В результате сбоев компонентов ПК, некорректной работы ОС, внезапного обесточивания во время записи на диск, неисправностей жесткого диска могут оказаться поврежденными метаданные файловой системы. При многих видах повреждений ОС не сможет монтировать том с поврежденной файловой системой.

В этих случаях достаточно эффективен метод поиска метаданных файловой системы в границах существующего раздела. При незначительных повреждениях можно получить результат, близкий к 100%. Данная рекомендация актуальна для большинства различных файловых систем.

Разумеется, существуют случаи, когда в результате сбоев оказывается испорченным большой объем метаданных текущей файловой системы. Тогда, если не отработал первый вариант, необходимо воспользоваться методом анализа регулярных выражений для поиска нужных вам файлов.

_{Работа специалиста отличается тем, что он оценивает характер повреждения метаданных и если они не уничтожены, а пребывают в искаженном виде, то возможны ручные коррекции в шестнадцатеричном редакторе.}

Удаление файла или группы файлов.

Ошибочное удаление данных — достаточно частый случай. Последствия этого действия сильно зависят от типа файловой системы, а также в относительно новых дисках от идеологии работы микропрограммы самого устройства.

Если файлы были удалены на разделе с файловой системой NTFS, то оптимальным методом поиска будет экспресс анализ в различных утилитах, при котором быстро сканируются ключевые структуры (MFT, Index, Logfile) без полного сканирования раздела. Если нужные файловые записи и место, занимаемое этими файлами не перезаписаны иными данными, то достаточно оперативно можно получить интересующие файлы.




Рис. 19 после сканирования $MFT фиолетовым выделены записи, числящиеся удаленными

Если при быстром сканировании нужные данные не обнаружены или повреждены, то можно выполнить полное сканирование раздела, но скорее всего серьезным образом результат не изменится и кроме поиска регулярных выражений ничего другого не останется.

Если файлы удалены на разделе с файловой системой FAT16, FAT32, то можно использовать анализ метаданных и получить некоторую часть данных с оригинальными именами. В случае SFN будет отсутствовать первый символ в имени файла, если же файл был с длинным именем, то его полное имя будет в LFN записи. В случае удаления фрагментированных файлов восстановление данных средствами программ автоматического восстановления не будет успешным, так как при удалении в FAT таблице удаляется запись о цепочке кластеров, принадлежащих файлу. Также в FAT32 в некоторых случаях кроме удаления цепочки расположения файла в обеих копиях таблицы, в директории удаляется первый символ SFN и старшие два байта в номере первого кластера, занимаемого файлом. Большинство утилит автоматического восстановления, анализирующих метаданные, не определят правильную позицию файла.

Если методы анализа метаданных не привели к нахождению нужных данных или нужные файлы не могут быть открыты, то остается метод поиска регулярных выражений. Возможно некоторую часть файлов удастся обнаружить.

Если файлы удалены на разделе с файловой системой HFS+, Ext 2, Ext3, Ext4, то, к сожалению, анализировать метаданные бесполезно. Кроме поиска регулярных выражений ничего другого не остается.