从坏的文件分开的好，或者文件系统的快照工作

从坏的文件分开的好，或者文件系统的快照工作
打印
本地NTFS。它可以从上下文菜单启动，如“扫描MFT»虚拟文件系统 -它几乎总是逻辑分析诸如“扫描MFT”或的结果“下分析”。要访问目录或文件来构建地图的患者的无磁盘的读取是没有必要的-所有的信息都存储在对象目录的数据库。
虚拟文件系统不能建立使用或运行区间分析数据的位图地图上。但是你可以创建或扩展过滤它们按日期组文件。

结果扫描MFT - 虚拟文件系统。可用过滤，分组，但对于NTFS没有具体的方法。

如果逻辑分析后获得的虚拟文件系统，它可能是从本地文件系统很大的不同，分析发现文件，这根本达不到常规方式。通常这不会导致问题，更多的文件 - 越好。但是，如果你想获得一个虚拟文件系统，它是最接近本地，也可以使用创建一个“简单”（无条件）系统快照的方法。

创建本地文件系统的一个简单的图像

第一步是要分开的，坏的文件好 - 就是创建一个虚拟文件系统，现在我们知道它是什么，如何做到这一点。对于任何虚拟文件系统，你可以创建基于快照（新的虚拟文件系统）的头图，传说，元数据和任何卡的完整性。考虑实践中的例子，当这些图像是有用的。

菜单与创建图像的方法

ROM与“病”头

采取了例如磁盘占用8头（从HD0到HD7）一个的读取，例如，HD2。我们判断什么是好文件和坏。

• 良好的文件 -即没有一个部门并不适用于患者头部HD2的文件。换句话说，所有的部门文件只适用于健康的目标（零，第一和第三至第七）。
  
  

  一个好的文件的例子。它仅位于3,4和头部5
• 错误的文件 -至少是一个部门一个文件是HD2头。
  
  

  一个坏文件的一个例子。两个行业下跌为第二（困扰）的想法。
  
  

如何选择唯一的好文件

• 要根据头地图运行虚拟文件系统快照方法
• 注意头皮健康
  
  

  所有标记头皮健康 - 除第二
• 选择“没有任何问题的文件”
  
  

该政权的结束，我们将得到一个新的虚拟文件系统，这将是唯一的好文件。

新的虚拟文件系统与文件只放在心中健康

如何选择只有坏文件

几乎相同的算法：

• 要根据头地图运行虚拟文件系统快照方法
• 注意头皮健康
• 这一次，选择“有问题的文件”
  
  

ROM与BAD'ami和未读部门

再举一个例子。我有坏盘已经被部分校对。有迹象表明，能够成功地读取（绿色）领域，也有坏的扇区（黑）是我们甚至没有试图读取（白色和黄色）的部门。如果你死心BAD'y阅读，他们会与我们同在

• 绝对是个好文件 -文件中的所有环节都被读取。
  
  

  例如明确的好文件。所有行业阅读（绿色）。
• 绝对坏的文件 -已包含至少一个BAD文件。
  
  

  例如显然是错误的文件。此文件包含一个坏扇区（黑色）。
• 潜在的好文件 -无不良文件，但没有被读取的扇区。对于这些文件，是有意义的运行进一步减法。
  
  

  一个潜在的好的文件的例子。它有未读的部门，但没有BAD'a
  
  

如何选择好的唯一文件

• 要根据传说运行虚拟文件系统快照方法
• 选择的“坏”的传说和未读部门
  
  

  坏扇区和未读
• 选择要排除的文件的传说
  
  

仍然没有一个坏人或者未开封的部门文件，即 阅读所有部门。

如何选择明确坏文件

• 要根据传说运行虚拟文件系统快照方法
• 选择一个传说只有“坏”的扇区
  
  只有坏扇区
• 选择文件，包括传说
  
  

仍然认为至少有一个坏扇区的文件。

如何选择一个良好的潜在文件

立即选择唯一可能的好文件，但没有明确的善意。我们继续在两个阶段。首先，我们选择他们两个：

• 要根据传说运行虚拟文件系统快照方法
• 选择一个传说只有“坏”的扇区
  
  只有坏扇区
• 选择要排除的文件的传说
  

获取其中有坏道没有文件的图片。快照 - 它也是一个虚拟文件系统，所以我们可以拍照的图片。删除明确好了，只留下潜在的好：

• 要运行基础上，传说中创建图像的完成的图像方法
• 选择传说完好部门
  
  

  未读和未回答的部门
• 选择包含传说中的文件
  

获取其中有未读部门的图片，但在每个文件坏扇区。

与逻辑文件系统驱动器的问题

文件位置存储在文件系统元数据。如果元数据被损坏，我们无法知道该文件的具体部门存储什么，以什么顺序，他们应该遵循。例如，我们知道那里的文件存储开始，但我们不知道它在哪里结束。数据提取进行逻辑分析，当这些文件标记。

同样，划分文件转换成好的和坏的：

• 良好的文件 -舱位完全知道一个文件
  
  

  一个好的文件的例子。需要住宿的建设的所有元数据，完整
• 错误的文件 -文件位置尚不完全清楚
  
  

  一个坏文件的一个例子。损坏的元数据的一部分，因此无法构建一个完整的部署
  
  

如何选择唯一的好文件

• 要运行虚拟文件系统快照方法，考虑到元数据的完整性
• 选择“没有任何问题的文件”
  
  

如何选择只有坏文件

• 要运行虚拟文件系统快照方法，考虑到元数据的完整性
• 选择“有问题的文件”
  
  

重新格式化分区

此前，我们已经考虑的情况下，当用户不小心创建磁盘上的一个新的文件系统。我们设法找到一个旧文件系统，看到了旧数据。然而，在这种情况下，有一个高的机会，一些旧文件被覆盖，即 损坏。同样，分离问题出现在好的和坏的：

• 良好的文件 -即没有一个部门尚未当你创建一个新的文件系统重新编写的文件
  
  一个很好的文件，而不是单一部门的例子不被改写（我们使用的是绿色指示“老”行业）
• 坏文件 -包含至少一个扇区已被重写文件
  
  一个坏文件的一个例子，它改写了行业（我们使用的颜色红色改写绿色 - 不重写扇区）
  
  

首先要做的事情 - 建造已被重写的地图。此卡可以使用新的文件系统或地图上的所有文件。

如果我们谈论新创建的文件系统，那么，从理论上讲，改写部门必须完全匹配卡采用新的文件系统，再加上这个地方的磁盘结构（MBR，GPT等）占用。但在实践中，也有不同的情况。例如，对于HFS +，这条规则的作品，并为ext4的 - 不，它储备了大量用于存储元数据的部门，但在制定的过程中不重写它们。

地图改写使我们能够明确的标准：

• 良好的文件 -即没有一个部门陷入复制的卡中的文件。
• 坏的文件 -文件，其中至少一个部门在地图重写。
  

如何选择唯一的好文件

• 斯道卡重写（坏）扇区
• 构建地图neperepisannyh部门（好）为反转地图重写
• 运行基于考虑到表示地图neperepisannyh扇区映射中的虚拟文件系统快照方法
• 选择“文件趴在地图内”
  

其结果是，我们得到的只是那些完全没有被覆盖地图部门的文件。

如何选择只有坏文件

• 斯道卡重写（坏）扇区
• 要运行基于考虑到显示卡复制扇区映射虚拟文件系统快照方法
• 选择“超越地图文件”
  

其结果是，我们得到的所有文件，其中至少一个部门（也可能是全部）在地图领域覆盖的。

其他情况下，

这里有几个例子它可能会在设卡得心应手快照。

折叠镜

假设已经RAID-1的双方，由于某种原因razsinhronizirovalsya和当一个磁盘独立工作的。我们需要了解是否有当事人和文件他们来到之间的差异。

这个问题很容易用数据提取RAID版的帮助下解决了：

• 创建虚拟RAID-1
• 运行“完整性测试”来检测所有无效的（不同的）部门
• 打开RAID卡，建设非有效subkartu部门
• 本地文件系统或快照进行逻辑分析，以获得一个虚拟文件系统
• 创建地图的快照视图，选择超越非有效卡部门文件（即包含至少一个无效的扇区）
  

搜索文件不包含特定的签名

假设这个问题是由图像文件在光盘的副本创建。所有未读坏扇区的形式规定的十六进制签名0xBADBAD。除了东西的形象离开。你需要找到没有错误读取的所有文件。

这种情况几乎是一样的，我们已经建立了基于传说中的图片的情况。所不同的是，大多数的传说那里。但问题仍然是可以解决的：

• 用grep搜索找到的所有规定图案部门
• 建立自己的卡 - 坏扇区的卡
• 我们建立映射的反转得到一个好卡行业
• 本地文件系统或快照进行逻辑分析，以获得一个虚拟文件系统
• 创建地图的快照视图，选择所有文件完全位于该卡良好的行业内
  

快照设卡 - 一个强大的机制，它可以应用于解决各种实际问题。其主要思想 - 以形成一个卡，并使用它已经可以建立一个图片文件，完全在于它或包含它的至少一个扇区的文件。