Два взгляда на проблему удаления файлов
Как удаляется информация в компьютерных системах
Как гарантированно ликвидировать временные файлы
Общая стратегия восстановления
Взгляд профессиональный, или Практические уроки восстановления данных
Физика и лирика удаления и восстановления файлов
В популярном учебнике по компьютерной грамотности сказано:
«Для того чтобы удалить файл, необходимо выделить его при помощи мыши и нажать
клавишу Del…»
Что можно сказать по этому поводу? Чушь, полная и законченная чушь. Конечно,
если вы хотите удалить файл, то описанных действий вполне достаточно. Но вот
если вы хотите УДАЛИТЬ файл — то этого мало…
Взгляд пользовательский
Информация к размышлению
Задумайтесь на мгновение: как часто в вашей практике происходят «чудесные» восстановления набранного, но не сохраненного текста? Типичным является случай, когда пропавший после сбоя питания текст, набранный в редакторе MS Word, вдруг открывается при перезапуске редактора. Откуда он взялся, если вы точно помните, что сохранить его не успели? Единственное объяснение — где-то на вашем компьютере была несанкционированно сохранена копия этого текста. В данном случае это спасло вас от повторного набивания текста. А если перебой питания произошел не случайно и человек, перезапустивший компьютер, не является автором документа? Несколько лет назад любимым приемом налоговых органов было отключение питания в офисе компании непосредственно перед «визитами» и во время оных. Преимущества налицо — с выключенного компьютера информацию никак не удалишь. Естественно, возможно полное физическое уничтожение всех носителей информации, но в полной темноте разобрать корпус, вынуть винчестер, найти молоток и физически уничтожить ставший опасным носитель не так-то просто. К тому же, как правило, времени на это уже нет. И вот тут невольно вспоминается любимый нами персонаж — поросенок Пятачок с его извечным вопросом: «Что же теперь делать?»
Как удаляется информация в компьютерных системах
Удаление информации в компьютере происходит в два с половиной хода (для операционных систем семейства Microsoft Windows 95 и старше). В первый ход стираемый файл перемещается в корзину (Recycle Bin), откуда в дальнейшем он может быть легко восстановлен средствами операционной системы. Допустим, вы очистили корзину, прочитав при этом предупреждение о том, что отныне никто и ничто не сможет восстановить выброшенную оттуда информацию. Этот шаг (второй по счету) может показаться последним на пути полного уничтожения информации. Однако это опасное заблуждение — удаленная информация по-прежнему хранится на локальном жестком диске и может там «подпольно» жить еще весьма долго. Причина состоит в том, что удаляемый файл не уничтожается физически. На самом деле даже при «окончательном» удалении файла хранимая в нем информация не стирается — просто операционная система помечает область диска, занятую файлом, как свободную и доступную для записи очередного файла. И никто не знает, когда этот фрагмент будет перезаписан, но о том, как найти его и прочитать его содержимое, знают очень многие. Отсюда вывод: файл можно считать удаленным только после того, как использованные в нем области диска были перезаписаны, желательно — неоднократно. Кроме того, памятуя о «чудесном» воскрешении набранного текста в редакторе, нужно добиться, чтобы все временные файлы операционной системы и прикладной программы ликвидировались при перезагрузке компьютера и при этом не подлежали восстановлению.
Как гарантированно ликвидировать временные файлы
Временные файлы (temporary) являются самыми опасными, поскольку никогда не ясно, какая информация в них содержится. Известен случай, когда при анализе содержимого нескольких временных файлов был установлен пароль ответственного сотрудника компании, что привело к весьма серьезным последствиям (этот сюжет относительно неплохо обыгран в небезызвестном фильме «Хакеры»). Поэтому на всех компьютерах, работающих с данными повышенной секретности, временные файлы либо не создаются вообще, либо гарантированно уничтожаются при перезагрузке компьютера. Первый вариант для нас неприемлем, поскольку полностью исключить использование временных файлов в операционных системах семейства MS Windows невозможно. Второй вариант достаточно просто реализуется с помощью программного обеспечения, позволяющего конвертировать часть оперативной памяти в виртуальный жесткий диск и работать с ним точно так же, как и с обыкновенным винчестером. Правда, с одним отличием: при перезагрузке вся информация с него будет стираться окончательно и бесповоротно, поскольку при выключении питания все содержимое оперативной памяти безвозвратно уничтожается за сотые доли секунды, а как раз это нам и нужно. Дело за малым: необходимо «уговорить» операционную систему использовать именно этот диск для хранения временных файлов. Сделать это достаточно просто: необходимо указать путь к этому диску в параметрах системных переменных TEMP и TMP. И все — дело сделано, и временные файлы нам больше не страшны.
Искусство удалять
Как мы уже говорили, для гарантированного уничтожения информации, содержащейся в файле, ее необходимо перезаписать. Весьма распространено ошибочное мнение, что для перезаписи файла, хранящегося в папке «А» и удаленного в ней, вполне достаточно записать в эту же папку файл, превышающий размером тот файл, который был стерт. Это не так, поскольку нет никакой гарантии, что для хранения большего по размерам нового файла операционная система выберет то же самое физическое месторасположение, которое занимал удаленный файл. Более надежен способ стирания информации, когда файл перезаписывается в ручном режиме. Например, если в текстовом редакторе открыть какой-либо файл, а потом внести в него некоторые изменения (например, заменить все символы на «*») и сохранить файл, то в большинстве случаев оригинальный файл будет затерт, так что восстановить его исходное состояние будет проблематично. Однако элемент случайности все портит: с большинством случаев все понятно, но как быть с меньшинством?
Именно для этого и существует специализированное программное обеспечение, позволяющее гарантированно перезаписать информацию. Одной из первых утилит этого рода была программа WipeInfo из состава программного пакета Norton Utilities, многие годы верно служившего еще не цивилизованному российскому бизнесу. Схема ее работы проста: указывается файл, а программа сама определяет физическое размещение файла на магнитном носителе и многократно (до нескольких сотен раз!) перезаписывает это место. Кроме того, указанная утилита позволяла затирать как диски целиком, так и только неиспользуемые участки, причем гарантировалась сохранность информации на уровне требований безопасности Правительства США. Сейчас практически в любом пакете прикладных программ существует утилита, позволяющая выполнять эту нехитрую, в общем-то, операцию. Правда, наличие на вашей машине какого-либо набора утилит несет в себе потенциальную угрозу: вполне возможно, что в его состав входит утилита восстановления удаленных файлов, которая будет тайно хранить стертые файлы даже после их затирания. В процессе написания этой статьи мы провели эксперименты по восстановлению данных на своей рабочей машине, где был установлен один из популярных в России наборов утилит. К нашему удовлетворению, удалось найти и восстановить ряд файлов, которые были удалены еще в начале осени. Честно говоря, удалось восстановить всего-навсего 20% найденных файлов, но, как известно, пуля тоже весит мало, но при метком попадании большего и не требуется. Допустим, у нас нет секретов, которые следует хранить как зеницу ока (на самом деле они, конечно, есть, просто мы их никогда не записываем и тем более не храним), ну а если бы были? Поэтому по возможности избегайте установки на свой компьютер любых утилит, за исключением жизненно необходимых. Помните, что очень умные люди не зря придумали выборочный режим (custom mode) установки любого пакета и что при желании вы сможете из огромного набора утилит поставить только те, которые позволят вам правильно удалять файлы. Случаи, когда ставится полный Microsoft Office сотруднику, которому необходим только Word, несмотря на всю свою порочность, все еще обычны в нашей стране.
Логичным продолжением этой темы стали бы практические рекомендации по выбору «затирающего» программного обеспечения, но мы не возьмемся рекомендовать тот или иной пакет, поскольку сами не знаем достоверно, какой алгоритм используется при перезаписи. Кроме того, вполне возможно, что разработчики сотрудничали (а они делают это!) с какими-то структурами (например, с ФБР) и оставили какую-то лазейку, позволяющую восстановить затертые файлы. Кроме того, задумайтесь о том пути, который проделала та или иная программа по дороге на ваш компьютер. Вышла ли она из светлого мира российского представительства компании-разработчика либо прошла через хлопающие по ветру тенты Митинского рынка или через мрачный парк «Горбушки»? А теперь представьте себе, какие действия могли выполнить над ней неизвестные нам лица. Вполне возможно, что блок затирания просто вырезан из тела программы и что все якобы затираемое вами на самом деле отправляется по электронной почте на один из анонимных серверов электронной почты. Такие случаи, к сожалению, известны. Поэтому первое (оно же и главное) пожелание — используйте только лицензионный защитный софт! Не будем говорить о моральной стороне вопроса использования нелицензированной копии ПО — просто в том случае, если официально купленная программа не выполнит заявленные функции (такие, например, как гарантированное уничтожение файла), у вас будет хотя минимальный шанс привлечь компанию-разработчика к ответственности и частично вернуть свои потери. Ну а самым последним пожеланием будет такое: используйте программное обеспечение с открытым кодом, что позволяет как минимум убедиться в действенности работы модуля затирания. Сами понимаете, что исходный текст программы более откровенен, чем обезличенный исполняемый файл.
Общая стратегия восстановления
После того как мы разобрались с составляющими компонентами защиты файла от восстановления, задумаемся, как же нам восстановить информацию после ее удаления. «Налетчики» ушли несолоно хлебавши, информация им не досталась, но нам-то она нужна! В этом случае единственной надеждой станет наличие резервных копий информации, хорошо защищенной как от похищения, так и от несанкционированного использования. Как правило, программы резервного копирования пишут информацию на внешний носитель и готовы восстановить ее по требованию, но нисколько не задумываются о полномочиях того, кто производит такую операцию. Естественно, «продвинутые» программы позволяют установить парольную защиту на функцию восстановления информации. Если вы когда-нибудь видели замочек, предназначенный для защиты спортивных сумок от несанкционированного открытия, то это и есть наилучшая аналогия такой «защите». Это защита не просто от дурака, а от их абсолютного чемпиона мира по глупости. Поэтому защиту надо делать самим, используя один из пакетов криптографической защиты данных. Примерная схема выглядит следующим образом:
- оригинальный файл шифруется паролем, известным только его автору;
- выполняется резервное копирование с установкой пароля (не стоит пренебрегать защитой, какой бы хлипкой она ни была), известного только сотруднику, отвечающему за эту операцию;
- полученный файл шифруется паролем, известным только ответственному сотруднику службы безопасности.
Теперь для восстановления информации необходимо присутствие трех человек, что вполне может являться гарантией легальности такого восстановления.
Завершая этот раздел, нам хотелось бы напомнить, что в большинстве случаев, конечно, легче просто потерять информацию, чем рисковать ее разглашением. Исходя из этого и надо действовать.
Взгляд профессиональный, или Практические уроки восстановления данных
арактерной тенденцией в последние годы стало резкое и совершенно неоправданное снижение перечня программного обеспечения, позволяющего восстановить данные после их удаления или форматирования/переразбиения жесткого диска. Причинами такого неадекватного отношения к столь животрепещущей проблеме стали появление в составе операционных систем семейства Windows встроенной защиты от удаления (Recycled Bin) и усилившаяся роль резервного копирования в деле сохранения данных. Однако если корзина была очищена, а резервной копии нет, то восстановить удаленные данные средствами операционной системы не представляется возможным. А ведь «старушка» MS-DOS не позволяла восстановить удаленные файлы лишь в том случае, если часть секторов, принадлежащих восстанавливаемому файлу, оказывалась перезаписанной.
Урок истории
Первое наше знакомство со структурой жесткого диска IBM PC/АТ (а точнее, ХТ), произошло на компьютере Olivetti M16, с диском 20 Мбайт и ОС DOS 2.0. Поводом для знакомства послужила неудачная попытка перенести на компьютер новый DOS 3.0, в результате чего он умер. Как показало вскрытие (тогда еще при помощи программы PCTOOLS), DOS 2.0 отличался от всех последующих отсутствием таблицы разделов (Partition Table), а вместо нее находилась загрузочная запись (Boot Record), как на обычной дискетке1. Более детальное знакомство состоялось в 1990 году по вине журнала «Доктор Доба», где был напечатан исходный текст программы для защиты диска по паролю, в тексте которой, однако, была ошибка. В общем, у одного из коллег диск исчез совсем, и, немного помучившись, его отформатировали по новой. После этого интерес коллеги к системам безопасности практически сошел на нет. Однако для нас это происшествие стало стимулом к изучению систем защиты дисков, поэтому нам пришлось заняться детальным изучением их устройства как на физическом, так и на логическом уровне. В результате была создана почти коммерческая версия защитной системы, с возможностью кодирования данных диска «на лету». Но по ряду причин команда развалилось, и программа осталась лишь в нескольких экземплярах у ограниченного круга людей. Полученные знания устройства компьютера и организации DOS позволили нам долгое время на этом зарабатывать, помогая людям в решении их проблем.
В следующий раз за помощью обратились сотрудники одного авиационного КБ, у которых было нарушено разбиение диска с чертежами нового самолета. Диск был поделен программой ADM (была такая система для разделения доступа к диску между несколькими пользователями). Разделов было много, явно больше восьми, причем половина из них была скрыта, то есть имела тип ADM, и данные их ВРВ2 были записаны в файл драйвера ADM. К сожалению, драйвер ADM был потерян вместе с таблицей разделов, а история потери осталась тайной, покрытой мраком. Реальностью были только убитый диск и пожелание сотрудников «вернуть все как было». Ручной поиск всех разделов, вместе с последующим ручным же подсчетом числа секторов FAT и ROOT в каждом из скрытых разделов, занял целый рабочий день. В результате чертежи вернулись владельцам, а от защиты ADM не осталось и следа. После этого случая коллега написал программу, позволяющую искать потерянные разделы на диске и заново создавать РТ. Правда, поскольку написана программа была давно, она не понимает диски более 8 Гбайт и не умеет анализировать FAT 32- и NTFS-разделы, но ее можно использовать для быстрого начального поиска всех разделов на небольших дисках.
Урок анатомии
Жесткий диск компьютера PC имеет определенную структуру — практически независимо от типа ОС, установленной на нем. Основной частью этой структуры является Master Boot Record (MBR) — запись, находящаяся в самом первом секторе диска3, по адресу дорожка 0, головка 0, сектор 1. Она содержит РТ и небольшую программу, которая получает управление после отработки программы BIOS. Сама РТ начинается в секторе по смещению 1Веh (4464 в обычном исчислении). BR — загрузочные записи, находящиеся в начале каждого раздела диска, они содержат BIOS Parameter Block (ВРВ) и еще одну программу, которая на активном разделе производит начало загрузки ОС. Находящиеся в РТ данные определяют количество и тип разделов, присутствующих на диске, а также их месторасположение, то есть начало, конец и размер раздела. ВРВ содержит данные о внутренней структуре раздела (например, для FAT это количество секторов на FAT, количество копий FAT, количество записей в ROOT — в корневой директории) и другие данные. ВРВ в зависимости от типа FAT может содержать разные данные. Например, в случае FAT 12/16 это обычно Extended ВРВ, хотя если у вас установлен DOS 3.х и диски размером по 32 Мбайт, то может быть и стандартный ВРВ. В FAT 32 BR отличается сильнее: во-первых, она занимает три сектора, во-вторых, повторяется, начиная обычно с седьмого сектора от начала раздела, в-третьих, структура данных сильно изменена, поэтому старые программы часто не работают на FAT 32, а в-четвертых, перед таблицей FAT зарезервировано обычно 32 сектора с начала раздела.
Все сектора, содержащие Master Boot Record, Extended Partition и Boot Record, подписаны специальной сигнатурой (кодом 55h ААh) в двух последних байтах сектора. Секторов с РТ на диске может быть несколько — в зависимости от того, были ли у вас Extended-разделы. Дальнейшая структура раздела зависит от типа использующей его ОС. Возвращаясь к FAT, далее идут сектора с данными FAT — обычно своеобразного вида, повторяющиеся ряды цифр, увеличивающиеся на единицу или более и начинающиеся с кода F8h FFh. В них содержится информация о местоположении файлов на диске (так называемые цепочки кластеров). Кластер, как правило, состоит из нескольких секторов; это минимально возможная порция хранения данных на логическом диске с FAT’ом. Его размер зависит от размера диска и типа FAT 12/16/32. После идут данные ROOT — повторяющиеся через 32 байт записи с названиями файлов. Потеря данных в любом из разделов может привести к неприятным последствиям, причем по внешним признакам можно определить, какая часть была утеряна. Если пропала часть FAT, то к части файлов на диске не будет доступа, так как исчезнет связь между записями в директориях и самими файлами на диске. Если потеряется часть ROOT или другой директории, то вместо списка файлов вы увидите «мусор», а сами файлы превратятся в потерянные цепочки. Эти сбои обычно можно вылечить при помощи NDD из состава утилит «товарища Нортона» или стандартного SCANDISK. В случае потери BR вы получите диск, на все попытки обратиться к которому ОС ответит, что тот не отформатирован. При потере MBR у вас пропадут все логические диски, которые на нем были. Более детальную информацию о структуре дисков можно получить из технических описаний. Так, долгое время приходилось пользоваться Tech-Help’ом — сначала по DOS 3.3, а потом по 4.1. Сведения TechHelp, конечно, устарели, но общее представление об этом получить можно, поскольку все меняется эволюционно.
Урок географии
Разберем подробнее случаи утраты MBR и BR. Такие потери могут произойти по разным причинам, но чаще всего — вследствие личного вмешательства пользователей в эти данные. Нередко из праздного любопытства (например, чтобы проверить, что делает FDISK или DiskManager) человек, бездумно и не вдаваясь ни в подробности вопросов, ни в общий смысл текста на экране (часто на английском языке), просто тыкает по клавишам. Бывает, что даже достаточно опытный пользователь выбирает не тот диск в FDISK — и данные пропали. Другие причины потерь связаны либо с вирусами, живущими в загрузочном секторе (например, вирусами семейства Stone), либо с вирусами, форматировавшими нулевую дорожку диска.
Первая заповедь в подобных случаях: не спешите и ничего не трогайте до тех пор, пока не успокоитесь, не разберетесь и не поймете, что именно следует предпринять. Обычно поспешные действия все только портят, и становится еще хуже. Второй заповедью является знание и понимание особенностей работы используемого программного обеспечения. Например, мало кто знает, что при попытке создать primary-раздел с помощью программы FDISK и нажатия последовательности <1>, а затем опять <1> может произойти трагедия! После некоторых раздумий программа спрашивает: «На весь диск?» Тогда вы, испугавшись или обнаружив ошибку в выборе диска, отказываетесь что-либо создавать и выходите из программы. Но поздно — диск уже испорчен и данные назад не вернутся! При этом новый FDISK, входящий в состав операционных систем Windows 95/98, хотя бы проценты проверки целостности диска выводит, а старый — молчит как рыба. Результат в обоих случаях будет похожим: произойдет заполнение кодом F6 одного или двух секторов на дорожке, обычно первого, а если «повезет», то и седьмого. И так приблизительно три дорожки, по всем головкам на диске, а ведь это весь ваш бывший FAT!
Для восстановления данных необходимо попытаться вспомнить, сколько, каких и какого размера было разделов на диске. Прежде всего следует подготовиться: вам как минимум будут необходимы загрузочная дискетка (желательно без вирусов) и программа для редактирования дисков DiskEdit (DE). Если у вас диск более 8 Гбайт, то нужно выбрать DE из новых утилит (NU2000), если диск меньшего объема, то вполне сойдут и DOS-версии (лучше 8-й). Если же у вас используется FAT 32 и придется исправлять ВРВ, то необходимо обзавестись DE из состава NU2000. Еще лучше иметь обе версии, так как в старой не нужно пересчитывать сектора в дорожки, а в новой — проще править РТ и ВРВ с новыми типами разделов. Для начала необходимо освоиться с использованием DE, применяя режим Read only, который автоматически устанавливается при запуске программы. После этого потребуется пара листов формата А3 для записи всех изменений, сделанных вами на диске. Основным правилом при работе с программами прямого доступа к данным жесткого диска является полная запись всех произведенных изменений и сохранение оригинального содержимого изменяемых секторов в файле на дискете. При этом не забывайте указывать число копируемых секторов, поскольку дискета не резиновая и весь «винт» на нее не влезет. Если есть время, можно вообще потренироваться на «», то есть взять заведомо ненужный диск, поделить его, отформатировать разделы, что-нибудь записать в них и посмотреть структуру данных. И еще одно замечание: в DE отключите режим Auto View, поскольку лучше переключать режимы вручную.
Вы входите в DE и выбираете объект исследования — пострадавший физический диск. Дальнейшие ваши действия зависят от того, что произошло с диском. Вирус Stone можно рассматривать как самый простой случай: оригинальный MBR обычно лежит где-то в десятом секторе. Просмотрите первую дорожку и поищите что-нибудь похожее на оригинальный MBR. Надписи могут быть не обязательно на английском языке, поскольку это зависит от языковой версии операционной системы, FDISK из состава которой вы использовали при первоначальном разбиении. Если РТ на вид в полном порядке, а диск просто не грузится, можно попробовать запустить FDISK/MBR. Данная команда восстанавливает маленькую программку-загрузчик. Если MBR пуст или в нем находится какой-то «мусор», а на первой дорожке не обнаружилась копия MBR, придется идти дальше. Есть смысл пройтись по первым секторам дорожек и поискать нечто похожее на BR. В начале этого сектора обычно записан так называемый ОЕМ-код — MSDOS, IBM, MSWIN, NTFS — по смещению 3 от начала, а в конце стоит обязательная сигнатура 55h ААh. Если вы встретили сектора, заполненные кодом F6h, то вам крупно не повезло и работы прибавилось в n + 1 раз, где n — количество таких секторов. При обнаружении обязательно записывайте, что и где нашли. Необходимая информация — это дорожка, головка, сектор и абсолютный сектор от начала диска. Если у вас новый DE, то информацию о дорожках и головках придется пересчитывать из количества секторов от начала в абсолютные сектора, поделив это число на число секторов в дорожке и затем на число головок5.
Итак, вы нашли первый сектор первого раздела или хотя бы определили его положение. Однако если на диске были еще разделы или у вас была NTFS, то поиски нужно продолжить. У NTFS есть одна полезная особенность — копия BR в конце раздела, поэтому даже в случае потери первой BR ее можно восстановить, при условии что разрушение не дошло до конца этого раздела. Если раздел NTFS был один на весь диск, то вторая копия BR скорее всего лежит в конце диска. В противном случае поиски придется продолжить, для этого лучше выбрать сигнатуру 55h ААh и искать ее по смещению 510 (это, кстати, и делает вышеуказанная программа нашего коллеги). Если найдете что-то похожее на искомую информацию, не поленитесь пометить, где и что нашли. Затем просмотрите найденное и проверьте, соответствуют ли типы разделов и их размер тому, что вы помните о своем диске. Поменяйте режим просмотра на соответствующий типу данных (для РТ — <F6>, для BR с ВРВ — <F7>). Проверьте следующие за ними сектора на соответствие искомым данным.
Теперь приступайте к построению РТ (сначала настоятельно рекомендуется все выстроить на бумаге, а затем приступать к работе с диском). Перейдите в первый сектор на нулевой дорожке/головке диска. Выберите режим РТ <F6> и задавайте тип первого раздела; клавиша «Пробел» перебирает их по кругу. Для задания типа FAT 32 в старом DE придется в режиме НЕХ ввести код 0Вh; загрузочный раздел необходимо пометить галочкой, но сразу лучше этого не делать. Далее по своим записям задаем начало и конец раздела — абсолютный сектор начала раздела и число секторов в разделе, включая одну BR (FAT) или две (NTFS — начальную и конечную). Эти цифры стоит перепроверить, так как из-за неправильно введенных данных раздел может оказаться нечитабельным. И еще: не пытайтесь восстановить сразу все разделы диска, а вначале разберитесь полностью с одним и лишь потом приступайте к следующему. Если у вас были разделы Extended DOS и при сканировании диска вы обнаружили еще несколько РТ (возможно, без загрузочной программы), то достаточно указать в MBR ссылку на первую из них с типом Extended и тогда все последующие диски, как правило, становятся доступными автоматически. Итак, раздел найден, но бывает, что его ВРВ вместе с BR бесследно исчезли. Что делать в случае NTFS, было описано выше, но если у вас DOS или Windows 95/98, то нужно еще немного поработать. Берите сектор BR с любого похожего по размеру и типу диска, а если такового нет, то можно попробовать самостоятельно заполнить поля ВРВ или ВРВ для FAT 32, а в конце поставить сигнатуру 55h ААh. Если вы правильно заполните все поля ВРВ — все должно получиться (детальное описание полей для FAT32 нам, к сожалению, не доступно, а описание Extended ВРВ приведено во врезке). С этой целью придется подсчитать число секторов в каждой из копий FAT и указать число этих копий. Для FAT 12/16 необходимо указать число секторов в ROOT и получить из него количество записей в нем, а для FAT 32 количество секторов перед первой FAT обычно равно 32. Чтобы сократить подсчеты, стоит попробовать просто скопировать FAT. Обычно DOS и Windows 95/98 как бы подгоняют диски под одну мерку, то есть в BR значения основной части полей совпадут с аналогичными значениями с такого же объему логического диска. В случае правильного заполнения полей ВРВ вы увидите этот раздел, но писать на него или запускать пока ничего не стоит. Также рекомендуется при перезагрузке с живых жестких дисков не запускать Windows 95/98 или Windows NT, поскольку они иногда пишут в служебные области диска без предварительного уведомления. Лучше использовать NC или VC под DOS. Для просмотра дисков NTFS можно использовать утилиту NTFSDOS (http://www.sysinternals.com). К слову сказать, эта утилита понимает даже частично битые (то есть с потерей части данных) диски, которые можно скопировать. Конечно, при этом теряются длинные имена и файлы, названные русскими буквами, но это пустяк по сравнению с утратой всего диска. Если после перезагрузки вы увидели содержимое диска, попытайтесь «походить» по нему, а если забыли команды MS-DOS (CD, DIR и, может быть, TYPE) — обращайтесь к справочникам. В итоге вы сможете оценить корректность восстановления данных. Для дисков с FAT можно запустить программу NDD из NU2000 или SCANDISK и проверить целостность диска с их помощью. При любых попытках исправить указанными средствами ваш диск сохраняйте резервную копию исправленного. В том случае, когда FDISK при неудачном с ним обращении побил вам FAT, в результате чего некоторые директории стали недоступны, можете попробовать восстановить FAT с помощью NDD. Однако если вы уверены в себе, то можете самостоятельно скопировать битые сектора из одной копии FAT в другую. При разрушении данных внутри раздела с NTFS можно попробовать подлечить его, используя встроенную программу диагностики дисков.
Урок прикладного материализма
Описанные выше методы и рекомендации по восстановлению исходного состояния данных имеют один существенный недостаток: будучи элегантными и ясными в теории, они довольно сложно реализуются на практике. Их использование подразумевает как минимум наличие у пользователя теоретических знаний об организации информации на магнитном носителе и компьютерных систем счисления (двоичной и шестнадцатеричной). Увы, приходится констатировать непрерывное снижение уровня знаний именно в этой области, поскольку их необходимость во времена, проходящие под девизом рекламного слогана «Кликни по Деду Морозу», некоторые подвергают сомнению. Один из авторов статьи на собственном опыте имел возможность воочию наблюдать смену приоритетов в преподавании различных тем и курсов на физическом факультете МГУ с 1992 года. Сейчас абсолютное большинство продвинутых пользователей не имеют ни малейшего представления ни о теории организации информации, ни о работе с интерфейсом командной строки. Другой автор принадлежит к весьма малочисленной группе первопроходцев, начавших свое компьютерное образование еще в век супермини-ЭВМ и получивших эти столь необходимые базовые знания. Именно на основе этих знаний, а также для удовлетворения природного любопытства и была написана рассмотренная выше методика. Однако что делать тем, кто не уверен в своей способности применить ее на практике?
В «золотой век» MS-DOS существовало огромное количество программного обеспечения, позволяющего восстановить ту или иную информацию на магнитных носителях при минимальном участии пользователя. Наиболее известны программы Undelete и Unformat из состава Norton Utilities (Symantec Co) и аналогичные средства из пакета PC Tools. С уходом MS-DOS эти крайне полезные программы стали неприменимыми и были сохранены скорее из добрых воспоминаний, нежели по причине своей практической ценности. В операционных системах семейства Microsoft Windows 95/98/Mе/NT/2000 существует встроенная защита от удаления файлов — так называемая корзина (Recycle Bin), возможности которой крайне ограниченны, и в случае ее очистки восстановить данные средствами ОС не представляется возможным. Однако существующие в настоящее время пакеты (Norton Utilities For Windows 95, Nuts’n’Bolts и т.д.) позволяют восстановить файлы даже при очистке корзины. Указанные программы хорошо знакомы отечественному пользователю и не нуждаются в представлении. Мы же рассмотрим программу, позволяющую восстановить данные с жесткого диска после повреждения MBR и BR.
Компания ONTRACK Data International, Inc. известна как производитель PowerDesk, пользующегося популярностью среди пользователей. Помимо этого пакета компания выпускает широкий спектр ПО, в состав которого входит пакет EasyRecovery, позволяющий восстановить данные с жесткого диска. Сразу уточним: именно данные, но не сам диск. Это означает, что на диске не делается никаких изменений, а данные с него читаются и копируются на исправный носитель. Поэтому после сохранения данных структуру старого диска придется создавать с нуля. Хотя программа не всегда корректно определяет предыдущее разбиение жесткого диска, таблицу разбиения вполне можно получить по рассмотренной выше методике и указать в ручном режиме эту таблицу программе с указанием файловой системы, использовавшейся в каждом разделе. После продолжительного сканирования диска программа выводит дерево каталогов, обнаруженных в разделе, и предлагает указать местонахождение данных, которые необходимо спасти. После процедуры копирования все данные, подлежащие восстановлению, окажутся в безопасности. При всех своих преимуществах это ПО не является панацеей. К примеру, самостоятельно восстановить таблицу разбиения жесткого диска невозможно, но прочитать данные с восстановленного раздела, не доступного операционной системе, ПО может без особых трудностей.
***
Авторы надеются, что этот материал будет представлять для вас чисто теоретический интерес и что на практике с такими проблемами вам столкнуться не придется. Для этого искренне рекомендуем вам делать регулярное резервное копирование важнейшей информации.
КомпьютерПресс 3'2002