrößenparameter von 512 in 4096 und erhalten Sie das folgende Bild.
Zahl: 8 Parameter HFS +
Wir sehen zwei Volumes auf der Festplatte mit den richtigen Dateisystemen. Der erste Band, basierend auf der Rolle und Größe, interessiert uns nicht. Aber der zweite Band ist schon von Interesse.
Aus den Zeitstempeln können wir schließen, dass dieser Band am 19. Oktober 2020 erstellt wurde, was ein relativ kurzes Datum für die Ankunft der CD bei uns ist.
Das Scannen des CatalogFile + -Journals (HFS + -Strukturen) zeigt, dass die Festplatte zu 99,9% leer ist und keine Anzeichen von Benutzerdaten vorliegen, die von diesem Dateisystem beschrieben werden.
Nun muss die Annahme überprüft werden, dass sich auf dieser Festplatte möglicherweise andere Volumes und Dateisysteme befanden, und nicht nur die jetzt vorgestellten. Zu diesem Zweck verwenden wir das Suchwerkzeug für verschiedene reguläre Ausdrücke, die für verschiedene Strukturen von Dateisystemen und Dateien spezifisch sind.
Zahl: 9 Suchergebnis für reguläre Ausdrücke.
Die Analyse eines Bereichs von ungefähr 2 GB, der weniger als 2 Minuten dauert, zeigt, dass zusätzlich zu den vorhandenen FAT32- und HFS + -Daten Anzeichen für das Vorhandensein eines Volumes mit dem ExFAT-Dateisystem vorliegen. Das erste, woran wir interessiert sind, ist das Anzeigen des ExFAT-Stammverzeichnisses des Volumes.
Zahl: 10 ExFAT-Stammverzeichnis Das
Volume-Label "Transcend" ist auffällig. Das Seltsame ist, dass externe Laufwerke dieses Herstellers im 2,5-Zoll-Formfaktor weit verbreitet sind, nicht im 3,5-Zoll-Format. Und es ist ziemlich unwahrscheinlich, dass der Benutzer selbst jemals beschlossen hat, ein ähnliches Volumenetikett anzubringen.
Notieren wir uns die Namen der Verzeichnisse, die im Stammverzeichnis beschrieben sind, und stellen dem Client Fragen, ob es sich um die erforderlichen Informationen handelt.
Nachdem etwas mehr als 10 Minuten vergangen sind, setzen wir das Gespräch mit dem Kunden fort. Dabei stellt sich heraus, dass er nicht der Eigentümer der Informationen ist und keine Aufschluss darüber geben kann, welche Daten auf der Festplatte enthalten waren, und dass er den Manager anrufen muss, um die Aufgabe zu klären ...
Im Verlauf des Dialogs kann davon ausgegangen werden, dass der Kunde der Kurier einer zwischengeschalteten Organisation auf dem Markt für Datenwiederherstellungsdienste ist. Weitere Verhandlungen bestätigen diese Version, da nach Bekanntgabe der Informationen durch den Kunden eine Pause für seinen Manager folgt. Anscheinend weiß der Manager auch nicht, was genau auf der Festplatte sein soll. Nach ungefähr 15 Minuten erhält der Client einen Anruf, der darüber informiert, dass genau diese Daten extrahiert werden müssen und dass ihr Volumen ungefähr 2 TB betragen sollte. Wir werden auch darüber informiert, dass uns eine sektorweise Kopie der mit WinHex erstellten Originalmedien zur Analyse zur Verfügung gestellt wurde.
Schließlich wird die Aufgabe klar und wir sind auf dem richtigen Weg. Sie können das Laufwerk erneut vom Kunden nehmen und mit den Diagnoseaktivitäten fortfahren. Wenn wir all diese Informationen von Anfang an hätten, wäre das Expressdiagnoseverfahren natürlich viel kürzer.
Um ExFAT zu rekonstruieren, müssen wir die Größe des Clusters für dieses Dateisystem kennen und die Position des Nullclusters (Referenzpunkt) bestimmen. Suchen Sie als Nächstes nach den Überresten der Dateizuordnungstabelle und der Bitmap des belegten Speicherplatzes (Bitmap).
Über die ExFAT-Entwickler muss ein separates, wenig schmeichelhaftes Wort gesagt werden. Aus Gründen der Leistung des Dateisystems wurde entschieden, dass die Tabelle nur Informationen über fragmentierte Ketten enthält. Inline-Daten werden in keiner Weise in der Tabelle angezeigt. Das Erstellen dieses Dateisystems auf einer nicht leeren Festplatte löscht die Dateispeicherorttabelle nicht und enthält möglicherweise Mülldaten. Leider wirkt sich diese Ideologie nicht optimal auf die Komplexität der Datenwiederherstellung aus.
Bei der Analyse der ersten 2 GB wurden Teile der ExFAT-Verzeichnisse gefunden. Nachdem die Größe dieser Strukturen geschätzt und vor Beginn anderer Daten weiter mit Nullen gefüllt wurde, ist es einfach, die Clustergröße zu bestimmen. Nach dem Durchsuchen mehrerer Verzeichnisse sehen wir ausgeprägte Intervalle von 256 (2048) Sektoren. Dies lässt uns annehmen, dass die Clustergröße 1.048.576 (0x100000) Bytes oder 1 MB betrug.
Um den Startpunkt zu bestimmen, schauen wir uns die Positionen der nahe gelegenen Verzeichnisse an. Zurück zu Abbildung 10. Insbesondere interessiert uns das Verzeichnis $ RECYCLE.BIN, da es sich fast ganz am Anfang befindet. Die Clusternummer wird bei Offset 0x94 angegeben und ist ein Doppelwort (DW), in das der Wert 0x00000005 geschrieben ist, dh das Verzeichnis befindet sich in Cluster 5. Beachten Sie auch das Verzeichnis "Xxxxxxxxxx Xxxx.photoslibrary", das gemäß dem in Offset 0xF4 angegebenen Wert Diese Verzeichnisse sind gut, da mit hoher Wahrscheinlichkeit ein vorhersehbarer Satz von Verzeichnissen oder Dateien dort erwartet wird.
Scrollen Sie weiter vom Stammverzeichnis mit einem Schritt von 0x100000 Bytes oder 256 (2048) Sektoren im Adressraum vorwärts.
Zahl: 11 ExFAT-Verzeichnis, möglicherweise $ RECYCLE.BIN Der
Inhalt ähnelt einem leeren Papierkorbordner, in dem außer der Datei "desktop.ini" nichts beschrieben wird. Der Dateispeicherort bei Offset 0x34 gibt Cluster 6 und Größe 0x81 (129) Bytes an. Lassen Sie uns einen weiteren Cluster vorwärts bewegen
Zahl: 12 Inhalt der Datei desktop.ini Der
Inhalt ist dem in den Dateien "desktop.ini" üblichen Inhalt sehr ähnlich und hat eine Größe von 0x81 (129) Byte. Es besteht Grund zu der Annahme, dass in Abbildung 11 der Ordner $ RECYCLE.BIN und in Abbildung 11. 12 Datei darin beschrieben. Wenn die Annahme richtig ist, sollten wir im nächsten Cluster ein Verzeichnis sehen und dessen Inhalt sollte wahrscheinlich wie ein typischer Fotobibliotheksordner für MacOS unter Apple Macintosh aussehen.
Zahl: 13 Verzeichnis ExFAT, möglicherweise Xxxxxxxxxxxxxxx.photoslibrary
Wie Sie sehen, hat sich die Annahme als richtig erwiesen, und wir haben die Namen der erwarteten Verzeichnisse gesehen. Die Anzahl der Übereinstimmungen in diesem Bereich kann als ausreichend angesehen werden und berechnet den Nullpunkt und die Position des Stammverzeichnisses des einmal vorhandenen Volumes.
Das Stammverzeichnis befindet sich in Cluster 4. Da es dem Verzeichnis $ RECYCLE.BIN vorausgeht, dessen Clusternummer 5 ist.
Der Nullpunkt relativ zu $ RECYCLE.BIN muss in einem Abstand von minus 5 Clustern liegen. Positionieren Sie den Sektor $ RECYCLE.BIN 37 888 (303 104). 5 Cluster sind 1280 (10 240) Sektoren. Durch Ausführen einer einfachen Subtraktion erhalten wir die gewünschte Position: 37.888 (303104) - 1.280 (10240) = 36.608 (292864) oder der Versatz vom Anfang des logischen Raums in Bytes beträgt 292.864 * 512 = 149.946.368 (0x8F00000).
Mit dem Ausgangspunkt, der Clustergröße und der Position des Stammverzeichnisses werden wir versuchen, die Richtigkeit unserer Annahme mit einer erheblich größeren Anzahl von Überprüfungen zu bestätigen.
Mit den Data Extractor-Tools ist dies für die ExFAT-Partition nicht so schnell möglich. Daher mounten wir die Festplatte im Betriebssystem (mit deaktiviertem Schreibzugriff).
Zahl: 14 Menü zum Mounten von Festplatten im Betriebssystem des PC3000 Win 7 Disk-Dienstprogramms Wir
verwenden den kostenlosen Image Explorer aus dem Software Center, in dem wir durch Öffnen der Festplatte schnell die Parameter des virtuellen Dateisystems schreiben und die Richtigkeit der Annahmen bewerten können.
Feige. 15 Erweiterter ExFAT-Verzeichnisbaum
Wie Sie im Screenshot sehen können, befinden sich die Verzeichnisse und Dateien an ihren Positionen, sodass wir den Schluss ziehen können, dass die Dateisystemparameter korrekt definiert sind.
Zu diesem Zeitpunkt können die Diagnoseaktivitäten gestoppt und anschließend die folgende Liste von Arbeiten mit dem Kunden vereinbart werden:
1. Suchen Sie im gesamten logischen Raum nach regulären Ausdrücken, um den möglichen Speicherort verschiedener Datentypen zu bestimmen.
2. Mindestens Rekonstruktion eines ExFAT-Abschnitts.
3. Analyse von Schnittpunkten mit neuen überschriebenen Daten.
4.Erstellen einer invertierten Karte in Bezug auf die vorhandenen Daten im rekonstruierten Dateisystem innerhalb der Kreuzung mit Bitmap und Suchen nach Benutzerdaten in diesen Bereichen, gefolgt vom Sortieren der gefundenen Daten.
Bei zwischengeschalteten Unternehmen beginnt der Anruf wie üblich und erst nach Zustimmung des endgültigen Eigentümers (der kaum ahnt, dass seine Daten in unserem Labor wiederhergestellt werden) wird die Zustimmung zur Durchführung der Arbeiten erteilt.
Jede Arbeit, auch mit wartungsfähigen Festplatten, beginnt immer noch mit der Erstellung einer sektorweisen Kopie auf einem anderen Laufwerk. Diese Maßnahme ist erforderlich, damit das Laufwerk des Clients unverändert bleibt und keine Betriebssysteminitiativen zu einer unwiderruflichen Datenbeschädigung führen. Bei einer 4-TB-Festplatte dauert das Kopieren über die PC3000Express-Ports etwa 10 bis 12 Stunden.
Nach dem Erstellen einer Kopie suchen wir nach verschiedenen regulären Ausdrücken, um eine Vorstellung von der Verteilung der Daten in einem logischen Bereich zu erhalten und um festzustellen, ob auf dieser Festplatte Anzeichen für andere Partitionen und Dateisysteme vorhanden sind.
Zahl: 16 Suchergebnisse für reguläre Ausdrücke auf dem gesamten Laufwerk
Die Scanergebnisse zeigen, dass die Benutzerdaten auf der Festplatte definitiv viel geringer sind als die vom Client deklarierten 2 TB. Der letzte reguläre Ausdruck befindet sich im Sektor 539 877 376, und bis zum Ende der Festplatte werden keine ähnlicheren Benutzerdaten gefunden, außer der Endmarkierung des neu erstellten HFS +, obwohl die Festplatte bis zum Ende nicht alle Nullen enthält. Es ist wahrscheinlich, dass das Laufwerk ein verschlüsseltes Volume enthielt, bevor die ExFAT-Partition auf der Festplatte erstellt wurde. Nichts anderes erklärt das Vorhandensein von nur "verrauschten" Daten.
In einem solchen Fall ist es wichtig, das Regex-Suchergebnis einer Bitmap zuzuordnen.
Zahl: 17 Fragment des Sektors des Stammverzeichnisses ExFAT
Bei Offset 0x34 wird die Clusternummer mit 2 angegeben - dies ist die Position der Bitmap im ExFAT-Abschnitt. Der Offset 0x38 gibt die Größe der Struktur 0x0746F1 an (476.913 Bytes oder 3.815.304 Bits). Bei der Analyse dieser Struktur wurde festgestellt, dass die erhabenen Bits in der Karte nur für die ersten 270 GB gelten und der Abschnitt dann laut Karte leer ist. Das heißt, die Bitmap stimmt mit den Suchergebnissen für reguläre Ausdrücke überein, aber beide stehen im Widerspruch zu den Wörtern des Kunden.
Wenn eine so schwerwiegende Inkonsistenz festgestellt wird, wird die Arbeit natürlich unterbrochen, und Sie müssen den Zwischenkunden erneut kontaktieren und versuchen, Antworten auf die folgenden Fragen zu erhalten:
1. Haben sie wirklich eine vollständige sektorweise Kopie erstellt, die sie uns zur Analyse gegeben haben?
2.Ist der Eigentümer wirklich sicher, dass diese Festplatte 2 TB Daten enthält?
3. Und wenn Sie sicher sind, stimmen Sie zu, die Arbeit an der Datenwiederherstellung fortzusetzen, da Sie wissen, dass Daten über 270 GB nicht auf dieser Festplatte empfangen werden können?
Wir haben die Antwort auf die erste Frage durch Fernzugriff auf die Originaldiskette erhalten. Und im Disk-Editor, nachdem sie mit einem großen Schritt durchgeblättert waren, verglichen sie ihn mit der Kopie, die wir haben. Es stellte sich heraus, dass die Kopie vollständig war.
Die Antwort auf die zweite Frage war, dass der Eigentümer der Informationen glaubte, dass er sicher sah, dass die Festplatte mit 2 TB gefüllt war, sich dessen jedoch nicht mehr sehr sicher war.
Bei aller Zuversicht des Kunden, dass mehr Daten vorhanden sind, wird dennoch die Zustimmung erteilt, die Arbeit fortzusetzen.
Bevor Sie das Dateisystem neu erstellen, sollten Sie sich ein Bild davon machen, wie viele fragmentierte Verzeichnisse vorhanden sind. Nehmen Sie dazu die Ergebnisse einer groben Analyse und zeigen Sie die Größe der gefundenen Verzeichnisse an. Wenn es Verzeichnisse gibt, deren Datensatzgröße der Größe des Clusters entspricht, tritt höchstwahrscheinlich eine Fragmentierung auf. Wenn die Größe der Datensätze kleiner als die Größe des Clusters ist, können wir davon ausgehen, dass die Aufgabe spürbar vereinfacht ist und kein manuelles Spleißen von Verzeichnisfragmenten erforderlich ist.
Zahl: 18 Liste der gefundenen ExFAT-Verzeichnisse
In diesem Fall wurden keine zusätzlichen Komplikationen gefunden. Die maximale Größe der Einträge im Verzeichnis betrug 629.984 Byte, was deutlich unter der Clustergröße liegt.
Es ist auch erforderlich, alle Bereiche zu markieren, die von den neu erstellten Dateistrukturen belegt werden. Zu diesem Zweck erstellen wir Karten des Speicherorts aller Strukturen und Dateien auf FAT32- und HFS + -Partitionen.
Zahl: 19 Karte der Strukturen und Daten auf dem HFS +
-Volume Füllen wir diese Stellen auf der Kopie mit einem Muster aus, das sich leicht von allen Benutzerdaten unterscheiden lässt, und auch in der Kopieraufgabe für diese Bereiche ändern wir die Legende von erfolgreich gelesen in fehlerhaft gelesen. Dies ist erforderlich, um Dateien, die durch Überschreiben beschädigt wurden, weiter zu erkennen.
Für eine weitere bequeme Verwendung der Data Extractor-Analysetools ist es erforderlich, den Abschnitt in der Partitionstabelle zu beschreiben und einen Startsektor für die ExFAT-Partition zu erstellen.
Zahl: 20 Partitionstabelle mit einem registrierten ExFAT-Volume
Geben Sie bei Offset 0x1D2 den Volume-Typ 0x07 ein. Dieser Typ wird sowohl für NTFS als auch für ExFAT verwendet.
Bei Offset 0x1D6 der Zeiger auf den Anfang des ExFAT-Volumes. Es seien 32 Sektoren (0x20).
Schreiben Sie bei Offset 0x1DA die maximal zulässige Volume-Größe für die klassische Partitionstabelle (obwohl dieser Wert kleiner als die tatsächliche Volume-Größe ist, ist dies in diesem Fall akzeptabel, da wir nicht planen, dieses beschädigte Volume in einem Betriebssystem bereitzustellen, und wir nur einen Wert ungleich Null für benötigen normaler Betrieb von Data Extractor-Tools).
Zahl: 21 ExFAT-Bootsektor
Da Data Extractor sehr empfindlich auf den Inhalt des ExFAT-Bootsektors reagiert, reicht es oft nicht aus, nur wichtige Felder auszufüllen (was nicht sehr logisch ist), und es ist so einfach, den Abschnitt im internen Explorer anzuzeigen, wie es bei der Diagnose im Image Explorer der Fall war trainieren. Daher ist es im Fall des ExFAT-Bootsektors besser, eine Standardvorlage zu verwenden und die richtigen Werte einzugeben.
Der Einfachheit halber schreiben wir den Bootsektor in der Form, wie sie wäre, wenn das Laufwerk als Gerät mit einem 512-Byte-Sektor verwendet würde. Dies ermöglicht uns den korrekten Betrieb aller Werkzeuge des Komplexes ohne unnötige Neuerstellung der Karte.
Füllen Sie die Felder aus:
Bytes Per Block- die Anzahl der Bytes im Sektor. ExFAT gibt die Leistung an, auf die 2 angehoben werden muss, um die Größe zu erhalten.
Block pro Cluster - Die Anzahl der Sektoren im Cluster. Es gibt auch den Grad an, bis zu dem Sie 2 erhöhen müssen, um die Menge zu erhalten.
Cluster insgesamt Die Anzahl der auf dem Volume verfügbaren Cluster. Wir geben den Wert 3 815 304 ein. Er wird erhalten, indem die Größe der Bitmap mit 8 multipliziert wird.
Gesamtblöcke - die Anzahl der Sektoren. Der Wert wird durch Multiplizieren von Gesamtclustern mit der Clustergröße (die wiederum durch Multiplizieren von Bytes pro Block mit Blöcken pro Cluster erhalten wird)
FAT-Offset erhalten- Offset vom Bootsektor zur Dateizuordnungstabelle. Erstellen wir eine leere Struktur und fügen Sie sie aus Sektor 64 ein. Fügen Sie einen Standardtitel hinzu.
Block Per FAT - Die Anzahl der Sektoren, die von der FAT-Tabelle belegt werden. Die Größe lässt sich anhand der Anzahl der Cluster leicht berechnen. Block pro FAT = Gesamtcluster / (Bytes pro Block / 4) mit weiterer Aufrundung auf die nächste Ganzzahl. 3815 304 / (512/4) = 29 807, 0625 = 29 808. (Unabhängig davon,
wie sehr einige Quellen versuchen, ExFAT als 64-Bit-Dateisystem zu bezeichnen, ist die Dateizuordnungstabelle 32-Bit, im Gegensatz zu FAT32 jedoch für Für die Adressierung werden 32 Bit verwendet, nicht 28.)
Anzahl der FATs - Anzahl der Tabellenkopien. Leider ist es beim Erstellen von Partitionen normalerweise 1.
Cluster-Heap-Offset- gibt den Versatz zur Bitmap in Sektoren an.
Root Dir Cluster - Die Clusternummer des Root-Verzeichnisses.
Nachdem der Abschnitt im Data Extractor-Explorer verfügbar geworden ist, erstellen wir mithilfe einer Bitmap eine Karte des belegten Bereichs.
Zahl: 22 Karte des belegten Raums durch ExFAT-Strukturen und Benutzerdaten gemäß Bitmap.
Wir werden auch eine Dateispeicherortzuordnung basierend auf vorhandenen Dateidatensätzen erstellen, nach der Reihenfolge sortieren, in der sich die Dateien auf der Festplatte befinden, und mit den Bitmap-Daten vergleichen.
Zahl: 23 Fragment der Karte des Speicherorts der auf dem ExFAT-Volume verfügbaren Dateien Basierend
auf den Ergebnissen der Erstellung der Karte des Speicherorts der Dateien beobachten wir ein ziemlich umfangreiches "Loch" im logischen Bereich von 718 528 bis 57 131 008. Auf der Bitmap ist ersichtlich, dass dieser Bereich von Benutzerdaten belegt ist. Bei der Suche nach regulären Ausdrücken auf der gesamten Festplatte wurden in diesem Bereich Datenzeichen gefunden.
In diesem Fall werden die Tatsache einer Beschädigung dieses Dateisystems und die Notwendigkeit weiterer Analysemaßnahmen bestätigt.
Invertieren Sie die Dateispeicherortzuordnung, um eine Liste der Speicherketten zu erhalten, die von vorhandenen Dateidatensätzen nicht beschrieben werden. Wir löschen alle Ketten, deren Größe kleiner als die Größe des Clusters ist, da dies freie Fragmente der Cluster sind, die nicht vollständig von den in sie geschriebenen Benutzerdaten belegt sind. Wir ordnen eine Bitmap zu und lassen nur überlappende Zeichenfolgen aus diesen Bereichen.
Das verbleibende Ergebnis wird einer weiteren Analyse unterzogen - der Suche nach ExFAT-Verzeichnissen. Erstellen wir ein Verzeichnis, in dem wir Einträge bilden - Zeiger auf die gefundenen Verzeichnisse sowie die Einträge aus den gefundenen Fragmenten von Verzeichnissen. Gefundene Verzeichnisse sollten auf den Inhalt von Einträgen überprüft werden, die sich mit verfügbaren Verzeichnissen überschneiden, ihre Beziehungen herstellen sowie die Übereinstimmung der Dateikopfzeilen überprüfen, auf die die Einträge in diesen Verzeichnissen verweisen, und irrelevante Verzeichnisse herausfiltern. Der Verlust von Verzeichnissen kann sowohl durch Fehler im Dateisystem während der Festplattenausnutzung als auch durch teilweise Überlappung neuer auf die Festplatte geschriebener Daten verursacht werden.
Zahl: 24 Verzeichnis mit Zeigern auf gefundene Strukturen ohne übergeordnetes Objekt.
Nachdem wir die Dateispeicherortkarte mit Objekten ergänzt haben, die in den verlorenen Verzeichnissen gefunden wurden, werden wir die Prozeduren mit der Erstellung einer invertierten Karte unter Berücksichtigung des Schnittpunkts mit der Bitmap wiederholen. In den auf diese Weise erhaltenen Ketten muss nach regulären Ausdrücken für verschiedene Arten von Benutzerdateien gesucht werden.
Dies ist die letzte Phase der analytischen Arbeit, deren Ergebnis die Überreste von Benutzerdaten sind, für die es keine Elemente des Dateisystems gibt, die ihren Speicherort beschreiben. Bitte beachten Sie, dass diese Maßnahmen uns geholfen haben, verschiedene Abfälle aus Daten, die der Benutzer zuvor selbst hätte löschen können, nicht in das Endergebnis aufzunehmen.
Nach Abschluss dieser Vorgänge können Sie mit dem Kopieren der gefundenen Daten beginnen, wobei das Vorhandensein des "fehlerhaft gelesenen" Speicherorts der Dateisektoren in der Karte berücksichtigt und somit Dateien ausgesondert werden, die eindeutig mit neuen Daten überschrieben werden. Nach dem Erstellen der Feature-Maps FAT32 und HFS + haben wir die Markierungen "Mit Fehler lesen" erstellt.
Damit ist die Arbeit abgeschlossen. Das maximal mögliche Ergebnis nicht fragmentierter Dateien wurde unter Beibehaltung der ursprünglichen Verzeichnishierarchie erzielt, und fast alle möglichen verlorenen Dateien wurden gefunden, ohne in dieses Ergebnis verschiedene für automatische Wiederherstellungsprogramme typische Mülldaten einzubeziehen.
Vorheriger Beitrag: Selbstdiagnose von Festplatten und Datenwiederherstellung