Восстановление DA

При восстановлении данных следует иметь в виду, что, не имея достоверной информации в таблице расположения файлов (FAT), автоматическое или полуавтоматическое восстановление файлов размером более одного кластера программами типа UnFormat носит чисто случайный характер.

Упрощенно говоря, алгоритм восстановления данных подобными программами основан на поиске кластеров раздела диска с информацией о подкаталогах, анализе их содержания на предмет определения места расположения каталогов, определения номеров начальных кластеров каждого файла и анализе даты создания или стирания файлов. На базе этой информации строится дерево каталогов на логическом диске и расположение файлов по подкаталогам. Эта информация восстановима с большой степенью точности. В случае разрушения корневого каталога (ROOT) информация о файлах в корневом каталоге не восстанавливается, а имена каталогов заменяются условными именами (типа DIR001).

Содержимое файлов, имеющих размер более одного кластера восстанавливается с большой долей случайности, путем стыковки свободных последовательно расположенных кластеров, и вследствие больших объемов информации и интенсивной работы по созданию/удалению файлов в среде Windows (и не только) чаще всего некорректно.

Для точного восстановления информации необходимо либо восстановить FAT, либо осуществлять восстановление "вручную" поиском и анализом со- держимого кластеров на диске с дальнейшей стыковкой кластеров в необходимом порядке. Ручной способ здесь рассматриваться не будет.

Для попытки хотя бы частичного восстановления FAT можно воспользоваться особенностью работы ОС Windows 9х с виртуальной памятью, т. е. наличием на диске swap-файла (файла подкачки). В этом файле могут находиться куски корневого каталога ROOT и отдельные фрагменты, а подчас и полные копии FAT. Поиск этих фрагментов осуществляется в режиме просмотра секторов диска по уникальным маскам.

В качестве начальной маски поиска FAT может быть применен идентификатор F8 FF FF FF. Дальнейший поиск можно осуществлять по произвольным группам, состоящим из пяти последовательных 16- или 32-разрядных (FAT16 или FAT32) номеров кластеров, которые могут принадлежать какому-либо файлу. Поиск занимает довольно продолжительное время, но, меняя маски поиска, его стоит повторить несколько раз. Следует иметь в виду, что информация в swap-файле чаще всего располагается со смещением от начала секторов, что требует определенной корректировки при просмотре и дальнейшем применении. Основная задача отыскать максимальное число фрагментов, выбрать из них наиболее "свежие" и составить из них подобие полной копии FAT. После проведения подобной операции возможно применение утилит типа UnErase — для более полного (но возможно некорректного) восстановления файлов и DiskDoctor — для коррекции дисковых ошибок.