Алгоритм восстановления данных по файловым «сигнатурам»
Читайте, как работает поиск по сигнатурам в современных программах для восстановления данных. Он позволяет вытащить файлы с отформатированных, поврежденных и недоступных дисков. Поиск по сигнатурам – один из важнейших алгоритмов, делающих современные программы восстановления информации тем, чем они являются: универсальными инструментами, способными вытащить файлы с отформатированных, поврежденных и недоступных дисков.
Прочитавшие ранее опубликованную статью «Как Windows удаляет файлы и почему их можно восстановить» справедливо зададутся вопросом, как именно функционируют данные программы при повреждении или отсутствии файловой системы. В самом деле, классические инструменты по восстановлению данных работают с информацией о файлах, полученной из файловой системы. Соответственно, если записи о файле в файловой системе не обнаружено, классические инструменты (такие, как команда «undelete» из ранних версий операционных систем) не смогут даже обнаружить удалённую информацию.
Сигнатурный поиск
Поиск по сигнатурам позволяет восстановить файлы после форматирования диска или удаления логических разделов. Для технологии существует множество коммерческих названий. «Power Search», «Content-Aware Analysis», «Smart Scan» – все эти технологии от разных производителей работают по одному и тому же принципу.
Как работает поиск по сигнатурам
Определение файлов
Основной принцип работы алгоритмов сигнатурного поиска такой же, как у самых первых антивирусов. Как антивирус сканирует файл в поисках участков данных, совпадающих с известными фрагментами кода вирусов, так и алгоритмы сигнатурного поиска, использующиеся в программах для восстановления данных, считывают информацию с поверхности диска в надежде встретить знакомые участки данных. Заголовки многих типов файлов содержат характерные последовательности символов. К примеру, файлы в формате *.jpeg содержат последовательность символов «JFIF», *.bmp изображения начинаются с «BM», архивы *.zip начинаются с символов «PK», *.dbf базы данных содержат сигнатуру «OPLDatab», а документы PDF начинаются с символов «%PDF-».
Некоторые файлы (к примеру, текстовые и HTML файлы) не обладают характерными сигнатурами, но могут быть определены по косвенным признакам, т.к. содержат только символы из таблицы ASCII.
Определение размера файла
Для восстановления файла мало найти его начало, нужно также определить его конец. Конец файла можно найти, зная размер и адрес начала файла. Размер файла определяется либо анализом заголовка (*.zip, *.jpeg, *.avi, *.psd, *.pst, *.rar, *.tiff и т.п.), либо считыванием и анализом секторов диска, идущих сразу за заголовком. К примеру, концом текстового или HTML файла алгоритм будет считать первый же сектор, который будет содержать символы, не входящие в таблицу ASCII.
Ограничения
Сигнатурный поиск – не панацея. Перезапись содержимого файла и фрагментирование дисков (особенно – файлов большого размера) оказывают негативное влияние на возможность восстановления информации.
Гибридные алгоритмы
Современные программы для восстановления данных используют гибридный подход к анализу диска, стараясь по возможности считать максимум информации из файловой системы и прибегая к сигнатурному анализу содержимого диска только в случаях крайней необходимости – при повреждении или отсутствии файловой системы, а также для поиска файлов, удалённых длительное время назад.
Хотел всё скачать с внешнего носителя на 250 гб, но при подключении или попытки открыть его, система не читает его и просит отформатировать (Слетела файловая система). Тогда я использовал Partition Recovery, чтобы вытащить или восстановить файлы с носителя. В итоге скопировалось все ввесе 0 кбайт. Но появилась папка Content-Aware Analysis с весом 370 гб. В ней хронятся файлы bmp, cab, zip, bz, gz, rar, gif, ico, jpg, png, rtf, swf, asf, avi, mp3, mpg. Они не открываются. Мне очень важно восстановить файлы на носителе, что мне делать? Добавлю: когда провел анализ с Partition Recovery на внешнем носителе, то в меню глубокий анализ, все как надо ( с нормальным весом), а когда восстанавливаю файлы на другой диск 0 кбайт все.
Попробуйте просканировать ваш внешний носитель, как физический диск. Для этого выберите его в списке "Физические диски", ниже списка "Компьютер".
Если при удалении файла Windows не удаляет его физически, а только ставит отметку "удаленный" - то нет ничего сложного в том, чтобы такую информацию восстановить. Другое дело - если жесткий диск поврежден физически или впринципе нечитаем. Не вполне понятно, как в этом случае работает поиск по сигнатурам, если доступа к информации нет вообще, и не важно, была ли она удалена вручную или нет.
Если диск повреждён или нечитаем - это вообще другая тема, здесь спасёт посекторное копирование на нормальный диск и уже восстанавливать с него. А так, для того, что ушло естественным образом из хорошего я для себя вынесла разве что R-Studio и GetDataBack. Почему-то именно они запомнились из университета. Настраиваешь параметры сканирования, выбираешь нужные файлы и сохраняешь их. Для тех, кто случайно или не очень удалил важные вещи в самый раз.
Анна, посекторное копирование - это очень интересно. У меня есть внешний жесткий диск, который "умер" естественным путем, но на нем было много важной информации. Как-то можно ее восстановить, и насколько это долго и сложно?
Когда учился в военной академии сталкивался с таким понятием. Мы удаляли различные файлы двумя способами: через корзину и минуя ее. И пытались восстановить с помощью нескольких программ, одна из которых была Recuva, только она запомнилась, потому что хорошо восстанавливала удаленные файлы.Если говорить непосредственно о статье то большинство видов файлов хранятся в базах данных сигнатур и поиск по сигнатурам ограничен типами данных. Если в базе такого типа нет, то файл не найдешь
Если у вас остались вопросы про алгоритм восстановления данных по файловым «сигнатурам», задавайте их в комментариях.