Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
november 2018 december 2018 január 2019
po ut st št pi so ne
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6
dnes 17.12.2018 dnes 17.12.2018

kto je online?
počet anonymných užívateľov: 1
počet prihlásených užívateľov: 1
teraz je online:
Bing [Bot]

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Konzole pro zotavení v...
6.Windows 7 RC v slovenč...
7.Inštalujte Windows z U...
8.Platené vs Zadarmo
9.Panika menom Conficker
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Nezaradené > Ze života

Jak jsem zachraňoval data

Windows User Group - Slovak Republic

Tento příspěvek je volným pokračováním série popisující mé příhody při provádění zdánlivě rutinních operací ve Windows a při práci s diskovými oddíly. Jak jste si možná všimli, předchozí díly byly často inspirovány katastrofami různého rozsahu, které jsem svoji činností způsobil.

Dnešní článek není v ničem odlišný. Opět došlo, tentokrát pouze k relativně malé, katastrofě a opět jsem ji bez ztráty kytičky překonal. Někdy si už začínám připadat jako mistr úniků. Zajímavé určitě bude, až se dostanu do situace, kdy žádné záchranné práce nepomohou.



Pozadí

 

Před pár měsíci jsem se rozhodl pořídit si svůj první externí disk. Místa není nikdy dost, zejména když často pro svou práci používáte programy pro tvorbu virtuálních počítačů, jako je VMWare či Virtualbox. Vývojové nástroje, ISO obrazy instalačních médií k různým verzím Windows a zejména soubory virtuálních disků dokáží celkem spolehlivě zaplnit i interní disk notebooku o kapacitě 320 GB. Externí disk se též vyplatí pro účely zálohování.

Na nový externí disk jsem přesunul velké množství dat včetně většiny obrazů instalačních médií a též jsem provedl zálohu velmi důležitého obsahu. Protože toto zařízení disponovalo kapacitou 640 GB, rozhodl jsem se je formátovat souborovým systémem NTFS, který díky své vnitřní struktuře nabízí teoreticky vyšší rychlost přístupu. Drobná nevýhoda může spočívat v přístupových právech, pokud médium přenášíte mezi více počítači.

NTFS pro svoji činnost hojně využívá softwarových vyrovnávacích pamětí, což jednak zvyšuje jeho rychlost, ale na druhou stranu je nebezpečné takové zařízení odebírat jinak než přes ikonu „Bezpečně odebrat hardware“, která se nachází v pravém dolním rohu v blízkosti hodin. V opačném případě totiž nemusí dojít k zápisu všech potřebných dat, což může zavdat ke vzniku celkem velkého problému.


Problém

 

Přesně nevím, jak ke zmizení adresáře ISO, ve kterém se nacházela instalační média k různým verzím Windows, z externího disku došlo. Příčinou pravděpodobně byla snaha systému o automatickou opravu struktury systému souborů na externím disku. K problému pravděpodobně došlo nechtěným odebráním zařízení bez použití ikony „Bezpečně odebrat hardware.“ Alespoň se tak domnívám z upozornění v prohlížeči událostí, které praví, že systém souborů na externím disku byl úspěšně opraven.

Tato oprava spočívala v odstranění složky ISO z kořenového adresáře, protože buď její MFT záznam, nebo vlastní struktura kořenového adresáře byly poškozeny. Toto chování NTFS je vcelku běžné – chybné záznamy a části datových struktur odstraňuje.

Nejdůležitější datovou strukturou souborového systému NTFS je Master File Table (MFT). Jedná se o tabulku (přesněji pole), ve které jsou uloženy informace o každém souboru a adresáři. Každá takovou entitu reprezentuje nejméně jeden MFT záznam. Ukázku této tabulky vidíte na obrázku 1. Záznam s číslem 35 popisuje adresář system32, který obsahuje například podadresář drivers (záznam číslo 36) či soubory kernel32.dll (38), ntoskrnl.exe (40) a win32k.sys (41).

 

Ukázka Master File Table
Obrázek 1: Ukázka Master File Table

 

Z obrázku je patrné, že pokud chceme zjistit, jaké položky obsahuje adresář system32, stačí nám přečíst informace uložené v jeho MFT záznamu a datech k němu přidružených. A přesně tak postupuje ovladač souborového systému, když jej aplikace požádá o tento druh služby – načte MFT záznam příslušné složky, přečte jeho data, zpracuje výsledek do podoby seznamu souborů a adresářů a vrátí jej entitě, která o něj požádala.

Protože složku ISO nebyla v kořenovém adresáři externího disku vidět, zdálo se, že oprava NTFS spočívala buď v jejím smazání, nebo pouhém odstranění z dat MFT záznamu kořenového adresáře.

Obecný postup při řešení problémů tohoto druhu

Pokud se něco porouchá v souborovém systému, nejlepší postup pravděpodobně spočívá v diagnostice pomocí speciálních nástrojů, které dokáží chyby odhalit a získat data ze ztracených a poškozených souborů. A tak jsem se přesně rozhodl postupovat.

Tyto speciální programy obvykle dokáží pracovat ve dvou režimech:

  • Hledání smazaných souborů – program prochází Master File Table a zkoumá obsah záznamů patřících smazaným souborům a složkám. Operace mazání se na těchto záznamech projeví pouze změnou jednoho bitu, kteří říká, zda se záznam aktuálně používá, nebo může být přidělen jinému objektu. Program najde všechny takové záznamy, zobrazí je jako smazané soubory a adresáře a umožní vám zachránit jejich data.

    Tento postup je vcelku rychlý, protože dochází ke čtení pouze Master File Table, která je málo fragmentována a jejíž velikost se pohybuje nejvýše v řádu stovek megabajtů.

  • Hloubková analýza – program prochází celý diskový oddíl a vyhledává data smazaných souborů na základě heuristiky. Jedná se o rozpoznávání souborů různého typu podle signatur. Speciální programy umějí rozpoznat například dokumenty PDF či obrázky JPG.

    Hloubková analýza je velmi pomalý proces, protože program musí postupně načíst obsah téměř celého média, což u disků může být i několik set GB. Další nevýhodou je fragmentace. Jednotlivé soubory se na médiu nemusí nacházet uložené v souvislém bloku po sobě jdoucích sektorů, ale v několika oddělených „kusech.“ Protože hloubková analýza nebere v potaz interní datové struktury souborového systému, nemá šanci fragmentaci odhalit.

Pokud si tedy nechtěně smažete nějaká data a chcete je obnovit, pravděpodobně vystačíte s použitím speciálního programu v prvním režimu. Je velmi vhodné ukládat obnovené soubory na jiné médium, než to, jehož obsah zachraňujete, protože by v opačném případě molo dojít k přepsání dat, která ještě zachráněna nebyla.

Hloubková analýza nastupuje až v případě, že hledání smazaných souborů nepřineslo očekávaný výsledek, nebo jsou interní struktury souborového systému tak poškozeny, že jej nelze provést. Tímto způsobem nelze zachránit soubory, jejichž formát speciální program nezná, protože nemůže rozpoznat jejich signaturu.

Pokud ani hloubková analýza nepomůže, pravděpodobně vám nezbude než se se svými ztracenými daty rozloučit nadobro, nechcete-li zkusit štěstí se specializovanou firmou.

 

Diagnostika

 

Při řešení mého problému jsem se držel výše popsaného obecného postupu. Mezi mé oblíbené programy v této oblasti patří Recuva. Stáhl jsem nejnovější verzi, nainstaloval a spustil. Nechal jsem provést pouze hledání smazaných souborů, hloubková analýza nepřipadala v úvahu, protože pohřešované soubory měly formát obrazu médií CD/DVD, který program nepodporuje (alespoň se tak na první pohled tváří jeho uživatelské rozhraní).

Kontrola externího disku proběhla relativně rychle a odhalila mnoho smazaných souborů. Obrazy médií z adresáře ISO se však mezi nimi nenacházely. Ani samotnou složku vidět nebylo. I přesto program poskytl velmi slibné vodítko. U každého nalezeného smazaného souboru udává, zda jeho data nebyla přepsána souborem jiným. A několik smazaných souborů bylo přepsáno obrazy CD/DVD právě z adresáře ISO.

Z výsledků hledání tedy vyplývalo, že adresář ISO ve skutečnosti smazán není. V opačném případě by jej program Recuva bez problémů našel. Data tedy nebyla smazána, ale ani viditelná, ačkoliv by měla. Situace trochu připomínala pohádku O chytré horákyni.

Možnost, že můj systém je infikován rootkitem, který se snaží příslušné soubory před mýma očima skrýt, jsem velmi rychle vyloučil. Skrývat obrazy CD/DVD nemá příliš valný smysl, zejména pokud se jedná o instalační média. A protože můj stroj běží na 64bitové verzi Windows 7, nutnost digitálního podepisování ovladačů bude pro útočníka velkou překážkou, ne však nepřekonatelnou, jak ukázaly nedávné události.

Po vyloučení rootkitu zbývala jediná možnost – souborový systém na externím disku je v nekonzistentním stavu. Návrháři souborových systémů hledí spíše na rychlost výsledného řešení, než na množství metadat, která je třeba o každém souboru či adresáři ukládat. Některé údaje jsou tedy uloženy několikrát, pokaždé v jiné formě.

Na obrázku 1 jste viděli, že každý adresář si ve svém MFT záznamu a k němu přidružených strukturách uchovává seznam položek, které obsahuje. Každý MFT záznam si však navíc pamatuje svého rodiče – složku, do které patří. Adresářový strom lze tedy zrekonstruovat dvěma způsoby:

  • Stejným postupem jako provádí ovladač souborového systému a které znázorňuje obrázek 1

  • Procházením odkazů na rodiče, čímž dochází k budování stromu z druhé strany

Z této redundance mimo jiné vyplývá, že šipky na obrázku 1 by měly vést oběma směry a nikoli ukazovat pouze z MFT záznamu adresáře na jeho položky.

Znalost této redundance však dává rozumné vysvětlení chování programu Recuva. Složka ISO byla v důsledku opravy vyňata z kořenového adresáře, ale její MFT záznam a ani záznamy jejích položek nebyly označeny za smazané. Z toho vyplývá, že program Recuva je schopen z konkrétního záznamu zjistit jeho plné jméno (včetně cesty), ale nedokáže vybudovat adresářový strom od kořene. Celou domněnku zbývalo pouze ověřit.

 

Ověření

 

Náhoda tomu chtěla, že jsem se přes rok věnoval programu FileDetector, jehož účelem je nacházet skryté a jinak podezřelé soubory na disku. Jedná se v podstatě o parser (rozpoznávač) struktur souborových systémů FAT a NTFS. Program podporuje dva algoritmy budování adresářového stromu:

  • Dvojfázový – strom se buduje od kořene. Seznam souborů a adresářů získaný čtením interních datových struktur souborového systému je porovnáván se seznamem vráceným standardními funkcemi Windows API. Rozdíly jsou klasifikovány jako podezřelé.

  • Trojfázový – program projde celou Master File Table a pokusí se vytvořit adresářový strom pouze na základě odkazů jednotlivých záznamů na jejich rodiče. Výsledek porovná se stromem získaným pomocí standardních rutin Windows API, který je tvořen (stejně jako u dvojfázového algoritmu) od kořene. Rozdíly jsou klasifikovány jako podezřelé.

Pokud byla domněnka o nekonzistenci souborového systému správná, trojfázový algoritmus by měl označ položky ze složky ISO jako skryté. Jak ukazuje obrázek 2, skutečně se tak stalo.

 

výsledek práce programu FileDetector
Obrázek 2: Výsledek práce programu FileDetector

 

Konečné řešení

 

V tomto bodě bylo zřejmé, že hledané soubory se na externím disku opravdu nacházejí, a protože jsem na něj od doby „opravy“ nic nezapisoval, existovala velká pravděpodobnost na jejich záchranu v plném rozsahu. Podle rčení „proč to dělat jednoduše, když to jde i složitě“ jsem se rozhodl při obnovování nespoléhat na cizí programy (v této fázi jsem ani nevěděl, že bych s nimi vystačil), a provést jej pouze za využití programu FileDetector. Nejprve byl program upraven tak, aby u skrytých souborů ukazoval čísla jejich MFT záznamů. Výsledek ukazuje obrázek 3.

Dále bylo zapotřebí vylepšit schopnost aplikace kopírovat soubory na základě čísla záznamu. Program zatím uměl pouze kopírovat a přepisovat obsah na základě celé cesty. Pro podporu nových vlastností jsem do nástroje Zkopírovat objekt přidal podporu následující syntaxe:

X:#<číslo>

kde X je písmeno diskového oddílu a za znakem # se nachází číslo MFT záznamu souboru, která má být zkopírován.

Jakmile byl FileDetector vybaven novými funkcemi, dal se ihned do práce a za několik hodin byla všechna data obnovena a uložena na bezpečnější místo, na jiný externí disk.

 

Program FileDetector nyní u skrytých souborů zobrazuje i čísla jejich MFT záznamů
Obrázek 3: Program FileDetector nyní u skrytých souborů zobrazuje i čísla jejich MFT záznamů

 

Závěr

 

Po dokončení obnovovacího procesu jsem prohlédl externí disk s poškozeným souborovým systémem ještě několika nástroji na hledání smazaných či jinak poškozených souborů a zjistil jsem, že si s oním poškozením vědí rady. Například u programu Recuva (verze 1.38.504) bylo třeba v nastavení zaškrtnout hledání nesmazaných souborů (viz obrázek 4). Uspěly i programy Active File Recovery 7.5.3 či Recover My Files v4.6.6(845). V případě druhé aplikace však bylo zapotřebí provést zotavení celého diskového oddílu (volba Recover Drive).

Poučení plynoucí z tohoto článku jsou velmi jednoduchá. I když nepatříte mezi malou skupinu lidí, co znají interní strukturu různých souborových systémů, nemusíte při ztrátě dat věšet hlavu. Specializované programy si dokáží poradit ve většině případů, pokud je správně nastavíte. Nejúčinnější pomocí je samozřejmě prevence spočívající v častém zálohování.

Poslední poučení říká, abyste brali moje postupy s rezervou. Řešení lze dosáhnout většinou mnohem přímočařejšími a jednoduššími cestami, po kterých můžete jít bez potřeby speciálních (a většinou zbytečných) znalostí.

 

Nastavení programu Recuva
Obrázek 4: Nastavení programu Recuva


Užitečné odkazy

 

Recuva
Active File Recovery
Recover My Files
FileDetector

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Martin Dráb | utorok 17. augusta 2010 00:58 | Prečítané: 6677 x | hodnotenie: 5/5 |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

partneri
SecTec - Think secure

Počítačová škola GOPAS

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic