Режим "Чернового восстановления"

Режим "чернового восстановления" предназначен для восстановления файлов с известными заголовками (и, возможно, известной структурой на основе внутренних закономерностей) из предположения их непрерывности, при отсутствии информации об их размещении..

Иначе говоря, если найдены два заголовка файлов известного типа, то с большой долей вероятности можно предположить (если нет точной информации о расположении из таблицы FAT, записи MFT и т.п.), что файл имеет тип, определяемый первым заголовком и размер, определяемый разницей LBA первого и второго.

Это предположение не всегда верно, так как может быть ошибка в идентификации, файл может быть фрагментирован и т.п.

Уменьшить процент подобных ошибок помогает проверка внутренней структуры файла на непротиворечивость. Возможность такой проверки сильно зависит от формата файла. В самых удачных случаях можно точно определить размер и убедиться в отсутствии каких-либо ошибок. Но в любом случае теряется информация об имени, дате создания, положении (каталоге).

Рисунок 1 - Режим чернового восстановления

Режим имеет много общего с режимом поиска регулярных выражений.

Основные отличия:

• во время работы происходит поиск не только регулярных выражений, но и анализ известных структур файлов. Для последних в таблице найденных файлов поле GREP пустое (см. Рисунок 1). Чтобы отключить анализ структуры известных файлов, отметить пункт "Использовать только поиск GREP" на панели параметров режима.
• критерии поиска не выбираются, их список определяется "Справочником чернового восстановления" (при этом, критерии поиска могут быть изменены);
• результатом поиска являются предполагаемые файлы, которые можно скопировать. При этом имя файла - номер сектора начала, расширение определяется критерием. Если копируются все файлы определенного типа (контекстное меню списка критериев), создается подкаталог по имени расширения.
• для файлов с известной структурой отображаются метаданные, которые могут быть сохранены в различных форматах (.html, .rtf, .txt) или скопированы в буфер обмена.

Возможные действия со списком найденных типов файлов, списком найденных файлов и метаданными доступны через контекстные меню, отметим лишь некоторые особенности.

Рисунок 2 - Контекстное меню результатов поиска

В таблице найденных файлов имеется возможность сортировки результатов с помощью щелчка по заголовку столбца. Отметки в левой части каждой строки можно использовать для сохранения или удаления более чем одного типа файлов сразу.

Для некоторых типов файлов с известной структурой выполняется проверка целостности, если такая проверка была выполнена, то ее результат отображается в таблице найденных файлов в левой части записи в виде цветного прямоугольника. Зеленым цветом отмечаются целые файлы, красным — поврежденные. Если файл не был проверен, либо был найден с помощью GREP, то отметка не ставится.

Список найденных файлов может быть отфильтрован по типу, размеру и проверенному размеру.

Проверка известных структур типов файлов (а вместе с ней и проверка их целостности) может быть отключена с помощью пункта "Использовать только поиск GREP" на панели параметров режима.

Важно! Результаты чернового восстановления могут быть добавлены к результатам поиска. Добавленные результаты чернового восстановления появятся в окне результатов поиска во всех режимах в которых доступен поиск (например, "Карта", "Служебная информация" и "Дизайнер страницы"). При этом, в поле "About" описателя найденного результата будут добавлены такие данные как тип файла и проверенный размер.

Рисунок 3 - Результат чернового восстановления добавленный в результаты поиска

Причем добавляться могут как отдельные файлы (с помощью контекстного меню панели "Файлы", как показано на рисунке 2), так и целые группы файлов (с помощью контекстного меню панели "Категории").

Рисунок 4 - Добавление группы файлов из панели "Категории" к результатам поиска

С точки зрения применимости, существует две основные возможности:

• в случае ручного разбора исходных дампов микросхем памяти (или промежуточных результатов предварительной подготовки) с целью определения требуемых или возможных преобразований, для получения конечного результата для методов анализа;
• в качестве средства восстановления информации на конечном образе диске.

Прикладное использование результатов чернового восстановления на результатах предварительной подготовки

Режим "чернового восстановления" может использоваться на этапе формирования образа для методов анализа (методы предварительной подготовки) с целью определения требуемых или возможных элементарных преобразований в случае неудовлетворительных результатов автоматических режимов комплекса.

Попытаемся объяснить возможные результаты и вытекающие из них действия на нескольких примерах.

Предположим, что мы имеем один дамп исходной микросхемы памяти. Запускаем режим "чернового восстановления" на этом дампе и анализируем полученные результаты. В том случае, если на исходном дампе находятся какие-либо файлы, то однозначно можно сказать о том, что преобразования типа  XOR и инверсия не требуются.

В случае нескольких исходных микросхем, этот результат исключит возможность "преобразования через байт". Кроме этого, если мы имеем два равноправных результата и в одном из них находим какие-либо данные, а в другом - нет, то вероятнее всего, нам потребуется объединить эти результаты через сектор.

Возможность и необходимость дальнейших преобразований можно оценить с помощью параметра "проверенный размер" результатов чернового восстановления.

Наиболее простой случай когда находятся файлы с проверенным размером существенно превышающем размер страницы памяти. Это означает, что корректно выстроены данные внутри страницы и страницы внутри блока. В случае одного дампа результата далее должны следовать методы анализа которые "расставят" по местам блоки. Если есть несколько равноправных результатов то их предварительно следует объединить и остается определить только их порядок следования.

Более распространенный вариант, когда мы находим файлы с проверенным размером меньше страницы памяти. Рассмотрим возможные действия для одной микросхемы памяти (или результате подготовки в том случае если до этого потребовались какие-либо преобразования), т.к. в случае нескольких микросхем, действия для них будут схожи.

И так, мы имеем один результат (со стандартным сектором) для которого в режиме чернового восстановления находятся файлы с проверенным размером меньше страницы. Данный факт говорит о том, что нам необходимо устранить внутренний Interleave.

Если мы имеем дело с двух-плановым Interleave-ом, то 0, 2, 4 и т.д. страницы будут находиться в нулевом блоке, а 1, 3, 5 и т.д. страницы в первом блоке дампа (подробнее см. здесь). Чтобы устранить такое перемешивание данных необходимо выполнить разделение дампа через блок и их объединение через страницу микросхемы. После этого запускаем режим чернового восстановления на полученном результате и проверяем, что находятся файлы с проверенным размером существенно превышающим размер страницы.

В случае четырех-планового Interleave-а (подробнее см. здесь), у нас добавляется аналогичное перемешивание через середину дампа, для устранения которого необходимо выполнить:

• разделение дампа пополам (разделение по дампам, число дампов: 2);
• в рамках полученных половинок - разделение по блокам;
• в рамках полученных половинок - объединение через страницу (объединение по блокам, размер блока: страница), после такого объединения в результатах чернового восстановления должны появится файлы с проверенным размером больше страницы (но меньше двух);
• объединение через две страницы (объединение по блокам, размер блока: 2 страницы), после этого объединения в результатах чернового восстановления должны появится файлы с проверенным размером существенно превышающим размер страницы.

Важно! Любое правильное объединение результатов должно приводить к увеличению проверенного размера.

Средство восстановления информации на конечном образе диска

В этом случае, метод чернового восстановления является последним по применимости в ряду средств восстановления информации пользователя предоставляемых комплексом.

При этом нужно иметь в виду, что конкретный результат восстановления существенно зависит от конкретной ситуации, есть ли в используемом справочнике заголовков соответствующий, насколько фрагментирован диск, велики ли размеры искомых файлов, сколько на диски файлов с известной структурой. В различных случаях процент успешно восстановленных файлов может колебаться от 0 до 70%.

Этот метод нужно применять в случаях, когда логические разрушения очень велики или когда речь идет о файловой системе, для которой у Вас нет средств логического восстановления.

Еще одной важной особенностью является то, что для данного режима ошибочная идентификация начала файла может привести к потере данных.

Это можно пояснить на примере - найдено много заголовков файлов определенного типа, имеющего простую и нехарактерную сигнатуру заголовка, а со слов клиента (или Вы сами убеждены) этого типа файлов не должно быть на исследуемом диске. Это означает, что найденные результаты – ошибочные, и они могут привести к неверному расчету размеров других важных файлов.

Правильное определение начала области сканирования и шага может существенно уменьшить количество ошибок и сэкономить время. Надо иметь в виду, что сканирование желательно начинать от известного начала кластеризации и с шагом, равным размеру кластера. Если эта информация отсутствует, то в качестве первого параметра подойдет любой, найденный при поиске с шагом 1, достоверный заголовок файла, а в качестве второго – минимальный размер кластера по умолчанию (например, для FAT - 8).