Конференция VBStreets

[Don Leno]

Как программно восстановить удаленный с жесткого диска файл?

[Хакер]

Если ты пишешь программу для восстановления удалённых файлов, то подобные вопросы не должны возникать, иначе единственное здравое решение — отказаться от задумки, ибо уровень явно не дотягивает.

Если ты пишешь не программу для восстановления, то она не должна обладать такой потенциально опасной/вредоносной функциональностью, как восстановление удалённых файлов.

[Qwertiy]

Как программно восстановить удаленный с жесткого диска файл?

Если это она должна быть портативной, то никак, насколько я представляю.

PS: Это же именно об удалённом с диска, а не в корзину вопрос, надеюсь.

[Don Leno]

Почему никак, много в инете прог которые могут восстанавливать, а в vb такой реализации нет?
Тогда объясните по какому принципу программы восстановления работают. И да я хотел бы написать такую прогу, чтоб файлы восстанавливать, но не портативность я просто интересовался.

[iGrok]

Для начала, нужно отлично знать внутреннее устройство популярных файловых систем (как минимум FAT, NTFS).
Большая часть существующей "документации" по ним идёт с примерами на си, поэтому нужно также как минимум поверхностное знание си. Опять же, немалая часть информации существует только на английском языке, поэтому без его знания тут тоже будет туговато.

Почитать обо всём этом можно в гугле. Искать придётся много, поэтому как именно найти то, что нужно подсказывать не буду - без умения найти нужную информацию в гугле, опять же, бесполезно даже браться за эту задачу.

Ну а когда будут выполнены все эти требования, у тебя уже не останется вопросов, на которые может ответить кто-то из нас.

Примерно это и имел в виду Хакер в первой части своего ответа.

[Don Leno]

Понял, пошел в гугл...

[Qwertiy]

Почему никак, много в инете прог которые могут восстанавливать

"Никак" было именно про портативную, поскольку нужен прямой доступ к диску, а для него админские права.
По краней мере, мне так кажется.

а в vb такой реализации нет?

Такой реализации ни в одном языке нет - надо писать

Тогда объясните по какому принципу программы восстановления работают.

Вот какое-то описание: http://hetmanrecovery.com/ru/recovery_news/hetman_uneraser_pr2.htm. B вообще, там полно подобных статей. На первый взгляд, выглядит правдоподобно.

[iGrok]

"Никак" было именно про портативную, поскольку нужен прямой доступ к диску, а для него админские права.

А где тут проблема или противоречие, из-за которого возникает этот "никак"?

Вот какое-то описание

Первые же строки отбивают желание читать дальше.

"В отличие от FAT, NTFS – очень удобная для восстановления данных файловая система, позволяющая полностью восстановить все занимаемые удалённым файлом секторы на диске."

Потому что это чушь, либо не описаны граничные условия. FAT, как раз, удобнее. Там при удалении просто имя файла меняется, и восстановить только что удалённый файл можно "в одно движение", с потерей одного символа в имени. С NTFS всё сложнее.

[Qwertiy]

А где тут проблема или противоречие, из-за которого возникает этот "никак"?

Ну, в моё понимание портативной программы входит отсутствие требования админских прав

Потому что это чушь, либо не описаны граничные условия. FAT, как раз, удобнее. Там при удалении просто имя файла меняется, и восстановить только что удалённый файл можно "в одно движение", с потерей одного символа в имени.

Открыл на том же сайте статью про восстановление FAT:

Важно отметить, что записи кластеров в FAT при удалении файла обнуляются; соответственно, при анализе записи мы можем получить информацию о физическом адресе начала файла и об его размере. При этом какая бы то ни было информация об остальных кластерах файла отсутствует.

затем открыл википедию

При удалении файла первый знак имени заменяется специальным кодом E5 и цепочка кластеров файла в таблице размещения обнуляется. Поскольку информация о размере файла (которая располагается в каталоге рядом с именем файла) при этом остаётся нетронутой, в случае, если кластеры файла располагались на диске последовательно и они не были перезаписаны новой информацией, возможно восстановление удалённого файла.

А вот в другом месте написано, что восстановление полностью возможно:

Например, в файловых системах File Allocation Table (FAT) удаление файла означает лишь удаление первого символа в его имени и пометке что файл удалён. Утилитами, присутствующими в самой операционной системе, можно восстановить файл без потерь (кроме первого символа имени).

Сам не знаю. И кто прав в итоге?

[iGrok]

И кто прав в итоге?

Удаление файла — первый символ файловой записи и всех ассоциированных LFN-записей заменяется кодом 0xE5; занимаемые файлом кластеры помечаются в таблице FAT как свободные, а в области данных не затрагиваются.

Информация о размещении при этом не утрачивается, но если в один из кластеров уже успели что-то записать - восстановится чушь. Впрочем, возможно есть какие-то ещё нюансы.

[Don Leno]

Люди спс за подробные ссылка, в особености Qwertiy, я погуглил-прочитал вот вернулся. Пока разбираюсь с NTFS, решил начать именно с нее. Нашел код в котором подробное описание и восстановление, правда на зарубежном портале http://www.codeproject.com/Articles/74128/NTFS-MFT-deleted-files
Появился вопрос, что за такая АПИ CreateFile, ReadFile? Кто нить может дать мне объявление эти Апи.

--------
Описание нашел по АПИ CreateFile - http://vsokovikov.narod.ru/New_MSDN_API/Menage_files/fn_createfile.htm
Вот только кто нить напишите как ее там правильно объявить в VB.

[Хакер]

Появился вопрос, что за такая АПИ CreateFile, ReadFile?

Прочитал, как устроены атомные электростанции. Пока разбираюсь с реактором на тепловых нейтронах, решил начать именно с него. Нашёл в сети техническую документацию на постройку и обслуживание реактора РБМК-1000.

Появился вопрос, что такое клапан? В хозмаге получится купить его?

[Don Leno]

Хакер, прошу помоги!

[Хакер]

Хакер, прошу помоги!

Через пару лет, как наберёшься опыта, об этом можно говорить.

[Don Leno]

Код: Выделить всё

Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, lpSecurityAttributes As SECURITY_ATTRIBUTES, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal hTemplateFile As Long) As Long

Нашел!!
Забыл про стандартный АПИ ВИВЕР

[Don Leno]

Код: Выделить всё

If ret = 0 Then
            ret = WaitForSingleObject(Hnd, INFINITE)
            Select Case ret
                Case WAIT_OBJECT_0
                Case WAIT_TIMEOUT
            End Select
        Else
            Return False
        End If

Хакер, я не могу понять эту часть кода. В этой статье -http://www.codeproject.com/Articles/74128/NTFS-MFT-deleted-files

[Хакер]

Во-первых, пользуйся тегом [code], иначе придётся применять против тебя меры

Правильно ли я объявил функцию?

Во-вторых, нормальные люди не пользуются Ansi-вариантами функций в 2014 году. Ты правда заботишься о совместимости с чистой Win98?
В-третьих, функцию можно объявить кучей различных способов, все из них будут относительно правильными. Конечная правильность зависит от того, что ещё у тебя объявлено (например объявлена ли структура SECURITY_ATTRIBUTES), и как ты собрался пользоваться функцией.

[Don Leno]

А можно поподробней. То есть мне нужно использовать Unicode функцию, по моему - "CreateFileW". Так? А насчет атрибутов я понятия не имею. Гуглюсь пока ниче полезного.

Hnd = CreateFile(Mid(strDrive, 1, 2), GENERIC_READ Or GENERIC_WRITE, FILE_SHARE_READ Or FILE_SHARE_WRITE, _
Nothing, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL Or FILE_FLAG_OVERLAPPED, IntPtr.Zero)
вот пример из статьи - тут нужны еще какие нибудь объявления кроме функции?

Все кажись понял, пошел в гугл...

[Хакер]

То есть мне нужно использовать Unicode функцию, по моему - "CreateFileW". Так?

Если ты собрался открывать файлы, то да. Если том — не обязательно.

[Don Leno]

ТАК я о чем! Ты я ж и спрашиваю именно по тому, а не файлу. Так я могу использовать CreateFileA?

[Don Leno]

Код: Выделить всё

Public Const GENERIC_READ = &H80000000
Public Const GENERIC_WRITE = &H40000000
Public Const FILE_SHARE_READ = &H1
Public Const FILE_SHARE_WRITE = &H2
Public Const OPEN_EXISTING = 3
Public Const FILE_ATTRIBUTE_NORMAL = &H80
Public Const FILE_FLAG_OVERLAPPED = &H40000000

Public Type SECURITY_ATTRIBUTES
        nLength As Long
        lpSecurityDescriptor As Long
        bInheritHandle As Long
End Type

  '  Infinite timeout
Public Declare Function WaitForSingleObject Lib "kernel32" Alias "WaitForSingleObject" (ByVal hHandle As Long, ByVal dwMilliseconds As Long) As Long

Public Const INFINITE = &HFFFF      '  Infinite timeout


Public Declare Function CloseHandle Lib "kernel32" Alias "CloseHandle" (ByVal hObject As Long) As Long

Public Declare Function ReadFile Lib "kernel32" Alias "ReadFile" (ByVal hFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As OVERLAPPED) As Long


Нашел необходимые константы, но не все, только вот этого я не понял - IntPtr.Zero

hTemplateFile
Specifies a handle with GENERIC_READ access to a template file. The template file supplies file attributes and extended attributes for the file being created.
Кажись это по временному файлу что-то. Я могу сюда NULL передать?

И еще вопрос не понял в коде вот эту строчку -

Код: Выделить всё

Dim ret As UInt32

Что это? как объявить то в VB?

[Qwertiy]

только вот этого я не понял - IntPtr.Zero

Надо бы научиться отличать VB.NET от VB6
И вообще, это 0.

Dim ret As UInt32

Туда дже - VB.NET мы VB6.
Почти Long, но с беззнаковостью придётся повозиться, возможно.

[Don Leno]

Qwertiy Мож поможешь с этим делом разобраться?

-----------------------------
Анекдот:
- Маша, давай прошвырнемся в кино?
- ? ? ? ??
- Ну давай хоть в кабак сходим...
- ???? ?? ???
- А-а, понял, кодировка глючит...
)))))

[Don Leno]

Почти Long, но с беззнаковостью придётся повозиться, возможно

А как лонг нельзя просто объявить. ret нужна для приема возрата функции от ReadFile. А она возвращает - Long.

Код: Выделить всё

 
      If ret = 0 Then
            ret = WaitForSingleObject(Hnd, INFINITE)
            Select Case ret
                Case WAIT_OBJECT_0
                Case WAIT_TIMEOUT
            End Select
        Else
            Return False
        End If


Что означают - WAIT_OBJECT_0 и WAIT_TIMEOUT? Они являются константами или нет? Их надо объявлять?

[Qwertiy]

Qwertiy Мож поможешь с этим делом разобраться?

По-моему, Хакер прав. Найди что-нибудь попроще для начала.

А как лонг нельзя просто объявить.

Почему??

Что означают - WAIT_OBJECT_0 и WAIT_TIMEOUT? Они являются константами или нет? Их надо объявлять?

http://msdn.microsoft.com/en-us/library/windows/desktop/ms687032(v=vs.85).aspx
И вообще, приведённый код какой-то сильно странный.

[Don Leno]

Попроще это что? Окошечко с кнопочко выход? Или эт намек свалить с форума. Хочу разобраться. Автор исходника не оставил коментов в нем и никаких объявлений. Вот и пишу вам.

Почему LOng - переменная принимает значение от функций ReadFile и WaitForSingleObject. Соответственно они возвращают Лонговское значение. Так почему нельзя объявить лонг, и что там за "беззнаковостью придётся повозиться"?

Одного не понимаю зачем автор включил туда Select Case если там нет никакого кода?

[Qwertiy]

Или эт намек свалить с форума.

Нет, конечно. Форум для того и нужен, чтобы спрашивать.

Попроще это что?

Объясни, почему ты хочешь именно восстановление файлов сделать, при том, что в winapi не разбираешься, да и в VB тоже не особо.
В чём вообще цель её написания? Хочешь что-то изучить? Что?

Автор исходника не оставил коментов в нем и никаких объявлений.

Вот я смотрю на твой кусок кода. Case'ы ничего не делают. Ладно, предположим, что ты убрал содержимое, чтобы выложить меньше кода. Проверяются 2 значения из 4 теоретически возможных. Странно. Но и это не всё: WaitForSingleObject вызывается с бесконечным временем ожидания, значит он не может вернуть WAIT_TIMEOUT (или я ошибаюсь?), который как раз-таки проверяется. И это если промолчать о том, что синтаксис с Return - это не VB6, да и вообще, писать подобный код с return в else-ветви - это плохой стиль. И это было на 9 строк кода...

[Qwertiy]

Так почему нельзя объявить лонг

Можно. Даже нужно. Это твоё утверждение, что нельзя.

и что там за "беззнаковостью придётся повозиться"?

Я сказал "возможно, придётся".
Хотя, с хендлами обычно никаких операций не производится, так что, наверное, не придётся.

Одного не понимаю зачем автор включил туда Select Case если там нет никакого кода?

Я тоже

[Don Leno]

Добрый человек пасиб те за твое внимание!
Я просто искал исходник по восстановлению удаленного файла. И увидев знакомые строки, я конечно понял что это не родимый барсик 6, потому и обратился к вам для его интерпритации в VB.
Я читал эту статью, автор заявляет что сам написал код потому как таковых в инете не было, и извиняется за корявость некоторых строк кода. Да лан с этим, подправим!

Да верно подметил что плохо разбираюсь в апи. Но хочется понять программу от и до, а не просто копирайтить и использовать код. Не могу использовать код который не понимаю.

На вопрос почему именно это. Я хочу написать прогу для восстановения файлов. Для начала с NTFS томов, потом и FAT и если возможно с GPT разделов.

ТАкже я просто учусь на этих примерах. Например до этого я не знал что такое MFT и что такое Кластеры и Секторы Жесткого Диска, я знал что это какая то единица измерения, но не понимал полностью. Почитав в википедии многое понял и про MFT в том числе.

[Don Leno]

Я тоже

Я рад что я здесь не один такой )))

Я подкорректировал код проверьте на правильность:

Код: Выделить всё

'Функция которая определяет является ли файловая система раздела NTFS
Public Function IsNFTSDrive(ByVal strDrive As String) As Boolean
        Dim Hnd As Long 'Дескриптор
        Dim nRead As Long ' Число считаных байт
        Dim ret As Long ' Для определения что нам возвращает функция ReadFile
        Dim Buffer(1023) As Byte 'Сюда считываем байты с тома

        Hnd = CreateFile(Mid(strDrive, 1, 2), GENERIC_READ Or GENERIC_WRITE, FILE_SHARE_READ Or FILE_SHARE_WRITE, _
        Nothing, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL Or FILE_FLAG_OVERLAPPED,0)

        If (Hnd <> INVALID_HANDLE_VALUE) Then' если дескриптор не возвращает ошибки
             ' Читаем
            ret = ReadFile(Hnd, Buffer, 1024, nRead, New System.Threading.NativeOverlapped)
      if ret<>0 then' Если считывание прошло успешно, проверяем на совпадение байтов и возвращаем True
         if Buffer(3) = 78 And Buffer(4) = 84 And Buffer(5) = 70 And Buffer(6) = 83 then
                   IsNFTSDrive=True
                   else
                   IsNFTSDrive=False
                   end if

      else
          IsNFTSDrive=False 'Иначе возращаем фалсе
      end if

        Else
            IsNFTSDrive=False 'Иначе возращаем фалсе в случае ошибки с дескриптором
        End If
        ret=CloseHandle(Hnd) ' Закрываем дескриптор
    End Function