Створення власних правил пошуку для відновлення даних "за відомим вмістом"

У більшості випадків UFS Explorer виконує ретельний аналіз структур файлової системи й інтерпретує цю інформацію для пошуку і відновлення відсутніх даних. Втім, за певних обставин важливі службові записи можуть зазнати значного пошкодження або навіть бути перезаписані, як от після форматування, ініціалізації або іншого роду маніпуляцій зі сховищем. Ця перешкода часто позбавляє можливості повернути файли за допомогою зазначеного підходу. Щоб розв'язати цю проблему або ж розширити отриманий результат, можна активувати IntelliRAW або метод відновлення "за відомим вмістом". Прочитавши цю статтю, ви дізнаєтеся його суть та зможете створювати власні правила пошуку, якими керуватиметься програма.

Що таке відновлення даних "за відомим вмістом" і як воно працює?

Терміни "RAW-відновлення", "відновлення за відомим вмістом" або "IntelliRAW" насправді стосуються одного й того ж методу. Він охоплює пошук попередньо заданих фрагментів або так званих файлових сигнатур (також "магічних чисел"). Ці двійкові послідовності зустрічаються в основному на початку файлу та однозначно характеризують певний їх тип. Якщо файли не фрагментовані, UFS Explorer може використовувати відповідну сигнатуру для їх ідентифікації у межах заданого діапазону даних та отримати їх вміст навіть за відсутності метаданих файлової системи.

Програма вже містить базовий набір правил IntelliRAW із сигнатурами для більшості поширених типів файлів, таких як документи, зображення, мультимедіа, архіви тощо. Крім власне відновлення даних "за відомим вмістом", вони використовуються для підвищення якості сканування певних файлових систем, контролю стану відновлених елементів та для призначення належного розширення файлам нечитабельних форматів, таких як *.chk.

Однак у деяких ситуаціях може знадобитися додати до наявного списку користувальницькі правила, наприклад, якщо було втрачено рідкісні або пропрієтарні файли. Така можливість представлена у всіх редакціях UFS Explorer. Програмне забезпечення дозволяє створити шаблон для будь-якого відсутнього типу та налаштувати його вручну. Водночас функцією слід користуватися розважливо: неточний шаблон може значно сповільнити сканування і призвести до помилкових результатів.

Процедура задання користувальницького типу файлу складається з трьох окремих етапів: визначення текстових або двійкових сигнатур, характерних для даного формату, налаштування правила, на основі якого їх виявлятиме програма, та його застосування при виборі параметрів для сканування сховища. Якщо файли такого типу є досить поширеними, рекомендується зв'язатися з нашою командою для включення такого правила до вбудованого набору. Це може прискорити їх опрацювання програмним забезпеченням і потенційно дозволяє отримати більш детальну інформацію про них (інформативніше ім'я файлу, дату створення й останньої модифікації тощо).

Виявлення сигнатури файлу

Щоб отримати сигнатуру для обраного вами формату файлів, потрібно буде підготувати кілька його зразків, бажано таких, що не пов'язані між собою – наприклад, відео, записані різними камерами. Якщо файли схожі, може бути складно відрізнити справжні сигнатури файлів від випадкових послідовностей даних, що містять службову інформацію.

Маючи під рукою файли, ви можете виконати наступні кроки:

1. Оберіть засіб, який буде використовуватись для перевірки шістнадцяткового вмісту файлів на наявність файлових сигнатур. Шістнадцятковий аналіз можна виконати в UFS Explorer або застосувати будь-який інший альтернативний інструмент, якому ви віддаєте перевагу.

2. Відкрийте шістнадцяткове представлення декількох зразків файлів потрібного формату. Як наочний приклад у нас SSF-файли – це специфічний тип записів відеоспостереження.

3. Дослідіть вміст кожного з відкритих файлів та визначте, чи є їх формат двійковим або текстовим. Знайдіть ідентичні послідовності, особливо на початку та в кінці. Для отримання точних результатів має бути не менше 32 унікальних бітів.

   Наші зразки є двійковими, і можна побачити, що кожен з них на початку має спільні послідовності: STL Stream Format v1.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 31 2E 30) та STL Stream Format v3.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 33 2E 30). Таким чином, правило для нашого користувальницького типу можна задати як 'STL Stream Format v1.0' або 'Stream Format v3.0'.

4. Оберіть сигнатуру, знайдену ближче до початку ваших файлів, та скопіюйте її до буфера обміну за допомогою інструменту для копіювання "сирих" (шістнадцяткових) даних. Якщо ж у вас не двійкова сигнатура, використовуйте замість цього інструмент для копіювання текстових даних. Вставте та збережіть цю послідовність до будь-якої безпечної локації, щоб мати можливість застосувати її пізніше.

   Зверніть увагу на позицію сигнатури в полі "Початок виділеної області". В нашому випадку це 0x0, але ваша сигнатура не обов'язково має розташовуватися в самому початку файлу.

5. Якщо ви помітили сигнатуру в кінці ваших зразків, виконайте операцію копіювання і для цієї сигнатури.

Створення правила пошуку на основі ідентифікованих сигнатур

Тепер, отримавши необхідні сигнатури файлу, ви можете створити користувальницьке правило пошуку, яке UFS Explorer використовуватиме для їх розпізнавання.

Починаючи з версії 9.4, програмне забезпечення пропонує вбудований графічний редактор, що дозволяє створювати, переглядати та редагувати такі правила безпосередньо в програмі. Його також можна застосовувати для завантаження користувальницького типу файлу з вже наявного *.xml-файлу будь-якого підтримуваного стороннього формату.

Користувачі, які не оновили свої продукти, можуть завантажити спеціальну безкоштовну утиліту під назвою IntelliRAW rules editor та слідувати інструкціям для створення користувальницьких правил пошуку в старіших версіях UFS Explorer (до версії 9.3). Новіше програмне забезпечення залишається сумісним зі старими правилами (формат файлів *.urrs). Однак керувати ними можна лише в IntelliRAW rules editor, внутрішній редактор їх не підтримує.

Якщо ж ви застосовуєте сучасну версію програми, виконайте наступне:

1. Запустіть UFS Explorer та, при необхідності, змініть налаштування програми у відповідній панелі.

2. Відкрийте пункт "Інструменти" в головному меню та виберіть опцію "Правила IntelliRAW", щоб запустити вбудований редактор.

3. У діалоговому вікні ви побачите список типів файлів, активованих в програмному забезпеченні за замовчуванням. Будь ласка, зверніть увагу, що вбудовані правила не можна переглядати або змінювати.

4. Щоб створити свій власний тип файлу, натисніть кнопку "Новий тип" на панелі інструментів вгорі.

5. Виберіть тип правила, яке ви збираєтеся задати, залежно від формату ваших сигнатур (шістнадцяткові або текстові послідовності).

6. Вкажіть розширення файлу, яке буде використовуватися для знайдених файлів даного формату.

7. Задайте ім'я для вашого користувальницького типу файлу у відповідному полі. Це ім'я також буде присвоєне контейнеру для цих файлів у результатах відновлення за відомим вмістом.

8. Якщо використовується текстова сигнатура, необхідне кодування можна вибрати зі списку поруч із властивістю "Формат тексту".

9. Натисніть кнопку "Додати правило", розташовану вгорі, та вставте першу сигнатуру, отриману на попередньому етапі, в поле поруч із властивістю "Значення".

   Ці правила також підтримують спеціальний синтаксис, доступний для інструменту розширеного шістнадцяткового пошуку в Шістнадцятковому переглядачі UFS Explorer. Виходячи з цього синтаксису, ми можемо об'єднати наші дві сигнатури в єдине правило, що виглядає як 'STL Stream Format v'{31,33}'.0'.

10. У разі шістнадцяткової сигнатури вкажіть її позицію в полі "Зміщення правила".

    У разі текстової сигнатури ви можете активувати чутливість до регістру, щоб розрізняти символи верхнього та нижнього регістрів.

11. Як тільки ви натиснете "Прийняти", вказане правило з'явиться в списку на нижній панелі. Його можна відредагувати в будь-який момент за допомогою кнопки "Переглянути/ Редагувати".

12. Якщо у вас є ще одна сигнатура, натисніть знову на кнопку "Додати правило" та повторіть попередні кроки.

13. Вкажіть умови, які мають виконуватися, щоб відповідність була зарахована: використовуйте властивість "Логіка правил", щоб задати, чи всі сигнатури або хоча б одна з них мають бути присутніми у вмісті файлу.

14. Натисніть "Прийняти", і створений користувальницький тип файлу буде додано до наявного набору правил IntelliRAW. Він буде позначений іншим кольором та матиме властивість "Визначене користувачем".

15. Нові правила активуються за замовчуванням відразу після їх створення. Ви можете деактивувати своє правило, вибравши його в списку та натиснувши кнопку "Вимкнути" на панелі інструментів вгорі, а пізніше використати кнопку "Увімкнути" для його активації.

Після цього редактор можна закрити. Створений тип файлу залишатиметься в програмі після її перезапуску. Також можна звернутися до цього компонента пізніше, якщо захочете відредагувати, відключити або видалити правило.

Застосування користувальницьких правил під час сканування

Щоб шукати файли користувальницького типу під час сканування сховища за допомогою UFS Explorer, дотримуйтесь наведеної процедури:

1. На етапі налаштування сканування активуйте опцію "Так, мене цікавить результат відновлення за вмістом".

2. Відразу після цього з'явиться ще одна опція, яка дозволяє використовувати власні правила пошуку даних. Відзначте її пташкою.

3. Програмне забезпечення покаже кількість заданих наразі користувальницьких правил. Якщо вам потрібно внести до них будь-які зміни, використовуйте опцію "Керувати правилами". За відсутності такої потреби одразу розпочинайте сканування.

UFS Explorer використає ваше правило та розмістить файли, знайдені з його допомогою, в теці $Custom. Файли автоматично отримають нові імена, оскільки ця інформація недоступна при відновленні "за відомим вмістом". Крім того, слід усвідомлювати, що цей метод має свої недоліки та надає погані результати в умовах значної фрагментації файлів.

Експорт/імпорт створених правил

Починаючи з версії 9.5, UFS Explorer пропонує засоби для збереження вибраних користувальницьких правил пошуку у вигляді *.xml-файлів, які можна використовувати як резервну копію або для подальшого імпорту в програмне забезпечення, запущене на іншому комп'ютері.

1. Щоб створити такий файл, відкрийте вбудований редактор за допомогою пункту "Правила IntelliRAW" в головному меню програми.

2. Після цього оберіть інструмент "Експорт" на панелі інструментів вгорі.

3. У вікні виберіть усі користувальницькі типи файлів, які ви бажаєте експортувати.

4. Нарешті, натисніть кнопку "Експорт".

5. Виберіть місце розташування та задайте ім'я для створюваного *.xml-файлу.

6. Натисніть кнопку "Зберегти", і файл буде збережено у вказаній теці. Всі значення правил у ньому будуть представлені у вигляді стандартних символів base64, які не конфліктують з XML-парсингом. Сам файл кодується за допомогою UTF-8 та може редагуватися у текстовому процесорі. Якщо значення є безпечним для XML і не буде помилково інтерпретуватися як розмітка, його можна задати як звичайний текст або розширену шістнадцяткову послідовність без префікса base64.

За аналогією через вбудований редактор можна імпортувати користувальницькі правила пошуку з наявного сумісного *.xml-файлу.

1. Для цього оберіть інструмент "Імпорт" на його панелі інструментів.

2. У діалоговому вікні перейдіть до теки, де зберігається файл, виберіть його та натисніть кнопку "Відкрити".

3. Якщо він містить визначення для декількох користувальницьких типів файлів, поставте пташки біля тих, які треба імпортувати.

4. Після натискання кнопки "Імпорт" вибрані правила будуть додані до поточного набору, неначе їх було задано вручну.

Імпорт старих правил

Хоча старими правилами пошуку, створеними для UFS Explorer до версії 9.3, не можна керувати в сучасному програмному забезпеченні, їх все ще можна використовувати в процесі відновлення даних. Для цього потрібно виконати дещо інші кроки:

1. Під час налаштування сканування поставте пташку біля пункту "Так, мене цікавить результат відновлення за вмістом", а потім біля пункту "Я бажаю використати власні правила пошуку даних".

2. Після цього з'явиться ряд опцій. Виберіть "Завантажити правила" для завантаження *.urrs-файлу.

3. У вікні знайдіть файл у відповідній теці та виберіть його.

4. Щойно ви натиснете кнопку "Відкрити", правила, задані у файлі, будуть додані до поточного набору правил IntelliRAW. Програма використовуватиме їх під час процедури разом із рештою правил пошуку.

Налаштування користувальницьких правил пошуку у відеокерівництві

Наступне відеокерівництво дасть вам більш повне уявлення про цей процес та його нюанси:

Переглянути на YouTube

Останнє оновлення: 16 лютого 2023