Алгоритм відновлення даних по файловим «сигнатурам»
Пошук по сигнатурам – один з найважливіших алгоритмів, що робить сучасні програми з відновлення інформації тим, чим вони є: універсальними інструментами, здатними витягнути файли з відформатованих, пошкоджених і недоступних дисків.
У тих, хто прочитав раніше опубліковану статтю «Як Windows видаляє файли і чому їх можна відновити», справедливо виникає питання, як саме функціонують дані програми при пошкодженні або відсутності файлової системи. Насправді, класичні інструменти з відновлення даних працюють з інформацією про файли, отриманою з файлової системи. Відповідно, якщо запису про файл в файловій системі не виявлено, класичні інструменти (такі, як команда «undelete», з ранніх версій операційних систем) не зможуть навіть виявити видалену інформацію.
Cигнатурний пошук
Пошук по сигнатурам дозволяє відновити файли після форматування диска або видалення логічних розділів. Для технології існує безліч комерційних назв: «Power Search», «Content-Aware Analysis», «Smart Scan» – всі ці технології від різних виробників працюють по одному і тому ж принципу.
Як працює пошук по сигнатурам
1. Визначення файлів
Основний принцип роботи алгоритмів сигнатурного пошуку такий же, як і в найперших антивірусів. Як антивірус сканує файл у пошуках ділянок даних, що збігаються з відомими фрагментами коду вірусів, так і алгоритми сигнатурного пошуку, які використовуються в програмах для відновлення даних, зчитують інформацію з поверхні диска з надією зустріти знайомі ділянки даних. Заголовки багатьох типів файлів містять характерні послідовності символів. Наприклад, файли у форматі *.jpeg містять послідовність символів «JFIF», *.bmp зображення починаються з «BM», архіви *.zip починаються з символів «PK», *.dbf бази даних містять сигнатуру «OPLDatab», а документи PDF починаються з символів «% PDF-».
Деякі файли (наприклад, текстові та HTML файли) не мають характерних сигнатур, але можуть бути визначені за непрямими ознаками, тому містять тільки символи з таблиці ASCII.
2. Визначення розміру файлу
Для відновлення файлу замало тільки знайти його початок, потрібно також визначити його кінець. Кінець файлу можна знайти, знаючи розмір і адресу початку файлу. Розмір файлу визначається або аналізом заголовка (* .zip, * .jpeg, * .avi, * .psd, * .pst, * .rar, * .tiff тощо), або зчитуванням і аналізом секторів диска, що йдуть відразу за заголовком. Приміром, кінцем текстового або HTML файлу алгоритм буде вважати перший же сектор, який буде містити символи, що не входять в таблицю ASCII.
3. Обмеження
Сигнатурний пошук – не панацея. Перезапис вмісту файлу та фрагментованість дисків (особливо – файлів великого розміру) справляють негативний вплив на можливість відновлення інформації.
4. Гібридні алгоритми
Сучасні програми для відновлення даних використовують гібридний підхід до аналізу диска, намагаючись по можливості зчитати максимум інформації з файлової системи і вдаючись до сигнатурного аналізу вмісту диска тільки у випадках крайньої необхідності – при пошкодженні або відсутності файлової системи, а також для пошуку файлів, які видалених давно.
Характеристика | Hetman Partition Recovery | Hetman RAID Recovery |
---|---|---|
Типи відновлення | Відновлення втрачених і видалених розділів, відновлення даних з пошкоджених або відформатованих розділів | Відновлення даних з пошкоджених RAID-масивів, відновлення RAID-метаданих та відновлення даних після відмови диска в RAID |
Підтримка RAID | Не підтримує RAID | Підтримує всі рівні RAID (RAID 0, RAID 1, RAID 5, RAID 10 і т.д.) |
Типи файлових систем | FAT/exFAT, NTFS/ReFS, APFS/HFS+, Ext2/3/4/ReiserFS, XFS/UFS/ZFS/Btrfs/VMFS/HikvisionFS | FAT/exFAT, NTFS/ReFS, APFS/HFS+, Ext2/3/4/ReiserFS, XFS/UFS/ZFS/Btrfs/VMFS/HikvisionFS |
Відновлення після форматування | Так | Так |
Відновлення даних з пошкоджених дисків | Так | Так |
Підтримка віртуальних машин | Так | Так |
Попередній перегляд відновлених даних | Так | Так |
Підтримка операційних систем | Windows, Linux, macOS | Windows, Linux, macOS |
1. Застосувати захист паролем. Використовуйте складні паролі, що містять символи, цифри та букви різних регістрів. Змінюйте паролі регулярно.
2. Застосувати енкрипцію. Використовуйте стандартні алгоритми шифрування, такі як AES, RSA, для захисту даних.
3. Застосувати контроль доступу. Налаштуйте рольову модель, щоб користувачам дозволялося отримувати доступ тільки до тих файлів, які вони потребують.
4. Застосувати резервне копіювання. Регулярно робіть резервне копіювання даних, щоб уникнути їх втрати.
5. Застосувати сканування відповідностей. Використовуйте сканери, які зможуть виявляти небезпеку у ваших системах.
1. Застосування резервних копій.
2. Відновлення даних з файлових систем FAT, NTFS та exFAT.
3. Відновлення даних з пошкоджених та порушених розділів.
4. Відновлення даних з пошкоджених та порушених дисків.
5. Відновлення даних, які були видалені успішно.
6. Відновлення даних, які були видалені успішно та забуті у корзину.
7. Відновлення даних, які були видалені успішно та забуті у структурах та списках MFT.
8. Відновлення даних, які були видалені успішно та забуті у RAID-масивах.
9. Відновлення даних, які були видалені успішно та забуті у розподілених системах та серверах NAS.
10. Автоматизоване відновлення даних, яке дозволяє скоротити час, необхідний для пошуку та видалення даних.