» Восстановление разделов и информации на HDD (часть 6)

Hellteh
Сложно что то написать точно если имеются абстрактные сведения.
Проблема с первыми четырьмя записями встречается нередко, но каждый раз они специфичны.
Встречаются когда записи просто сдвинуты и достаточно их перетасовать как надо, но бывает что и в этих сдвинутых записях вкрапливается мусор. В таком случае простая правка не всегда приводит к хорошим результатам. Так что, при сборке из того что было, не удивительно что видется куча ошибок.
И самые печальные ошибки в случае если они попали в ранлист - соотвественно он может быть некорректен и не все данные доступны. Поэтому надо сверять его с логом поиска NTFS.
Ну и конечно же смотреть что за ошибки выдает чекдиск. А в идеале, обращать внимание на то куда попал бэдблок.

PS. Проблема может быть из-за многих причин, но немало случаев было у внешних винтов A-data. Так что если диск таковой то всё может повторится если не заменить контейнер.

коллеги, а какой есть софт что бы снимать образ диска,
и причем была функциональность
пауза, прервать копирование, продолжить
а то к примеру пк перезгрузился с винтом ( винт сильно бэдовый)
продолжать сначала ну очень долго ( 18 часов с начала прошло)

p.s. я так понимаю такое могу профессиональные
копировщики или все же есть из среди доступного софта с такой функциональностью?

Цитата:

продолжать сначала ну очень долго

Как уже говорил, чтобы не начинать сначала - надо делать клонирование на другой физический диск Можно будет продолжить с любого сектора, однако. По софту, подумаю, может позже подскажу, сейчас занят...

Цитата:

igor_me

очень сомневаюсь что при копирование не в образ в на диск
пк не перегриузится

могу перефразировать вопрос - чем можно снимать копию и можно продолжить снятие копии в случае остановки копирование ( перезагрузки пк, подвисание софта, выключения света и тд)

alpham100
если вопрос варезности опустить, то WinHex - самое первое что приходит на ум..
а вообще - отличная штука есть DD (клон юникс-утили)

т.е. тут есть возможность выбора "начала от..".. но вам нужно самому "придумать" способ фиксирования места, до которого дошло клонирование перед выключением/зависанием. Вариантов, кстати, много.

Цитата:

очень сомневаюсь что при копирование не в образ в на диск

Ну я же сказал, это для того, чтобы можно было продолжить с любого места, всего лишь

Цитата:

могу перефразировать вопрос - чем можно снимать копию и можно продолжить снятие копии в случае остановки копирование ( перезагрузки пк, подвисание софта, выключения света и тд)

Автоматически - не знаю. А вручную: можно всегда посмотреть на диске-приёмнике, до куда (примерно ) дошло копирование и продолжить с сектора немного раньше...
Если другие автоматические средства платные - мне и такого способа вполне достаточно...

alpham100
Если ведется посекторное копирование в файл винхексом или dd или т.п. утилитой, которые умеют задавать регион копирования (и полезные опции реакции на сбойные сектора) - отлично понятно место остановки по размеру результирующего файла Если же напрямую на винт, то тут уже посложнее - тут либо вести подробный лог операции на третий носитель, либо предварительно забить донора каким-нибудь паттерном, тогда в случае прерывания копирования место остановки находится поиском первого вхождения этого паттерна на доноре
Ну и конечно продолжать лучше с запасом (захватив заново часть из прошлого финала), но если источник сильно проблемный и может уже не прочитать даже маленькое место окончания прошлой попытки - сливать это место с источника на третий носитель и сверять его с местом окончания на доноре.
Если на этом месте стабильный ребут - это серьезно, тут бы надо сочетать с методиками работы с поврежденными винтами (начиная с простых вроде охлаждения винта, подогрева, подбора положения в пространстве, итд - внимание, нужно знать зачем и когда такое применять! - и заканчивая всякими вскрытиями банки в спец.условиях и работы уже на совсем другом уровне... но это уже конечно не в домашних условиях)

---

9285
Понимаю. По хорошему вообще нужно на нормальной системе по sata сливать. И сначала посекторно скопировать на донорный диск, а с него уже восстанавливать на другой. Но подобные ресурсы к сожалению недоступны (или данные оценены хозяином не особо дорого ), поэтому, учитывая хороший смарт исходного диска и целостность большинства сливаемых сейчас файлов (после проведенных манипуляций) было принято решение слить пока по максимуму что получилось - больше важна их массовость, чем сохранность какого-то файла в отдельности.
Возможно после этого уже займемся глубже.
Чекдиск выдает не слишком много ошибок (несколько десятков записей), что тоже учитывалось при принятии решения.
По поводу контейнера будем разбираться, я знаком с их подобными особенностями и "способностями", поэтому всегда недолюбливаю их... И конечно не только а-дата умеют так портить, очень многие умеют, знаком Ну и в данном случае атрибут огромного количества UDMA CRC Error говорит сам за себя.

А что бы Вы порекомендовали почитать по теме ранлистов, устройства NTFS? (Ну кроме Linux NTFS - не настолько подробное про всё, сейчас на подобные библии времени нет. Восстановлением данных я не занимаюсь специально, вообще давно этим не занимался, просто случился вот единственный пока вариант помощи от меня, ну и интересно в целом для себя узнать)
Чтобы хотя бы понимать например, что с результатами поиска NTFS в DMDE делать вообще

Hellteh

Цитата:

А что бы Вы порекомендовали почитать по теме ранлистов, устройства NTFS?

Файловая система NTFS извне и изнутри
Автор: (c)Крис Касперски ака мыщъх
http://www.insidepro.com/kk/044/044r.shtm

Brian Carrier
File System Forensic Analysis --- pdf файл
Поищите..., раньше в сети было ссылок полно, а теперь правообладатели прикрыли...
Не найдёте --- выложу на обменник....


или её перевод на русский

Брайан Кэрриэ “Криминалистический анализ файловых систем” . Djvu файл
http://www.booksgid.com/other/12286-brajjan-kjerrije-kriminalisticheskijj.html

Цитата:

Брайан Кэрриэ “Криминалистический анализ файловых систем” . Djvu файл
http://www.booksgid.com/other/12286-brajjan-kjerrije-kriminalisticheskijj.html

интересные дела...
скачал и бац! запароленый зип архив.
пароли (название сайта, архивы) не подходят.
оригинально.

Tau_0
Спасибо!
Поправлю только линку на мыщъха: http://www.insidepro.com/kk/044/044r.shtml

folta
Это сайт очередных "бузинесменов", нагревающихся на мобильных подписках и не только http://support.booksgid.com/ Уупс, действительно не заметили бревно
Так что поищем в других местах. (в гугле куча рабочих ссылок, например на progbook.ru с того же турбобита)

Hellteh

Цитата:

тут уже посложнее - тут либо вести подробный лог операции на третий носитель, либо предварительно забить донора каким-нибудь паттерном, тогда в случае прерывания копирования место остановки находится

Не согласен/частично согластен, но в ньюансах..., это дело серьёзное....

Вот здесь совсем недавно спор вышел между misha2 и 9385 , ---- можно ли "на коленке" вытянуть данные с проблеиного харда....???....
Зафлудили спор, но если вникннуить в суть, --- элементарно....

Ясно, что если по большому счёту, то не DMDE не толт инструмент....

Выще головы не прегнешь....

folta

Цитата:

интересные дела...

О чём вы, милейший??????????
На следующей же странице красными буквами написано "Если при распаковке файла запрашивается пароль, введите следующий: booksgid4tivo"
!!!!!!!!!
"Бревно" то и не заметили

Hellteh
igor_me
не лазею по факам.
(а кроме как там, нигде не встретил красным по белому, бишь моя лиса третей модели, не светила)
уж привык, на букасайтах находить запараленные архивы. особенно на красочных и флешеунавоженных. поэтому, отношусь с презумцией. и буду в дальнейшем.
так что.
бревно в печь. за пароль спасибо.
ёба..галимый квест интересная шарада для читателей     

радостное событие в жизни.. изменял Gparted на флешке размер раздела, освобождал место в конце 50 Мб. впереди 4 Мб не размеченных, остальное ntfs (общий 30Гб). 4 убрал в конец к 50, затем сдвиг пошел оосновной части.. и пи..ц. сбой ((( важное убрал перед операцией, да не совсем все (
chkdsk /f рассказал, что не реально исправить.. да и не было надежды. сейчас пробую r-studio пройтись. но чую не поможет. какой дельный совет есть?

Tau_0

Цитата:

Не найдёте --- выложу на обменник....

Сам не нашёл, --- во прикрыри....
FileSystemAnalysis (5).pdf (4.0 МБ)
http://rghost.ru/43950554

Пока доступно...

Hellteh
Думается что ты не понял о чём я писал.
На этом скриншоте ты можешь увидеть вариации того как один байт может испортить ранлист. В 1 оригинал, в 2 подправлен байт смещения второго фрагмента, но поплыли все остальные записи, в 3 наоборот вписан 00 и ранлист закрылся. Ещё один вариант не сделал но можно существено укоротить первый фрагмент. И любое из этих изменений приводит к потере тех или иных записей - соотвественно файлов )и возможно важных).
И это относится лишь к открытию средствами той же DMDE, про реакцию чекдиска на такое вообще лучше промолчать.
Уж если на то пошло, то тогда надо запускать Поиск NTFS и на основе найденного восстанавливать данные. В этом случае даже с битыми начальными записями данные имеющие записи будут доступны - но тут вклинятся возможные реликтные записи.
Так что проверка и корректная правка ранлиста даёт неплохой эффект.

Литературу посоветовали, но вообще это надо "потренироваться на кошках" - точнее на вируальных машинах.

Что касается Поиска, то там просто надо открывать найденные тома. Или, если речь идет о формировании ранлиста, то анализировать найденное с тем что имеется на предмет корректности.

Tau_0
Цитата:

Зафлудили спор, но если вникннуить в суть, --- элементарно....

Ты неверно всё трактовал. Элементарно делается то, что можно сделать, тем что может это сделать.

igor_me
Цитата:

надо делать клонирование на другой физический диск

"Надо" это как бы одновариантно? Ну да, а потом искать где оборвалось.
При копировании в файл тем же DMDE можно увидеть сколько успело скопироваться. Затем отступить на некоторое число секторов (пару сотен тысяч например - в общем то там где есть идентичные данные, и продолжить копирование.
Хотя может и ожно купить комплекс за 100 тысяч и иметь полностью залогированный клон.

Можно немного офтопа? А чем пользоваться для перераспредклкния места на разделах чтобы потом не было мучительно больно в случае аварийного завершения процедуры? И чем можно разделы подвинуть чтобы device id или как там они называются у разделов не сменились? Просто ситуация такая что есть раздел восстановления на ноуте который запускается по f11 при загрузке. Но если менять размеры разделов. То данная функция больше не работает. Я так понял boot.ini винды 7 теперь ориентируется не на порядковый номер раздела как это было раньше, а именно на этот id. Спасибо.

KitePark
Правую границу двигать средствами ОС. Всё остальное - бэкап, удаление-создание разделов.
Что касается функции восстановления то здесь зависит от вендора. Например на леново (по крайней мере на одной модели) - можно менять размеры дополнительного раздела, создавать ещё один - всё работает. Но, как только трогаешь системный, так орёт что изменено и предлагает вернуть разметку к заводской. Насколько понял, где то прописаны параметры раздела и в случае их изменений (при сравнении) происходит такая байда. Хотя, разговаривая с их техподдержкой, выяснил что можно это обойти, но специальной утилитой производителя (типа прописи изменённых параметров раздела).

Бренди hp elitebook. Я это обходил редактированием загрузчика boot.ini вернее того что вместо него стало в семерке. С помощью стороней проги (не помню название). Приходится прописывать новые значения id разделов диска. Но это геморно. Вот я и подумал может можно к этой задаче с другой стороны подойти. Т.е. после изменения размера разделов вернуть им старые значения id. У dmde есть такой функционал? Вы вообще поняли о каких id я толкую?

9285
это ноуты? если так, то привязка идет к системе recovery (восстановления) и размер раздела четко определен в образе.

Добавлено:
KitePark
а вы смотрели содержимое раздела восстановления?

Эх. Видимо совсем я объяснять не умею.. Смысл том что в загрузчике прописано сразу несколько операционок типа. просто список для выбора не появляется при обычном включении компа. Но суть в том что одним из пунктов прописана загрузка операционки от Acronis скорее всего основанной на linux. Т.е. когда нажимаешь f11 запускается эта операционка или оболочка и начинается тупо разворачивание образа раздела на С.
Проблема в том что в этом загрузочном меню пункты привязаны не к порядковому номеру раздела а к его ID. И я хочу оставить его неизменным после изменения размеров разделов.
До этого меня выручала прога EasyBCD

Жесткий разбит на 3 раздела. В одном стоит ось XP, в другом логическом - WIN7. После того как раздел с семёркой был преобразован из логического в основной акронисом, семёрка перестала грузиться с ошибкой 0хс0000225 (сбой меню загрузки). Восстановление штатными средствами из образа системы ни к чему не привело. Можно как-то поправить ситуацию?
P.S. Вопрос снимается, восстановил загрузку с помощью TestDisk.

9285
Это-то ясно. Но вы же понимаете, что ручную проверку ранлистов всех записей проводить нереально на сотнях тысяч файлов Максимум что имеет смысл, как я понял, это ранлист MFT + (поврежденные) ранлисты важных файлов.
Правильно ли я понимаю, что полноценно проверить ранлист MFT можно лишь после полного поиска всех MFT-записей (что делает тот же поиск NTFS в DMDE)? Однако среди которых может быть и множество "реликтовых", которые надо учитывать (исключать).
Ну а с важными файлами разберусь - см. ниже.
А чекдиск я тем более не собирался пускать на запись, вы что

Потренироваться можно и без виртуалок - есть VHD Либо работа с посекторным образом диска - что DMDE, что WinHEX отлично с ними работают, и куча других утилит.

С поиском NTFS понял, ну тогда просто поступлю так: после поиска NTFS сравню скриптом списки найденных файлов от DMDE (удаленные файлы - отдельно) с уже сохраненным списком от WinHEX/R-Studio (список файлов, которые они сливают), и сразу будет видно какие записи упущены (т.е. отсутствуют в текущем варианте полувостановленной MFT), если среди них есть нужные файлы - будем разбирать.
Ну а слитые файлы хозяин проверит сам, у меня нет никакого желания смотреть 140 тысяч ранлистов Если обнаружатся поврежденные среди важных - тогда и буду проверять их ранлисты.

Или есть автоматические средства для проверки целостности ранлистов?

Добавлено:
KitePark
В BCD не используется никаких идентификаторов для томов (разделов) - для них используется адресация либо по буквам (C: D: итд), либо вида \Device\HarddiskVolume1
Однако записи BCD завязаны на подпись диска, которая хранится в MBR. При её несовпадении и возникают проблемы, когда загрузчик отказывается грузить систему (т.е. в случае клонирования раздела с одного диска на другой). Если же проводятся операции внутри одного диска при сохранении очередности разделов - таких проблем быть не должно. Если разделы двигаются / добавляются новые - нужно сверять адресацию с BCD (например, можно из лив-сборки во встроенной виндовой консольной утилите bcdedit с ключом /store и указанием пути к BCD, либо любой аналогичной типа EasyBCD - если они умеют работать с внешними (несистемными) BCD), а если просто двигаются/меняется размер - с сохранением очередности - тогда ничего не нужно.
Подробнее про подпись диска можно почитать здесь:
http://www.thevista.ru/page15555-ustranyaem_konflikt_podpisey_diskov
(источник на англ, вариант перевода от Russian MSDN - менее приятный)
Менять её можно как записью байт в MBR, так и через diskpart (там всё описано).

Hellteh
именно то что я спрашивал спасибо

9285

Цитата:

Ты неверно всё трактовал.

Я трактовал верно, --- оба умные и грамотные, а залупились на понятном Вам обоим месте (из-за каких принципов...???...) по деЦки...

ЗЫ Если который меня неправильно понял, --- в моей ссылке на Шукшина не было ничего личного. Только хотел, чтобы образумились...

Hellteh
У тебя есть явно видимый дефект несколькх начальных записей, но при этом все последющие (внешне) нормальны. К чему проверять все эти ранлисты? Тем более что проверить ранлисты файлов малореально - можно увидеть что заголовок файла соотвствует расширению, но дальше то нет возможности проверки, особено если он фрагментирован. И хоть и пишется предостережение о последствиях исправлений чекдиска, но имено он является тем средством, который может проверить и исправить возможные ошибки.
Что касается реликтовых записей, да и прочего в анализе лога поиска, то здесь нужно просто анализировать. Предположим что у тебя есть фрагментированная MFT, по ранлисту которой видно что первые 16 записей начинаются в кластере 3, а остальные в кластере хххх.И ты видишь по логу что так и есть - (0-15) и (16-ххххх). Вполне логично что если и попадётся несколько записей (как пример 24-39) то они не относятся к существующему ранлисту.
Так понятнее?

mleo
Ещё раз повторяюсь - методы восстановления а также всякие привзки зависят не от того ноутбук это или что то другое, а от вендора. И у каждого они свои, причём как жестокие, так и демократичные.
К тому же KitePark попутал немного восстановление вендора и восстановление от Акрониса, которое не привязано к BCD-контейнеру 7-ки, и которое контролируется загрузчиом, прописываемым в MBR. И раз уж пошла такая "пьянка", что привязка идёт к идентификатору в LBA0, то при изменениях размеров разделов, их перемещении этот индикатор не меняется.

Osya25
Тебе бы в тему про проблемы с загрузкой 7-ки (висты) - средства восстановления ОС (с дистрибутива) должны помочь решить проблему.

Tau_0[more=Ты так и не понял]Дело не в принципах. Если кто то написал неправду, то любой другой может его поправить. Опонент может признать ошибку или доказать что он всё таки прав. Но только аргументами а не говнополиваниями. В предыдущем сообщении я написал про его язвительность - пройди по ссылке. Там и про тебя упоминается. Только вот непонятно к чему он произнёс там фразу о том что я мол "научу" ремонту? Хотя как раз таки очень понятно поведение обидчивой фифы. И здесь не заставил себя ждать укусом, но вот только что то слился после этого.
Может ты прозевал, но я уже писал - для меня важна истина, а не панибратство. И указывал на неточности Antech-у, и признавал он их, потому как Человек и может адеквато воспринимать.
А "ты меня уважаешь?" применимо для личных встреч за бокалом пива. [/more]

Цитата:

можете посоветовать софт для снятие образа с бэдовых\проблемных винчестеров,
емкостью больше 128 гб ( например 250 гб)

igor_me
south_man
Hellteh

закончил восстановление с винчестера

образы в концов большей частью слил

hdclone - "улыбнул" один момент, когда закончилось копирование данных(один раздел),
( 105 гб - за часов 28)
после окончания копирование данных,
он начал копировать бэды или вроде того ( и написал нужно 1300 часов...)
подождал часов 5 - прервал (снял задачу) такое копирование, ( стояло на одном месте)
начал заливать образ на винт, винт беру 120 гб
пишет что образ не помещается, типа нужно 136 гб.....
знаю что раздел, образ был до 100-105 гб откуда такое взялось непонятно....
но образ залился, с другого винта рстудио инфу нужное вычитал,
но то что непонятное попалось при работе написал....

p.s. может ликбез меня по этим вопросам
заранее спасибо за ответы!

здравствуйте! ситуация вот такая
на компе 2 жестких диска, хп не ставилась, из-за неподходящего MBR. вычитал в интернете как это исправить. восспользовался HDDscan, команда erese,но по дурости затер не тот диск. как теперь восстановить на нем информацию. testdisk после анализа вот что выдает, т.е., как я понял разделов он не видит, хотя с другой стороны логический диск висит в моем компьютере.
http://postimage.org/image/adq6azz1z/

какую инфу мне еще предоставить и как дальше действовать?

Если это точно была

Цитата:

команда erese

то - никак! АБСОЛЮТНО!!! (в фоне звучит похоронная музыка )

Цитата:

хотя с другой стороны логический диск висит в моем компьютере.

Если вы не создавали заново раздел на этом диске, он не мог там появиться.

Цитата:

команда erese

применялась к ФИЗИЧЕСКОМУ диску???

Добавлено:
Не рассмотрел сразу скриншот. Так там у вас отображён ФИЗИЧЕСКИЙ диск. Где вы там логические увидели??? Внизу, где Partition и т. п. всё пусто. Разделов нет. Данные вы "убили" безвозвратно, к сожалению

igor_me
те, даже тот факт, что я закрыл программу через 1 минуту, тоже не играет никакой роли??
за это время уже все удалилось физически?

да, erese я приминил именно ко всему физ диску, а не к разделу
походу все оочень плохо

Ну по крайней мере в моем компьютере висит некий пустой локальный диск