R-Studio jest przeznaczony do odzyskiwania danych z fizycznych dysków twardych i innych nośników. Program może być też używany do odzyskiwania plików przechowywanych na dyskach wirtualnych lub w kontenerach plików. Kontenery plików często zawierają te same części prawdziwego dysku, w tym rekord rozruchowy, partycje dysku, systemy plików oraz pojedyncze pliki i foldery. Kontenery plików mogą być nieskompresowane, skompresowane lub zaszyfrowane. Ponadto istnieją narzędzia, które mogą zaszyfrować cały dysk.

Metoda odzyskiwania danych z kontenera plików zależy od jego formatu. W tym artykule omówiliśmy metody odzyskiwania danych przy użyciu R-Studio dla najpopularniejszych formatów kontenerów plików.

Rodzaje Kontenerów Plików z Obrazami Dysków

Istnieje kilka typów formatów kontenerów plików, które działają jako obrazy dysków:

• Nieskompresowane obrazy dysków - Jest to kopia dysku sektor po sektorze utworzona z woluminu logicznego lub całego dysku fizycznego. Ten rodzaj obrazu dysku można załadować do R-Studio i przetwarzać jak każdy inny obraz.
• Zastrzeżone kontenery plików - Niektóre narzędzia używają własnych formatów obrazów dysków. Zastrzeżone obrazy dysków są zwykle skompresowane lub zaszyfrowane. Na przykład R-Drive Image, narzędzie do obrazowania dysków, tworzenia kopii zapasowych i kopiowania opracowane przez R-TT, Inc., tworzy kontenery plików z rozszerzeniem .rdr.
• Zaszyfrowane kontenery plików - Są podobne do zastrzeżonych kontenerów plików, ale ich zawartość jest również zaszyfrowana. Tylko oprogramowanie użyte do stworzenia obrazu może go zamontować i odczytać. Jeśli zaszyfrowany kontener można zamontować w natywnym oprogramowaniu, może zostać wykryty przez R-Studio i przetworzony jak normalny dysk logiczny.
• Kontenery plików z maszyn wirtualnych - Są to formaty kontenerów plików, które są przeznaczone do montażu przez maszynę wirtualną, taką jak VirtualBox lub VMware. Można je załadować do R-Studio jako nieskompresowane obrazy i przeskanować w poszukiwaniu partycji.

Nieskompresowane Obrazy Dysków i Kontenery Plików R-Drive Image

Nieskompresowane obrazy dysków można załadować bezpośrednio do R-Studio. Podobnie pliki R-Drive Image są natywnie obsługiwane przez R-Studio i mogą być ładowane bezpośrednio i przetwarzane jak każdy inny obraz lub dysk. Zobacz sekcję pomocy R-Studio: Obrazy

Rys. 1: Kontenery plików z obrazami dysków w R-Studio
Kliknij obrazek, aby go powiększyć

Zastrzeżone formaty kontenerów plików

R-Studio może również przetwarzać niektóre zastrzeżone obrazy dysków, nawet jeśli nie są one natywnie obsługiwane przez R-Studio. Można to zrobić, montując kontener plików jako dysk wirtualny przy użyciu zastrzeżonego oprogramowania. Zawartość kontenera plików pojawi się w panelu Dyski R-Studio jako dysk logiczny i może być przetwarzana jako taka.

Rys. 2: Kontener plików zamontowany jako dysk wirtualny przez zastrzeżony program do obrazowania dysków
Kliknij obrazek, aby go powiększyć

Zwróć uwagę, że jeśli zastrzeżony kontener plików jest uszkodzony do tego stopnia, że nie można go podłączyć za pomocą natywnego oprogramowania, R-Studio może nadal załadować go jako nieskompresowany obraz i spróbować go przetworzyć. Jednak w takich przypadkach szanse na znalezienie użytecznych danych są niewielkie, zwłaszcza jeśli obraz jest skompresowany.

Formaty Szyfrowanych Kontenerów Plików

Niektóre zastrzeżone formaty kontenerów plików są szyfrowane. Oznacza to, że dane są nieczytelne, chyba że zostaną zamontowane przez ich natywne oprogramowanie (zwykle przy użyciu klucza deszyfrującego). Szyfrowanie dysku można zastosować do partycji, obrazu dysku lub całego dysku fizycznego (patrz poniżej). Przykładami takich programów są darmowe oprogramowania TrueCrypt/VeraCrypt firmy IDRIX oraz darmowe oprogramowanie do użytku domowego R-Crypto firmy R-TT, Inc.

Programy te łączą swoje kontenery plików jako wirtualne dyski logiczne i zapewniają szyfrowanie/deszyfrowanie danych, które odbywa się w tle. Tego typu dyski wirtualne pojawiają się w panelu dysków R-Studio jako dyski logiczne i jako takie mogą być też przetwarzane.

Rys. 3: Kontenery plików podłączone do komputera jako dyski wirtualne przez VeraCrypt i R-Crypto
Kliknij obrazek, aby go powiększyć

W przeciwieństwie do skompresowanych kontenerów w formacie zastrzeżonego pliku, jeśli zaszyfrowany dysk jest uszkodzony w takim stopniu, że nie może zostać zamontowany przez jego natywne oprogramowanie, odzyskanie z niego danych jest prawie niemożliwe. Dzieje się tak, ponieważ nie można wykonać szyfrowania/odszyfrowywania w tle, i mimo iż R-Studio może wykonać skanowanie obrazu sektor po sektorze, dane nie będą rozpoznawalne.

Kontenery Plików z Maszyn Wirtualnych

Idealna metoda odzyskiwania plików z maszyn wirtualnych jest opisana w artykule Odzyskiwanie Danych z Maszyn Wirtualnych. Jeśli nie można tego wykonać, użyj poniższej metody.

Odzyskiwanie danych z pliku VHD używanego w Microsoft Virtual PC opisano w artykule Odzyskiwanie Danych z Plików Wirtualnego Dysku Twardego (VHD). Jeśli nie można tego wykonać, użyj poniższej metody.

Innym popularnym formatem kontenera plików jest obraz używany przez maszynę wirtualną. Najpopularniejszym jest format pliku .vmdk, który jest używany w maszynach wirtualnych tworzonych przez VMware. Ten format kontenera plików został opracowany przez VMware, ale teraz jest otwartym formatem używanym przez inne programy, takie jak VirtualBox i QEMU.

Kontenery plików utworzone dla maszyn wirtualnych mogą być ładowane do R-Studio jako obrazy sektor po sektorze i analizowane w celu wykrycia ich systemów plików. Skany te zazwyczaj odkrywają wiele rozpoznanych partycji.

Rys. 4: Kontener plików .vmdk przeskanowany pod kątem swojego systemu plików
Kliknij obrazek, aby go powiększyć

Pliki są rozrzucone po wielu rozpoznanych partycjach. W zależności od okoliczności większość z tych plików można odzyskać, ale niektórych niestety nie.

Szyfrowane Dyski Twarde i Partycje

Aby odzyskać pliki z zaszyfrowanego dysku z systemem Linux, przeczytaj nasz artykuł: Odzyskiwanie Danych z Zaszyfrowanego Dysku z Systemem Linux Po Awarii Systemu.

Mimo iż zaszyfrowane dyski nie są technicznie takie same jak kontenery plików, odzyskiwanie danych z dysku z pełnym szyfrowaniem dysku jest podobne do odzyskiwania danych z zaszyfrowanego kontenera plików. Na przykład funkcja BitLocker, która jest dołączona do niektórych wersji systemu Windows, obejmuje szyfrowanie dysków. Podobnie też TrueCrypt/VeraCrypt, które pozwala na szyfrowanie całego dysku.

Po odblokowaniu za pomocą ich natywnego oprogramowania, zaszyfrowane dyski pojawiają się jako dyski logiczne w panelu Dyski R-Studio i mogą być przetwarzane jako takie.

Rys. 5: Zablokowany dysk BitLocker w okienku Dysk w R-Studio
Kliknij obrazek, aby go powiększyć


Rys. 6: Odblokowany dysk BitLocker w panelu Dysk w R-Studio
Kliknij obrazek, aby go powiększyć


Rys. 7: Odmontowany dysk VeraCrypt w panelu Dysk w R-Studio
Kliknij obrazek, aby go powiększyć


Rys. 8: Zamontowany dysk VeraCrypt w panelu Dysk w R-Studio
Kliknij obrazek, aby go powiększyć

Zwróć uwagę, że jeśli dane na zaszyfrowanym dysku są tak poważnie uszkodzone, że nie można ich odblokować za pomocą natywnego oprogramowania, szanse na odzyskanie jakichkolwiek danych są bardzo małe. Skanowanie ich nic nie ujawni.

Wnioski

Istnieje wiele różnych formatów kontenerów plików, z których większość może być przetwarzana przez R-Studio w celu odzyskiwania danych. Nieskompresowane obrazy dysków, obrazy maszyn wirtualnych i obrazy utworzone przez R-Drive Image można bezpośrednio załadować. W przypadku odzyskiwania danych z zaszyfrowanych dysków i obrazów oraz zastrzeżonych formatów kontenerów plików, R-Studio może przetwarzać je jako normalne woluminy logiczne po ich zamontowaniu w natywnym oprogramowaniu. Ale we wszystkich przypadkach, jeśli format kontenera plików jest uszkodzony do tego stopnia, że nie można go zamontować, szanse na odzyskanie jakichkolwiek plików są bardzo małe.