Поиск и восстановление файлов
В этом разделе мы приведем некоторые рекомендации, направленные на восстановление файлов, доступ к которым стал невозможен из-за вредоносного действия вирусов или в результате разрушения файловой системы по любой другой причине. В любом случае перед началом восстановительных работ следует провести полное исследование файловой системы с использованием методики, изложенной в предыдущей части этой главы.
Необходимо также убедиться, что вы хорошо владеете структурой файловой системы и знаете форматы всех ее компонент, таких как таблица разделов, таблица логических дисков, таблица размещения файлов FAT и т. д. В тяжелых случаях мы рекомендуем обращаться к специалистам, например, из скорой компьютерной помощи АО “ДиалогНаука”.
Многие повреждения файловой системы можно восстановить в автоматическом режиме при помощи программы Norton Disk Doctor. Однако эта весьма неплохая программа в некоторых случаях не сможет оказать вам существенной помощи. Поэтому вы должны владеть хотя бы основными приемами ручного восстановления файловой системы.
Если в процессе исследования файловой системы вы обнаружили, что некоторые структуры оказались полностью разрушены (например, главная загрузочная запись с таблицей разделов, таблица логических дисков, каталоги и т. д.), еще не все потеряно. Многое можно восстановить с помощью таких программ, как Norton Disk Doctor или Norton Disk Editor.
Основная идея поиска потерянных файлов и структур данных заключается в том, что вы знаете (хотя бы приблизительно) их содержимое.
Например, секторы, содержащие таблицу разделов, таблицу логических дисков и загрузочную запись имеют сигнатуру 0AA55h. Из предыдущих разделов этой главы вы знаете, что программы начальной загрузки содержат в своем теле текстовые строки, которые также можно использовать для поиска. В теле расширенного блока параметров BIOS Extended PBP имеются текстовые строки FAT12 или FAT16, которые также можно использовать для поиска.
Если вы знаете характерные слова или последовательности байт, встречающиеся в потерянных файлах данных, их тоже можно использовать для восстановления.
Секторы, содержащие дескрипторы каталогов, можно обнаружить, зная имена описанных в нем файлов.
