» Восстановление информации с Flash - накопителей

temp9285

Цитата:

И это лишнее подтверждение того как могут ошибаться "идолы".

Под "идолы" подразумеваются разработчики WinHex? Да, действительно если значение первого кластера файла таково, что для описания его в hex требуется больше чем два байта, то вследствии зануления виндой старшего слова первого кластера, значение его в WinHex будет чёрт знает какое. Однако в DMDE мы видим то же значение (1300), а она умеет восстанавливать удалённые в винде файлы корректно. И кстати неизвестно, зануляет ли мини ОС даного конкретного регистратора старшее слово первого кластера файла при его удалении. То что любая винда начиная с XP это делает, то да. А вот мой фотик например этого не делает, как и ещё пара фотиков моих хороших знакомых (специально проверял ради интереса). Так что может быть от файла что то и осталось. А вот это уже ICQman2GO должен проверить на практике, а то мы всё о теории да о теории. Непонятно вообще, что он так тянет и чего ждёт? Я когда ещё предлогал приклеить заголовок от исправного файла к участку где лежал нужный файл (предположительно одним фрагментом) и посмотреть что же будет воспроизводится. Правда там ещё есть пара нюансов (не все плэйеры будут играть такой файл), но можно сконвертировать avi в avi и тогда уже точно что то воспроизведётся даже в Windows Media Player.

Alex_Green


Цитата:

То что любая винда начиная с XP это делает, то да.

XP какой то у вас "левый".)

Более 10 лет воcстанавливаем FAT32.
Ни кто ни разу с таким не сталкивался ( удалением старшей части адреса кластера), включая разработчиков DE.

Alex_Green

Цитата:

Под "идолы" подразумеваются разработчики WinHex?

Подозреваю что огромного количества программ, связанных с восстановлением и работой со структурами FAT. И в качестве аргумента - отображается то, что написано в хексах и исходя из того что байт не обнуляется (в толмудах то так пишут).


Цитата:

Однако в DMDE мы видим то же значение (1300), а она умеет восстанавливать удалённые в винде файлы корректно.

Опять же - она интерпретирует описанное выше. А что, что находит -это уже ноу-хау и не всегда сработает.
Кстати, если бы заглянут (знаешь куда), то узнал бы разности.

tomset

Цитата:

XP какой то у вас "левый".)

А может не у нас?
Это проверено не на одной системе, в том числе и на 7-ках.
Если того потребует истина, могу приватно предоставить (*) оригинал дистрибутива, установив с которого систему можете убедиться в реальности обсуждаемого.
(*) В целях защиты от злопыхателей-копирастов, оформим это как продажу чтобы не нарушать ЛС.

temp9285
Вот как вы думаете?
Более 15 лет, АСЯ пишет DE.
Они не сталкивались.
Я тоже ни разу не сталкивался с таким. Почти десять лет занимаюсь исключительно восстановлением данных.
Ни один из нескольких тысяч пользователей DE, ни разу не поднял эту тему на закрытом форуме.
А у вас это есть.
К чему бы это? )

tomset
О да, это мировой заговор.
Только вот это относительно давно Alex_Green обсуждал с автором одной программы. И на тот момент я не понимал о чём они пишут.
И лишь проводя эксперимент по поводу здешнего случая (*), получилось что сложилось такое, что и стало отправной точкой к пониманию всего этого.
(*) Эксперимент проводился с целью понять что в реальности отображает винхекс, потому что понимал, что написанное залётным интригантом как бы не укладывается.

PS. Мля, вот меня всегда добивают "аргументы" типа "Я 100500 раз бился об стенку (пил яд) - и нормально". Но одно дело когда это пишут чайники, совсем другое - профи. Я предоставил дампы, которые позволяют банально развернуть их на флэшку и проверить на куче систем. Предложил дистриб, могу образ виртуалки. Что ещё надо? Приехать, разжевать и проглотить тем, кто по роду деятельности должен был бы сам заинтересоваться в таких казузах? Куда катится мир (проффи)?

Сейчас другие проблемы.
Хитро-попый диск c SED, который уже на уши поставил.
Мало того, что головки хрен подберешь.
Так он еще в зависимости от совместимости головок и ошибок.
То отдает данные не шифруя, то шифруя.
И попробуй целый образ собери. )

Будет время и FAT32 под рукой, обязательно проверю этот момент.

tomset
Нет времени и т.п. - это понятно.
Кстати, в другой теме, речь шла о неподдержке 4к секторов ОСями.
Так вот, для шибко занятых - начиная с восьмёрки, винда нативно работает с таковыми в качестве системных. Да и DMDE c таковыми разметками знаком (что там же видно на скриншотах).
Вот мне и непонятно - нет времени, так зачем его тратить на галиматью и попытку обвинения во вранье?

Где обвинения?
Просто ситуация с удаленными записями странная.
несколько человек видели, а тысячи людей нет.
Может это только на флешках происходит.
А я с ними практически не работаю.
Имею ввиду логические случаи.
Flash комплекс совсем на другом уровне работает с флешками, с дампами микросхем.
И там в привычном, нормальном виде данные не хранятся.
Нужно десятки преобразований сделать и собрать трансляцию, пока более-менее нормальный образ получится.
Так как флешки при отказе теряют часть информации практически всегда, то полный нормальный образ практически ни когда и не собирается, так что искать на нем удаленные файлы, как правило и смысла нет.
Там уже физически LBA удаленных файлов выпадают из трансляции. И собрать их в каком-то разумном порядке нет возможности

tomset
Я всякие эксперименты, моделирование ситуаций и т.п. провожу в виртуалках.
И предвидя возможное "обвинение" (бывали и такие) что это не реальное железо (*) - когда ситуации реально нетривиальные и есть необходимое аппаратное обеспечение, то провожу и в реалии.
(*) Хотя уже давно не экзотика реальная работа в виртуалках.

А про флэшку написал просто. Тем более что это более простой способ проверки ситуации на различных системах. По крайней мере в сравнении с развёртыванием кучи виртуалок.

Для моих задач, виртуалки не катят, нужно работать с реальными физическими устройствами, а VM не могут их с системой нормально поделить, мешают друг другу.

tomset
Ёлы палы - так я и не предлагаю виртуалку.
А если клиент принесёт на восстановление комп, в котором крутится система на виртуалке - ему будет выдан волшебный пендаль?

tomset

Цитата:

А что лежит в 32768 LBA и далее

Цитата:

А если клиент принесёт на восстановление комп, в котором крутится система на виртуалке - ему будет выдан волшебный пендаль?

Я компы целиком не принимаю в работу уже давно, только диски.
DE поддерживает работу со структурами дисков практически всех известных виртуальных машин.

ICQman2GO
Второй фрагмент заканчивается в 17:41. Есть фрагменты далее и есть ли на них первый канал?
Если бы был винт, то можно было бы предположить влияние физического воздействия, но речь идёт о флэшке. tomset что то писал про другую организацию данных на фэшках, но думаю что здесь это не причём - ну не может же существующая ФС самомодифицироваться.
Поэтому просто размышления (особенно в свете неизвестности что за регистратор и как он работает).
Если первого канала нет и дальше, то можно предположить физическое повреждение этого канала.
Второй появляется позже, но заметно какое то движение в районе обьектива. Может в этот момент что то сделали с регистратором и канал заработал (гипотетически, был неконтакт - появился).
Что касается отсутствующего участка. У некоторых видеорегистраторов (для авто) есть датчик удара, при сработке которого запись "блокируется" от перезаписи новых. Также не исключён вариант что в этот фрагмент записывается и несколько секунд до удара - этим можно обьяснить что первый фрагмент заканчивается не прям перед аварией а чуть раньше. Может этот "крашевый" момент сохраняется как то специфично? В скрытой зоне или ещё как то? Или имеет другое имя? А может и не записался по какой то причине - глюк прошивки. В общем то, вариантов много, но мне думается что именно в этом обьяснение, а не в логических ошибках ФС. Впрочем, провести проверку ФС (естественно копии) тем же чекдиском тоже не будет лишним. И да, в DMDE не только просто открыть том, а ещё и сделать поиск FAT и посмотреть результаты его.
PS. Я не рассматриваю вариант целенаправленной порчи данных после аварии кем то заинтересованным.

Добавлено:
tomset
А если мыслить не прямолинейно? Не воспринимая добуквенно?
Просто читая ваши сообщения создаётся впечатление что всё что не укладывается в ваши задачи - отвергается (в любых инвариациях).

temp9285

Цитата:

особенно в свете неизвестности что за регистратор и как он работает

Судя по содержимому видео-контейнера, то что-то типа такого. С геолокацией и контролем скоростного режима. Формат видео H264.

Цитата:

Просто читая ваши сообщения создаётся впечатление что всё что не укладывается в ваши задачи - отвергается (в любых инвариациях).

Я наигрался за более чем 40 лет со всякой компьютерной фигней выше крыши.
В целом у меня совершенно другая школа. Практик, а не теоретик.
И решаю всегда конкретные проблемы.
А не растекаюсь мыслью по древу.
А искать файлы в мусоре на диске, после горе экспериментаторов, удаленно рассматривая отдельные сектора, а не весь образ, считаю пустой тратой времени.

Вот ответе на конкретный вопрос:
SAS диск с форматом сектора 520, чем можно переформатировать, перевести на сектор в 512.

BOBAH4IK
temp9285


Цитата:

особенно в свете неизвестности что за регистратор и как он работает

Судя по содержимому видео-контейнера, то что-то типа такого. С геолокацией и контролем скоростного режима. Формат видео H264.

Удалось узнать. Шарманка вот такая

temp9285

Цитата:

Может этот "крашевый" момент сохраняется как то специфично? В скрытой зоне или ещё как то?

Меня терзает мысль, что незаписанные на карту данные сначала формируются/подготавливаются в определенном обьеме (30Мб), а потом готовый фрагмент заливаются на флешку. Тогда было бы понятно, почему нет файла/видео в отрезке 17:35:08 (окончание предыдущего фрагмента) и 17:36:28 (начало последующего). На такой же по параметрам флешке SDXC 64Gb Class10 есть неразмеченная область 16Мб. Может она выступает в роли кеша при формировании фрагмента и следует искать в этой области?


Цитата:

Впрочем, провести проверку ФС (естественно копии) тем же чекдиском тоже не будет лишним. И да, в DMDE не только просто открыть том, а ещё и сделать поиск FAT и посмотреть результаты его.

Работаю с посекторной копией, правда она занимает почти 58Гб.
fatscan.log


Цитата:

Второй фрагмент заканчивается в 17:41. Есть фрагменты далее и есть ли на них первый канал?

Фрагменты есть


Цитата:

Если первого канала нет и дальше, то можно предположить физическое повреждение этого канала.
Второй появляется позже, но заметно какое то движение в районе обьектива. Может в этот момент что то сделали с регистратором и канал заработал (гипотетически, был неконтакт - появился).

Просмотрел все последующие фрагменты - первого канала нет, а второй то шумит, то появляется.

Цитата:

PS. Я не рассматриваю вариант целенаправленной порчи данных после аварии кем то заинтересованным.

Слишком сложно так избирательно попортить. Тем более, что флешка у заинтересованной в наличии видео стороны.


.

tomset

Цитата:

Просто ситуация с удаленными записями странная.
несколько человек видели, а тысячи людей нет.

Может быть спецам мало несут кейсов именно с удалёнными файлами?


Цитата:

XP какой то у вас "левый"

Да нет, вроде оригинальный. Да и потом происходит то это не только у меня.


Цитата:

Может это только на флешках происходит

Может быть. Тут ничего не могу сказать, поскольку винты отформатированные в FAT32 мне очень и очень давно не попадались. Будет время, отформатирую какой-нибудь хард в FAT32 и проверю.

ICQman2GO


Цитата:

Просмотрел все последующие фрагменты - первого канала нет, а второй то шумит, то появляется.

Похоже больше на физическое повреждение каналов, как уже заметил temp9285. Могу лишь предположить ещё неисправность sd карты (менее вероятно конечно, но может быть). Можно также проверить карту в режиме чтения на наличие (отсутствие) бэдблоков, в том же Hddscan.

ICQman2GO
На флэшке и транслятор может элементарно разъехаться.
Так как лепят их как пирожки, разных модификаций практически не отлаживая микропрограммы. То она этого и не заметит.
Собственно для проверки предположения о расхождении транслятора
в черновом поиске делается поиск всех известных структур, проверяется их порядок, максимальная проверенная длина известных файлов.
Не просто список файлов как это реализовано практически во всех программах восстановления, а именно список всех метаданных с расшифровкой в удобочитаемый вид и известных файлов, длину которых можно проверить по их заголовкам.
И если есть признаки нарушения трансляции:
Микросхемы вычитываются флэш ридером и собирается траслятор в ручную флэш комплексом.

Но эти все фишки в комплексе PC3000 реализованы.
Или от софт-центра (не пользуюсь)
Free программами сомневаюсь, что легко подобный порядок действий сделать.
По сути, надо бросить все и писать комплекс с нуля не один год. )

ICQman2GO

Цитата:

Меня терзает мысль, что незаписанные на карту данные сначала формируются/подготавливаются в определенном обьеме (30Мб), а потом готовый фрагмент заливаются на флешку. Тогда было бы понятно, почему нет файла/видео в отрезке 17:35:08

Что то я не заметил что только 30 мегов (но это та - к слову).
Если и есть кэширования, то:
- если в памяти, то это глупо, т.к. в случае сбоя (с напругой, в системе и т.п.) данные теряются
- если на физическом устройстве, то как обьяснить что "исчез" именно критичный момент а последующие есть? Ведь по логике он должен был сбросится, перед тем как начались кэшироваться последующие.
По описанию устройства я не понял есть ли фукционал, о котором я писал раньше, но если есть то как раз таки могу предположить что фрагмент при сработке датчика удара помещается или в тот же скрытый раздел или всё таки на рабочем томе, но в специфическом формате - с использованием специфичных функций ФС, которая по описанию как бы не FAT32 а совместимая.
Кстати, у меня как то [more=был случай]В одной организации произошёл инцидент и нужна была запись такового. При просмотре архива средствами регистратора не могли найти этот фрагмент Были моменты до, после, моменты в то же время но на другой камере. Владельцы были в шоке от того что "зачем же тогда ставили, если он так подвёл?" В процессе "ковыряний" вышел на процедуру экспорта записи и в ней заметил фрагмент, соответствующий времени события. Выгнал на флэшку и на компе просмотрели - как раз нужное. Насколько понял, при просмотре архива в режиме четырёх камер, по какой то причине этот фрагмент пропускался.
Вот такие вот бывают "потери". [/more] в котором фигурировал обычный регистратор. И в свете его мне думается что нужно попробовать Программное обеспечение для просмотра и хранения записанных на жесткий диск регистратора данных, и вообще рыть в направлении самого регистратора а не той же проблеме трансляции, при которой почему то исчез лишь аварийный фрагмент.

Цитата:

Просмотрел все последующие фрагменты - первого канала нет, а второй то шумит, то появляется.

Лишнее подтверждение физических проблем причём, учитывая что регистратор такой конструкции, то скорей не с ним, а с камерами - по логике они стояли в районе лобовухи; как раз тм где был удар. А на первом канле мог быть банальный обрыв провода.

temp9285

Цитата:

Что то я не заметил что только 30 мегов (но это та - к слову).

Насчет 30Мб я погорячился. Файлы разной величины, но инструкция гласит о том, что длительность файла по умолчанию - 5 мин.



Цитата:

ФС, которая по описанию как бы не FAT32 а совместимая.

Судя по инструкции - обычная FAT32.



Цитата:

нужно попробовать Программное обеспечение для просмотра и хранения записанных на жесткий диск регистратора данных

Нашел эту чудо-программу PC Playback Software здесь.


Цитата:

Если и есть кэширования, то:
- если в памяти, то это глупо, т.к. в случае сбоя (с напругой, в системе и т.п.) данные теряются
- если на физическом устройстве, то как обьяснить что "исчез" именно критичный момент а последующие есть? Ведь по логике он должен был сбросится, перед тем как начались кэшироваться последующие.

Цитата:

могу предположить что фрагмент при сработке датчика удара помещается или в тот же скрытый раздел или всё таки на рабочем томе, но в специфическом формате

Вы практически попали в яблочко. Подтверждение в этой статье.
Позволю себе процитировать автора статьи:
"Корень проблемы заключается в том, что автомобильный регистратор работает по принципу предварительного кэширования видепотока в ОЗУ, промежуточного кеширования на флешку и окончательной записи с формированием заголовка файла, имени и т.п. на флешку же, по достижении заполнения файла-контейнера заданного объема."
Ситуация, кстати, очень похожая, только регистратор попроще.

Я полагаю, осталось проанализировать в hex-редакторе данные, следующие за последним сохранившимся видео до аварии. Подскажите как с помощью навигации в hex-редакторе найти окончание файла 1_20151215-173212_0002p4.avi и посмотореть что находится после него.

ICQman2GO

Цитата:

промежуточного кеширования на флешку и окончательной записи с формированием заголовка файла, имени и т.п. на флешку же, по достижении заполнения файла-контейнера заданного объема

Ну так почему он не сбросил аварийный фрагмент? Ладно если бы не писал бы дальше ничего, но ведь писал. Поэтому я всё таки всё таки пну в направлении заблокированной записи (при сработке датчика удара) и выход на техподдержку производителя..


Цитата:

Я полагаю, осталось проанализировать в hex-редакторе данные, следующие за последним сохранившимся видео до аварии.

А есть уверенность что запись идёт последовательно?
Если да, то могу предложить в DMDE посмотреть карту кластеров и увидеть где заканчивается предаварийный случай, а заодно где начинается первый после аварии; да и вообще какова последовательность записей.


Добавлено:
Почитал статью. Пппц.... Нет слов... Это типа телохранителя, который в самый нужный момент тобою да прикроется.

Нужна помощь...

У меня есть рабочая мультизагрузочная флешка с образоми систем со всеми утилитками, прогами и т.п....
Она перестала загружатся при загрузки пишет Bootmgr is mising и все.
флеха определяется и гуд..а вот образ не загружается.
помогите!!!

Народ, помогите! После записи рекодером Zoom H1 не могу открыть mp3 файлы на флешь карте, пишет: "Указанный файл не существует. Исправьте его и повторите попытку." При попытки перенести или переименовать файл "Указано неправильное или слишком длинное имя файла. Задайте другое имя"

Имя файлов - крякозябры. Некоторые файлы записались без проблем. Вирусов на компе нет. Та же самое на других ПК
Что делать? Как спасти файлы?