Ru-Board.club
← Вернуться в раздел «Магнитные носители информации»

» Восстановление разделов и информации на HDD (часть 4)

Автор: Antech
Дата сообщения: 02.07.2009 22:11
Lekter
Медленно может быть из-за режима PIO. Много ошибок потому что, и Винда могла скинуть режим в PIO. Поищите в инете, как включить DMA "навсегда", AFAIR есть каой-то способ через реестр.
Автор: Lekter
Дата сообщения: 02.07.2009 22:38
Antech
у меня SATA девайс.
Автор: Ignat
Дата сообщения: 03.07.2009 01:44
Lekter,
Цитата:
у меня SATA девайс.
- если это по-поводу PIO-режима, то неважно SATA или IDE. Чтобы проверить предположение ув.Antech, посмотрите:
Диспетчер устройств -> IDE/SATA контроллеры -> Первичный/Вторичный канал IDE/SATA (зависит к какому из них подключён HDD) -> Свойства -> Дополнительные параметры -> Режим передачи: / Текущий режим пердачи:
Автор: Lekter
Дата сообщения: 03.07.2009 01:52
Ignat
Автор: Ignat
Дата сообщения: 03.07.2009 02:43
Lekter, у Вас включен NCQ-режим, думаю, в данной ситуации это не лучший вариант. И вообще, нагрузка OS ни к чему, я бы попробовал снять копию MHDD или Victoria for DOS и отключил бы при копировании NCQ-режим в BIOS. Не забывайте, что кроме падения HDD, есть и другое оттягчающее обстоятельство - 7200.11-серия (firmware?). И если данные очень важны, то может обратитесь в Дата-Рековери-Сервис? HDD на гарантии? Если да, то про "падение" не надо ничего говорить и попытаться договориться об восстановлении данных, ссылаясь на "ужасную" 7200.11-серию и т.д. Удачи,
Автор: ju1ietta
Дата сообщения: 03.07.2009 07:29
Поиогите квалифицированным ответом:
На моём рабочем компьютере полностью исчезло содержимое папки "Мои документы" за исключением скрытых подпапок (в том числе личного содержания) и файлов. Одновременно и точно также исчезла информация из резервной копии этой папки, размещённой на компьютере сотрудника. Сисадмин сказал, что программа синхронизации, с помощью которой создавалась резервная копия, не запускалась около месяца - сотрудник был в отпуске, но его компьютер был включен. Эти папки были сетевыми, находившимися в общем доступе. Все остальные файлы и папки (при беглом осмотре) не пострадали, в т.ч. системная папка "Мои документы" сотрудника. Система и программы на обоих компьютерах работали стабильно.
Мой винчестер сняли для восстановления файлов. В заключении эксперта о причинах случившегося сказано примерно следующее: "Информация утеряна в результате деградации поверхности жесткого диска (диск выпущен в 2004 году), что привело к сдвигу файловой таблицы". Ну а далее, конечно, сказано о размещении информации, не относящиеся к моей трудовой деятельности. Также указано, что были установлены хакерские программы (какие мне неизвестно и я их не устанавливала). В результате всех собак спустили на меня, обвинив, что я перегрузила бедный винчестер.
У меня же складывается полное ощущение, что информация была кем-то стёрта преднамеренно, так-как уж больно адресной оказалось её исчезновение с двух компьютеров.
Пожалуйста, подтвердите или опровергните мои опасения, квалифицированно и подробно.
Автор: TeXpert
Дата сообщения: 03.07.2009 08:11
ju1ietta
Цитата:
"Информация утеряна в результате деградации поверхности жесткого диска (диск выпущен в 2004 году), что привело к сдвигу файловой таблицы"
Бред какой-то, хорошо, что не написали про моральную деградацию. 5 лет, это вообще-то не срок (ну, не думаю, что диск эксплуатировался в экстремальных условиях), тем паче, как ты сама заметила, информация исчезла избирательно. Со "сдвигом файловой таблицы" была бы совсем другая песня -- ты не написала, когда и при каких обстоятельствах это обнаружилось, система загрузилась нормально, когда это произошло?
А главное -- надо было в копиях иметь, а причины ищи тут
Цитата:
Ну а далее, конечно, сказано о размещении информации, не относящиеся к моей трудовой деятельности
Автор: Antech
Дата сообщения: 03.07.2009 09:27
Lekter
На картинке вроде указано SATA-150, но я не уверен по поводу этого драйвера, при стандартных драйверах MS это окно по-другому выглядит.
Сколько на данный момент скопировалось и какая скорость?

ju1ietta

Цитата:
Информация утеряна в результате деградации поверхности жесткого диска (диск выпущен в 2004 году), что привело к сдвигу файловой таблицы

Сдвиг файловой таблицы от деградации поверхности не бывает. Да, за 5 лет винт имеет приличный шанс на деградацию, об этом говрит статистика Гугла даже для сравнительно старых винтов (современные врядли стали долговечнее). Но бэды и дохлые головы - это одно, а смещение - совсем другое.


Цитата:
Ну а далее, конечно, сказано о размещении информации, не относящиеся к моей трудовой деятельности

Догадываюсь, какой именно


Цитата:
складывается полное ощущение, что информация была кем-то стёрта преднамеренно

Вот именно. Если никаких прог для синхронизации действительно не запускалось, и вирусов нет, то Вам банально стерли инфу, вот и все. Не надо было такие вещи делать доступными по сети. (Мы можем хоть кучу порно на свои винты писать (но не пишем), но мы и делаем все сами - сам себе админ, и ремноник, и на рынок за девайсами. И все равно общий доступ - только на обменник, а локальные каталоги, в т.ч. рабочие данные и их бэкапы, по сети не доступны. Это еще для отшива вирусов важно.)
Почему еще версия с намеренным удалением правдоподобна. У Вас скрытые файлы/каталоги не тронуты. Программе (вирусу) все равно, скрытый файл или нет. А вот если у юзера не включен показ скрытыъ/системных, то он их и не видел, когда удалял...

Если еще не поздно, систему с пострадавших винтов не загружать, подцепить к другому компу (или использовать Live CD) и запустить R-Studio, поискать удаленные файлы.
Автор: ju1ietta
Дата сообщения: 03.07.2009 09:47
TeXpert
С тем как это обнаружилось совсем интересная история. В системе был установлен нелецензионный NOD (был утановлен мною, т.к. до этого вообще никакой защиты не было), к Интеренту выхода нет, обновление не производилось. После многочисленных обращений о решении проблемы, наконец, пришел сисадмин. Итак, он пришел для установки DrWeb, я освободила ему место и ушла из кабинета. Он покинул мой кабинет спустя минут 15, меня же не было более час. После моего возращения и выяснилось, что вся рабочая информация утеряна. Администратор естественно сказал, что ничего не сделал, произвёл откат системы - безрезультатно. Cистема WinXP, NTFS. Повторюсь, что на момент извлечения диска система не проявляла никаких сбоев в своей работе.
Можете подробнее рассказать, что такое сдвиг файловой таблицы и как он проявляется? Спасибо.

Antech
Да нет, не порно. так ерунда всякая - кулинарные рецепты, художественная литература, но не в этом суть...
А самостоятельно я востановить винт уже не могу, ведь его сразу сняли. В объективности экспертной оценки я сомневаюсь, т.к. эксперт наш же сотрудник. Но мне нужно более развернутое объяснение невозможности такой причины утери информации, что бы с этим пойти к руководству. Меня же никто слушать не хочет, как не специалиста в этой области.
Автор: LeoT
Дата сообщения: 03.07.2009 10:12
ju1ietta:
Вам лучше всего сходить с этим HDD на диагностику к хорошим специалистам по восстановлению информации, они и бумагу могут написать с диагнозом. А приведенная "экспертная оценка" - полная чушь. Можно объяснять теоретически, почему чушь, но, во-первых, Вы вряд-ли сможете все грамотно пересказать руководству, а, во-вторых, варианты бывают разные, диск надо видеть, чтобы сказать точно, в каком он состоянии.
Автор: TeXpert
Дата сообщения: 03.07.2009 10:30
ju1ietta
Цитата:
После многочисленных обращений о решении проблемы, наконец, пришел сисадмин. Итак, он пришел для установки DrWeb, я освободила ему место и ушла из кабинета
Вот и причина
Цитата:
Администратор естественно сказал, что ничего не сделал, произвёл откат системы - безрезультатно
Откат делал он? Тут без технических подробностей трудно судить, но судя по тому, что у тебя сохранились скрытые вещи -- похоже на ручное удаление, странно, что ваш админ такое пропустил)
Цитата:
Повторюсь, что на момент извлечения диска система не проявляла никаких сбоев в своей работе
Ну вот, произошедшее целиком лежит на совести админа, с повреждённой таблицей файлов были бы проблемы, хотя бы сообщения были при загрузке системы и запустилась штатная утилита правки файловой системы в некоторых случаях
Цитата:
Можете подробнее рассказать, что такое сдвиг файловой таблицы и как он проявляется?
Просто так (случайно) таблицу не сдвинешь, тем более, как они говорят, при физических дефектах, можно разве повредить, непонятно, что этим хотели сказать эксперты, да и то у тебя до прихода админа проблем не было, если бы таблица повредилась -- были бы проблемы при загрузке системы
Автор: ju1ietta
Дата сообщения: 03.07.2009 10:37
LeoT

Цитата:
Вам лучше всего сходить с этим HDD на диагностику к хорошим специалистам

Увы, этот диск мне недоступен, никто мне его не даст.

Цитата:
Вы вряд-ли сможете все грамотно пересказать руководству

А я бы не пересказывала, а распечатала.

Цитата:
варианты бывают разные, диск надо видеть, чтобы сказать точно

В том-то и дело, т.к. у меня нет доступа к диску, я хочу сказать, что описанная ситуация может произойти ТОЛЬКО по одной причине - преднамеренное удаление. Если есть какие-либо другие варианты, перечислите.

Добавлено:
Antech

Цитата:
Но бэды и дохлые головы - это одно, а смещение - совсем другое

Вот и объясните мне, что такое сдвиг файловой таблицы (что такое сама файловая таблица я в общих чертах представляю) и почему это не связано с повреждением поверхности диска? Спасибо

Добавлено:
Antech

Цитата:
Но бэды и дохлые головы - это одно, а смещение - совсем другое

Вот и объясните мне, что такое сдвиг файловой таблицы (что такое сама файловая таблица я в общих чертах представляю) и почему это не связано с повреждением поверхности диска? Спасибо

Добавлено:
Antech
Извиняюсь за двойную вставку текста
Автор: LeoT
Дата сообщения: 03.07.2009 11:49
ju1ietta, сдвиг - он и есть сдвиг, взяли и подвинули. Или вручную в дисковом редакторе специально, или опять же специально с помощью различных программ для манипулирования разделами (РМ и т.п.). Есть еще один вариант, когда нечто подобное происходит без желания пользователя - при некоторых сбоях при передаче данных по USB, характерно для внешних носителей, соответственно по USB подключаемых. Все, других вариантов лично мне не встречалось. С повреждением поверхности диска это обычно бывает связано только в одном случае - если на этих повреждениях спотыкается та самая программа для двигания разделов (вариант номер 2 из выше перечисленных). Но сами понимаете, это все "гадание на кофейной гуще", точно сказать можно только видя диск.
Но есть большое подозрение, что никакого смещения там нет, и в заключении написано первое, что пришло в голову "эксперту". Не важно что, лишь бы наукообразно.
А удаление ни к какому смещению не приводит.
Автор: ju1ietta
Дата сообщения: 03.07.2009 12:14
LeoT
Да, к тому же любая сдвижка файловой таблицы не может привести к столь точному удалению информации только из одной папки, вместе со всеми вложенными, исключая скрытые, правильно? В такой ситуации даже система бы не смогла загрузиться, были бы потеряна вся или почти вся информация? Это ещё раз подтверждает мою версию.
Автор: Antech
Дата сообщения: 03.07.2009 12:48
ju1ietta

Цитата:
что такое сдвиг файловой таблицы и как он проявляется?

Сдвиг (смещение) - это довольно распространенный тип логического повреждения на носителях данных. Как правило, причина смещения - неисправность оборудования (часто - ошибки передачи по интерфейсу USB). Смещения могут возникать не только на файловых таблицах, но и в любых других системных областях раздела, которые перезаписываются ОС (например, на FAT разделах Windows часто перезаписывает начало раздела, включая бутсектор). Рассмотрим пример смещения. Допустим, дана ФС NTFS (сейчас она, как правило, используется при работе в Windows), файловая запись $MFT. Это самая первая запись MFT, она часто перезаписывается драйвером ФС. Поэтому, при наличии проблем с оборудованием, эта запись имеет высокий шанс повредиться (как и все 4 первых записи MFT). Итак, исходно начало записи выглядело так:

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

1929E59800 46 49 4C 45 30 00 03 00 7D 9E 2E 54 00 00 00 00 FILE0...........
1929E59810 01 00 01 00 38 00 01 00 B0 01 00 00 00 04 00 00 ....8...°.......
1929E59820 00 00 00 00 00 00 00 00 06 00 00 00 00 00 00 00 ................
1929E59830 59 01 00 00 00 00 00 00 10 00 00 00 60 00 00 00 Y...........`...
1929E59840 00 00 18 00 00 00 00 00 48 00 00 00 18 00 00 00 ........H.......
1929E59850 7C 05 DD 22 CE D1 C8 01 7C 05 DD 22 CE D1 C8 01 ................
1929E59860 7C 05 DD 22 CE D1 C8 01 7C 05 DD 22 CE D1 C8 01 ................
1929E59870 06 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
1929E59880 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 ................
1929E59890 00 00 00 00 00 00 00 00 30 00 00 00 68 00 00 00 ........0...h...
1929E598A0 00 00 18 00 00 00 03 00 4A 00 00 00 18 00 01 00 ........J.......
1929E598B0 05 00 00 00 00 00 05 00 7C 05 DD 22 CE D1 C8 01 ................
1929E598C0 7C 05 DD 22 CE D1 C8 01 7C 05 DD 22 CE D1 C8 01 ................
1929E598D0 7C 05 DD 22 CE D1 C8 01 00 40 00 00 00 00 00 00 ................
1929E598E0 00 40 00 00 00 00 00 00 06 00 00 00 00 00 00 00 .@..............
1929E598F0 04 03 24 00 4D 00 46 00 54 00 00 00 00 00 00 00 ..$.M.F.T.......


Теперь представим себе, что раздел расположен на USB HDD, и при передаче по USB во время обновления записи $MFT произошла ошибка, которая привела к смещению. Результат может выглядеть так:

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000A40 4C 45 30 00 03 00 7D 9E 2E 54 00 00 00 00 01 00 LE0.............
00000A50 01 00 38 00 01 00 B0 01 00 00 00 04 00 00 00 00 ..8...°.........
00000A60 00 00 00 00 00 00 06 00 00 00 00 00 00 00 59 01 ..............Y.
00000A70 00 00 00 00 00 00 10 00 00 00 60 00 00 00 00 00 ..........`.....
00000A80 18 00 00 00 00 00 48 00 00 00 18 00 00 00 7C 05 ......H.......|.
00000A90 DD 22 CE D1 C8 01 7C 05 DD 22 CE D1 C8 01 7C 05 ................
00000AA0 DD 22 CE D1 C8 01 7C 05 DD 22 CE D1 C8 01 06 00 ................
00000AB0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000AC0 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000AD0 00 00 00 00 00 00 30 00 00 00 68 00 00 00 00 00 ......0...h.....
00000AE0 18 00 00 00 03 00 4A 00 00 00 18 00 01 00 05 00 ......J.........
00000AF0 00 00 00 00 05 00 7C 05 DD 22 CE D1 C8 01 7C 05 ................
00000B00 DD 22 CE D1 C8 01 7C 05 DD 22 CE D1 C8 01 7C 05 ................
00000B10 DD 22 CE D1 C8 01 00 40 00 00 00 00 00 00 00 40 ................
00000B20 00 00 00 00 00 00 06 00 00 00 00 00 00 00 04 03 ................
00000B30 24 00 4D 00 46 00 54 00 00 00 00 00 00 00 00 00 $.M.F.T.........


Т.е. произошло смещение на 2 байта вверх, первые два байта сигнатуры FILE удалены, в двухбайтовый хвост могут записаться любые значения.
Если теперь попытаться открыть раздел обычным образом в Windows, то, скорее всего, мы увидим сообщение вроде такого "Файл или папка повреждены, чтение невозможно". Обычное проявление смещения в структурах ФС - отсутствие доступа к разделу или к отдельным файлам/каталогам с соответствующими сообщениями Windows об ошибках.

Что касается других причин смещений, указанных LeoT (редактор, Partition Magic), то это явно не Ваш случай.

Кстати, в NTFS нет никаких файловых таблиц (хоть MFT и называется Table). Именно таблицы есть в FAT и ExFAT, но FAT на винтах уже почти не используется, а ExFAT предназначается для сменных носителей типа флешек и сейчас не распространен.


Цитата:
Если есть какие-либо другие варианты, перечислите

Для удаления только не скрытых/системных файлов нет вариантов аппаратных проблем. Программных - теоретически возможно, практически вероятность стремится к нулю.

LeoT
Прочитал Ваш ответ после написания большей части своего, и тоже USB .

P.S. Извиняюсь за искаженный текст, но на этом чудесном форуме нет тега типа [pre], чтобы отменить преобразования символов.
Автор: LeoT
Дата сообщения: 03.07.2009 14:59
Да я вот сейчас как раз сижу, смещения на сектор выправляю в MFT, на диске из USB'шной коробочки...
Автор: ju1ietta
Дата сообщения: 03.07.2009 18:23
Antech

Цитата:
Для удаления только не скрытых/системных файлов нет вариантов аппаратных проблем. Программных - теоретически возможно, практически вероятность стремится к нулю.

Спасибо, мне так нужна была поддердка специалиста, а то я себя уже в параноики записала...
Автор: Lekter
Дата сообщения: 03.07.2009 19:22

Цитата:
отключил бы при копировании NCQ-режим в BIOS

такого у себя в биосе не нашёл((


Цитата:
7200.11-серия (firmware?)

вот с пол часа назад прошил SD1A


Цитата:
И если данные очень важны, то может обратитесь в Дата-Рековери-Сервис?

данные важны, но энешки важнее))


Цитата:
HDD на гарантии? Если да, то про "падение" не надо ничего говорить и попытаться договориться об восстановлении данных, ссылаясь на "ужасную" 7200.11-серию и т.д.

на гарантии. вчера кстати был последний день) но тут у нас праздники, поэтому с этим я разберусь. не отдавал на гарантию, т.к. там мне данные точно никто восстанавливать не будет.. вот думал за выходные что-нибудь замутить..

вообщем с посекторной всё уныло... логические диски не отображались. загрузился акронисом, восстановил. видны логические, но без файловой системы.
под виндой не видно ни логических ни самого жёсткого.
подскажите хоть какой-нибудь вариант по восстановлению в моих условиях. с потерей всей инфы уже смирился окончательно и денег на ДР фирму нет, поэтому полностью готов к окончательному уничтожению харда в попытке что-нибудь восстановить...
Автор: Antech
Дата сообщения: 03.07.2009 21:56
Lekter
Если Вы сделали копиюб, напускайте на нее R-Studio и сканируйте.
Акронисом зря воспользовались: он записывает в автоматическом режиме, а у Вас фактически только один экземпляр, т.к. винт почти труп. Если копию не сделали, и напустили Акронис - вопиющее нарушение правил DR. Надеюсь, копия таки сделана.

LeoT

Цитата:
смещения на сектор выправляю в MFT

О да, как это знакомо . Причем хорошо еще, когда запись $MFT уцелела, пусть смещенная. А вот если нет, да еще и дистанционно надо сделать...
Автор: kollegator
Дата сообщения: 05.07.2009 16:33
Здравствуйте. имеется буковый hdd 40gb, 1 раздел ntfs. по словам хозяина (отэц) при включении бука запустилась проверка диска, которую (естественно не дождавшись) прервали выключением питания. после этого раздел стал определяться в raw формате. victoria "В-блоков" на жостком не нашла. r-studio восстановила большую часть информации, но зависает при копировании какого-то объекта. winhex диск не открывает - ругаецо (думаю это из-за usb подключения). r-studio открывает (шаблон: "Главн. загр. запись" - [сектор 418606, смещение? CC65A00], Загр. сектор ntfs - не найден, ). Буду очень признателен за "курс молодого бойца" и помощи в освоении столь нужных программ, т.к. боюсь пробовать fixboot и fixmbr из-под консоли.
Автор: MADGTX
Дата сообщения: 05.07.2009 17:41
Умоляю помогите пожалуйста! Вот что случилось - у меня винт терабайт, было 6 разделов. На С было мало места, хотел поставить сервис пак 2 для висты, решил добавить 3 гига с другого раздела. Через Acronis последней версии. 3 гига выделил, создал раздел, а присоединить к С не получилось. Решил форматнуть С (все равно собирался на днях виндовс переустановить). Форматнул в Акронисе, после перегруза вставляю загрузочный образ Акрониса, но никак не могу объединить С размером 21 ГБ и новый раздел 3 Гб. Появился раздел 7,8 Мб (MBR?). В итоге решил поставить висту как есть но она не устанавливалась (когда надо выбирать раздел). Поставил ХР. Теперь раздел 7,8 Мб отображается в моем компьютере. ладно, ставлю Акронис, но присоединить не получается. Нажимаю выполнить, перегруз - и все как раньше. Парился 4 часа, ставил ХР еще раз. Ничего не вышло. И вот решил я поставить Висту еще раз, выбираю в окне выбора диска, логический раздел 7,8 Мб. Удаляю его. ПРОПАДАЮТ 4 логических раздела. Но виндовс поставился. После установки открываю мой комп - только С (как было 21 Гб) и другой раздел как назло где были только игрушки. Как мне теперь восстановить раздел в первоначально состояние? Там все что копил годами! Если не смогу восстановить то придется вешаться..
Автор: Antech
Дата сообщения: 05.07.2009 19:11
MADGTX
Откройте физический диск в DMDE и покажите скриншот окна "Разделы" (окно откроется само), должна быть отмечена галка "Найденные". Если мы там не увидим нужных разделов, восстанавливайте сами, нефиг было с Акронисом играть. Проги, подобные менеджеру раделов Акрониса и Партишн Мэджику, вообще стоит использовать только в том случае, если твердо решили расстаться с данными. И дело не столько в прогах, сколько в операциях, которые нужно выполнить для этих вот "отрезать" и "присоединить". Так что, если в DMDE не найдет по-быстрому разделы, для Вас остается 2 способа:
1. Восстанавливать на месте софтом от того же Акрониса (Рекавери Эксперт или типа того, сейчас может и по-другому называется). Здесь, естественно, можете еще что-нибудь испортить вместо восстановления.
1. Скопировать на другой винт через R-Studio/GetDataBack. Естественно, понадобится соответствующее пространство на другом винте.

P.S.
1. То, что копили годами, надо было бэкапить. Ради прикола ознакомьтесь с ценами на восстановление при проблемах в гермоблоке, например на mhdd.ru. А это не так уж редко бывает. Сейчас Вам просто повезло, в следующий раз можете потерять инфу.
2. Извиняюсь за резкость. Просто достали эти ПартишнМэджики и Акронисы, без них было бы меньше сложных и бесперспективных кейсов...

kollegator
FIXBOOT и FIXMBR можете пробовать сколько угодно (хотя, вообще, не рекомендуется, но серьезно Вы ничего не испортите, максимум таблицу разделов накроете и бутсектор). Но это не поможет. Если ФС RAW, то наверняка дело пахнет MFT, скорее всего с бутсектором порядок. Вы лучше запустите в консоли chkdsk.exe X: (X - буква раздела) и посмотрите, какого он мнения о разделе. Если RAW, тогда можете приступать к просмотру бутсектора и начала MFT в WinHex. Естественно, открывать надо физический диск. Потом жмете на рездел в таблице сверху - перейдете в бутсектор. А два раза на раздел в таблице - открыть раздел браузером WinHex. Если не будет открывать - смотрите смещение MFT в бутсекторе (Alt+F12 - BS NTFS, Start C# MFT надо умножить на Sectors per cluster - это будет начальный сектор MFT относительно начала раздела).
Ну это так, лирика, если хотите посмотреть что не так. А если Вам просто инфу скопировать, то свет не сошелся клином на Р-Студии, есть еще Recuva (кстати, бесплатная), GetDataBack, RecoverMyFiles и другие эвристики.
Автор: kollegator
Дата сообщения: 06.07.2009 13:40
Antech
добрый вечер.
запустился из консольки:
а) dir (содержимое папки c:\ "произошла ошибка при перечислении папок")
б) chkdsk c: /r ("на томе обнаружена одна или несколько неисправимых ошибок")
нашол как открывать физ.диск 8-))
а. если просто встать на "раздел 1", то смещение "32256". данные интерпритируются как "hbin" и через строчку под "шэяя".
б. если просто встать на "стартовые сектора", то смещение "0". по значениям - белиберда. только с 12 столбца (байта?) в 288 смещении начинается "Invalid partition table.Error loading operating system.Missing operating system", а с 10 байта 528 смещения, по конец 54 сектора - нули.
как все это в более наглядном виде представить - ума пока еще не хватило, принт-скрин, в данном случае, считаю неуместным.
Автор: Antech
Дата сообщения: 06.07.2009 16:56
kollegator
Кстати, а где SMART?


Цитата:
chkdsk c: /r

А я просил именно chkdsk.exe БукваДиска: (chkdsk.exe C: без других параметров). Но, как Вы понимаете, скорее всего это бэды.


Цитата:
если просто встать на "раздел 1", то смещение "32256". данные интерпритируются как "hbin" и через строчку под "шэяя"

Если раздел был NTFS, должны видеть строку NTFS в начале бутсектора:
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

1869E59800 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 ëRNTFS .....
1869E59810 00 00 00 00 00 F8 00 00 3F 00 FF 00 CC F2 34 0C .....ø..?.ÿ.Ìò4.
1869E59820 00 00 00 00 80 00 80 00 74 59 03 2E 00 00 00 00 ....€.€.tY......
1869E59830 00 00 0C 00 00 00 00 00 97 35 E0 02 00 00 00 00 ........—5à.....
1869E59840 F6 00 00 00 01 00 00 00 6D D0 23 B4 E3 23 B4 4A ö.......mÐ#´ã#´J
1869E59850 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB B8 C0 07 ....ú3ÀŽÐ¼.|û¸À.
1869E59860 8E D8 E8 16 00 B8 00 0D 8E C0 33 DB C6 06 0E 00 ŽØè..¸..ŽÀ3ÛÆ...
1869E59870 10 E8 53 00 68 00 0D 68 6A 02 CB 8A 16 24 00 B4 .èS.h..hj.ËŠ.$.´
1869E59880 08 CD 13 73 05 B9 FF FF 8A F1 66 0F B6 C6 40 66 .Í.s.¹ÿÿŠñf.¶Æ@f
1869E59890 0F B6 D1 80 E2 3F F7 E2 86 CD C0 ED 06 41 66 0F .¶Ñ€â?÷â†ÍÀí.Af.
1869E598A0 B7 C9 66 F7 E1 66 A3 20 00 C3 B4 41 BB AA 55 8A ·Éf÷áf£ .ôA»ªUŠ
1869E598B0 16 24 00 CD 13 72 0F 81 FB 55 AA 75 09 F6 C1 01 .$.Í.r.ûUªu.öÁ.
1869E598C0 74 04 FE 06 14 00 C3 66 60 1E 06 66 A1 10 00 66 t.þ...Ãf`..f¡..f
1869E598D0 03 06 1C 00 66 3B 06 20 00 0F 82 3A 00 1E 66 6A ....f;. ..‚:..fj
1869E598E0 00 66 50 06 53 66 68 10 00 01 00 80 3E 14 00 00 .fP.Sfh....€>...
1869E598F0 0F 85 0C 00 E8 B3 FF 80 3E 14 00 00 0F 84 61 00 .…..è³ÿ€>....„a.
1869E59900 B4 42 8A 16 24 00 16 1F 8B F4 CD 13 66 58 5B 07 ´BŠ.$...‹ôÍ.fX[.
1869E59910 66 58 66 58 1F EB 2D 66 33 D2 66 0F B7 0E 18 00 fXfX.ë-f3Òf.·...
1869E59920 66 F7 F1 FE C2 8A CA 66 8B D0 66 C1 EA 10 F7 36 f÷ñþŠÊf‹ÐfÁê.÷6
1869E59930 1A 00 86 D6 8A 16 24 00 8A E8 C0 E4 06 0A CC B8 ..†ÖŠ.$.ŠèÀä..̸
1869E59940 01 02 CD 13 0F 82 19 00 8C C0 05 20 00 8E C0 66 ..Í..‚..ŒÀ. .ŽÀf
1869E59950 FF 06 10 00 FF 0E 0E 00 0F 85 6F FF 07 1F 66 61 ÿ...ÿ....…oÿ..fa
1869E59960 C3 A0 F8 01 E8 09 00 A0 FB 01 E8 03 00 FB EB FE àø.è.. û.è..ûëþ
1869E59970 B4 01 8B F0 AC 3C 00 74 09 B4 0E BB 07 00 CD 10 &#180;.‹&#240;¬<.t.&#180;.»..&#205;.
1869E59980 EB F2 C3 0D 0A 41 20 64 69 73 6B 20 72 65 61 64 &#235;&#242;&#195;..A disk read
1869E59990 20 65 72 72 6F 72 20 6F 63 63 75 72 72 65 64 00 error occurred.
1869E599A0 0D 0A 4E 54 4C 44 52 20 69 73 20 6D 69 73 73 69 ..NTLDR is missi
1869E599B0 6E 67 00 0D 0A 4E 54 4C 44 52 20 69 73 20 63 6F ng...NTLDR is co
1869E599C0 6D 70 72 65 73 73 65 64 00 0D 0A 50 72 65 73 73 mpressed...Press
1869E599D0 20 43 74 72 6C 2B 41 6C 74 2B 44 65 6C 20 74 6F Ctrl+Alt+Del to
1869E599E0 20 72 65 73 74 61 72 74 0D 0A 00 00 00 00 00 00 restart........
1869E599F0 00 00 00 00 00 00 00 00 83 A0 B3 C9 00 00 55 AA ........&#402; &#179;&#201;..U&#170;



Цитата:
Invalid partition table.Error loading operating system.Missing operating system

Это строки из загрузчика в MBR. Как и полагается в нулевом секторе.


Цитата:
как все это в более наглядном виде представить

Alt+F12

P.S.
Извиняюсь за глюки с кодировкой. Движок форума неправильно понимает символы, скопированные из WinHex...
Автор: CKA3O4H1K
Дата сообщения: 06.07.2009 22:04
Прошу помощи и я.

К ноутбуку по expresscard контроллеру Sil3132 подключен Samsung HD103UJ.

Работая в Vista я толи выдернул SATA шнут, толи выскочил контроллер...
В результате второй основной раздел стал не читаем, при обращении к нему приложение зависает.

Загрузившись с Hiren's BCD, wininternals chkdsk вылетает с ошибкой файловой системы на том же втором разделе.
Active Part Recovery 3 отображает все партиции, но проблемную для листинга фалов сканирует.
TestDisk о проблемах тоже ни слова, и файлы отображает без проблемно даже без сканирования. При попытке восстановить MFT отвечает ошибкой о испорченной MFT Mirror.
Acronis DD не отображает страницу ошибок и листинг фалов, в остальном все ок.
Paragon Part.. все операции проделывает успешно, но при проверке на ошибки раздела - говорит о ошибке в файловой структуре.
PartitionTableDoctor (в названии не уверен) отобразил ошибку MFT, перестроил - больше ошибки нету, но общая проблема не решилась и симптомы не изменились.
Chkdsk все равно говорит о той же ошибке.

Как я понял, закралась ошибка в MFT.

Винт новый, только перебросил 700 гиг важной информации.
Думаю загрузиться с Alkidz WinPE, там много рекавери софта, возможно (если увидит из защищенного режима винт) восстановить данные на другой hdd и переразбить...

Прошу совета...

Добавлено:
Задал вопрос и ответ нашелся сам.
Не стоит рисковать с исправлениями на месте, если есть возможность за ночь перебросить всю инфу и есть куда - так и сделаю.
А после наново "разбью".
Автор: gAf
Дата сообщения: 08.07.2009 07:48
Подскажите, кто сталкивался, чем после Rovud (вконтакте) лучше восстанавливать? Файлы неудалены, но они нулевой длинны. Несколько прог попробовал, но все только _удаленные_ файлы ищут. Пока изучаю winhex, чтоб вручную почистить списки файлы в FAT каталогах.
Автор: Antech
Дата сообщения: 08.07.2009 08:19
gAf
вручную почистить списки файлы в FAT каталогах
Я не знаю, что имелось в виду, но это бесполезно.
У Вас именно FAT? На рисунках ниже представлен корень FAT раздела, где исходно был создан текстовый файл "Test.txt", а затем файл пересохранен под тем же именем (но с другим содержимым). ОС - WinXP SP2 Pro, раздел FAT32 128 МБ (флешка).

Так было вначале:


Так стало после пересохранения с другим текстом:


Так стало после пересохранения пустого файла (нулевой длины), т.е. конкретно Ваш случай:


Причем, обратите внимание, в моем случае при пересохранении с другим текстом даже начальный кластер не изменился, т.е. новый текст затер старый текст.
Ну а при сохранении пустого файла номер начального кластера равен нулю, элементы в таблице FAT (бывшая кластерная цепочка файла) тоже занулены (иначе нельзя). Таким образом, даже номер начального кластера неизвестен, поэтому действия для восстановлении - как при полной потере файловой системы.
Вирус использует обычные API функции Винды, так что будьте уверены, у Вас то же самое, но проверить, конечно, никто не мешает.

Так что пробуйте поиск по заголовкам, например в RecoverMyFiles, PhotoRec (для фоток) или EasyRecovery.
Автор: kollegator
Дата сообщения: 08.07.2009 12:22
Antech
при скане (mhdd, victoria) бэдов не вывлено, нет даже секторов с высокими задержками чтения. smart информация в пределах нормы для 4-х летнего девайса (насколько я вижу):

Код: HDD: FUJITSU MHV2040AH; FW: 00000096; SN: NT70T5925A43
--------------------------------------------------------
Name Val Worst Raw
Att # 1 : Read error rate : 100 100 175528
Att # 2 : Throughput performance : 100 100 12124160
Att # 3 : Spin up time : 100 100 1
Att # 4 : Number of spin-up times : 99 99 3480
Att # 5 : Reallocated sectors count : 100 100 0
Att # 7 : Seek error rate : 100 91 2464
Att # 8 : Seek time performance : 100 100 0
Att # 9 : Power-on time : 89 89 20724414
Att # 10 : Spin-up retries : 100 100 0
Att # 12 : Start/stop count : 100 100 2798
Att # 192 : Power-off retract count : 100 100 43
Att # 193 : Load/unload cycle count : 97 97 67508
Att # 194 : HDA Temperature : 100 100 32
Att # 195 : Hardware ECC recovered : 100 100 349
Att # 196 : Reallocate event count : 100 100 457244672
Att # 197 : Current pending sectors : 100 100 0
Att # 198 : Offline scan UNC sectors : 100 100 0
Att # 199 : Ultra ATA CRC Error Rate : 200 200 0
Att # 200 : Write error rate : 100 100 21802
Автор: Antech
Дата сообщения: 08.07.2009 17:11
kollegator

Цитата:
при выборе нового

Зачем Вам новый? Если курсор в бутсекторе NTFS, выбирайте шаблон бутсектора NTFS и Apply (или Enter).

Ладно, займемся дампами. Раздел по таблице один, NTFS, начинается в секторе 63. Покажите дамп секторов 0-499 физического диска (надо проверить, правильно ли Вы дали дамп начала раздела), а также дамп сектора 78124094 от начала физического диска (может, найдем тут копию BS).

Если Вы сняли начало раздела правильно, то там мусор и действительно бутсектор накрыт (это редко бывает на NTFS, но тем не менее).

P.S.
Можно подумать, файлкипер неудобный или платный...
Автор: kollegator
Дата сообщения: 09.07.2009 09:39
Antech

Цитата:
Зачем Вам новый? Если курсор в бутсекторе NTFS, выбирайте шаблон бутсектора NTFS и Apply (или Enter).

выбрал шаблон. через 5 минут дошло что значит "более наглядный вид" , раньше я понимал под этим листинг структуры сектора, его копию.
сейчас помеченный блок из буфера вставляю в новый файл который потом успешно сохраняю. только вот незадача - деление на сектора не производится и смещение начинается с ноля. хотя, есть подозрение, что только так и возможно копирование.
сектора 0-499:
http://file.qip.ru/file/94450769/70002fed/0-499_.html
сектор 78124094 (смещение 39999536128)
http://file.qip.ru/file/94450758/2c2a4cb8/78124094_.html
P.S.
что может быть проще драга файла в окно "аси"?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316

Предыдущая тема: USB Flash Drive. Общие вопросы (Часть 2)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.