6.1.2. Definition von Cluster-Ketten

1. Laufwerkscan zur Datenlokalisierung und Datenkennzeichnung.
2. Nacheinander läuft das Programm jeden Datei-Cluster (NTFS) durch, oder jeder freier Cluster (FAT), die zur Datei vermutlich gehören.
3. Fahren Sie fort, Clusters anzuketten, bis die Größe der kumulativen Cluster-Gesamtmenge ungefähr der Gesamtgröße der gelöschten Datei entsprechen wird. Wenn die Datei zersplittert worden ist, bestehen die Cluster-Ketten aus einige Teile (NTFS); oder wählen die die wahrscheinlich angrenzende Clusters und gehen die besetzten Clusters mit den Zufallsdaten (FAT) um.

Die Position dieser Clusters kann abhängig von dem Dateisystem sich ändern. Z.B. hat eine Datei, die in einer FAT-Volume gelöscht wurde, seinen ersten Block in der Stammeintragung. Die anderen Clusters können in der Aktenverteilungstabelle gefunden werden. In NTFS hat jede Datei ein _ DATEN_ Attribut, das "Datenlauf" beschreibt. Disassemblieren von Daten findet die Bereiche. Für jeden Bereich gibt es einen Start-Cluster-Offset und eine Anzahl von Clusters des Bereiches. Durch die Aufzählung der Bereiche können die Datei-Cluster-Ketten zusammengebaut werden.

Die Cluster-Ketten können durch den Laufwerk-Editor des niedrigen Niveaus manuell zusammengebaut werden, jedoch es ist mit einem Datenwiederaufnahmendienstprogramm, wie Active@ UNERASER, viel einfacher.

Definition von Cluster-Ketten in FAT16

In vorhergehenden Thema überprüften wir einen Beispielsatz von Daten mit einer gelöschten Datei, die "MyFile.txt" genannt wurde. Hier wir werden dieses Beispiel fortsetzen.

Der vorgescannte Folder enthält eine Aufzeichnung für diese Datei :

 

0003EE60 E5 4D 00 79 00 46 00 69 00 6C 00 0F 00 BA 65 00 aM.y.F.i.l...?e.

0003EE70 2E 00 74 00 78 00 74 00 00 00 00 00 FF FF FF FF ..t.x.t.....yyyy

0003EE80 E5 59 46 49 4C 45 20 20 54 58 54 20 00 C3 D6 93 aYFILE TXT .AO"

0003EE90 56 2B 56 2B 00 00 EE 93 56 2B 03 00 33 B7 01 00 V+V+..i"V+..3..

Wir können die Größe der gelöschten Datei errechnen, die auf die Stamm-Eintragungsstruktur basiert. Die letzten vier Bytes sind 33 B7 01 00. Wenn wir sie in dezimalen Wert (Änderung von Reihenfolge-Bytes) umwandeln, erhalten wir 112435 Bytes. Die vorhergehende 2 Bytes (03 00) sind die Zahl des ersten Clusters der gelöschten Datei. Durch den wiederholenden Umwandlungsvorgang erhalten wir Nr. 03. Das ist der Start-Cluster der Datei.

Was wir in das FAT-Dateisystem jetzt sehen können?

 

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000200 F8 FF FF FF FF FF 00 00 00 00 00 00 00 00 08 00 oyyyyy..........

00000210 09 00 A0 00 0B 00 0C 00 0D 00 FF FF 00 00 00 00 ..........yy....

00000220 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

Die Nullen! Und es ist in unserem Fall gut: Es bedeutet, dass diese Clusters frei sind, d.h. unsere Datei wahrscheinlich durch die Daten einer anderen Datei nicht überschrieben wurde. Jetzt haben wir Cluster-Ketten 3, 4, 5, 6 und wir sind bereit, sie wiederherzustellen.

Einige Erklärungen:

• Wir beginnen, von dem Offset 6 durchzusehen, weil jede Cluster-Eintragung des FAT16 2 Bytes enthält. Unsere Datei startet vom dritten Cluster (3), d.h. 3*2=6.
• Wir haben 4 Clusters betrachtet; weil die Clustergröße auf unserem Laufwerk ist 32 KB und unsere Dateigröße ist 112, 435 Bytes, d.h. 3Clusters*32Kb = 96Kb und ein wenig mehr.
• Wir nehmen an, daß diese Datei nicht zersplittert wurde, d.h. wurden alle Clusters nacheinander lokalisiert. Wir benötigen 4 Clusters und wir finden 4 freie nacheinander folgende Clusters, also die Vermutung akzeptabel aussieht, obgleich im realen Leben es nicht so sein kann.

Anmerkung: In vielen Fällen können Daten nicht erfolgreich wiederhergestellt werden, weil die Cluster-Ketten nicht definiert werden kann. Das tritt auf, wenn eine andere Datei oder ein Folder auf den gleichen Laufwerk geschrieben worden ist, wo die gelöschte Datei lokalisiert wurde. Warnmeldungen über diese Tatsache werden bei der Daten-Wiederherstellung durch Aktiv@ UNDELETE angezeigt.

Definition von Cluster-Ketten in NTFS

Bei der Wiederherstellung in NTFS liefert einen Teil der DATEN-Attribute ("Datenlauf") die Position der Cluster-Ketten. In den meisten Fällen werden die DATEN-Attribute in der Aufzeichnung der Stammdateitabelle (MFT) gespeichert. Die Suche der MFT-Aufzeichnung für eine gelöschte Datei führt am wahrscheinlichsten zu die Position der Cluster-Ketten.

Im folgenden Beispiel die DATEN-Attribute sind mit der grünen Farbe markiert. Datenlauf innerhalb des DATEN-Attributes ist mit dem fetten Schrift markiert.

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00012580 2E 00 70 00 70 00 74 00 80 00 00 00 48 00 00 00 ..p.p.t._...H...

00012590 01 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 ................

000125A0 6D 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 m.......@.......

000125B0 00 DC 00 00 00 00 00 00 00 DC 00 00 00 00 00 00 .U.......U......

000125C0 00 DC 00 00 00 00 00 00 31 6E EB C4 04 00 00 00 .U......1neA....

000125D0 FF FF FF FF 82 79 47 11 00 00 00 00 00 00 00 00 yyyy,yG.........

Entziffern des Datenlaufes

Das Entziffern des Datenlaufes kann mit den folgenden Schritten durchgeführt werden:

• Erstes Byte (0x31) zeigt, wieviele Bytes für die Länge des Durchlaufes (0x1 im Beispielfall) und für den ersten Cluster-Offset zugeteilt werden (0x3 in unserem Fall).
• Nehmen Sie ein Byte (0x6E), das auf die Länge des Durchlaufes anzeigt..
• Wählen Sie 3 Bytes aus, die auf den Cluster-Offset-Start (= 0xEBC404) zeigen.
• Durch die Änderung von der Bytereihenfolge erhalten wir ersten Cluster der Datei 312555 (= 0x04CÊB).
• Bei Start von diesem Cluster müssen wir 110 Blöcke (= 0x6E) auswählen.
• Folgendes Byte (0x00) erklärt uns, daß es keinen Datenlauf mehr gibt..
• Unsere Datei war nicht zersplittert worden, also haben wir den einzigen Datenlauf.
• Zuletzt überprüfen Sie, ob es genügende Informationen gibt (Dateigröße). Clustergröße ist 512 Bytes. Es gibt 110 Clusters, 110*512 = 56.320 Bytes. Unsere Dateigröße wurde als 56.320 Bytes definiert, also haben wir genügende Informationen jetzt zum Wiederherstellung von Datei-Clusters.

  Previous < Contents > Next