Статті

У цьому розділі Ви знайдете основну інформацію щодо відновлення та доступу до даних,а також корисні поради з цієї теми.

Download software

Як створити власні правила пошуку для відновлення даних "за відомим вмістом"

У більшості випадків UFS Explorer виконує ретельний аналіз структур файлової системи і інтерпретує цю інформацію для пошуку і відновлення відсутніх даних. Втім, за певних обставин важливі службові записи можуть зазнати значного пошкодження або навіть бути перезаписані, як от після форматування, ініціалізації або іншого роду маніпуляцій зі сховищем.

Підказка: Щоб дізнатись більше про файлові системи та їх структуру, зверніться до основ файлових систем.

У такій ситуації неможливо досягнути задовільного результату відновлення за допомогою зазначеного підходу. Щоб розв'язати таку проблему або ж розширити отриманий результат можна активувати IntelliRAW або метод відновлення "за відомим вмістом". Цей метод охоплює пошук попередньо заданих фрагментів або так званих файлових сигнатур (також "магічних чисел") – двійкових послідовностей, що зустрічаються за певним зміщенням на початку, а також іноді в кінці файлу, та можуть використовуватись для ідентифікації файлів певного типу.

UFS Explorer містить широкий набір правил IntelliRAW із сигнатурами для більшості поширених типів файлів, таких як документи, зображення, мультимедіа, архіви тощо. Проте, у роботі із рідкісними або пропрієтарними форматами може виникнути необхідність розширити доступний список за допомогою користувацьких правил, які можна завантажити в UFS Explorer і використовувати в процесі відновлення.

Спеціальна безкоштовна утиліта під назвою IntelliRAW rules editor дозволяє легко задавати користувацькі типи файлів для IntelliRAW та пропонує широкі можливості для їх налаштування. Використовуючи це програмне забезпечення, Ви можете:

  • Створити новий файл із користувальницьким типом файлів, відкрити існуючий файл і доповнити його новими типами файлів або навіть об'єднати правила з декількох існуючих файлів;
  • Задати розширення файлу, яке буде присвоєно знайденим файлам відповідного користувальницького типу;
  • Вказати назву для типу файлів, яка також буде використовуватися в якості імені папки в результатах відновлення "за відомим вмістом";
  • Задати правило для початку файлу, використовуючи одну або кілька сигнатур у вигляді шістнадцяткової послідовності, рядка ASCII або Unicode. Програмне забезпечення може сканувати увесь блок даних в пошуках потрібного шаблону, знайти його в блоці за заданим зміщенням або розділити блок на підблоки заданого розміру і шукати шаблон у заданій позиції.
  • Вказати правило для кінця файлу:
    • Сигнатуру і певну кількість байтів після неї;
    • Розмір файлу, що визначається як поле із заданим зміщенням і розміром. Значення можна помножити на вибране ціле число і збільшити на задане число байт.

Програма також підтримує наступні спеціальні команди:

?
Заміщує 4 біти шістнадцяткового числа
Наприклад, 0?11 може означати 0011, 0111...0F11
*N*
Будь-яке значення для N байт
Наприклад, *12* означає будь-які 12 байтів
!N!
Не дорівнює значенню байта
Наприклад, !0!, !FF! тощо
{b,…}
Перераховує допустимі байти
Наприклад, {00,?1,1F}
's'
Містить рядок ASCII
Наприклад, 'template'
"s"
Містить рядок Unicode
Наприклад, "template"
‘ s ’
Містить рядок UTF-8
Наприклад, ‘ template ’
+
Робить наступні рядки чутливими до регістру
Наприклад, +"Template"
-
Робить наступні рядки нечутливими до регістру
Наприклад, -"template"
[XXX/YYY]
Відповідає шістнадцятковому значенню XXX по масці YYY
Наприклад, [F80/FFC]
  • Визначити обставини, за яких зараховуватиметься збіг:
    • Формат даних (двійковий, ASCII або Unicode)
    • Область аналізу, яка може збігатися з батьківським об'єктом, бути підмножиною певного розміру, визначеною за певним зміщенням або заданою шістнадцятковою сигнатурою;
    • Умови для збігу: задане правило може спрацьовувати для всіх випадків, коли жодне з інших правил не підходить, коли знайдено кожну з перерахованих сигнатур або коли трапилась хоча б одна з них.

Щоб задати власний тип файлу і використовувати його під час сканування сховища за допомогою UFS Explorer, виконайте наступну процедуру:

  1. Завантажте, встановіть і запустіть CI Hex Viewer. Дана утиліта пропонує зручні засоби аналізу шістнадцяткового вмісту файлів на наявність сигнатур.

    CI Hex Viewer

    • Відкрийте кілька файлів потрібного формату в CI Hex Viewer. Для цього використовуйте підпункт "Файл" із меню "Відкрити" і оберіть опцію "Простий файл, як він є". В якості прикладу ми використовуємо п'ять звичайних зображень JPEG.

      CI Hex Viewer

    • Дослідіть двійкові дані кожного з відкритих файлів, щоб знайти ідентичні послідовності, особливо на початку і в кінці. Для зручності можна користуватися полем текстового представлення. Щоб отримати більш точні результати, потрібно дослідити якомога більше файлів. У нашому прикладі спостерігається наступна закономірність: кожен з файлів починається із сигнатури FF D8 FF (˙Ř˙) і закінчується сигнатурою FF D9 (˙Ů).

      Зверніть увагу: У деяких випадках складно відрізнити справжні сигнатури файлів від просто схожих між собою послідовностей даних, що містять службову інформацію. За можливості спробуйте взяти непов'язані між собою файли, наприклад, відео, записані за допомогою різних камер.

      CI Hex Viewer

      CI Hex Viewer

    • Виберіть знайдені сигнатури та скопіюйте їх в буфер обміну за допомогою інструменту "Копіювати сирі дані". Також зверніть увагу на положення сигнатури в полі "Початок виділеної області". У нашому випадку це 0x0.

      CI Hex Viewer

  2. Тепер, отримавши необхідні сигнатури файлу, Ви можете створити файл із правилами для Вашого користувацького типу, який буде використовуватися у UFS Explorer. Для цього Вам потрібно буде завантажити редактор правил IntelliRAW rules editor.

    CI Hex Viewer

    • Запустіть програму, створіть новий файл, натиснувши кнопку "Новий файл", і клікніть "Новий тип". У вкладці вкажіть назву для типу файлів і розширення. У нашому випадку це Зображення JPEG і jpg.

      CI Hex Viewer

    • Задайте отриману сигнатуру для початку файлу. Для цього натисніть кнопку "Початок" і вставте сигнатуру в поле "Шукати". Якщо позиція підпису відрізняється від 0x0, вкажіть її в полі "Позиція" і натисніть "OK".

      CI Hex Viewer

    • Якщо Ваш тип файлів має сигнатуру в кінці, вкажіть також правило для кінця файлу. Для цього натисніть кнопку "Кінець" і виберіть у меню пункт "Відповідна сигнатура". Вставте кінцевий підпис в поле "Шукати" і натисніть кнопку "ОК".

      CI Hex Viewer

    • При наявності зазначте додаткові параметри для пошуку файлів або продовжуйте із параметрами за замовчуванням.

      CI Hex Viewer

    • Змініть статус правила на "Активний" і збережіть створене правило в файл за допомогою кнопки "Зберегти файл".

      CI Hex Viewer

  3. У UFS Explorer під час налаштування параметрів сканування виберіть "Мене цікавить результат відновлення за вмістом" і відмітьте "Я бажаю використати власні правила пошуку даних". Натисніть "Завантажити правила“, перейдіть до файлу *.urrs, який Ви створили, і натисніть "OK".

    CI Hex Viewer

    Після завершення процедури UFS Explorer використає Ваше правило і розмістить файли, знайдені з його допомогою, в папці 1Custom. Файли автоматично отримають нові імена, оскільки ця інформація недоступна при відновленні "за відомим вмістом". Крім того, слід усвідомлювати, що цей метод має власні недоліки та надає погані результати в умовах значної фрагментації файлів. Більш того, у разі відсутності чіткого підпису для кінця файлу, велика кількість файлів може виявитися пошкодженою.

Останнє оновлення: 7 жовтня 2020

Рейтинг: 4.5 - 2 голоси
Поділитися: