قبل البدء في التشخيص ، تتمثل الخطوة الأولى في تقييم حالة محرك الأقراص. نظرًا لأن هذا هو Seagate ، نحتاج إلى رؤية سجل المحطة من لحظة تطبيق الطاقة ، SMART وتقييم القدرة على قراءة الرؤوس في مناطق ذات كثافات مختلفة. كقاعدة عامة ، سيكشف مثل هذا الاختبار القصير عن العديد من العيوب.
نحن نتواصل ونزود الطاقة. في المحطة الطرفية ، يبلغ محرك الأقراص باختصار أن إجراء البدء كان ناجحًا ، وبواسطة تسجيلات DRD و DSC ، فإنه يوضح استعداده لقبول الأوامر.

الشكل: 2 سجل بدء المحطة الطرفية لـ Seagate ST4000DM000 HDD
بعد ذلك ، تحتاج إلى التحقق من قراءات SMART ( ما هو SMART وما الذي تبحث عنه والذي وصفته بالفعل في ملاحظتي).

الشكل: 3 قراءات SMART
أول شيء ننظر إليه هو وقت التشغيل (السمة 0x09) ، لأنه إذا اتضح أنه قريب من الصفر ، فليس من المنطقي الانتباه إلى قراءات SMART ، حيث سيكون هناك احتمال كبير أن تكون الإحصائيات شخصًا إعادة التعيين بواسطة الأوامر التكنولوجية ، ولا تظهر القراءات الحالية جميع الأحداث المسجلة أثناء تشغيل محرك الأقراص. في حالتنا ، وقت التشغيل هو 3696 ساعة ، مما يشير إلى أنه على الأرجح لم يكن هناك تداخل في قراءات SMART .
بعد ذلك ، انتبه إلى قراءات السمات 0x05 ، 0xC5 (197) ، 0xC6 (196) في عمود RAW. تشير القيم الصفرية إلى أنه أثناء تشغيل محرك الأقراص ، لم يتم تسجيل أي مشاكل خطيرة في القراءة من السطح ولم يتم إجراء أي إعادة خرائط.
قراءة السمة 0xC7 (199) تلمح إلى المشاكل المحتملة في نقل البيانات في أوضاع السرعة العالية. مع الأخذ في الاعتبار حقيقة أن عدد الأخطاء صغير ، في الوقت الحالي لن نتوصل إلى استنتاجات مبكرة.
نظرًا لأن هذا ليس مسجل تجانب (SMR)، إذن من السهل تقييم القدرة على قراءة جميع الرؤوس في مناطق ذات كثافة مختلفة. للقيام بذلك ، يكفي معرفة عدد الرؤوس والحجم التقريبي للنطاقات الصغيرة وترتيب التناوب في بناء المساحة المنطقية لمحرك الأقراص. سوف نستخدم Data Extractor للتوضيح. دعونا نبني خريطة للمساحات الصغيرة.

الشكل: 4 خريطة للمساحات الصغيرة في الفضاء المنطقي Seagate ST4000DM000
توضح القائمة ترتيب استخدام المساحات الصغيرة لبناء مساحة منطقية:
0 ، 1 ، 2 ، 3 ، 4 ، 5 ، 6 ، 7 ، 7 ، 6 ، 5 ، 4 ، 3 ، 2 ، 1 ، 0 ثم التكرار الدوري. استنادًا إلى حجم منطقة صغيرة واحدة لمحرك أقراص معين ، من الواضح أنه يكفي قراءة عدة أقسام من المساحة المنطقية (عادةً بداية النطاق المنطقي ووسطه ونهايته) بطول يقارب 500000 قطاع للتأكد من أن محرك الأقراص لا يتجمد وأن سرعة المسح لا تنخفض بشكل كبير. أحد الأسطح.
كانت القراءة من السطح الذي تم استخدامه ، وليس التحقق ، من أجل التحقق في نفس الوقت مما إذا كانت الأخطاء ستحدث أثناء نقل البيانات. في هذه الحالة ، لم يتم العثور على أخطاء في القراءة. تتيح لك هذه المجموعة من الإجراءات اعتبار محرك الأقراص سليمًا بشكل مشروط والبدء في تحليل هياكل أنظمة الملفات.
في البداية ، سنقوم بتقييم ما إذا كانت هناك أي أقسام موجودة حاليًا على القرص وأنظمة الملفات المستخدمة هناك.
أود أن ألفت انتباهك إلى حقيقة أنه على الأقراص التي يزيد عدد القطاعات فيها عن 4294.967.296 قطاعًا ، يجب عليك استخدام GPTلاستخدام السعة الكاملة ، نظرًا لأن جدول الأقسام الكلاسيكي يستخدم قيم 32 بت غير واسعة بما يكفي. في حالتنا ، ST4000DM000 هو محرك 4 تيرابايت ، حيث يتكون النطاق المنطقي من 7،814،037،168 قطاع 512 بايت.
لنبدأ بالنظر إلى المحتوى في LBA 0.

الشكل: 5 جدول تقسيم يصف وجود GPT .
هنا نجد جدول تقسيم كلاسيكي ، مع وصف لمجلد واحد. عند الإزاحة 0x1C2 ، يُشار إلى نوع القسم 0xEE بإزاحة قطاع 0x00000001 من بداية القرص وحجمه 0x3A3817D5.
الغرض من هذا الإدخال هو الإشارة إلى أن جميع محتويات القرص المتوفرة لجدول الأقسام الكلاسيكي مشغولة بحيث لا يمكن لأدوات القرص القديمة المختلفة التي ليس لديها فكرة عن GPT إنشاء القسم. ولكن في حالة الأقراص التي يكون فيها عدد القطاعات أكبر من 4294.967296 ، يجب أن تكون المنطقة المحمية 0xFFFFFFF ، وليس 0x3A3817D5.
برجاء ملاحظة أن القيمة 0x3A3817D5 (976754 645) أقل بنحو 8 مرات من 7814 037168 - إجمالي عدد القطاعات على القرص. يسمح لنا هذا بافتراض أنه تم استخدام القرص على الأرجح كجهاز بحجم قطاع يبلغ 4096 بايت ، وليس 512 بايت. دعنا نتحقق من الافتراض ونحاول البحث عن التعبير العادي 0x45 0x46 0x49 0x20 0x50 0x41 0x52 0x54 (EFI PART). إذا كان في القطاع 1 ، فإن الافتراض غير صحيح ، وإذا كان في القطاع 8 ، فسيتم تأكيد الافتراض.

الشكل: 6 رأس GPT دعنا
نتحقق أيضًا مما إذا كانت أي وحدات تخزين موصوفة في GPT هذا ، والتي ننتقل من أجلها إلى القطاع 16

الشكل: 7 أقسام موصوفة في GPT
تم العثور على إدخالين هنا.
السجل الأول هو حجم قطاع 76،800 (614،400) باستخدام نظام الملفات FAT32. هذا الحجم محجوز لاحتياجات EFI.
السجل الثاني هو حجم 976644858 (7813158864) قطاعات باستخدام نظام الملفات HFS +.
نظرًا لتأكيد الإصدار الذي يحتوي على حقيقة أن القرص قد تم استخدامه كجهاز بحجم قطاع يبلغ 4096 بايت ، ستكون الخطوة التالية هي مواصلة التحليل باستخدام Data Extractor.
بعد إنشاء المهمة ، قم بتغيير معلمة حجم القطاع من 512 إلى 4096 واحصل على الصورة التالية.

الشكل: 8 معلمات HFS +
نرى مجلدين على القرص مع أنظمة الملفات الصحيحة. المجلد الأول ، بناءً على الدور والحجم ، لا يهمنا. لكن المجلد الثاني مهم بالفعل.
من الطوابع الزمنية ، يمكننا أن نستنتج أن هذا المجلد تم إنشاؤه في 19 أكتوبر 2020 ، وهو تاريخ قريب نسبيًا من وقت وصول القرص إلينا.
يُظهر مسح CatalogFile + Journal (HFS + الهياكل) أن القرص فارغ بنسبة 99.9٪ ولا توجد علامات على بيانات المستخدم الموصوفة بواسطة نظام الملفات هذا.
من الضروري الآن التحقق من الافتراض بأنه ربما توجد على هذا القرص وحدات تخزين وأنظمة ملفات أخرى ، وليس فقط تلك التي يتم تقديمها الآن. للقيام بذلك ، سنستخدم أداة البحث للعديد من التعبيرات العادية الخاصة بتراكيب مختلفة من أنظمة الملفات والملفات.

الشكل: 9 نتيجة بحث التعبير العادي.
يوضح تحليل مساحة تبلغ حوالي 2 جيجا بايت ، والتي تستغرق أقل من دقيقتين ، أنه بالإضافة إلى FAT32 و HFS + الحاليين ، هناك علامات على وجود وحدة تخزين بنظام الملفات ExFAT. أول شيء نهتم به هو عرض مجلد ExFAT Root Directory.

الشكل: 10 دليل جذر ExFAT
تسمية وحدة التخزين "تجاوز" ملفتة للنظر. الشيء الغريب هو أن محركات الأقراص الخارجية من هذا المصنع منتشرة على نطاق واسع في عامل الشكل 2.5 بوصة ، وليس 3.5. ومن غير المرجح أن يكون المستخدم نفسه قد قرر وضع تسمية وحدة تخزين مماثلة.
دعنا نكتب أسماء الدلائل الموضحة في الدليل الجذر ونطرح أسئلة على العميل حول ما إذا كانت هي المعلومات المطلوبة.
لذلك ، بعد مرور أكثر من 10 دقائق بقليل ، ننتقل لمواصلة المحادثة مع العميل ، والتي تبين خلالها أنه ليس مالك المعلومات ولا يمكنه إلقاء الضوء على البيانات الموجودة على القرص ، وأنه يحتاج إلى إجراء مكالمة مع المدير لتوضيح المهمة ...
في سياق الحوار ، يمكن افتراض أن العميل هو ساعي مؤسسة وسيطة في سوق خدمات استعادة البيانات. مزيد من المفاوضات تؤكد هذا الإصدار ، لأنه بعد أن يعلن العميل عن المعلومات ، يتبع مديره توقفًا مؤقتًا. يبدو أن المدير أيضًا ليس على دراية بما يجب أن يكون على القرص بالضبط. ولكن بعد حوالي 15 دقيقة ، يتلقى العميل مكالمة تخبره أن هذه هي بالضبط البيانات التي يجب استخراجها ، وأن حجمها يجب أن يكون حوالي 2 تيرابايت. ونعلم أيضًا أنه قد تم تزويدنا بالتحليل بنسخة قطاعية من الوسائط الأصلية المصنوعة باستخدام WinHex.
أخيرًا ، تصبح المهمة واضحة وأننا نسير على الطريق الصحيح. يمكنك أخذ محرك الأقراص مرة أخرى من العميل والمتابعة لمواصلة أنشطة التشخيص. بالطبع ، إذا كانت لدينا كل هذه المعلومات منذ البداية ، فسيكون إجراء التشخيص السريع أقصر بكثير.
لإعادة بناء ExFAT ، نحتاج إلى معرفة حجم الكتلة لنظام الملفات هذا ، وتحديد موضع الكتلة الصفرية (نقطة مرجعية). بعد ذلك ، ابحث عن بقايا جدول تخصيص الملفات والصورة النقطية للمساحة المشغولة (صورة نقطية).
يجب قول كلمة منفصلة غير مبهجة عن مطوري ExFAT. من أجل أداء نظام الملفات ، تقرر أن يحتوي الجدول فقط على معلومات حول السلاسل المجزأة. لا تظهر البيانات المضمنة في الجدول بأي شكل من الأشكال. لا يؤدي إنشاء نظام الملفات هذا على قرص غير فارغ إلى مسح جدول موقع الملف وقد يحتوي على بيانات غير صحيحة. لسوء الحظ ، لا تؤثر هذه الأيديولوجية بأفضل طريقة على تعقيد استعادة البيانات.
عند تحليل أول 2 غيغابايت ، تم العثور على أجزاء من أدلة ExFAT. بعد تقدير حجم هذه الهياكل والتعبئة الإضافية بالأصفار قبل بداية البيانات الأخرى ، من السهل تحديد حجم الكتلة. بعد تصفح عدة أدلة ، نرى فترات واضحة من 256 (2048) قطاعًا. هذا يسمح لنا بافتراض أن حجم الكتلة كان 1،048،576 (0x100000) بايت أو 1 ميغا بايت.
لتحديد نقطة البداية ، دعونا نلقي نظرة على مواقع الأدلة القريبة. بالرجوع إلى الشكل 10. على وجه الخصوص ، نحن مهتمون بدليل $ RECYCLE.BIN ، نظرًا لأنه يقع في البداية تقريبًا. يُشار إلى رقم المجموعة الخاص بها عند الإزاحة 0x94 وهي كلمة مزدوجة (DW) ، حيث يتم كتابة القيمة 0x00000005 ، أي أن الدليل موجود في المجموعة 5. أيضًا ، انتبه إلى الدليل " .photoslibrary" ، والذي وفقًا للقيمة المحددة في الإزاحة 0xF4 ، تقع في المجموعة 7. هذه الدلائل جيدة لأن هناك احتمال كبير أن مجموعة يمكن التنبؤ بها من الدلائل أو الملفات المتوقعة هناك.
بعيدًا عن الدليل الجذر بخطوة 0x100000 بايت أو 256 (2048) قطاعًا ، قم بالتمرير للأمام في مساحة العنوان.

الشكل: 11 دليل ExFAT ، ربما $ RECYCLE.BIN
المحتوى مشابه لمجلد المهملات الفارغ ، حيث لا يتم وصف أي شيء باستثناء ملف "desktop.ini". يشير موقع الملف عند الإزاحة 0x34 إلى الكتلة 6 والحجم 0x81 (129) بايت. دعنا ننتقل 1 أكثر إلى الأمام

الشكل: 12 محتويات ملف desktop.ini
المحتوى مشابه جدًا لما يظهر عادةً في ملفات "desktop.ini" ويبلغ حجمه 0x81 (129) بايت. هناك سبب للاعتقاد بأنه في الشكل 11 ، المجلد $ RECYCLE.BIN ، وفي الشكل 11. 12 ملف موصوف فيه. إذا كان الافتراض صحيحًا ، فيجب أن نرى دليلًا في المجموعة التالية ، ومن المحتمل أن تبدو محتوياته كمجلد مكتبة صور نموذجي لنظام التشغيل MacOS على Apple Macintosh.

الشكل: 13 دليل ExFAT ، ربما Xxxxxxxxxxxxxxx.photoslibrary
كما ترى ، تبين أن الافتراض صحيح ، ورأينا أسماء الأدلة المتوقعة. يمكن اعتبار عدد المطابقات في هذه المنطقة كافياً وحساب نقطة الصفر وموضع الدليل الجذر للحجم الموجود من قبل.
الدليل الجذر موجود في الكتلة 4. لأنه يسبق الدليل $ RECYCLE.BIN الذي رقم نظامه هو 5.
يجب أن تكون نقطة الصفر بالنسبة إلى $ RECYCLE.BIN على مسافة سالب 5 مجموعات. المركز $ RECYCLE.BIN 37888 (303104) قطاع. 5 مجموعات هي 1280 (10240) قطاعًا. من خلال إجراء طرح بسيط ، نحصل على الموضع المطلوب: 37888 (303104) - 1،280 (10240) = 36608 (292864) أو الإزاحة من بداية المساحة المنطقية بالبايت هي 292،864 * 512 = 149،946،368 (0x8F00000).
علاوة على ذلك ، من خلال نقطة البداية المرجعية وحجم الكتلة وموضع الدليل الجذر ، سنحاول تأكيد صحة افتراضنا بعدد أكبر من الشيكات.
باستخدام أدوات Data Extractor ، ليس من السهل القيام بذلك لقسم ExFAT ، لذلك نقوم بتركيب القرص في نظام التشغيل (مع تعطيل الكتابة).

الشكل: 14 قائمة لتركيب الأقراص في نظام التشغيل في الأداة المساعدة PC3000 Win 7 Disk نحن
نستخدم مستكشف الصور المجاني من مركز البرامج ، حيث يمكننا من خلال فتح القرص كتابة معلمات نظام الملفات الافتراضي بسرعة وتقييم صحة الافتراضات.

تين. 15 شجرة دليل ExFAT الموسعة
كما ترى في لقطة الشاشة ، توجد الدلائل والملفات في أماكنها ، مما يسمح لنا باستنتاج أن معلمات نظام الملفات محددة بشكل صحيح.
في هذه المرحلة ، يمكن إيقاف أنشطة التشخيص ومن ثم يمكن الاتفاق مع العميل على قائمة الأعمال التالية:
1. ابحث عن التعبيرات العادية داخل المساحة المنطقية بأكملها لتحديد الموقع المحتمل لأنواع مختلفة من البيانات.
2. إعادة بناء قسم واحد على الأقل من ExFAT.
3. تحليل التقاطعات بالبيانات المكتوبة الجديدة.
4.بناء خريطة معكوسة فيما يتعلق بالبيانات الموجودة على نظام الملفات المعاد بناؤه ضمن التقاطع مع الصورة النقطية والبحث عن بيانات المستخدم في هذه المناطق ، متبوعًا بفرز الموجود.
في حالة الشركات الوسيطة ، كالعادة ، تبدأ المكالمة ، وفقط بعد موافقة المالك النهائي (الذي بالكاد يشتبه في استعادة بياناته في مختبرنا) هو الموافقة الممنوحة لتنفيذ العمل.
لا يزال أي عمل ، حتى مع الأقراص القابلة للخدمة ، يبدأ بإنشاء نسخة قطاعية إلى محرك أقراص آخر. يعد هذا الإجراء ضروريًا حتى يظل محرك العميل دون تغيير ولا تؤدي أي مبادرات نظام تشغيل إلى تلف البيانات غير القابل للإلغاء. بالنسبة لقرص 4 تيرابايت ، سيستغرق النسخ عبر منافذ PC3000Express حوالي 10-12 ساعة.
بعد إنشاء نسخة ، نبدأ في البحث عن العديد من التعبيرات العادية من أجل الحصول على فكرة عن توزيع البيانات في مساحة منطقية ، وكذلك لمعرفة ما إذا كانت هناك علامات على أقسام وأنظمة ملفات أخرى على هذا القرص.

الشكل: 16 نتائج البحث عن التعبير العادي داخل محرك الأقراص بالكامل
تظهر نتائج الفحص أن بيانات المستخدم الموجودة على القرص هي بالتأكيد أقل بكثير من 2 تيرابايت التي أعلنها العميل. يقع آخر regex في القطاع 539877376 وحتى نهاية القرص لم يتم العثور على أي شيء يشبه بيانات المستخدم ، باستثناء علامة النهاية لـ HFS + الذي تم إنشاؤه حديثًا ، على الرغم من أن القرص ليس كل الأصفار حتى النهاية. من المحتمل أن يكون محرك الأقراص يحتوي على وحدة تخزين مشفرة قبل إنشاء قسم ExFAT على القرص. لا شيء آخر يفسر وجود البيانات "الصاخبة" فقط.
في مثل هذه الحالة ، من المهم مطابقة نتيجة بحث regex مع صورة نقطية.

الشكل: 17 جزء من قطاع الدليل الجذر ExFAT
عند الإزاحة 0x34 ، يشار إلى رقم المجموعة 2 - هذا هو موضع الصورة النقطية في قسم ExFAT. يشير الإزاحة 0x38 إلى حجم البنية 0x0746F1 (476،913 بايت أو 3،815،304 بت). عند تحليل هذا الهيكل ، وجد أن البتات المرتفعة في البطاقة مخصصة لأول 270 جيجابايت فقط ، وبعد ذلك ، وفقًا للبطاقة ، القسم فارغ. أي أن الصورة النقطية تطابق نتائج بحث التعبير العادي ، ولكن كلاهما يتعارض مع كلمات العميل.
بالطبع ، إذا تم العثور على مثل هذا التناقض الخطير ، يتم تعليق العمل وعليك الاتصال بالعميل الوسيط مرة أخرى ومحاولة الحصول على إجابات للأسئلة:
1. هل قاموا بالفعل بإنشاء نسخة كاملة قطاعية قدموها لنا للتحليل؟
2.هل المالك متأكد من أن هذا القرص يحتوي على 2 تيرابايت من البيانات؟
3. وإذا كنت متأكدًا ، فهل توافق على مواصلة العمل على استعادة البيانات مع العلم أنه لا يمكن استلام البيانات التي تزيد عن 270 جيجابايت على هذا القرص؟
حصلنا على إجابة السؤال الأول من خلال الوصول عن بعد إلى القرص الأصلي. وفي محرر القرص ، بعد التمرير عبره بخطوة كبيرة ، قارنوه بالنسخة التي لدينا. اتضح أن النسخة كانت كاملة.
كانت الإجابة على السؤال الثاني هي أن صاحب المعلومات اعتقد أنه رأى على وجه اليقين أن القرص كان مليئًا بسعة 2 تيرابايت ، لكنه لم يعد متأكدًا من ذلك.
ولكن مع ثقة العميل الكاملة بوجود المزيد من البيانات ، لا يزال يتم منح الموافقة على مواصلة العمل.
قبل إعادة بناء نظام الملفات ، يُنصح بالحصول على فكرة عن عدد الأدلة المجزأة الموجودة. للقيام بذلك ، خذ نتائج تحليل تقريبي واعرض حجم الأدلة التي تم العثور عليها. إذا كانت هناك أدلة بحجم السجلات مساوٍ لحجم الكتلة ، فمن المرجح أن يحدث التجزئة ، إذا كان حجم السجلات أقل من حجم الكتلة ، فيمكننا أن نفترض أن المهمة مبسطة بشكل ملحوظ ولا يلزم الربط اليدوي لأجزاء الدليل.

الشكل: 18 قائمة بأدلة ExFAT التي تم العثور عليها
في هذه الحالة ، لم يتم العثور على تعقيدات إضافية ، كان الحد الأقصى لحجم الإدخالات في الدليل 629،984 بايت ، وهو أقل بشكل ملحوظ من حجم الكتلة.
من الضروري أيضًا تحديد جميع المناطق التي تشغلها هياكل الملفات المنشأة حديثًا. للقيام بذلك ، سنقوم بإنشاء خرائط لمواقع جميع الهياكل والملفات على أقسام FAT32 و HFS +.

الشكل: 19 خريطة الهياكل والبيانات الموجودة على وحدة تخزين HFS + ،
دعنا نملأ هذه الأماكن على النسخة بنمط يسهل تمييزه عن أي بيانات مستخدم ، وأيضًا في مهمة النسخ لهذه المناطق سنقوم بتغيير وسيلة الإيضاح من القراءة الناجحة إلى القراءة مع وجود أخطاء. سيكون هذا ضروريًا لمزيد من الكشف عن الملفات التالفة بسبب عمليات الكتابة فوقها.
لمزيد من الاستخدام المريح للأدوات التحليلية Data Extractor ، من الضروري وصف القسم في جدول الأقسام وإنشاء قطاع تمهيد لقسم ExFAT.

الشكل: 20 جدول الأقسام مع وحدة تخزين ExFAT مسجلة
عند الإزاحة 0x1D2 ، أدخل نوع وحدة التخزين 0x07. يستخدم هذا النوع لكل من NTFS و ExFAT.
عند الإزاحة 0x1D6 ، يشير المؤشر إلى بداية وحدة تخزين ExFAT. فليكن 32 قطاعًا (0x20).
عند الإزاحة 0x1DA ، اكتب الحد الأقصى المسموح به لحجم وحدة التخزين لجدول الأقسام الكلاسيكي (على الرغم من أن هذه القيمة أقل من حجم وحدة التخزين الفعلي ، إلا أنها مقبولة في هذه الحالة ، نظرًا لأننا لا نخطط لتركيب هذا الحجم التالف في أي نظام تشغيل ، ونحن بحاجة إلى قيمة غير صفرية فقط من أجل التشغيل العادي لأدوات استخراج البيانات).

الشكل: 21 قطاع إقلاع ExFAT
نظرًا لأن Data Extractor حساس جدًا لمحتويات قطاع التمهيد ExFAT ، فإن ملء الحقول المهمة فقط غالبًا ما يكون غير كاف (وهو أمر غير منطقي جدًا) ، ومن السهل جدًا عرض القسم في المستكشف الداخلي ، كما كان الحال في التشخيصات في Image Explorer ، وليس اكتشف - حل. لذلك ، في حالة قطاع التمهيد ExFAT ، من الأفضل أخذ قالب قياسي وإدخال القيم الصحيحة فيه.
من أجل راحتنا ، سنكتب قطاع التمهيد بالشكل الذي سيكون عليه إذا تم استخدام محرك الأقراص كجهاز بقطاع 512 بايت. سيوفر لنا هذا التشغيل الصحيح لجميع أدوات المجمع دون إعادة بناء الخريطة غير الضرورية.
املأ الحقول:
بايت لكل كتلة- عدد البايتات في القطاع. يحدد ExFAT القوة التي يجب رفع 2 إليها للحصول على الحجم.
كتلة لكل كتلة - عدد القطاعات في الكتلة. يشير أيضًا إلى الدرجة التي تحتاج إلى رفعها 2 للحصول على الكمية.
إجمالي الكتل عدد الكتل المتاحة على وحدة التخزين. ندخل القيمة 3815 304. يتم الحصول عليها بضرب حجم الصورة النقطية في 8.
إجمالي الكتل - عدد القطاعات. يتم الحصول على القيمة بضرب إجمالي المجموعات في حجم الكتلة (والذي يتم الحصول عليه بدوره بضرب البايت لكل كتلة في كتل لكل مجموعة)
تعويض FAT- الإزاحة من قطاع التمهيد إلى جدول تخصيص الملفات. لنقم بإنشاء هيكل فارغ ووضعه من القطاع 64. أضف عنوانًا قياسيًا إليه.
Block Per FAT - عدد القطاعات التي يشغلها جدول FAT. من السهل حساب حجمها بناءً على عدد المجموعات. Block Per FAT = إجمالي المجموعات / (بايت لكل كتلة / 4) مع تقريب إضافي إلى أقرب عدد صحيح. 3815304 / (512/4) = 29807 ، 0625 = 29 808.
(بغض النظر عن مدى صعوبة محاولة بعض المصادر استدعاء ExFAT نظام ملفات 64 بت ، يكون جدول تخصيص الملفات 32 بت ، ولكن على عكس FAT32 ، من أجل يتم استخدام 32 بت للعنونة ، وليس 28.)
عدد FATs - عدد نسخ الجدول. لسوء الحظ ، عند إنشاء الأقسام ، يكون عادةً 1.
إزاحة كومة الكتلة- يشير إلى إزاحة الصورة النقطية في القطاعات.
Root Dir Cluster - رقم الكتلة للدليل الجذر.
بعد أن يصبح القسم متاحًا في مستكشف مستخرج البيانات ، سنقوم ببناء خريطة للمساحة المشغولة باستخدام صورة نقطية.

الشكل: 22 خريطة للمساحة المشغولة بواسطة هياكل ExFAT وبيانات المستخدم وفقًا للصورة النقطية.
سنقوم أيضًا ببناء خريطة موقع الملف بناءً على سجلات الملفات الموجودة ، وفرزها حسب الترتيب الذي توجد به الملفات على القرص ، ومقارنتها ببيانات الصورة النقطية.

الشكل: 23 جزء من خريطة موقع الملفات المتاحة في مجلد ExFAT بناءً
على نتائج بناء خريطة موقع الملفات ، نلاحظ "فجوة" واسعة النطاق في النطاق المنطقي من 718528 إلى 57 131 008. من الواضح على الصورة النقطية أن هذه المنطقة مشغولة ببيانات المستخدم. أيضًا ، عند البحث عن التعبيرات العادية عبر القرص بأكمله ، تم العثور على علامات البيانات في هذه المنطقة.
في هذه الحالة ، تم تأكيد حقيقة الضرر الذي لحق بنظام الملفات هذا والحاجة إلى مزيد من الإجراءات التحليلية.
اقلب خريطة موقع الملف للحصول على قائمة بسلاسل المساحة التي لم يتم وصفها بواسطة سجلات الملفات الموجودة. نحذف جميع السلاسل ، التي يقل حجمها عن حجم الكتلة ، حيث ستكون هذه الأجزاء مجانية من المجموعات التي لا تشغلها بيانات المستخدم المكتوبة عليها بالكامل. نقوم بتعيين صورة نقطية ونترك فقط سلاسل متداخلة من هذه النطاقات.
النتيجة المتبقية تخضع لمزيد من التحليل - البحث عن أدلة ExFAT. دعنا ننشئ دليلاً نشكل فيه إدخالات - مؤشرات إلى الدلائل التي تم العثور عليها ، وكذلك إدخال الإدخالات من الأجزاء التي تم العثور عليها من الأدلة. يجب فحص الدلائل التي تم العثور عليها بحثًا عن محتويات الإدخالات التي تتقاطع مع الدلائل المتاحة ، وإقامة علاقاتها ، وكذلك التحقق من مراسلات رؤوس الملفات المشار إليها بواسطة الإدخالات في هذه الدلائل وتصفية الأدلة غير ذات الصلة. يمكن أن يكون سبب فقدان الدلائل بسبب أخطاء في نظام الملفات أثناء استغلال القرص ، أو عن طريق التداخل الجزئي للبيانات الجديدة المكتوبة على القرص.

الشكل: 24 دليل بمؤشرات للهياكل التي تم العثور عليها والتي ليس لها كائن أصل.
علاوة على ذلك ، بعد استكمال خريطة موقع الملف بالعناصر الموجودة في الأدلة المفقودة ، سنشرع في تكرار الإجراءات مع إنشاء خريطة معكوسة مع مراعاة التقاطع مع الصورة النقطية. في السلاسل التي تم الحصول عليها بهذه الطريقة ، من الضروري البحث عن التعبيرات العادية لأنواع مختلفة من ملفات المستخدم.
هذه هي المرحلة الأخيرة من العمل التحليلي ، وستكون نتيجتها ما تبقى من بيانات المستخدم ، والتي لا يوجد لها عناصر في نظام الملفات تصف موقعهم. يرجى ملاحظة أن هذه الإجراءات ساعدتنا على عدم تضمين النتائج النهائية للقمامة المختلفة من البيانات التي كان من الممكن حذفها مسبقًا بواسطة المستخدم نفسه.
عند الانتهاء من هذه العمليات ، يمكنك البدء في نسخ البيانات التي تم العثور عليها ، مع الأخذ في الاعتبار التواجد في الخريطة لموقع قطاعات الملفات "التي تمت قراءتها بخطأ" وبالتالي التخلص من الملفات التي يتم استبدالها بشكل فريد ببيانات جديدة. أنشأنا علامات "قراءة مع الخطأ" بعد إنشاء خرائط ميزات FAT32 و HFS +.
هذا يكمل العمل. تم الحصول على أقصى نتيجة ممكنة للملفات غير المجزأة مع الحفاظ على التسلسل الهرمي للدليل الأصلي ، وتم العثور على جميع الملفات المفقودة الممكنة تقريبًا دون تضمين في هذه النتيجة العديد من البيانات المهملة النموذجية لبرامج الاسترداد التلقائي.
الوظيفة السابقة: التشخيص الذاتي لمحركات الأقراص الثابتة واستعادة البيانات