Připravili jsme pro vás kompletní výzbroj pro záchranu souborů. Chip DVD je bootovací, obsahuje záchranný systém od společnosti PC Tools, který dokáže obnovit smazané soubory i z disku, ze kterého už se systém nechce spustit. Dále zde najdete plnou verzi programu O&O UnErase 6 v hodnotě 550 Kč a výběr dalších programů, a to pod indexem Záchrana.
Záchrana dat pro těžké případy
Běžné nástroje na obnovu dat nemohou obnovit fragmentované soubory. Pro obnovu fragmentovaných fotografií je možné použít speciální metodu Smart Carving.
MARKUS MANDAU
Záchrana dat a archeologie mají vlastně hodně společného. V obou těchto disciplínách hledáte něco, co už je dávno považováno za ztracené. Záchrana počítačových dat má však oproti archeologii několik výhod: je rychlá, jednoduchá a může ji dělat kdokoliv. Pokud ovšem nějaká část chybí, je třeba si zahrát na Indiana Jonese. K tomu vám poslouží software, který používá technologii Smart Carving. Ta provádí obnovu podle skutečného obsahu souboru a poradí si tak i s fragmentovanými soubory, na kterých si jiné nástroje vylámou zuby.
V balíku programů na Chip DVD najdete nejen software, který podporuje právě zmíněnou technologii Smart Carving, ale také nástroje, které pomohou v méně problémových případech. Někdy totiž stačí i programy, které fungují zcela automaticky. Abyste ale pochopili, jak funguje carvingový software, je třeba, abyste poznali principy této technologie.
Jednoduchá záchrana: Stačí změnit záznam
Aby operační systém mohl pracovat se soubory na pevném disku, potřebuje souborový systém. Ve Windows je standardem NTFS. Pokud záchranný software hledá smazaný soubor v NTFS, podívá se nejdříve do Master File Table (MFT). Je to vlastně jakýsi index všech souborů na diskovém oddílu. Zde software hledá dva konkrétní bajty, které ukazuji, že soubor je smazaný. Pokud mají oba bajty hodnotu 0, znamená to, že soubor byl vyhozen do koše a koš byl vysypán. Nic dalšího se s ním nedělo. Pro obnovení tak stačí, pokud se v MFT tento příznak změní.
Důležitou částí je také hodnota "Data Run". Ta říká softwaru dvě věci: adresu prvního klastru souboru a kolik následujících klastrů ještě patří tomuto souboru. Situace se komplikuje v okamžiku, kdy bajty za "Data Run" nejsou nulové. To znamená, že soubor je fragmentován, a v tom případě jsou v MFT další záznamy, které musí software zpracovávat. Takový jednoduchý případ zvládá každý software z našeho záchranného balíčku. Použít můžete i plnou verzi programu O&O UnErase 6. To je komerční program pro záchranu dat. Na Chip DVD je v rubrice "Plné verze" stejná aplikace, která se nyní prodává za 550 Kč. Pokud je možné soubor tímto způsobem zachránit, nástroj od společnosti O&O to dokáže.
Složitější případ: Identifikace podle signatury
Windows si nechávají pro MFT rezervu minimálně 12,5 % z kapacity diskového oddílu. MFT přitom musí být uložen v jednom kuse, tedy bez fragmentace. Díky tomu je k MFT velmi rychlý přístup. Jenže i MFT záznamy se přepisují. Do MFT, který je označen jako prázdný, se může uložit informace o novém souboru, který leží na úplně jiné části disku, než kde leží soubor, který chcete obnovit. Soubor je pak sice fyzicky na disku stále přítomen, jenže o něm není žádný záznam. Stejná situace nastává, pokud se něco děje s diskovým oddílem. Třeba pokud je naformátován, nebo je zcela odstraněn. To také probíhají jen změny v MFT, ale se samotným souborem se nic neděje. Jenže jak ho vypátrat?
K tomu slouží složitější nástroje, jako je třeba TestDisk, který najdete na Chip DVD. Tento nástroj kontroluje diskový oddíl tak, že prochází sektor za sektorem. Jedná se o tzv. RAW sken. Nástroj si pak dává dohromady informace, které nachází. Ať už se jedná o JPEG, nebo DOC – každý soubor má svou vlastní strukturu a nějakou hlavičku, podle které je možné jej identifikovat. V hlavičce je přitom popsána jak velikost souboru, tak jeho obsah.
Třeba soubor s fotografií ve formátu JPEG vždycky začíná sekvencí FFD8 a končí sekvencí FFD9. Soubor je snadno identifikovatelný pomocí sekvence JFIF (JPEG File Interchange Format).
Při RAW skenu tedy potřebuje software znát signatury jednotlivých typů souborů. Skvěle to umí třeba ArchiCrypt Rescue-Master z Chip DVD. Jenže co se stane, když je soubor fragmentován a mezi jeho částmi jsou části jiného souboru? Odpověď je jednoduchá: běžný nástroj pro obnovu si neumí poradit. Na řadu musí přijít technologie Smart Carving.
Nejsložitější případ: Smart Carving pro fragmentované soubory
Metoda Smart Carving byla vynalezena na Polytechnickém institutu Univerzity v New Yorku a je dostupná v programu Adroit Photo Recovery, jehož ukázkovou verzi najdete na Chip DVD. Algoritmus umí zachránit i fragmentované soubory. Sken disku pochopitelně trvá mnohem déle. Software musí provádět hloubkovou analýzu. Jsou-li totiž data na disku fragmentována a chybí-li Master File Table, musí hledat různé proudy dat. Diskové oddíly, které jsou větší než 2 GB, mají většinou klastr o velikosti 4 KB. Teoreticky je pak možné, aby na čtyřkilobajtovém klastru bylo několik různých souborů, v praxi to ale není tak černé.
Profesor Simson Garfinkel analyzoval celkem 324 použitých pevných disků. Výsledky vidíte v tabulce vlevo. Fragmentace souborů má své limity. Malé soubory jsou u souborového systému NTFS rozděleny maximálně na dvě části. Větší soubory, jako jsou třeba JPEG fotografie, se většinou dělí na více než 3 části, jen vzácně jsou však rozdělené na více než 20 fragmentů.
V 70 % případů leží následující část souboru jeden až čtyři klastry daleko. Smart Carving využívá těchto vlastností, když hledá fragmenty souboru. To výrazně zkracuje čas potřebný pro nalezené všech fragmentů.
Při rekonstrukci nástroj obnoví nejdříve soubory, které nejsou fragmentované. Díky tomu zůstanou na disku už jen fragmentované soubory. Pak začne hledání hlavičky souboru. Podle hlavičky se pak hledají další části. Nástroje hledající podle signatury musí poznávat charakteristiky souboru, v případě metody Smart Carving jde algoritmus ještě dál a prakticky hledá to, co na fotografii může být, co odpovídá již nalezeným částem. To má ale zase to omezení, že Adroit Photo Recovery si poradí jen s formátem JPEG a několika RAW formáty známých výrobců fotoaparátů.
Nástroj používající Smart Carving potřebuje mít detailní informace o JPEG souboru. Třeba jakou metodou byl komprimován, jak vypadala kvantizační matice, která určuje ztrátovou kompresi, případně zda bylo použito Huffmanovo kódování při závěrečné kompresi dat. Všechny tyto informace jsou naštěstí součástí JPEG hlavičky.
Ve formátu JPEG jsou obrázky rozsekány na bloky o velikosti 8 × 8 pixelů. Každý blok nese informaci o barvě a světlosti. Nástroj používající Smart Carving nejprve analyzuje klastr a zkouší, zda je vůbec možné jej dekódovat jako JPEG. Pokud může být klastr souborem formátu JPEG, porovnává algoritmus parametry aktuálního bloku s tím novým. Jsou-li v nich příliš velké rozdíly, tedy pravděpodobně spolu nesousedí, odsouvá se blok až na konec řady. Přejde se na další klastr a zkoumá se, zda ten by mohl být sousedním blokem pixelů. Tak se pokračuje až do konce. Jakmile jsou vyčerpány všechny klastry souboru, sestaví se výsledný obraz.
AUTOR@CHIP.CZ
JAK LEŽÍ SOUBORY NA PEVNÉM DISKU
Zde vidíte, jak je na pevném disku uložený soubor: kde je jeho záznam v MFT, kde je jeho velikost, informace o fragmentaci atd.
Záznamy v indexu
Ukazatel souboru Stojí na začátku každého záznamu souboru.
Příznak smazání Nastaveny jsou nuly, pokud je soubor smazaný.
Velikost souboru Kolik má soubor bajtů.
Data Run Udává, na kterém klastru soubor začíná
Fragmentace Zobrazuje, na kolik dílů je soubor rozdělen.
Data vlastního souboru
Identifikace JPEG Zkratka "JFIF" označuje, že se jedná o JPEG.
Začátek JPEG souboru Všechny JPEG soubory začínají touto hodnotou.
Kvantizace Informace o tom, jak je JPEG komprimován.
Typ JPEG Označuje, jakého typu je tento JPEG.
Huffmanova tabulka Informace o kompresi JPEG.
Konec JPEG Každý JPEG končí touto hodnotou.
Jednoduchá záchrana: Data jsou jen označena jako smazaná
Informace o souboru je stále uložena v MFT, se samotnými daty se nic nestalo. Jen je toto místo označeno jako volné. Nástroje pro obnovu jej dokážou rychle najít a během několika sekund obnovit. To je situace, kdy smažete soubor, vysypete koš a dále se s diskem žádným způsobem nepracuje.
Nástroj: O&O UnErase
Složitější záchrana: Data jsou stále nedotčena
V "obsahu" pevného disku chybí informace o tom, že soubor existuje. Nástroj pro obnovu tedy prochází sektor za sektorem a hledá typické signatury pro soubory. Nástroj musí znát strukturu souboru. Třeba každý JPEG obrázek začíná hodnotou FFD8 a končí hodnotou FFD9.
Nástroj: ArchiCrypt Rescue-Master
Nejtěžší záchrana: Data jsou fragmentovaná
Pokud není v "obsahu" disku záznam o souboru, který je fragmentován, je jeho hledání nejtěžší. Software musí najít nejen signatury souboru, ale také zjistit, zda data ležící v jednotlivých sektorech patří do obrázku, nebo jsou z jiného souboru. K tomu potřebuje nástroj znát všechny detaily o obrázku.
Nástroj: Adroit Photo Recovery
Jak často se fragmentují soubory
Data na disku neleží vždy v klastrech za sebou, ale jsou rozházena po disku – fragmentována. To nejenže zpomaluje jejich načítání, ale dosud to znemožňovalo jejich obnovu. Každý šestý JPEG je fragmentovaný a je možné jej obnovit jen pomocí Smart Carvingu.
Počet fragmentovaných souborů
Ostatní soubory 6 %
avi 20 %
bmp 8 %
doc 17 %
gif 8 %
jpeg 16 %
mpeg 17 %
ppt 8 %
pst 58 %
tmp 66 %
wav 9 %
xls 11 %
ZDROJ: SIMSON GARFINKEL
Foto: Disk: Kde je na disku uložena informace o souboru a kde jsou již konkrétní data, to vidíte na infografice vpravo.
Foto: Sken disku: Adroit Photo Recovery během analýzy zobrazuje náhledy zachráněných obrázků.
Foto: Hloubka analýzy: V nastavení nástroje Photo Recovery si můžete vybrat z mnoha algoritmů obnovy.