Мы на связи:
+7 (351) 751-16-68

Мы находимся:
Челябинск, Гагарина, 9, оф. 417

Восстановление данных

Поиск данных по сигнатурам. GREP.

Введение

В процессе решения задач по восстановлению данных нам часто приходится сталкиваться с тем, что исходную файловую систему восстановить нет возможности, но заказчику нужны некоторые виды файлов. В таком случае нас спасает поиск файлов по заголовкам, которые в большинстве случаев находятся в 0 секторе файла.

Для поиска известных заголовков (которые годами собираются в процессе работы) используется инструмент Поиск GREP ( название представляет собой акроним английской фразы «search globally for lines matching the regular expression, and print them» — «искать везде строки, соответствующие регулярному выражению, и выводить их»; Википедия). Диск сканируется на наличие заголовков, различными методами вычисляется конец файла (например, появлением нового заголовка :-) ), данные сохраняются. Конечно, не всегда данный метод является эффективным (например, в случае фрагментации файла данный метод бесполезен).

Выделение заголовков

Как же все-таки можно создать строку GREP для поиска?

Можно проанализировать несколько файлов такого же типа, что искомый, вручную. Выделить нужную последовательность байт, перевести в строку GREP для поиска и заняться непосредственно восстановлением.

Утилита

Для упрощения задачи нашими инженерами была написана простая утилита для формирования строки GREP.

Утилита анализирует несколько файлов данного типа (минимум 3, максимум ограничен объемом ОЗУ), выделяет неизменяемые области и выводит значение GREP в текстовом виде.

Как пользоваться утилитой

Пользоваться утилитой очень просто - требуется нажать Make GREP, выделить 3 или более файлов, нажать Открыть.

Как можно заметить, утилита имеет два параметра - Not null at body и Only zero sector.

Первый параметр позволяет не включать в сравнение байты, равные нулю. Второй параметр ограничивает поиск только 0 сектором(актуально для PC3000).

Утилита требует для работы .NET Framework 4.0

Скачать утилиту Вы можете по ссылке.