So erstellen Sie benutzerdefinierte Suchregeln für die "rohe" Datenrettung

creation of custom scanning rules for raw data recovery with ufs explorer program

In meisten Fällen führt UFS Explorer gründliche Analyse der Dateisystemstrukturen durch und interpretiert diese Informationen, um die fehlenden Daten zu lokalisieren und wiederherzustellen. Unter bestimmten Umständen können wichtige Serviceaufzeichnungen jedoch stark beschädigt oder sogar überschrieben werden, z. B. beim Formatieren, Initialisieren oder anderen Manipulationen am Speicher.

Dies macht es unmöglich, mit dem genannten Ansatz ein zufriedenstellendes Datenrettungsergebnis zu erzielen. Um dieses Problem zu lösen oder das erhaltene Ergebnis zu erweitern, kann IntelliRAW oder die Methode der "rohen Wiederherstellung" aktiviert werden. Diese Technik umfasst die Suche nach vordefinierten Fragmenten des Dateiinhalts oder den sogenannten Dateisignaturen (auch "magische Zahlen"). Diese Binärsequenzen treten an einem bestimmten Versatz am Anfang und manchmal auch am Ende der Datei auf und können zur Identifizierung von Dateien eines jeweiligen Typs verwendet werden.

UFS Explorer enthält bereits eine breite Palette von IntelliRAW-Regeln mit Signaturen für die gängigsten Dateitypen wie Dokumente, Bilder, Multimedia, Archive usw. Wenn Sie jedoch mit seltenen oder proprietären Dateiformaten arbeiten, möchten Sie möglicherweise die verfügbare Liste mit benutzerdefinierten Regeln, die während des Wiederherstellungsprozesses verwendet werden können, erweitern.

Das Verfahren zum Einrichten eines benutzerdefinierten Dateityps besteht aus drei getrennten Phasen: Bestimmung von Text- oder Binärsignaturen, die für das gegebene Format charakteristisch sind, Definition einer Regel, nach der sie vom Programm erkannt werden, und die Anwendung dieser Regel bei der Spezifikation von Parametern für das Scannen des Speichers.

Erkennung einer Signatur der Datei

Führen Sie die folgenden Schritte aus, um die Signaturen Ihres Dateityps, die zum Erstellen einer benutzerdefinierten Suchregel verwendet werden können, festzustellen:

  1. Entscheiden Sie, mit welchen Mitteln Sie den hexadezimalen Inhalt von Dateien auf das Vorhandensein von Dateisignaturen untersuchen wollen. Lesen Sie den Artikel zum Öffnen einer Datenquelle zum weiteren Analysieren von Hex in UFS Explorer oder verwenden Sie ein anderes alternatives Tool Ihrer Wahl.

  2. Öffnen Sie die hexadezimalen Darstellungen mehrerer Beispieldateien des benötigten Formats. Als Anschauungsbeispiel haben wir fünf einfache JPEG-Bilder.

    five simple JPEG images as samples to find identical file patterns with haxadecimal viewer of ufs explorer program

  3. Untersuchen Sie die Binärdaten jeder geöffneten Datei, um identische Muster zu finden, insbesondere ganz am Anfang und am Ende. Verwenden Sie im Falle eines textbasierten Dateiformats das Textdarstellungsfeld. Um genauere Ergebnisse zu erhalten, müssen Sie so viele Dateien wie möglich untersuchen. In unseren Beispielen können wir sehen, dass jede der Dateien mit der Signatur FF D8 FF (˙Ř˙) beginnt und mit FF D9 (˙Ů) endet.

    signature at the start of hexadecimal content of sample image in hexadecimal viewer of ufs explorer program

    signature at the end of hexadecimal content of sample image in hexadecimal viewer of ufs explorer program

    Beachten Sie: In einigen Fällen kann es schwierig sein, den Unterschied zwischen den tatsächlichen Dateisignaturen und einfach ähnlichen Datenmustern, die Dienstinformationen enthalten, zu erkennen. Versuchen Sie nach Möglichkeit, Beispieldateien, die nicht eng miteinander verbunden sind, aufzunehmen, z. B. Videos, die von verschiedenen Kameras aufgenommen wurden.

  4. Wählen Sie die Signatur aus, die sich näher am Anfang Ihrer Beispieldateien befindet, und kopieren Sie sie mit dem Werkzeug zum Kopieren von Rohdaten (hexadezimalen Daten) in die Zwischenablage. Wenn Ihre Signatur nicht binär ist, verwenden Sie stattdessen das Tool zum Kopieren von Textdaten. Fügen Sie diese Sequenz ein und speichern Sie sie an einem sicheren Ort, um sie später verwenden zu können.

    Beachten Sie auch die Position Ihrer Signatur im Feld "Start des markierten Bereichs". In unserem Fall ist es 0x0, aber Ihre Signatur muss nicht unbedingt ganz am Anfang stehen.

    tools to copy hexadecimal contents in hexadecimal viewer of ufs explorer program

  5. Wenn Sie am Ende Ihrer Beispieldateien eine Signatur entdeckt haben, führen Sie den Kopiervorgang auch für diese Signatur durch.

Erstellung einer Suchregel basierend auf den identifizierten Signaturen

Nachdem Sie die erforderlichen Signaturen der Datei erhalten haben, können Sie eine benutzerdefinierte Suchregel definieren, die von UFS Explorer für ihre Erkennung verwendet wird.

Ab Version 9.4 bietet die Software einen integrierten grafischen Editor, der es ermöglicht, solche Regeln direkt im Programm zu erstellen, anzuzeigen und zu bearbeiten. Er kann auch verwendet werden, um einen benutzerdefinierten Dateityp aus der vorhandenen *.xml-Datei eines beliebigen unterstützten Formats von Drittanbietern zu laden.

Diejenigen, die ihre Produkte nicht aktualisiert haben, können ein spezielles kostenloses Dienstprogramm namens IntelliRAW Rules Editor herunterladen und den Anweisungen zum Erstellen benutzerdefinierter Suchregeln in älteren Versionen von UFS Explorer (bis Version 9.3) folgen.

Wenn Sie eine aktuelle Version des Programms verwenden, gehen Sie wie folgt vor:

  1. Führen Sie UFS Explorer aus und ändern Sie im Bedarfsfall dessen Einstellungen im entsprechenden Bereich.

  2. Öffnen Sie das Element "Tools" im Hauptmenü und wählen Sie die Option "IntelliRAW-Regeln", um den eingebetteten Editor zu starten.

    option intelliraw rules under tools tab of main menu of ufs explorer program

  3. Im geöffneten Dialog sehen Sie die Liste der Dateitypen, die standardmäßig in der Software aktiviert sind. Beachten Sie bitte, dass die vordefinierten Regeln nicht betrachtet oder geändert werden können.

    window of intelliraw rules in ufs explorer program

  4. Um Ihren eigenen Dateityp zu erstellen, klicken Sie oben in der Symbolleiste auf die Schaltfläche "Neuer Typ".

    option new type on top toolbar of intelliraw rules window in ufs explorer program

  5. Wählen Sie je nach Format Ihrer Signaturen (Hexadezimalsequenzen oder Textzeichenfolgen) die Art der zu definierenden Regel aus.

    option rule for binary data in intelliraw rule type selection popup in ufs explorer program

    option rule for text files in intelliraw rule type selection popup in ufs explorer program

  6. Geben Sie eine Dateierweiterung an, die für die gefundenen Dateien angegebenes Formats verwendet wird.

    file type name field in user-defined rule configuration window in ufs explorer program

  7. Bestimmen Sie im entsprechenden Feld einen Namen für Ihren benutzerdefinierten Dateityp ein. Dieser Name wird auch dem Container für diese Dateien in den Ergebnissen der "rohen" Datenrettung zugewiesen.

    file extension field in user-defined rule configuration window in ufs explorer program

  8. Wenn Sie eine textbasierte Signatur verwenden, können Sie die gewünschte Codierung über die Dropdown-Liste neben der Eigenschaft "Textformat" auswählen.

    text format drop-down list in user-defined rule configuration window in ufs explorer program

  9. Drücken Sie oben auf die Schaltfläche "Regel hinzufügen" und fügen Sie die erste im vorherigen Schritt erhaltene Signatur in das Feld neben der Eigenschaft "Wert" ein.

    add rule button in user-defined rule configuration window in ufs explorer program

    value field in advanced-hex match window in ufs explorer program

  10. Im Falle einer hexadezimalen Signatur geben Sie deren Position im Feld "Regelversatz" an.

    rule offset field in advanced-hex match window in ufs explorer program

    Im Falle einer textbasierten Signatur können Sie die Groß- und Kleinschreibung aktivieren, um zwischen Groß- und Kleinbuchstaben zu unterscheiden.

    option to enable case-sensitivity in text-based rules advanced configuration window in ufs explorer program

  11. Nachdem Sie auf "OK" geklickt haben, wird die angegebene Regel im unteren Bereich aufgelistet. Sie kann jederzeit über die Schaltfläche "Anzeigen/Bearbeiten" geändert werden.

    view edit button in user-defined rule configuration window in ufs explorer program

  12. Wenn Sie eine andere Signatur haben, klicken Sie erneut auf die Schaltfläche "Regel hinzufügen" und wiederholen Sie die vorherigen Schritte.

    add rule button to add more signatures in user-defined rule configuration window in ufs explorer program

  13. Definieren Sie die Bedingungen, die erfüllt sein müssen, damit ein Abgleich stattfindet: Legen Sie über die Eigenschaft "Regellogiken" fest, ob alle Signaturen oder mindestens eine davon im Inhalt einer Datei vorhanden sein müssen.

    rules logics parameter in user-defined rule configuration window in ufs explorer program

  14. Klicken Sie auf "OK", und der erstellte benutzerdefinierte Dateityp wird dem verfügbaren Satz von IntelliRAW-Regeln hinzugefügt. Er wird mit einer anderen Farbe angezeigt und die Eigenschaft "Benutzerdefiniert" haben.

    user defined rule in list of intelliraw rules in ufs explorer program

  15. Neue Regeln werden standardmäßig sofort nach ihrer Erstellung aktiviert. Sie können Ihre Regel deaktivieren, indem Sie sie in der Liste auswählen und oben in der Symbolleiste auf die Schaltfläche "Deaktivieren" klicken und später die Schaltfläche "Ermöglichen" verwenden, um sie zu aktivieren.

    disable button in intelliraw rules window in ufs explorer program

    enable button in intelliraw rules window in ufs explorer program

Danach kann der Editor geschlossen werden. Der erstellte benutzerdefinierte Dateityp bleibt nach dem Neustart im Programm. Sie können sich auch später auf diese Komponente beziehen, wenn Sie den bearbeiten, deaktivieren oder löschen möchten.

Darüber hinaus können Sie den mit dem Tool "Exportieren" als *.xml-Datei zu Sicherungszwecken oder zum weiteren Import in auf einem anderen Computer gestarteten UFS Explorer speichern.

Implementierung benutzerdefinierter Regeln während eines Scans

Um beim Scannen eines Speichers mit UFS Explorer nach Ihrem eigenen benutzerdefinierten Dateityp zu suchen, gehen Sie wie folgt vor:

  1. Aktivieren Sie beim Einrichten eines Scans die Option "Ja, ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert".

    option to activate intelliraw search in scan configuration window of ufs explorer program

  2. Gleich danach erscheint eine weitere Option, die die Verwendung Ihrer eigenen Datensuchregeln ermöglicht. Haken Sie diese auch ab.

    option to enable custom search rules in scan configuration window of ufs explorer program

  3. Die Software zeigt die Anzahl der derzeit definierten benutzerdefinierten Regeln an. Wenn Sie Anpassungen daran vornehmen müssen, verwenden Sie die Option "Regeln verwalten". Wenn nicht, fahren Sie sofort mit dem Scannen fort.

    manage rules option in scan configuration window of ufs explorer program

UFS Explorer wird Ihre Regel verwenden und die mit ihrer Hilfe gefundenen Dateien im Ordner $Custom bereitstellen. Den Dateien werden automatisch neue Namen zugewiesen, da diese Informationen bei der "rohen Wiederherstellung" nicht verfügbar sind. Sie sollten sich auch darüber im Klaren sein, dass diese Methode Schwachstellen aufweist und bei umfangreicher Dateifragmentierung schlechte Ergebnisse liefert. Wenn für das Ende der Datei keine eindeutige Signatur vorhanden ist, scheinen viele von ihnen beschädigt zu sein.

Letzte Aktualisierung: 12. August 2022

Wenn Ihnen dieser Artikel gefällt, teilen Sie ihn in sozialen Medien: