Что такое метафайлы при восстановлении
Восстановление файлов в R-Studio
Дата публикации: 2012-04-12
В последнее время в службу поддержки пришло сразу несколько писем, где пользователи сообщают, что не знают, как работать с программой R-Studio.
В этом уроке я приведу пример работы с этой программой.
R-Studio предназначена для восстановления данных – удаленных файлов или файлов с поврежденного диска.
Она подходит для работы и с флешками и с обычными дисками. Главное, чтобы сам диск был виден в ОС, чтобы программа могла с ним работать.
Иногда бывает так, что файлы случайно удалили мимо корзины; иногда происходит сбой в системных областях диска и тогда все файлы с диска перестают быть доступны для пользователя.
Если область диска, где были записаны сами файлы, не повреждена и не изменена, то файлы можно попробовать восстановить.
Главное, постараться это сделать сразу после «пропажи» файлов. Если же после «пропажи» файлов было сделано форматирование или дефрагментация диска, то вероятность успешного восстановления очень мала.
Еще один важный момент – восстанавливать файлы надо на другой диск, или, в крайнем случае, раздел диска, но никак не туда же, где они были раньше.
В статье я приведу такой пример: создам тестовую папку на одном диске с разными файлами, потом удалю все файлы, и затем попробую восстановить файлы на другой диск.
Этап первый.
Создаю папку на разделе «Р» с разными файлами – презентация (ppt), 2 картинки – малого и среднего объема (jpg), таблица экселя (xlsx), музыка в mp3, 4 текста – в разном формате и объеме (txt, doc, rtf).
Для примера я взял часто используемые типы файлов небольшого объема.
Этап второй. Я удаляю все файлы.
Не в корзину, а полностью. Для неопытного пользователя они, можно сказать, безвозвратно утрачены.
Этап третий. Запускаю программу R-Studio.
Я нашел версию 5.2 этой программы на английском языке. На этой версии я покажу основные элементы и их перевод, чтобы пользователи могли ориентироваться и в английской и в русской версиях.
Также напоминаю, что для работы этой программы нужны права администратора у текущего пользователя ОС, в Виндовс 7 программу надо запускать от имени администратора.
Вот окно R-Studio после запуска:
Программа имеет понятный интерфейс. Наверху меню и кнопки основных действий. Центральная часть поделена на две области.
Слева список накопителейна ПК (Drives) с основной информацией о дисках и разделах. Если выбрать какой-либо раздел, то справа будет видна его подробная информация (Properties).
Внизу область лога (Log), куда выводятся результаты действий.
Этап четвертый. Я ищу удаленные файлы.
Для этого выбираю раздел «Р» и двойным щелчком открываю его. Программа сразу сканирует весь раздел. Если диск поврежден, то разделов на нем видно не будет, и программа просканирует весь диск.
В области лог (Log) появились две записи – о начале и завершении сканирования раздела «Р».
В левой части появился список каталогов/папок (Folders), в правой – список содержимого (Contents).
После этого я выбираю папку «test» в списке папок.
Если имя папки неизвестно, то для поиска файлов надо перебирать все папки по очереди и даже заглядывать в папки, у которых нет названия, а только знак вопроса (?).
При выборе нужной мне папки справа я увидел удаленные файлы. Среди них даже присутствовал временный файл от работы MSWord–это файл, у которого имя начинается со значка «тильда и доллар» (
Выше области лог (Log) есть настройка сортировки файлов (Sortedby:): «real» – действительная (как я понял по алфавиту имен файлов), «extensions»–по расширению, «creationtime»–время создания, «modificationtime»–время изменения, «accesstime»–время последнего доступа к файлу.
Эта настройка может быть полезна, например, если известен тип файла или примерное время удаления файла.
В правой области я выделяю для примера все файлы. После открытия диска или раздела в панели кнопок появляются такие кнопки:
Это кнопки для восстановления всего содержимого из правой панели (Recover) или только отмеченных файлов (Recover Marked).
Я нажимаю вторую кнопку и вижу новое окно – настроек восстановления (Recover).
Назначение некоторых настроек я не совсем понял, возможно, они необходимы в случаях более сложных сбоев, и их используют более продвинутые специалисты.
Самая первая настройка – это папка для восстановленных файлов (Output folder). Ее надо выбирать на другом диске, что я и сделал – выбрал «H:/test».
Ниже есть две закладки – основные настройки (Main) и расширенные (Advanced).
На закладке основных настроек (Main) есть такие пункты:
— condense successful restoration events – это сжатие сообщений об удачном восстановлении, т.е. сообщения об успешном восстановлении не будут показываться в области лога. При установленной галочке в логе будут только сообщения об ошибках;
— restore folder structure – восстанавливать структуру папок. Эта настройка нужна при восстановлении вложенных папок, чтобы получилась не мешанина файлов, а исходный вид папок. Подпункты позволяют настроить действительную структуру папок и структуру, начиная с корневого каталога;
— recover alternative data streams – восстанавливать альтернативные потоки данных, эта настройка связана с файловой системой NTFS;
— recover security – восстанавливать настройки безопасности. Если на файлах изначально были какие-либо настройки безопасности (например, доступ для разных пользователей), то эта настройка может восстановить и их;
— recover extended attributes – восстанавливать дополнительные атрибуты, насколько я понимаю – это атрибуты «скрытый», «системный», «для чтения» и т.д.;
— skip file with bad sectors – пропускать файлы с поврежденными секторами. Эта настройка нужна при физическом повреждении или износе пластин диска, когда нужно быстро восстановить, что еще возможно прочитать.
На закладке расширенных настроек (Advanced) есть такие пункты:
— file already exist – файл уже существует в указанной папке. В этом случае можно настроить такие действия с файлом: «prompt»–предлагать пользователю все остальные действия, «rename»–переименовывать, «overwrite»– перезаписывать, «skip»–пропускать;
— broken file name – поврежденное имя файла. В этом случае можно настроить такие действия с файлом: «prompt»–предлагать пользователю все остальные действия, «rename and change all invalid symbols to:»— переименовать и заменить все неправильные символы на новый символ, который указывается в поле ввода «skip»–пропускать.
— hiddenattribute – скрытые атрибуты файла. Или имеется в виду только один атрибут файла – «скрытый». С ним можно настроить такие действия: «prompt»–предлагать пользователю все остальные действия, «remove»–удалять атрибут, «keep» – сохранять атрибут.
Я устанавливаю такие настройки восстановления, как указаны на картинках выше и жму «ОК».
Идет процесс восстановления. В течение этого процесса я увидел такое сообщение:
Как раз вот тот временный файл MSWord (у которого имя начинается со значка «тильда и доллар» (
$)) имеет атрибут «скрытый» (по-английски hidden).
Т.к. я установил галочку напротив пункта «prompt», то программа и выдала мне запрос о том, что делать дальше с этим файлом.
Есть два варианта действий: «remove» – удалить атрибут, «continue» – сохранить атрибут.
Также можно поставить галочку, чтобы действие автоматически применялось в случае дальнейшего возникновения такого вопроса.
Я выбираю вариант удаления атрибута.
Восстановление происходит быстро. Его результат виден в области лога:
Последняя запись означает, что 10 файлов восстановлены успешно, 0 файлов восстановить не удалось, т.е. все указанные мною файлы восстановлены.
Вот содержимое папки «H:/test»:
Я проверил все файлы – все открываются, и данные внутри них не повреждены.
В данном примере файлы были восстановлены сразу после удаления, поэтому восстановление прошло успешно.
Из своего небольшого опыта восстановления данных и дома и на работе я заметил следующее:
Ну и напоследок можно сказать, что программы по восстановлению данных могут выручить, но лучше не лениться и не забывать делать резервные копии всех важных данных.
Главная > Восстановление Данных при помощи R-Studio > Восстановление Данных. Основные Операции
НИКОГДА НЕ СОХРАНЯЙТЕ ВОССТАНАВЛИВАЕМЫЕ ФАЙЛЫ/ПАПКИ НА ОРИГИНАЛЬНЫЙ ДИСК.
Это может стать причиной полной утраты данных.
Для восстановления удаленных файлов с логического диска (найденного раздела):
| 1 | Дважды щелкните левой кнопкой мыши по логическому диску на панели Диски R-Studio, чтобы перечитать файлы диска |
Другие способы перечитать файлы
Другие способы перечитать файлы• Щелкните правой кнопкой мыши по диску и выберите пункт контекстного меню Показать содержимое диска
• Выберите диск и нажмите клавишу F5
• Выберите пункт Показать содержимое диска меню Диск
При попытке перечитать файлы жесткого диска или другого объекта без определенной файловой системы появится сообщение Дважды щелкните левой кнопкой мыши по логическому диску. Выберите логический диск объекта или отсканируйте объект.
Главное окно R-Studio
Нажмите на область окна для получения более подробной информации.
Варианты показа панелей
Вы можете задать, какие панели (вкладки) будут показываться в главном окне. Для этого выполните следующие действия
Установите/снимите флажок Панель инструментов меню Просмотр
Установите/снимите флажок Строка состояния меню Просмотр
Установите/снимите флажок Окно структуры меню Просмотр
Установите/снимите флажок Окно содержимого меню Просмотр
Установите/снимите флажок Журнал меню Просмотр
Установите/снимите флажок Результаты поиска меню Просмотр
Вы можете сортировать данные желаемым образом. В меню Просмотр выберите пункт Упорядочить и далее желаемую сортировку данных.
Файлы могут быть показаны списком (Детали) или как иконки/плитки различных размеров.
Файлы показаны как иконки/плитки
Информация о Файле
Информация о Файле
На панели Журнал будет показано, сколько файлов и папок имеются в данном объекте и их размер. В фильтре журнала вы можете задать, какие типы событий будут отображаться в панели журнала.
Обратите внимание: Метафайлы это внутренние системные файлы (данные файловой системы), невидимые пользователем, которые R-Studio показывает как файлы. Такие файлы не содержат данные пользователя и используются только при восстановлении файловой системы диска.
При появлении сообщения Too many files. вы можете временно прекратить вывод файлов и просмотреть найденные файлы. Затем вы можете продолжить вывод файлов. Вы также можете продолжить вывод файлов без просмотра. R-Studio сохранит информацию о внутренней структуре файла.
Вы также можете копировать информацию о папках и файлах.
Команда Копировать «Папка» :
Копируется имя папки
Команда Копировать Полный Путь :
Копируется полный путь к папке
Команда Копировать «Имя колонки» :
Копируется Имя, Размер, Дата Создания и т.д. в зависимости от выбранной колонки
Команда Копировать Полный Путь :
Копируется полный путь к файлу.
Команда Копировать Выделенный Текст :
Копируется содержимое всех колонок для выбранного файла.
Пометить файлы/папки в различных родительских папках:
Пометьте файл/папку, установив слева флажок или выбрав пункт Отметить контекстного меню. Вы можете пометить насколько файлов/папок в различных родительских папках. Вы можете пометить все объекты в папке, выбрав пункт Отметить все меню Инструменты или контекстного меню. Для снятия пометки снимите флажок слева от объекта или выберите пункт Снять пометки контекстного меню. Вы можете снять пометку со всех объектов в папке, выбрав пункт Снять все пометки меню Инструменты или контекстного меню.
На панели Журнал будет показано, сколько помечено файлов и папок и их общий размер.
Если файлы, которые вы хотите восстановить, не найдены:
Другие способы восстановить выбранные файлы
• Щелкните правой кнопкой мыши по выбранному файлу/папке и выберите пункт контекстного меню Восстановить или Восстановить помеченные
• Выберите пункт Восстановить или Восстановить помеченные меню Файл
| 4 | Задайте параметры восстановления и папку для сохранения восстановленных файлов в диалоговом окне Восстановить и нажмите кнопку Да |
Диалоговое окно Восстановить
Диалоговое окно Восстановить (вкладка Дополнительно)
Параметры восстановления
Восстановить все помеченные файлы
Все файлы вне зависимости от установленной маски будут восстановлены.
Восстанавливать только отмеченные файлы, соответствующие маске
Только файлы соответствующие маске будут восстановлены.
Не выводить подробную информацию о успешно восстановленных файлах
Если установить данный флажок, то R-Studio будет записывать в Журнал только ошибки и предупреждения.
Восстановить структуру папкок
Если установить данный флажок, то R-Studio восстановит полный путь к выбранному объекту.
Восстанавливать путь от корневой директории
Если установить данный флажок, то R-Studio восстановит полный путь к выбранному объекту от корневой папки диска.
Восстанавливать альтернативные потоки данных
Если установить данный флажок, то R-Studio восстановит альтернативные потоки данных для поддерживающих их файловых систем. Данный флажок не влияет на восстановление файлов FAT. Смотри раздел Восстановление Дополнительной Информации для файловой системы NTFS и Восстановление Данных на Файловых Системах HFS/HFS+ для компьютеров Mac.
Восстанавливать атрибуты безопасности
Восстанавливать расширенные атрибуты
Если установить данный флажок, то R-Studio восстановит дополнительные (HPFS) атрибуты файлов.
Восстанавливать реальную структуру папок
Пропускать файлы с неисправными секторами
Не восстанавливайте дубликаты файлов из Дополнительно Найденных Файлов
Если установить данный флажок, то R‑Studio автоматически исключит из восстановления файлы из категории Дополнительно Найденные Файлы (raw files, найденные по сигнатурам файлы), если они являются дубликатами файлов, найденных в реальной файловой системе.
Игнорировать файловую маску
Открыть локальную папку (папки) по завершению
Если установить данный флажок, то после завершения восстановления будет открыта папка с восстановленными файлами.
Если вы хотите восстановить большое число файлов за один раз, то для более подробной информации смотрите раздел Восстановление Множественных Файлов
R-Studio Technician
Диалоговое окно Восстановить (вкладка Дополнительные каталоги)
Параметры Дополнительные каталоги
В данном поле задаются альтернативные пути (дополнительные папки) для сохранения восстановленных файлов если на исходном выбранном диске закончится место.
НИКОГДА НЕ СОХРАНЯЙТЕ ВОССТАНАВЛИВАЕМЫЕ ФАЙЛЫ/ПАПКИ НА ОРИГИНАЛЬНЫЙ ДИСК.
Это может стать причиной полной утраты данных.
Диалоговое окно Восстановить (вкладка Действия по завершению)
Параметры Действия по завершению
Завершить работу компьютера по окончанию выполнения задачи
Если установить данный флажок, то компьютер будет выключен автоматически после завершения восстановления. Если для какого-либо параметра на вкладке Дополнительно выбрано Предложить действие, то будет выдано соответствующее предупреждение.
Если установить данный флажок, то R‑Studio автоматически уведомит о результатах операции по электронной почте.
Диалоговое окно Поврежденное имя файла
Параметры диалогового окна Поврежденное имя файла
Показывает текущее поврежденное имя файла.
Поле для нового имени файла.
Изменять только неверные символы
Если установить данный флажок, то редактировать можно будет только неверные символы
Изменить все неверные символы на
Если установить данный флажок, то все неверные символы будут изменены на символы, заданные в соответствующем поле
Нажмите эту кнопку, чтобы возобновить восстановление файлов
Нажмите эту кнопку, чтобы возобновить восстановление файлов. Все другие файлы будут переименованы в соответствие с установленным правилом.
Нажмите эту кнопку, чтобы пропустить данный файл
Нажмите эту кнопку, чтобы пропустить все файлы и остановить процесс восстановления
Диалоговое окно Недостаточно места на диске
| > | R-Studio восстанавливает выбранные/помеченные файлы/папки в заданную папку и показывает результаты в панели Журнал |
Смотри раздел Восстановление Данных на Файловых Систем HFS/HFS+ с подробным описанием восстановления данных на дисках с файловыми системами HFS/HFS+.
По сути, метафайл хранит список записей, состоящий из команд рисования, определений свойств и графических объектов для отображения изображения на экране. Используемые команды рисования тесно связаны с командами API интерфейса графического устройства (GDI), используемыми для рисования в Microsoft Windows.
СОДЕРЖАНИЕ
История
Структура метафайла
Файлы WMF и EMF обрабатывают объектную обработку иначе, чем записи EMF + в файлах EMF. В процессе обработки файлов WMF и EMF записи считываются в таблицу объектов после определения объекта. Если объект удален, объект удаляется из таблицы, и идентификатор можно использовать повторно. Примечательно, что объект не будет использоваться, пока он не будет специально выбран во время воспроизведения записи. Это отличается от файлов EMF +, которые также используют ассоциативный массив через хэш-карту, которая записывает объект вместе с идентификатором объекта. Однако, в отличие от файлов WMF и EMF, которые могут удалять объект, когда создается новый объект, имеющий тот же индекс, что и существующий объект, запись в таблице заменяется новым объектом. EMF-файлу также не нужно специально выбирать объект перед его использованием.
Записи, отличные от записей управления, могут быть в значительной степени сгруппированы в записи растровых изображений, записи чертежей, записи объектов, записи состояния и записи перехода.
Записи растровых изображений
Записи чертежей
Записи чертежей производят вывод графики.
Записи об объектах
Графическими объектами могут быть кисти (определяет стиль, цвет и узор кисти, которые определяют, как рисовать область графики), шрифты (определяют свойства, которые влияют на отображение текста), палитры (задают цвета как значения, не зависящие от устройства, определяется приложением), перьями (задает графические атрибуты линии) и областями (которые определяют сегменты линии и кривой, определяющие форму).
Государственные записи
Записи состояния управляют графическими свойствами контекста устройства воспроизведения.
| Имя | Описание |
|---|---|
| META_ANIMATEPALETTE | Переопределяет записи в логической палитре, которая определена в контексте устройства воспроизведения с помощью указанного объекта палитры. |
| META_EXCLUDECLIPRECT | Устанавливает область отсечения, которая определена в контексте устройства воспроизведения, равной существующей области отсечения за вычетом указанного прямоугольника. |
| META_INTERSECTCLIPRECT | Устанавливает область отсечения, которая определена в контексте устройства воспроизведения, на пересечение существующей области отсечения и указанного прямоугольника. |
| META_MOVETO | Устанавливает позицию вывода в контексте устройства воспроизведения в указанную точку. |
| META_OFFSETCLIPRGN | Перемещает область отсечения, определенную в контексте устройства воспроизведения, на указанные смещения. |
| META_OFFSETVIEWPORTORG | Перемещает начало координат области просмотра в контексте устройства воспроизведения на заданные горизонтальные и вертикальные смещения. |
| META_OFFSETWINDOWORG | Перемещает исходную точку окна вывода в контексте устройства воспроизведения на заданные горизонтальные и вертикальные смещения. |
| META_REALIZEPALETTE | Сопоставляет записи из логической палитры, которая определена в контексте устройства воспроизведения, с системной палитрой. |
| META_RESIZEPALETTE | Переопределяет размер логической палитры, определенной в контексте устройства воспроизведения. |
| META_RESTOREDC | Восстанавливает контекст устройства воспроизведения из ранее сохраненного контекста устройства. |
| META_SAVEDC | Сохраняет контекст устройства воспроизведения для последующего извлечения. |
| META_SCALEVIEWPORTEXT | Масштабирует горизонтальную и вертикальную границы области просмотра, которая определена в контексте устройства воспроизведения, с использованием соотношений, образованных указанными множителями и делителями. |
| META_SCALEWINDOWEXT | Масштабирует горизонтальные и вертикальные размеры окна вывода, которое определено в контексте устройства воспроизведения, с использованием соотношений, образованных указанными множителями и делителями. |
| META_SETBKCOLOR | Устанавливает заданный цвет фона в контексте устройства воспроизведения. |
| META_SETBKMODE | Устанавливает режим фонового микширования в контексте устройства воспроизведения. |
| META_SETLAYOUT | Определяет ориентацию макета в контексте устройства воспроизведения. |
| META_SETMAPMODE | Определяет режим сопоставления в контексте устройства воспроизведения. |
| META_SETMAPPERFLAGS | Определяет алгоритм, который использует средство сопоставления шрифтов при сопоставлении логических шрифтов с физическими шрифтами. |
| META_SETPALENTRIES | Определяет значения цвета RGB в диапазоне записей в логической палитре, которая определяется в контексте устройства воспроизведения. |
| META_SETPOLYFILLMODE | Определяет режим заливки многоугольника в контексте устройства воспроизведения для графических операций, заполняющих многоугольники. |
| META_SETRELABS | Неиспользованная запись. |
| META_SETROP2 | Определяет режим смешивания работы с растром переднего плана в контексте устройства воспроизведения. |
| META_SETSTRETCHBLTMODE | Определяет режим растяжения растрового изображения в контексте устройства воспроизведения. |
| META_SETTEXTALIGN | Определяет значения выравнивания текста в контексте устройства воспроизведения. |
| META_SETTEXTCHAREXTRA | Определяет межсимвольный интервал для выравнивания текста в контексте устройства воспроизведения. |
| META_SETTEXTCOLOR | Определяет цвет текста переднего плана в контексте устройства воспроизведения. |
| META_SETTEXTJUSTIFICATION | Определяет количество места, которое нужно добавить для разрыва символов в строке выровненного текста. |
| META_SETVIEWPORTEXT | Определяет горизонтальную и вертикальную границы области просмотра в контексте устройства воспроизведения. |
| META_SETVIEWPORTORG | Определяет источник области просмотра в контексте устройства воспроизведения. |
| META_SETWINDOWEXT | Определяет горизонтальные и вертикальные размеры окна вывода в контексте устройства воспроизведения. |
| META_SETWINDOWORG | Определяет источник окна вывода в контексте устройства воспроизведения. |
Записи о побегах
Следующие escape-записи составляют файл WMF.
После того, как Стив Гибсон обвинил Microsoft в преднамеренном внедрении бэкдора в свой код, Марк Руссинович представил опровержение и заявил, что:
Питер Ферри из Symantec Security Response, США, также не согласен с Гибсоном, отметив, что:
Как и файлы WMF, записи можно классифицировать по функциям, однако в файлах EMF больше типов записей, чем в файлах WMF. Записи могут быть классифицированы как элементы управления, растровые изображения, обрезки, комментарии, рисование, экранирование, создание объекта, манипулирование объектами, OpenGL, скобки пути, записи состояния и преобразования.
Существуют также сжатые версии метафайлов Windows, известные как сжатый метафайл Windows (WMZ) и сжатый расширенный метафайл Windows (EMZ), которые в основном представляют собой сжатые с помощью gzip файлы WMF и EMF соответственно.