» Восстановление разделов и информации на HDD (часть 8)

temp9285

Цитата:

В таком случае откуда ты знаешь что каталоги превратились в файлы?
Хотя подразумевалось что в указанных папках может лежат папки с такими именами, или содержимое соотвествует тем, что видны.
У MFT нет предыдущих версий, как и нет запасных, как и отсутствует возможность отката действий чекдиска. Можно лишь поискать лог его исправлений, хотя это лишь констатация того, что исправлялось.

Задача упрощается в фаундах содержимое корневых папок, которые теперь - файлы.
Осталось теперь посоздавать корневые папки и раскидать найденное.
Вопрос, а по Thumbs.db можно определить, в какой папке от корня он лежал ?



Добавлено:
Визуально - просматривается GUID, можно ли по нему определить принадлежность ?

YURETS777
Не знаю. Посмотрел в ХР - нет чего то подобного. В 7-ке таких файлов нет - у ней кэш в другом месте. Может это чем то другим создаётся? Ну и погугли на предмет "структура Thumbs.db" - про данные каталога не нашёл.
С другой стороны, если известны имена файлов и их открывали, то можно посмотреть в списке ранее открываемых.

[more] Прошу совета у знающих людей.
1. Жесткий диск Seagate ST4000DM000-1F2168, 4 Tb (работал в составе Seagate Central (?NAS?))
2. Наименование операционных систем (ОС), имеющих доступ к устройству на запись. Сервис-паки ОС.
Win10х64, Ubuntu
3. Разметка устройства (скриншот1)
3.1. Исходное количество разделов на устройстве.
8 разделов. Жизненно необходима информация с 8го раздела (DATA)
3.2. Исходные типы файловых систем - EXT4. Нужный 8й раздел - LVM EXT.
4. Вероятная причина потери доступа к данным: большое количество BAD-блоков.
5. Результаты экспресс-тестирования оборудования.
5.1. SMART и результаты сканирования - скриншот 2.

Ситуация. в конце 2013го года был приобретен ?NAS? Seagate Central. Все это время отработал без сбоев. Работал в режиме 24/7.
Неделю назад перестал выходить на связь - не обнаруживается в сети, постоянно мигает зеленым светодиодом (по руководству, либо неисправность HDD, либо невозможность получить адрес в сети).
Вскрыл коробку, вынул жесткий диск, купил внешний кейс для HDD, подсоединил к Win10. Первоначальные результаты огорчают. S.M.A.R.T. тест говорит о том, что на диске присутствуют нестабильные и переназначенные сектора, также имеются неисправимые ошибки секторов. Прогнал в MHDD в режиме сканирования - огромное количество BAD блоков, затыкался каждые пару секунд.
Ситуация осложняется еще и тем, что диск имеет линуксовую файловую систему EXT4, но в UBUNTU отказывается монтироваться нужный 8й раздел с данными, ссылаясь на поврежденные сектора. Не так просто добраться до нужных мне данных.
Сейчас жесткий диск находится на сканировании в программе DMDE (версия 3.0.4) - в целом, медленно, но верно, процесс сканирования идет, за сегодняшний день найдено 14 тысяч файлов различного формата. Но скорость этого процесса очень расстраивает - за ВЕСЬ день прошло всего 2% поверхности жесткого диска. В строке статуса при затыках появляется сообщение об ошибке: "WinError 121. Превышен таймаут для семафора."
Плюс ко всему иногда (периодичность определить трудно) издает стрекочущий звук, как в этом видео.
Для ускорения процесса отключил повторное сканирование нечитаемых секторов, уменьшил время ожидания отклика жесткого диска до 3х секунд... но все равно, процесс сканирования идет очень медленно.

Прошу советов у гуру :
1. Как можно разогнать скорость этого процесса?
2. Какие еще шаги мне стоит предпринять?
3. Как сделать так, чтобы файлы распознавались с корректными именами, а не в в виде, например: 40567594043.doc

И, пользуясь случаем: настоятельно отговариваю вас, уважаемые форумчане, от покупки устройства SeagateCentral. Использовать настольный жесткий диск в составе устройства, которое должно работать по определению 24/7 - вот это подлянка. Не ожидал... Если и использовать - то только для файлопомойки, и то для данных, которые не жаль потерять.

Скриншоты:
https://www.imageshack.us/i/pmj1CYOfp
https://www.imageshack.us/i/pmEVa1uLp
https://www.imageshack.us/i/pmSdDAjdp
https://www.imageshack.us/i/pmEk21NBp
https://www.imageshack.us/i/pma2BMekp
https://www.imageshack.us/i/pmQUOev4p [/more]

temp9285
Дело в том что носитель - USB-HDD Seagate Expansion Portable Drive, винды нет, владелец винта говорит что там был вирус и винду снесли, скорее всего вирус и подпортил МФТ.
Попробую в WinHex -е поискать по сигнатуре, может какие потроха и остались.



Добавлено:

Цитата:

Ранние версии файлов Thumbs.db (Windows ME и Windows 2000) содержали не только миниатюры родительских графических файлов, но также метаданные о них: имена, полные пути, временные метки файлов. Поздние версии (Windows XP и Windows 2003), хранят лишь миниатюры, временные метки и названия оригиналов. В Windows Vista файл Thumbs.db заменен на ряд файлов с именами "thumbcache_xxx.db", которые теперь находятся внутри профиля пользователя

Зря они это сделали
Сейчас бы очень пригодилось.

Из метаданных (MyLog$) удалось восстановить только одну папку.
Поиск продолжается...


Добавлено:
А что если непосредственно в MFT поменять атрибут с файла на каталог ?
Есть какой-нибудь удобный редактор MFT ?
Или какое смещение от FILE0 имеет запись атрбутов,

YURETS777

Цитата:

винды нет, владелец винта говорит что там был вирус и винду снесли, скорее всего вирус и подпортил МФТ.

Ну да, ну да - и вирусы ветром надуло. И тхамбсы сами нарисовались.
Ещё скажи что и к линуксовому ничему не подключали. Только тогда сразу ответь откуда папка Lost.DIR?

Цитата:

Сейчас бы очень пригодилось.

Возможно ты и прав, хотя обычно этот кэш отключают, да и бэкап для этого существует.


Цитата:

А что если непосредственно в MFT поменять атрибут с файла на каталог ?

Если бы это было сделано до работы чекдиска, то возможно бы и помогло.
В любом случае, надо глянуть что сейчас в записи (например есть ли значение родительского каталога.

Цитата:

Есть какой-нибудь удобный редактор MFT ?

Не знаю таковых, хотя может потому что с WinHEX как то не получилось подружиться.

Цитата:

Или какое смещение от FILE0 имеет запись атрбутов,

16h

temp9285


Цитата:

Ну да, ну да - и вирусы ветром надуло. И тхамбсы сами нарисовались.
Ещё скажи что и к линуксовому ничему не подключали. Только тогда сразу ответь откуда папка Lost.DIR?

А это уже "спецы" поработали, клиент говорит что в фирму какую-то отдавали для восстановления, там по ходу запустили R-Studio и тупо вытянули медиаконтент, есть там папочка "Восстановление", там скорее всего дубли, что в фаундах.

Добрый день.
Есть у кого-нибудь мысли по моей проблеме?.. Буду очень благодарен за любую помощь.
Ссылка

А как в DMDE сменить атрибуты ?
Жму на пробел, оно обратно возвращается:

temp9285

Цитата:

Цитата: Есть какой-нибудь удобный редактор MFT ? Не знаю таковых, хотя может потому что с WinHEX как то не получилось подружиться.

Идея бредовая, править записи на месте.
Нужно работать с виртуальным образом структуры, внося изменения, правильные ссылки, устраняя сдвиги, не трогая исходник.
Ну и кто вам за так, нарисует подобный виртуальный редактор?

Ну или на куче копий, где строишь цепочки, и если ошибся и запутался, переходишь к следующей копии, что опять же весьма накладно, масса времени и куча дисков.

YURETS777
В DMDE нет "прямого" редактирования значений.

Вирусы в фирмочке? И я не понял - в фирмочке сбросили восстановленное на этот же диск?

Нет, вирусы якобы были на компе у пользователя, и после лечения (это со слов пользователя) вирус повредил данные на Флэшкавинте.
После этого этот флэшкавинт отдали в фирму на восстановление, там якобы частично восстановили, после чего клиент принес мне этот флэшкавинт для восстановления каталогов, которые превратились в файлы нулевой длины.
Изначально пользователь говорил о шифровирусе, что нужно расшифровывать, но как я обнаружил следов от шифровки на винте нет, он не был пошифрован.
Там походу был банальный сбой ФС.


Вот что в папке "Восстановление" :




Добавлено:
tomset

Цитата:

весьма накладно, масса времени и куча дисков.

Учитывая тот факт, что винт - терабайтник и под завязку забит, действительно накладно.

Я думаю наверное проще спросить самого хозяина винта, что было в этих папках, на вскидку и пусть уже приведет в порядок медиаконтент, лишнее поудаляет.

Цитата:

Я думаю наверное проще спросить самого хозяина винта, что было в этих папках, на вскидку и пусть уже приведет в порядок медиаконтент, лишнее поудаляет.

Собственно так и делают.
Выставлять каждый директорий даже на проф оборудовании с виртуальными средствами, замучаешься.
Десяток папок найти еще туда-сюда, а когда их десятки тысяч? А ценность и нужность самих файлов знает только пользователь. Работать можно только вместе.
Он сморит что надо, ты восстанавливаешь это нужное.
Но только вряд ли какой пользователь согласится на такую работу.
Типа я плачу и хочу как было. А то что у спеца на это пару лет может уйти, ни кого не волнует. )

YURETS777

Цитата:

вирусы якобы были на компе у пользователя

Это понятно, хотя раз возникал мысль что вирус повредил флэшкадиск, то вполне логично что его подключали в этому компу. Или я не прав? А если прав, то может то, о чём писал выше, есть в той системе - если она ещё жива.
И да, при правильном подходе, определяется причина - в данном случае что за вирус. Мог ли он вредить в MFT и т.п. Лично я таких знаю единицы, да и те ранлисты обнуляют.
Поэтому более реально что
Цитата:

Там походу был банальный сбой ФС.

Цитата:

Вот что в папке "Восстановление" :

Насколько понимаю, лог сканирования какой то программы + восстановленные по типу файлы.
Я подразумевал что они это записали на сам проблемный флэшкавинт?

Добавлено:
tomset

Цитата:

Идея бредовая, править записи на месте.

Думаю что автор той же DMDE именно по этой причине не включил такую возможность.
Кстати, а как вы относитесь к редактированию по месту таблицы разделов? Бутсектора?


Цитата:

Нужно работать с виртуальным образом структуры, внося изменения, правильные ссылки, устраняя сдвиги, не трогая исходник.

Да, несомненно. И надо делать это на ПАК - никак не меньше.


Цитата:

Ну и кто вам за так, нарисует подобный виртуальный редактор?

Кто о чём, а лысый о расчёске проффи о бабле.
То есть, если бы был ваш гипотетический редактор, но за бабло, то:
- только он был бы труэдит
- я имел право написать что да есть такой, но за бабло
?

ЗЫ:
Шо .... опять что то случилось?
Вообще то я просто ответил человеку на поставленный вопрос.

А вирус на флэшке действительно был:
https://www.virustotal.com/ru/file/70d98b736c32160617e8e272c2f5b2c10c72789fe40e27ec16f94ffa09394cd7/analysis/1454079943/

Значит методом дедукции можно определить, что на компе стояла XP вообще без антивируса, потому как даже MSE с базами 2009 года определяет его, это древний "Бронток", которому "в обед 100 лет"

YURETS777
Выяснилось что я не в курсе всех способностей DMDE.
http://dmde.ru/manual/templates.html

tomset
Всё таки есть, и не за бабло.

tomset
Перенесено сюда.

tomset
Перенесено сюда.

Цитата:

Можно понятным для "ламера" языком?

Чего ж тут не понятного. Даже Winhex. Если правишь какой-то сектор сохраняет молчком его старую копию, к которой можно откатиться, если ошибся.
Ну или называется - история изменений, к любому шагу которой можно вернуться.

Добавлено:

Цитата:

Что то я не замечал в те времена ваших бурчаний.

В те времена интернета еще не было. )

tomset

Цитата:

к любому шагу которой можно вернуться.

Если применить к данной теме, и в частности к патчам - есть дампы секторов, которые позволяют вернуть всё взад. Да и несколько сообщений назад было показано как можно пропатчить не делая изменения физически. И в шапке есть решение , позволяющее откатить изменения.


Цитата:

В те времена интернета еще не было. )

Да ладно? А как же вы в 2002 году зарегились?

tomset
Перенесено сюда.

temp9285
И тем не менее опыта у вас пока очень мало, и выводы ваши во многом ошибочны, как раз из-за маленького опыта.
Что характерно для молодых. Несколько удачных случаев возводится в ранг, все фигня и всегда так будет.
Элементарные методы и правила безопасной (для данных) работы, воспринимаются как маразм, посягательство на ваш маленький опыт, ну и т.д,

tomset
Перенесено сюда.

Цитата:

Сколько надо иметь "опыта" в вашем понимании,

Тысячи, и лет пять постоянной работы, а не от случая к случаю.
Это только чтоб выйти из состояния - молодой специалист.
А профи это уже более 10 лет.

tomset
Перенесено сюда.