» Восстановление разделов и информации на HDD (часть 4)

shax_muzzz

Цитата:

что-то до меня не доходит как вычисляется место хранения дополнительных записей File Record по атрибуту 0х20

Вычисляется это не сложно. В атрибуте 20 перечислены все атрибуты, кроме самого ATTRIBUTE_LIST. Для каждого атрибута указан номер записи, в которой он расположен (см. Linux NTFS, смещение 10h от начала вариантной части атрибута - Base File Reference). Умножаем номер записи на 2 (размер записи) и имеем виртуальный сектор искомой записи. Если у Вас MFT не фрагментирована, или уже слита в один файл, то виртуальный сектор равен "обычному" (логическому, как можно было бы назвать, аналогично logical cluster number == LCN). Если MFT фрагментирована, естественно, надо пересчитывать с учетом ранлиста, но, как я понял, Вам это не актуально.
Для Вашей записи. Для атрибутов 10 и 30 указана запись 6B9Fh, что совпадает с номером текущей записи, указанном по смещению 2Ch от начала записи. И действительно эти атрибуты мы видим в Вашем дампе. Что касается DATA, то для него использована только одна запись 15D37h, т.е. это сектор 178798 (2BA6Eh) от начала MFT.


Цитата:

интересен сам механизм

Насколько я знаю, если есть расширенные записи, то в них при удалении пишется новый пустой DATA, который затирает начало старого DATA, из-за чего восстановить проблематично (не представляю, как это можно сделать, т.к. подобная фигня, как Вы понимаете, бывает только у сильно фрагментированных). Но чтобы убивались базовые записи, такого не встречал (но у меня опыта мало).

У меня был только один успешный кейс с таким файлом. По какой-то причине MFT была усечена, в результате Чекдиск обкастрировал базовую запись, но по счастливой случайности весь DATA был в двух расширенных записях, а т.к. это было не удаление, то расширенные остались нетронуты (они были за пределами усеченного размера MFT), и файл был востановлен (база The Bat).

Linux NTFS (PDF)
СИИЖТ NTFS (PDF)
Кэрриэ. Анализ ФС (DJVU)

спасибо за помощь, буду знать.

Вчера вытащил последнюю крупицу данных с помощью R-Studio. Все-таки в моем случае, эта программа оказалось наиболее результативной, т.к. показала структуру каталогов практически, как было на диске до инцидента. Другие программы некоторые подкаталоги не идентифицировали, вообще не показывали или показывали пустыми.

Пришло время экспериментов. Прописал патч начала MFT, прописал в BR MFT Start Cluster = 4. Скормил раздел чекдиску...

Барабанная дробь...

...В результате получил тот же ответ что и раньше =(

Цитата:

The type of the file system is NTFS.
Unable to determine volume version and state. CHKDSK aborted.

Так выглядит мой BR
http://img215.yfrog.com/img215/8977/corel006.png
Я пробовал Sector per Cluster 4 и 8. В обоих случаях результата нет.

Так выглядит пропатченный сектор 215046185:
http://img269.yfrog.com/img269/2228/corel008.png
До и после него сплошные нули. Скорей всего именно из-за этого chkdsk не врубается в происходящее =)


Ну и Бог с ним, с чекдиском. Сейчас уже можно просто отформатировать винчестер.
Главное, что все важные данные уцелели. (Пострадали только 40 гб свежескачанных торрентов в больших 7гб файлах)
Из этой истории я вынес следующие выводы на будущее. Возможно они кому-то пригодятся.

1) Перед каждой операцией с разделами дисков, стоит погуглить о последствиях.
2) Не пользоваться левыми дефрагментаторами, которые собирают MFT и копию в начало диска. В моем случае это был DiskTrix UltimateDefrag 2008.
3) Не экономить время и средства на Back-up. В итоге рано или поздно это окупится.

Всем сочувствующим и помогающим спасибо.

Выражаю огромную благодарность Antech, за своевременные и полезные подсказки, без которых я бы просто-напросто угробил 500 гб данных! Видно, что человек глубоко разбирается в вопросе.

OM82

Цитата:

Так выглядит мой BR

В таком виде обычно не дают (лучше дамп).
По теме. Размер кластера (параметр Sectors per cluster) у Вас 4 сектора, поставьте 8 (это обычное значение). И покажите дамп любой файловой записи, оставшейся нетронутой (будет точно размер кластера). Если, конечно, это еще актуально.


Цитата:

Так выглядит пропатченный сектор 215046185

На размер патча посмотрите (извиняюсь за глумление). Вам надо было записать 8 секторов.


Цитата:

выводы на будущее

Два вывода, самые главные:
1. Не использовать никаких средств для работы с таблицей разделов и файловыми системами, кроме штатных системных (поставляемых вместе с операционкой Win/Linux/e.t.c.).
2. Всегда делать бэкап нужных данных.


Цитата:

Сейчас уже можно просто отформатировать винчестер

Неужели, после всего этого, Вам не интересно сделать in-place? Остается только поправить размер кластера и записать полностью патч начала MFT - и все, можете пускать Чекдиск.

Конечно интересно! Изначально я поставил Sectors per cluster 8. 4 я поставил, когда чекдиск ничего не понял.

Только что попробовал, учитывая Ваши замечания. (прописал 8 секторов в DMDE из .img), Sectors per cluster 8.
К сожалению, не помогает. Насчет создания дампа - уже не актуально, но если Вам интересно решить головоломку, держите несколько секторов MFT с этого раздела.
http://rghost.ru/445491


Добавлено:
Вообще это уникальный случай. Diskutil затер n секторов в разделе, и при этом еще час система работала нормально, на этот "обезглавленный" раздел заливались торренты. Ситуация прояснилась лишь после перезагрузки.

OM82

Цитата:

Ситуация прояснилась лишь после перезагрузки

Естественно, ФС кэшируется.


Цитата:

несколько секторов MFT

Размер кластера 8 секторов (и в каждой записи доп-поток "Mac_Metadata" - нет предела извращенью Apple).

Бутсектор. Его нужно записать в сектор 215046153 (от начала физического диска, естественно). Патч MFT должен быть записан в 8 секторов, начиная с сектора 215046185. При переходе в начало раздела в WinHex (открыть физический, нажать на раздел в таблице сверху) Вы должны видеть записанный бутсектор, при переходе на 32 (20h) секторов дальше (Alt+G, Sectors, Current Position) Вы должны переместиться в начальный сектор MFT (ну там строка $MFT, Вы это теперь хорошо знаете). WinHex должен без проблем заходить в раздел по двойному нажатию на таблице, Чекдиск должен проверять раздел... Все равно не работает?
Я проверял патч на тестовом разделе, все было нормально.

Народ помогите.Ссылок тут много и страниц расписанных тоже не мало...но всё же не нашёл свой вопрос (да и порой написано на непонятном слэнге.Беда в том что есть винт SAMSUNG SV0411N ATA DEVICE (40 гигов, не сатовский), отфармотировал его и слил 15 гиг инфы, после нескольких запусков виндоус он попросту потерял таблицу разделов и оставил в корне один файл bootsqm.dat . восстанавливать файлы у меня получилось с помощью Handy Recovery 4.0, но не понять мне как восстановить саму таблицу разделов и впредь избежать данной проблемы?Буду признателен за хороший ответ + ход действий на доступном языке обычному пользователю)))

943sn

Цитата:

он попросту потерял таблицу разделов и оставил в корне один файл bootsqm.dat

Цитата:

не понять мне как восстановить саму таблицу разделов

А откуда файл взялся, если нет таблицы разделов? Вам не с таблицей вопрос надо решать. Вот сообщения о подобных случаях с другого форума:

Цитата:

[Case №1] when booting up this morning it did a check on the drive and now all thats left is the file bootsqm.dat. but the free space still shows that 10 gig is used

Цитата:

[Case №2] hard drive that still appears in windows to be 70% full. However, when I browse to the drive all I see is 1 file: "bootsqm.dat" which is 13KB

Т.е. в первом случае был Чекдиск, во втором причина неизвестна (может также при загрузке Чекдиск запускался, но не был замечен, если юзер отошел от компа). Я не знаю, из-за чего такое бывает. Можно сделать раскопки и определить, что именно произошло (похоже на случайное форматирование, типа Винда так захотела), но вероятность того, что удастся сделать in-place, невелика. Да и зачем Вам это? Проверьте SMART, отформатируте и пользуйте винт дальше, не забывая про бэкап.

Все сделал как Вы говорите - прописал все куда надо. Чекдиск продолжает уныло бормотать свою мантру:
The type of the file system is NTFS.
Unable to determine volume version and state. CHKDSK aborted.

Я сдаюсь т.к. пора форматировать винт - работа не ждет.

Короче говоря я делаю еще один вывод - если нет необходимой квалификации, и если испорчены $MFT и $MFTmirr - спасай данные специальными утилитами.

NTFS изначально создавалось как многоплатформенная файловая система, поэтому нет ничего удивительного в потоках "Mac_Metadata". И эппл тут не причем, это работа драйвера NTFS от Paragon.

Кто все-таки решится пройти путь ручного восстановления, вот ссылки на русскоязычные статьи, которые могут помочь:

Unformat для NTFS
http://www.insidepro.com/kk/033/033r.shtml

Восстановление NTFS - undelete своими руками
http://www.insidepro.com/kk/032/032r.shtml

Восстановление данных на NTFS-разделах
http://www.insidepro.com/kk/021/021r.shtml

Файловая система NTFS извне и изнутри
http://www.insidepro.com/kk/044/044r.shtml

Еще раз спасибо за помощь, Antech.

Antech здравствуйте, нужны Ваши советы:

Цитата:

Чтобы не заморачиваться с выбором диска, пустите скан с ремапом в Victoria API на винте, имеющем проблемный SMART, а потом в Управлении Дисками создайте/форматните раздел. Так не ошибетесь (ремап пишет только в бэды).

Скан с ремапом сделал, log и скрин прилагаю в архив.
Далее иду форматировать --> тип основной --> после формата вылезает табличка Завершить форматирование успешно не удалось.
http://slil.ru/27964293

Погуглил на тему Завершить форматирование успешно не удалось. После обратил внимание, что можно только 4 типа основных, а у меня 5 (по скрину видно). Отключил все внешние, та же табличка. Создаю его как дополнительный раздел, форматирую, опять это сообщение. Antech, как быть?

OM82
Сорри, посмотрел сейчас патч - я тиам только $MFT выложил. Здесь полный патч (4 записи), жалко что уже форматнули... Хотя еще не поздно сделать Unformat патчами бутсектора и начала MFT .

Antech

Цитата:

trtrtr
Вот блин... Если загрузиться с LiveCD, тоже Чекдиск не хочет работать?

После загрузки с LiveCD тоже не хочет запускать chkdsk.
Но при очередной загрузке я не успел отменить chkdsk и проверка запустилась сама. Примерно час длилась и удалялись какие-то ошибочные записи. И после этого диск стал виден!!! Большое спасибо за помощь, Antech!!!

escombros
Насколько помню, Вы хотите попользовать сильно бэдастый винт? Сейчас (на КПК) не могу посмотреть скрин и т.д. Но ИМХО у Вас остались незаремапленные бэды. Сейчас сканирвание находит бэды?

Antech
Рано я порадовался, диск снова не открывается... (((

Antech
Вот конец лога скана с ремапом:
14:22:48 : Model: ST3320620AS; Capacity: 625142448 LBAs; SN: 6QF1QZ1E; Firmware: 3.AAK
14:24:35 : Get passport... OK
14:24:35 : Recallibration... Error!
14:24:35 : Starting surface scan, LBA=0..625142448, sequential access w. REMAP, tio 1000ms
15:48:29 : LBA 607505667 try REMAP... complete
15:49:22 : LBA 607505669 try REMAP... complete
15:50:17 : LBA 607505671 try REMAP... complete
15:51:11 : LBA 607505673 try REMAP... complete
15:52:05 : LBA 607505675 try REMAP... complete
15:52:59 : LBA 607505677 try REMAP... complete
15:53:53 : LBA 607505679 try REMAP... complete
15:54:47 : LBA 607505681 try REMAP... complete
15:55:41 : LBA 607505683 try REMAP... complete
15:56:35 : LBA 607505685 try REMAP... complete
15:57:29 : LBA 607505687 try REMAP... complete
15:58:01 : Block 607505688 Error: UNCR
15:58:02 : Warning! Block start at 607510552 = 490 ms
16:00:01 : ***** Scan results: Warnings - 1, errors - 12 *****
Что скажете, может нужно заново ремапить, errors - это не незаремапленные бэды?

Цитата:

Сейчас сканирвание находит бэды?

HDDScan S.M.A.R.T. Report http://filekeeper.org/download/shared/sshot-3.png
Поставил сканировать винт в HDDScan (Verify), как закончиться выложу отчет.

trtrtr

Цитата:

диск снова не открывается

Странно, по СМАРТу у Вас нет проблем и память Вы мемтестили. С питанием порядок? Глючные восьмерки просто так не появляются. Либо проблема с памятью, либо со шлейфом винта (хотя UDMA Errors в СМАРТе нет), либо с самим винтом что-то не так. Но т.к. кроме проблемного винта есть еще системный (как минимум), а глюк опять возник на том же разделе, то RAM тут врядли причем. Соответственно, круг сужается до шлейфа и винта (ну и на питание разные винты по-разному реагировать). Замените шлейф. Покажите дамп 10 секторов, начиная с 6291519. В принципе, все начало MFT у нас есть (включая патч) и нет проблем залить обратно (просто запишите патч еще раз), но надо посмотреть, что сейчас накрылось.
С Чекдиском, я так понимаю, у Вас проблемы (не запускается из командной строки, даже с LiveCD). В каком-то софте Акрониса есть возможность пустить Чекдиск на проверку (без исправлений), можете попробовать (только не злоупотребляйте, ищите именно эту функцию). Не хотелось бы сразу пускать Чекдиск на исправление... Или хотябы скопируйте все с проблемного винта (в любом случае он у нас подозревается в искажении данных, например, возможно, у него глючный кэш - такое редко, но бывает AFAIK).

escombros
Посмотрим, что там насканируется. Сейчас в СМАРТе и бэды, и пендинги имеются в приличном количестве.

Antech

Цитата:

Посмотрим, что там насканируется.

Вот, свел до и после ремапа. Что скажете?
http://filekeeper.org/download/shared/sshot-8.png

В последнее время часто шалил, отключался безпричинно.
2 неделе отлёживался и вот его СМАРТ.
Что скажите!?
ЖИТЬ много осталось!?

boy999
Есть немного унков, но нет реаллокейтов. Сделайте скан с ремапом (Victoria, MHDD) и посмотрите, что будет с Reallocated Sectors Count Raw.
Есть много интерфейсных ошибок. Шлейф поменяйте.

escombros
Как было, так и осталось 4 бэда. Ремапили Victoria API? Попробуйте Victoria DOS и MHDD. Если не заремапит, значит увы, бэды так и останутся на виду. Тогда сделайте HPA в MHDD на 600000000 секторов (307+ ГБ).

Antech

Цитата:

Ремапили Victoria API?

Да, вот скрин:

Пошел ремапить в Victoria DOS, о результатах отпишусь.

Цитата:

Сделайте скан с ремапом (Victoria

Пардон, а это как в Виктории!?
Шлейф поменяю, есть новый.

может поможете с восстановление данных на usb?
проблема такая:
не понятно по какой причине флешка начала определяться как "съемный диск" с файловой системой raw и размером 0 байт (раньше была NTFS)
флешку реанимировал с помощью утилиты SMI Mass Production Tool (SM32x_G1219)
пытаюсь восстановить инфу - программы напрочь не видят никаких файлов =(
Restorer2000 и R-Studio.5.0.129019 - без результатов, видят только какие-то пару файлов новой системы fat32
Easy Recovery Pro 6 видит почему-то кучу фалов по 64 кб и один 2гб (столько приблизительно было инфы на флешке) расширения EFM =\
testdisk-6.10_win тоже не дал никаких результатов..(
как-нибудь можно восстановить инормацию? физически она ведь никуда не должна была пропасть, поверх я тоже ничего не записывал..
спасибо.

boy999

Цитата:

это как в Виктории!?

Посмотрите на скрин от escombros чуть выше.

Lekter
А что именно сделал этот Production Tool? Может, он транслятор перестроил и в завершение (как финальный аккорд) отформатил в FAT ?
Вы в NTFS чем форматили? Что дает "Поиск NTFS" в DMDE? Перед экспериментами снимите образ с флешки, хотя ИМХО там уже нечего ловить (Production Tool - не просто форматер).

Lekter: скорее всего уже все, эти программы всю пользовательскую инфу трут полностью, восстанавливать уже нечего. Они для ремонта железки, а не для восстановления инфы.

C помощью какой программы можно сделать бакап и восстановление MBR с таблицей разделов и бут-секторами? Желательно под Windows.
Про бакап и восстановление нужных секторов вручную я знаю.
Ещё лучше, загрузочные записи отдельно, а таблицу разделов отдельно. На случай, если после бакапа была переразметка диска.

Пока наиболее близкое - Microsoft SecInspect, но он делает сам только отчёт, остальное - с ручным вводом номеров секторов.

Hold
Acronis, WinHEX.

Цитата:

Сделайте скан с ремапом (Victoria, MHDD) и посмотрите, что будет с Reallocated Sectors Count Raw.

Ремап сделал и СМАРТ новый.


Скок примерно, жить осталось харду!?
Или ещё нас переживёт?


Добавлено:
С утра до ночи ремапилось, ЦП=98-100% было.

Sish
Акронис делает копию только MBR и только вместе с полной копией логического диска. Нужно более гибкое решение.
WinHex - нужно делать копии всех секторов вручную, можно ошибиться.

Hold
Я, конечно, извиняюсь, но какой смысл? Без бэкапа все равно нельзя, а если есть бэкап, зачем копии MBR/BS?

boy999
SMART сделан до ремапа или после? Повторный скан бэды обнаруживает?
Насчет CPU usage и скорости винта. Похоже, это PIO. Правда, непонятно, как это сказывается на Verify. Замените шлейф, удалите канал контроллера (на котором висит винт) в Диспетчере Устройств и перезагрузитесь. Скорость должна быть нормальная, по крайней мере пока не наткнетесь на бэды.

Antech

СМАРТ после ремапа сделан. Повторный скан, как сделать!?

PIO откуда!? Хард же SATA!

Цитата:

удалите канал контроллера (на котором висит винт) в Диспетчере Устройств и перезагрузитесь.

А как канал удалить!?
В диспетчере устройств\дисковые устройства, можно тока сам хард удалить.

Так что с ним сделать!?