Как мы видим, нарушение логической структуры данных — достаточно простой случай. В самом общем виде можно предложить три возможных решения:

- воссоздание таблицы разделов или записей файловой системы по сохранившимся копиям. Не случайно диск обычно содержит дубликаты всех основных логических структур! Это наиболее благоприятный случай — восстанавливается вся древовидная структура дисков, папок и файлов. Разумеется, по возможности стремиться нужно именно к этому. 

При восстановлении разделов можно руководствоваться тем, что первый сектор каждого раздела должен содержать загрузчик файловой системы. За последним сектором этого раздела должен идти первый сектор следующего раздела с его ФС и т. д.; 

- поиск характерных структур файловой системы при посекторном чтении диска, их интерпретация как ссылок и извлечение файлов по этим ссылкам. Здесь также возможно полное или частичное восстановление структуры папок — все зависит от того, насколько были испорчены записи файловой системы;

- сканирование диска для поиска отдельных файлов по сигнатурам и другим фрагментам, характерным для данного типа файлов. Имена при этом не восстанавливаются, структура папок тоже, а извлеченные данные сохраняются как набор файлов с условными номерами. При всех ограничениях такая процедура позволяет извлечь часть информации даже при полной утрате записей о логической структуре. 

Метод отлично срабатывает для небольших и непрерывных (нефрагментированных) файлов. Главная сложность в том, что при фрагментации файла первый его фрагмент находится по сигнатуре, а вот следующие фрагменты того же файла определить обычно не по чему. 

В принципе, по перечисленным схемам данные с диска или из образа можно восстановить и вручную. HEX-редактор в руки, и вперед! Вопрос только в способности анализировать и сопоставлять получаемые сведения, во времени и великом терпении. 

Если для дискет с FAT ручное восстановление вполне реально, то при объеме современных дисков и хитросплетениях записей NTFS почти всегда прибегают к специальным утилитам. Компьютер выполняет анализ и перебор вариантов на порядки быстрее человека. Главное достоинство программ, о которых речь пойдет в следующих главах, — скорость проведения «раскопок» на диске и наглядное представление их результатов.

Большинство программ «автоматического» восстановления данных использует все три названных метода. Такие известные средства, как RStudio или EasyRecovery, прямо предлагают выбрать вариант поиска и восстановления информации. Реконструкция всей иерархии — предпочтительный вариант, и начинать желательно именно с него. Когда же повреждение ФС таково, что не позволяет воссоздать дерево папок, остается прибегнуть к извлечению файлов по их сигнатурам. Основное различие между разными программами этого класса заключается в особенностях алгоритмов, по которым они анализируют содержимое секторов.

На флеш-картах для камер и плееров раздел всегда единственный, а вложенность папок, как правило, минимальная. Поэтому многочисленные специализированные утилиты для работы с такими носителями часто не утруждаются анализом загрузочной записи и файловой системы и сразу применяют третий метод. Тем более, типы файлов, которые можно обнаружить на таких картах, немногочисленны и известны заранее!