So erstellen Sie benutzerdefinierte Suchregeln für die "rohe" Datenrettung

In meisten Fällen führt UFS Explorer gründliche Analyse der Dateisystemstrukturen durch und interpretiert diese Informationen, um die fehlenden Daten zu lokalisieren und wiederherzustellen. Unter bestimmten Umständen können wichtige Serviceaufzeichnungen jedoch stark beschädigt oder sogar überschrieben werden, z. B. beim Formatieren, Initialisieren oder anderen Manipulationen am Speicher. Dieses Hindernis macht es oft unmöglich, die Dateien mit dem erwähnten Ansatz zurückzubringen. Um das Problem zu lösen oder das erhaltene Ergebnis zu erweitern, kann IntelliRAW oder die Methode der "rohen Wiederherstellung" aktiviert werden. Lesen Sie weiter, um ihre Essenz kennenzulernen und Ihre eigenen Suchregeln zu erstellen, auf die sich das Programm verlassen kann.


Was ist die "rohe" Datenrettung und wie funktioniert sie?

Die Begriffe "rohe Datenrettung", "Wiederherstellung durch bekannte Inhalte" oder "IntelliRAW" beziehen sich tatsächlich auf dieselbe Technik. Sie umfasst die Suche nach vordefinierten Vorlagen oder den sogenannten Dateisignaturen (auch "magische Zahlen"). Diese binären Sequenzen treten meistens am Anfang der Datei auf und charakterisieren jeden bestimmten Typ eindeutig. Wenn die Dateien nicht fragmentiert sind, kann UFS Explorer die jeweilige Signatur verwenden, um sie innerhalb eines bestimmten Datenbereichs zu identifizieren und ihren Inhalt abzurufen, selbst wenn die Metadaten des Dateisystems fehlen.

Die Software enthält bereits einen grundlegenden Satz von IntelliRAW-Regeln mit Signaturen für gängige Dateitypen wie Dokumente, Bilder, Multimedia, Archive usw. Abgesehen von "roher" Datenrettung selbst werden sie verwendet, um die Qualität des Scans für bestimmte Dateisysteme zu verbessern, den Status der wiederhergestellten Elemente zu kontrollieren und Dateien mit nicht lesbaren Formaten wie *.chk eine richtige Erweiterung zuzuweisen.

In einigen Situationen kann es jedoch erforderlich sein, die verfügbare Liste mit benutzerdefinierten Regeln zu erweitern, beispielsweise wenn seltene oder proprietäre Dateien verloren gegangen sind. Solche Möglichkeit wird in allen Editionen von UFS Explorer angeboten. Die Software ermöglicht die Erstellung einer Vorlage für jeden fehlenden Typ und seine manuelle Konfiguration. Gleichzeitig sollte die Funktion mit Bedacht eingesetzt werden: Bei einer ungenauen Vorlage kann sich der Scan erheblich verlangsamen und falsche Ergebnisse liefern.

Das Verfahren zum Einrichten eines benutzerdefinierten Dateityps besteht aus drei getrennten Phasen: Bestimmung von Text- oder Binärsignaturen, die für das gegebene Format kennzeichnend sind, Definition einer Regel, nach der sie vom Programm erkannt werden, und die Anwendung dieser Regel während der Spezifikation von Parametern für den Speicherscan. Wenn die Dateien dieses Typs ziemlich alltäglich sind, wird empfohlen, unser Team zu kontaktieren, damit die Regel dafür in den eingebetteten Satz aufgenommen werden kann. Dies kann ihre Verarbeitung in der Software beschleunigen und ermöglicht möglicherweise, detailliertere Informationen über sie zu erhalten (beschreibender Dateiname, Datum der Erstellung und letzten Änderung usw.).

Erkennung einer Signatur der Datei

Um eine Signatur für das Dateiformat Ihrer Wahl zu erhalten, müssen Sie einige Beispiele vorbereiten, vorzugsweise solche, die nicht eng miteinander verwandt sind – beispielsweise Videos, die von unterschiedlichen Kameras aufgenommen wurden. Wenn die Dateien ähnlich sind, kann es schwierig sein, den Unterschied zwischen den tatsächlichen Dateisignaturen und zufälligen Datenmustern, die Dienstinformationen enthalten, zu erkennen.

Mit den vorliegenden Dateien können Sie die folgenden Schritte ausführen:

  1. Entscheiden Sie, mit welchen Mitteln Sie den hexadezimalen Inhalt von Dateien auf das Vorhandensein von Dateisignaturen untersuchen wollen. Es ist möglich, die Hex-Analyse in UFS Explorer durchzuführen oder ein anderes alternatives Tool Ihrer Wahl zu verwenden.

  2. Öffnen Sie die hexadezimalen Darstellungen mehrerer Beispieldateien des benötigten Formats. Als anschauliches Beispiel haben wir SSF-Dateien – dies ist eine herstellerspezifische Art von CCTV-Aufnahmen.

  3. Untersuchen Sie den Inhalt jeder geöffneten Datei und bestimmen Sie, ob das Format binär oder textbasiert ist. Suchen Sie nach identischen Mustern in ihnen, besonders ganz am Anfang und am Ende. Für genauere Ergebnisse sollten mindestens 32 eindeutige Bits vorhanden sein.

    Unsere Beispiele sind binär, und wir können sehen, dass jede der Dateien mit gemeinsamen Sequenzen beginnt: STL Stream Format v1.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 31 2E 30) und STL Stream Format v3.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 33 2E 30). Daher kann die Regel für unseren benutzerdefinierten Typ als 'STL Stream Format v1.0' oder 'Stream Format v3.0' definiert werden.

  4. Wählen Sie die Signatur aus, die sich näher am Anfang Ihrer Beispieldateien befindet, und kopieren Sie sie mit dem Werkzeug zum Kopieren von Rohdaten (hexadezimaler Daten) in die Zwischenablage. Wenn Ihre Signatur nicht binär ist, verwenden Sie stattdessen das Tool zum Kopieren von Textdaten. Fügen Sie diese Sequenz ein und speichern Sie sie an einem sicheren Ort, um sie später verwenden zu können.

    Beachten Sie auch die Position Ihrer Signatur im Feld "Start des markierten Bereichs". In unserem Fall ist es 0x0, aber Ihre Signatur muss nicht unbedingt ganz am Anfang stehen.

  5. Wenn Sie am Ende Ihrer Beispieldateien eine Signatur entdeckt haben, führen Sie den Kopiervorgang auch für diese Signatur durch.

Erstellen einer Suchregel basierend auf den identifizierten Signaturen

Nachdem Sie die erforderlichen Signaturen der Datei erhalten haben, können Sie eine benutzerdefinierte Suchregel definieren, die von UFS Explorer für ihre Erkennung verwendet wird.

Ab Version 9.4 bietet die Software einen integrierten grafischen Editor, der es ermöglicht, solche Regeln direkt im Programm zu erstellen, anzuzeigen und zu bearbeiten. Er kann auch verwendet werden, um einen benutzerdefinierten Dateityp aus der vorhandenen *.xml-Datei eines beliebigen unterstützten Formats von Drittanbietern zu laden.

Diejenigen, die ihre Produkte nicht aktualisiert haben, können ein spezielles kostenloses Dienstprogramm namens IntelliRAW Rules Editor herunterladen und den Anweisungen zum Erstellen benutzerdefinierter Suchregeln in älteren Versionen von UFS Explorer (bis Version 9.3) folgen. Neuere Software bleibt kompatibel mit alten Regeln (Dateiformat *.urrs). Sie können jedoch nur in IntelliRAW Rules Editor verwaltet werden und werden vom internen Editor nicht unterstützt.

Wenn Sie eine aktuelle Version des Programms verwenden, gehen Sie wie folgt vor:

  1. Führen Sie UFS Explorer aus und ändern Sie im Bedarfsfall dessen Einstellungen im entsprechenden Bereich.

  2. Öffnen Sie das Element "Tools" im Hauptmenü und wählen Sie die Option "IntelliRAW-Regeln", um den eingebetteten Editor zu starten.

  3. Im geöffneten Dialog sehen Sie die Liste der Dateitypen, die standardmäßig in der Software aktiviert sind. Beachten Sie bitte, dass die vordefinierten Regeln nicht betrachtet oder geändert werden können.

  4. Um Ihren eigenen Dateityp zu erstellen, klicken Sie oben in der Symbolleiste auf die Schaltfläche "Neuer Typ".

  5. Wählen Sie je nach Format Ihrer Signaturen (Hexadezimalsequenzen oder Textzeichenfolgen) die Art der zu definierenden Regel aus.

  6. Geben Sie eine Dateierweiterung an, die für die gefundenen Dateien des angegebenen Formats verwendet wird.

  7. Bestimmen Sie im entsprechenden Feld einen Namen für Ihren benutzerdefinierten Dateityp ein. Dieser Name wird auch dem Container für diese Dateien in den Ergebnissen der "rohen" Datenrettung zugewiesen.

  8. Wenn Sie eine textbasierte Signatur verwenden, können Sie die gewünschte Codierung über die Dropdown-Liste neben der Eigenschaft "Textformat" auswählen.

  9. Drücken Sie oben auf die Schaltfläche "Regel hinzufügen" und fügen Sie die erste im vorherigen Schritt erhaltene Signatur in das Feld neben der Eigenschaft "Wert" ein.

    Diese Regeln unterstützen auch eine spezielle Syntax, die für das erweiterte Hexadezimalsuchwerkzeug in der Komponente Hexadezimaler Viewer von UFS Explorer verfügbar ist. Basierend auf dieser Syntax können wir unsere beiden Signaturen in einer einzigen Regel kombinieren, die als 'STL Stream Format v'{31,33}'.0' definiert wird.

  10. Im Falle einer hexadezimalen Signatur geben Sie deren Position im Feld "Regelversatz" an.

    Im Falle einer textbasierten können Sie die Groß- und Kleinschreibung aktivieren, um zwischen Groß- und Kleinbuchstaben zu unterscheiden.

  11. Nachdem Sie auf "OK" geklickt haben, wird die angegebene Regel im unteren Bereich aufgelistet. Sie kann jederzeit über die Schaltfläche "Anzeigen/Bearbeiten" geändert werden.

  12. Wenn Sie eine andere Signatur haben, klicken Sie erneut auf die Schaltfläche "Regel hinzufügen" und wiederholen Sie die vorherigen Schritte.

  13. Definieren Sie die Bedingungen, die erfüllt sein müssen, damit ein Abgleich stattfindet: Legen Sie über die Eigenschaft "Regellogiken" fest, ob alle Signaturen oder mindestens eine davon im Inhalt einer Datei vorhanden sein müssen.

  14. Klicken Sie auf "OK", und der erstellte benutzerdefinierte Dateityp wird dem verfügbaren Satz von IntelliRAW-Regeln hinzugefügt. Er wird mit einer anderen Farbe angezeigt und hat die Eigenschaft "Benutzerdefiniert".

  15. Neue Regeln werden standardmäßig sofort nach ihrer Erstellung aktiviert. Sie können Ihre Regel deaktivieren, indem Sie sie in der Liste auswählen und oben in der Symbolleiste auf die Schaltfläche "Deaktivieren" klicken und später die Schaltfläche "Ermöglichen" verwenden, um sie zu aktivieren.

Danach kann der Editor geschlossen werden. Der definierte benutzerdefinierte Dateityp bleibt nach dem Neustart im Programm. Sie können sich auch später auf diese Komponente beziehen, wenn Sie sie bearbeiten, deaktivieren oder löschen möchten.

Implementierung benutzerdefinierter Regeln während des Scans

Um beim Scannen eines Speichers mit UFS Explorer nach Ihrem eigenen benutzerdefinierten Dateityp zu suchen, gehen Sie wie folgt vor:

  1. Aktivieren Sie beim Einrichten eines Scans die Option "Ja, ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert".

  2. Gleich danach erscheint eine weitere Option, die die Verwendung Ihrer eigenen Datensuchregeln ermöglicht. Haken Sie diese auch ab.

  3. Die Software zeigt die Anzahl der derzeit definierten benutzerdefinierten Regeln an. Wenn Sie Anpassungen daran vornehmen müssen, verwenden Sie die Option "Regeln verwalten". Wenn nicht, fahren Sie sofort mit dem Scannen fort.

UFS Explorer wird Ihre Regel verwenden und die gefundenen Dateien mit seiner Hilfe im Ordner $Custom bereitstellen. Den Dateien werden automatisch neue Namen zugewiesen, da diese Informationen bei der "rohen Wiederherstellung" nicht verfügbar sind. Sie sollten sich auch darüber im Klaren sein, dass diese Methode Schwachstellen aufweist und bei umfangreicher Dateifragmentierung schlechte Ergebnisse liefert.

Export/Import der erstellten Regeln

Ab Version 9.5 bietet UFS Explorer die Möglichkeit, ausgewählte benutzerdefinierte Suchregeln als *.xml-Dateien zu speichern, die Sie für Sicherungszwecke oder für den weiteren Import in die auf einem anderen Computer gestartete Software verwenden können.

  1. Um solche Datei zu erstellen, öffnen Sie den eingebetteten Editor über den Punkt "IntelliRAW-Regeln" im Hauptmenü des Programms.

  2. Holen Sie sich danach das Werkzeug "Exportieren" aus der Symbolleiste oben.

  3. Wählen Sie im geöffneten Fenster alle benutzerdefinierten Dateitypen aus, die Sie exportieren möchten.

  4. Klicken Sie abschließend auf die Schaltfläche "Exportieren".

  5. Wählen Sie den Speicherort und definieren Sie den Namen für die zu erstellende *.xml-Datei.

  6. Klicken Sie auf die Schaltfläche "Speichern", und die Datei wird im angegebenen Ordner gespeichert. Alle darin enthaltenen Regelwerte werden als Standard-Base64-Zeichen dargestellt, die nicht mit der XML-Analyse in Konflikt stehen. Die Datei selbst ist mit der UTF-8-Codierung codiert und kann in einem Textverarbeitungsprogramm bearbeitet werden. Wenn der Wert XML-sicher ist und nicht fälschlicherweise als Markup interpretiert werden kann, kann er als Klartext oder als erweiterte hexadezimale Zeichenfolge ohne das Base64-Präfix definiert werden.

Analog können benutzerdefinierte Suchregeln mithilfe des eingebetteten Editors aus der vorhandenen kompatiblen *.xml-Datei importiert werden.

  1. Wählen Sie dazu das Werkzeug "Importieren" aus seiner Symbolleiste aus.

  2. Navigieren Sie im geöffneten Dialog zu dem Ordner, in dem die Datei gespeichert ist, wählen Sie sie aus und klicken Sie auf die Schaltfläche "Öffnen".

  3. Wenn es Definitionen für mehrere benutzerdefinierte Dateitypen enthält, kreuzen Sie diejenigen an, die importiert werden sollen.

  4. Nachdem Sie auf die Schaltfläche "Importieren" geklickt haben, werden die ausgewählten Regeln zum aktuellen Satz hinzugefügt, als ob sie gerade manuell festgelegt worden wären.

Import von Legacy-Regeln

Obwohl ältere Suchregeln, die für UFS Explorer bis Version 9.3 erstellt wurden, nicht in der aktuellen Software verwaltet werden können, ist es dennoch möglich, sie im Prozess der Datenwiederherstellung zu verwenden. Dazu müssen Sie leicht unterschiedliche Schritte ausführen:

  1. Setzen Sie beim Konfigurieren des Scans ein Häkchen bei "Ja, ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert" und kreuzen Sie dann "Ich will meine eigenen Regeln zur Datensuche gebrauchen" an.

  2. Danach sehen Sie eine Reihe von Optionen. Wählen Sie "Legacy-Regeln importieren", um die *.urrs-Datei zu laden.

  3. Suchen Sie im geöffneten Fenster die Datei in ihrem Ordner und wählen Sie sie aus.

  4. Nachdem Sie auf "Öffnen" geklickt haben, werden die in der Datei definierten Regeln zum aktuellen IntelliRAW-Regelsatz hinzugefügt. Die Software verwendet sie während des Vorgangs zusammen mit dem Rest der Suchregeln.

Einrichten benutzerdefinierter Suchregeln in einer Videoanleitung

Der folgende Video-Guide gibt Ihnen ein vollständigeres Bild dieses Prozesses und seiner Nuancen:

Auf YouTube ansehen

Letzte Aktualisierung: 16. Februar 2023