» Восстановление разделов и информации на HDD (часть 4)

escombros

Цитата:

А я правильный диск HDDScan-ом проверил?

Не знаю (мне-то это неоткуда узнать).


Цитата:

Может пока не надо?

Это только чтение (исправляет Чекдиск во время загрузки Винды, или если в командной строке скажете /f).


Цитата:

настройки стандартные оставить или что-то лучше поменять?

Можно стандартные.

milce101

Цитата:

На другой нотке та же ситуация в DMDE доходит 3% и засыпает

Тогда увы. Мой MediaWorkshop сканирует и восстанавливает, и Freeware, но не собирает фрагменты MFT. Про другие проги и говорить нечего: кроме DMDE, они все "для пользователя", поэтому нужной нам инфы не выводят. Так что R-Studio... Фрагменты MFT она, конечно, не найдет, зато восстановит хотя бы на другой винт.
Можно, конечно, ради интереса посканить в MediaWorkshop на предмет NTFS и посмотреть номер сектора первой найденной записи, потом начиная с этого сектора можно будет снять дамп...

Antech
Поделитесь идеей -как вы делаете бэкапы. Можно, конечно, все подряд просто копировать. Но может есть какие хитрости, интересные находки в этом плане...Важную инфу можно заархивировать, но вот, к примеру, музыку -мне было бы достаточно скопировать структуру папок. Потом все равно где-нибудь скачать можно, главное вспомнить что. Можно ли как-то копировать информацию о файлах (лучше подробную, но иногда и это неважно) без самих файлов, т.е. чтобы место не занимали

У меня 1 из дисков после какого-то сбоя -то ли свет гас, я не помню -загрузился с чекдиском. И я обнаружил там папку FOUND.000, там всего 1 файл FILE0000.CHK размера 16384 . Такое уже бывало и на других хардах, раньше. Это что за файл -стандарт такой что ли(размер именно такой на других бывал)? Что вообще это означает(нет ли сбоя где в файлах), что с ним делать...Или не обращать внимания -винда себя пролечила, файл можно стереть и забыть..?

Antech
Сканирование в R-Studio еще идет ~75%.
Вот скрины http://slil.ru/27942165

Цитата:

chkdsk.exe БукваРаздела: ?

Как узнать эту букву, если диск не распределен, может так chkdsk.exe 1:? Скрин Управления дисками приложил к архиву. Какие дальше мои действия?

Цитата:

trtrtr
Второй дамп 1 сектор вместо 100, да и narod.ru... Но это уже не важно. У Вас действительно начало MFT накрыто. Глючно поднят третий бит в каждом втором байте (глючные восьмерки). Как ни прискорбно, MFT была фрагментирована, но фрагентов только два. Размеры фрагментов вроде удалось кое-как определить. Непонятка со смещением второго фрагмента: есть 2 бита, значение которых точно неизвестно (соответственно, 4 варианта). В связи с этим нужно 2 дампа: 50 секторов, начиная с 176456605 и 176472989 (остальные 2 варианта - за пределами 250 ГБ, около 640 ГБ). Это координаты на 10 секторов раньше предполагаемых начал второго фрагмента (чтобы было видно границу начала фрагмента, если повезет). Кроме того, нужен нормальный дамп 100 (а не 1) секторов, начиная с 6291519 (надо посмотреть, насколько много испорчено, пока что я видел только $MFT).
Также Вы можете записать этот патч начала MFT. Это один из двух возможных вариантов смещения второго фрагмента (где оба неизвестных бита опущены). DMDE - Сервис - Записать в секторы файл. Первый сектор 6291519, Число секторов 8. Не допускайте Чекдиск во время перезагрузки!!! Рекомендуется записывать патч после снятия 100 секторов, начиная с 6291519.

Еще у нас еще под вопросом причина неисправности. Покажите SMART. Смените шлейф винта. Проверьте память в memtest86. Комп не разогнан?

Antech, шлейф заменил - не помогает. Разогнана видеокарта. Проблемы с винчестером начались после нескольких отключений питания компьютера (ребенок нажимал на кнопку бесперебойника...)

Пробовал записать из Вашего файла сектора программой DMDE - никакого эффекта, нажимаю ок - и никаких сообщений, записались сектора или нет, не ясно.

Сделал нужны дампы секторов:
http://slil.ru/27942537 damp6291519-100
http://slil.ru/27942547 damp176456605 -50
http://slil.ru/27942552 damp176472989 -50
и СМАРТ диска -
http://slil.ru/27942568 СМАРТ

Aleks267
музыку -мне было бы достаточно скопировать структуру папок. Потом все равно где-нибудь скачать можно
Эстер Галиль, "Дельта Грин". И где качать? А есть и такие, от которых даже название неизвестно. А где будем скачивать оригинальное звучание катушки 60-х...70-х без подчисток, причем именно нужные песни?
У меня простой пофайловый бэкап (музыка, фотки, рабочие проекты). Самое главное (музыка и программерские проекты) - территориально разнесенный бэкап (дом - работа).

размер именно такой на других бывал
Разделите 16384 на 512 .

Что вообще это означает
FAT не журналируется и неустойчива к отключению питания при неслитых кэшах (т.е. без Пуск - Выключение/Перезагрузка). Если исправление прошло удачно, можно пользовать ФС дальше (+/- аффектед файлы).

escombros
Насколько помню, у Вас сам раздел (в таблице) ОК, в diskmgmt.msc должен быть показан (сорри, сейчас с КПК, дампы/скрины нормально смотреть не могу).

trtrtr
Замена шлейфа устранит один из вероятных источников проблемы, но MFT это не восстановит.
После записи патча также не будет мгновенного эффекта. Как минимум, надо перезагрузиться, не забыв отменить Чекдиск (иначе с вероятностью минимум 50% - полная попа).
Также извиняюсь, что не даю отчет: сейчас уже поздно, да и пишу с КПК, завтра надеюсь ответить нормально.

escombros

Цитата:

диск не распределен

Воистину странно. В MBR раздел есть, тип 07, размер 320 ГБ, все стандартно. В Управлении - "не распределен"... А, наверное после снятия дампа, но до снятия образа, MBR таки накрылась. ну ладно, Чекдиск все равно на осыпающемся винте нет смысла на исправление пускать, так что нужно это (read-only Чекдиск) было только ради спортивного.

Ладно, R-Studio без проблем должна все восстановить с образа.

trtrtr
ОК, все нормально. Тот патч, что я Вам дал, имеет правильное смещение второго фрагмента MFT (оно равно 21270637 кластеров от начала первого фрагмента, или 22057069 кластеров от начала раздела, размер кластера 8 секторов).
К счастью, повреждения затронули только первые 4 записи (8 секторов) MFT, которые есть в патче. Раньше раздел не имел имени, теперь он называется "TR-TR-TR", можете переименовать, когда раздел станет доступен.

Что делать дальше:
1. Выполнить - cmd.exe, в нем chkdsk.exe БукваРаздела: Покажите, что он пишет (в нерезидентеных метафайлах ошибок не видно, а вот в корень эти восьмерки могли проникнуть, корня нет в дампах).
2. С очень высокой вероятностью после Чекдиска на исправление все должно заработать. Но пока что не пускайте на исправление (надо посмотреть отчет из п. 1).

По СМАРТу у Вас нет проблем. Но ошибки от чего-то возникли. На всякий случай смените шлейф (хотя интерфейсных в СМАРТе нет), проверьте память в memtest86 (несколько часов, лучше оставить на ночь или на сутки), если комп старый, вытащите память и протрите ластиком контакты, продуйте пыль в области слотов памяти.

Antech
R-Studio, образ отсканировал, увидел свои файлы (скрины и лог журнала прилагаю). Попробовал восстановить пару папок, вроде все нормально (структура, имена, открываются).
http://slil.ru/27943781
Я бы хотел узнать от Вас план моих дальнейших действий, вот вопросы:
1) Восстанавливаю файлы, правой кнопкой по "Найденный0" и Восстановить все файлы...
2) Где и как я могу увидеть какие файлы побились, потерлись, так как в 300ГБ файлов, каждый ручками я не открою.
3) После восстановления файлов, образ хранить или нет смысла.
4) Что я дальше делаю с не распределенным диском, erase в HDDScan или пока не надо. Если да, то помогите их различить, так как меняется у них там только SN, скрины из HDDScan у вас есть (а то так можно и системный стереть).
5)
Цитата:

на осыпающемся винте

, диск можно выбросить или будет долго жить.
В идеале, хотел бы форматнуть этот диск и копировать на него важные данные, но теперь только с бэкапом или ему уже доверять нельзя.
6) Чем посоветуете делать бэкап, просто копия всех файлов без излишевств по расписанию на внешний винт, ~200ГБ важных файлов.

R-Studio, странно работает, иногда восстанавливает файлы, но чаще после нажатия восстановить "делает вид что работает" и не дает отменить команду. Приходиться через Диспетчер задач вырубать. Это нормально?
Похоже команда Открыть отсканированное не работает, после не восстанавливает, а "делает вид что работает".

Спасибо.

Antech

Цитата:

Так что R-Studio... Фрагменты MFT она, конечно, не найдет, зато восстановит хотя бы на другой винт.

Купил новый винт, буду перекидывать на него.
Спасибо за помощь.

escombros

Цитата:

Где и как я могу увидеть какие файлы побились, потерлись, так как в 300ГБ файлов, каждый ручками я не открою

Не знаю. Универсальной проверялки для всех форматов файлов нет. Вроде есть какая-то тестилка для MP3 типа Ashampoo Studio, но я название давно забыл и могу ошибаться!


Цитата:

После восстановления файлов, образ хранить или нет смысла.

Это если проверите каждый файл. Так что можете этот образ оставить на всякий.


Цитата:

диск можно выбросить или будет долго жить

Неизвестно. Чтобы не заморачиваться с выбором диска, пустите скан с ремапом в Victoria API на винте, имеющем проблемный SMART, а потом в Управлении Дисками создайте/форматните раздел. Так не ошибетесь (ремап пишет только в бэды).


Цитата:

теперь только с бэкапом

Теперь только с бэкапом, независимо от состояния основного диска.


Цитата:

Чем посоветуете делать бэкап

Total Commander + F5 (при необходимости - Ctrl+A + Overwrite all older). По расписанию я не делаю (я делаю по факту существенных изменений, например написание новой подпрограммы или оцифровка новой песни).


Цитата:

R-Studio, странно работает

GetDataBack еще есть. Ну и R-Studio у Вас какая-то извращенная, насколько помню. Оригинальная имеет английский фейс.

Antech

Цитата:

Есть два основных варианта:
1. Есть запись $MFT, но она повреждена (частично испорчен ранлист). В таком случае можно использовать сохранившиеся данные в атрибуте MFT : DATA.
...
2. Нет никаких данных о расположении и количестве фрагментов MFT. Это более сложный случай, конечно. Здесь помогает "Поиск NTFS" в DMDE.

Antech, я несколько в ином смысле спросил - если все _нормально_, но дефрагментатор сообщает, что MFT фрагментирована на 2-3 куска, имеет ли смысл как-то собрать ее в один и возможно ли это?
у Paragon HardDisk Manager вроде была такая опция..

Skif_off
если все _нормально_, но дефрагментатор сообщает, что MFT фрагментирована на 2-3 куска, имеет ли смысл как-то собрать ее в один
Нет (если все исправно).

возможно ли это?
Теоретически - да. Практически - см. далее.

у Paragon HardDisk Manager вроде была такая опция
А теперь прочитайте шапку темы .
Если есть бэкап или нет ценного, то все равно смысл в дефрагментации MFT в описанном случае отсутствует. Допустим, сделали один фрагмент. Но ведь если началась фрагментация, значит MFT-зона, по тем или иным причинам, отсутствует (форматили не Виндой или нет свободного места). И поэтому новые фрагменты MFT появятся вместе с созданием новых файлов/каталогов...

Antech

Цитата:

ОК, все нормально. Тот патч, что я Вам дал, имеет правильное смещение второго фрагмента MFT (оно равно 21270637 кластеров от начала первого фрагмента, или 22057069 кластеров от начала раздела, размер кластера 8 секторов).
К счастью, повреждения затронули только первые 4 записи (8 секторов) MFT, которые есть в патче. Раньше раздел не имел имени, теперь он называется "TR-TR-TR", можете переименовать, когда раздел станет доступен.

Что делать дальше:
1. Выполнить - cmd.exe, в нем chkdsk.exe БукваРаздела: Покажите, что он пишет (в нерезидентеных метафайлах ошибок не видно, а вот в корень эти восьмерки могли проникнуть, корня нет в дампах).
2. С очень высокой вероятностью после Чекдиска на исправление все должно заработать. Но пока что не пускайте на исправление (надо посмотреть отчет из п. 1).

По СМАРТу у Вас нет проблем. Но ошибки от чего-то возникли. На всякий случай смените шлейф (хотя интерфейсных в СМАРТе нет), проверьте память в memtest86 (несколько часов, лучше оставить на ночь или на сутки), если комп старый, вытащите память и протрите ластиком контакты, продуйте пыль в области слотов памяти.

Теперь при загрузке стала появляться проверка проблемного диска, я ее пропускаю.
В винде пытаюсь запустить CHKDSK z - пишет "Указан неправильный диск, путь или имя файла".
memtest86 сегодня буду запускать.

trtrtr
Букву раздела посмотрите в Управлении Дисками. Может, нужно назначить/сменить букву (если раздел не станет доступен - ничего, все нормально; надо посмотреть отчет Чекдиска).

Я случайно перезаписал начало и конец 500 гигабайтового логического раздела диска. Пострадали MBR и копия, а также начало MFT. R-Studio видит его содержимое почти полностью (показывает 5-6 папок из корня как Extra found files с полностью целостной структурой.)
К сожалению, у меня нет возможности слить 500 Gb важной информацию на другой винчестер.
У меня теплится надежда, что я смогу найти или построить необходимые структуры данных в ручную. Под рукой есть несколько других NTFS разделов а также полностью рабочая WinXP с Runtime Disk Explorer for NTFS (Ntexplorer). Я частично восстановил MBR логического диска, взяв ее из другого раздела, и подредактировав ее поле Size. Осталось самое сложное - найти или восстановить MFT из mirror и указать правильное смещение в boot record. Даже не знаю с какого конца подступится.
Сейчас testdisk автоматически ищет MFT. Если он не найдет, остается ручной режим. Сможете помочь советом?

Добавлено:
Не нашло =(

Antech


Цитата:

trtrtr
Букву раздела посмотрите в Управлении Дисками. Может, нужно назначить/сменить букву (если раздел не станет доступен - ничего, все нормально; надо посмотреть отчет Чекдиска).

Проверил memtest86 - ошибок нет.
Шлейф сменил, планки памяти почистил.
Сменил букву диска - пишет то же самое - "Неверно указан диск, путь или имя файла".

trtrtr
Вот блин... Если загрузиться с LiveCD, тоже Чекдиск не хочет работать?

OM82
Вы путаете MBR и BS (BR) раздела.
Какой объем затертого пространства в начале раздела? Чем форматировали раздел?
Если MFT затерта, значит велик шанс, что она начиналась почти в самом начале раздела: кластеры 1...4. Это симптом "левого" форматера, такие форматеры могут делать MFT Mirror в пределах первых 100 кластеров, кроме того, в таких случаях MFT почти всегда (или вообще всегда) фрагментирована. Вы понимаете, что означает это в совокупности? Найти 500 ГБ винт значительно проще.

Цитата:

Да, этот винт в гарантию. Должны принять.

Винт с Санрайза, а он в дауне.
7.5 тышш р. за него получить не судьба.
Есть тока 1 вариант, подарить.
Желающие имеются.....
Токмо совесть требует поставить одаряемого в известность о состоянии харда.
КАК бы привести хард в более-менее приличное состояние!?
А тож человек тонкой душевной конструкции, ещё инфаркт от СМАРТа схватит.

2 раздела на нем уже удалил.
Чего ещё сделать!?

boy999
Ничего с ним уже не сделать. Выбросить только остается (все равно быстро сдохнет 90%).

P.S.
Надо было брать в Ф-Центре, сейчас бы не было проблем с гарантией, а в Санрайзе и в их лучшие времена был чупа-чупс с гарантийкой.

Цитата:

Вы путаете MBR и BS (BR) раздела.

Верно!
Я нашел и исправил именно бут сектор. К сожалению не осталось не его не его копии. Поэтому я восстановил его по аналогии с другими разделами и MBR, и сделал копию в конец раздела. Осталась проблема с MFT. Т.е. геометрия раздела мне точно известна. Но поиск по разделу строки $MFT (24 00 4D 00 46 00 54 по смещению 241 от начала сектора) ничего не дает.
1) Так что я даже не знаю, может его форматнуть в NTFS, потом как-то подредактировать MFT, run-list и скормить диск chdisk`у? Сможете провести меня по этой процедуре?


Цитата:

Какой объем затертого пространства в начале раздела? Чем форматировали раздел?

Это логический раздел. Изначально было вот так:
500Gb раздел NTFS
10Gb Темповый диск FAT32

Я взял маковской diskutility форматнул (erase) последний раздел в HFS.
При этом она почему-то логический раздел сделала маковским и перезаписала начало и конец 500gb раздела NTFS.


Цитата:

Если MFT затерта, значит велик шанс, что она начиналась почти в самом начале раздела: кластеры 1...4. Это симптом "левого" форматера, такие форматеры могут делать MFT Mirror в пределах первых 100 кластеров, кроме того, в таких случаях MFT почти всегда (или вообще всегда) фрагментирована. Вы понимаете, что означает это в совокупности? Найти 500 ГБ винт значительно проще

Да к стыдобе моей, я ранее никогда подобными операциями не занимался. Веду параллельно работу по постепенной переброске информации, т.к. нет возможности вытащить ее за один раз (нет 500 гб винта). Как оказалось, R-STUDIO восстанавливает далеко не все. Так как на этом диске в основном располагались торренты, я могу легко проверять файлы, и уже столкнулся с тем что восстанавливаются они с ошибками.
2) Возможно, существуют программы, справляющиеся с этой задачей лучше? GetDataBack? Какая самая лучшая программа в этом деле?

OM82
поиск по разделу строки $MFT по смещению 241
Нет гарантии, что строка $MFT будет по определенному смещению. Бывает по-разному (там же variable size). Ищите по условиям: FILE (ASCII) по смещению 0 от начала сектора + $MFT (UNICODE) по любому смещению (в MediaWorkshop есть поиск по группам условий, там кстати и скопировать инфу можно). Или не парьтесь и проищите DMDE - "Поиск NTFS" (выдаст координаты фрагментов MFT).

может его форматнуть в NTFS
Да ну, нафиг такое извращение. Делается такой же фокус, как и с бутсектором. Копируете первые 4 записи MFT от любого исправного раздела. В $MFT в атрибуте 80 == DATA исправляете ранлист, Last VCN и три размера в байтах. В $MFTMirr исправляете начальный кластер в ранлисте (тоже атрибут DATA), хотя можно забить. Остальное не меняете. Раздел готов для read-only Чекдиска.
Но у Вас совсем не в этом проблема, а в определении координат фрагмента(ов) MFT и в возможном отсутствии приличного начального куска MFT. Поиск NTFS в DMDE покажет...
Да, у Вас без Чекдиска на исправление in-place не реально сделать, поэтому in-place в любом случае не будет безопасным (начало MFT затерто).

Какая самая лучшая программа в этом деле?
Лучшими считаются R-Studio и GetDataBack. Немало других прог в шапке темы. Моей там только нет .

Здравствуйте, подскажите пожалуйста, как восстановить разделы и информацию.

Стояла виста на компе, винчестер разбит был 100mb(скпытый)+29Gb(виста)+110Gb(инфа)

Сделал бэкап через Acronis Rescue Media разделов 100mb, Висты и сам MBR
Поставил Win7, ей же удалил 100мб и раздел висты, при устновке, она разбла его на 1Gb+28Gb, 3й 110Gb остался цел.
Сейчас Захотел вернуть висту, удалил первые 2 и разбил на разделы через диск вин7
100mb active и 29mb primary 110gb не трогал

Запустил Acronis Rescue Media
Открыл бэкап с вистой, выбрал из бэкапа сначала MBR и залил на диск, затем 100mb и 29Gb на свои места.

При перезагрузке пишет "BootMGR is missing"

Как правильно восстановить разделы из этого бэкапа tib через Acronis Rescue Media?

Antech, огромное спасибо за подсказки.
Я так понимаю, что записав в нескольких программах recovery state, я могу не опасаться, что chkdsk полностью испортит MFT. Даже если испортит, в любом случае самые важные данные я восстановил, а другие смогу восстановить по этим recovery state записям.
Запустил DMDE на поиск NTFS. Процесс еще идет, вот первые записи, которые он нашел:
http://yfrog.com/60corel003p

Странно, что testdisc так и не нашел MFT.


Цитата:

Да ну, нафиг такое извращение. Делается такой же фокус, как и с бутсектором. Копируете первые 4 записи MFT от любого исправного раздела. В $MFT в атрибуте 80 == DATA исправляете ранлист, Last VCN и три размера в байтах. В $MFTMirr исправляете начальный кластер в ранлисте (тоже атрибут DATA), хотя можно забить. Остальное не меняете. Раздел готов для read-only Чекдиска.

Знать бы куда точно копирывать эти 4 записи MFT. И как исправить ранлист..

Может быть вы скажете какой программой и какие сектора, я их выложу в дампах (.rar) и вы посмотрите что там можно сделать, чтобы chkdsk воспринял этот раздел? Пока я в BR не подправлю правильно стартовый кластер на MFT, он не запуститься =(


Цитата:

The type of the file system is NTFS.
Unable to determine volume version and state. CHKDSK aborted.

Вот как выглядит информация о MFT в R-State
http://yfrog.com/2ccorel002p
Похоже она не очень-то дефрагментирована...

Добавлено:
Вот конечный результат прозода DMDE http://yfrog.com/2ccorel004p

OM82

Цитата:

записав в нескольких программах recovery state, я могу не опасаться, что chkdsk полностью испортит MFT

Нет. Чтобы не опасаться Чекдиска при неизвестных координатах фрагментов MFT, нужна посекторая (именно посекторая) копия раздела (DMDE - Сервис - Копировать секторы; WinHex - Clone Disk; R-Studio - Drive - Create Image File). Ну или у Вас должна быть MFT в почти нормальном состоянии (что в Вашем случае явно невозможно).


Цитата:

Знать бы куда точно копирывать эти 4 записи MFT

Это делается так. Ищется начало незатертой части MFT. Если Вам повезло, то по смещению 2Ch от начала любой файловой записи найдете номер этой записи (4-байтовое поле). Не забываем переставить байты местами (AA BB CC => CC BB AA). Умножаем на 2 и вычитаем из номера сектора текущей записи - имеем номер начального сектора MFT. Делим на размер кластера (обычно 8 секторов) и имеем начальный кластер. Соответственно, знаем куда писать MFT Mirror (if any) и знаем, что писать в MFT Start Cluster в бутсекторе.

По данным DMDE (assuming 8-секторный кластер) были определены следующие параметры:

Начало раздела: сектор 215046153

Начало MFT от начала диска: сектор 215046185
Начало MFT от начала раздела: сектор 32 (кластер 4)
Размер первого фрагмента MFT: 181920 записей (363840 секторов, 45480 == B1A8h кластеров)

Начало второго фрагмента MFT от начала диска: сектор 1195523433
Начало второго фрагмента MFT от начала раздела: сектор 980477280 (кластер 122559660)
Начало второго фрагмента MFT от начала первого фрагмента: сектор 980477248 (кластер 122559656 == 07 4E 1C A8h)
Размер второго фрагмента MFT: 134752 записи (269504 сектора, 33688 == 8398h кластеров)

Общий размер MFT: 633344 сектора (79168 кластеров, 324272128 == 13540000h байт)

По этим параметрам сделан патч начала MFT. Вы можете записать его начиная с сектора 215046185 (физического диска). Ну Вы знаете: DMDE - Сервис - Записать в секторы файл. Миррор обнаружен не был (или я туплю), куда он мог деться - неизвестно, возможно он был записан в кластере 1, 2 или 3 (там только 4 записи == 1 кластер).
Если у Вас более/менее правильный бутсектор, chkdsk.exe БукваДиска: должно выдать результаты проверки MFT, которые интересно посмотреть. Как Вы понимаете, исправлять пока что нельзя. Давайте вместе посмотрим на результаты проверки (если она вообще запустится).

Добавлено:
OM82

Цитата:

Пока я в BR не подправлю правильно стартовый кластер на MFT, он не запуститься

Разумеется. Как я уже говорил, в бутсектор пишите 4 (MFT Start Cluster), это обычное значение для левых форматеров (кстати, если MFT Mirror был в кластере 1, 2 или 3, то форматер был полное фуфло: начало MFT и MFT Mirror затерлись одновременно, хотя не так уж много было потерто).
Start Cluster MFT Mirror я не задавал (оставил от своего раздела). Чекдиск (если пустим на исправление) сам запишет MFT Mirror куда решит нужным.

Приветствую.
Имеется раздел в NTFS 200 гиг. Несколько дней назад на нём прибили пару крупных файлов ~ 16 гигов каждый (винда ругнулась, что файлы не помещаются в корзину ну и мол удалить безвозвратно). Сразу спохватились, перекрыли всем доступ на запись. Начали попытки поднять потёртое. Перепробовали кучу программ - файлы не видит ни одна.
При помощи р-студии сохранил MFT в файл (240 метров). Сделал поиск по названию файла (оба потёртых файла называются одинаково, просто лежали в разных местах), нашла 4 записи, не считая ссылок в записях каталогов. 2 из 4-ёх - это существующие файлы (которые никто не стирал, и которые по прежнему лежат на своих местах в разных каталогах), а 2 других помечены как удалённые, но у одного из них размер в 0х80-ом атрибуте порядка 4 мегабайт, то есть он явно исключается. Второй удалённый явно побольше, так как нет атрибута 0х80, зато есть 0х20 с указанием где лежит восьмидесятый атрибут.
Гугление привело сюда http://stderr.org/doc/ntfsdoc/attributes/attribute_list.html , но что-то до меня не доходит как вычисляется место хранения дополнительных записей File Record по атрибуту 0х20.

Кусок записи MFT с той самой, последней, надеждой http://rapidshare.com/files/276648284/killed_1cd.bin.html
Ещё интересен сам механизм, по которому винда их прибила. Почему в MFT не остались записи об этих файлах?

Просветите пожалуйста.

shax_muzzz

Цитата:

что-то до меня не доходит как вычисляется место хранения дополнительных записей File Record по атрибуту 0х20

Вычисляется это не сложно. В атрибуте 20 перечислены все атрибуты, кроме самого ATTRIBUTE_LIST. Для каждого атрибута указан номер записи, в которой он расположен (см. Linux NTFS, смещение 10h от начала вариантной части атрибута - Base File Reference). Умножаем номер записи на 2 (размер записи) и имеем виртуальный сектор искомой записи. Если у Вас MFT не фрагментирована, или уже слита в один файл, то виртуальный сектор равен "обычному" (логическому, как можно было бы назвать, аналогично logical cluster number == LCN). Если MFT фрагментирована, естественно, надо пересчитывать с учетом ранлиста, но, как я понял, Вам это не актуально.
Для Вашей записи. Для атрибутов 10 и 30 указана запись 6B9Fh, что совпадает с номером текущей записи, указанном по смещению 2Ch от начала записи. И действительно эти атрибуты мы видим в Вашем дампе. Что касается DATA, то для него использована только одна запись 15D37h, т.е. это сектор 178798 (2BA6Eh) от начала MFT.


Цитата:

интересен сам механизм

Насколько я знаю, если есть расширенные записи, то в них при удалении пишется новый пустой DATA, который затирает начало старого DATA, из-за чего восстановить проблематично (не представляю, как это можно сделать, т.к. подобная фигня, как Вы понимаете, бывает только у сильно фрагментированных). Но чтобы убивались базовые записи, такого не встречал (но у меня опыта мало).

У меня был только один успешный кейс с таким файлом. По какой-то причине MFT была усечена, в результате Чекдиск обкастрировал базовую запись, но по счастливой случайности весь DATA был в двух расширенных записях, а т.к. это было не удаление, то расширенные остались нетронуты (они были за пределами усеченного размера MFT), и файл был востановлен (база The Bat).

Linux NTFS (PDF)
СИИЖТ NTFS (PDF)
Кэрриэ. Анализ ФС (DJVU)

спасибо за помощь, буду знать.

Вчера вытащил последнюю крупицу данных с помощью R-Studio. Все-таки в моем случае, эта программа оказалось наиболее результативной, т.к. показала структуру каталогов практически, как было на диске до инцидента. Другие программы некоторые подкаталоги не идентифицировали, вообще не показывали или показывали пустыми.

Пришло время экспериментов. Прописал патч начала MFT, прописал в BR MFT Start Cluster = 4. Скормил раздел чекдиску...

Барабанная дробь...

...В результате получил тот же ответ что и раньше =(

Цитата:

The type of the file system is NTFS.
Unable to determine volume version and state. CHKDSK aborted.

Так выглядит мой BR
http://img215.yfrog.com/img215/8977/corel006.png
Я пробовал Sector per Cluster 4 и 8. В обоих случаях результата нет.

Так выглядит пропатченный сектор 215046185:
http://img269.yfrog.com/img269/2228/corel008.png
До и после него сплошные нули. Скорей всего именно из-за этого chkdsk не врубается в происходящее =)


Ну и Бог с ним, с чекдиском. Сейчас уже можно просто отформатировать винчестер.
Главное, что все важные данные уцелели. (Пострадали только 40 гб свежескачанных торрентов в больших 7гб файлах)
Из этой истории я вынес следующие выводы на будущее. Возможно они кому-то пригодятся.

1) Перед каждой операцией с разделами дисков, стоит погуглить о последствиях.
2) Не пользоваться левыми дефрагментаторами, которые собирают MFT и копию в начало диска. В моем случае это был DiskTrix UltimateDefrag 2008.
3) Не экономить время и средства на Back-up. В итоге рано или поздно это окупится.

Всем сочувствующим и помогающим спасибо.

Выражаю огромную благодарность Antech, за своевременные и полезные подсказки, без которых я бы просто-напросто угробил 500 гб данных! Видно, что человек глубоко разбирается в вопросе.

OM82

Цитата:

Так выглядит мой BR

В таком виде обычно не дают (лучше дамп).
По теме. Размер кластера (параметр Sectors per cluster) у Вас 4 сектора, поставьте 8 (это обычное значение). И покажите дамп любой файловой записи, оставшейся нетронутой (будет точно размер кластера). Если, конечно, это еще актуально.


Цитата:

Так выглядит пропатченный сектор 215046185

На размер патча посмотрите (извиняюсь за глумление). Вам надо было записать 8 секторов.


Цитата:

выводы на будущее

Два вывода, самые главные:
1. Не использовать никаких средств для работы с таблицей разделов и файловыми системами, кроме штатных системных (поставляемых вместе с операционкой Win/Linux/e.t.c.).
2. Всегда делать бэкап нужных данных.


Цитата:

Сейчас уже можно просто отформатировать винчестер

Неужели, после всего этого, Вам не интересно сделать in-place? Остается только поправить размер кластера и записать полностью патч начала MFT - и все, можете пускать Чекдиск.

Конечно интересно! Изначально я поставил Sectors per cluster 8. 4 я поставил, когда чекдиск ничего не понял.

Только что попробовал, учитывая Ваши замечания. (прописал 8 секторов в DMDE из .img), Sectors per cluster 8.
К сожалению, не помогает. Насчет создания дампа - уже не актуально, но если Вам интересно решить головоломку, держите несколько секторов MFT с этого раздела.
http://rghost.ru/445491


Добавлено:
Вообще это уникальный случай. Diskutil затер n секторов в разделе, и при этом еще час система работала нормально, на этот "обезглавленный" раздел заливались торренты. Ситуация прояснилась лишь после перезагрузки.

OM82

Цитата:

Ситуация прояснилась лишь после перезагрузки

Естественно, ФС кэшируется.


Цитата:

несколько секторов MFT

Размер кластера 8 секторов (и в каждой записи доп-поток "Mac_Metadata" - нет предела извращенью Apple).

Бутсектор. Его нужно записать в сектор 215046153 (от начала физического диска, естественно). Патч MFT должен быть записан в 8 секторов, начиная с сектора 215046185. При переходе в начало раздела в WinHex (открыть физический, нажать на раздел в таблице сверху) Вы должны видеть записанный бутсектор, при переходе на 32 (20h) секторов дальше (Alt+G, Sectors, Current Position) Вы должны переместиться в начальный сектор MFT (ну там строка $MFT, Вы это теперь хорошо знаете). WinHex должен без проблем заходить в раздел по двойному нажатию на таблице, Чекдиск должен проверять раздел... Все равно не работает?
Я проверял патч на тестовом разделе, все было нормально.