Відновлення інформації
 
Блог
 
Відновлення файлів за допомогою контентного аналізу


Відновлення файлів за допомогою контентного аналізу

Контентний аналіз диска – один зі стовпів сучасної індустрії відновлення інформації. За допомогою контентного аналізу можливе відновлення навіть таких файлів, інформація про яких не з’являється в файлової системі – наприклад, в разі форматування диска, знищення або пошкодження файлової системи, нарешті – у випадках, якщо файли були видалені тривалий час назад.

Signature Search

Алгоритм пошуку файлів за допомогою контентного аналізу

Розглянемо роботу алгоритму контентного аналізу на прикладі програми з відновлення файлів з дисків і флеш-карт, відформатованих під файлову систему FAT. Starus FAT Recovery здатна знаходити файли декількох сотень різновидів. Нижче приведена робота алгоритму контентного аналізу при скануванні диска.

  1. Детектування.
    У режимі детектування алгоритм сканує диск у пошуках відомих програмі файлових сигнатур. Наприклад, фотографії в популярному форматі JPEG завжди мають сигнатуру «JFIF», по якій можна визначити факт наявності файлу на диску.
  2. Ідентифікація.
    Виявлення сигнатури – ще далеко не все. Деякі сигнатури настільки короткі, що в процесі сканування диска будуть багаторазово зустрічатися помилкові спрацьовування. Деякі сигнатури перетинаються між різними типами файлів, а деякі зустрічаються неодноразово в одному файлі. Для точного визначення типу знайденого файлу проводяться додаткові перевірки – наприклад, перехресні перевірки даних, взятих з заголовка файлу і фактично прочитаної інформації.
  3. Аналіз.
    Для визначення точного розміру файлу в байтах проводиться розбір і аналіз його заголовка. Результат – точне число байт, що позначає розмір файлу.
  4. Позиціонування файлу на диску.
    За допомогою даних, отриманих із заголовка файлу, визначається його точний розмір, а наявність файлової сигнатури ідентифікує початок файлу. Грунтуючись на цих даних, програма обчислює ті сектори на диску, які імовірно займає даний файл. Важливо відзначити, що обчислення ці базуються на деяких припущеннях, які далеко не завжди правдиві. Зокрема, передбачається, що весь файл цілком зберігається у вигляді одного безперервного фрагмента, що не завжди відповідає дійсності з огляду на фрагментації диска. Крім того, деякі сектори можуть належати іншим файлам – при наявності файлової системи цей факт легко перевірити, але якщо файлова система пошкоджена або відсутня – залишається лише припускати, що всі дані належать саме тому файлу, який відновлюється в даний момент.

Обмеження контентного аналізу

На жаль, контентний аналіз диска – не панацея, а скоріше інструмент останньої надії. При серйозних пошкодженнях файлової системи тільки таким чином і можна відновити хоча б частину файлів.

За допомогою контентного аналізу можна відновити не всі дані, а тільки ті, інформація про яких є в базі даних відповідної програми. Наприклад, в базі даних Starus FAT Recovery є інформація про більш ніж 250 форматів файлів, включаючи найбільш поширені DOC / DOCX, XLS / XLSX, JPEG / JPG, RAW і безліч інших.

Важливо відзначити, що деякі типи файлів методом контентного аналізу неможливо відновити принципово. Зокрема, зашифровані файли спеціально створюються таким чином, щоб не мати повторюваними сигнатурами. Багато лог-файли, виконавчі формати, деякі бази даних також не володіють сигнатурами, що унеможливлює їх виявлення на диску.

Іншим обмеженням є фрагментація диска. Як було показано вище, методом контентного аналізу без проблем можна відновити тільки файли, збережені у вигляді одного безперервного фрагмента. Фрагментований файл може бути повністю відновлений тільки при наявності неушкодженої записи про нього в файлової системі.

У будь-якому випадку у Вашому розпорядженні завжди є інструменти відновлення Starus Recovery, які ефективно виконають пошук необхідних файлів і представлять вам повний звіт про можливість повернути вашим даними друге життя!

 


Схожі статті про відновлення даних:



Дата: Теги: , , , , ,

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5,00 out of 5)
Loading...

Comments are closed.

^