пр8. практическая работа 8. Практическая работа Цель и задачи работы

Название	Практическая работа Цель и задачи работы
Дата	19.04.2023
Размер	157.5 Kb.
Формат файла
Имя файла	практическая работа 8.doc
Тип	Практическая работа #1074673

Практическая работа № 8.

1.Цель и задачи работы

Ознакомление с хранением и удалением файлов в файловых системах FAT и NTFS операционных систем семейства MS Windows, а также получение навыков по восстановлению удаленных файлов.

2.Введение

Надежность файловой системы – это одно, а ошибочно удаленные файлы – совсем другое. Файловая система, даже такая мощная как NTFS, бессильна защитить пользователя от себя самого. Хорошо, если удаленный файл сохранился в "Корзине", но что делать, если там его нет? В этом случае остается лишь попытаться восстановить удаленный файл из файловой системы вручную или с помощью специализированных программ.

3.Хранение и удаление файлов в файловой системе FAT

В файловой системе FAT смежные секторы диска объединяются в единицы, называемые кластерами. Количество секторов в кластере равно степени двойки. Для хранения данных файла отводится целое число кластеров (минимум один), так что, например, если размер файла составляет 40 байт, а размер кластера 4 кбайт, реально занят информацией файла будет лишь 1% отведенного для него места. Для избежания подобных ситуаций целесообразно уменьшать размер кластеров, а для сокращения объёма адресной информации и повышения скорости файловых операций – наоборот.

Пространство тома FAT32 логически разделено на три смежные области:

– зарезервированная область. Содержит служебные структуры, которые принадлежат загрузочной записи раздела (Partition Boot Record – PBR, для отличия от Master Boot Record – главной загрузочной записи диска; также PBR часто некорректно называется загрузочным сектором) и используются при инициализации тома;

– область таблицы FAT, содержащая массив индексных указателей («ячеек»), соответствующих кластерам области данных. Обычно на диске представлено две копии таблицы FAT в целях надежности;

– область данных, где записано собственно содержимое файлов – то есть текст текстовых файлов, кодированное изображение для файлов рисунков, оцифрованный звук для аудиофайлов и т.д. – а также т.н. метаданные – информация относительно имен файлов и папок, их атрибутов, времени создания и изменения, размеров и размещения на диске.

В FAT12 и FAT16 также специально выделяется область корневого каталога. Она имеет фиксированное положение (непосредственно после последнего элемента таблицы FAT) и фиксированный размер в секторах.

Если кластер принадлежит файлу, то соответствующая ему ячейка содержит номер следующего кластера этого же файла. Если ячейка соответствует последнему кластеру файла, то она содержит специальное значение (FFFF₁₆ для FAT16). Таким образом выстраивается цепочка кластеров файла. Неиспользуемым кластерам в таблице соответствуют нули. «Плохим» кластерам (которые исключаются из обработки, например, по причине нечитаемости соответствующей области устройства) также соответствует специальный код.

При удалении файла первый знак имени заменяется специальным кодом E5₁₆ и цепочка кластеров файла в таблице размещения обнуляется. Поскольку информация о размере файла (которая располагается в каталоге рядом с именем файла) при этом остаётся нетронутой, в случае, если кластеры файла не были перезаписаны новой информацией, возможно восстановление удалённого файла.

4.Хранение и удаление файлов в файловой системе NTFS

В процессе удаления файла с NTFS-раздела происходит следующее:

– корректируется файл /$MFT:$BITMAP, каждый бит которого определяет "занятость" соответствующей файловой записи (FILE Record) в MFT ("0" – запись не используется);

– корректируется файл /$BITMAP, каждый бит которого определяет "занятость" соответствующего кластера ("0" – кластер не используется);

– файловые записи, соответствующие файлу, помечаются как удаленные (поле FLAG, находящееся по смещению 16h от начала FILE Record, сбрасывается в ноль);

– ссылка на файл удаляется из двоичного дерева индексов (технические подробности этого животрепещущего процесса здесь опускаются, поскольку восстановить таблицу индексов вручную сможет только гуру, да и зачем? В NTFS индексы играют вспомогательную роль – проще переиндексировать директорию заново, чем восстанавливать сбалансированное B*tree дерево);

– обновляется атрибут $STANDART_INFORMATION каталога, хранившего удаляемый файл (время последнего доступа и т.д.);

– в /$LogFile обновляется Sequence Number (изменения, происходящие в журнале транзакций мы не рассматриваем);

– Update Sequence Number следующих файловых записей увеличивается на единицу – сам удаляемый файл, текущий каталог, /$MAF, /$MFT:$BITMAP, /$BITMAP, /$BOOT, /$TRACKING.LOG.

Каталоги удаляются практически точно так же, как и файлы (с точки зрения файловой системы каталог – тот же файл, только особый – с двоичным B*tree деревом индексов внутри).

Ни в том, ни в другом случае физического удаления файла не происходит и он может быть легко восстановлен до тех пор, пока не будет затерта принадлежащая ему FILE Record, хранящая резидентное тело файла или список отрезков (run-list) нерезидентного содержимого. Утрата FILE Record очень неприятна, поскольку в этом случае файл придется собирать по кусочкам руками и чем сильнее он фрагментирован, тем сложнее эта задача. В отличии от FAT, NTFS не затирает первого символа именем файла, чем значительно упрощает свое восстановление.

5.Восстановление удаленных файлов

Если запись в сектора, содержащие файлы не производилась, то данные физически остались на своих местах, но потерялись или исказились сведения об их расположении. Таким образом, требуется определить, где именно находятся сектора, содержащие нужную информацию, и считать их в правильной последовательности.

В случае, когда производилась запись на диск, например, форматирование с последующей установкой операционной системы, вероятность физического уничтожения нужной информации может быть достаточно велика. В подобных ситуациях возможность успешного восстановления данных зависит от везения и соотношения объёмов утраченной и записанной информации. Скажем, если Вы случайно удалили 1Гб бухгалтерских баз и после этого записали на этот же логический раздел 70Гб интересных фильмов, вероятность восстановления хоть чего-то близка к нулю.

Также стоит принять к сведению, что при потере данных из-за ошибок в файловой системе, запуск программ типа ScanDisk существенно уменьшает вероятность успешного восстановления. Основная задача этих утилит – приведение в порядок служебных структур файловой системы, что они и делают, не особо заботясь о судьбе пользовательских данных. При этом уничтожаются «следы», по которым можно было бы реконструировать структуру файловой системы до повреждения и спасти данные.

В общем случае, программа для восстановления данных сначала сканирует весь носитель. По результатам сканирования, на основе обнаруженных служебных записей, составляется карта расположения фрагментов восстанавливаемых файлов и строится дерево каталогов. В карте содержатся сведения о том, какой кластер к какому файлу относится, размеры, названия и другие атрибуты элементов сканируемой файловой системы – всё, что удалось узнать на основании остатков служебной информации. Если полученных в результате сканирования сведений не достаточно, то используются определённые методы экстраполяции. Затем файлы и папки, которые требуется восстановить, выбираются в соответствии с составленной картой и переносятся на другой носитель.

Чаще всего всё, что в принципе возможно восстановить с исправного носителя информации, достаётся при помощи специализированных программ. И лишь в меньшей части случаев, высококвалифицированный специалист, работая на более низком уровне, способен восстановить информацию в большем объёме.

Перед тем, как приступить к самостоятельному восстановлению данных, следует принять во внимание возможность физической неисправности устройства. Особенно это вероятно в случаях, когда данные пропали без видимых причин, или при попытке открытия файлов выдаётся сообщение об ошибке. И хотя нижеупомянутые программы сами по себе не совершают деструктивных действий (они вообще ничего не пишут на раздел, с которым работают), дальнейшая работа с неисправным накопителем без специального оборудования может привести к усугублению ситуации, вплоть до полной невозможности восстановления данных. Поэтому, в случае потери критически важной информации, рекомендуется сразу обратиться к специалистам.

6.Программы для восстановления удаленных файлов R.saver

Бесплатная программа для восстановления данных R.saver поможет спасти данные с FAT или NTFS. Она предназначена для пользователей, не знакомых с устройством файловых систем и принципами восстановления данных, поэтому интерфейс максимально упрощён. Настройки выполняются автоматически, для запуска сканирования достаточно нажать всего одну кнопку. Это делает программу менее удобной для профессионалов, но значительно упрощает её применение обычными пользователями. Интерфейс и инструкции на русском. Установка не требуется, достаточно скачать и распаковать. Условия лицензии допускают исключительно некоммерческое использование на территории бывшего СССР.

Настройка параметров сканирования производится автоматически. Программа выполняет:

– Восстановление удаленных файлов.

– Реконструкцию поврежденных файловых систем.

– Восстановление данных после форматирования.

– Восстановление файлов по сигнатурам.

R.saver также обеспечивает доступ к данным на исправных файловых системах следующих типов:

– Microsoft Windows: exFAT, FAT12, FAT16, FAT32, NTFS, NTFS5.

– Apple Mac OS: HFS, HFS+/HFSX.

– Linux: Ext2, Ext3, Ext4, ReiserFS, JFS и XFS.

– Unix, BSD, Sun Solaris: UFS и UFS2 (FFS), включая UFS с обратным порядком байтов, которая используется на Sparc/Power серверах.

– Novell Netware: NWFS.

– CD/DVD: ISO9660, UDF.

Системные требования

– Операционная система: Microsoft Windows 2000/ 2003/XP/ Vista/Windows 7.

– Intel-совместимая платформа.

– Как минимум, 256 MB оперативной памяти.

– Не менее 10 MB свободного пространства на жестком диске для установки.

– Наличие интернет-браузера.

Для установки достаточно распаковать содержимое архива в любую папку на разделе, отличном от того, с которого будет вестись восстановление.

6.1.Интерфейс

Окно выбора раздела

Появляется сразу после запуска программы.

Главное меню представляет собой панель, с помощью кнопок которой можно открыть образ накопителя или виртуальный диск, обновить список устройств и разделов, а также посмотреть руководство и краткую информацию о программе.

Список разделов содержит перечень носителей информации и обнаруженных на них логических разделов.

Устройства обозначены иконками в виде жестких дисков, разделы – круглыми иконками различных цветов:

Синий цвет означает, что предварительная проверка содержащейся на разделе файловой системы показала её удовлетворительное состояние.
Желтый — возможное повреждение файловой системы, связанное с форматированием раздела или тем, что раздел, возможно, является частью RAID-массива.
Красный — повреждения структур файловой системы и дерева директорий.
Серым цветом программа помечает разделы, на которых предварительное сканирование не обнаружило поддерживаемых R.saver файловых систем.

Подробную информацию о выбранном элементе списка можно увидеть на информационной панели в правой части окна.

Информационная панель отображает детальные сведения об устройстве или логическом разделе, выбранном в списке слева.

Тулбар информационной панели содержит иконки для запуска функций, применимых к объекту, выбранному в списке разделов. В зависимости от его типа, возможны следующие наборы кнопок:

Этот компьютер. Вызываются те же функции, что и при нажатии аналогичных кнопок главного меню.
- «Открыть»
- «Обновить»
Накопитель.
- «Задать раздел» Если известны параметры потерянных разделов, то вы можете задать их вручную, воспользовавшись этой функцией.
- «Найти раздел» Эта кнопка запускает сканирование, которое позволяет найти потерянные разделы, а также определить тип файловой системы, если программе не удалось сделать это при запуске.
Раздел.
- «Просмотреть» или «В обозреватель» Открывает окно файлового менеджера.
- «Сканировать» Запускает процесс восстановления данных на выбранном разделе.
- «Тестировать» Доступно только для разделов, на которых найдены файловые системы. Функция позволяет проверить корректность метаданных файлов и папок.

Контекстное меню списка разделов вызывается щелчком правой кнопки мыши по элементу списка. Оно дублирует элементы тулбара информационной панели, а также содержит дополнительные, редко используемые функции. В том числе: «Закрыть диск», «Восстановить после форматирования», «Загрузить результат сканирования» и «Удалить раздел».

Окно файлового менеджера

Используется для навигации по содержимому разделов, запуска и анализа результатов сканирования, а также для сохранения найденных файлов и папок.

Левая панель отображает содержимое текущего раздела в виде дерева папок. После выполнения сканирования здесь можно увидеть его результаты в виде появившейся виртуальной корневой папки.

Правая панель выводит содержимое выбранной папки.

Тулбар файлового менеджера, в зависимости от того, выполнено ли уже сканирование текущего раздела, или ещё нет, может содержать следующие функции:

Если сканирование ещё не выполнялось.
- «Разделы» Нажатие этой кнопки вернёт в окно выбора разделов.
- «Сканировать» Запускает процесс сканирования текущего раздела.
- «Загрузить результат сканирования» Загружает сохранённый результат ранее выполненного сканирования.
- «Массовое выделение» Включает режим для удобного выделения большого количества файлов и папок.
- «Сохранить выделенное» Сохраняет выделенные файлы и папки в указанное место.
Если сканирование уже выполнялось.
- «Разделы» Нажатие этой кнопки вернёт в окно выбора разделов.
- «Сканировать» Повторно запускает процесс сканирования.
- «Сохранить сканирование» Сохранение результатов сканирования.
- «Массовое выделение» Включает режим для удобного выделения большого количества файлов и папок.
- «Сохранить выделенное» Сохранение файлов и папок в указанное место.

Адресная строка показывает текущее местоположение и упрощает навигацию. Для того чтобы подняться вверх по дереву директорий достаточно щёлкнуть мышкой на названии соответствующей папки. Если щёлкнуть по пустому пространству за последним элементом строки, то она преобразуется в текстовый вид, который можно редактировать.

Поисковая строка. Для поиска файла в текущей папке и её подпапках просто введите его имя в строку и нажмите “Ввод”. Допускается использование символа “*”. Например, для поиска файлов с расширением jpg, следует ввести в строку “*.jpg”.

Расширенную форму поиска можно вызвать через “Ctrl+F”.

6.2.Восстановление данных

Если нужные разделы отсутствуют в списке, ищем их.
Сканирование выбранного логического раздела.
Просмотр результатов и сохранение нужных файлов.

l. Поиск разделов

Используйте эту функцию, когда раздел, с которого требуется восстановить данные, не был автоматически найден и отображен в списке под устройством, на котором расположен. Если нужный раздел определён корректно, переходите сразу к сканированию.

Поддерживается поиск разделов с NTFS, FAT и exFAT. Выберите в списке накопитель и нажмите кнопку «Найти раздел» на тулбаре информационной панели. Перед вами появится окно, из которого можно запустить процесс поиска или загрузить сохранённые ранее результаты.

После завершения сканирования будет выведен список предполагаемых разделов.

Пометьте галочками те из позиций списка, которые находятся в наилучшем состоянии и по параметрам похожи на разделы, содержащие искомую информацию. Нажмите кнопку «Использовать выделенные».

Если найденный и добавленный в список раздел обозначен иконкой синего цвета, то, возможно, удастся восстановить с него данные без запуска сканирования. Так бывает в тех случаях, когда повреждения затронули только таблицу разделов. Для проверки этого предположения, воспользуйтесь тестом, запускаемым с тулбара информационной панели. Если он не выявит ошибок, нажмите кнопку «Просмотреть» и переходите к выбору и сохранению файлов.

Если же иконка найденного раздела не синяя, либо проверка обнаружила ошибки, а также при отсутствии искомых данных среди содержимого раздела, запускайте сканирование.

ll. Сканирование

Запуск можно осуществить, нажав кнопку «Сканировать» тулбара файлового менеджера, или информационной панели окна выбора раздела. Появившийся прогресс-бар отразит ход процесса.

В некоторых случаях перед поиском данных запускается поиск файловых систем. Например, если предварительное сканирование не обнаружило поддерживаемых R.saver файловых систем (иконка раздела серого цвета).

При восстановлении данных после форматирования со сменой типа файловой системы, поиск файловых систем требуется запустить принудительно. Для этого воспользуйтесь функцией «Восстановить после форматирования», вызвав её из контекстного меню списка разделов.

По завершении поиска, откроется окно со списком найденных файловых систем. В общем случае, достаточно выбрать в нём файловую систему нужного вам типа с минимальным положительным смещением.

При восстановлении после форматирования со сменой типа файловой системы – выбирайте строку с тем типом, что был раньше. Если вы меняли количество и расположение разделов, то в процессе выбора руководствуйтесь своими знаниями об их размерах и расположении до внесения изменений.

После выбора раздела начнётся его сканирование.

Если поиск файловых систем не требуется, R.saver приступит к сканированию сразу.

На NTFS программа предложит выбрать между полным и быстрым сканированиями. Быстрое сканирование используется исключительно для восстановления удалённых файлов и выполняется быстрее полного. Если сомневаетесь в решении – выберите полное, нажмите «Да».

После завершения процесса в корне дерева директорий кроме папки вида «Файловая система NTFS (или FAT, exFAT)» появится папка с именем в виде даты и времени произведенного сканирования (например, 20120120_204115). Эта папка содержит результаты реконструкции. Элементы, родительские папки которых определить не удалось, помещены в директорию [Parent Unknown]. В папке [IntelliRAW] находятся результаты восстановления по сигнатурам, отсортированные по форматам данных.

Удаленные файлы помечаются пиктограммой желтого цвета с красным крестом в левом нижнем углу.

lll. Изучение результата и сохранение найденных файлов

Для упрощения этого процесса, в программе предусмотрена функция предпросмотра. Она даёт возможность прямо из результатов реконструкции открывать отдельные файлы двойным щелчком по их именам.

Внимание! При использовании предпросмотра программа запросит у вас путь к папке, которая будет использоваться для записи временных файлов. Она должна находиться на разделе, отличном от того, с которого восстанавливаются данные.

После того, как определитесь с тем, какие файлы и папки вам нужны, выделите их в списке (можно также использовать функцию «Массового выделения») и нажмите на тулбаре кнопку «Сохранить выделенное». Место для сохранения восстанавливаемых данных должно находиться на разделе, отличном от того, с которого ведётся восстановление.

7.Задание на практическую работу

Восстановить удаленные файлы с дисков

№	Файловая система	Имя файла
1	FAT32	Вариант 01.jpg
2	FAT32	Вариант 02.bmp
3	FAT32	Вариант 03.jpg
4	FAT32	Вариант 04.gif
5	FAT32	Вариант 05.jpg
6	FAT32	Вариант 06.tif
7	FAT32	Вариант 07.jpg
8	FAT32	Вариант 08.jpeg
9	FAT32	Вариант 09.jpg
10	FAT32	Вариант 10.png
11	FAT32	Вариант 11.jpg
12	FAT32	Вариант 12.ppt
13	FAT32	Вариант 13.jpg
14	FAT32	Вариант 14.zip
15	FAT32	Вариант 15.jpg
16	NTFS	Вариант 16.7z
17	NTFS	Вариант 17.jpg
18	NTFS	Вариант 18.odt
19	NTFS	Вариант 19.jpg
20	NTFS	Вариант 20.doc
21	NTFS	Вариант 21.jpg
22	NTFS	Вариант 22.odp
23	NTFS	Вариант 23.jpg
24	NTFS	Вариант 24.iso
25	NTFS	Вариант 25.jpg
26	NTFS	Вариант 26.jpg
27	NTFS	Вариант 27.jpg
28	NTFS	Вариант 28.pdf
29	NTFS	Вариант 29.jpg
30	NTFS	Вариант 30.jpg

8.Порядок выполнения работы

1. Подключить виртуальный диск, полученный у преподавателя, к виртуальной машине.

2. Запустить виртуальную машину и загрузить программу восстановления удаленных файлов R.saver.

3. С помощью программы R.saver восстановить удаленный файл в соответствии с индивидуальным заданием.

4. Заполнить диск файлами полностью и попробовать с помощью программы R.saver восстановить удаленный файл еще раз.

5. Удалить два произвольных файла с диска – первый с помощью клавиши F8, а второй с помощью комбинации клавиш Alt+Del. Попробовать восстановить удаленные файлы с помощью программы R.saver.

6. Оформить отчет.

9.Содержание отчета

Отчет по практической работе должен содержать:

1. Титульный лист.

2. Задание на практическую работу.

3. Ход выполнения работы.

4. Содержимое восстановленного файла.

5. Выводы по пунктам 4-6 порядка выполнения работы.

10.Контрольные вопросы

1. На какие области разделено пространство тома FAT32?

2. Какое значение соответствует последнему кластеру файла для FAT16?

3. Что происходит при удалении файла с диска с файловой системой FAT?

4. Что происходит при удалении файла с диска с файловой системой NTFS?

5. За счет чего упрощается восстановление файлов на дисках с файловой системой NTFS по сравнению с файловой системой FAT?

6. При каких услових возможно восстановление удаленных файлов при использовании файловых систем FAT и NTFS?

7. Какими возможностями обладает программа для восстановления данных R.saver?

8. С какими файловыми системами может работать программа для восстановления данных R.saver?

9. Из каких этапов состоит процесс восстановления данных?

10. Где рекомендуется сохранять восстановленные данные?

Список литературы

1. Файловая система FAT – http://ru.wikipedia.org/wiki/FAT

2. Восстановление NTFS: undelete своими руками – http://www.insidepro.com/kk/032/032r.shtml

3. R.saver. Бесплатная программа для восстановления данных – http://rlab.ru/tools/rsaver.html