So erstellen Sie benutzerdefinierte Suchregeln für die "rohe" Datenrettung

creation of custom scanning rules for raw data recovery with ufs explorer program

In meisten Fällen führt UFS Explorer gründliche Analyse der Dateisystemstrukturen durch und interpretiert diese Informationen, um die fehlenden Daten zu lokalisieren und wiederherzustellen. Unter bestimmten Umständen können wichtige Serviceaufzeichnungen jedoch stark beschädigt oder sogar überschrieben werden, z. B. beim Formatieren, Initialisieren oder anderen Manipulationen am Speicher. Dieses Hindernis macht es oft unmöglich, die Dateien mit dem erwähnten Ansatz zurückzubringen. Um das Problem zu lösen oder das erhaltene Ergebnis zu erweitern, kann IntelliRAW oder die Methode der "rohen Wiederherstellung" aktiviert werden. Lesen Sie weiter, um ihre Essenz kennenzulernen und Ihre eigenen Suchregeln zu erstellen, auf die sich das Programm verlassen kann.


Was ist die "rohe" Datenrettung und wie funktioniert sie?

Die Begriffe "rohe Datenrettung", "Wiederherstellung durch bekannte Inhalte" oder "IntelliRAW" beziehen sich tatsächlich auf dieselbe Technik. Sie umfasst die Suche nach vordefinierten Vorlagen oder den sogenannten Dateisignaturen (auch "magische Zahlen"). Diese binären Sequenzen treten meistens am Anfang der Datei auf und charakterisieren jeden bestimmten Typ eindeutig. Wenn die Dateien nicht fragmentiert sind, kann UFS Explorer die jeweilige Signatur verwenden, um sie innerhalb eines bestimmten Datenbereichs zu identifizieren und ihren Inhalt abzurufen, selbst wenn die Metadaten des Dateisystems fehlen.

Die Software enthält bereits einen grundlegenden Satz von IntelliRAW-Regeln mit Signaturen für gängige Dateitypen wie Dokumente, Bilder, Multimedia, Archive usw. Abgesehen von "roher" Datenrettung selbst werden sie verwendet, um die Qualität des Scans für bestimmte Dateisysteme zu verbessern, den Status der wiederhergestellten Elemente zu kontrollieren und Dateien mit nicht lesbaren Formaten wie *.chk eine richtige Erweiterung zuzuweisen.

list of intelliraw rules by default in ufs explorer software interface

In einigen Situationen kann es jedoch erforderlich sein, die verfügbare Liste mit benutzerdefinierten Regeln zu erweitern, beispielsweise wenn seltene oder proprietäre Dateien verloren gegangen sind. Solche Möglichkeit wird in allen Editionen von UFS Explorer angeboten. Die Software ermöglicht die Erstellung einer Vorlage für jeden fehlenden Typ und seine manuelle Konfiguration. Gleichzeitig sollte die Funktion mit Bedacht eingesetzt werden: Bei einer ungenauen Vorlage kann sich der Scan erheblich verlangsamen und falsche Ergebnisse liefern.

Das Verfahren zum Einrichten eines benutzerdefinierten Dateityps besteht aus drei getrennten Phasen: Bestimmung von Text- oder Binärsignaturen, die für das gegebene Format kennzeichnend sind, Definition einer Regel, nach der sie vom Programm erkannt werden, und die Anwendung dieser Regel während der Spezifikation von Parametern für den Speicherscan. Wenn die Dateien dieses Typs ziemlich alltäglich sind, wird empfohlen, unser Team zu kontaktieren, damit die Regel dafür in den eingebetteten Satz aufgenommen werden kann. Dies kann ihre Verarbeitung in der Software beschleunigen und ermöglicht möglicherweise, detailliertere Informationen über sie zu erhalten (beschreibender Dateiname, Datum der Erstellung und letzten Änderung usw.).

Erkennung einer Signatur der Datei

Um eine Signatur für das Dateiformat Ihrer Wahl zu erhalten, müssen Sie einige Beispiele vorbereiten, vorzugsweise solche, die nicht eng miteinander verwandt sind – beispielsweise Videos, die von unterschiedlichen Kameras aufgenommen wurden. Wenn die Dateien ähnlich sind, kann es schwierig sein, den Unterschied zwischen den tatsächlichen Dateisignaturen und zufälligen Datenmustern, die Dienstinformationen enthalten, zu erkennen.

Mit den vorliegenden Dateien können Sie die folgenden Schritte ausführen:

  1. Entscheiden Sie, mit welchen Mitteln Sie den hexadezimalen Inhalt von Dateien auf das Vorhandensein von Dateisignaturen untersuchen wollen. Es ist möglich, die Hex-Analyse in UFS Explorer durchzuführen oder ein anderes alternatives Tool Ihrer Wahl zu verwenden.

  2. Öffnen Sie die hexadezimalen Darstellungen mehrerer Beispieldateien des benötigten Formats. Als anschauliches Beispiel haben wir SSF-Dateien – dies ist eine herstellerspezifische Art von CCTV-Aufnahmen.

    several sample files opened in hexadecimal viewer of ufs explorer software

  3. Untersuchen Sie den Inhalt jeder geöffneten Datei und bestimmen Sie, ob das Format binär oder textbasiert ist. Suchen Sie nach identischen Mustern in ihnen, besonders ganz am Anfang und am Ende. Für genauere Ergebnisse sollten mindestens 32 eindeutige Bits vorhanden sein.

    Unsere Beispiele sind binär, und wir können sehen, dass jede der Dateien mit gemeinsamen Sequenzen beginnt: STL Stream Format v1.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 31 2E 30) und STL Stream Format v3.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 33 2E 30). Daher kann die Regel für unseren benutzerdefinierten Typ als 'STL Stream Format v1.0' oder 'Stream Format v3.0' definiert werden.

    identical patterns selected in hexadecimal contents of several sample files in ufs explorer program interface

  4. Wählen Sie die Signatur aus, die sich näher am Anfang Ihrer Beispieldateien befindet, und kopieren Sie sie mit dem Werkzeug zum Kopieren von Rohdaten (hexadezimaler Daten) in die Zwischenablage. Wenn Ihre Signatur nicht binär ist, verwenden Sie stattdessen das Tool zum Kopieren von Textdaten. Fügen Sie diese Sequenz ein und speichern Sie sie an einem sicheren Ort, um sie später verwenden zu können.

    Beachten Sie auch die Position Ihrer Signatur im Feld "Start des markierten Bereichs". In unserem Fall ist es 0x0, aber Ihre Signatur muss nicht unbedingt ganz am Anfang stehen.

    two available options to copy text and hex text in hexadecimal viewer of usf explorer software interface

  5. Wenn Sie am Ende Ihrer Beispieldateien eine Signatur entdeckt haben, führen Sie den Kopiervorgang auch für diese Signatur durch.

Erstellen einer Suchregel basierend auf den identifizierten Signaturen

Nachdem Sie die erforderlichen Signaturen der Datei erhalten haben, können Sie eine benutzerdefinierte Suchregel definieren, die von UFS Explorer für ihre Erkennung verwendet wird.

Ab Version 9.4 bietet die Software einen integrierten grafischen Editor, der es ermöglicht, solche Regeln direkt im Programm zu erstellen, anzuzeigen und zu bearbeiten. Er kann auch verwendet werden, um einen benutzerdefinierten Dateityp aus der vorhandenen *.xml-Datei eines beliebigen unterstützten Formats von Drittanbietern zu laden.

Diejenigen, die ihre Produkte nicht aktualisiert haben, können ein spezielles kostenloses Dienstprogramm namens IntelliRAW Rules Editor herunterladen und den Anweisungen zum Erstellen benutzerdefinierter Suchregeln in älteren Versionen von UFS Explorer (bis Version 9.3) folgen. Neuere Software bleibt kompatibel mit alten Regeln (Dateiformat *.urrs). Sie können jedoch nur in IntelliRAW Rules Editor verwaltet werden und werden vom internen Editor nicht unterstützt.

Wenn Sie eine aktuelle Version des Programms verwenden, gehen Sie wie folgt vor:

  1. Führen Sie UFS Explorer aus und ändern Sie im Bedarfsfall dessen Einstellungen im entsprechenden Bereich.

  2. Öffnen Sie das Element "Tools" im Hauptmenü und wählen Sie die Option "IntelliRAW-Regeln", um den eingebetteten Editor zu starten.

    intelliraw rules subelement of tools element on main menu panel of ufs explorer interface

  3. Im geöffneten Dialog sehen Sie die Liste der Dateitypen, die standardmäßig in der Software aktiviert sind. Beachten Sie bitte, dass die vordefinierten Regeln nicht betrachtet oder geändert werden können.

    full list of intelliraw rules enabled by default in ufs explorer

  4. Um Ihren eigenen Dateityp zu erstellen, klicken Sie oben in der Symbolleiste auf die Schaltfläche "Neuer Typ".

    new type button in intelliraw rules editor of ufs explorer software

  5. Wählen Sie je nach Format Ihrer Signaturen (Hexadezimalsequenzen oder Textzeichenfolgen) die Art der zu definierenden Regel aus.

    option rule for binary data selected in popup window to choose rule type to define in intelliraw rules editor of ufs explorer

    option rule for text files selected in popup window to choose rule type to define in intelliraw rules editor of ufs explorer

  6. Geben Sie eine Dateierweiterung an, die für die gefundenen Dateien des angegebenen Formats verwendet wird.

    field to enter extension for new file type in add rule window of intelliraw rules editor of ufs explorer

  7. Bestimmen Sie im entsprechenden Feld einen Namen für Ihren benutzerdefinierten Dateityp ein. Dieser Name wird auch dem Container für diese Dateien in den Ergebnissen der "rohen" Datenrettung zugewiesen.

    field to enter name of new file type in add rule window of intelliraw rules editor of ufs explorer

  8. Wenn Sie eine textbasierte Signatur verwenden, können Sie die gewünschte Codierung über die Dropdown-Liste neben der Eigenschaft "Textformat" auswählen.

    drop-down list of text encodings of text format property in add rule window of ufs explorer intelliraw rules editor

  9. Drücken Sie oben auf die Schaltfläche "Regel hinzufügen" und fügen Sie die erste im vorherigen Schritt erhaltene Signatur in das Feld neben der Eigenschaft "Wert" ein.

    add rule button in add new rule window of ufs explorer intelliraw rules editor

    Diese Regeln unterstützen auch eine spezielle Syntax, die für das erweiterte Hexadezimalsuchwerkzeug in der Komponente Hexadezimaler Viewer von UFS Explorer verfügbar ist. Basierend auf dieser Syntax können wir unsere beiden Signaturen in einer einzigen Regel kombinieren, die als 'STL Stream Format v'{31,33}'.0' definiert wird.

    value field in advanced hex match dialog of ufs explorer intelliraw rules editor

  10. Im Falle einer hexadezimalen Signatur geben Sie deren Position im Feld "Regelversatz" an.

    rule offset field in advanced hex match dialog of intelliraw rules editor of ufs explorer

    Im Falle einer textbasierten können Sie die Groß- und Kleinschreibung aktivieren, um zwischen Groß- und Kleinbuchstaben zu unterscheiden.

    option to enable and disable case sensitivity for text based rule in intelliraw rules editor of ufs explorer

  11. Nachdem Sie auf "OK" geklickt haben, wird die angegebene Regel im unteren Bereich aufgelistet. Sie kann jederzeit über die Schaltfläche "Anzeigen/Bearbeiten" geändert werden.

    button to view and edit selected user defined rule in ufs explorer intelliraw rules editor

  12. Wenn Sie eine andere Signatur haben, klicken Sie erneut auf die Schaltfläche "Regel hinzufügen" und wiederholen Sie die vorherigen Schritte.

    button to add more rules in add new rule window of ufs explorer intelliraw rules editor

  13. Definieren Sie die Bedingungen, die erfüllt sein müssen, damit ein Abgleich stattfindet: Legen Sie über die Eigenschaft "Regellogiken" fest, ob alle Signaturen oder mindestens eine davon im Inhalt einer Datei vorhanden sein müssen.

    rules logics parameter in add rule window of ufs explorer intelliraw rules editor

  14. Klicken Sie auf "OK", und der erstellte benutzerdefinierte Dateityp wird dem verfügbaren Satz von IntelliRAW-Regeln hinzugefügt. Er wird mit einer anderen Farbe angezeigt und hat die Eigenschaft "Benutzerdefiniert".

    custom file type selected in intelliraw rules list of ufs explorer intelliraw rules editor

  15. Neue Regeln werden standardmäßig sofort nach ihrer Erstellung aktiviert. Sie können Ihre Regel deaktivieren, indem Sie sie in der Liste auswählen und oben in der Symbolleiste auf die Schaltfläche "Deaktivieren" klicken und später die Schaltfläche "Ermöglichen" verwenden, um sie zu aktivieren.

    button to deactivate selected custom rule in ufs explorer intelliraw rules editor

Danach kann der Editor geschlossen werden. Der definierte benutzerdefinierte Dateityp bleibt nach dem Neustart im Programm. Sie können sich auch später auf diese Komponente beziehen, wenn Sie sie bearbeiten, deaktivieren oder löschen möchten.

Implementierung benutzerdefinierter Regeln während des Scans

Um beim Scannen eines Speichers mit UFS Explorer nach Ihrem eigenen benutzerdefinierten Dateityp zu suchen, gehen Sie wie folgt vor:

  1. Aktivieren Sie beim Einrichten eines Scans die Option "Ja, ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert".

    checkbox to enable recovery by known contents on step 3 of storage scan configuration in ufs explorer interface

  2. Gleich danach erscheint eine weitere Option, die die Verwendung Ihrer eigenen Datensuchregeln ermöglicht. Haken Sie diese auch ab.

    checkbox to enable custom search rules usage on step 3 of storage scan configuration in ufs explorer interface

  3. Die Software zeigt die Anzahl der derzeit definierten benutzerdefinierten Regeln an. Wenn Sie Anpassungen daran vornehmen müssen, verwenden Sie die Option "Regeln verwalten". Wenn nicht, fahren Sie sofort mit dem Scannen fort.

    option to manage custom search rules on step 3 of storage scan configuration in ufs explorer interface

UFS Explorer wird Ihre Regel verwenden und die gefundenen Dateien mit seiner Hilfe im Ordner $Custom bereitstellen. Den Dateien werden automatisch neue Namen zugewiesen, da diese Informationen bei der "rohen Wiederherstellung" nicht verfügbar sind. Sie sollten sich auch darüber im Klaren sein, dass diese Methode Schwachstellen aufweist und bei umfangreicher Dateifragmentierung schlechte Ergebnisse liefert.

Export/Import der erstellten Regeln

Ab Version 9.5 bietet UFS Explorer die Möglichkeit, ausgewählte benutzerdefinierte Suchregeln als *.xml-Dateien zu speichern, die Sie für Sicherungszwecke oder für den weiteren Import in die auf einem anderen Computer gestartete Software verwenden können.

  1. Um solche Datei zu erstellen, öffnen Sie den eingebetteten Editor über den Punkt "IntelliRAW-Regeln" im Hauptmenü des Programms.

    intelliraw rules item under tools element of ufs explorer main menu

  2. Holen Sie sich danach das Werkzeug "Exportieren" aus der Symbolleiste oben.

    function to export selected user defined file types to a file in ufs explorer intelliraw rules editor

  3. Wählen Sie im geöffneten Fenster alle benutzerdefinierten Dateitypen aus, die Sie exportieren möchten.

    dialog to select user defined file types to export in ufs explorer intelliraw rules editor

  4. Klicken Sie abschließend auf die Schaltfläche "Exportieren".

    export button in custom file types selecting dialog in ufs explorer intelliraw rules editor

  5. Wählen Sie den Speicherort und definieren Sie den Namen für die zu erstellende *.xml-Datei.

    dialog to select location and enter name for xml file with exported custom file types

  6. Klicken Sie auf die Schaltfläche "Speichern", und die Datei wird im angegebenen Ordner gespeichert. Alle darin enthaltenen Regelwerte werden als Standard-Base64-Zeichen dargestellt, die nicht mit der XML-Analyse in Konflikt stehen. Die Datei selbst ist mit der UTF-8-Codierung codiert und kann in einem Textverarbeitungsprogramm bearbeitet werden. Wenn der Wert XML-sicher ist und nicht fälschlicherweise als Markup interpretiert werden kann, kann er als Klartext oder als erweiterte hexadezimale Zeichenfolge ohne das Base64-Präfix definiert werden.

Analog können benutzerdefinierte Suchregeln mithilfe des eingebetteten Editors aus der vorhandenen kompatiblen *.xml-Datei importiert werden.

  1. Wählen Sie dazu das Werkzeug "Importieren" aus seiner Symbolleiste aus.

    function to import xml file with user defined file types in ufs explorer intelliraw rules editor

  2. Navigieren Sie im geöffneten Dialog zu dem Ordner, in dem die Datei gespeichert ist, wählen Sie sie aus und klicken Sie auf die Schaltfläche "Öffnen".

    dialog to select previously exported xml file with user defined file types to be imported to ufs explorer intelliraw rules editor

  3. Wenn es Definitionen für mehrere benutzerdefinierte Dateitypen enthält, kreuzen Sie diejenigen an, die importiert werden sollen.

    dialog to select custom file types to be imported to ufs explorer intelliraw rules editor from exported xml file with user defined file types

  4. Nachdem Sie auf die Schaltfläche "Importieren" geklickt haben, werden die ausgewählten Regeln zum aktuellen Satz hinzugefügt, als ob sie gerade manuell festgelegt worden wären.

    import button in user defined file types selecting dialog in ufs explorer intelliraw rules editor

Import von Legacy-Regeln

Obwohl ältere Suchregeln, die für UFS Explorer bis Version 9.3 erstellt wurden, nicht in der aktuellen Software verwaltet werden können, ist es dennoch möglich, sie im Prozess der Datenwiederherstellung zu verwenden. Dazu müssen Sie leicht unterschiedliche Schritte ausführen:

  1. Setzen Sie beim Konfigurieren des Scans ein Häkchen bei "Ja, ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert" und kreuzen Sie dann "Ich will meine eigenen Regeln zur Datensuche gebrauchen" an.

    checkboxes to enable raw reovery on step 3 of storage scan configuration in ufs explorer interface

  2. Danach sehen Sie eine Reihe von Optionen. Wählen Sie "Legacy-Regeln importieren", um die *.urrs-Datei zu laden.

    function to import legacy rules on step 3 of storage scan configuration in ufs explorer interface

  3. Suchen Sie im geöffneten Fenster die Datei in ihrem Ordner und wählen Sie sie aus.

    dialog to choose urrs file with legacy rules to be imported in ufs explorer

  4. Nachdem Sie auf "Öffnen" geklickt haben, werden die in der Datei definierten Regeln zum aktuellen IntelliRAW-Regelsatz hinzugefügt. Die Software verwendet sie während des Vorgangs zusammen mit dem Rest der Suchregeln.

    open button to add legacy rules from urrs file to ufs explorer intelliraw search

Einrichten benutzerdefinierter Suchregeln in einer Videoanleitung

Der folgende Video-Guide gibt Ihnen ein vollständigeres Bild dieses Prozesses und seiner Nuancen:

Auf YouTube ansehen

Letzte Aktualisierung: 16. Februar 2023

Wenn Ihnen dieser Artikel gefällt, teilen Sie ihn in sozialen Medien: