データ復旧プログラムが元の名前/構造のないファイルをしばしば復旧するのはなぜですか?
データ復旧プログラムが元の名前/構造のないファイルをしばしば復旧するのはなぜですか?
たとえば、私はPhotoRecを使用しています。これは回復の目的には非常に優れたアプリケーションだと思いますが、名前や構造がなくても回復します。
何故ですか?名前の「ソース」は、名前/構造/属性などを格納するマスターファイルテーブルであることを理解しています。これは本当ですか?
構造と名前を使用して真のリカバリを行うには、MFTをそのままにしておく必要がありますか?
基本
データ復旧プログラムには2種類あります。
- 回復するファイルの手がかりを求めてファイルシステムを調べる人
- 署名を使用するもの
ファイルシステムプログラム
前者は、回復するファイルとフォルダに関する情報について、ディスク上のファイルシステムを調べます。彼らはFAT/MFTを見るかもしれませんが、通常、ファイルが失われると、その情報が失われるため、これらのプログラムはディスク上のクラスターを調べて、ディレクトリのように見えるものを見つけることがよくあります。次に、ディレクトリエントリを調べて、削除済みとしてマークされているファイルを特定します。示されたファイルが上書きされていない場合は、ファイルを回復するのに十分なデータ(名前、開始クラスター、およびサイズ)がディレクトリにあるはずです。サブディレクトリについても同じことが言えます。サブディレクトリを識別し、そこにあるファイルに対して前述のプロセスを繰り返すのに十分な情報(名前、開始クラスター)が必要です。
この方法には2つの大きな欠点があります。
- これは、ファイルとフォルダーが連続の場合にのみ機能します。つまり、それらが断片化されている場合、プログラムは、連続するチェーンの終わりまで、ファイル/フォルダーのstartのみを回復できます。チェーン内の次のクラスターを見つける方法はありません。
- 最近削除されて復元されるファイルを知る方法がないため、削除済みとしてマークされていることが検出されたすべてのファイルが一覧表示されます。そのため、かなり前に削除されたために長い間上書きされたファイル/フォルダが含まれている可能性があります。
署名プログラム
後者のタイプのデータ回復プログラムは、ファイルシステムを完全に無視し、代わりにファイルを探しますtypes。通常、さまざまな種類のファイルに典型的なファイル署名(ヘッダー、マジックナンバーなど)のリストが含まれます。次に、ディスクをスキャンしてこれらのバイトパターンを探し、見つかった場合は常に、そのクラスターと後続のクラスターの数をファイルとして追加し、ファイルのリストを表示します。
この方法には、さまざまな欠点があります。
- ファイルシステムデータではなく生のファイルの内容に従ってファイルを検索するため、ファイルの名前、場所、日付、さらにはサイズに関する情報はありません。
- 名前に関する情報がないため、
file0001、file0002などの不自然な名前が付けられます。 - 場所に関する情報がないため、すべてを1つの巨大なフォルダーにダンプします(ファイルの種類に応じて並べ替える場合もあります)。
- ファイルのサイズに関する情報がないため、最も近いクラスターに丸められ、最後に511〜65,535バイトのジャンクが追加されます。
- かなり前に削除された古いファイルや、ほぼ同じでバージョンが異なるファイルが見つかる場合があります。たとえば、ファイルで作業していて、変更の各バッチの後に何度も保存した場合、それらの変更の多くを個別のファイルとして見つけてしまい、最新バージョンを特定する必要があります。
- ファイルシステム方式と同様に、クラスターチェーンに関する情報がないため、ファイルが連続している必要があります。
比較
2つの方法には長所と短所があり、どちらを使用するかはディスクとファイルに依存するため、あなた次第です。 各タイプの少なくとも1つのプログラムを使用して、成功を最大化することをお勧めします。そうすれば、ほとんどのコンテンツとメタデータ(ファイル名など)の両方を回復することで、ほとんどのファイルを見つけることができます。正しいメタデータを正しいコンテンツにコピーするには、いくつかの比較と手動作業が必要になる場合がありますが、最大の回復であなたの最善の策。欠点としては、複数のプログラムを使用すると、多くの混乱や誤検知が発生し、それらを並べ替える必要があるため、失われたファイルの値を決定するのはあなた次第です。
応用
なぜ回復プログラムは元の名前/構造のないファイルを回復することが多いのですか?
たとえば、私はPhotoRecを使用しています。これは回復の目的には非常に優れたアプリケーションだと思いますが、名前や構造がなくても回復します。
何故ですか?
PhotoRecは署名タイプのデータ復旧プログラムだからです。
名前の「ソース」は、名前/構造/属性などを格納するマスターファイルテーブルであることを理解しています。これは本当ですか?構造と名前を使用して真のリカバリを行うには、MFTをそのままにしておく必要がありますか?
はい、はい。
説明した理由により、削除されたファイルの回復はFATよりもNTFSの方が成功することがよくありますが、PhotoRecは署名スタイルのプログラムであるため、ファイル/フォルダーに関するメタデータのMFTを参照しません。
さらに、すぐに削除されたファイルを含むディスクの使用を停止し、すぐに回復を実行しない限り、ファイルを含むクラスターおよび/またはそれらを参照するMFTエントリが存在する可能性がありますリサイクルして上書きする場合があります。 (Windowsには、削除されたファイルを不思議なことにすぐに上書きするという厄介で非常に厄介な習慣があります。誤ってファイルを削除した後、シャットダウン中にWindowsが上書きされないように、リセットボタンを押すまでに何度も行ってきました。 still は、問題のファイルが上書きされていることを検出しました。)
ファイルシステムに応じて、ファイルの名前と内容は通常、異なる場所に保存されます。名前とタイムスタンプは、ファイルの内容を含む別の一連のブロックへのリンクとともにディレクトリに配置されます。ファイルが削除されると、コンテンツを保持しているブロックが空き領域に戻され、ディレクトリが編集されてエントリが削除されます。元に戻すプログラムは、最近解放されたブロックを見つけることができますが、ディレクトリエントリはすでに削除されています。繰り返しになりますが、詳細はOSとファイルシステムによって異なりますが、これが役立つが一般的なアイデアになることを願っています。