Восстановление текста из проиндексированного и теперь поврежденного файла RTF с помощью Windows.edb

976
Thor

Мой ноутбук с SSD-диском внезапно отключился, и после повторной загрузки Windows RTF-файл, похоже, был поврежден (несмотря на то, что файл был сохранен на диск просто отлично - файл был открыт в WordPad, но изменился HAD были сохранены - так что я не ожидал этого) - файл RTF теперь представляет собой не что иное, как страницу квадратов.

Это важный файл, поэтому я хочу попробовать восстановить его. Я могу искать уникальный текст, который, как я знаю, находился в файле в меню «Пуск», и он вызывает файл в результатах поиска, даже цитируя фрагменты текста из файла. Поэтому я хочу попытаться извлечь этот текст, который явно имеется в Windows Index, и восстановить его таким образом.

Я отключил службу «Поиск Windows», а затем скопировал всю папку C: \ ProgramData \ Microsoft \ Search \ Data \ Applications \ Windows, включая мой файл Windows.edb 9 ГБ.

Как мне лучше всего найти и извлечь нужный текст из моего файла edb 9 ГБ? Профессиональный судебно-медицинский эксперт упоминает здесь, что он делает это, но не упоминает его метод.

Windows Grep, может быть? Есть ли какой-то синтаксис, который я должен быть осторожен при поиске текста? Есть ли конкретный инструмент?

Также, если есть какой-то другой способ восстановления поврежденного RTF, подобного этому, где текст - это все квадраты, это будет огромной помощью.

Спасибо

0
Насколько важен этот файл? Файл или его фрагменты могут находиться где-то еще на вашем жестком диске. К сожалению, место может быть местом, которое ваша операционная система считает «свободным местом», поэтому ваши шансы на перезапись могут быть весьма вероятными. Если это достаточно важно, создайте изображение экспертизы. (Чем раньше, тем лучше ... одиночная запись в неправильное место на диске может разрушить возможность восстановления.) ПОИСК Windows, вероятно, будет почти таким же полезным, как и grep. (у grep больше возможностей / гибкости, но простой поиск, скорее всего, подойдет и вам.) Может быть, [TestDisk] (http://cgsecurity.org/wiki/TestDisk) TOOGAM 8 лет назад 0

1 ответ на вопрос

0
Dan

Вот документ, который описывает, как это сделать . У автора статьи есть проект Google Code, посвященный инструменту libesedb, который проанализирует этот файл для вас. Woanware также имеет бесплатный инструмент (EseDbViewer) . Если вам нужен коммерческий инструмент, Passware написал инструмент, который делает это тоже. Также доступны дополнительные коммерческие инструменты .

Вы также можете попробовать загрузить файл RTF в шестнадцатеричном редакторе и посмотреть, сможете ли вы увидеть какой-либо текст, читаемый человеком.

Похожие вопросы