Tiedostojärjestelmä kysymykset ja yhteensopivuus
Ongelmat ja ratkaisut – Kadonneet tiedostot
FAT 32 Ongelmat ja ratkaisut
NTFS Ongelmat ja ratkaisut
HFS/HFS+ Ongelmat ja ratkaisut
VMware palautus
Windows® roskakorista poistetut tiedostot
Mac OS X roskakorista poistetut tiedostot
NTFS –kryptatut tiedostot
Ongelmat ja ratkaisut – Kadonneet tiedostot
Tiedostopäätteeseen perustuvan etsintäalgoritmin löytämä tiedosto on nimeltään ‘kadonnut’. Näitä tiedostoja löydetään kiintolevyiltä joissa ei ole tiedostojärjestelmätietoja tai yksittäiseltä kiintolevyltä suorittamalla Poistettujen tiedostojen skannauksen. Tyypillisesti tämän tyyppiset tiedostot voidaan palauttaa jos ne ovat tallennettu yhdelle tai peräkkäisille kiintolevyn klusterille. Vaikea pirstaloituminen vaikuttaa palautuksen lopputulokseen.
Jos näiden kadonneiden tiedostojen kokoa ei voida tunnistaa, ne asetetaan oletuskokoon, joka on määritelty sisäisesti ohjelmassa. Oletuskoko voi olla liian pieni kyseiselle tiedostolle, esim. bittikartta tunnistetaan, mutta kuva on epämääräinen. Tällaisessa tapauksessa kadonneen tiedoston koko on liian pieni ja voitkin säätää jokaisen tiedoston kokoa valitsemalla Muuta kokoa Asiantuntija valikossa. Ei ole haittaa jos asetat koon isommaksi kuin todellinen koko, koska monet tiedostotyypit tallentavat omat oikean kokonsa tiedostoon.
Toinen ongelma voi esiintyä jos palautettu tiedosto käyttää OLE tallennusformaattia, jota käyttävät esim. Microsoft® Word, Excel, PowerPoint, ja monet kolmannen osapuolien tiedostoformaatit. Tässä tapauksessa EasyRecovery™ yrittää tunnistaa oikean tiedostopäätteen ja nimetä sen uudelleen (esim. .DOC, .XLS tai .PPT). Jos tämä epäonnistuu, tiedostopääte pysyy '.MOF' -päätteellisenä.
Milloin tahansa kun tiedosto tai kansio poistetaan Windows® 2000 & uudemmissa käyttöjärjestelmissä, 32 – bittisen aloitusklusterin korkeampi käskysana poistetaan käyttöjärjestelmän toimesta. Tästä syystä aloitusklusterin oikea arvo ei ole tiedossa palautusta aloitettaessa. Ilman tarkkaa tietoa aloitusklusterista, mikään palautustyökalu ei voi löytää ja onnistuneesti palauttaa poistettua kohtaa. EasyRecovery™ -ohjelmalla voidaan kuitenkin yrittää ratkaista tämä ongelma. Riippuen kiintolevyn koosta, se luo todennäköisimmät aloitusklusterien arvot sille tiedostolle /kansiolle jota ollaan palauttamassa. Kansioiden kanssa ohjelma yrittää automaattisesti luoda monia eri yhdistelmiä, jotka voivat näkyä viiveenä lukuprosessin aikana. Tiedostoissa, ohjelma pyytää käyttäjää kokeilemaan jokaista erilaista yhdistelmää.
On huomattu että tiedostojärjestelmä ajuri (NTFS kiintolevyillä) yrittää optimoida MFT:n käyttämän tilan, muuttamalla sen kokoa joka kerta kun järjestelmä käynnistetään. Kun MFT:n kokoa on muutettu (jos pienennetty), ei ole enää mahdollista palauttaa kaikkia poistettuja kohteita.
HFS/HFS+ Ongelmat
ja ratkaisut
Mac OS X käyttää HFS/HFS+ (Hierarchical File System) tietojen tallennukseen kiintolevyille. Se on hyvin erilainen kuin FAT tai NTFS Windows® -käyttöjärjestelmissä. Mac HFS/HFS+ tiedostojärjestelmä käyttää kirjaamista pienentääkseen tietojen menetystä. Periaatteessa kirjaamisella tarkoitetaan kaikkien tiedostoille tehtyjen muutosten seuraamista. Normaalisti tätä toiminto voidaan käyttää järjestelmässä aikaisempi tietojen tila kiintolevyllä. Joissakin tapauksissa kirjaustiedosto voi olla korruptoitunut ja järjestelmän palautus ei onnistu. Tiedostopolun ja nimen täysi palautus ei aina ole mahdollista, mutta tiedot voivat silti olla palautettavissa. Käyttämällä Poistettujen tiedostojen palautusta, jossa RAW – palautus valinta on valittuna palauttaa suuren määrän tietoja tämän tyyppisissä tietojenmenetys tapauksissa.
EasyRecovery™ Enterprise tukee VMDK tiedostoja, jotka on tallennettu paikalliseen
tiedostojärjestelmään (esim. VMware Workstation, Fusion) kiinteään tai harvaan formaattiin. Kaikki “paikalliset”
VMDK tiedostot ovat tuettuna.
Huomio: VMDK tiedostot tallennetuna VMFS tiedostojärjestelmään ei ole vielä
toistaiseksi tuotettuna (esim. VMware vSphere
datakeskus tuotteet).
VMDK tiedostokuvat ovat virtuaalisia kiintolevyjä
jotka sisältävät virtuaalisen käyttöjärjestelmän. Isäntäjärjestelmänä toimii
normaalisti Windows tai
Linux –järjestelmä. Usein
löytyy useita VMDK tiedostoja, luotuna jokaiselle virtuaalijärjestelmälle ja
oikean VMDH:n valinta on kriittistä onnistuneen
palautuksen kannalta. VMDK –tiedoston skannauksessa,
lataa VMDH-kuvatiedosto ja valitse skannattava osio.
Syitä useisiin VMDK tiedostoihin:
·
VMDK tiedostot
nimeltä ‘snapshots' (tai 'muutoslinkit'). Jos luot snapshot –tiedoston
VMwaressa, käynnistetään uusi VMDK ja alkuperäiseen
VMDK –tiedostoon ei kosketa. Kaikki muutokset alkuperäiseen VMDK:n
kirjoitetaan uuteen VMDK:n ja uusi VMDK kasvaa.
·
VMDK tiedostot nimeltä
‘laajennukset’. Voit jakaa koko VMware -imagen useisiin VMDK tiedostoihin.
·
Jos VMware –image käyttää enempää kuin yhtä VMDK tiedostoa, se
luo vielä yhden tiedoston nimeltä ‘avainsana’. Tämä hyvin pieni avainsana tiedosto sisältää kuvaukset ja linkit
kaikkiin VMDK tiedostoihin jotka kuuluvat VMware –imagelle.
Skenaariot:
·
Jos on vain yksi VMDK tiedosto
(ei snapshottia tai laajennuksia), EasyRecovery™ Enterprise etsii upotetut avainsanan tästä yksittäisestä tiedostosta ja käyttää sitä.
·
Jos useampi VMDK tiedosto, asiakkaan pitää valita avainsana
–tiedosto. Riippuen miltä ajankohdalta asiakas haluaa
palautuksen tapahtuvan, vastaava snapshotin avainsana
tiedosto pitää valita... Mitä myöhäisempi
snapshot, sitä uudempia tiedostoja.
Jos useampi kuin yksi VMDK tiedosto, valitse pieni VMSK tiedosto
(avainsana). Riippuen snapshotista (ajankohdasta),
mistä haluat palauttaa, valitse vastaava snapshot
(tai jos snapshot sisältää enemmän VMDK tiedostoja,
valitse avainsana tiedosto mikä kuuluu kyseiselle snapshotille).
Mitä uudempi snapshot, sitä
enemmän tietoa.
Windows®
roskakorista poistetut tiedostot
Kun tiedosto lähetetään Roskakoriin NTFS käyttöjärjestelmässä, tiedostonimi ei enää säilytetä. Tiedosto nimetään uudelleen –’D aseman kirjain poistettu tiedosto#’.
Kun palautetaan tiedostoja jotka on poistettu roskakorista (kansio ‘RECYCLER’), etsi ‘D’ ja alkuperäisen tiedoston osio kirjain-tunnus ja numero. Esimerkiksi, tiedosto on poistettu E: osiolta, voidaan nimetä ‘DE10.DOC’. Osiolta C: poistettu tiedosto voi olla nimeltään ‘DC.XLS’. Tiedostopääte ja päivämäärä –tiedot säilytetään. Tämä sääntö ei kuitenkaan koske niitä tiedostoja jotka on poistettu komentoriviltä tai sovelluksella. Niissä tapauksissa tiedostonimi säilytetään.
Mac
OS X roskakorista poistetut tiedostot
Kun tiedosto poistetaan Mac OS X käyttöjärjestelmässä, tiedosto siirretään roskakoriin. Kun tiedosto poistetaan roskakorista, tiedostonimi poistetaan kokonaan HFS+ tiedostojärjestelmästä. Ainoa tapa palauttaa tiedot on etsiä raakadataa tiedostosta käyttämällä tiedosto-otsikkotietoihin perustuvaan algoritmiä. Näinollen on todella tärkeää varmistaa skannattaessa Mac osiota, että RAW –analysaattori on aina valittuna.
Kun kryptattuja tiedostoja tallennetaan, varmista että käytät Windows® NT-pohjaista järjestelmää, joka tukee kryptausta (Windows® 2000/XP) ja tallenna palautetut tiedot NTFS –medialle. Muutoin kryptattua tiedostoa ei voida purkaa ja se tallennetaan pakatussa kryptatussa formaatissa, tiedostopäätteellä ’.$efs’. Nämä tiedosto voidaan tuoda jälkikäteen NTFS osiolle käyttämällä EasyRecovery™ apuohjelmaa nimeltä 'efsimport.exe'.
Jos olet palauttanut kryptatun tiedoston käyttäjälle jonka käyttäjätiliä ei ole enää olemassa tai joka on hävittänyt yksityisen salausavaimensa (esim. järjestelmän rikkoutuminen), voit käyttää seuraavia vaihtoehtoja tiedon lukemiseen:
- Käytä Windows® NT Sertifikaattien apuohjelmaa tuodaksesi käyttäjän Sertifikaatti. Tämä toimii silloin kun olet vienyt käyttäjän sertifikaatin ennen.
- Palauta tiedosto Palautus agenttina (kryptatut tiedostot ovat krytattu käyttämällä käyttäjän avainta ja Palautus Agentin avainta, valtuutettu henkilö, jonka tili on määritetty Palautus Agentiksi.
Palautus Agentti voi mennä tietokoneelle ja ladata hänen palautussertifikaatti ja yksityisen avaimensa ja suorittaa palautuksen tietokoneelle.
HUOMIO: Pienyritykset tai kotikäyttäjät joissa ei ole palautus agentteja, palautus voidaan tehdä yksittäisellä tietokoneella käyttämällä paikallisen järjestelmänvalvojan tiliä, joka on oletuksena määritettynä palautusagentiksi.- Varmista kryptatut tiedostosi (Windows Varmistus) .bkf tiedostoksi ja lähetä tiedosto Palautus Agentin tietokoneelle. Palautusagentin pitäisi palauttaa tiedostot suojattuun järjestelmään, purkaa salaus ja lähettää ne takaisin käyttäjälle.
Salauksen purkamisesta (salauksen palautus) NTFS osiolta löytyy enemmän tietoa Windows® käyttöjärjestelmän manuaalista.
EasyRecovery™ on yhteensopiva kaikkien Windows® ja Mac OS X tiedostojärjestelmien kanssa. Tavalla jolla EasyRecovery™ pääsee kiintolevyihin, jotkin Antivirus, haittaohjelma työkalut voivat raportoida virhetilanteen. Parhaan lopputuloksen kannalta kannattaa ottaa pois päältä tai poistaa kaikki antivirus ja haittaohjelmien poisto-ohjelmat ennen kuin EasyRecovery™ käynnistetään.
EasyRecovery™ on myös yhteensopiva ISO9660 ja EXT2/3 tiedostojärjestelmien kanssa. Myös kiintolevyt ilman tiedostojärjestelmää (RAW) on tuettuna.
Kiintolevyjä ja laitteita joissa on fyysinen vaurio ei voida palauttaa käyttämällä EasyRecovery™ ohjelmistoa. Nämä laitteet pitäisi lähettää meidän laboratoriolle fyysiseen palautukseen. Ota yhteyttä, jos haluat lisätietoa palautuspalvelustamme.
EasyRecovery™
is a trademark of Kroll Ontrack Inc.
Microsoft and Windows are trademarks of Microsoft Corporation. All other
trademarks are the property of their respective owners.