Створення власних правил пошуку для відновлення даних "за відомим вмістом"

creation of custom scanning rules for raw data recovery with ufs explorer program

У більшості випадків UFS Explorer виконує ретельний аналіз структур файлової системи й інтерпретує цю інформацію для пошуку і відновлення відсутніх даних. Втім, за певних обставин важливі службові записи можуть зазнати значного пошкодження або навіть бути перезаписані, як от після форматування, ініціалізації або іншого роду маніпуляцій зі сховищем. Ця перешкода часто позбавляє можливості повернути файли за допомогою зазначеного підходу. Щоб розв'язати цю проблему або ж розширити отриманий результат, можна активувати IntelliRAW або метод відновлення "за відомим вмістом". Прочитавши цю статтю, ви дізнаєтеся його суть та зможете створювати власні правила пошуку, якими керуватиметься програма.


Що таке відновлення даних "за відомим вмістом" і як воно працює?

Терміни "RAW-відновлення", "відновлення за відомим вмістом" або "IntelliRAW" насправді стосуються одного й того ж методу. Він охоплює пошук попередньо заданих фрагментів або так званих файлових сигнатур (також "магічних чисел"). Ці двійкові послідовності зустрічаються в основному на початку файлу та однозначно характеризують певний їх тип. Якщо файли не фрагментовані, UFS Explorer може використовувати відповідну сигнатуру для їх ідентифікації у межах заданого діапазону даних та отримати їх вміст навіть за відсутності метаданих файлової системи.

Програма вже містить базовий набір правил IntelliRAW із сигнатурами для більшості поширених типів файлів, таких як документи, зображення, мультимедіа, архіви тощо. Крім власне відновлення даних "за відомим вмістом", вони використовуються для підвищення якості сканування певних файлових систем, контролю стану відновлених елементів та для призначення належного розширення файлам нечитабельних форматів, таких як *.chk.

list of intelliraw rules by default in ufs explorer software interface

Однак у деяких ситуаціях може знадобитися додати до наявного списку користувальницькі правила, наприклад, якщо було втрачено рідкісні або пропрієтарні файли. Така можливість представлена у всіх редакціях UFS Explorer. Програмне забезпечення дозволяє створити шаблон для будь-якого відсутнього типу та налаштувати його вручну. Водночас функцією слід користуватися розважливо: неточний шаблон може значно сповільнити сканування і призвести до помилкових результатів.

Процедура задання користувальницького типу файлу складається з трьох окремих етапів: визначення текстових або двійкових сигнатур, характерних для даного формату, налаштування правила, на основі якого їх виявлятиме програма, та його застосування при виборі параметрів для сканування сховища. Якщо файли такого типу є досить поширеними, рекомендується зв'язатися з нашою командою для включення такого правила до вбудованого набору. Це може прискорити їх опрацювання програмним забезпеченням і потенційно дозволяє отримати більш детальну інформацію про них (інформативніше ім'я файлу, дату створення й останньої модифікації тощо).

Виявлення сигнатури файлу

Щоб отримати сигнатуру для обраного вами формату файлів, потрібно буде підготувати кілька його зразків, бажано таких, що не пов'язані між собою – наприклад, відео, записані різними камерами. Якщо файли схожі, може бути складно відрізнити справжні сигнатури файлів від випадкових послідовностей даних, що містять службову інформацію.

Маючи під рукою файли, ви можете виконати наступні кроки:

  1. Оберіть засіб, який буде використовуватись для перевірки шістнадцяткового вмісту файлів на наявність файлових сигнатур. Шістнадцятковий аналіз можна виконати в UFS Explorer або застосувати будь-який інший альтернативний інструмент, якому ви віддаєте перевагу.

  2. Відкрийте шістнадцяткове представлення декількох зразків файлів потрібного формату. Як наочний приклад у нас SSF-файли – це специфічний тип записів відеоспостереження.

    several sample files opened in hexadecimal viewer of ufs explorer software

  3. Дослідіть вміст кожного з відкритих файлів та визначте, чи є їх формат двійковим або текстовим. Знайдіть ідентичні послідовності, особливо на початку та в кінці. Для отримання точних результатів має бути не менше 32 унікальних бітів.

    Наші зразки є двійковими, і можна побачити, що кожен з них на початку має спільні послідовності: STL Stream Format v1.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 31 2E 30) та STL Stream Format v3.0 (53 54 4C 20 53 74 72 65 61 6D 20 46 6F 72 6D 61 74 20 76 33 2E 30). Таким чином, правило для нашого користувальницького типу можна задати як 'STL Stream Format v1.0' або 'Stream Format v3.0'.

    identical patterns selected in hexadecimal contents of several sample files in ufs explorer program interface

  4. Оберіть сигнатуру, знайдену ближче до початку ваших файлів, та скопіюйте її до буфера обміну за допомогою інструменту для копіювання "сирих" (шістнадцяткових) даних. Якщо ж у вас не двійкова сигнатура, використовуйте замість цього інструмент для копіювання текстових даних. Вставте та збережіть цю послідовність до будь-якої безпечної локації, щоб мати можливість застосувати її пізніше.

    Зверніть увагу на позицію сигнатури в полі "Початок виділеної області". В нашому випадку це 0x0, але ваша сигнатура не обов'язково має розташовуватися в самому початку файлу.

    two available options to copy text and hex text in hexadecimal viewer of usf explorer software interface

  5. Якщо ви помітили сигнатуру в кінці ваших зразків, виконайте операцію копіювання і для цієї сигнатури.

Створення правила пошуку на основі ідентифікованих сигнатур

Тепер, отримавши необхідні сигнатури файлу, ви можете створити користувальницьке правило пошуку, яке UFS Explorer використовуватиме для їх розпізнавання.

Починаючи з версії 9.4, програмне забезпечення пропонує вбудований графічний редактор, що дозволяє створювати, переглядати та редагувати такі правила безпосередньо в програмі. Його також можна застосовувати для завантаження користувальницького типу файлу з вже наявного *.xml-файлу будь-якого підтримуваного стороннього формату.

Користувачі, які не оновили свої продукти, можуть завантажити спеціальну безкоштовну утиліту під назвою IntelliRAW rules editor та слідувати інструкціям для створення користувальницьких правил пошуку в старіших версіях UFS Explorer (до версії 9.3). Новіше програмне забезпечення залишається сумісним зі старими правилами (формат файлів *.urrs). Однак керувати ними можна лише в IntelliRAW rules editor, внутрішній редактор їх не підтримує.

Якщо ж ви застосовуєте сучасну версію програми, виконайте наступне:

  1. Запустіть UFS Explorer та, при необхідності, змініть налаштування програми у відповідній панелі.

  2. Відкрийте пункт "Інструменти" в головному меню та виберіть опцію "Правила IntelliRAW", щоб запустити вбудований редактор.

    intelliraw rules subelement of tools element on main menu panel of ufs explorer interface

  3. У діалоговому вікні ви побачите список типів файлів, активованих в програмному забезпеченні за замовчуванням. Будь ласка, зверніть увагу, що вбудовані правила не можна переглядати або змінювати.

    full list of intelliraw rules enabled by default in ufs explorer

  4. Щоб створити свій власний тип файлу, натисніть кнопку "Новий тип" на панелі інструментів вгорі.

    new type button in intelliraw rules editor of ufs explorer software

  5. Виберіть тип правила, яке ви збираєтеся задати, залежно від формату ваших сигнатур (шістнадцяткові або текстові послідовності).

    option rule for binary data selected in popup window to choose rule type to define in intelliraw rules editor of ufs explorer

    option rule for text files selected in popup window to choose rule type to define in intelliraw rules editor of ufs explorer

  6. Вкажіть розширення файлу, яке буде використовуватися для знайдених файлів даного формату.

    field to enter extension for new file type in add rule window of intelliraw rules editor of ufs explorer

  7. Задайте ім'я для вашого користувальницького типу файлу у відповідному полі. Це ім'я також буде присвоєне контейнеру для цих файлів у результатах відновлення за відомим вмістом.

    field to enter name of new file type in add rule window of intelliraw rules editor of ufs explorer

  8. Якщо використовується текстова сигнатура, необхідне кодування можна вибрати зі списку поруч із властивістю "Формат тексту".

    drop-down list of text encodings of text format property in add rule window of ufs explorer intelliraw rules editor

  9. Натисніть кнопку "Додати правило", розташовану вгорі, та вставте першу сигнатуру, отриману на попередньому етапі, в поле поруч із властивістю "Значення".

    add rule button in add new rule window of ufs explorer intelliraw rules editor

    Ці правила також підтримують спеціальний синтаксис, доступний для інструменту розширеного шістнадцяткового пошуку в Шістнадцятковому переглядачі UFS Explorer. Виходячи з цього синтаксису, ми можемо об'єднати наші дві сигнатури в єдине правило, що виглядає як 'STL Stream Format v'{31,33}'.0'.

    value field in advanced hex match dialog of ufs explorer intelliraw rules editor

  10. У разі шістнадцяткової сигнатури вкажіть її позицію в полі "Зміщення правила".

    rule offset field in advanced hex match dialog of intelliraw rules editor of ufs explorer

    У разі текстової сигнатури ви можете активувати чутливість до регістру, щоб розрізняти символи верхнього та нижнього регістрів.

    option to enable and disable case sensitivity for text based rule in intelliraw rules editor of ufs explorer

  11. Як тільки ви натиснете "Прийняти", вказане правило з'явиться в списку на нижній панелі. Його можна відредагувати в будь-який момент за допомогою кнопки "Переглянути/ Редагувати".

    button to view and edit selected user defined rule in ufs explorer intelliraw rules editor

  12. Якщо у вас є ще одна сигнатура, натисніть знову на кнопку "Додати правило" та повторіть попередні кроки.

    button to add more rules in add new rule window of ufs explorer intelliraw rules editor

  13. Вкажіть умови, які мають виконуватися, щоб відповідність була зарахована: використовуйте властивість "Логіка правил", щоб задати, чи всі сигнатури або хоча б одна з них мають бути присутніми у вмісті файлу.

    rules logics parameter in add rule window of ufs explorer intelliraw rules editor

  14. Натисніть "Прийняти", і створений користувальницький тип файлу буде додано до наявного набору правил IntelliRAW. Він буде позначений іншим кольором та матиме властивість "Визначене користувачем".

    custom file type selected in intelliraw rules list of ufs explorer intelliraw rules editor

  15. Нові правила активуються за замовчуванням відразу після їх створення. Ви можете деактивувати своє правило, вибравши його в списку та натиснувши кнопку "Вимкнути" на панелі інструментів вгорі, а пізніше використати кнопку "Увімкнути" для його активації.

    button to deactivate selected custom rule in ufs explorer intelliraw rules editor

Після цього редактор можна закрити. Створений тип файлу залишатиметься в програмі після її перезапуску. Також можна звернутися до цього компонента пізніше, якщо захочете відредагувати, відключити або видалити правило.

Застосування користувальницьких правил під час сканування

Щоб шукати файли користувальницького типу під час сканування сховища за допомогою UFS Explorer, дотримуйтесь наведеної процедури:

  1. На етапі налаштування сканування активуйте опцію "Так, мене цікавить результат відновлення за вмістом".

    checkbox to enable recovery by known contents on step 3 of storage scan configuration in ufs explorer interface

  1. Відразу після цього з'явиться ще одна опція, яка дозволяє використовувати власні правила пошуку даних. Відзначте її пташкою.

    checkbox to enable custom search rules usage on step 3 of storage scan configuration in ufs explorer interface

  1. Програмне забезпечення покаже кількість заданих наразі користувальницьких правил. Якщо вам потрібно внести до них будь-які зміни, використовуйте опцію "Керувати правилами". За відсутності такої потреби одразу розпочинайте сканування.

    option to manage custom search rules on step 3 of storage scan configuration in ufs explorer interface

UFS Explorer використає ваше правило та розмістить файли, знайдені з його допомогою, в теці $Custom. Файли автоматично отримають нові імена, оскільки ця інформація недоступна при відновленні "за відомим вмістом". Крім того, слід усвідомлювати, що цей метод має свої недоліки та надає погані результати в умовах значної фрагментації файлів.

Експорт/імпорт створених правил

Починаючи з версії 9.5, UFS Explorer пропонує засоби для збереження вибраних користувальницьких правил пошуку у вигляді *.xml-файлів, які можна використовувати як резервну копію або для подальшого імпорту в програмне забезпечення, запущене на іншому комп'ютері.

  1. Щоб створити такий файл, відкрийте вбудований редактор за допомогою пункту "Правила IntelliRAW" в головному меню програми.

    intelliraw rules item under tools element of ufs explorer main menu

  2. Після цього оберіть інструмент "Експорт" на панелі інструментів вгорі.

    function to export selected user defined file types to a file in ufs explorer intelliraw rules editor

  3. У вікні виберіть усі користувальницькі типи файлів, які ви бажаєте експортувати.

    dialog to select user defined file types to export in ufs explorer intelliraw rules editor

  4. Нарешті, натисніть кнопку "Експорт".

    export button in custom file types selecting dialog in ufs explorer intelliraw rules editor

  5. Виберіть місце розташування та задайте ім'я для створюваного *.xml-файлу.

    dialog to select location and enter name for xml file with exported custom file types

  6. Натисніть кнопку "Зберегти", і файл буде збережено у вказаній теці. Всі значення правил у ньому будуть представлені у вигляді стандартних символів base64, які не конфліктують з XML-парсингом. Сам файл кодується за допомогою UTF-8 та може редагуватися у текстовому процесорі. Якщо значення є безпечним для XML і не буде помилково інтерпретуватися як розмітка, його можна задати як звичайний текст або розширену шістнадцяткову послідовність без префікса base64.

За аналогією через вбудований редактор можна імпортувати користувальницькі правила пошуку з наявного сумісного *.xml-файлу.

  1. Для цього оберіть інструмент "Імпорт" на його панелі інструментів.

    function to import xml file with user defined file types in ufs explorer intelliraw rules editor

  2. У діалоговому вікні перейдіть до теки, де зберігається файл, виберіть його та натисніть кнопку "Відкрити".

    dialog to select previously exported xml file with user defined file types to be imported to ufs explorer intelliraw rules editor

  3. Якщо він містить визначення для декількох користувальницьких типів файлів, поставте пташки біля тих, які треба імпортувати.

    dialog to select custom file types to be imported to ufs explorer intelliraw rules editor from exported xml file with user defined file types

  4. Після натискання кнопки "Імпорт" вибрані правила будуть додані до поточного набору, неначе їх було задано вручну.

    import button in user defined file types selecting dialog in ufs explorer intelliraw rules editor

Імпорт старих правил

Хоча старими правилами пошуку, створеними для UFS Explorer до версії 9.3, не можна керувати в сучасному програмному забезпеченні, їх все ще можна використовувати в процесі відновлення даних. Для цього потрібно виконати дещо інші кроки:

  1. Під час налаштування сканування поставте пташку біля пункту "Так, мене цікавить результат відновлення за вмістом", а потім біля пункту "Я бажаю використати власні правила пошуку даних".

    checkboxes to enable raw reovery on step 3 of storage scan configuration in ufs explorer interface

  2. Після цього з'явиться ряд опцій. Виберіть "Завантажити правила" для завантаження *.urrs-файлу.

    function to import legacy rules on step 3 of storage scan configuration in ufs explorer interface

  3. У вікні знайдіть файл у відповідній теці та виберіть його.

    dialog to choose urrs file with legacy rules to be imported in ufs explorer

  4. Щойно ви натиснете кнопку "Відкрити", правила, задані у файлі, будуть додані до поточного набору правил IntelliRAW. Програма використовуватиме їх під час процедури разом із рештою правил пошуку.

    open button to add legacy rules from urrs file to ufs explorer intelliraw search

Налаштування користувальницьких правил пошуку у відеокерівництві

Наступне відеокерівництво дасть вам більш повне уявлення про цей процес та його нюанси:

Переглянути на YouTube

Останнє оновлення: 16 лютого 2023

Якщо вам сподобалася ця стаття, поділіться нею у соцмережах: