Ein Dateisystem wird verwendet, um Dateien auf der Festplatte zu indexieren und zu organisieren. Einträge im Dateisystem zeigen auf genaue Positionen auf der Festplatte, die Informationen zu einer bestimmten Datei enthalten. Unterschiedliche Dateisysteme organisieren Dateien unterschiedlich. Dieser Artikel behandelt die Wiederherstellung von FAT (File Allocation Table)-Dateisystemen, einschließlich des Original-FAT, FAT16 und FAT32.
Inhalt
- Dateisystemanalyse
- Auffinden von Dateien in der Dateizuordnungstabelle (FAT)
- Erweiterte Analyse und Signatursuche
Dateisystemanalyse
Ein modernes Datenwiederherstellungstool wendet mehrere verschiedene Methoden an, um den genauen Speicherort einer gelöschten (oder fehlenden) Datei zu bestimmen. Es wird zuerst versuchen, das Dateisystem zu analysieren, sofern verfügbar, da ein Eintrag in der Dateizuordnungstabelle die umfassendsten Informationen über den Speicherort der Datei, ihren Namen und ihre Attribute enthält. Wenn ein Teil des Dateisystems noch verfügbar ist, kann das Tool Einträge im Dateisystem aufzählen, den Eintrag zu einer bestimmten Datei bestimmen und herausfinden, welche Sektoren auf der Festplatte zur Datei gehören und in welcher Reihenfolge. Dies kann für die korrekte Wiederherstellung einer Datei unerlässlich sein, da die Datei auf der Festplatte in Form mehrerer Segmente (Fragmente) anstelle eines einzigen zusammenhängenden Eintrags aufgrund von Festplattenfragmentierung gespeichert sein kann.
Fragmentierte Dateien sind äußerst schwierig (und nicht immer möglich) ohne gültigen Dateisystem-Verweis wiederherzustellen.
Auffinden von Dateien in der Dateizuordnungstabelle (FAT)
Im FAT-Dateisystem wird jeder Datei ein eigener Eintrag zugewiesen. Diese Einträge enthalten Informationen über die Datei, einschließlich aller Datencluster, die von der Datei belegt werden. FAT-Strukturen werden verwendet, um aufeinanderfolgende Cluster in den Dateien zu identifizieren und den aktuellen Zustand der Cluster zu bestimmen (z. B. ob sie verfügbar sind, wenn die Datei gelöscht wird, noch zur Datei gehören oder bereits von einer anderen Datei verwendet werden).
Wie Sie sehen können, werden fragmentierte Dateien mehr als einen Cluster belegen und daher eine miteinander verknüpfte Kette von FAT-Strukturen im Dateisystem aufzeichnen. Das Auffinden des ersten Eintrags und das Folgen (Aufzählen) der Links ist unerlässlich, um alle Einträge zu finden.
Die Dateisystemanalyse ist alles, was passiert, wenn das Wiederherstellungstool im Quick-Scan-Modus arbeitet. Aber was ist, wenn das Dateisystem leer ist (z. B. nach einem Formatierungsvorgang der Festplatte), beschädigt oder vollständig fehlt? In diesem Fall muss eine umfassende Analyse der gesamten Festplattenoberfläche durchgeführt werden, indem eine Signatursuchmethode zum Auffinden bestimmter Dateitypen verwendet wird.
Erweiterte Analyse und Signatursuche
Die Signatursuche ermöglicht es Datenwiederherstellungstools, Dateien erfolgreich zu identifizieren, zu lokalisieren und wiederherzustellen, die nicht im Dateisystem indiziert sind. Die Signatursuche kann Dateien mit persistenten Signaturen (z. B. „JFIF“ in JPEG-Dateien) oder mit einem begrenzten Zeichen-Subset (z. B. Textdateien) erkennen. Manchmal können Dateien mit bestimmten zyklischen oder wiederkehrenden Strukturen erkannt und wiederhergestellt werden. Durch Erkennen der Anwesenheit einer Datei und Analyse ihres Headers kann ein Signatursuchalgorithmus die von dieser Datei auf der Festplatte belegten Cluster berechnen und die Datei erfolgreich wiederherstellen. Weitere Details zur Signatursuche werden in einem Folgeartikel veröffentlicht.