[more] [more]
ICQman2GO Ок. Далее написанное лишь мои размышления.
Итак.
1. При удалении файла в его записи каталога переписывается начальный байт и, в зависимости от того что работает с ФС, могут измениться и ещё некоторые. И чтобы это определить надо провести эксперимент в котором лождаться удаления файла в используемом устройстве и сравнить запись о нём на тот момент со значением до удаления.
Могу сказать что согласно известному талмуду, правится лишь первый; в ХР и 7-ке правится ещё и ранее упомянутое старшее слово, которое отвечает за значение начального кластера файла.
В твоей записи, после удаления этот номер значится как 00
00 05 14, что соответствует 1300-ому. И если до удаления выделенный байт был 00, то всё актуально. Но он так же мог быть и 01, 02, 03 и обозначенные ранее кластера как раз соответствуют эти значениям. То есть ранее, в любом из этих кластеров, мог начинаться требуемый тебе файл.
В случае, если бы не было записи поверх, DMDE бы мог восстановить файл, чего не могу сказать про винхекс (хотя может я им не умею пользоваться). По крайней мере, в примере-задачке, которую я приводил раньше, если открыть том со второго дампа, DMDE восстанавливает файлы 01 и 08.jpg - винхекс нет. И в такой ситуации DMDE, при выделении файла, в дисковом редакторе (нижнее правое окно) показывает реальный номер начального кластера.
После перезаписи такого нет.
И в твоём случае видно что он показывает другой кластер (*)- не 1300. Вот только я не могу сказать с чем это связано, это лучше знает автор программы, но предположу что в силу того что этот кластер не перекрыт. Хотя было бы лучше если там реально было начало.
(*) и это было видно в самом начале, но я раньше про всё это не знал.
2. Результат поиска DiskDigger-а в режиме RAW-восстановления.
Не знаю алгоритмы его поиска, и как как он восстанавливает продолжение - просто отрезает сектора дальше по размеру из заголовку или ещё как; но как минимум корректный заголовок то должен быть. И он в секторе (и кластеру в котором он расположен), который фигурирует в именах файлов. Но соответствующих возможным твоим нет (**). Поэтому, можно предположить что или начало файла было не в кластере 66836 (который сейчас не занят), или там уже был другой файл который после тоже удалился.
(**) Несмотря на отсутствие таковых, можно выполнить "пытку" - считать размер из заголовка и сравнить с разыскиваем. Хотя это актуально для удалённых файлов - ведь это могут быть и существующие.
Ты наверное хочешь спросить "и шо из этого"?
Если из каких то данных (FAT?) можно пробить цепочку кластеров, то восстановить их. Если нет, то просто вычитать сектора по размеру файла. А затем уже заниматься имплантацией заголовков, реанимаций файлов.
Опять же, скриншоты карты кластеров как бы намекают что в 3-вариантах перезаписано прилично, но я не в курсе какой размер "иплантанта головы" некритичен.
Впрочем, это уже вопрос к знатокам FAT и видеоформатов - например
Alex_Green.
PS. Если что не так - сильно не пинать.
[/more] [/more]
