На днях к нам поступил довольно любопытный заказ. Жесткий диск, абсолютно исправный, но около двух месяцев бывший в использовании у другого человека. Проще говоря, диск украли, а вернулся он к своему хозяину лишь через два месяца. Естественно, все время, что диска не было на его законном месте, его использовали: записывали на него фильмы и музыку, очевидно, чтобы куда-то это все переносить или где-то смотреть и слушать.
Ситуация оказалась отягощена тем, что диск (а это был внешний накопитель емкостью 1 Тб) был размечен и отформатирован в файловой системе FAT32 — не самый удачный выбор для файлового хранилища. Почему? Да хотя бы потому, что в FAT32 имеются ограничения на длину пути в имени файла, на размер файла, на количество файлов, и т.п. (подробнее можно почитать в википедии). Ну и самое главное — при форматировании FAT32 затираются файловые таблицы. После этого воссоздать файловую систему довольно трудно, а если на диске имелись крупные фрагментированные (состоящие из нескольких кусков, раскиданных по разным местам диска) файлы, то возникают проблемы с их сборкой.
Ну и добавьте сюда то, что диск около двух месяцев использовался, активно затирая данные настоящего владельца.
В этих условиях восстановление информации — задача вовсе не тривиальная. С чего мы начали?
Как обычно, был создан полный посекторный клон диска. Да, мы работаем только так: в любых условиях, при любой неисправности мы вначале создаем клон диска. О том, почему мы так делаем, мы уже писали, и останавливаться на этом не будем. Работа с оригинальным диском — вне зависимости от того, какая у него неисправность — это грубейшая ошибка любого псевдоспециалиста в области восстановления данных, так как при этом имеется потенциальный риск для данных пользователя. А работа специалиста по восстановлению данных как раз и заключается в том, чтобы достать данные, полностью исключив все риски.
После клонирования работы ведутся только с клоном, оригинальный «больной» диск заказчика отправляется на полку.
Естественно, в нас теплилась надежда, что какие-то фрагменты старой файловой системы на диске все-таки остались. И мы не ошиблись — при анализе диска нам удалось обнаружить больше 800 записей о каталогах и больше 64000 записей о файлах. Дело за малым: собрать это все в файловую систему.
Как правило, в таких случаях мы не ограничиваемся сборкой виртуальной файловой системы, так как гарантировать ее 100%-ное совпадение с исходной в условиях перезаписи нельзя. Поэтому мы проводим параллельную работу восстановления файлов по сигнатурам: диск сканируется последовательно, все найденные заголовки файлов анализируются, после чего файлы собираются и «выливаются» на диск-приемник. При этом восстанавливается все, что было записано на диск, вне зависимости от того, кто и когда это сделал. В случае с фрагментированными файлами (особенно это касается видео) используются наши собственные разработки.
Так же мы поступили и на этот раз: данные были восстановлены как традиционным путем, с сохранением файловой структуры, так и в режиме сигнатурного поиска. Как ни странно, результаты оказались почти одинаковыми по объему восстановленного — а это означает, что файловая система была воспроизведена очень близко к исходной, почти без потерь.
Ну и о результатах. Это было сюрпризом, но результат оказался более чем воодушевляющим: нам удалось восстановить около 75% данных, которые находились на диске на момент кражи. Заказчик остался доволен, да и мы тоже остались довольны своей работой.
Станислав К. Корб (С) 2019
