Всередині пошуку та відновлення видалених файлів FAT

Читайте про процес відновлення даних з диска FAT та алгоритм, що використовується для відновлення файлів. Тепер, коли ми знайшли файлову систему, ми можемо розпочати аналіз її записів. Наша мета - визначити адреси фізичних секторів на диску, що містять дані, що належать до видаленого файлу. Для цього алгоритм відновлення даних сканує файлову систему та перераховує її записи.

пошуку

Алгоритм пошуку та структура таблиці розділів FAT

У першій частині статті ми розглянули алгоритм пошуку та структуру таблиці розділів FAT. У системі FAT кожен файл і каталог має відповідний запис у файловій системі, так званий запис каталогу. Записи каталогу містять інформацію про файл, включаючи його назву, атрибути, початкову адресу та довжину.

Вміст файлу або каталогу зберігається в блоках даних однакової довжини. Ці блоки даних називаються кластерами. Кожен кластер містить певну кількість дискових секторів. Це число є фіксованим значенням для кожного обсягу FAT. Це записується у відповідній структурі файлової системи.

Хитра частина - це коли файл або каталог містить більше одного кластера. Наступні кластери ідентифікуються за допомогою структур даних, що називаються FAT (Таблиця розподілу файлів). Ці структури використовуються для ідентифікації наступних кластерів, що належать певному файлу, та для визначення того, зайнятий чи доступний певний кластер.

Перш ніж аналізувати файлову систему, важливо визначити три системні області.

  • Перша область зарезервована; він містить важливу інформацію про файлову систему. У FAT12 та FAT16 ця область займає один сектор. FAT32 може використовувати більше одного сектора. Розмір цієї області вказаний у завантажувальному секторі.
  • Друга область належить до системи FAT і містить первинні та вторинні структури файлової системи. Ця область відразу йде за зарезервованою. Його розмір визначається розміром та кількістю структур FAT.
  • Нарешті, остання область містить фактичні дані. Вміст файлів і каталогів зберігається саме в цій області.

При аналізі файлової системи основний інтерес представлятиме область FAT. Саме ця область містить інформацію про фізичні адреси файлів на диску.

Фігура 1. Фізична структура файлової системи FAT.

При аналізі файлової системи дуже важливо правильно визначити три системні області. Зарезервована область завжди починається з самого початку файлової системи (номер сектора 0). Розмір цієї області вказаний у завантажувальному секторі. У FAT12 та FAT16 розмір цієї області становить рівно один сектор. У FAT32 ця область може займати кілька секторів.

Область FAT відразу йде за зарезервованою областю. Область FAT містить одну або кілька структур FAT. Розмір цієї області обчислюється множенням кількості структур FAT на розмір кожної структури. Ці значення також зберігаються в завантажувальному секторі.

Відновлення файлів

Ми нарешті близькі до відновлення нашого першого файлу. Припустимо, файл нещодавно видалено, і жодна частина файлу не була перезаписана іншими даними. Це означає, що всі кластери, які раніше використовували цей файл, тепер позначені як доступні.