СХЕМЫ И ДОКУМЕНТАЦИЯ

Восстановление информации на жестком диске




Восстановление информации на жестком диске

  Настоящий обзор не является техническим руководством по изучению строения жестких дисков или описанием их логических структур. Это общий обзор методик и способов восстановления информации, ставшей недоступной в результате программного сбоя операционной системы, разрушительного действия вируса или неосторожных действий пользователя.

  Несколько общих слов о строении и терминологии жестких дисков. Жесткий Диск (винчестер) представляет собой блок из нескольких дисков/блинов (Disks) по поверхностям (Sides) которых перемещаются (плавают в воздушном потоке) головки (Heads). Позиционируются головки по концентрическим дорожкам/трекам/цилиндрам (Cilinders), каждый из которых разделен на сектора (Sectors). Сектор является минимальным адресуемым блоком данных для диска и его размер равен 512 байтам. Логическое строение жесткого диска отличается от его настоящей (физической) геометрии и это необходимо учитывать при восстановлении информации. Как правило, современные диски (в режиме адресации LBA) представляют собой несколько сот цилиндров имеющих 63-254 поверхностей по 63 сектора данных на каждой.

  В самом начале диска (в секторе 0/0/1) находится PT (Partition Table) - таблица разделов и MBR (Master Boot Record) - главная загрузочная запись.

  На следующем треке в первом(ых) секторе(ах) (начиная с 0/1/1) расположена BA (Boot Area) - загрузочная область операционной системы и BR (Boot Record) - загрузочная запись OC.

  Далее на этом же треке расположена 1-я копия FAT(File Allocation Table) - таблица размещения файлов. Сразу за ней - 2-я копия FAT. Размер копии FAT (в секторах) определяется размером раздела диска.

  После 2-й копии FAT расположены сектора ROOT (Root directory) - корневого каталога, за которой начинается DA (Data Area) - область данных.

  PT - состоит из 4-х строк описывающих 4-е возможных раздела диска. Описание каждого раздела диска содержит информацию о типе файловой системы, признаке того, что раздел является загрузочным, о первых и последних головках, дорожках, секторах раздела, количестве секторов смещения начала раздела от начала диска и об общем количестве секторов в разделе.

  MBR - находится в том же секторе что и PT. Данные в MBR представляют собой код процессора необходимый для дальнейшей загрузки операционной системы. В последних двух байтах сектора MBR находится сигнатура 55AAh, которую можно использовать как маску при поиске PT и MBR.

  BR - содержит массу данных и служит для описания параметров файловой системы. В отличие от диска, минимальным адресуемым блоком данных для операционной системы служит кластер, объединяющий определенное количество секторов. В BR нам интересны такие данные как размер кластера, размер и количество копий FAT. BR для раздела FAT16 размещается в одном секторе, в случае FAT32 Boot Record состоит из нескольких секторов.

  FAT - Состоит из 12, 16 или 32 битных элементов, описывающих номера кластеров или их признаки (BAD). Количество элементов соответствует количеству кластеров раздела диска. Из этих элементов образуются цепочки номеров кластеров, описывающих расположение файлов на диске.

  ROOT - Корневой каталог диска. Содержит записи описывающие файлы (дескрипторы файлов) в корневом каталоге. Такая запись описывает имя, тип, дату создания, размер, атрибуты файла, и т.п., а так же содержит указатель на первый кластер файла.

  Каталоги представляют собой сектора идентичные по структуре корневому каталогу. Каталог, кроме описаний файлов, в самом начале содержит две записи, первая из которых содержит указатель на первый кластер самого каталога, вторая на первый кластер родительского каталога.

ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ:

  Для восстановления потерянных (поврежденных) данных постарайтесь вспомнить или получить информацию о:

  a. Вероятном разбиении диска на разделы и количестве логических дисков.

  b. Размерах и истории создания логических дисков. История создания подразумевает под собой возможные искусственные изменения размеров разделов диска. Эта информация может иметь значение для точного определения места расположения ROOT.

  c. Особенностях файловой системы FAT16 или FAT32. Остальные типы файловых систем в этом документе не рассматриваются.

  d. Типе и версии Операционной Системы (DOS, Win95/98) использовавшейся на диске.

  e. Уникальные имена директорий и файлов, находившихся в корневом каталоге диска С, имя каталога с данными, подлежащими приоритетному восстановлению и уникальные имена файлов и поддиректорий, находившихся в этой директории.

  Для восстановления данных можно воспользоваться следующими утилитами:

  1. DiskEdit из комплекта Norton Utilities версии 3.0х (или аналогичный ему).

  2. Tiramisu (|

Источник: shems.h1.ru