• Примером аппаратных проблем, приводящих к недоступности данных, могут служить неисправности контроллеров, головок или механики жесткого диска, царапины на прозрачной стороне лазерного диска. При этом сама информация обычно не затронута, нужно лишь обеспечить доступ к ней. Восстановление начинается с устранения аппаратной проблемы.
• Нарушения логической структуры при полной аппаратной сохранности носителя могут возникнуть в результате некорректного изменения служебной информации. Как правило, это вина пользователя, программных ошибок или действий вредоносных программ. Причиной могут послужить и аппаратные сбои, например перепады напряжения в момент записи такой информации, «небезопасное» извлечение flash-диска во время обращения к нему. Восстановление сводится к извлечению сырых данных и воссозданию их структуры.
Частным случаем является корректное, но опрометчивое удаление файлов и папок либо форматирование дисков. Фактически при удалении файла сначала только модифицируются записи в файловой системе, а сами данные остаются на диске до тех пор, пока на их место не будут записаны новые. Успех восстановления зависит, прежде всего, от того, производилась ли запись новых данных, «затерших» удаленные, или нет.
• Повреждение информации внутри файла. Файл формально цел, но не может быть открыт предназначенной для этого программой: выдается сообщение об ошибке. Это может быть следствием любой из названных выше причин. С разбора именно такой ситуации начинается книга.
Средства, необходимые для восстановления, зависят от характера и причины потери данных. В простейшем случае это специализированные программы, работающие в среде MS-DOS или Windows, – такие средства доступны каждому, кто хочет попробовать свои силы в восстановлении информации. Аппаратно-программные комплексы включают в себя электронные схемы, подменяющие или дополняющие штатную электронику носителей информации, и программное обеспечение. Как правило, такие комплексы достаточно дороги, что и ограничивает их применение любителями. Ремонт гермоблоков жестких дисков связан с выполнением очень тонких манипуляций и требует серьезных практических навыков, специального инструмента и «чистой комнаты». Это, а также потребность в запасных частях для ремонта делают выполнение подобной работы возможным и рентабельным лишь в специализированных сервисных центрах. Тем не менее в книге будут рассмотрены некоторые моменты таких манипуляций с винчестерами.
Глава 1Восстановление поврежденных файлов
• Структура файлов в программе Hexplorer
• Понятие формата файла
• Восстановление файлов собственными средствами прикладных программ
• Программы для восстановления файлов
• Полезные ссылки
• Резюме
В этой главе речь пойдет о восстановлении так называемых битых файлов. Файл может быть поврежден при его некорректном сохранении, особенно если вы пытались открыть, а затем сохранить файл, созданный кем-то в более новой версии прикладной программы. Такие файлы можно извлечь с поврежденного носителя. И хотя скопировать их удастся, при попытке открыть «спасенный» файл вы увидите сообщение об ошибке. После восстановления данных со случайно отформатированного диска среди найденных файлов наверняка окажется немало битых. Наконец, подобные файлы найдутся в результате анализа данных, сохраненных операционной системой при проверке и автоматическом исправлении ошибок жесткого диска, – такие файлы имеют расширение CHK.
Считается, что файл – именованная конечная и непрерывная последовательность байтов, несущая некую информацию. Для наших целей (восстановления данных) этого достаточно. В тех файлах, которые приходится восстанавливать на практике, такая последовательность обычно кодирует вполне осмысленную и завершенную информацию, например текст документа или растр (множество точек) изображения.
Напомним, что 1 байт = 8 бит, то есть каждый байт может принимать значения от 0 до 28 = 256 в десятичной (dec) или 28 = FF в шестнадцатеричной (hex) форме записи. Существуют программы, которые позволяют просматривать и изменять содержимое любого файла как простой последовательности байт. Логично называть их байтовыми или двоичными (бинарными) редакторами. Поскольку такие программы обычно показывают значения байтов в шестнадцатеричном виде, за ними закрепилось название «HEX-редакторы».
Если открыть файл в любом HEX-редакторе, мы увидим такое представление его содержимого. О применении HEX-редакторов для восстановления содержимого файла будет сказано в конце главы, они помогут понять структуру файла и то, в чем заключается суть ее повреждений.
Структура файлов в программе Hexplorer
Программа ICY Hexplorer – простой, но достаточно функциональный бесплатный редактор двоичных данных. Дистрибутив ее доступен на сайте разработчиков http://hexplorer.sourceforge.net.
Рабочая область окна разделена по вертикали. После открытия файла в левой части рабочей области отображается содержимое файла по байтам в виде их шестнадцатеричных значений (рис. 1.1). В правой части окна те же самые байты интерпретируются как ASCII-значения текстовых символов.
Рис. 1.1. Окно программы Hexplorer – открыт текстовый файл
При этом выделенный фрагмент одновременно подсвечивается в обеих половинах окна. Легко заметить, что означает каждый байт файла, если считать, что им закодирован какой-либо текстовый символ. При рассмотрении текстовых файлов такая интерпретация совершенно справедлива. Команды меню View (Вид) и Structures (Структуры) позволяют интерпретировать содержимое файла иначе, например как точечный рисунок, и просмотреть его в дочернем окне.
Понятие формата файла
Существует множество типов и форматов файлов. В общем виде формат – это сведения о том, как программа должна интерпретировать содержимое файла при его открытии. Иногда формат путают с расширением имени файла, но это совершенно разные понятия. Операционная система может использовать расширение имени файла, чтобы быстро определить, какой программой должен открываться данный файл. Как правило, расширение должно соответствовать формату, но это вовсе не обязательно. Сведения о формате находятся в самом файле – они помещаются в начало последовательности байтов.
Текстовый файл – самый простой формат. Каждый байт текстового файла является кодом определенного символа ASCII (буквы, цифры или знака препинания), а также символов пробела, начала и конца строки. Кроме значений текстовых символов, в текстовом файле действительно больше ничего нет! Структура любых других типов файлов гораздо сложнее.
В качестве примера откроем в HEX-редакторе файл рисунка в формате BMP (рис. 1.2). В самом начале файла дана последовательность 42 4D – в текстовой интерпретации это буквы BM. Затем следует довольно длинная последовательность байтов, в которой преобладают нулевые значения, а уже за ней начинается массив самых разных значений, который продолжается до самого конца файла.
Рис. 1.2. Окно программы Hexplorer – открыт файл рисунка в формате BMP
Можно предположить, что начало файла – какая-то служебная информация, причем самые первые ее байты указывают на формат файла. Лишь затем следует то содержимое, которое программа, работающая с подобными файлами, должна интерпретировать как рисунок.
Примечание
В Интернете существует ресурс, который неоднократно будет упоминаться – «Википедия», или «Свободная энциклопедия». Она содержит большое количество сведений и о форматах файлов, и о многих других понятиях, всю информацию о которых в одну книгу собрать просто невозможно.
В статье говорится, что BMP-файл действительно состоит из четырех частей:
• заголовок файла (BITMAPFILEHEADER). Первое поле заголовка (первые два байта) является сигнатурой – указанием на тип файла;
• заголовок изображения (BITMAPINFOHEADER) – необязательный компонент, он может отсутствовать;
• палитра, которая также может отсутствовать;
• само изображение – каждый байт описывает одну точку рисунка.
Здесь необходимо сделать важный вывод. Очевидно, что искажение или утрата данных, относящихся к первым трем частям, может привести к тому, что файл перестанет открываться предназначенной для этого программой, хотя вся значимая информация в нем осталась цела. В этом случае появится сообщение «Файл имеет неправильный формат или поврежден». Наоборот, утрата или искажение данных самого изображения никак не повлияет на открытие файла, но в открывшемся рисунке выпадут или будут искажены отдельные фрагменты.
В качестве эксперимента можно сделать несколько копий файла, намеренно испортить каждую из них в разных местах с помощью HEX-редактора, а затем сохранить. Открывая эти файлы стандартным средством просмотра Windows или программой Paint, пользователь убедится в справедливости сделанного ранее вывода.
Подобным образом устроен любой файл, хотя спецификация частей файла зависит от его типа. Описания почти всех форматов опубликованы, их можно найти в Интернете. Некоторые из детальных описаний занимают не один десяток страниц. Причем понятное описание форматов файлов Microsoft Office найти труднее всего, но все же существуют и общие положения.
• В начале файла всегда находится его заголовок (header). Сам заголовок тоже обладает внутренней структурой.
– Заголовок начинается сигнатурой, или «магическим числом». Это фрагмент кода, который однозначно дает понять, что это за файл или какой программой он создан. Например, EXE-файл всегда начинается с символов MZ, архив RAR содержит в своем коде сигнатуру RAR.
– Другие поля заголовка могут содержать информацию о размере файла, указывать, на каком байте заканчиваются заголовки и начинаются собственно данные, и так далее.
• В файле могут присутствовать специфические для данного формата заголовки, например для файлов изображений они указывают алгоритм сжатия, глубину цвета, размеры изображения в точках и т. д. Для звуковых файлов такими параметрами будут частота и разрядно