Windows 10 PC를 사용하고 있는데 하드 디스크 중 하나가 완전히 손상되었습니다(BIOS에서 인식되지 않아 이상한 소리가 나고 사용할 수 없음). 시스템 디스크는 아니었지만 대부분 개인 데이터가 포함되어 있었습니다. 디스크에 무엇이 들어 있었는지 정확히 기억이 나지 않습니다. 그게 문제입니다. 손실을 평가하기 위해(그리고 하드 디스크에 대한 추가 데이터 복구 절차가 그만한 가치가 있는지 평가하기 위해) 디스크에 무엇이 있었는지에 대한 가능한 모든 단서를 얻고 싶습니다(파일 이름, 폴더 이름이면 충분함).
나는 모든 파일 인덱싱 기능을 갖춘 Windows 검색이 디스크 어딘가에 저장된 내용에 대한 일부 정보를 갖고 있을 수 있으며 그 정보가 부분적일지라도 어떻게든 검색할 수 있을 것이라고 생각했습니다.
Windows 검색 데이터베이스에 액세스하여 손실된 드라이브에서 경로가 포함된 파일 목록을 검색할 수 있습니까? 그렇다면 방법은 무엇입니까?
이 질문은 손상된 하드 디스크의 데이터 복구에 관한 것이 아니라 하드 드라이브에 있었지만 현재는 없는 파일에 대해 Windows가 보관하는 정보에 관한 것입니다. Windows 파일 검색 색인은 그러한 정보를 저장할 수 있는 잠재적인 장소처럼 보입니다.
답변1
님의 댓글의 도움으로DrMoishe PippikWindows 검색 데이터베이스에 접근하는데 성공했습니다.
검색 콘텐츠는 기본적으로 다음 위치에 저장됩니다.
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb
꽤 큰 파일(내 경우에는 1GB)이고 Windows 검색에서 사용 중이기 때문에 일반적으로 다른 곳에 복사할 수 없습니다. 작업 관리자를 열고 "Microsoft Windows Search Indexer"를 검색한 후 "Windows 검색" 프로세스를 종료하면 됩니다. 그런 다음 Windows.edb 파일을 안전한 곳에 복사합니다.
검색 데이터베이스의 파일 형식에 대한 정보는 예를 들어 이 문서에 나와 있습니다.하워드 치버스, 누가 사용하는가?wdsCarve다운로드할 수 없는 것 같은 소프트웨어입니다. 도 있습니다이것그리고이 기사요아킴 메츠. 요아킴 메츠(Joachim Metz)도 이 사건의 주요 기여자인 것 같습니다.libesedbGithub에는 Windows용 바이너리 릴리스가 없으며 실험적이라고 표시되어 있습니다.
간단히 말해서, Windows 검색 데이터베이스는 추가 난독화 및 압축 부분이 포함된 문서화되지 않은 Windows 독점 파일 형식인 ESE(Extensible Storage Engine) 데이터베이스 파일(EDB) 형식을 기반으로 하는 것으로 보입니다.
마침내 나는 프로젝트를 찾았습니다.김정현2018년부터WinSearchDB분석기, 와 함께출처(추가 종속성윈폼) Github에서. 블로그에 따르면 무료(사용 가능)이며 Windows용 바이너리가 있으며 추가로 Microsoft의 Visual Studio Community 에디션을 사용하면 프로그램을 직접 쉽게 구축할 수 있습니다.
사용법은 간단합니다. Windows.edb 파일 위치를 선택한 다음 검색할 항목에 대한 일부 플래그를 확인할 수 있습니다. 그런 다음 시간이 좀 걸리고(~5분) 테이블에 약 100,000개의 항목이 표시되었습니다. 파일 위치별로 정렬하는 것은 간단하며 각 파일에 대한 메타 데이터가 표시됩니다.
그러나 원래 의도로 돌아가서, Windows 검색 데이터베이스에 여전히 존재하는 분실된 하드 드라이브의 파일 수는 실망스러울 정도로 적었습니다. 해당 하드 드라이브에 있는 수십만 개의 파일 중에서 최대. 1/10 이하로(사실 아직도 기억나는 것들) 많이 담겨있어서 결국 생각보다 별로 도움이 안 됐어요. 그럼에도 불구하고 이는 더 이상 존재하지 않고 액세스할 수 없는 하드 드라이브의 콘텐츠에 대한 최소한 일부 메타 정보에 액세스할 수 있는 실행 가능한 방법입니다.
답변2
이 답변은 자신의 질문에 대한 Trilarion의 답변과 관련이 있습니다.
Moishe Pippik 박사가 링크한 흥미로운 문서에는 색인 작성 범위가 설명되어 있습니다. 이는 파일 색인화 비율이 낮은 이유를 설명할 수 있습니다.
또한 임의의 콘텐츠가 포함된 파일을 인덱서에 제공하면 어떤 일이 발생하는지 테스트할 수도 있습니다. 이 파일이 데이터베이스에 표시됩니까, 표시되지 않습니까?
알 수 없는 파일 형식은 인덱서에서 읽을 수 없습니다. 내가 아는 한, 이전 Windows 버전에서는 인덱서가 생성된 파일 형식을 읽을 수 있도록 하는 컴파일된 코드를 제공하여 인덱서를 확장할 수 있었습니다.
기술적으로 색인화할 수 없는 파일은 색인에 표시되지 않을 수도 있습니다.
답변3
첫 번째는 매우 정확하고 세부적이어야 한다는 것입니다. "전혀 접근할 수 없는 것처럼"이라고 말씀하셨습니다. 그게 정규 영어 문법인가요? 다음으로 "전혀 액세스할 수 없음"은 정확하지 않습니다. 많은 사람들은 드라이브 문자가 여전히 존재하고 콘텐츠가 원시로 표시되면 드라이브에 "전혀 액세스할 수 없다"고 말합니다.
내 정의는 드라이브의 전원이 아무런 이상 없이 켜지지만 컴퓨터가 드라이브에 대해 실행한 읽기 시도가 실패하는 경우 "전혀 액세스할 수 없음"으로 간주되어야 한다는 것입니다.
이는 같은 표현을 완전히 다른 방식으로 이해한 것입니다.
당신이 할 수 있는 첫 번째 일은 매우 간단합니다. 바람직하게는 Linux 시스템을 사용하여 드라이브를 연결하고 lsblk 명령을 사용하여 드라이브의 존재 여부를 확인합니다. 그런 다음 smartmontools를 사용하여 로그 파일을 생성하고 분석합니다. 다음은 로그 파일 내용이 반대하지 않는 경우 ddrescue 및 해당 로그 파일 기능을 사용하여 드라이브를 복제해 보는 것입니다. 그러면 정상적인 드라이브에 거의 완전한 복제본이 제공되고 복사되지 않은 누락된 영역 목록이 제공됩니다.
편집증이 있는 사람은 신속하게 복사본을 복제하고 두 번째 복사본을 작업하게 됩니다. 예산에 따라 두 번째 복사본에 대해 다양한 복구 제품을 실행하게 됩니다. Photorec과 같은 무료 오픈 소스 지문 채취 전문 프로그램은 디렉터리 및 파일 구조와 같은 메타데이터 없이 결과를 생성하지만 Photorec의 사용 가능한 출력을 통해 저장한 내용을 기억할 수 있습니다.
이 분석은 두 번째 복사본을 사용하여 Windows 시스템에서도 해를 끼치지 않고 수행할 수 있습니다. 수집된 정보가 충분하지 않으면 작업이 시작됩니다.
먼저 이전 Intel/MBR과 같이 가장 많이 사용되는 파티션 구성표가 어떻게 작동하는지 배우고 GPT도 배워야 합니다. 무료 오픈 소스 소프트웨어인 Testdisk는 여러분을 지원하는 훌륭한 도구입니다.
드라이브를 포맷할 때 사용된 파일 시스템을 알면 NTFS와 같은 문제의 파일 시스템 형식을 배워야 합니다. NTFS는 시작하기가 약간 어렵기 때문에 FAT 파일 시스템으로 연습하는 것이 좋습니다. 익숙해지면 FAT 파일 시스템의 일부 또는 전체 FAT(파일 할당 테이블)를 덮어써서 시도해 볼 수 있습니다. 그러면 그 유적을 검색하려면 약간의 프로그래밍이 필요할 것입니다. 그런 다음 조각 모음이 성공에 어떤 영향을 미치는지 배워야 합니다.
간단한 파일 시스템 구현을 이해한 후에는 (아마도) NTFS를 사용하게 될 것입니다. 복구 프로그램에 대한 유일한 장점은 드라이브 콘텐츠의 남은 메모리를 유리하게 사용할 수 있다는 것입니다.
성공할 수는 있지만 보장할 수는 없습니다.
2001년에 나는 여전히 FAT 파일 시스템을 사용하고 있는 실패한 XP 시스템 드라이브를 조사했습니다. 내가 복구한 유일한 것(전혀 중요함)은 이미 발송된 초대장과 함께 그의 결혼에 대한 초대장 목록(xls -파일)이었습니다. 파일을 자동으로 재구성할 수 있는 방법이 없었습니다. 다음의 다른 클러스터를 살펴봐야 했습니다. xls 파일이라 압축되지 않았습니다. 나는 단순히 파일의 두 번째 클러스터를 보았지만 선형 방식으로 다음 클러스터가 아니었습니다. 오늘날 저는 Excel xlsx 유형 파일에 사용되는 압축에 관한 작업을 결코 성공하지 못했을 것입니다.