temp9285
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору [more] ICQman2GO Ок. Далее написанное лишь мои размышления. Итак. 1. При удалении файла в его записи каталога переписывается начальный байт и, в зависимости от того что работает с ФС, могут измениться и ещё некоторые. И чтобы это определить надо провести эксперимент в котором лождаться удаления файла в используемом устройстве и сравнить запись о нём на тот момент со значением до удаления. Могу сказать что согласно известному талмуду, правится лишь первый; в ХР и 7-ке правится ещё и ранее упомянутое старшее слово, которое отвечает за значение начального кластера файла. В твоей записи, после удаления этот номер значится как 00 00 05 14, что соответствует 1300-ому. И если до удаления выделенный байт был 00, то всё актуально. Но он так же мог быть и 01, 02, 03 и обозначенные ранее кластера как раз соответствуют эти значениям. То есть ранее, в любом из этих кластеров, мог начинаться требуемый тебе файл. В случае, если бы не было записи поверх, DMDE бы мог восстановить файл, чего не могу сказать про винхекс (хотя может я им не умею пользоваться). По крайней мере, в примере-задачке, которую я приводил раньше, если открыть том со второго дампа, DMDE восстанавливает файлы 01 и 08.jpg - винхекс нет. И в такой ситуации DMDE, при выделении файла, в дисковом редакторе (нижнее правое окно) показывает реальный номер начального кластера. После перезаписи такого нет. И в твоём случае видно что он показывает другой кластер (*)- не 1300. Вот только я не могу сказать с чем это связано, это лучше знает автор программы, но предположу что в силу того что этот кластер не перекрыт. Хотя было бы лучше если там реально было начало. (*) и это было видно в самом начале, но я раньше про всё это не знал. 2. Результат поиска DiskDigger-а в режиме RAW-восстановления. Не знаю алгоритмы его поиска, и как как он восстанавливает продолжение - просто отрезает сектора дальше по размеру из заголовку или ещё как; но как минимум корректный заголовок то должен быть. И он в секторе (и кластеру в котором он расположен), который фигурирует в именах файлов. Но соответствующих возможным твоим нет (**). Поэтому, можно предположить что или начало файла было не в кластере 66836 (который сейчас не занят), или там уже был другой файл который после тоже удалился. (**) Несмотря на отсутствие таковых, можно выполнить "пытку" - считать размер из заголовка и сравнить с разыскиваем. Хотя это актуально для удалённых файлов - ведь это могут быть и существующие. Ты наверное хочешь спросить "и шо из этого"? Если из каких то данных (FAT?) можно пробить цепочку кластеров, то восстановить их. Если нет, то просто вычитать сектора по размеру файла. А затем уже заниматься имплантацией заголовков, реанимаций файлов. Опять же, скриншоты карты кластеров как бы намекают что в 3-вариантах перезаписано прилично, но я не в курсе какой размер "иплантанта головы" некритичен. Впрочем, это уже вопрос к знатокам FAT и видеоформатов - например Alex_Green. PS. Если что не так - сильно не пинать. | Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 00:00 11-11-2015 | Исправлено: temp9285, 00:25 11-11-2015 |
|