Створення власних правил IntelliRAW
Створення правил IntelliRAW для відомих типів файлів
Основний метод сканування, що використовується у UFS Explorer, передбачає аналіз наявних записів файлової системи, в якій зберігаються дані, і відтворення її структури у віртуальному режимі з визначенням точного розташування відсутніх файлів і папок. Однак у разі, якщо відновлення файлової системи неможливе, наприклад, через втрату або серйозне пошкодження її метаданих, програмне забезпечення може просканувати весь вміст диска/розділу та знайти нефрагментовані файли за їх характерними підписами – унікальними шаблонами, присутніми у всіх файлах певного типу. Цей спосіб називають відновленням за вмістом або сирим відновленням (IntelliRAW).
Набір вбудованих у програму правил для такого виду відновлення даних можна розширити за рахунок нових типів файлів і відповідних їм сигнатур, визначених користувачем. У цьому разі, користувацькі правила будуть використовуватися разом із стандартними для сканування сховища, а також для визначення якості файлів у результатах сканування.
Програма має вбудований редактор, який дозволяє легко створювати, переглядати та редагувати власні правила IntelliRAW. Його можна запустити, натиснувши на опцію «Правила IntelliRAW» у пункті «Інструменти» головного меню.
У вікні, що відкриється, ви побачите перелік наявних правил з розширеннями та типами файлів, перерахованими у перших двох стовпцях. Якщо вам треба відновити файли певного формату, якого немає у переліку, ви можете додати відповідне правило вручну.
Для цього потрібно виявити сигнатури-підписи даного типу файлів на основі кількох зразків. Щоб виявити їх, скористайтесь Шістнадцятковим переглядачем або будь-яким іншим доступним засобом. Оскільки справжні підписи файлів не завжди можна відрізнити від схожих шаблонів даних, спробуйте порівняти якомога більше зразків файлів потрібного типу, бажано ті, які не надходять з одного джерела, наприклад, відеофайли, створені кількома записувачами, або файли, створені з різними налаштуваннями.
Продивіться вміст файлів-зразків і знайдіть ідентичні послідовності, звернувши особливу увагу на ті, що розташовані на початку або близько до кінця файлу. Вони мають бути максимально точними для цього типу файлів.
Крім того, визначте формат проаналізованого вмісту – «бінарний» чи текстовий. Шістнадцяткові підписи слід використовувати для звичайних необроблених файлів, а текстові шаблони з області текстових даних – для текстових типів файлів.
Виділіть підпис(и) та скопіюйте його(їх) разом із позицією(ями).
У UFS Explorer натисніть на пункт «Інструменти» та виберіть «Правила IntelliRAW».
У діалоговому вікні, що відкриється, натисніть на кнопку «Новий тип» вгорі.
Залежно від потрібного вам формату, виберіть «Правило для бінарних даних» або «Правило для текстових файлів».
Після цього вкажіть розширення, що має бути застосоване до файлів відповідного користувацького типу.
Далі вкажіть назву для цього типу файлів. Ця назва використовуватиметься як назва папки, до якої будуть зібрані усі файли цього типу в результатах відновлення за відомим вмістом.
Якщо ви створюєте правило для текстового файлу, виберіть формат тексту зі спадного списку біля відповідного параметру.
Після цього натисніть кнопку «Додати правило» і вставте отриманий підпис у поле біля властивості «Значення».
Якщо позиція двійкового підпису відрізняється від 0x0, введіть її в поле «Зміщення правила».
Для текстового правила ви можете увімкнути або вимкнути пошук з урахуванням регістру.
Після натискання на кнопку «Прийняти», новий підпис з’явиться у списку.
Якщо у вас більше одного підпису, скористайтеся кнопкою «Додати правило» ще раз. Створений список підписів можна редагувати за допомогою кнопок «Переглянути/Редагувати» та «Видалити».
Додавши кілька підписів, скористайтесь параметром «Логіка правил», щоб налаштувати умови «відповідності» для них: правило може застосовуватися або у разі, коли всі підписи знайдені, або коли знайдеться принаймні один з них.
Натисніть «Прийняти», і створене вами правило з'явиться у списку правил IntelliRAW програми з приміткою «визначене користувачем». Воно активується автоматично.
Після цього ви можете закрити редактор. Встановлена у такий спосіб конфігурація пошуку буде збережена після перезапуску програми. Ви можете змінити, вимкнути або видалити власні правила в будь-який момент за допомогою цього ж інструмента.
Застосування створених правил під час сканування
Запускаючи сканування сховища в UFS Explorer, на кроці визначення параметрів «Відновлення за вмістом» поставте галочку біля опції «Так, мене цікавить результат відновлення за вмістом», а потім біля «Я бажаю використати власні правила пошуку даних».
Натисніть на «Керувати правилами», якщо вам потрібно внести якісь виправлення в набір правил.
Після завершення сканування усі файли, що були знайдені із застосуванням ваших власних правил, з'являться у папці $Custom. Вони не матимуть своїх оригінальних назв, оскільки таку інформацію неможливо відновити за допомогою цього методу. Крім того, він може дати посередні результати у разі сильно фрагментованого вмісту або за відсутності чіткого підпису з кінця файлу.