وبلاگ فناوری واطلاعات (ساری)
رشته کامپیوتروبلاگ فناوری واطلاعات (ساری)
رشته کامپیوتراساس (اصول ) NTFS
اساس (اصول ) NTFS
سیستم پرونده NT مجموعه ای از عملکرد ، قابلیت اعتماد و سازگاری را مهیا می کند که در سیستم پرونده FAT یافت نمی شود . این سیستم طوری طراحی شده که اعمال پوشه استاندارد از جمله خواندن ، نوشتن و جستجوی و حتی اعمال پیشرفته ای چون بهبود سیستم پوشه را بر روی فضای زیادی از دیسک به سرعت انجام می دهد .
با فرمت کردن یک نسخه با سیستم پرونده NTFS و چندین پوشه دیگر و یک جدول پوشه اصلی (MFT ) ایجاد می شود که شامل اطلاعاتی راجع به تمام فایل ها و پوشه های موجود در نسخۀ NTFS می باشد . اولین اطلاعات بر روی نسخۀ NTFS ، بخش راه اندازی سیستم است که از 0 شروع شده و می تواند تا 16 نیز ادامه یابد . اولین پوشه بر روی نسخۀ NTFS ، جدول پوشه اصلی است ( MFT ) . شکل زیر طرحی از یک نسخۀ NTFS را نشان می دهد در زمانی که فرمت کردن به پایان رسیده.
این بخش اطلاعاتی راجع به NTFS را در بر دارد . عناوین مورد بحث شامل عناوین زیر است :
ـ بخش راه اندازی سیستم NTFS
ـ جدول پرونده اصلی NTFS (MFT )
ـ انواع پرونده های NTFS
ـ ویژگی های فایل NTFS
ـ فایل های سیستم NTFS
ـ چندین جریان دادۀ NTFS
ـ فایل های فشرده NTFS
ـ فایل های رفرشده EFS ، NTFS
ـ استفاده از EFS
ـ دستور اینترنال EFS
ـ ویژگی EFS
ـ پی آمدهای EFS
ـ فایل های یدکی NTFS
ـ قابلیت بازیافت و تمامیت دادۀ NTFS
سیستم پرونده NTFS شامل ویژگی های امنیتی مورد نیاز برای سرورهای فایل و کامپیوترهای شخصی گران قیمت در یک محیط متحد است . سیستم پرونده NTFS همچنین کنترل دستیابی به داده و امتیاز مالکیت را که برای تمامیت داده های مهم بسیار حائز اهمیت است را حمایت می کند . هنگامی که پوشه های به اشتراک گذاشته بر روی یک کامپیوتر با ویندوز NT دارای مجوزهای خاص هستند ، فایل ها و پوشه های NTFS بدون به اشتراک گذاشتن می توانند مجوز داشته باشند . NTFS تنها فایل بر روی ویندوز NT است که به شما این امکان را می دهد که مجوز ها را برای فایل های اختصاصی تعیین کنید. سیستم پرونده NTFS یک طرح ساده اما در عین حال قدرتمند دارد . اساساً ، هر چیزی بر روی نسخۀ یک فایل است و هر چیزی در یک فایل ، یک ویژگی است ، از ویژگی داده ، تا ویژگی امنیتی و ویژگی نام فایل . هر بخش در نسخه NTFS که اختصاص یافته باشد به یک فایل متعلق است . حتی سیستم پرونده متادیتا ( اطلاعاتی که به تنهایی سیستم پرونده را توصیف می کند ) نیز بخشی از یک فایل است .
تازه های NTFS5 (WINDOWS 2000 )
رمزگذاری ـ سیستم رمزگذاری فایل ( EFS ) ، فن آوری رمزگذاری فایل هسته ای را مهیا می کند که فایل های رفر گذاری شده را بر روی نسخه های NTFS ذخیره می کنند . EFS فایل ها را از دسترس مزاحمان دور نگه می دارد ، کسانی که ممکن است دسترسی غیر مجاز به داده های ذخیره شده نفوذ پذیر را پیدا کنند .
سهمیه های دیسک ـ ویندوز 2000 از سهمیه های دیسک برای نسخه های NTFS پشتیبانی می کند . شما می توانید از سهمیه های دیسک برای بازبینی و محدود کردن فضای دیسک استفاده کنید .
مراحل تجزیه دوباره ـ مراحل تجزیه دوباره ؛ موارد جدیدی در NTFS هستند که می توانند برای فایل ها و پوشه های NTFS به کار برده شوند . یک فایل یا پوشه که شامل مرحلۀ تجزیه دوباره است نیاز به رفتارهای اضافی دارد که در سیستم پرونده اصلی وجود ندارد . مراحل تجزیه دوباره فایل توسط بسیاری از ویژگی های انبار جدید در ویندوز 2000 مورد استفاده قرار می گیرد که شامل مراحل تنظیم نسخه است .
مراحل تنظیم نسخه ـ مراحل تنظیم نسخه ، موارد جدیدی از NTFS هستند . بر اساس مراحل تجزیه دوباره ، مراحل تنظیم نسخه اجازه پیدا می کنند که دستیابی به ریشۀ یک نسخه محلی را به ساختار پروندۀ یک نسخۀ محلی دیگر پیوند دهند .
فایل های یدکی ـ فایل های یدکی به برنامه ها امکان ایجاد فایل های بسیار بزرگتر را می دهند اما فضای دیسک را فقط به حدی که لازم است مصرف می کنند .
ردیابی لینک توزیع شده ـ NTFS یک سرویس ردیابی لینک را مهیا می کند که از میان برهای فایل به خوبی لینک های OLE در پوشه های مرکب نگهداری می کند .
بخش راه اندازی سیستم
جدول 1-5 بخش راه اندازی یک نسخۀ فرمت شده با NTFS را نشان می دهد . زمانی که شما یک نسخۀ NTFS را فرمت می کنید ، برنامۀ فرمت اولین 16 بخش را به بخش راه اندازی و بخش خود راه انداز اختصاص می دهد .
جدول 1-5 بخش راه اندازی NTFS
بر روی نسخه های NTFS فیلدهای داده که از BPBپیروی می کنند BPB توسعه یافته را شکل می دهند . داده بر روی این فیلدها Ntldr را قادر به پیدا کردن جدول فایل اصلی می کند . در شروع ویندوز .
بر روی نسخه های NTFS ، MFT در بخش از پیش تعریف شده واقع نشده ، همچون نسخه های FAT32 ، FAT16 . به همین خاطر ، MFT می تواند انتقال داده شود ، اگر یک بخش بد در این محل نرمال وجود داشته باشد . با این وجود اگر داده معیوب باشد ، MFT نمی تواند تعیین مکان کند و ویندوز NT / 2000 وانمود می کند که نسخه فرمت نشده است .
مثال های زیر بخش راه اندازی یک نسخۀ فرمت شده NTFS را در حین اجرای ویندوز 2000 نشان می دهد .
نتیجه چاپی در این سه بخش فرمت شده است :
ـ بایت های 0A×0-00×0 هدایت پردازنده به بخش دیگر برنامه و OEM ID هستند .
ـ بایت های 53×0-0B×0 ، BPB ، BPB توسعه یافته هستند .
ـ کد باقیمانده ، کد خود راه انداز و انتهای نشان گر بخش است .
جدول زیر فیلدهای موجود در BPB ، BPB توسعه یافته بر روی نسخه های NTFS نشان می دهد . فیلدها درB×0 ، 0D×0 ،15×0، 18×0 ، 1A×0 ، 1C×0 آغاز می شوند و بر روی نسخه های FAT16 ، FAT32 هماهنگ می شوند . نسخه های ساده با داده های این مثال مطابقت می کنند .
نام فیلد (رشته )
بایت در بخش
هر بخش در هر دسته
بخش های ذخیره شده
همیشه 0
توسط NTFS استفاده نمی شود
توصیف گررسانه
هر بخش در هر مسیر
تعداد شبکه
بخش های نهان
توسط NTFS استفاده نمی شود
توسط NTFS استفاده نمی شود
بخش های کلی
تعداد دسته های اصلی برای پوشه
MFT
تعداد دسته های اصلی برای پوشه
MFT Mirr
هر دسته در هر بخش ثبت فایل
هر دسته در هر گروه فهرست
شماره سریال نسخه
حفاظت از بخش راه انداز
به خاطر این که یک سیستم عمل کننده برای دستیابی به یک نسخه به بخش راه انداز تکیه می کند ، پیشنهاد می شود شما ابزارهای اسکن دیسک همچون chkdsk را مرتب اجرا نمایید . علاوه بر تهیه کپی پشتیبانی از تمام فایل ها برای حفاظت در برابر از دست دادن داده ها ، اگر نمی توانید به یک نسخه دست یابید .
جدول پوشه اصلی ( MFT ) NTFS
هر فایلی بر روی نسخۀ NTFS توسط یک مدرک ( رکورد ) در یک فایل خاص به نام جدول پوشه اصلی ( MFT ) نمایش داده می شود . NTFS ، اولین 16 ثبت از جدول را برای اطلاعات خاص ذخیره می کند . اولین ثبت از این جدول خود جدول فایل اصلی را شرح می دهد که با یک ثبت کپی MFT دنبال می شود . اگر اولین ثبت MFT خراب شد ، NTFS برای پیدا کردن فایل کپی ، همانی که اولین ثبت همانند اولین ثبت از MFT است ، اولین ثبت را می خواند . محل قرار گرفتن بخش های داده برای هر دو فایل کپی MFT ، MFT در بخش راه انداز ثبت شده است . یک کپی از بخش راه انداز در مرکز اصلی دیسک قرار می گیرد . سومین ثبت از MFT فایل ثبت است (Log ) که برای بازیافت فایل مورد استفاده قرار می گیرد . هفدهمین ثبت و ثبت های زیر از جدول فایل اصلی برای هر فایل و فهرستی هستند .
مثالی ساده از ساختار MFT
جدول فایل اصلی مقدار شخصی از فضا را برای هر ثبت فایل در نظر می گیرد . ویژگی های هر فایل در بخش مشخص شده در MFT نوشته می شود . فایل ها و فهرست های کوچک ( به ویژه 1500 بایت یا کوچکتر ) مثل فایلی که در شکل بعد نشان داده شده می توانند در درون ثبت جدول فایل اصلی قرار بگیرند .
شکل 2-5 ثبت MFT برای فهرست یا فایل های کوچک
این طرح به دسترسی فایل سرعت می بخشد ، در نظر بگیرید ، برای مثال ، سیستم پرونده FAT را که برای فهرست کردن نام ها و آدرس های هر فایل از جدول تعیین فایل استفاده می کند . ورودی فهرست FAT شامل یک فهرست به جدول تعیین فایل است .
زمانی که شما بخواهید یک فایل را مشاهده کنید ، ابتدا FAT جدول اختصاصی فایل را می خواند و مطمئن می شود که چنین جدولی وجود دارد . سپس FAT ، فایل را با استفاده از جستجوی زنجیر اتحادهای اختصاصی که برای فایل در نظر گرفته شده ، باز می یابد . با NTFS به سرعت فایل را پیدا می کند، فایل برای استفادۀ شما آماده است .
مدارک فهرست درست مثل ثبت فایل درداخل جدول پوشه اصلی واقع شده اند . به جای داده ها ، فهرست ها شامل اطلاعات فهرست می باشند.مدارک فهرست کوچک در ساختار MFT جای دارند . فهرست های بزرگتر به شاخه های B سازمان دهی شده اند ، در حالی که دارای ثبت هایی با اشاره گر به دسته های خارجی هستند که شامل ورودی فهرست هایی است که نمی توانند در ساختار MFT جای گیرند .
انواع فایل های NTFS
ـ ویژگی های فایل NTFS
ـ فایل های سیستم NTFS
ـ چندین جریان دارۀ NTFS
ـ فایل های فشرده NTFS
ـ فایل های رفرشده NTFS
ـ استفاده از EFS
ـ دستور EFS
ـ ویژگی EFS
ـ پی آمدهای EFS
ـ فایل های یدکی NTFS
ویژگی های فایل NTFS
سیستم فایل NTFS هر فایل یا پوشه را همچون یک مجموعه از ویژگی های فایل مشاهده می کند . عناصری مثل نام فایل اطلاعات امنیتی آن و حتی داده های آن فایل ، همه ویژگی های فایل هستند . هر ویژگی توسط یک کد نوع ویژگی و نام ویژگی مشخص می شود .
زمانی که ویژگی های یک فایل می تواننددرثبت MFT جای گیرند . آنها ویژگی های مستقر دارند . برای مثال اطلاعاتی مثل نام فایل و نشان زمان همیشه در ثبت فایل MFT جای دارند . زمانی که تمام اطلاعات یک فایل برای جای گرفتن در ثبت فایل MFT بسیار بزرگ هستند ، بعضی از ویژگی های آن مستقر نمی شوند . ویژگی های غیر حاضر یک یا بیشتر دسته های فضای دیسک را در هر جایی بر روی نسخه تعیین می کنند . NTFS برای توصیف محل تمام ثبت ویژگی ها ، یک لیست ویژگی ( مشخصات ) را ایجاد می کند .
جدول 3 ـ5 تمام مشخصات فایل را توسط سیستم فایل NTFS فهرست می کند . این فهرست توسعه پذیر است ، به این معنی که دیگر خصوصیات فایل ها می توانند در آینده تعریف شوند .
جدول 3-5 خصوصیات فایل تعریف شده توسط NTFS
نوع ویژگی | توضیح |
اطلاعات استاندارد | شامل اطلاعاتی مثل نشانه زمان و شمارش لینک می باشد . |
لیست خصوصیات | مکان تمام ویژگی های ثبت شده ای را که در ثبت MFT جای نگرفته اند فهرست می کند . |
نام فایل | یک ویژگی تکرار پذیر برای اسامی کوتاه و بلند فایل . اسم یک فایل طولانی می تواند تا 255 علامت باشد . نام کوتاه 3 تا 8 حرف است . نام های اضافی یا لینک های سخت که مورد نیاز POSIX هستند ، می توانند به عنوان خصوصیات نام فایل اضافی شامل شوند . |
توصیف گرافیکی | اینکه چه کسی مالک فایل است و چه کسی به آن دست می یابد را شرح می دهد . |
داده | حاوی دادۀ فایل است . NTFSاین امکان را می دهد که چندین داده در هر فایل پخش شود . هر فایل یک ویژگی بدون نام دارد . یک فایل می تواند یک یا چند ویژگی داده نام دار داده باشد که هر یک از معنای خاص استفاده می کند. |
شناسه متغیر | یک معرف فایل نسخه منحصر به فرد ، که توسط سرویس ردیابی لینک توزیع شده مورد استفاده قرار می گیرد . تمام فایل ها معرف متغیر ندارند . |
جریان ابزار ثبت شده شبیه جریان داده هاست اما عملیات درست مثل تغییرات داده های NTFS در فایل ثبت NTFS ، ضبط می شوند . این توسط EFS مورد استفاده قرار می گیرد .
مرحله تجزیه دوباره | برای مراحل تنظیم نسخه استفاده می شود . همچنین توسط راه انداز فیلتر سیستم فایل قابل نصب مورد استفاده قرار می گیرد تا فایل های مشخص را به عنوان فایل های خاص به آن درایور نشان دهد . |
ریشه فهرست | برای پرونده های اجرایی و دیگر فهرست ها مورد استفاده قرار می گیرد. |
تخصیص فهرست | برای پرونده های اجرایی و دیگر فهرست ها مورد استفاده قرار می گیرد. |
نوشتار | برای پرونده های اجرایی ودیگر فهرست ها مورد استفاده قرار می گیرد. |
اطلاعات نسخه | فقط در فایل سیستم نسخه مورد استفاده قرار می گیرد . |
نام جلد (نسخه ) | فقط در فایل سیستم مورد استفاده قرار می گیرد . برچسب جلد را در بردارد . |
فایل های سیستم NTFS
NTFS شامل چندین فایل سیستم است . تمام آنهایی که بر روی حجم NTFS از دید پنهان هستند . یک فایل سیستم ، فایلی است که توسط برای ذخیره داده های آن و اجرای سیستم فایل استفاده می شود . فایل های سیستم بر روی حجمی واقع شده اند .
جدول 4-5 داده های ذخیره شده در جدول فایل اصلی
فایل سیستم | نام فایل | ثبت MFT | هدف فایل |
جدول فایل اصلی | ــــ | ــــ | برای هر فایل و پرونده بر روی حجم NTFS داری یک فایل اصلی است . اگر اطلاعات تخصیص یک فایل یا پرونده برای جای گیری در یک ثبت مجزا خیلی زیاد باشند،دیگر مدارک فایل اختصاص یافته می شوند . |
جدول فایل اصلی 2 | ــــ | ــــ | یک کپی از اولین چهار ثبت MFT . این فایل در هنگام شکست یک بخش مجزا ، دسترس به MFT را ضمانت می کند . |
فایل ثبت | ــــ | ــــ | لیستی از مراحل بهنگام سازی فایل را داراست که برای قابلیت بازیافت NTFS استفاده می شود . سایز فایل ثبت ، به اندازۀ حجم بستگی دارد و می تواند به بزرگی 4 مگابایت باشد . ویندوز NT / 2000 بعد از یک شکست سیستم برای بازگرداندن وضعیت اولیه سازگاری به NTFS از آن استفاده می کند . |
حجم | ــــ | ــــ | اطلاعاتی راجع به حجم از جمله برچسب حجم و نسخۀ حجم را در بر دارد . |
تعاریف خصوصیات | ــــ | ــــ | یک جدول از توصیفات ، اعداد و نام های خصوصیات فایل . |
فهرست نام فایل اصلی | ــــ | ــــ | پرونده ریشه . |
گروه نوشتار | ــــ | ــــ | یک نمایش از حجم که نشان می دهد کدام گروه ها در دست استفاده هستند . |
بخش راه انداز | ــــ | ــــ | شامل BPB است که برای تنظیم حجم و کدبارگیر خود راه انداز استفاده می شود اگر حجم قابل راه اندازی باشد . |
فایل امنیتی | ــــ | ــــ | شامل توصیف گر های امنیتی برای تمام فایل های داخل حجم (نسخه ) است . |
جدول حروف بزرگ | ــــ | ــــ | حروف کوچک را برای سازگاری به حروف بزرگ تبدیل می کند . |
فایل توسعه NTFS | ــــ | ــــ | برای توسعه های اختیاری مختلف از جمله سهمیه ها ، مراحل تجزیه دوباره داده و معرف متغییر استفاده می شود . |
چندین جریان داده NTFS
NTFS چندین جریان داده را پشتیبانی می کند ، جایی که نام جریان یک ویژگی جدید داده را بر روی فایل مشخص می کند . یک دستگیره می تواند به روی هر یک از جریان داده ها باز شود . پس یک جریان داده مجموعه ای از خصوصیات فایل است . این ویژگی به شما این امکان را می دهد که داده را به عنوان یک واحد مجزا مدیریت کنید . مثال زیر یک جریان متفاوت است :
یک مجموعه از فایل ها ممکن است در جایی وجود داشته باشند که در آنجا فایل ها به عنوان جریان های متفاوت تعریف شده باشند .
مانند مثال زیر :
یک فایل می تواند همزمان با بیشتر از یک برنامه کاربردی همراه شود مانند : مایکروسافت ورد و مایکروسافت ورد پد .
برای مثال : ساختار یک فایل مانند نمونه زیر یک همکاری فایل را نشان می دهد اما نه برای چندین فایل :
برای ایجاد یک جریان داده متفاوت ، در اعلان دستور می توانید دستوری چون مثال زیر را تایپ کنید .
Echo . text > program : sowrce – file
More < program : sowrce – file
مهم
هنگامی که شما یک فایل NTFS را به یک حجم FAT کپی می کنید مثل فلاپی ، جریان داده و دیگر ویژگی ها که توسط FAT پشتیبانی نشده اند از دست می روند .
فایل های فشرده NTFS
ویندوز NT / 2000 ، فشرده سازی را بر روی فایل های فردی ، پرونده ها و کل حجم NTFS حمایت می کند . فایل هایی که بر روی یک حجم NTFS فشرده می شوند ، می توانند توسط هر برنامه کاربردی ویندوز خوانده و نوشته شوند . بدون این که اول توسط یک برنامه دیگر ناهم فشرده شوند .
زمانی که یک فایل خوانده می شود ناهم فشرده سازی به طور خود کار رخ می دهد وقتی که فایل بسته یا ذخیره می شود دوباره فشرده می شود . فایل ها و پرونده های فشرده زمانی که در ویندوز اکسپلورر مشاهده می شوند ویژگی C را دارند . تنها NTFS می تواند شکل فشرده ی دیتا را بخواند زمانی که یک فایل کاربردی مثل Microsoft word یادستور اجرایی سیستم مثل copy درخواست دسترس به فایل را می کند ، راه انداز فیلتر فشرده قبل از این که آن را در دسترس بگذارد آن را ناهم فشرده می کند . برای مثال اگر شما یک فایل فشرده ویندوزNT /2000 دیگر را به یک پرونده فشرده بر روی دیسک خود کپی کنید ، فایل زمانی که خوانده می شود ، از حالت فشرده خارج می شود ، کپی می شود و سپس هنگام ذخیره دوباره فشرده می شود . این فشرده سازی بسیار شبیه عمل کاربردی ویندوز 98 است با یک تفاوت مهم ـ عملکرد محدود شده نخستین حجم یا حجم اصلی را فشرده سازی در NTFS برای حمایت از اندازۀ دسته های تا اندازۀ KB4 است . زمانی که سایز دسته بیشتر از 4 کیلو بایت است ، هیچ از عملکردهای فشرده سازی NTFS در دسترس نیست . هر جریان داده NTFS شامل اطلاعاتی است که نشان می دهد آیا هیچ یک از بخش ها فشرده شده است یا خیر .
با فرم های فشرده شده منحصر به فرد توسط مجراها تشخیص داده می شوند . اگر مجرایی وجود نداشته باشد ، NTFS برای پیدا کردن و پر کردن مجرا به طور خود کار قبلی را فشرده می کند .
سیستم رمز گذاری فایل ـ EFS . پرونده های و پوشه های رمز گذاری شده .
سیستم رمزگذاری فایل فن آوری رمز گذاری فایل هسته ای را مهیا می کند که برای ذخیره سازی فایل های موجود در حجم NTFS استفاده می شوند . کاربران همانطور که به هر فایل و پروندۀ دیگری کار می کنند با فایل ها و پوشه های رمز گذاری شده نیز کار می کنند . رمز گزاری برای کاربری که فایل را رمز داده است ، ناپیدا نیست . تیم زمانی که کاربردسترسی به فایل داردبه طورخود کار فایل یا پرونده را کشف رمز می کند . زمانی که فایل ذخیره شد ، رمز گذاری اجرا می شود . کاربرانی که مجاز به دستیابی به فایل ها و پرونده های رمز گذاری شده نیستند ، به طور پنهانی پیغام " دستیابی ممنوع شد " را دریافت می کنند . اگر سعی در بازکردن ، کپی ، انتقال یا تغییر نام فایل رمز گذاری شده داشته باشند . پیغام دقیق ممکن است بستگی به برنامه کاربری داشته باشد که سعی در دستیابی به فایل دارد زیرا این به حق کاربر برای فایل مربوط نیست بلکه به توانایی EFS در کشف رمز فایل با استفاده از رمز اختصاصی کاربر بستگی دارد .
EFS مزیت های زیر را داراست :
1 ـ برای کاربر و هر برنامه کاربردی پنهان است . در فراموش کردن رمز گذاری فایل و ترک داده بدون محافظت ، هیچ خطری برای کاربر وجود ندارد . یک فایل یا پرونده که رمز گذاری شده ، در پشت زمینه بدون کشف متقابل با کاربر رمز گذاری می شود . کاربر لازم نیست که برای کشف رمز فایل ها ، رمز را به خاطر بسپارد .
2 ـ امنیت اصلی قوی : در مغایرت با دیگر راه حل ها ، زمانی که کلیدها بر اساس حروفی هستند که کاربر وارد می کند ، EFS کلیدهای تولید می کند که با دیکشنری هماهنگ است .
3 ـ تمام فرآیندهای فشرده سازی و نا هم فشرده سازی در حالت شالوده اجرا می شوند ، به استثنای خط رها کردن کلید در صفحه بندی فایل از جایی که می توانسته احتمالاً استخراج شود .
4 ـ EFS مکانیسم بازیافت داده را فراهم می کند که در تجارت با ارزش است ، برای ذخیره داده ها موقعیتی به آن می دهد اگر کسی که آن را رمز گذاری کرده ، شرکت را ترک کرده باشد .
EFS ـ سیستم رمز گذاری فایل : فایل ها و پرونده های رمز گذاری شده
کاربر می تواند خصوصیات EFS را از طریق ویندوز اکسپلورر و یا با استفاده از خط دستور که exe . ciphn نام دارد ، درخواست نماید . برای استفاده از ویندوز اکسپلورر برای رمز گذاری فایل ، مشخصه فایل را با راست کلیک کردن بر روی نام فایل باز کنید . بر روی دکمۀ Advance کلیک کرده ، خصوصیات Advance باز خواهد شد که به شما این امکان را می دهد که فایل را به عنوان یک فایل رمزگذاری شده علامت بزنید .
قبل از ذخیرۀ تنظیمات جدید ویندوز به کاربر این امکان را می دهد که فقط فایل یا کل پرونده را رمزگذاری کند . که پیامد مهمی را به دنبال دارد . زمانی که فایل به تنهایی می تواند حفاظت شود، برنامه کاربردی که فایل را باز می کند ممکن است در زمان کار با پوشه کپی های موقت از فایل را ایجاد کند .
اعمال درونی EFS
EFS برای حفاظت از فایل ها درترکیب با فن آوری کلید عمومی از رمز گذاری متناسب کلیدی استفاده می کند . دادۀ فایل با الگوی متناسب رمزگذاری شده است . کلیدی که در رمزگذاری متناسب استفاده شده کلید رمز فایل نام دارد ( FEK ) .
FEK در چرخش خودش با یک الگوریتم کلید اختصاصی/عمومی رمزگذاری شده و همراه فایل ذخیره شده . علت استفاده از دو الگوی متفاوت سرعت رمزگذاری است . گنجایش عمل یک الگوریتم متناسب برای رمزگذاری مقدار زیادی اطلاعات بسیار زیاد است . الگوریتم متناسب برای رمزگذاری حجم زیادی از اطلاعات 1000 بار سریع تر است .
به عنوان گام اول در رمزگذاری فایل ، NTFS یک فایل ثبت را به نام EFSO ایجاد می کند . که به عنوان یک فایل رمزگذاری شده در پرونده اطلاعات حجم سیستم بر روی همان درایو قرار دارد . پس EFS نیاز به دستیابی به محتویات Cryploapl دارد که از مهیا کننده رمز نویس اصلی مایکروسافت استفاده می کند. با باز شدن محتویات رمز EFS کلید رمزگذاری فایل را تولید می کند ( FEK ) . گام بعدی گرفتن جفت کلید اختصاصی است ، اگر آن در این مرحله وجود نداشته باشد ، EFS یک جفت جدید را تولید می کند . EFS برای رمزگذاری FEK از الگوریتم 1024-bitRSA استفاده می کند .
پس EFS برای کاربر رایج ، فیلد رمزگشایی داده را ایجاد می کند ( DDS ) که جایی که FEK را قرار داده و آن را با کلید عمومی رمزگذاری می کند . اگر عامل بازیافت توسط قوانین سیستم تعریف شده باشد EFS همچنین فیلد بازیافت داده ( DRF ) را ایجاد می کند و FEK رمزگذاری شده را با کلید عمومی عامل بازیافت در آنجا قرار می دهد . برای هر عامل بازیافت تعریف شده یک DRA جدا ایجاد می شود . لطفاً توجه کنید که در ویندوز XP ، هیچ عامل بازیافتی تعریف نشده بنابراین این مرحله حذف می شود .
حالا یک فایل موقت EFSO.tmp در همان پرونده به عنوان فایلی که قبلاً رمزگذاری شده ایجاد می شود .
محتویات فایل اصلی بعد از آنکه فایل اصلی با داده رمزگذاری شده دوباره نوشته می شود ، به فایل موقت کپی می شود . به طور پیش فرض ، EFS برای رمزگذاری داده فایل از الگوریتم DESX به همراه کلیه 128 بایت استفاده می کند اما ویندوز نیز می تواند برای استفاده از الگوریتم 3DES قویتر به همراه کلید 168 بایت پیکربندی شود . در این مورد استفاده از الگوریتم های موافق باید با قوانین LSA مطابقت کند .
EFS برای تشخیص اینکه از DESX استفاده می شود یا از 3DES ، از پایگاه داده استفاده می کند . اگر HKLMXSYSTEM\Current\Control set\Control\LSA\EipsAlgorithmPolicy=1 پس از 3DES استفاده می شود . اگر نه EFS .
HKLM\Software\Microsoft\Windows NT\Currentversioul EFS\Algorithm ID
را چک می کند ، اگر حضور داشت ، CAIG-3DES یا CAIG-DESX را دارد ، در غیر این صورت از DESX باید استفاده شود . پس از اینکه رمزگذاری انجام شد ، فایل های موقت و ثبت حذف می شوند .
پس از رمزگذاری فایل تنها کاربرانی که DDE یا DRF وابسته را دارند می توانند به فایل دسترسی پیدا کنند . این مکانیسم از معنی امنیتی رایج جداست . فایل باید به همراه کلید عمومی کاربر ، FEK رمزگذاری شده را نیز داشته باشد . تنها کاربرانی که با استفاده از کلید اختصاصی خود توان رمزگذاری FEK را داشته باشند می توانند به فایل دست یابند . نتیجه این است که کاربر که به فایل دسترسی پیدا می کند می تواند آن را رمزگذاری کند و بنابراین مانع از دسترسی صاحب آن می شود .
در ابتدا برای کاربری که فایل را رمزگذاری کرده ، تنها یک DDF ایجاد می شود اما بعداً می تواند به حلقۀ کلیدها کاربران دیگر را هم اضافه کند . در این مورد EFS می تواند به آسانی FEK را با استفاده از کلید اختصاصی کاربری که می خواهد به فایل کاربر دیگر دسترسی پیدا کند ، رمزگشایی کند . فرایند رمزگشایی برخلاف رمزگذاری است : ...
در ابتدا این مورد را کنترل می کند که آیا کاربر کلید اختصاصی دارد که با EFS استفاده شود یا نه . اگر دارد ، آن کلید ویژگی های EFS را می خواند و در میان حلقه DDE به دنبال DDE می گردد برای کاربر رایج . اگر DDE پیدا شد ، کلید اختصاصی کاربر برای رمزگشایی FEK استخراج شده از DDE استفاده می شود . با استفاده از FEK رمزگشایی شده ، EFS داده فایل را رمزگشایی می کند . باید به این مورد توجه شود که هرگز تمام فایل رمزگشایی نمی شود اما نسبتاً توسط بخش هایی از آن است که مدل بالاتر بخش خاصی را درخواست می کند .
فرایند بازیافت شبیه رمزگشایی است به جز این مورد که برای رمزگشایی FEK از کلید اختصاصی عامل بازیافت در DRE استفاده می کند نه در DDF .
قوانین DRA برای ویندوز 2000 و ویندوز XP متفاوت عمل می کند . به طور پیش فرض در ویندوز 2000 بر روی کامپیوتر ها کنترل کننده سیستم به قوانین کلید عمومی به عنوان عامل بازیافت داده های رمزگشایی شده اضافه می شود . بنابراین زمانی که کاربر فایل را رمزگذاری می کند ، هر دو زمینه DRF و DDF ایجاد می شود . اگر DRA آخر نیز حذف شود ، تمام عملکرد EFS پایان می یابد و دیگر امکان رمزگذاری فایل وجود ندارد .
ویژگی EFS
زمانی که NTFS فایل را رمزگذاری می کند ، کدها را نیز رمزگذاری کرده برای فایل و ویژگی EFS را برای فایل در جایی که DDFS و DDRS را ذخیره می کند ، ایجاد می کند . این ویژگی در NTFS خصوصیت IO=0×100 را دارد و می تواند بر اساس تعداد DDES و DRFS هنگام کپی کردن از 0.5K تا چندین کیلو بایت ، بسیار طولانی شود .
اینجا نمونه ای از ویژگی EFS با جزئیات بیشتر شرح داده شده :
ـ اندازه ویژگی EFS
ـ SID کامپیوتر و شماره کاربر که پرونده را که در آن EFS تأییدیه را ذخیره می کند مشخص می کند . برای گرفتن نام پرونده ، EFS بعضی مشابهت را به وجود می آورد :
داده در EFS ذخیره شده 5A56 ………
ذخیره شده
به دهدهی تبدیل می شود
پیشوند SID اضافه می شود
بنابراین پوشه خواهد بود :
%User Profile % \ Applicatin Data\ Microsoft \Crypto\RSA\S-1-5-21-2025018970-693384732-167712168-12321
ـ اثر شست کلید عمومی
ـ راهنمای کلید اختصاصی ( همچنین به عنوان نام محافظ استفاده می شود ) . اگر در ویژگی EFS فقط یک DDF وجود داشته باشد ، نام محافظ می تواند EFS نشان داده شود ، اما به محض اینکه کاربران بیشتری به فایل اضافه شوند ، راهنمای PK برای تمام آنها ذخیره نشده و باید بر اساس اثر کلید عمومی از انبار تأییدیه دوباره بازیافت شود .
ـ نام مهیا کننده رمزساز = مهیا کننده رمزساز مایکروسافت V.I.O
ـ FEK رمزگذاری شده . معمولاً FEK در 128 بایت طول می کشد اما از زمانی که با 1024 بایت کلید RSA رمزگذاری شده ، طول رمزگذاری نیز 1024 بایت است .
نتایج همراه با EFS
فایل موقت پاک نشده است . زمانی که EFS فایل را رمزگذاری می کند ، محتویاتش را به فایل مخفی موقت به نام EFSO.tmp در همان پرونده ، به عنوان فایل رمزگذاری شده، کپی می تواند . پس EFS متن ساده را با بلاک ها رمزگذاری کرده و داده ها رابه فایل اصلی می نویسد . پس ازاینکه فرایند انجام شد ، فایل موقت حذف می شود . مشکل اینجاست که EFS به آسانی آن را بدون پاک کردن محتویاتش پاک می کند . که دستیابی به داده حفاظت نشده را از طریق
Low-Level data recovery software like Active @ Undelete
آسان می کند . راه حل آن نیز ـ پاک کردن فضای خالی دیسک است . حتی اگر متن ساده دوباره نوشته شده و اثر مغناطیسی کوچک قابل آشکار سازی باقی بماند ، بنابراین شانس خواندن داده های پاک شده را با تجهیزات درست به آن می دهد . برای به حداقل رساندن این امکان ، از نرم افزار در دسترس تجاری برای تهیه ZDelete.net یا data erasing algorithm like active@eraer پیشرفته استفاده کنید .
در پرونده رمزگذاری شده اسامی فایل حفاظت نشده است . در واقع رمزگذاری محتویات پوشه به معنای به کارگیری خودکار رمزگذاری برای تمام فایل ها در پرونده است نه رمزگذاری فهرست داده ها به تنهایی . از زمانی که فایل می تواند اطلاعات حساس رادربرمی گیرد ، می تواند در امنیت یک قانون شکنی به حساب آید .
یکی از راه حل ها استفاده از آرشیو Zip رمزگذاری شده به جای پرونده هاست که با ویندور XP تقریباً همانند پرونده ها رفتار می کند . بنابراین ، فقط یکی از فایل ها برای رمزگذاری لازم است و خود داده های آرشیو شده برای شکاف برداشتن سخت ترند . ویندوز از تمام کلیدهای اختصاصی محافظت می کند با رمزگذاری آنها از طریق سرویس مخزن حفاظت شده . مخزن خفاظت شده تمام کلیدهای اختصاصی را رمزگذاری کرده ، از کلید اصلی 512 بایت استنتاج کرده و آنها را در
%User profile % \Application Data\Microsoft\Crypto\RSA\UserSID
ذخیره می کند . کلید اصلی توسط کلید رمزگذاری کلید اصلی که از رمز کاربر توسط استفاده از رمز وابسته به نقش استخراج کلید استنتاج شده ، رمزگذاری می شود و در
%User profile % \Application Data\Microsoft\Protect\UserSID
ذخیره می شود . برخلاف تلاشها ویندوز از کلیدها محافظت می کند . این واقعیت که تمام اطلاعات در کامپیوتر محلی ذخیره شده ، به مهاجمی که قصد دستیابی به درایو را دارد ، شانس نمایش کلیدها و استفاده از آنها در رمزگشایی داده های حفاظت شده را می دهد . امنیت کلی می تواند توسط رمزگذاری کلیدهای اختصاصی به همراه کلید سیستم عمدتاً افزایش یابد .
برنامه سودمند Syskey.exe می تواند برای ذخیره کلید سیستم بر روی فلاپی و پاک کردن آن از کامپیوتر مورد استفاده واقع شود . در این مورد کاربر باید از زمانی که سیستم بالا می آید ، یک دیسکت را با کلید سیستم وارد کند . اگر چه که این روش باید با احتیاط انجام شود زیرا اگر دیسکت گم شود ، راهی برای دستیابی به کامپیوتر وجود ندارد .
فایل های یدکی NTFS
یک فایل یدکی ویژگی دارد که باعث می شود زیر سیستم I/O تنها به داده های معنی دار اختصاص یابد . دادۀ غیر صفر بر روی دیسک اختصاص دارد ولی دادۀ بی معنی این طور نیست . زمانی که فایل یدکی خوانده می شود ، دادۀ اختصاص یافته همانطور که ذخیره شده بود باز می گردد . دادۀ اختصاص نیافته باز می گردد ، به طور پیش فرض به عنوان 0 .
NTFS جریان دادۀ یدکی را باز می ستاند و فقط دیگر داده ها را به عنوان اختصاص یافته نگه می دارد . زمانی که یک برنامه به یک فایل یدکی دست می یابد ، سیستم پرونده ها ، دادۀ اختصاص یافته را به عنوان داده واقعی جاری می کند و داده ها به عنوان صفر باز می ستاند . NTFS شامل حمایت کامل فایل یدکی برای هر دو فایل فشرده و غیر فشرده می باشد . NTFS اعمال روی فایل های یدکی را از طریق برگرداندن دادۀ اختصاص یافته و دادۀ یدکی ، می خواند . اگر چه که NTFS کل مجموعه داده ها را به طور پیش فرض بر می گرداند اما این امکان وجود دارد که یک فایل یدکی را به عنوان دادۀ اختصاص یافته و گروهی از داده ها خواند ، بدون بازیافت کل مجموعۀ داده ها .
با مجموعه ویژگی های فایل های یدکی ، سیستم پرونده ها می تواند داده از هر جایی در فایل بازستاند و زمانی که یک برنامه کاربردی در حال اجراست ، دادۀ صفر را به جای ذخیره کردن و بازگرداندن آن به دادۀ واقعی ، واگذار می کند . وجه مشترک برنامه کاربردی سیستم پرونده ها به فایل این امکان را می دهد که به عنوان بایت واقعی کپی یا برگردانده شود . نتیجه ویژه دستیابی مؤثر مخزن سیستم پرونده هاست . شکل بعد نشان می دهد که چطور داده یا بدون مجموعه ویژگی فایل یدکی ذخیره می شود .
مهم
اگر شما یک فایل یدکی را به سیستم FAT و یا یک حجم NTFS بدون ویندوز 2000 کپی یا انقال دهید ، فایل به سایز مشخص اصلی خود ساخته می شود . اگر فضای مورد نیاز در دسترس نباشد ، برنامه کاربردی آن را کامل نمی کند .
قابلیت بازیافت و تمامیت داده با NTFS
NTFS یک سیستم پرونده قابل بازیافت است که پایداری یک نسخه را با استفاده از فن آوری بازیافت و ورودی داده استاندارد تضمین می کند . در زمان توقف یک دیسک ، NTFS ثبات را با استفاده از اجرای یک روش بازیافت که به اطلاعات ذخیره شده در یک فایل ثبت دست پیدا می کند ، ذخیره می کند . روش باز یافت NTFS درست است . در حالی که این موضوع را که نسخه به یک مکان پایدار ذخیره شده را تضمین می کند . ورودی داده نیازمند حجم کوچکی از منابع است .
NTFS همچنین برای به حداقل رساندن تأثیرات یک بخش بد بر روی نسخه NTFS ، از تکنیکی به نام مسیر دهی دوباره گروهی استفاده می کند .
مهم
اگر ثبت راه انداز اصلی ( MBR ) یا بخش راه انداز خراب شد ، شما ممکن است قادر به دستیابی به اطلاعات روی نسخه نباشید .
بازیافت داده با استفاده از NTFS
NTFS هر عمل کاربردی I/O را یک فایل را روی نسخه NTFS اصلاح می کند ، به عنوان یک تبادل اطلاعات می بینید و با هر یک از آنها به عنوان یک واحد درست رفتار می کند .
NTFS برای اطمینان از اینکه یک تبادل اطلاعات می تواند کامل شود یا به وضعیت قبلی برگردد ، برنامه های کاربردی یک تبادل اطلاعات را قبل از اینکه به دیسک نوشته شوند در یک فایل ثبت ، ضبط می کند . زمانی که یک تبادل کامل در فایل ثبت ضبط شد ، NTFS برنامه های کاربردی تبادل را بر روی مخزن نسخه انجام می دهد . پس از اینکه NTFS مخزن را به روز کرد ، تبادل را از طریق ضبط آن در یک فایل ثبت انجام می دهد .
زمانی که تبادل انجام شد ، NTFS مطمئن می شود که تمام تبادل بر روی نسخه ظاهر می شود . حتی اگر دیسک متوقف شود . در طول عمل بازیافت ، NTFS هر یک از تبادلات انجام شده ای را که در فایل ثبت یافت می شود دوباره انجام می شود دوباره انجام می دهد . پس NTFS تبادلی را در فایل ثبت تعیین محل می کند که در زمان توقف سیستم انجام نشده است . اصطلاحات تکمیل نشده از ورود به نسخه منع شده اند .
NTFS برای ورود تمام اطلاعات انجام نشده یا دوباره انجام شده برای یک تبادل از سرویس فایل ثبت استفاده می کند . NTFS از اطلاعات دوباره انجام شده برای تکرار تبادل استفاده می کند . اطلاعات انجام نشده NTFS را قادر می سازند که تبادلی را که ناتمام است و یا خطا دارد را انجام ندهد .
مهم
NTFS برای تضمین این موضوع که ساختار نسخه ایرادی ندارد ، از بازیافت و ورودی داده های تبلولی استفاده می کند . به همین خاطر پس از توقف سیستم ، تمام فایل های سیستم در دسترس باقی می مانند . با این وجود به خاطر توقف سیستم و یا یک کد بخش بد ، داده های کاربر می تواند از دست بروند .
مسیر دهی دوباره گروه
در هنگام خطای یک بخش بد ، NTFS فن آوری بازیافتی به نام مسیر دهی دوباره گروه را به کارمی برد. زمانی که ویندوز 2000 یک بخش بد را تشخیص می دهد ، NTFS به طور دینامیکی گروهی را که شامل بخش خراب هستند مسیر دهی دوباره کرده و گروه جدیدی را برای داده ها تعیین می کند . اگر در هنگام خواندن خطایی رخ داد ، NTFS خطایی را به برنامه در حال اجرا بر می گرداند و داده از بین می رود . اگر خطا در حین نوشتن روی دهد ، NTFS داده را در یک گروه جدید می نویسد و داده از بین نمی رود . NTFS آدرس گروهی را که حاوی بخش معیوب است در فایل گروه معیوب قرار داده و بنابراین بخش معیوب دوباره استفاده نمی شود .
مهم
مسیر دهی دوباره به گروه یک پشتیبانی متفاوت نیست . زمانی که خطا تشخیص داده شد ، دیسک باید از نزدیک بازبینی شود و اگر فهرست تشخیص رشد کند باید دوباره جایگزین شود . این نوع خطا در ثبت رویداد نشان داده شده است .
65536 | 4194304 | تقریباً نا محدود | تقریباً نا محدود | بیشترین فایلها بر روی نسخه |
(فقط توسط)2GB اندازه نسخه محدود می شود | 4GB minus 2 Byte | فقط توسط اندازه نسخه محدود می شود | فقط توسط اندازه نسخه محدود می شود | بیشترین اندازه فایل |
65520 | 4177918 | تقریباً نا محدود | تقریباً نا محدود | بیشترین تعداد گروه ها |
استاندارد 3ـ8 توسعه یافته ، بیشتر از 255 | بیشتر از 255 | بیشتر از 255 | بیشتر از 255 | بیشترین اندازه نام فایل |
ویژگی های سیستم پرونده
مجموعه حروف سیستم | مجموعه حروف سیستم | مجموعه حرف سیستم | مجموعه حروف | مجموعه حروف اینکد | اسامی فایل های اینکد |
دومین کپی از FAT | دومین کپی از FAT | دومین کپی از FAT | فایل بازیافت FAT | فایل بازیافت FAT | بازتاب مدارک سیستم |
اولین بخش | اولین بخش | اولین بخش و کپی در بخش b | اولین و آخرین بخش | اولین و آخرین بخش | محل بخش راه انداز |
مجموعه استاندارد | مجموعه استاندارد | مجموعه استاندارد | استاندارد ورایج | استاندارد و رایج | ویژگی های فایل |
خیر | خیر | خیر | بلی | بلی | جریانات متفاوت |
خیر | خیر | خیر | بلی | بلی | فشار |
خیر | خیر | خیر | خیر | بلی | رمزگذاری |
خیر | خیر | خیر | بلی | بلی | مجوز متغییر |
خیر | خیر | خیر | خیر | بلی | سهمیه دیسک |
خیر | خیر | خیر | خیر | بلی | فایلهای یدکی |
خیر | خیر | خیر | خیر | بلی | مراحل تجزیه مجدد |
خیر | خیر | خیر | خیر | بلی | مراحل تنظیم نسخه |
خیر | اجرای کلی خیر | خیر | بلی | بلی | ساخت در امنیت |
خیر | خیر | خیر | بلی | بلی | قابلیت باز یافت |
بالا | بر روی نسخه های کوچک بالا و بر روی نسخه های بزرگ پایین | بر روی نسخه های کوچک بالا و بر روی نسخه های بزرگ پایین | بر روی نسخه های کوچک پایین و بر روی نسخه های بزرگ بالا | بر روی نسخه های کوچک پایین و بر روی نسخه های بزرگ بالا | کارایی |
زیاد | بر روی نسخه های بزرگ کم | متوسط | زیاد | زیاد | صرفه جویی در فضای دیسک |
متوسط | متوسط | کم | زیاد | زیاد | مقاوت عیب |
بهینه سازی NTFS
اگر شما احتیاجات مخزن خود را بازرسی کنید می توانید برای دسترسی به افزایش عملکرد دیسک ، بعضی از پارامترهای NTFS جهانی را تنظیم کنید . دیگر تکنیک هایی همچون پیوند تکه های دیسک نیز می تواند کمک کند. چندین عامل وجود دارد که بر عملکرد NTFS تأثیر می گذارد : سایز گروه ، محل و تکه تکه سازی جدول فایل اصلی و صفحه بندی فایل ، فشار نسخه NTFS ، و منبع نسخه NTFS .
تعریف درست اندازه گروه
گروه یک واحد اختصاصی است . اگر شما فایلی به اندازه 1 بایت ایجاد کنید ، حداقل یک گروه باید بر روی سیستم پرونده FAT اختصاص یابد . اگر فایل به اندازه کافی کوچک باشد می تواند به تنهایی بدون استفاده از گروه های اضافی در ثبت MFT ذخیره شود .
زمانی که فایل در بین گروه رشد می کند . این بدان معنی است که اندازه گروه بزرگتر ، فضای بیشتری را به هدر می دهد ، با این وجود کارایی بهتر خواهد بود .
جدول زیر ارزش های پیش فرض را که ویندوز 2000/XP/NT برای فرمت کردنNTFS از آن استفاده می کنند را نشان می دهد :
با این وجود زمانی که شما بخش را به طور دستی فرمت می کنید ، شما می توانید اندازه سایز را در جعبه تبادل فرمت به 512 بایت ، 1 کیلو بایت ، 2 کیلو بایت ، 4 کیلو بایت ، 8 کیلو بایت ، 16 کیلو بایت ، 32 کیلو بایت ، 64 کیلو بایت تعیین کنید و یا به عنوان پارامتری در برنامه *** مشخص کنید .
این کار چه چیزی به ما می دهد ؟ سایز معمولی فایل را تشخیص دهید و بر طبق آن بخش را فرمت کنید . چطور باید تشخیص داد ؟ آسانترین راه تقسیم کردن تعداد فایل های روی درایو با مقدار کلی آن در کیلو بایت است . راه دیگر فکر کردن درباره داده هایی است که قبل از فرمت کردن قصد ذخیره آنها را بر روی درایو دارید . اگر شما قصد ذخیره ماده اولیه چند رسانه ای را دارید که معمولاً سایز بزرگی دارد ، گروه را برای افزایش کارایی بزرگتر از حد معمول بسازید . اگر پوشه متن کوچک است ، اندازه گروه را کوچک کنید تا حجم زیادی از فضای دیسک را از دست ندهید . بیندیشید !
توجه : بر روی نسخه ها ، داشتن گروهی با اندازه بیشتر از 4 کیلو بایت پشتیبانی شده است .
تکه تکه کردن و ذخیره کردن MFT
بیشتر اوقات MFT حاوی فایل های مورد استفاده سیستم و فهرست ها می باشد بنابراین کارایی MFT بر حجم زیادی از کارایی نسخه تـأثیر می گذارد .
به طور پیش فرض ، NTFS ناحیه ای را با % 5 . 12 از حجم نسخه برای MFT ذخیره می کند و به آن اجازه هیچ دادۀ کاربری را نمی دهد . با این وجود ، زمانی که برای مثال ، تعداد زیادی از فایل ها بر روی درایو قرار دارند ، MFT می تواند در بین ناحیۀ ذخیره شده رشد می کند و تکه تکه شود . علت دیگر این است که زمانی که شما فایل را حذف می کنید ، NTFS همیشه فضایش را برای ذخیره فایل جدید در MFT استفاده نمی کند . بلکه فقط ورودی MFT را به عنوان ورودی های حذف نشده نشان دار می کند . NTFS مزایای بازیافت و کارایی را مهیا می کند ، با این وجود MFT را مجبور به تکه تکه شدن می کند . تکه تکه سازی بیشتر MFT ، حرکت بیشتر موضوعات برای دستیابی به داده ها و کارایی کمتر سیستم پرونده را به دنبال دارد .
با شروع ویندوز NT 4.0SP4 شما می توانید مقدار ذخیره منطقه MFT را از طریق پایگاه داده ها تعریف کنید :
Key:HKEY-LOCAL-MACHINE\SYSTEM\CONNECTCONTROL SET\CONTROL\FILE SYSTEM
مقدارRESERVATION NTFS MFT ZONE از نوع DWORD به شما این امکان را می دهد تا منطقه MFT را برای مقدارهای فرمت شدۀ تازه به وجود آمده تعیین کنید .
تکه تکه ساری فایل و فهرست
نه تنها MFT بلکه دیگر فایل ها و فهرست ها نیز می توانند زمانی که درایو پر شد ، تکه تکه شوند و شما اعمال کپی و حذف فایل را انجام دهید . آن ، همچنین کارایی سیستم را پایین می آورد ، بنابراین زمانی که شما حجم زیادی کپی ، انتقال ، و حذف ار بر روی نسخه انجام می دهید ، استفاده از ابزارهای پیوند استاندارد تکه ها پیشنهاد می شود .
با شروع از ویندوز 2000 ، پیوند دهندۀ تکه ها بخشی از سیستم اجرایی است و شما می توانید آن را در واحد مدیریت کامپیوتر بیابید . اگر شما چنین ابزارهایی ندارید می توانید آن را به طور دستی انجام دهید . فقط فایل ها و پرونده ها را به بخش دیگری کپی کرده ، فایل اصلی را تقریباً خالی گذاشته و سپس آنها را دوباره کپی کنید . این راه حل تأثیرگذاری کمتری از استفادۀ ابزارهای پیوند استاندارد تکه ها دارد ، با این وجود می توانید کارایی نسخه را در مواردی که بخش تکه تکه شده است ، ارتقاء دهد . برای جلوگیری از تکه تکه سازی فهرست ، قبل از نصب برنامه های کاربردی جدید و یا کپی تعداد زیادی فایل بر روی نسخه ، پیوند تکه های درایو را کامل کنید .
متراکم سازی بر روی نسخه های NTFS
متراکم سازی می تواند فضای زیادی را بر روی نسخه شما ذخیره کرده و می توانید کارایی کلی شما را بر اساس سرعت CPU ( پردازشگر ) اندازه نسخه و داده قابل متراکم سازی ، افزایش یا کاهش دهد . اگر شما پردازش گری با سرعت بالا دارید و هارددیسک کم ، متراکم سازی پیشنهاد می شود زیرا دادۀ متراکم فضای کمی را بر روی نسخه اشغال می کند و می تواند و می تواند بسیار سریعتر از خواندن کل بلاک های فشرده نشده می تواند خوانده شود و یا نا هم فشرده شود ( از حالت فشرده خارج شود ) .
نسخه بزرگتر اگر فشرده سازی شده باشد ، کارایی کمتری دارد و برای اطمینان ، نیازی به متراکم سازی نسخه یا پوشۀ حاوی دادۀ نا هم فشرده نیست .
برای متراکم سازی نسخه / پرونده / پوشه ـ فقط به ویژگی های آن در ویندوز اکسپلورر رفته و جعبه کنترل فشرده شده را علامت بزنید .
تبدیل نسخه از FAT به NTFS
اگر شما ویندوز را بر روی نسخه NTFS تازه ایجاد شده برپا نکرده اید اما نسخه را از FAT به NTFS تبدیل کرده اید ، معمولاً باعث می شود که تکه تکه سازی MFT آرامتر از فایل های اصلی ایجاد شدۀ به عنوان NTFS باشند .
ابزار پیوند تکه ها در کل قادر به پیوند تکه های MFT نیستند ، بااین وجود شما می توانید کل سیستم را پشتیبانی کرده ، نسخه را با اندازه صحیح گروه دوباره فرمت کرده و آن را ذخیره کنید .
مفاهیم بازیافت NTFS
مفاهیم بازیافت بخش NTFS
اگر بخش قابل راه اندازی نباشد چه باید کرد ، برای مثال ویندوز 2000/NT و XP شروع نمی شود !
ـ بازیافت درایو / بخش
ـ MBR خراب شده است .
ـ بخش حذف شده یا جدول بخش معیوب است .
ـ بخش راه انداز خراب شده است .
ـ فایل های سیستم خراب یا حذف شده اند .
مفاهیم بازیافت فایل NTFS
اگر یک فایل یا پوشه از طریق گذشتن از سطل آشغال حذف شده باشد و با سطل آشغال پس از حذف فایل خالی شده باشد چه باید کرد ؟
ـ بازیافت فایل
ـ اسکن دیسک برای ورودی های حذف شده
ـ تعریف زنجیر گروه برای ورودی حذف شده
ـ بازیافت زنجیر گروه ها
مفاهیم بازیافت بخش
برای اینکه دستگاه قادر باشد به طور صحیح راه اندازی شود ، شرایط زیر باید به کار برده شود :
ـ ثبت راه انداز اصلی ( MBR ) باید وجود داشته باشد و سالم باشد .
ـ جدول بخش وجود داشته باشد و حاوی حداقل یک بخش فعال باشد .
اگر چنین است کد انجام پذیر در MBR یک بخش فعال را انتخاب کرده و بنابراین می تواند بارگیری صحیح فایل ها را بر اساس نوع سیستم پرونده ها در بخش شروع کند . با این وجود اگر این فایل فایل ها از بین رفته یا خراب شده اند ، پس OS قابل راه اندازی نیست . به یاد داشته باشید پیغام خطای معروف NTLDR از بین رفته است ... ؟
در این مورد نرم افزار بازیافت به این درایو با سطح پایین از طریق گذشتن از راه انداز سیستم دسترسی پیدا می کند و به شما کمک خواهد کرد تا تمام فایل ها و فهرست های روی درایو ببینید و آنها را به این مکان امن کپی نمی کنید .
برای فایل مشاهده بودن درایو / بخش برای سیستم اجرایی شرایط زیر باید به کار برده شود :
ـ بخش / درایو در جدول بخش یافت شود .
ـ راه انداز بخش / درایو امن باشد .
اگر چنین است ، OS می تواند پارامتر های درایو / بخش را بخواند و درایو را در فهرست درایوهای قابل دسترس نمایش دهد . با این وجود اگر سیستم پرونده ها به تنهایی خراب باشد . ممکن است محتویات درایو نمایش داده نشوند و ما ممکن است پیغام های خطایی چون" MFT خراب است " ، " درایو نامعتبر است " را مشاهده کنیم . در این مورد شما برای ذخیره داده ها شانس کمتری در مقایسه با موردی دارید که OS بر اساس از دست دادن یا خرابی فایل های سیستم قابل راه اندازی نیست . با این وجود نرم افزار بازیافت معمولاً بیشتر روش ها را برای نمایش داده ها استفاده می کند.
تحت عنوان بازیافت " بازیافت بخش " ما دو چیز را معنی می کنیم :
1 ـ بازیافت فیزیکی بخش . هدف فهمیدن شکل و نوشتن یک سری اطلاعات در جای صحیح بر روی HDD است و پس از آن بخش دوباره برای OS قابل مشاهده می شود . شما می توانید با استفاده از ویرایش گرهای دیسک و بعضی راهنما ها این کار را به دستی انجام دهید و یا از نرم افزارها بازیافت استفاده کنید که برای این منظور طراحی شده .
2 ـ " بازیافت مجازی بخش " هدف تشخیص پارامترهای مهم بخش حذف شده / خراب / و یا دوباره نوشته شده است و پس از آن امکان جستجو و نمایش محتویات آن . این روش می تواند در بعضی موارد به کار گرفته شود ، زمانی که بازیافت بخش به طور فیزیکی امکان پذیر نیست و این کار معمولاً توسط نرم افزار بازیافت استفاده می شود . انجام آن به طور دستی بسیار مشکل است .
بیایید عناوینی رادر نظر بگیریم که مربوط به بازیافت بخش است و مخصوص سیستم پرونده خاصی نیست . ما در اینجا موارد زیر را داریم :
ـ MBR خراب شده است .
ـ بخش حذف شده و یا جدول بخش خراب شده است .
ـ بخش راه انداز خراب شده است .
ـ فایل های سیستم خراب یا از دست رفته اند .
برای مثال ما از طرح دیسک زیر استفاده می کنیم :
ما در این قسمت دو بخش اولیه داریم ( H: و C: ) و دو درایو قانونی ( E: و D: )
" MBR خراب شده است "
زمانی که شما اولین بخش را برروی هارددیسک ایجاد کردید ، ثبت راه انداز اصلی( MBR ) ایجاد خواهد شد . ساختار داده ها بر روی دیسک بسیار مهم است . ثبت راه انداز اصلی حاوی جدول بخش برای دیسک است و نیز حجم کمی ازکدهای قابل اجرا برای شروع راه اندازی . محل آن همیشه اولین بخش بر روی دیسک است .
اولین 446 بایت خود MBR است ، 64 بایت بعدی جدول بخش است ، دو بیت آخر در بخش کد کلمه برای بخش است و همیشه 0×55AA است . برای طرح دیسکمان ما MBR داریم :
اگر اولین بخش خراب شده باشد چه اتفاقی می افتد ؟ ( مثلاً توسط ویروس )
بیایید اولین 16 بایت را دوباره با 0 باز نویسی کنیم .
پس از روش های قسمت سخت افزار ، اگر ما سعی در راه اندازی سیستم داشته باشیم ، ما تنها صفحه خالی را بدون پیغام می بینیم . این بدان معنی است که قطعۀ کد در آغاز MBR نمی تواند به درستی اجرا شود و به همین خاطر است که حتی پیغام های خطا نمی تواند نمایش داده شود . با این وجود اگر ما از روی فلاپی راه اندازی کنیم . می توانیم بخش FAT را ببینیم و نیز فایلهای روی آن قادر خواهیم بود اعمالی چون کپی ، اجرای برنامه را انجام دهیم و این مورد به این خاطر اتفاق می افتد که در مثال ما فقط بخشی از MBR خراب شده است که به سیستم اجازۀ راه اندازی را نمی دهد . با این وجود ، جدول بخش سالم است و ما می توانیم زمانی که از سیستم اپراتور نصب شده بر روی درایو دیگر راه اندازی می کنیم ، به درایوها دسترسی داشته باشیم .
اگر اثر بخش پاک یا خراب شده باشد چه باید کرد ؟
بیایید صفرها را در محل اثر بخش بنویسیم :
زمانی که ما سعی در راه اندازی می کنیم ، پیغام خطایی مثل " سیستم اجرایی پیدا نشد " را می بینیم .
بنابراین اگر کامپیوتر راه اندازی نشود اولین کاری که می کند مشاهده گر دیسک و کنترل اولین بخش فیزیکی بر روی هارددیسک است :
ـ کنترل کنید ، ممکن است آن با 0 یا هر حرف مجزای دیگری پر شده باشد .
ـ کنترل کنید که آیا پیغام های خطا وجود دارد یا نه .
ـ کنترل کنید که آیا اثری از دیسک باقی است یا نه .
آسانترین راه تعمیر با ایجاد دوباره یک MBR اجرای برنامه مایکرو سافت به نام FDISK با پارامتر MBR است مثل :
A:\>FDISK.EXE /MBR
برنامۀ FDISK در ویندوز ME ، 98 ، 95 و MS-DOS وجود دارد .
اگر شما ویندوز XP\NT ،2000 دارید می توانید از فلاپی و یا CD-ROM سیستم را راه اندازی کنید .
در طی بالا آمدن ویندوز گزینۀ تعمیر را انتخاب کرده و برنامه Recovery Consol را اجرا کنید . زمانی که به سیستم وارد می شوید می توانیددستور FIXMBR را برای تعمیر MBR به کار ببرید .
همچنین می توانید از سومین بخش نرم افزار بازیافت MBR استفاده کنید و یا اگر پشتیبان MBR را ایجاد کرده اید ، آن را ذخیره کنید .
اگر اولین بخش بد یا ناخوانا باشد چه اتفاقی می افتد ؟
احتمالاً همان صفحه سیاه را می بینیم که هنگام راه اندازی سیستم دیدیم . زمانی که شما با استفاده از ویرایش گر / مشاهده گر دیسک سعی در خواندن آن دارید ، باید پیغامی را دریافت کنید که می گوید بخش نا خواناست . در این مورد نرم افزار بازیافت قادر به برگرداندن هارددیسک به وضعیت کاری نیست . تنها کاری که می تواند انجام شود اسکن و جستجوی بخش هاست . و در این هنگام اگر چیزی پیدا شد ، آن را نشان داده و به کاربر امکان ذخیرۀ دادۀ مهم را به محل دیگر بدهید . سومین بخش نرم افزار مثل Active@UNERASER در اینجا به شما کمک خواهد کرد .
بخش حذف شده است و یا جدول بخش خراب شده است .
اطلاعاتی راجع به نخستین بخش ها و بخش توسعه یافته در جدول بخش وجود دارد . یک ساختار دادۀ 64 بایتی که در همان بخش به عنوان ثبت راه انداز اصلی واقع شده است .
جدول بخش با یک طرح استاندارد مطابقت می کند که از سیستم اجرایی مستقل است . 2 بایت آخر در بخش یک کلمه برای بخش هستند و همیشه 0×55AA هستند .
برای طرح دیسکمان ما جدول زیر را خواهیم داشت :
ما می توانیم سه ورودی موجود دیسک ورودی خالی را مشاهده کنیم :
ـ بخش 1 ، افست 0×01BE (446 )
ـ بخش 2 ، افست 0×01CE ( 462 )
ـ بخش 3 ، افست 0×01DE ( 478 )
ـ بخش 4 ، خالی ، افست0×01E ( 494 )
بیایید موقعیت هایی را در نظر بگیریم که هنگام راه اندازی یا از دست رفتن داده ها ، کامپیوتر متوقف می شود :
1 ـ اگر هیچ بخشی برای محل فعال تنظیم نشده باشد چه اتفاقی می افتد ؟
بیایید شاخص راه انداز را از بخش اول پاک کنیم :
هم اکنون زمانی که قصد راه اندازی سیستم را داریم ، پیغام خطایی چون " سیستم اجرایی یافت نشد " را مشاهده می کنیم . این بدان معنی است که بار کننده نمی تواند تشخیص دهد که کدام بخش سیستم فعال است تا کنترل کند .
2 ـ اگر بخش برای محل فعال تنظیم شده باشد اما هیچ سیستم پرونده ای بر روی آن بخش وجود نداشته باشد چه اتفاقی می افتد ؟ بار کننده از آنجا سعی در راه اندازی دارد ، متوقف شده ، از ابزارهای دیگری چون فلاپی سعی در راه اندازی دوباره دارد و اگر باز هم متوقف شد ، پیغام خطایی چون " دیسک سیستم وجود ندارد یا خطای دیسک " را مشاهده می کنیم .
3 ـ اگر ورودی بخش حذف شده باشد ، در جدول بخش ، 2 بخش زیر به خط بالا انتقال می یابند .
اگر هم اکنون سیستم را راه اندازی کنیم و دومین بخش قبلی ، اولین می شود و بار کننده از آنجا راه اندازی می شود و اگر بخش سیستم وجود ندارد ، دوباره همان پیغام خطا را دریافت می کنیم .
4 ـ اگر ورودی بخش خراب شده باشد چه اتفاقی می افتد ؟
بیایید به محل اولین ورودی بخش صفرها را بنویسیم :
اگر هم اکنون سیستم را راه اندازی کنیم ، بار کننده ( لودر ) صفرها را خوانده و به عنوان پارامترهای بخش تفسیر می کند و ما پیغام خطایی چون " از دست رفتن سیستم اجرایی " را دریافت خواهیم کرد .
بنابراین دومین بخش در بازیافت بخش اجرای مشاهده گر دیسک و اطمینان از وجود بخش در جدول و فعال بودن آن است . چطور نرم افزار بازیافت در متون بالا ذکر شده ، می تواند به شما کمک کند ؟
1 ـ پیشنهاد می شود که بخش را فعال کنید .
2 ـ پیشنهاد می شود که بخش را فعال کنید .
3 ـ اسکن فضای خالی دیسک را اجرا گردد تا بخش راه انداز را جستجو کنید برای باقیماندۀ اطلاعات حذف شدۀ بخش و به منظور ساخت دوباره وردی جدول برای بخش حذف شده .
4 ـ اسکن تمام فضای دیسک را اجرا کرده تا بخش راه انداز و یا باقیمانده اطلاعات معیوب را به منظور ساخت دوباره ورودی جدول برای ورودی بخش معیوب ، جستجو می کند .
چرا بخش راه انداز بخش مهمی است ؟
به این خاطر که اگر نرم افزار بازیافت آن را بیابید ، تمام پارامترهای لازم برای ورودی بخش در جدول بخش ، در آنجا هستند . اگر ورودی بخش حذف شده باشد و سپس با پارامترهای دیگر دوباره ایجاد شده و دوباره فرمت شده باشد چه اتفاقی می افتد ؟
در این حالت ، به جای ورودی بخش اصلی ما یک ورودی جدید خواهیم داشت و همه چیز خوب کار می کنند به جز اینکه بعدها به یاد می آوریم که داده های مهمی بر روی بخش اصلی داشته ایم . اگر شما قبلاً MBR ، جدول بخش و پشتیبان بخش را ایجاد کرده اید ، می توانید به طور مجازی آن را به حالت اول برگردانده و به دنبال داده های خود بگردید ، همچنین بعضی ابزارهای بازیافت پیشرفته توانایی اسکن سطح دیسک را دارند و می توانند اطلاعات بخش حذف شدۀ قبلی را از تکه های اطلاعات باقیمانده دوباره بسازند . با این وجود تضمین نمی شود که شما بتوانید چیزی را بازیافت کنید .
بخش راه انداز خراب شده است .
بخش راه انداز حاوی اطلاعاتی است که سیستم پرونده از آنها برای دستیابی به نسخه استفاده می کند . در کامپیوتر های شخصی ثبت راه انداز اصلی بر روی بخش سیستم ، از بخش راه انداز برای بارگیری فایل های اصلی سیستم اجرایی استفاده می کند . بخش راه انداز اولین بخش پارتیشن است .
نتیجه نهایی در سه بخش فرمت شده است :
ـ 0×0A ـ 0×00 بایت ، دستور برنامه نویسی هستند و 0EMID .
ـ 0×53 ـ 0×0B بلاک پارامتر BIOS و BPB توسعه یافته هستند .
این بلاک حاوی پارامترهای اضافی چون
بایت در هر بخش ( WORD ، افست 0×0B )
بخش در هر گروه ( BYTE ، افست 0×0D )
توصیف گر رسانه ( BYTE ، افست 0×15)
بخش در هر مسیر ( WORD ، افست 0×18 )
تعداد عناوین ( WORD ، افست 0×1A )
بخش های پنهان ( DWORD ، افست 0×1C )
کل بخش ها ( LONGLONG ، افست 0×28 ) و غیره ...
ـ کد باقیمانده ، کد خود راه انداز است و آخر نشان گذار بخش است .
این بخش برروی NTFS بسیار مهم است ، برای مثال ، کپی بخش راه انداز بر روی دیسک واقع شده است .
بخش راه انداز برای FATمتفاوت به نظر می رسد ، با این وجود BPB آن شامل پارامترهایی شبیه مواردی بود که ذکر شد . هیچ کپی اضافی از این بخش در هیچ جایی ذخیره نشده ، بنابراین بازیافت بر روی FAT نسبت به NTFS با موفقیت کمتری روبروست .
اگر بخش راه انداز خراب یا ناخوانا باشد چه اتفاقی می افتد ؟
اگر سیستم را راه اندازی کنیم ، پیغام " خطای دیسک " یا " دیسک سیستم وجود ندارد " را مشاهده می کنیم . پس از اینکه بارگیری آن متوقف شد ، بخش غیر قابل راه اندازی می شود .
به خاطر اینکه یک سیستم اجرایی نرمال برای دستیابی به نسخه ، به بخش راه انداز تکیه می کند ، پیشنهاد می شود که ابزارهای اسکن دیسک مثل Chkdsk را اجرا کنید و در حین حال برای محافظت از ، از دست رفتن داده ها از تمام فایل ها کپی بگیرید .
ابزارهایی چون Active@portition recovery و Active@UNERASER به شما این امکان را می دهند که از بخش راه انداز ، جدول بخش و MBR کپی بگیرید بنابراین اگر بنا به دلایل راه اندازی سیستم متوقف شود شما می توانید اطلاعات بخش خود را ذخیره کرده و به فایل ها و پرونده های دو بخش دسترسی یابید .
اگر این بخش خراب شده باشد چه باید کرد ؟
ـ اگر از کل دیسک و یا بخش های راه انداز MBR / کپی گرفته باشید ، می توانید آنها را دوباره در آنجا ذخیره کنید .
ـ اگر کپی نداشته باشیم ، در NTFS می توانیم کپی بخش راه انداز را قرار دهیم و اطلاعاتی را از آنجا به دست آوریم .
ـ اگر کپی بخش راه انداز پیدا نشد ، تنها امکان بازیافت مجازی وجود دارد .
در این موقع نرم افزار بازیافت چطور به شما کمک می کند ؟
ـ آن می تواند از بخش راه انداز جدول بخش و MBR کپی بگیرید و آنها را به حالت خراب برگرداند .
ـ می تواند کپی بخش راه انداز را پیدا کرده و اصل آن را دوباره ایجاد کند و یا بر اساس پارامترهای یافت شده بازیافت مجازی داده را اجرا کند .
ـ بعضی تکنیک های پیشرفته امکان در دست گرفتن پارامترهای درایو را می دهند ، حتی اگر بخش راه انداز پیدا نشده باشد و به کاربر امکان دسترسی مجازی به داده ها بر روی درایو می دهند تا قادر باشد آنها را به مکان امن تری کپی کند .
گم شدن یا خراب شدن فایل های سیستم
برای راه اندازی درست سیستم اجرایی ، لازم است که فایل های سیستم سالم باشند.
در ویندوز 95 / 98 / ME ، این فایل ها msdos.sys ، config.sys، autoexec.bat ، system.ini ، system.dat ، user.dat و غیره ... هستند .
در ویندوز NT / 2000 و XP این فایل ها NTLDR ، ntdetect.com ، boot.ini واقع در پروندۀ ریشه نسخه قابل راه اندازی هستند و نیز فایل های ثبت .
اگر این فایل ها توسط ویروس حذف یا خراب شده باشند ، ویندوز قادر به راه اندازی نیست . شما پیغام خطای " NTLDR گم شده است " را دریافت خواهید کرد .
بنابراین گام بعدی در فرایند بازیافت کنترل موجود بودن و سلامت فایل های سیستم است .
برای انجام این کار در ویندوز 95 ، 98 ، ME شما می توانید در Command prompt mode آن را راه اندازی کنید و یا از روی فلاپی قابل راه اندازی و فایل های سیستم را در خط دستور کنترل کنید .
برای انجام این کار در ویندوز 95 ، 98 ، ME شما می توانید از نرم افزار سومین بخش بازیافت ، Recovery Console و یا Emergency Repair Process استفاده کنید .
فرایند تعمیر اضطراری (Emergency Repair Process )
برای پیش رفتن با نرم افزار Emergency Repair Process شما احتیاج به دیسک Emergency Repair دارید ، پیشنهادمی شود پس از نصب و تنظیم ویندوز این دیسک را ایجاد کنید . برای ایجاد آن ، از برنامۀ " Backup " استفاده کنید . شما می توانید برای تعمیر بخش راه انداز معیوب ، MBR معیوب ، تعمیر یا جایگزینی در NT خراب و فایل های ntdetect.com از ERD استفاده کنید .
اگر ERD ندارید ، فرایند تعمیر اضطراری می تواند نصب ویندوز شما را تکمیل کند و تعمیر سیستم شما را آغاز کند . برای اجرای فرایند ، از CD یا دیسک قابل راه اندازی سیستم ، راه اندازی کنید و زمانی که سیستم به شما پیشنهاد نصب یا تعمیر را داد ، گزینۀ Repair را انتخاب کرده ، پس برای اجرای فرایند تعمیر اضطراری دکمۀ R را فشار دهید و گزینۀ تعمیر دستی یا سریع را انتخاب کنید . برای بیشتر کاربران تعمیر سریع پیشنهاد می شود .
تعمیر دستی تنها برای مدیران و کاربران حرفه ای پیشنهاد می شود .
اگر فرایند تعمیر اضطراری با موفقیت انجام شد ، کامپیوتر شما به طور خودکار ریست می شود و شما باید یک سیستم فعال داشته باشید .
نرم افزار بازیافت
نرم افزار سومین بخش بازیافت در بیشتر موارد به شما امکان سر و کار داشتن با فایل های سیستم را نمی دهد ، با این وجود شما می توانید برای کنترل وجود و سلامت این فایل ها از آن استفاده کنید .
مفاهیم بازیافت فایل
فرایند بازیافت فایل به منظور پیدا کردن ورودی های حذف شده از پرونده ریشه (FAT) و یا در جدول اصلی (NTFS ) ، به عنوان جستجوی پرونده یا درایو به طور خلاصه توصیف شود .
سیستم های پرونده متفاوت ساختار داده های اصلی خاص خود را حفظ می کنند ، با این وجود اساساً هر فایل سیستم :
ـ لیستی از ورودی های فایل دارد ، بنابراین ما می توانیم از این فهرست تکرار کنیم .
ـ برای هر ورودی فهرست داده ها را حفظ می کند ، بنابراین ما می توانیم مجموعه گروه حروف چینی فایل را پیدا کنیم .
پس از تشخیص ورودی اصلی فایل و جمع کردن مجموعه گروه ها ، حروف چینی فایل ، این گروه ها را خوانده و به محل دیگری کپی کنید .
گام به گام با مثال :
1 ـ دیسک را برای ورودی های حذف شده اسکن کنید .
2 ـ تعریف گروه ها برای ورودی های حذف شده .
3 ـ بازیافت زنجیرۀ گروه ها
با این وجود ، هر فایل حذف شده ای نمی تواند بازیافت شود ، چند فرضیه وجود دارد :
ـ اولاً : ما فرض می کنیم که ورودی فایل هنوز وجود دارد . هر چه فایل کمتری بر روی درایوی که فایل های حذف شده مقیم بودند ، ایجاد شده باشد ، شانس بیشتری وجود دارد که فضای ورودی فایل های حذف شده برای سایر ورودی ها استفاده نشده باشد .
ـ دوماً : ما فرض می کنیم که ورودی فایل برای دلالت کردن به محل صحیح جایی که گروه ها جمع شده اند ، سلامت کمتر یا بیشتری دارد . در بعضی موارد سیستم اجرایی پس از حذف ورودی های فایل را خراب می کند ، بنابراین اولین گروه داده ها غیر معتبر شده و بازگرداندن مجدد ورودی اضافی امکان پذیر نمی باشد .
ـ سوماً : ما فرض می کنیم که گروه های داده سالم هستند ، هر چه عملیات اجرایی کمتری بر روی درایوی که فایلهای حذف شده در آنجا ساکن بودند اجرا شود ، شانس بیشتری است که فضای اشغالی توسط گروه های داده فایل های حذف شده توسط انبار داده های دیگر اشغال نشده باشد .
پیشنهاد کلی بعد از ، از دست دادن داده :
1 ـ در درایوی که حاوی اطلاعات مهم شماست ، چیز دیگری ننویسید زیرا ممکن است به طور اتفاقی آن ها را حذف کنید ! حتی نصب نرم افزار بازیافت داده می تواند داده های مهم شما را از بین ببرد . اگر داده برای شما بسیار مهم است و شما درایو قانونی دیگری برای نصب نرم افزار ندارید ، کل هارد خود را از کامپیوتر خود بیرون آورده و در کامپیوتر دیگری بگذارید که نرم افزار بازیافت قبلاً در آن نصب شده و با از نرم افزاری استفاده کرده که نیاز به نصب نداشته . برای مثال نرم افزار بازیافتنی که از روی فلاپی قابلیت راه اندازی را داراست .
2 ـ سعی نکنید که بر روی همان درایو چیزی را ذخیره کنید زیرا ممکن است که پیدا کنید وبا آن را باز یابید ! زمان ذخیره داده های بازیافت شده به همان درایوی که داده های مهم در آن قرار دارند . ممکن است که در فرایند بازیافت اختلال ایجاد کنید . بهتر است که داده ها به یک شبکه ها یا فلاپی جابجا شدنی و قانونی ذخیره کنید .
اسکن دیسک برای ورودی های حذف شده
اسکن دیسک فرایند بر شمردن تمام ورودی ها در پروندۀ اصلی بر روی FAT12 ، FAT16 ، FAT32 و یا در جدول فایل اصلی ( MFT) بر روی NTFS و یا NTFS5 است . هدف پیدا کردن و نشان دادن ورودی های حذف شده است . بر خلاف ساختار متفاوت ورودی فایل / پرونده برای سیستم های پرونده متفاوت ، تمام آنها حاوی اطلاعات و ویژگی های اصلی فایل مثل نام ، اندازه ، زمان و تاریخ نصب یا اصلاح ویژگی های فایل ، وضعیت حذف یا موجودیت و غیره ... می باشند .
مسلم است که درایوی که شامل جدول فایل اصلی و هر جدول فایل دیگری باشد ، محل ، اندازه و ساختار از پیش تعریف شده ای دارد و ما می توانیم آن را آغاز تا پایان هر ورودی اسکن کنیم که آیا حذف شده است یا نه و سپس اطلاعات تمام ورودی های حذف شده ای که می یابیم نشان دهیم .
ورودی های حذف شده بر حسب سیستم فایل به طور متفاوتی نشانه گذاری شداه اند . برای مثال بر روی FAT هر ورودی ، فایل یا پرونده حذف شده با علامت (0×E5) ASC П 220 نشانه گذاری شده اند که اولین علامت ورودی است . بر روی NTFS ، ورودی حذف شده ، در عنوان فایل ویژگی به خصوصی دارد که نشان می دهد آیا فایل حذف شده یا خیر .
مثال اسکن فایل بر روی FAT16 :
برای این پرونده ، جدول اصلی سه ورودی را دربردارد . یکی از آنها حذف شده است .
اولین ورودی ، پروندۀ موجود My folder است . دومی فایل حذف شده My file . txt است و سومی یک فایل موجود به نام Setuplog.txt است .
اولین علامت ورودی فایل حذف شده ES است ، بنابراین اسکنر دیسک فرض می کند که این ورودی حذف شده است .
مثال اسکن پرونده بر روی NTFS5 (Windows 2000 ) :
ما برای درایومان پارامترهای درونی داریم :
ـ بخش های کلی 610406
ـ اندازه گروه 512 بایت
ـ یک بخش در هر گروه
ـ MFT از افست 0×4000 شروع می شود ، تکه تکه نشده است .
ـ اندازۀ ثبت 1024 MFT بایت
ـ اندازۀ 1968 MFT ثبت
بنابراین ما می توانیم از طریق تمام مدارک 1968 MFT دوباره تکرار کنیم ، از افست قطعی 0×4000 بر روی نسخه شروع به جستجوی ورودی های حذف شده نماییم .
ما به ورودی MFT که دارای افست 0×4000+57←1024=74752=0×12400 است علاقه مندیم زیرا حاوی فایل حذف شده " My presentation.ppt " است .
در زیر شماره 57 ثبت MFT نشان داده شده است :
ثبت MFT ساختار از پیش تعریف شده ای دارد . مجموعه ویژگی هایی دارد که پارامترهای هر فایل یا پرونده ای را تعریف می کند :
ثبت MFT با File Record Header استاندارد شروع می شود :
ـ معرف فایل ( 4 بایت )
ـ مرحله به هنگام سازی یا افست ( 2 بایت )
ـ اندازه مرحله به هنگام سازی ( 2 بایت )
ـ شماره مرحله ثبت فایل (LSN) ( 8 بایت )
ـ شماره مرحله ( 2 بایت )
ـ شمارش مرجع ( 2 بایت )
ـ ترتیب افست به هنگام سازی ( 2 بایت )
ـ ترتیب کدها ( 2 بایت )
ـ سایز واقعی ثبت FILE ( 4 بایت )
ـ سایز تعیین شده ثبت FILE ( 4 بایت )
ـ رجوع فایل به ثبت فایل اصلی ( 8 بایت )
ـ شناسه ویژگی بعدی ( 2 بایت )
در این بلاک مهمترین اطلاعات برای ما وضعیت فایل است : حذف شده است یا در دست استفاده است . اگر ترتیب کدها مجموعۀ 1 بیتی دارند ، بدین معنی است که فایل در دست استفاده است . در مثال ما صفر است . برای مثال : فایل حذف شده است . با شروع از 0×48، ما ویژگی اطلاعات استاندارد ( Standard Information) را در دست داریم :
ـ زمان ایجاد فایل ( 8 بایت )
ـ زمان اصلاح آخر فایل ( 8 بایت )
ـ زمان آخرین اصلاح فایل برای ثبت فایل ( 8 بایت )
ـ زمان دستیابی به فایل برای ثبت فایل ( 8 بایت )
ـ مجوز فایل DOS ( 4 بایت ) 0×20 در حالت ویژگی آرشیو
با به دنبال کردن ویژگی استاندارد ، ما ویژگی نام فایل را خواهیم داشت که به نام DOS تعلق دارد ، نام های کوتاه فایل و باز هم با به دنبال کردن ویژگی استاندارد ، ما ویژگی نام فایل را خواهیم داشت که به نام Win32 تعلق دارد .
نام های بلند فایل :
ـ ارجاع فایل به فهرست اصلی ( 8 بایت )
ـ زمان اصلاح فایل ( 32 بایت )
ـ سایز تعیین شده فایل ( 8 بایت )
ـ سایز واقعی فایل ( 8 بایت )
ـ ترتیب کدها ( 8 بایت )
ـ طول نام فایل ( 1 بایت )
ـ فضای نام فایل ( 1 بایت )
ـ نام فایل ( طول نام فایل ( 2 بایت ))
در این حالت از این بخش ما می توانیم نام فایل را استخراج کنیم ، " My Presentation.ppt " ، زمان ایجاد فایل ، زمان اصلاح و نیز شماره ثبت فهرست اصلی .
با شروع از افست 0×0188 ، ویژگی داده وجود ندارد :
ـ نوع ویژگی ( 4 بایت ) ( برای مثال 0×80 )
ـ طول شامل هیدر ( 4 بایت )
ـ ترتیب داده های غیر ساکن ( 1 بایت )
ـ طول نام ( 1 بایت )
ـ افست به نام ( 2 بایت )
ـ ترتیب کدها ( 2 بایت )
ـ شروع VCN ( 8 بایت )
ـ آخرین VCN ( 8 بایت )
ـ افست اجرای داده ( 2 بایت )
ـ متراکم سازی اندازه بخش ( 2 بایت )
ـ لایه گذاری ( 4 بایت )
ـ اندازۀ تعیین شدۀ خصوصیت ( 8 بایت )
ـ اندازۀ واقعی خصوصیت ( 8 بایت )
ـ اندازۀ مقدار دهی اولیه داده ( 8 بایت )
ـ اجرای داده ...
در این بخش فایل به متراکم سازی اندازۀ واحد ، اندازۀ واقعی و تعیین شده ویژگی هستیم که با اندازۀ فایل ما برابر است. (0×DC00=56320 بایت )
تعریف زنجیرۀ گروه ها برای ورودی حذف شده
برای تعریف رشته گروه ها ، نیاز است که ما درایو را اسکن کرده از تمام گروه های فایل ( NTFS ) و یا گروه های آزاد ( FAT ) که متعلق به فایل است یکی یکی بگذریم تا زمانی که به اندازۀ فایلی برسیم که با اندازۀ کلی گروه های مشخص شده برابر است . اگر فایل تکه تکه شده است ، رشته گروه ها ترکیبی از چندین توسعه است در وضعیت NTFS .
محل این گروه ها ممکن است به سیستم پرونده ها بستگی داشته باشد . برای مثال فایل حذف شده بر روی نسخۀ FAT ، اولین گروه خود را در ورودی اصلی اش دارد ، گروه های دیگر در جدول تعیین فایل یافت می شوند . بر روی نسخه NTFS هر فایل ویژگی DATA دارد که اجرای داده را شرح می دهد . شما می توانید رشته گروه ها را به طور دستی تعریف کنید ، با استفاده از ویرایش گرهای سطح پایین ، با این وجود راحت تر است که از ابزارهای بازیافت داده استفاده کنید .
مثل Active@UNERASER
مثال تعریف رشته گروه ها بر روی FAT16
بیایید یک نمونه از فایلهای حذفی عنوان قبل مثل My File.txt را امتحان می کنیم .
پرونده ای که ما قبلاً آن را اسکن کرده ایم شامل یک ثبت برای این فایل است :
ما می توانیم اندازۀ فایل حذفی را بر اساس ساختار ورودی اصلی محاسبه کنیم . 4 بایت آخر 33 87 01 00 هستند و با تبدیل آنها به مقادیر دهدهی ، ما 112435 بایت را دریافت می کنیم . 2 بایت آخر اولین گروه از فایل حذفی 0300 هستند . با تکرار عملیات اجرایی برای آنها ما عدد 03 را داریم که گروه شروع کنندۀ فایل است .
موارد زیادی وجود دارند که در آن داده های فایل نمی توانند با موفقیت بازیابی شوند زیرا رشتۀ گروه ها نمی تواند تعریف شود . بیشتر این موارد زمانی رخ می دهد که دادۀ دیگری را بر روی همان درایوی می نویسید که فایل های حذف شده در آن واقع شده اند .
مثال رشته گروه های تعریف شده بر روی NTFS
زمان بازیافت بر روی NTFS بخشی از ویژگی داده به نام Data Runsبه محل گروه های فایل را می دهد . در بیشتر موارد ویژگی داده در ثبت MFT ذخیره شده است بنابراین اگر ما ثبت MFT را برای فایل حذفی پیدا کنیم ، احتمالاً قادر خواهیم بود که رشتۀ گروه ها را تشخیص دهیم .
Data Runs نیاز است که رمز گشایی شود . اولین بایت تعداد بایت های واقع در طول اجرا را نشان می دهد و نیز تعداد بایت های اولین افست گروه (0×03 ) پس ما بایتی را بر می داریم (0×6E ) که طول اجرا را نشان می دهد . بعد سه بایت را بر می داریم که افست گروه را شروع می کند (0×EBC404 ) . با تفسیر نظم بایت ها ما اولین گروه فایل 312555 را می گیریم . با شروع از این گروه لازم است که 110 گروه را برداریم . بایت بعدی (0×00 ) به ما می گوید که هیچ دادۀ دیگری وجود ندارد ، فایل ما تکه تکه نشده است . بنابراین ما فقط یک اجرای داده داریم .
بازیافت رشته گروه ها برای ورودی حذف شده
پس از اینکه رشته گروهها تعریف شد ، به طور خودکار یا دستی ، تنها کاری که باید انجام شود خواندن و ذخیره محتویات گروه های تعریف شده به جای دیگر است که محتویات آنها را اصلاح کند.
ما رشته ای از گروهها را داریم : ما می توانیم هر افست گروه را از آغاز درایو با استفاده از فرمول های استاندارد محاسبه کنیم . پس از اینکه ما مقدار داده ها را برابر اندازۀ گروه کپی کردیم ، از افست محاسبه شده به فایل تازه به وجود آمده شروع می کنیم . برای فایل آخر ما تمام گروه را کپی نمی کنیم .
فرمول های محاسبه افست گروه به سیستم پرونده ها بستگی دارند .
برای محاسبه ، به عنوان مثال برای افست گروه برای FAT ، لازم است بدانیم :
ـ اندازۀ بخش راه انداز
ـ تعداد کپی های حمایت شدۀ FAT
ـ اندازۀ یک کپی از FAT
ـ اندازۀ پوشه اصلی
ـ تعداد بخش های موجود در هر گروه
ـ تعداد بایت های موجود در هر بخش
بر روی NTFS ما فضای خطی داریم که می تواند افست گروه را به آسانی تعداد گروه های ضرب شده در اندازۀ گروه محاسبه کنیم . مثال بازیافت رشته گروه بر روی FAT16
بیایید یک نمونه از فایل های حذفی عنوان قبل My File.txt را امتحان می کنیم . هم اکنون ما رشته گروه های 03,04,05,06 را آماده برای بازیافت داریم . گروه ما شامل 64 بخش است . اندازۀ بخش 512 بایت است ، بنابراین اندازۀ گروه 3Kb=64×512=32/768 بایت است . اولین بخش داده 535 است . گروههایی که شماره های 0 و 1 دارند بر روی FAT وجود ندارند ، بنابراین اولین گروه داده 2 است ، گروه شماره 3 بعد از گروه 2 است . که 64 بخش در پشت اولین بخش داده وجود دارد . بخش 535+64=599 برابر با افست 306,668 بایت از آغاز درایو (0×4AE00 ) .
تمام چیزی که لازم است انجام دهیم فقط این است که 112,435 بایت را کپی کنیم . از این مکان شروع می کنیم زیرا رشته گروه ها پی در پی است . اگر این چنین نیست لازم است که افست هر گروه یافت شده را دوباره محاسبه کنیم و با 64×512=32768 بایت ، 3 بار کپی کنیم ، از هر افست گروه شروع کرده و پس از گروه آخر دیماندر باقیمانده را کپی کنیم .
131 و 141 بایت که به عنوان ( 3←32768 ) بایت 1112,435 بایت محاسبه شده است .
مثال بازیافت رشته گروهها بر روی NTFS
در مثال ما ، فقط لازم است که با شروع از گروه 312555 ، 110 را برداریم ، اندازۀ گروه 512 بایت است ، بنابراین افست اولین گروه خواهد بود :
512×31555=16002860=0×09890600
اینجا داده های ماست . چیزی که باید انجام دهیم خواندن از این 110 گروه است پس کپی آنها به محلی دیگر . بازیافت داده هم اکنون کامل شده است .
