Problemy i zgodność
systemu plików
Problemy i rozwiązania dotyczące utraconych plików
Problemy i rozwiązania dotyczące systemu plików FAT 32
Problemy i rozwiązania dotyczące systemu plików NTFS
Problemy i rozwiązania dotyczące systemu plików HFS/HFS+
Odzyskiwanie danych z VMware image (obrazu VMware)
Pliki usunięte z Kosza systemu Windows®
Pliki usunięte z Kosza systemu Mac OS X
Zaszyfrowane pliki NTFS
Problemy i rozwiązania dotyczące utraconych
plików
Plik znaleziony za pomocą algorytmu wyszukiwania sygnatury pliku jest nazywany utraconym. Te pliki mogą znajdować się na dyskach bez jakichkolwiek danych systemu plików lub na pojedynczym dysku po wykonaniu funkcji odzyskiwania usuniętych plików. Zazwyczaj te typy plików można odzyskać tylko, jeśli zostały one zapisane w jednym lub kolejnych klastrach na dysku. Znaczna fragmentacja dysku niekorzystnie wpływa na odzyskiwanie.
Jeśli nie można wykryć wielkości pliku tych utraconych plików, zostanie im przypisana domyślna wielkość określana wewnętrznie dla programu. Wielkość domyślna może być za mała dla wykrytego pliku, np. jeśli można wykryć plik mapy bitowej, ale obraz jest obcięty w pewnym miejscu. W takim przypadku wielkość znalezionego utraconego pliku jest za mała, ale można dostosować wielkość każdego oddzielnego pliku, wybierając opcję Zmień wielkość z menu Ekspert. Nie ma znaczenia, czy zostanie określona wielkość przekraczająca wielkość rzeczywistą, ponieważ większość typów plików przechowuje własną poprawną wielkość w pliku.Inny problem może się pojawić, jeśli odzyskiwany plik używa formatu OLE Storage Format, który jest używany przez pliki utworzone np. w programach Microsoft® Word, Excel, PowerPoint i wielu programach innych firm. W takim przypadku program EasyRecovery™ próbuje wykryć poprawne rozszerzenie i zmienić jego nazwę (np. na .DOC, .XLS lub .PPT). Jeśli się to nie powiedzie, rozszerzeniem pliku pozostanie .MOF.
Problemy i rozwiązania dotyczące systemu
plików FAT 32
W systemie Windows® 2000 i nowszym zawsze podczas usuwania wpisu (pliku lub folderu) słowo zawierające bardziej znaczącą część danych w 32-bitowym klastrze początkowym jest kasowane przez system operacyjny. W związku z tym poprawna wartość klastra początkowego jest nieznana w chwili odzyskiwania. Bez dokładnej wiedzy o klastrze początkowym, żadne narzędzie odzyskiwania nie może znaleźć ani pomyślnie cofnąć usunięcia usuniętego wpisu. Aby poradzić sobie z tym problemem, program EasyRecovery™ zawiera odpowiednie rozwiązanie. W zależności od wielkości dysku generuje on prawdopodobny klaster początkowy pliku/folderu wybranego do cofnięcia usunięcia. W przypadku folderu program automatycznie wypróbuje wszystkie kombinacje, co może spowodować opóźnienie procesu odczytu — w przypadku pliku poprosi on użytkownika o przetestowanie każdej z wielu kombinacji.
Problemy i rozwiązania dotyczące systemu
plików NTFS
Zauważono, że sterownik systemu plików w przypadku dysków NTFS próbuje zoptymalizować miejsce zajmowane przez tabelę MFT, zmieniając jej wielkość przy każdym włączeniu systemu. Po zmianie wielkości tabeli MFT (o ile została zmniejszona) nie można odzyskać wszystkich usuniętych wpisów.
Problemy i rozwiązania dotyczące systemu
plików HFS/HFS+
System Mac OS X używa systemu plików HFS/HFS+ (hierarchicznego systemu plików) do zapisywania danych na dysku twardym. Bardzo się to różni od systemu plików FAT lub NTFS używanego przez system Windows®. System plików Mac HFS/HFS+ używa funkcji rejestrowania w dzienniku w celu minimalizacji strat danych. W zasadzie rejestrowanie w dzienniku obejmuje śledzenie wszystkich zmian wprowadzonych w plikach woluminu na komputerze Mac. Normalnie tego pliku dziennika system może użyć do przywrócenia wcześniejszego stanu danych na dysku twardym. Jednak w niektórych przypadkach ten plik dziennika może zostać uszkodzony i przywracanie systemu będzie nieudane. Pełne odzyskanie ścieżki i nazw plików nie zawsze może być możliwe, ale dane nadal można będzie odzyskać. Skorzystanie z funkcji odzyskiwania usuniętych plików z wybraną opcją RAW spowoduje odzyskanie dużej ilości tego typu utraconych danych.
Odzyskiwanie danych z VMware image (obrazu VMware)
EasyRecovery™ Enterprise umożliwia odzyskanie plików VMDK,
przechowywanych w lokalnych systemach plików (n.p. VMware Workstation, Fusion)
i wspiera obydwa formaty flat oraz sparse, hostowane w systemach operacyjnych.
Wszystkie "lokalne" obrazy są wspierane.
Uwaga: pliki VMDK
przechowywane w systemach plikowych VMFS obecnie nie są wspierane
(jak n.p. produkty VMware vSphere datacenter).
Obrazy VMDK to wirtualne twarde dyski, operowane przez wirtualne systemy
operacyjne, które pracują pod systemem operacyjnym hosta - przeważnie
jest to Windows lub Linux. Często dla każdego systemu wirtualnego
tworzy się osobne obrazy (image) VMDK, dlatego wybranie konkretnego obrazu
VMDK jest niezbędne do osiągnięcia sukcesu w całym procesie
skanowania w celu odzyskania danych. Aby przeskanować plik VMDK,
wczytaj obraz VMDK i wybierz odpowiedni wolumen.
Powody pomnażania plików VMDK:
·
Pomnażanie plików VMDK to tworzenie
'snapshots'-ów (lub 'delta links'-ów). Jeżeli stworzysz snapshot w VMware,
to utworzy się nowy plik VMDK, a oryginalny pozostanie bez zmian.
Wszystkie dalsze zmiany w oryginalnym VMDK będą zapisane w nowo
utworzonym pliku VMDK i to właśnie ten plik będzie się
rozrastał.
·
Pomnażanie
plików VMDK zwanych 'extents'-ami. Możesz rozdzielić
całość obrazu na kilka plików VMDK.
·
Jeżeli obraz (image) zawiera więcej
niż jeden plik VMDK, będzie utworzony dodatkowy plik VMDK o nazwie
"deskryptor". Ten niewielki deskryptor zawiera linki do wszystkich
plików VMDK, które należą do danego obrazu (image).
Opcje:
·
Jeżeli istnieje tylko pojedyńczy plik VMDK
(bez snapshot-ów lub extents-ów), EasyRecovery™ Enterprise odszuka zamieszczony w nim
deskryptor i użyje go w dalszym
działaniu.
·
W przypadku wielokrotnych plików VMDK, klient musi
poszukać plik - deskryptor. Jeżeli chcemy odzyskać
dane z pliku utworzonego w konkretnym czasie, musimy znaleźć
deskryptor tego snapshot-u, który był utworzony w tym właśnie
czasie ...... im późniejszy snapshot, tym nowsze są dane.
Jeżeli istnieje
więcej niż jeden plik VMDK, wybierz mały plik VMDK (deskryptor).
W zależności od tego, który snapshot (zależnie od czasu jego
utworzenia) chcesz odzyskać, wybierz odpowiedni snapshot (lub jeżeli
istnieje kilka plików VMDK dla tego snapshotu, wybierz plik deskryptor
należący do tego snapshotu). Im nowszy snapshot, tym bardziej
kompletne będą dane.
Pliki usunięte z Kosza systemu Windows®
Gdy plik zostanie wysłany do Kosza w systemie operacyjnym NTFS, nazwa pliku nie jest już zachowywana. Nazwy plików zostaną zmienione na 'D litera dysku nr usuniętego pliku'.
Podczas odzyskiwania plików, które zostały usunięte z kosza (folder RECYCLER), należy szukać D, po którym następuje litera dysku, a następnie numer. Na przykład plik usunięty z dysku E: może mieć nazwę DE10.DOC, zaś plik usunięty z dysku C: może mieć nazwę DC.XLS. Rozszerzenia plików i data usunięcia zostaną zachowane. Ta reguła nie dotyczy plików, które zostały usunięte za pomocą wiersza polecenie lub z aplikacji, ponieważ zachowają one swoje nazwy plików.
Pliki usunięte z Kosza systemu Mac OS X
Gdy plik zostanie usunięty w systemie operacyjnym Mac OS X, znajdzie się on w koszu. Po usunięciu pliku z kosza nazwa zostanie całkowicie skasowana z systemu plików HFS+. Jedynym sposobem odzyskania danych jest odszukanie bitów pliku za pomocą algorytmu wyszukiwania sygnatury pliku. W związku z tym, podczas skanowania woluminu systemu Mac pod kątem usuniętych danych, bardzo ważne jest, aby zawsze była zaznaczona opcja analizatora RAW.
Podczas zapisywania zaszyfrowanych plików należy zagwarantować korzystanie z obsługującego szyfrowanie systemu operacyjnego opartego na systemie Windows® NT (Windows® 2000/XP) i zapisać odzyskane dane na dysku NTFS. W przeciwnym razie zaszyfrowany plik nie będzie mógł zostać odszyfrowany i zostanie zapisany w zaszyfrowanym nieprzetworzonym formacie z rozszerzeniem .$efs. Pliki z tym rozszerzeniem mogą zostać zaimportowane później na dysk NTFS za pomocą dodatkowego narzędzia programu EasyRecovery™ o nazwie efsimport.exe.
Jeśli zostanie odzyskany plik użytkownika, którego konto jest już niedostępne lub który utracił swój klucz prywatny (np. z powodu awarii systemu), do ponownego odczytania danych można użyć jednego z następujących rozwiązań:
- Użyj przystawki Certyfikaty systemu Windows® NT do zaimportowania certyfikatu użytkownika w celu odczytania pliku. Zakłada się przy tym, że certyfikat użytkownika został wcześniej wyeksportowany.
- Odzyskaj ten plik jako Agent odzyskiwania (zaszyfrowane pliki są szyfrowane za pomocą klucza użytkownika i klucza agenta odzyskiwania, czyli osoby, której konto zostało skonfigurowane jako Agent odzyskiwania).
Agent odzyskiwania może uzyskać dostęp do komputera z zaszyfrowanym plikiem i załadować swój certyfikat odzyskiwania oraz klucz prywatny, a następnie przeprowadzić odzyskiwanie na komputerze.
UWAGA: W małej firmie lub w domu, gdzie nie ma agentów odzyskiwania, odzyskiwanie można przeprowadzić na samym autonomicznym komputerze za pomocą konta administratora lokalnego, które jest skonfigurowane jako domyślny agent odzyskiwania.- Utwórz kopię zapasową zaszyfrowanych plików (za pomocą programu Microsoft Backup) w pliku .bkf i wyślij plik .bkf na komputer agenta odzyskiwania. Agent odzyskiwania powinien odtworzyć pliki w zabezpieczonym systemie, odszyfrować je i odesłać do użytkownika.
W podręczniku do systemu operacyjnego Windows® można znaleźć więcej informacji na temat odszyfrowywania zaszyfrowanych (odzyskiwanie szyfrowania) plików zapisanych na dysku NTFS.
Program EasyRecovery™ jest zgodny ze wszystkimi systemami plików systemu Windows® i Mac OS X. Mogą wystąpić pewne problemy, gdy program EasyRecovery™ uzyskuje dostęp do dysku, a ponadto niektóre narzędzia antywirusowe, adware i antyszpiegowskie mogą zgłaszać błąd. Aby uzyskać najlepsze wyniki, wyłącz lub odinstaluj wszelkie narzędzia antywirusowe, adware i antyszpiegowskie przed uruchomieniem programu EasyRecovery™.
Program EasyRecovery™ jest również zgodny z systemami plików ISO9660 i EXT2/3 oraz z dyskami bez systemów plików (RAW).
Program EasyRecovery™ nie może odzyskać danych z fizycznie uszkodzonych dysków i urządzeń. Można je czasem odesłać do naszego laboratorium w celu odzyskania danych. Więcej informacji na ten temat można uzyskać po skontaktowaniu się z nami tutaj.
EasyRecovery ™ jest znakiem towarowym firmy Kroll Ontrack Inc
Microsoft i Windows są znakami towarowymi firmy Microsoft
Corporation. Wszystkie inne znaki towarowe są
własnością ich właścicieli.