Всем привет. Задался тут следующим вопросом.
Где хранится информация в системе FAT16 о цепочке кластеров только что удаленного файла?
Начальный кластер понятно - в записи директории. А последующие?
Вопрос возник вот почему - я отформатировал карточку в Windows.
В ней же записал на нее маленький файл. Просмотрел таблицу FAT в программе WinHEX, в ней разумеется присутствует список кластеров этого файла.
Затем я средствами Windows удалил файл, в записи директории в имени файла прописался символ 0xE5, т.е. в соответствии с документацией на FAT16.
Но при этом в таблице FAT(и первой и второй) записи о цепочке кластеров заменились нулями.
При всем при этом WinHEx продолжает успешно показывать цепочку использованных кластеров и позволяет восстановить данные.
Вот и вопрос - где хранится информация о цепочке использованных кластеров удаленного файла? Спасибо )

при удалении файлов (пока место есть) цепочки не удаляются, а удаляется указатель на начало этой цепочки из конца предыдущей цепочки, поэтому видя цепочку, даже не включённую в список, восстанавливающая программа предполагает, что это файл и восстанавливает его. и если цепочка не битая, не перезаписанная, восстановление пройдёт успешно.

Получается фрагментированный файл нельзя восстановить?

Почему же. В таблице FAT запись в ячейке указывает на номер следующей ячейки а последняя указатель конца цепочки (номер ячейки в FAT Есть номер кластера). и цепочка записей фрагментированого файла в FAT фрагментирована также. Взяв из каталога адрес первого кластера по цепочке записей в FAT получаем весь список.

Так я же говорю, в таблицах FAT после удаления - нули, на тех местах где была записана цепочка кластеров.

Зная исходный кластер цепочку можно восстановить. Для этого просто просто берем нужное количество свободных кластеров, начиная с того места, куда указывает начало.

Чем производилось удаление?. Стандартные средства удаления не стирают данные в FAT.
В вашем случае Востановление удаленного фрагментированного файла возможно специальным софтом, некоторых типов файлов, содержащих контрольные суммы или другие признаки целосности, перебором возможных цепочек.
Кстати если файл маленький не мог он поместится в одном кластере?. Да еще в системе FAT16, таблицы FAT присутствуют в двух экземплярах.

Стирают, разумеется. Попробуйте тем же WinHEX'ом "удалить" файл, прописав 0xE5 в начале имени, и при проверке диска непременно получите lost cluster chain.

winhex это стандартное средство? проводник - вот это даа...

Дело не в том, что мне надо восстановить удаленный файл, я просто решил изучить FAT16 изнутри, и сделать функции работы с файловой системой для себя.
В общем пока вывод такой - при удалении файла, необходимо обнулять цепочки кластеров, иначе после удаления свободное место на карте не соответсвует "правде", остаются как выше было сказано "lost cluster chain".

WinHEX - это не стандартное средство. Я лишь описал, как симулировать "удаление" файла без стирания цепочки кластеров, как стандартные средства не делают.