文件系统问题和兼容性
关于丢失文件的问题和解决方案
FAT 32 问题和解决方案
NTFS 问题和解决方案
HFS/HFS+ 问题和解决方案
一个文件如果能够通过文件签名搜索算法找回来,这样的文件称为“丢失的”文件。 这些文件不需要任何文件系统数据就能找到,或者在单一驱动器上执行“删除文件恢复”扫描。 通常情况下,这些类文件只能当它们存储在驱动器上一个或连续的簇才能被恢复。如果驱动器上的碎片很严重,将会对数据恢复产生不利影响。
如果不能检测出丢失文件的大小,程序将会赋予该文件一个内部指定的默认大小。 这个内部指定的默认大小也许相对检测到的文件太小,例如,检测到了一个位图文件,但是图像从之间位置切断了。 在这种情况下,找回的丢失文件尺寸过小,您可以通过选择“专家”菜单下面的“调整大小”来调整每个单个文件的大小。 如果您指定的大小超过了文件的真实大小,这并没有影响,因为大多数类型的文件都在文件结构信息里存储文件自己正确的大小。另一个问题也可能发生,如果恢复的文件使用OLE存储格式,这些文件格式包括像微软的Word,Excel,PowerPoint和许多第三方厂商使用的文件格式格式, 在这种情况下EasyRecovery™会尝试检测正确的扩展名,并重新命名扩展名(如:.doc,.xls,或者.ppt)。如果检测扩展名失败,则文件扩展名会保持为 '.MOF'.
在Windows 2000和更高版本中,每当一个项目(文件或文件夹)被删除的时候,其32位开始簇的高位字将由操作系统擦除。 因此,在恢复项目的时候,开始簇的正确值是不知道的。 在缺少精确的开始簇的信息的情况下,没有恢复工具能找到并成功地还原已删除的条目。 为了克服这个问题EasyRecovery™已设计了一个解决方案。 根据磁盘的大小而定,本软件为选择要恢复的文件/文件夹生成一系列可能的开始簇的值。 如果是一个文件夹, 程序会自动尝试所有的多种组合,这可能导致在阅读过程中有所延迟。 如果是一个文件,程序会要求用户测试每一个多种组合。
人们看到,文件系统驱动程序在每次系统开机的时候,对NTFS驱动器尝试通过调整MFT使用的空间大小来优化空间。 一旦MFT的大小被更改(如减小),则不可能恢复所有已被删除的项目。
Mac OS X操作系统使用HFS/HFS+(分层文件系统)往硬盘上存储数据。 这和Windows操作系统使用的FAT或者NTFS文件系统大不相同。Mac系统的HFS/HFS+文件系统采用日志方式使数据丢失最小化。 基本上日志涉及到跟踪Mac机器上所有针对卷里文件的改变。 通常情况下,日志文件可以被系统用来将硬盘上的数据还原到以前的某个状态。 然后,在有些情况下,日志文件可能损坏了,则系统还原不可能成功。 完全恢复路径和文件名可能性不大,但数据仍可能恢复。 采用“删除文件恢复”方案并选上“RAW”选项,将恢复大量的此类丢失数据。
EasyRecovery™ Enterprise支持恢复存储在地方文件系统(即VMware工作站,Fusion)中的VMDK文件,文件可为Windows或Linux系统下的平面格式或稀疏格式文件。软件可支持所有的“本地”VMDK镜像。
注:当前不支持存储于VMFS文件系统上的VMDK文件(即VMware vSphere数据中心产品)。
VMDK镜像为虚拟硬盘驱动器,内含一个在主系统——一般是Windows或Linux系统下运行的虚拟操作系统。每个虚拟系统下通常都有多个VMDK镜像,而选择正确的VMDK镜像对成功的恢复扫描而言至关重要。载入VMDK镜像并选择对应的卷,以开始扫描VMDK文件。
选择多个VMDK文件的原因:
·
被称为‘快照’(或‘delta链接’)的多个VMDK文件。如果您在VMware中创建了一个快照,它将启动一个新的VMDK,并永远不会再触及原有的VMDK。所有原有VMDK的变化都将被写入新的VMDK中,而且新的VMDK文件也将增大。
·
被称为‘扩展’的多个 VMDK文件。您可以将完整的镜像文件分成多个VMDK文件。
·
如果镜像使用了超过一个的VMDK文件,它将创造出另一个VMDK文件,该文件被称为‘描述符’文件。这个非常小的描述符文件内包含一个说明,可链接至所有属于该镜像的VMDK文件。
设想:
·
如果只有一个单独的VMDK文件(无快照或extents),EasyRecovery™ Enterprise将找到并使用该单独文件中内置的描述符。
·
如果有多个VMDK文件,客户需要选择描述符文件。根据客户想要恢复的时间点,而选择对应的快照描述符……快照创建的时间越晚,文件内的数据则越新。
如果有超过一个的VMDK文件,选择小的VMDK文件(描述符)。根据您想要恢复的快照(时间点),来选择对应的快照(或者如果该快照有更多的VMDK文件,选择属于该快照的描述符文件)。快照越新,数据就越完整。
Windows 回收站删除的文件
当一个文件被发送到NTFS操作系统下的回收站,文件名称将不再被保留。该文件将被改名为 'D 盘符 删除文件#'.
当恢复从回收站中清空的文件时 (文件夹 'RECYCLER'),寻找 'D' 紧跟着是原始文件所在驱动器的盘符, 后面是一个数字。例如, 一个从E: 驱被删除的文件可能被命名为 'DE10.DOC',一个从C: 驱被删除的文件可能被命名为 'DC.XLS'。 该文件的扩展名以及删除的日期将被保留。 这条规则并不适用于已在DOS命令窗口下或在应用程序中删除的文件,这些文件则保留他们的文件名称。
当一个文件在Mac OS X操作系统中被删除,该文件将被移动到回收站。 一旦该文件被从回收站中清空,其文件名将被HFS+文件系统彻底擦除。 此时恢复数据的唯一方法是通过文件签名搜索算法寻找文件的原始位和字节数据。 因此,当扫描一个Mac卷寻找被删除的数据时,确保RAW分析器选项被选上是非常重要的。
当保存加密文件时,请确保您正在使用基于Windows NT架构支持加密技术的操作系统(Windows 2000/XP),并将恢复文件保存到一个NTFS驱动器。 否则的话,加密文件不能被解密,并将被以压缩的原始加密格式保存,文件扩展名为“.$efs”。 具有这种扩展名的文件能被后期导入到NTFS驱动器,但是导入需要使用到另外一个EasyRecovery™工具“efsimport.exe”。
如果您恢复了一个不再存在的用户的加密文件,或是该用户丢失了私人密匙(例如,因为系统崩溃),您可以使用下列方案之一来再次读取数据:
- 使用Windows NT证书管理单元导入用户的证书来读取文件。 此操作假设您之前导出了用户证书。
- 以 恢复代理 的方式恢复文件 ( 加密文件使用了用户和恢复代理双方的密钥加密, 一个被指定的人的帐户被配置为恢复代理 ).
恢复代理只要在加密文件的机器上装入他的恢复证书和私匙,就能在那台机器上执行恢复操作。 .
注意: 在小型企业或家庭环境中没有恢复代理, 恢复操作可以在一个独立的计算机上使用本地管理员帐户来完成,此帐户被配置为默认的恢复代理。- 使用微软备份工具备份您的加密文件到一个.bkf文件,并发送该 .bkf文件到恢复代理的计算机。 恢复代理应当在一个安全的系统上还原文件,并解密这些文件送还给用户。
查阅您的Windows操作系统手册,以得到更多关于解密存储在NTFS驱动器上的加密(加密恢复)文件的信息。
EasyRecovery™兼容所有的Windows和Mac OS X文件系统。 当EasyRecovery™软件访问磁盘时可能会出现问题,某些杀毒软件,广告软件,反木马工具可能会报告错误。 要得到更好的使用效果,可以在运行EasyRecovery™之前禁止或者卸载杀毒软件,广告软件,反木马工具。
EasyRecovery™也兼容ISO9660和EXT2/3文件系统,以及没有文件系统(RAW)的驱动器。
EasyRecovery™ 不能从物理损坏的硬盘和设备中恢复数据。 有时这种情况可以把设备送到我们实验室进行恢复。关于更多信息,请 点击此处 联系我们。
EasyRecovery™是的Kroll
Ontrack公司公司的商标。
Microsoft和Windows是微软公司的商标。所有其他商标均为各自所有者的财产。