програм для відновлення віддалених файлів сьогодні існують десятки, а може й сотні. Більшість з них пропонує «відновити все в один клік», експлуатуючи давню мрію про програму з однією кнопкою «Зробити добре». Тільки часто обіцяна казка так і не стає бувальщиною. колеги з Hetman Software розповіли КВ про нюанси роботи recovery soft'a.

Від загального до приватного

В Windows файли зберігаються у вигляді блоків інформації, записаних на секторах жорсткого диска. Розташування секторів залежить від того, які саме блоки були вільні в момент збереження файлу на диск. Тут два варіанти. Якщо на диску є безперервний вільний блок секторів достатнього розміру, система збереже файл у вигляді безперервної послідовності даних. В іншому випадку файл доведеться «бити на шматки», тобто фрагментировать, записуючи «куди вийшло». Тому для того, щоб орієнтуватися в записаної інформації, Windows створює запис в файлової системи із зазначенням того, які саме сектори на диску займає вміст конкретного файлу.

Що ж відбувається при видаленні інформації ? У момент, коли користувач видаляє файл, система не стирає і не перезаписує вміст секторів на диску, а лише позначає запис, як належить віддаленого файлу. Відповідно, всі сектори на диску, що належать даному файлу, виявляються потенційно вільними - тепер Windows може зберегти в цей простір який-небудь інший файл. Але поки цього не відбулося, можна спробувати відновити вміст віддаленого файлу.

На це і робить ставку більшість програм:

• просканувати файлову систему ;
• пошукати записи, помічені як видалені;
• дізнатися адреси секторів цих записів на диску;
• перевірити, чи не записано в ці сектори що-небудь нове;
• вважати дані з усіх «недоторканих» секторів;
• «Зібрати» відновлену інформацію в один файл і зберегти його.

Такий підхід дійсно швидкий і ефективний. Але тільки за умови «живий» файлової системи. Крок вліво, крок вправо - і ось ви вже з проблемами.

Пошук по сигнатурам

Розглянемо одну з найпопулярніших проблем: файлова система пошкоджена або відсутня. В цьому випадку допомогти може пошук по сигнатурам файлів . При незмінній суті і принцип роботи технології, назви у неї можуть бути самими різними: «Power Search», «Content-Aware Analysis», «Smart Scan» і т.п.

Основний принцип роботи алгоритмів сигнатурного пошуку такої ж, як у перших антивірусів: алгоритми зчитують інформацію з поверхні диска в надії зустріти знайомі ділянки даних. Заголовки багатьох типів файлів містять характерні послідовності символів. Наприклад, файли в форматі JPEG містять послідовність символів «JFIF», архіви ZIP починаються з символів «PK», а документи PDF починаються з символів «% PDF-». Деякі файли (наприклад, текстові та HTML файли) не володіють характерними сигнатурами, але можуть бути визначені за непрямими ознаками, тому що містять тільки символи з таблиці ASCII.

Але для відновлення файлу мало знайти його початок, потрібно також визначити його кінець. Кінець файлу можна знайти, знаючи розмір і адреса початку файлу. Розмір файлу визначається або аналізом заголовка (ZIP, JPEG, AVI і т.п.), або зчитуванням і аналізом секторів диска, що йдуть відразу за заголовком. Наприклад, кінцем текстового або HTML файлу алгоритм буде вважати перший же сектор, який буде містити символи, що не входять в таблицю ASCII.

Помітили вузьке місце? Коректно працювати ці алгоритми будуть тільки в умовах, коли весь файл цілком зберігається у вигляді одного безперервного фрагмента. Якщо ж файл був збережений у вигляді безлічі розрізнених фрагментів, відновити його без записів в файлової системі буде надзвичайно важко, практично неможливо. Тому, щоб згодом не рвати на собі волосся через «глючной флешки »З єдиною копією диплома, слід вживати профілактичних заходів.

А як же відновлення «битих» файлів?

Так це можливо. Але результат, як то кажуть, рознится від випадку до випадку. Для прикладу візьмемо фотографію в форматі RAW. Особливість цього формату - зберігання одночасно декількох копій одного і того ж зображення. У файлі містяться як значення пікселів, лічені з матриці фотоапарата в «сирому» вигляді, так і кілька копій того ж самого знімка в форматі JPEG . Навіщо? Для зручності і реалізації попереднього перегляду фотографії на екрані фотоапарата. Обробка знімка у форматі RAW - досить ємний, з точки зору обчислювальних ресурсів фотоапарата, процес, і витрачати їх кожен раз, коли фотограф захоче переглянути знятий матеріал - нераціонально. Тому в файл включаються копії зображення у форматі JPEG в низькому, середньому і високому дозволі.

З точки зору програми, що ремонтує пошкоджені файли, така структура з багаторазовим дублюванням інформації оптимальна. Двійковий потік «сирих» даних займає найбільше місця у файлі, тому статистично найбільш ймовірно пошкодження саме цього сегмента. Але у нас є ще три зображення у форматі JPEG! Програма здатна витягти і при необхідності відремонтувати ці зображення. Якщо вдасться витягнути фотографію найбільшого розміру - це вже перемога. А іноді вдається відновити весь RAW цілком.

профілактика

По-перше, стежте за кількістю вільного місця на диску. Якщо вільного місця достатньо, у системі Windows не буде причин записувати файли в вигляді окремих фрагментів. Зрозуміло, якась фрагментація все одно виникне, але катастрофічних масштабів вона, швидше за все, не прийме.

По-друге, обов'язково використовуйте дефрагментатор, причому робіть це регулярно.

На закінчення хотілося б сказати кілька слів про методи відновлення фрагментованих файлів, використовуваних спецслужбами і криміналістами всіх мастей. Існують спеціальні методи, що дозволяють відновити вміст деяких типів файлів буквально по шматочках. Їх робота схожа на збір пазла: різні фрагменти даних пробуються в різних місцях файлу, після чого за допомогою евристичних алгоритмів файл аналізується на цілісність. Чи потрібно говорити, що робота таких алгоритмів надзвичайно ресурсоємних, але при цьому настільки повільна і ненадійна, що використовувати їх поза стінами криміналістичних лабораторій просто невигідно.

Олексій Дрозд