Створення власних правил пошуку для відновлення даних "за відомим вмістом"

creation of custom scanning rules for raw data recovery with ufs explorer program

У більшості випадків UFS Explorer виконує ретельний аналіз структур файлової системи й інтерпретує цю інформацію для пошуку і відновлення відсутніх даних. Втім, за певних обставин важливі службові записи можуть зазнати значного пошкодження або навіть бути перезаписані, як от після форматування, ініціалізації або іншого роду маніпуляцій зі сховищем.

У такій ситуації неможливо досягнути задовільного результату відновлення за допомогою зазначеного підходу. Щоб розв'язати таку проблему або ж розширити отриманий результат, можна активувати IntelliRAW або метод відновлення "за відомим вмістом". Цей метод охоплює пошук попередньо заданих фрагментів або так званих файлових сигнатур (також "магічних чисел"). Ці двійкові послідовності зустрічаються за певним зміщенням на початку, а також іноді в кінці файлу, та можуть використовуватись для ідентифікації файлів певного типу.

UFS Explorer містить широкий набір правил IntelliRAW із сигнатурами для більшості поширених типів файлів, таких як документи, зображення, мультимедіа, архіви тощо. Проте при роботі із рідкісними або пропрієтарними форматами може виникнути необхідність розширити доступний список за допомогою користувальницьких правил, які можна використовувати в процесі відновлення.

Процедура задання користувальницького типу файлу складається з трьох окремих етапів: визначення текстових або двійкових сигнатур, характерних для даного формату, налаштування правила, на основі якого їх виявлятиме програма, та його застосування при виборі параметрів для сканування сховища.

Виявлення сигнатури файлу

Щоб отримати сигнатури вашого типу файлу, які можна використовувати для створення користувальницького правила пошуку, виконайте наступні кроки:

  1. Оберіть засіб, який буде використовуватись для перевірки шістнадцяткового вмісту файлів на наявність файлових сигнатур. Зверніться до статті щодо відкриття джерела даних для подальшого шістнадцяткового аналізу в UFS Explorer або ж скористайтеся будь-яким іншим альтернативним інструментом на власний розсуд.

  2. Відкрийте шістнадцяткове представлення декількох зразків файлів потрібного формату. В якості наочного прикладу використаймо п'ять звичайних зображень у форматі JPEG.

    five simple JPEG images as samples to find identical file patterns with haxadecimal viewer of ufs explorer program

  3. Дослідіть двійкові дані кожного з відкритих файлів, щоб знайти ідентичні послідовності, особливо на початку та в кінці. У разі текстового формату файлу використовуйте поле текстового представлення. Для отримання більш точних результатів слід дослідити якомога більше файлів. У нашому прикладі спостерігається наступна закономірність: кожен з файлів починається із сигнатури FF D8 FF (Ř) і закінчується сигнатурою FF D9 (Ů).

    signature at the start of hexadecimal content of sample image in hexadecimal viewer of ufs explorer program

    signature at the end of hexadecimal content of sample image in hexadecimal viewer of ufs explorer program

    Зверніть увагу: У деяких випадках складно відрізнити справжні сигнатури файлів від схожих між собою послідовностей даних, що містять службову інформацію. За можливості спробуйте взяти непов'язані між собою файли, наприклад, відео, записані за допомогою різних камер.

  4. Оберіть сигнатуру, знайдену ближче до початку ваших файлів, та скопіюйте її до буфера обміну за допомогою інструменту для копіювання "сирих" (шістнадцяткових) даних. Якщо ж у вас не двійкова сигнатура, використовуйте замість цього інструмент для копіювання текстових даних. Вставте та збережіть цю послідовність до будь-якої безпечної локації, щоб мати можливість застосувати її пізніше.

    Зверніть увагу на положення сигнатури в полі "Початок виділеної області". В нашому випадку це 0x0, але ваша сигнатура не обов'язково має розташовуватися в самому початку файлу.

    tools to copy hexadecimal contents in hexadecimal viewer of ufs explorer program

  5. Якщо ви помітили сигнатуру в кінці ваших зразків, виконайте операцію копіювання і для цієї сигнатури.

Створення правила пошуку на основі ідентифікованих сигнатур

Тепер, отримавши необхідні сигнатури файлу, ви можете створити користувальницьке правило пошуку, яке UFS Explorer буде використовувати для їх розпізнавання.

Починаючи з версії 9.4, програмне забезпечення пропонує вбудований графічний редактор, що дозволяє створювати, переглядати та редагувати такі правила безпосередньо в програмі. Його також можна застосовувати для завантаження користувальницького типу файлу з вже наявного *.xml-файлу будь-якого підтримуваного стороннього формату.

Користувачі, які не оновили свої продукти, можуть завантажити спеціальну безкоштовну утиліту під назвою IntelliRAW rules editor та слідувати інструкціям для створення користувальницьких правил пошуку в старіших версіях UFS Explorer (до версії 9.3).

Якщо ж ви застосовуєте сучасну версію програми, виконайте наступне:

  1. Запустіть UFS Explorer та, при необхідності, змініть налаштування програми у відповідній панелі.

  2. Відкрийте пункт "Інструменти" в головному меню та виберіть опцію "Правила IntelliRAW", щоб запустити вбудований редактор.

    option intelliraw rules under tools tab of main menu of ufs explorer program

  3. У діалоговому вікні ви побачите список типів файлів, активованих у програмі за замовчуванням. Будь ласка, зверніть увагу, що вбудовані правила не можна переглядати або змінювати.

    window of intelliraw rules in ufs explorer program

  4. Щоб створити свій власний тип файлу, натисніть кнопку "Новий тип" на панелі інструментів вгорі.

    option new type on top toolbar of intelliraw rules window in ufs explorer program

  5. Виберіть тип правила, яке ви збираєтеся задати, залежно від формату ваших сигнатур (шістнадцяткові або текстові послідовності).

    option rule for binary data in intelliraw rule type selection popup in ufs explorer program

    option rule for text files in intelliraw rule type selection popup in ufs explorer program

  6. Вкажіть розширення файлу, яке буде використовуватися для знайдених файлів даного формату.

    file type name field in user-defined rule configuration window in ufs explorer program

  7. Задайте ім'я для вашого користувальницького типу файлу у відповідному полі. Це ім'я також буде присвоєне контейнеру для цих файлів у результатах відновлення за відомим вмістом.

    file extension field in user-defined rule configuration window in ufs explorer program

  8. Якщо використовується текстова сигнатура, необхідне кодування для неї можна вибрати зі списку поруч із властивістю "Формат тексту".

    text format drop-down list in user-defined rule configuration window in ufs explorer program

  9. Натисніть кнопку "Додати правило", розташовану вгорі, та вставте першу сигнатуру, отриману на попередньому етапі, в поле поруч із властивістю "Значення".

    add rule button in user-defined rule configuration window in ufs explorer program

    value field in advanced-hex match window in ufs explorer program

  10. У разі шістнадцяткової сигнатури вкажіть її позицію в полі "Зміщення правила".

    rule offset field in advanced-hex match window in ufs explorer program

    У разі текстової сигнатури ви можете активувати чутливість до регістру, щоб розрізняти символи верхнього та нижнього регістрів.

    option to enable case-sensitivity in text-based rules advanced configuration window in ufs explorer program

  11. Як тільки ви натиснете "Прийняти", вказане правило з'явиться в списку на нижній панелі. Його можна відредагувати в будь-який момент за допомогою кнопки "Переглянути/ Редагувати".

    view edit button in user-defined rule configuration window in ufs explorer program

  12. Якщо у вас є ще одна сигнатура, натисніть знову на кнопку "Додати правило" та повторіть попередні кроки.

    add rule button to add more signatures in user-defined rule configuration window in ufs explorer program

  13. Вкажіть умови, які мають бути виконані, щоб відповідність була зарахована: використовуйте властивість "Логіка правил", щоб задати, чи всі сигнатури або хоча б одна з них мають бути присутніми у вмісті файлу.

    rules logics parameter in user-defined rule configuration window in ufs explorer program

  14. Натисніть "Прийняти", і створений користувальницький тип файлу буде додано до наявного набору правил IntelliRAW. Він буде позначений іншим кольором та матиме властивість "Визначений користувачем".

    user defined rule in list of intelliraw rules in ufs explorer program

  15. Нові правила активуються за замовчуванням відразу після їх створення. Ви можете деактивувати своє правило, вибравши його в списку та натиснувши кнопку "Вимкнути" на панелі інструментів вгорі, а потім використати кнопку "Увімкнути" для його активації.

    disable button in intelliraw rules window in ufs explorer program

    enable button in intelliraw rules window in ufs explorer program

Після цього редактор можна закрити. Створений тип файлу залишатиметься в програмі після її перезапуску. Також можна звернутися до цього компонента пізніше, якщо захочете відредагувати, відключити або видалити правило.

Крім того, ви можете використовувати інструмент "Експорт", щоб зберегти його у вигляді *.xml-файлу для резервного копіювання або подальшого імпорту в UFS Explorer, запущений на іншому комп'ютері.

Застосування користувальницьких правил під час сканування

Щоб шукати файли користувальницького типу під час сканування сховища за допомогою UFS Explorer, дотримуйтесь наведеної процедури:

  1. На етапі налаштування сканування активуйте опцію "Так, мене цікавить результат відновлення за вмістом".

    option to activate intelliraw search in scan configuration window of ufs explorer program

  2. Відразу після цього з'явиться ще одна опція, яка дозволяє використовувати власні правила пошуку даних. Відзначте її пташкою.

    option to enable custom search rules in scan configuration window of ufs explorer program

  3. Програмне забезпечення покаже кількість заданих наразі користувальницьких правил. Якщо вам потрібно внести до них будь-які зміни, використовуйте опцію "Керувати правилами". За відсутності такої потреби одразу приступайте до сканування.

    manage rules option in scan configuration window of ufs explorer program

UFS Explorer використає ваше правило та розмістить файли, знайдені з його допомогою, в теці $Custom. Файли автоматично отримають нові імена, оскільки ця інформація недоступна при відновленні "за відомим вмістом". Крім того, слід усвідомлювати, що цей метод має свої недоліки та надає погані результати в умовах значної фрагментації файлів. Більш того, у разі відсутності чіткої сигнатури для кінця файлу, велика кількість файлів може виявитися пошкодженою.

Останнє оновлення: 22 серпня 2022

Якщо вам сподобалася ця стаття, поділіться нею у соцмережах: