Восстановление информации своими руками


Введение


Файловую систему NTFS принято описывать как сложную реляционную базу данных, обескураживающую грандиозностью своего архитектурного замысла не одно поколение начинающих исследователей. NTFS похожа на огромный, окутанный мраком, лабиринт, в котором очень легко заблудиться. Хакеры давно разобрались с основными структурами данных, осветив магистральные коридоры лабиринта светом множества факелов. Боковые ответвления разведаны намного хуже и все еще находятся по власти Тьмы, хранящей множество смертоносных ловушек, ждущих своих исследователей. В общем, если NTFS-"читалку" можно запрограммировать буквально за один вечер (с отладкой!), писать на NTFS-тома еще никто не рисковал. ###альтернативный вариант### …от магистральных коридоров лабиринта, ярко освещенных светов настенных факелов (и подсознательно ассоциируемых с хорошо исследованными структурами данных), отходит большое количество побочных ответвлений, освещенных значительно хуже (если освещенных вообще) и хранящих большое количество смертоносных ловушек (соответствующим особым случаям обработки казалось бы хорошо знакомых структур данных) ###.

К счастью, никто не требует от нас написания полноценного NTFS-драйвера! Наша задача значительно скромнее – вернуть разрушенный том в операбельное состояние, пригодное для восприятия операционной системой (задача максимум) или извлечь из него все ценные файлы (задача минимум). Вникать в структуру журналов транзакций, дескрипторов безопасности, двоичных деревьев индексаций для этого совершенно необязательно! Реально нам потребуется разобраться лишь с устройством главной файловой записи – MFT и нескольких дочерних подструктур.

Основным источником данных по NTFS служат:

а) книга Хелен Кастер (Helen Custer, часто сокращаемая до просто "Helen") "Inside the Windows NT file system" (в русском издании она входит в состав "Основы Windows NT и NTFS"), подробно описывающая концепции файловой системы и дающая о ней общее представление. К сожалению, все объяснения ведутся на абстрактном уровне без указания конкретных числовых значений, смещений и структур. К тому же, в операционных системах Windows 2000 и Windows XP с файловой системой произошли значительные изменения, никак не отраженные в книге. Если не найдете эту книгу в магазинах – ищите ее в файлообменных сетях. В них есть все! (Например, воспользуйтесь "Ослом" – www.eMule.ru).




Начало  Назад  Вперед



Книжный магазин