Antech
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PEDKA Не понял этого предложения. Почему не стоит? Потому что если инфа ценная, пользователь понимает это и делает бэкап. Исключение составляет политика организации, когда юзер не может бэкапиться (дурацкие запреты на USB-девайсы и прочая шиза). Но тогда потерянная инфа - проблема работодателя, а не юзера. Если бэкапа нет, значит ничего особо ценного и не было. А ради не особо ценного париться с разборкой логических структур люди обычно не хотят, поэтому в форумах, как правило, прокатывают только советы типа "слей дамп отсюда" и "залей исправленный дамп сюда", ну и обычная фигня типа "используйте R-Studio"... Если интересно, посмотрите поподробнее статью Фролова. Там нет ничего про ранлисты ("runlist", "run-list", "список экстентов"). Зато можно научиться искать основные структуры. Следующий этап - это более подробное исследование атрибутов. Я рекомендую Вам изучить вот что: 1. Формат бутсектора (общие представления). Поля размера кластера, размера файловой и индексной записи, начальных кластеров MFT и MFT Mirror. 2. Файловая запись. Как она устроена (общее представление: заголовок, список атрибутов). Не забывайте про массив корректировки. 3. Заголовок файловой записи. Идентификатор FILE, массив корректировки, смещение начала списка атрибутов. 4. Заголовок атрибута файловой записи. Смещение начала атрибута (вариантной части). 5. Атрибут 0x30 FILE_NAME. Это имя файла. Таких атрибутов может быть несколько. Они Вам могут понадобиться просто для определения имени файла, который описывает данная запись. 6. Атрибут 0x80 DATA. Это данные (содержимое файла, например). Когда файл резидентный, все очень просто: данные - в самой файловой записи. А вот если нерезидентный, то расположение содержимого файла задано в ранлисте. Подробнее можете почитать в доке Linux NTFS: Concepts - Data Runs. В принципе, этого должно быть достаточно, чтобы проверить бутсектор, найти начало MFT и посмотреть, какие файловые записи там есть. Вначале будут записи метафайлов, они Вам не интересны. А после них - то, что нужно. Записи разнообразных более полезных файлов . Но просматривать их через hex-редактор неудобно, даже шаблон не поможет (стрктуры разного размера). Поэтому здесь будет полезно написать свою программку. У меня есть простейшая NtfsSearch и более сложная MediaWorkshop. Но Workshop на стадии разработки (хотя кое-что уже умеет), а NtfsSearch могу выложить вместе с исходниками, если хотите. Прога ищет файловые записи и может восстанавливать нерезидентные файлы. Фильтрует по размеру и расширению. Но эта прога чисто консольная и неудобная. |