قبل إن تحاول عمل استرجاع البيانات من الهارد ديسك أو اى وسيط . لا بد أن تعرف أولا نظام تشغيله ” تقسيمه ” . وبالاخص NTFS استرجاع البيانات من
وكيف يعمل سواء كانت NTFS استعادة الملفات من او غير ذلك من الانواع .
لتحصل على الملفات المطلوب استرجاعها بأسرع وقت سليمة .
كذلك لتحصل عليها بنفس ترتيبها داخل المجلدات بنفس الشكل الشجري TREE (مجلد داخل مجلد داخله ملفات وهكذا )
قبل الحذف أو قبل تلف القرص الصلب أو الوسيط الذي تسترجع منه أيا كان نوعه.
عند تقسيم الهارد ديسك يتم اختيار نوع التقسيم المراد استخدامه
سواء كان Fat16 أو FAT 32 أو NTFS أو الأحدث ReFS هذا لنظم تشغيل windows
أو نظم EXT بأنواعها لنظم تشغيل Linux
سنتحدث عن نظم التقسيم التي تعمل مع الويندوز باعتباره الأكثر شيوعا وانتشارا .
في البداية كان نظام FAT16 القديم جدا وغير المنتشر ولن نتحدث عنه لأنه لا يدعم بارتشنات أو أقسام فوق 2 جيجا
FAT 32
هو النظام الأكثر شيوعا في الماضي وهو اختصار file allocation table وظهر مع ظهور ويندوز 98
هو نظام جيد في التعامل مع الملفات ولكن كانت له مشاكل كثيرة نذكر منها على سبيل المثال :
* بطء الأداء .
* عدم دعم الملفات فوق حجم 4 جيجا للملف الواحد .
* لايدعم حجم البارتشنات أو التقسيمات الكبيرة في الهاردات ذات المساحات الكبيرة .
* عدم دعم السرية والأمان بشكل كاف وتشفير الملفات .
* بطء السرعة .
* استغلال مساحات الهارد بشكل امثل .
لتلافى العيوب السابقة قامت شركه ميكروسوفت بتطوير نظام NTFS
استرجاع البيانات من نظام NTFS .
مكوناته
وهو موضوع حوارنا هو اختصار New Technology File System بدأ مع نظام ويندوز XP
ويتلافى كل ما ذكرنا من عيوب فات 32.
حتى NTFS استرجاع البيانات من لا بد أن تفهم كيف يعمل أولا . نتعالى نتعرف على مكوناته
يتكون من مكونين أساسيين هما Boot و MFT
1 – BOOT
هو بداية البرتشن أو القسم ويسمى ايضا DBR ( DOS BOOT RECORD, DOS boot record).
لو تم تقسيم الهارد ديسك مثلا لقسم واحد بأحد برامج التقسيم فان هذا القسم سيبدأ من سيكتور 63
وفي الغالب الأعم ما عدا بعض الهاردات يو ا س بي USB فسيبدأ من سيكتور 2048 .
ألان أول سيكتور هنا سيكون سيكتور 63 كما هو فى الغالب .هذا السيكتور يحتوى البوت Boot وعند مسحه أو تعديل بياناته
لا يستطيع الجهاز تحميل الويندوز أو نظام التشغيل من الهارد إذا كان موجود به نظام تشغيل Operating system .
وهو يوجد في سيكتور 0 في الهارد ديسك
2 – MFT
هو فهرست الداتا الموجودة بالهارد . تخيل انك عندك كتاب من عشر الآلاف صفحه
وعايز توصل لصفحه معينه أو موضوع معين والكتاب
بدون فهرس ها تاخد وقت كام ؟ ولو الكتاب بفهرس ؟
أكيد الوقت بمساعده الفهرس اقل .
هو ده دور MFT وهو اختصار Master File Table ومن اسمه هو مدير الملفات الخاصة ب NTFS .
يتم تخليق ملفاته من DBR أو البوت في الهارد ديسك . كل ملف مخزن على الهارد له ببيانات داخل MFT.
وهو يشغل مساحه من البرتيشن لا يحق للمستخدم استغلالها للداتا وتبغ 12 % من مساحه البرتيشن
وللمستخدم فقط 88% من المساحة الباقية لتخزين ملفاته .
لاحظ
عندما تزيد ملفات المستخدم عن ال 88% من المساحة يقوم الويندوز بتقليل مساحه MFT مما يؤدى إلى بطء الهارد .
MFT مقسم إلى سجلات كل سجل مسئول عن مجوعه ملفات وكل سجله حجمه حوالي KB1 .
أول 16 سجل منهم مسئولين عن نظام التشغيل الخاص ب NTFS ويسمون metafiles
وأول 4 من هذه ال16 ملف ( metafiles ) مسئوله عن MFT نفسه .
ومنها نسخه آخري في منتصف الهارد تحسبا لتلف النسخة الرئيسية الأولى ببداية الهارد .
أما باقي سجلات MFT فتنتشر في الهارد . توجد ملفات ( metafiles ) في الجذر أو المجلد الرئيسي أو Root Directory الخاص ب NTFS .
ألان عند اى محاوله Data Recovery او استرجاع بيانات بأي برامج أو جهاز خاص بالريكفرى في بارتشن NTFS
فإن هذه البرامج تقوم بالبحث عن نسح أول نسخه MFT التي بها الميتا فيلز metafiles فان وجدت أول نسخه سليمة فهذا يسهل المهمة
وان لم توجد بسبب بادات bad sectors أو بسبب فورمات متخصص Format with P-list أو اى سبب آخر
فيبحث البرنامج أو الجهاز عن النسخ الآخر ى من MFT المنتشرة في الهارد
إن لم يجد البرنامج أول نسخه فان وجدت أول نسخه سليمة فهذا يسهل المهمة لكى يتم NTFS استعادة الملفات من .
نشوف الكلامده عمليا :
اتفقنا إن البوت في NTFS ها يبدأ من سيكتور صفر اما ال MFT ها يبدأ من سيكتور 63 . نبدأ الآن ب Boot
1- افتح اى برنامج يعمل تحرير للهيكس زى مثلا WinHex اللى ها نشتغل بيه الآن بما انه أفضلهم
2- من قائمه tools اختار open disk ها تظهر الصورة دى
Hexadecimal يعنى سداسي عشر ها تلاقى فوق 16 عمود من من 0 ل 9 ثم من A حتى F وعندي الصفوف بتسمي Offset
.أيضا ترقم بنفس ترقيم الأعمدة
الجزء العلوي
السطر الأول
00 02 08 00 00
من اليمين القيمه 20 اى 200 بالهيكس تساوى 512 بالعشري يعنى كل سيكتور مساحته 512 بايت وهى القيمة الأساسية الافتراضية
08 عدد السيكتورات في الكلستر الواحد Sectors per Cluster 4 كيلو .
من الناحيه الاخرى من السطر EB 52 90 تسمى jump code ثم يليها 4E 54 46 53 20 20 20 20 وهو OEM Segnature
والتى تحتوى معلومات تخص نوع ملفات الننظام المستخدمه
السطر الثاني
00 00 00 00 00 F8 00 00 3F 00 FF 00 3F 00 00 00
القيم صفر هنا من اليمين للدلالة على انه NTFS
F8 تعنى انه Fixed Disk يعنى عليه ويندوز xp فأعلى .
3F عدد السيكتورات في التراك الواحد 3f بالهيكس = 63 بالنظام العشري . استخدم الآلة الحاسبة بال ويندوز للتحويل .
FF عدد الهدود الافتراضي 255 (راجع موضوع القرص platter) . من هنا
3F عدد السيكتورات المخفية في السلندر 0 على الهيد 0 (Cyl=0 Head=0) .
السطر الثالث
* القيمة 80 اى 800 وهي تساوى 1024 وتكون هكذا فقط اذا كان الويندوز فيستا أو 7 (المستطيل الازرق بالرسم)
* 74 70 59 81 دى مساحه سيكتورات الهارد الكلية هنا الهارد الخاص بي 74705981 تصبح بالعشري
(المستطيل الاصفر بالرسم)1953520001 اى واحد تيرا
السطر الرابع
98 05 47 07 (المستطيل الأبيض بالرسم)
ده مكان بداية MFT mirror فالهارد هنا بالعشري يعنى في كلستر 88541080 ها ألاقى أول نسخه MFT .
أما أول السطر 0c فمكان MFT الرئيسي
السطر الخامس
F6 عدد البايت لتسجيل الملف الواحد على الهارد 1024 bytes
الجزء الثانى من السطر هو سريال نمر الخاص بNTFS
اللى بيظهر لما بنتفذ الأمر dir في الدوس
C:\>dir
Volume in drive C is Win2000
Volume Serial Number is A4E1-5DFC
الجزء السفلى
السطر الأخير
كما في المستطيل الأزرق بالصوره ( 8C A9 BE D6) ده توقيع نسخه الويندوذ 7 الانجليزى .
ولكل نسخه توقيع مختلف .
. أما أخر جزء من السطر فهو 55AA فهو التوقيع السحري . اى تغيير فيه يوقف الويندوز الموجود على الهارد .
كما في الصورة اعلى السطر الأخير المساحة الخضراء أو ما تسمى ب رسالة الخطأ .
والتى تظهر للمستخدم عند حدوث اى تغيير في هذا الملف يعيق عمل الويندوز
فتظهر عند بداية عمل الجهاز ولا يتم تحميل الويندوز
ولمعرفه النوع الانسب لاختيار الفورمات اقرا الموضوع
2 تعليقات
معلومات غير موجودة على اى موقع ، شكرى و تقديرى اليكم وتمنياتى بالتوفيق و النجاح الدائم ..
تحياتى ……..