Avant de commencer les diagnostics, la première étape consiste à évaluer l'état du lecteur. Puisqu'il s'agit de Seagate, nous devons voir le journal du terminal à partir du moment de l'alimentation, SMART, et évaluer la capacité de lecture des têtes dans des zones de densités différentes. En règle générale, un test aussi court révélera de nombreux défauts.
Nous nous connectons, fournissons de l'énergie. Dans le terminal, le variateur signale brièvement que la procédure de démarrage a réussi et, par les registres DRD et DSC, il démontre qu'il est prêt à accepter des commandes.
Figure: 2 Journal de démarrage du terminal du disque dur Seagate ST4000DM000
Ensuite, vous devez vérifier les lectures SMART ( qu'est-ce que SMART et ce qu'il faut y rechercher, j'ai déjà décrit dans ma note).
Figure: 3 lectures SMART
La première chose que nous regardons est le temps de fonctionnement (attribut 0x09), car s'il s'avère qu'il est proche de zéro, alors il n'a aucun sens de prêter attention aux lectures SMART , car il y aura une forte probabilité que les statistiques soient quelqu'un réinitialisé par des commandes technologiques, et les lectures actuelles ne montrent pas tous les événements enregistrés pendant le fonctionnement du variateur. Dans notre cas, la durée de fonctionnement est de 3 696 heures, ce qui indique qu'il n'y a probablement pas eu d'interférence dans les lectures SMART .
Ensuite, faites attention aux lectures des attributs 0x05, 0xC5 (197), 0xC6 (196) dans la colonne RAW. Des valeurs nulles indiquent que pendant le fonctionnement du lecteur, aucun problème sérieux de lecture à partir de la surface n'a été enregistré et aucun remappage n'a été effectué.
La lecture de l'attribut 0xC7 (199) fait allusion à d'éventuels problèmes de transfert de données dans les modes à grande vitesse. Compte tenu du fait que le nombre d’erreurs est faible, pour l’instant, nous ne tirerons pas de conclusions prématurées.
Puisqu'il ne s'agit pas d'un enregistreur en mosaïque (SMR), alors la capacité de lire toutes les têtes dans des zones de densité différente est facile à évaluer. Pour ce faire, il suffit de connaître le nombre de têtes, la taille approximative des mini-bandes et leur ordre d'alternance pour construire l'espace logique du disque. Nous utiliserons Data Extractor pour la démonstration. Construisons une carte de la minisone.
Figure: 4 Carte des minispaces dans l'espace logique Seagate ST4000DM000
La liste montre l'ordre d'utilisation des minispaces pour construire un espace logique:
0, 1, 2, 3, 4, 5, 6, 7, 7, 6, 5, 4, 3, 2, 1, 0 puis répétition cyclique. Sur la base de la taille d'une mini-zone pour un lecteur donné, il est évident qu'il suffit de lire plusieurs sections d'espace logique (généralement le début, le milieu et la fin de la plage logique) d'environ 500000 secteurs pour s'assurer que le lecteur ne se fige pas et que la vitesse d'analyse ne baisse pas brusquement. l'une des surfaces.
C'est la lecture de la surface qui a été utilisée, et non la vérification, afin de vérifier en même temps si des erreurs se produiraient lors du transfert de données. Dans ce cas, aucune erreur de lecture n'a été trouvée. Cet ensemble d'actions vous permet de considérer le lecteur comme conditionnellement sain et de commencer à analyser les structures des systèmes de fichiers.
Dans un premier temps, nous évaluerons si des partitions existent actuellement sur le disque et quels systèmes de fichiers y sont utilisés.
Je voudrais attirer votre attention sur le fait que sur les disques dont le nombre de secteurs est supérieur à 4 294 967 296 secteurs, vous devez utiliser GPTpour utiliser la pleine capacité, car la table de partition classique utilise des valeurs 32 bits qui ne sont pas assez larges. Dans notre cas, ST4000DM000 est un lecteur de 4 To, dans lequel la plage logique se compose de 7 814 037 168 secteurs de 512 octets.
Commençons par regarder le contenu de LBA 0.
Figure: 5 Tableau de partition décrivant la présence de GPT .
Nous trouvons ici une table de partition classique, avec une description d'un volume. Au décalage 0x1C2, le type de partition 0xEE est indiqué avec un décalage de secteur 0x00000001 à partir du début du disque et une taille de 0x3A3817D5.
Le but de cette entrée est d'indiquer que tout le contenu du disque disponible pour la table de partition classique est occupé afin que divers anciens utilitaires de disque qui n'ont aucune idée de GPT ne puissent pas créer la partition. Mais dans le cas de disques où le nombre de secteurs est supérieur à 4 294 967 296, la zone protégée doit être 0xFFFFFFF et non 0x3A3817D5.
Veuillez noter que la valeur 0x3A3817D5 (976 754 645) est environ 8 fois inférieure à 7 814 037 168 - le nombre total de secteurs sur le disque. Cela nous permet de supposer que le disque a très probablement été utilisé comme périphérique avec une taille de secteur de 4096 octets, et non 512 octets. Vérifions l'hypothèse et essayons de rechercher l'expression régulière 0x45 0x46 0x49 0x20 0x50 0x41 0x52 0x54 (EFI PART). Si c'est dans le secteur 1, alors l'hypothèse est incorrecte, si c'est dans le secteur 8, alors l'hypothèse sera confirmée.
Figure: 6 En-tête GPT Vérifions
également si des volumes sont décrits dans ce GPT , pour lequel nous passons au secteur 16
Figure: 7 Sections décrites dans GPT
Deux entrées se trouvent ici.
Le premier enregistrement est un volume de secteur de 76 800 (614 400) utilisant le système de fichiers FAT32. Ce volume est réservé aux besoins EFI.
Le deuxième enregistrement est un volume de 976 644 858 (7 813 158 864) secteurs utilisant le système de fichiers HFS +.
Étant donné que la version avec le fait que le disque a été utilisé comme périphérique avec une taille de secteur de 4096 octets est confirmée, l'étape suivante consistera à poursuivre l'analyse à l'aide de Data Extractor.
Après avoir créé la tâche, modifiez le paramètre de taille de secteur de 512 à 4096 et obtenez l'image suivante.
Figure: 8 Paramètres HFS +
Nous voyons deux volumes sur le disque avec des systèmes de fichiers corrects. Le premier volume, basé sur le rôle et la taille, ne nous intéresse pas. Mais le deuxième volume est déjà intéressant.
À partir des horodatages, nous pouvons conclure que ce volume a été créé le 19 octobre 2020, date relativement proche de l'heure à laquelle le disque nous est arrivé.
L'analyse du CatalogFile + Journal (structures HFS +) montre que le disque est vide à 99,9% et qu'il n'y a aucun signe de données utilisateur décrites par ce système de fichiers.
Maintenant, il est nécessaire de vérifier l'hypothèse que, peut-être, sur ce disque, il y avait d'autres volumes et systèmes de fichiers, et pas seulement ceux qui sont présentés maintenant. Pour ce faire, nous utiliserons l'outil de recherche de diverses expressions régulières spécifiques à diverses structures de systèmes de fichiers et de fichiers.
Figure: 9 Résultat de la recherche d'expression régulière.
L'analyse d'une surface d'environ 2 Go, qui dure moins de 2 minutes, nous montre qu'en plus des FAT32 et HFS + existants, il existe des signes de l'existence d'un volume avec le système de fichiers ExFAT. La première chose qui nous intéresse est la visualisation du répertoire racine ExFAT du volume.
Figure: 10 Répertoire racine ExFAT L'
étiquette de volume "Transcend" est frappante. La chose étrange est que les disques externes de ce fabricant sont répandus dans le facteur de forme 2,5 pouces, pas 3,5. Et il est peu probable que l'utilisateur lui-même ait jamais décidé de mettre une étiquette de volume similaire.
Écrivons les noms des répertoires décrits dans le répertoire racine et posons au client des questions pour savoir s'il s'agit des informations requises.
Ainsi, après un peu plus de 10 minutes, nous poursuivons la conversation avec le client, au cours de laquelle il s'avère qu'il n'est pas le propriétaire des informations et ne peut pas faire la lumière sur les données contenues sur le disque, et qu'il doit appeler le responsable pour clarifier la tâche. ...
Au cours du dialogue, on peut supposer que le client est le courrier d'une organisation intermédiaire sur le marché des services de récupération de données. De nouvelles négociations confirment cette version, car après l'annonce de l'information par le client, une pause s'ensuit auprès de son manager. Apparemment, le gestionnaire ne sait pas non plus ce qui doit être exactement sur le disque. Mais après environ 15 minutes, le client reçoit un appel l'informant que ce sont exactement les données qui doivent être extraites et que leur volume devrait être d'environ 2 To. Nous sommes également informés que nous avons été fournis pour analyse avec une copie secteur par secteur du support original réalisé à l'aide de WinHex.
Enfin, la tâche devient claire et que nous sommes sur la bonne voie. Vous pouvez reprendre le lecteur auprès du client et poursuivre les activités de diagnostic. Bien sûr, si nous avions toutes ces informations dès le début, la procédure de diagnostic express serait beaucoup plus courte.
Pour reconstruire ExFAT, nous devons savoir quelle était la taille du cluster pour ce système de fichiers, et déterminer la position du cluster zéro (point de référence). Ensuite, recherchez les restes de la table d'allocation de fichiers et le bitmap de l'espace occupé (Bitmap).
Un autre mot peu flatteur doit être dit à propos des développeurs ExFAT. Pour des raisons de performances du système de fichiers, il a été décidé que la table ne contient que des informations sur les chaînes fragmentées. Les données en ligne n'apparaissent en aucun cas dans le tableau. La création de ce système de fichiers sur un disque non vide n'efface pas la table d'emplacement des fichiers et peut contenir des données inutiles. Malheureusement, cette idéologie n'affecte pas de la meilleure façon la complexité de la récupération de données.
Lors de l'analyse des 2 premiers Go, des parties des répertoires ExFAT ont été trouvées. Après avoir estimé la taille de ces structures et rempli de zéros avant le début des autres données, il est facile d'établir la taille du cluster. Après avoir parcouru plusieurs répertoires, nous voyons des intervalles prononcés de 256 (2048) secteurs. Cela nous permet de supposer que la taille du cluster était de 1 048 576 (0x100000) octets ou 1 Mo.
Pour déterminer le point de départ, regardons les positions des répertoires à proximité. En se référant à la figure 10. En particulier, nous nous intéressons au répertoire $ RECYCLE.BIN, car il se trouve presque au tout début. Son numéro de cluster est indiqué à l'offset 0x94 et est un double mot (DW), dans lequel la valeur 0x00000005 est écrite, c'est-à-dire que le répertoire est situé dans le cluster 5. Faites également attention au répertoire "Xxxxxxxxxx Xxxx.photoslibrary", qui, selon la valeur indiquée dans l'offset 0xF4 , situé dans le cluster 7. Ces répertoires sont bons car il y a une forte probabilité qu'un ensemble prévisible de répertoires ou de fichiers y soit attendu.
Plus loin du répertoire racine avec un pas de 0x100000 octets ou 256 (2048) secteurs, faites défiler vers l'avant dans l'espace d'adressage.
Figure: 11 Répertoire ExFAT, éventuellement $ RECYCLE.BIN Le
contenu est similaire à un dossier de corbeille vide, où rien n'est décrit à l'exception du fichier "desktop.ini". L'emplacement du fichier au décalage 0x34 indique le cluster 6 et la taille 0x81 (129) octets. Avançons d'un autre cluster
Figure: 12 Contenu du fichier desktop.ini Le
contenu est très similaire à ce que l'on voit habituellement dans les fichiers "desktop.ini" et a une taille de 0x81 (129) octets. Il y a des raisons de croire que dans la figure 11, le dossier $ RECYCLE.BIN et dans la figure 11. 12 décrit dans celui-ci. Si l'hypothèse est correcte, alors dans le cluster suivant, nous devrions voir un répertoire, et son contenu devrait probablement ressembler à un dossier de bibliothèque de photos typique pour MacOS sur Apple Macintosh.
Figure: 13 Répertoire ExFAT, peut-être XXXXXXXXXXXXX.photoslibrary
Comme vous pouvez le voir, l'hypothèse s'est avérée correcte et nous avons vu les noms des répertoires attendus. Le nombre de correspondances dans cette zone peut être considéré comme suffisant et calculer le point zéro et la position du répertoire racine du volume autrefois existant.
Le répertoire racine est dans le cluster 4. Puisqu'il précède le répertoire $ RECYCLE.BIN dont le numéro de cluster est 5.
Le point zéro relatif à $ RECYCLE.BIN doit être à une distance de moins 5 clusters. Position $ RECYCLE.BIN secteur 37 888 (303 104). 5 clusters représentent 1 280 (10 240) secteurs. En effectuant une simple soustraction, nous obtenons la position souhaitée: 37,888 (303104) - 1,280 (10240) = 36,608 (292864) ou le décalage depuis le début de l'espace logique en octets est de 292,864 * 512 = 149,946,368 (0x8F00000).
De plus, ayant le point de départ de référence, la taille du cluster et la position du répertoire racine, nous essaierons de confirmer l'exactitude de notre hypothèse avec un nombre de vérifications beaucoup plus important.
En utilisant les outils Data Extractor, il n'est pas si rapide de le faire pour la partition ExFAT, nous montons donc le disque dans le système d'exploitation (avec écriture désactivée).
Figure: 14 Menu de montage des disques dans le système d'exploitation dans l'utilitaire PC3000 Win 7 Disk Nous
utilisons gratuitement Image Explorer du centre logiciel, où, en ouvrant le disque, nous pouvons rapidement écrire les paramètres du système de fichiers virtuel et évaluer l'exactitude des hypothèses.
figure. 15 Arborescence de répertoires ExFAT étendue
Comme vous pouvez le voir sur la capture d'écran, les répertoires et les fichiers sont à leur place, ce qui nous permet de conclure que les paramètres du système de fichiers sont définis correctement.
À ce stade, les activités de diagnostic peuvent être arrêtées et ensuite la liste de travaux suivante peut être convenue avec le client:
1. Rechercher des expressions régulières dans tout l'espace logique pour déterminer l'emplacement possible de divers types de données.
2. Au moins la reconstruction d'une section ExFAT.
3. Analyse des intersections avec de nouvelles données écrasées.
4.Construire une carte inversée par rapport aux données existantes sur le système de fichiers reconstruit à l'intersection avec Bitmap et rechercher des données utilisateur dans ces zones, puis trier les données trouvées.
Dans le cas des sociétés intermédiaires, comme d'habitude, l'appel commence, et ce n'est qu'après le consentement du propriétaire final (qui soupçonne à peine que ses données seront restaurées dans notre laboratoire) que le consentement est donné pour effectuer les travaux.
Tout travail, même avec des disques réparables, commence toujours par la création d'une copie secteur par secteur sur un autre lecteur. Cette mesure est nécessaire pour que le lecteur du client reste inchangé et qu'aucune initiative du système d'exploitation n'entraîne une corruption irrévocable des données. Pour un disque de 4 To, la copie via les ports PC3000Express prendra environ 10 à 12 heures.
Après avoir créé une copie, nous commençons à rechercher diverses expressions régulières afin d'avoir une idée de la distribution des données dans un espace logique, et aussi pour voir s'il y a des signes d'autres partitions et systèmes de fichiers sur ce disque.
Figure: 16 Résultats de la recherche par expression régulière dans tout le lecteur
Les résultats de l'analyse montrent que les données utilisateur sur le disque sont nettement inférieures aux 2 To déclarés par le client. Le dernier regex est situé au secteur 539 877 376 et jusqu'à la fin du disque, il n'y a plus rien de similaire aux données utilisateur, à l'exception du marqueur de fin du HFS + nouvellement créé, bien que le disque ne soit pas entièrement zéros jusqu'à la toute fin. Il est probable que le lecteur contenait un volume chiffré avant la création de la partition ExFAT sur le disque. Rien d'autre n'explique la présence de données uniquement «bruyantes».
Dans un tel cas, il est important de faire correspondre le résultat de la recherche regex à un bitmap.
Figure: 17 Fragment du secteur du répertoire racine ExFAT
Au décalage 0x34, le numéro de cluster est indiqué 2 - c'est la position du bitmap sur la section ExFAT. Le décalage 0x38 indique la taille de la structure 0x0746F1 (476 913 octets ou 3 815 304 bits). Lors de l'analyse de cette structure, il a été constaté que les bits en relief dans la carte ne sont que pour les premiers 270 Go, puis, selon la carte, la section est vide. Autrement dit, le bitmap correspond aux résultats de la recherche d'expression régulière, mais les deux sont en contradiction avec les mots du client.
Bien sûr, si une incohérence aussi grave est constatée, le travail est suspendu et vous devez à nouveau contacter le client intermédiaire et essayer d'obtenir des réponses aux questions:
1. Ont-ils vraiment créé une copie secteur par secteur complète qu'ils nous ont remise pour analyse?
2.Le propriétaire est-il vraiment sûr que ce disque contenait 2 To de données?
3. Et si vous êtes sûr, acceptez-vous de poursuivre le travail de récupération de données sachant que les données de plus de 270 Go ne peuvent pas être reçues sur ce disque?
Nous avons obtenu la réponse à la première question en accédant à distance au disque d'origine. Et dans l'éditeur de disque, après l'avoir parcouru avec un grand pas, ils l'ont comparé à la copie que nous avons. Il s'est avéré que la copie était complète.
La réponse à la deuxième question était que le propriétaire de l'information croyait voir avec certitude que le disque était plein de 2 To, mais n'en était plus très sûr.
Mais avec toute la confiance du client qu'il y avait plus de données, le consentement est toujours donné pour continuer le travail.
Avant de reconstruire le système de fichiers, il est conseillé de se faire une idée du nombre de répertoires fragmentés. Pour ce faire, prenez les résultats d'une analyse grossière et visualisez la taille des répertoires trouvés. S'il existe des répertoires dont la taille des enregistrements est égale à la taille du cluster, la fragmentation se produit le plus probablement, si la taille des enregistrements est inférieure à la taille du cluster, nous pouvons supposer que la tâche est sensiblement simplifiée et qu'aucun épissage manuel des fragments de répertoire n'est requis.
Figure: 18 Liste des répertoires ExFAT trouvés
Dans ce cas, aucune complication supplémentaire n'a été trouvée, la taille maximale des entrées dans le répertoire était de 629 984 octets, ce qui est nettement inférieur à la taille du cluster.
Il est également nécessaire de marquer toutes les zones occupées par les structures de fichiers nouvellement créées. Pour ce faire, nous allons construire des cartes de l'emplacement de toutes les structures et fichiers sur les partitions FAT32 et HFS +.
Figure: 19 Carte des structures et des données sur le volume HFS +
Remplissons ces endroits sur la copie avec un modèle qui sera facile à distinguer de toutes les données utilisateur, et aussi dans la tâche de copie pour ces zones, nous changerons la légende de lecture réussie à lecture avec des erreurs. Cela sera nécessaire pour une détection plus poussée des fichiers corrompus par des écrasements.
Pour une utilisation plus pratique des outils analytiques Data Extractor, il est nécessaire de décrire la section dans la table de partition et de créer un secteur de démarrage pour la partition ExFAT.
Figure: 20 Table des partitions avec un volume ExFAT enregistré
Au décalage 0x1D2, entrez le type de volume 0x07. Ce type est utilisé à la fois pour NTFS et ExFAT.
Au décalage 0x1D6, le pointeur vers le début du volume ExFAT. Soit 32 secteurs (0x20).
Au décalage 0x1DA, écrivez la taille de volume maximale autorisée pour la table de partition classique (bien que cette valeur soit inférieure à la taille de volume réelle, mais dans ce cas, elle est acceptable, car nous ne prévoyons pas de monter ce volume endommagé dans un système d'exploitation, et nous avons besoin d'une valeur non nulle uniquement pour fonctionnement normal des outils d'extraction de données).
Figure: 21 Secteur de démarrage ExFAT
Étant donné que Data Extractor est très sensible au contenu du secteur de démarrage ExFAT, ne remplir que les champs importants est souvent insuffisant (ce qui n'est pas très logique), et il est si facile d'afficher la section dans l'explorateur interne, comme c'était le cas dans les diagnostics dans Image Explorer, faire des exercices. Par conséquent, dans le cas du secteur de démarrage ExFAT, il est préférable de prendre un modèle standard et d'y entrer les valeurs correctes.
Pour notre commodité, nous écrirons le secteur de démarrage sous la forme qu'il serait si le lecteur était utilisé comme un périphérique avec un secteur de 512 octets. Cela nous fournira le bon fonctionnement de tous les outils du complexe sans reconstruction de carte inutile.
Remplissez les champs:
Octets par bloc- le nombre d'octets dans le secteur. ExFAT spécifie la puissance à laquelle 2 doit être élevé pour obtenir la taille.
Bloc par cluster - le nombre de secteurs dans le cluster. Il indique également le degré auquel vous devez augmenter 2 pour obtenir la quantité.
Total des clusters Nombre de clusters disponibles sur le volume. Nous entrons la valeur 3 815 304. Elle est obtenue en multipliant la taille du bitmap par 8.
Total Blocks - le nombre de secteurs. La valeur est obtenue en multipliant le nombre total de clusters par la taille du cluster (qui à son tour est obtenue en multipliant les octets par bloc par les blocs par cluster)
Décalage FAT- décalage du secteur d'amorçage vers la table d'allocation de fichiers. Créons une structure vide et mettons-la à partir du secteur 64. Ajoutez-y un titre standard.
Bloc par FAT - le nombre de secteurs occupés par la table FAT. Sa taille est facile à calculer en fonction du nombre de clusters. Bloc par FAT = nombre total de clusters / (octets par bloc / 4) avec arrondi à l'entier le plus proche. 3815 304 / (512/4) = 29 807, 0625 = 29 808.
(Peu importe la difficulté avec laquelle certaines sources essaient d'appeler ExFAT un système de fichiers 64 bits, la table d'allocation de fichiers est de 32 bits, mais, contrairement à FAT32, pour 32 bits sont utilisés pour l'adressage, et non 28.)
Nombre de FAT - nombre de copies de table. Malheureusement, lors de la création de partitions, il s'agit généralement de 1.
Décalage du tas de cluster- indique le décalage par rapport au bitmap en secteurs.
Root Dir Cluster - le numéro de cluster du répertoire racine.
Une fois que la section sera disponible dans l'explorateur de l'extracteur de données, nous créerons une carte de l'espace occupé à l'aide d'une image bitmap.
Figure: 22 Carte de l'espace occupé par les structures ExFAT et les données utilisateur selon bitmap.
Nous allons également créer une carte d'emplacement de fichier basée sur les enregistrements de fichiers existants, trier par ordre dans lequel les fichiers sont situés sur le disque et les comparer avec les données bitmap.
Figure: 23 Fragment de la carte de l'emplacement des fichiers disponibles sur le volume ExFAT Sur la base
des résultats de la construction de la carte de l'emplacement des fichiers, nous observons un "trou" assez étendu dans la plage logique de 718 528 à 57 131 008. Il est évident sur le bitmap que cette zone est occupée par les données utilisateur. De plus, lors de la recherche d'expressions régulières sur l'ensemble du disque, des signes de données ont été trouvés dans cette zone.
Dans ce cas, le fait de l'endommagement de ce système de fichiers et la nécessité de nouvelles actions analytiques sont confirmés.
Inversez la carte d'emplacement de fichier pour obtenir une liste des chaînes d'espace qui ne sont pas décrites par les enregistrements de fichier existants. Nous supprimons toutes les chaînes dont la taille est inférieure à la taille du cluster, car il s'agira de fragments de cluster libres qui ne sont pas complètement occupés par les données utilisateur qui y sont écrites. Nous mappons à une image bitmap et ne laissons que les chaînes qui se chevauchent de ces plages.
Le résultat restant est soumis à une analyse plus approfondie - la recherche de répertoires ExFAT. Créons un répertoire dans lequel nous formerons des entrées - des pointeurs vers les répertoires trouvés, et entrons les entrées des fragments de répertoires trouvés. Les répertoires trouvés doivent être vérifiés pour le contenu des entrées qui croisent les répertoires disponibles, établir leurs relations, et également vérifier la correspondance des en-têtes de fichiers pointés par les entrées de ces répertoires et filtrer les répertoires non pertinents. La perte de répertoires peut être causée à la fois par des erreurs dans le système de fichiers lors de l'exploitation du disque et par un chevauchement partiel de nouvelles données écrites sur le disque.
Figure: 24 Répertoire avec des pointeurs vers les structures trouvées qui n'ont pas d'objet parent.
De plus, après avoir complété la carte de localisation des fichiers avec des objets trouvés dans les répertoires perdus, nous procéderons à la répétition des procédures avec la construction d'une carte inversée en tenant compte de l'intersection avec le bitmap. Dans les chaînes ainsi obtenues, il est nécessaire de rechercher des expressions régulières pour différents types de fichiers utilisateurs.
Il s'agit de la dernière étape du travail analytique, dont le résultat sera les restes de données utilisateur, pour lesquelles il n'y a pas d'éléments du système de fichiers décrivant leur localisation. Veuillez noter que ces mesures nous ont aidés à ne pas inclure dans le résultat final divers déchets provenant de données qui auraient pu être supprimées plus tôt par l'utilisateur lui-même.
Une fois ces opérations terminées, vous pouvez commencer à copier les données trouvées, en tenant compte de la présence dans la carte de l'emplacement des secteurs de fichier "lus avec une erreur" et ainsi éliminer les fichiers qui sont uniquement écrasés par de nouvelles données. Nous avons créé les marques «lecture avec erreur» après avoir construit les cartes des fonctionnalités FAT32 et HFS +.
Ceci termine le travail. Le résultat maximal possible des fichiers non fragmentés a été obtenu tout en conservant la hiérarchie des répertoires d'origine, et presque tous les fichiers perdus possibles ont été trouvés sans inclure dans ce résultat diverses données de déchets typiques des programmes de récupération automatique.
Article précédent: Auto-diagnostic des disques durs et récupération de données