» Восстановление разделов и информации на HDD (часть 8)

[more] [more] Добрый день!
Для наглядности прилагаю несколько картинок, по которым ниже задам несколько вопросов. Картинки пронумерованы в нижнем левом углу(6=5):
1) http://s019.radikal.ru/i629/1602/ca/5b0769a83ec9.jpg
2) http://s018.radikal.ru/i506/1602/62/55274adf7c2d.jpg
3) http://s017.radikal.ru/i408/1602/5a/a26397d85a8d.jpg
4) http://s017.radikal.ru/i411/1602/af/3df8cd0f64fd.jpg
5) http://s019.radikal.ru/i624/1602/73/49f15d78a62a.jpg


Цитата:

Если судить по текущей записи таблицы разделов, то как бы да - сам посмотри на экране Разделы первые и последние сектора разделов.
Хотя, там ниже есть ещё один раздел, который состыковывается и со 100 меговым. Возможно что это прежняя конструкция разделов (если исходить из копии бутсектора, то именно так), после которой почему то был удалён 100 меговый и прописан рздел бОльшего обьёма. Кто то пытался сам восстановить.
Копия бутсектора хранится в секторе, который виден в фоновом окне.
Ну а посекторку можно делать разными способами, если же говорить о DMDE, то выбрать функцию копирования секторов. В верхней части выбрать нужный раздел - в нижней куда делать (в файл или на диск). Технически можно было бы сделать и на этом "винте", но неизвестно как работает система восстановления - некоторые удаляют всё и делают по новой разметку как с завода. Поэтому правильнее - на другой носитель.

На картинке №1 для удобства пронумеровал строки разделов(в правом окне)
-Почему файловая система recovery раздела fat16? (обведен красным в левой части). в то время как в правой части(в окне "разделы") ntfs?
-Раздел под №6(в правом окне "разделы") объемом 122Гб, что это вообще? у меня в "управлении дисками" разделов только два, recovery на 8 гб(raw) и диск С: на 230гб(ntfs)
-Картинка 2 и 3, выделил разделы под №2 и №3, их NTFS boot значится как копия(выделил в левом окне), при том что на картинке 4 раздел #4 просто NTFS boot.
Насколько я понимаю, раздел под №4 это и есть те самые системные 100мб, зарезервированные виндой. При этом для всего раздела тома(раздела recovery) используется его NTFS boot, хотя он и ниже в иерархии этого тома?
-Ну и последняя картинка, под №6, я изобразил последовательность действий для снятия "посекторки". Правильно ли? и для какого именно раздела(под каким номером 2,3, или 4) следует скопировать?
Заранее благодарю за ответ и прошу простить за "много букв".

зы ну мочему все-таки мои сообщения под тег [more] убираются, не знаете? [/more] [/more]

Здравствуйте.
Имеется диск который стал RAW. Открыв DMDE я восстановил нужный файл Excell, но он во время открытия пишет что файл поврежден и открывается таблица но многие поля пусты.
Диск в файловой системе fat32 один целый раздел.
Возможно ли что часть файла неправильно восстановилась? и возможно ли его воччтановить целым

Turkish88
FAT? Вы с ума сошли? Востановить самостоятельно уже невозможно. Напишите в личку, черкану пару адресов, где помогут восстановить
Будьте осторожны, тут есть персонаж с никнеймом очень похожим на мой, он может говорить, что я не он. Не поддавайтесь.

Turkish88
не удивительно, что

Цитата:

файл Excell, но он во время открытия пишет что файл поврежден

после

Цитата:

файловой системе fat32

т.к. в случае сигнатурного поиска, файл успешно восстановится, если он нефрагментирован.

про поиск фрагментов и цепочек кластеров фат32 я, увы, не подскажу..
может temp9285 что-то посоветует, подождем его.

acrid2
Тяжёлый случай. Придётся покупать диск на два террабайта. Сможете?

Если что, можно и без покупки попытатся, но это надо будет приобретать дорогое оборудование.. Хотя у моих друзей есть, можно будет попробовать

south_man
Уже хоть что то. Куча некоторых файлов нормально открываются, которые я восстановил для проверки. В этой же папке программа видит удаленные старые темп файлы которые создавал ексель при работе но и они не открываются.

south_man
Я с FAT32 практичеcки малознаком - поэтому мне сложно судить что на ней происходит при тех, или иных операциях.
Тут недавно была тема, в которой фигурировала оная, так хоть немного подучился
Так вот там было видно что если удалённый файл был фрагментирован то программы корректно показывают его фрагменты (занимаемые кластера). Но как только что то вклинилось - показывает одним куском но подряд, начиная с первого занятого.

Здесь больше надежда на Alex_Green.

Могу Turkish88 лишь посоветовать следующее:
- больше подробностей в части возможных причин RAW (неправильно извлекли диск, была проверка чекдиском, делали загрузочную флэшку а по ошибке указали винт) и т.п.
- в DMDE сделать поиск FAT, а в версии 3.х заодно и RAW и посмотреть по результатам его. Потому как в ней есть разница в открытии тома просто из бутсектора и по результатам реконструкции (по крайней мере в части NTFS)
PS. Кстати, экселевские файлы какого формата - старые, или новые (по сути - зиповские архивы)?

Добавлено:
acrid2
1) потому что рековери разделы прячут разными способами и изменение типа раздела - первый из них.
2)
Цитата:

Раздел под №6

не увидел, но о чём идёт речь понял. Обьяснять достаточно долго, вкратце - или мусор от прежних разметок или может подобие бутсектора хранится в файле на диске.
3) значится как копия, потому как это и есть копия, а где бут, то бут.
4) да, есть те самые 100 мб. по остальной части вопроса пока не заморачивайся.
5) для надёжности, сделай по отдельности дампы разделов, обозначенные тобою как 2 и 3. Выбрать их можно нажав пимпу Раздел.
В месте для записи указать файл и сохранить его на другой носитель.

PS. Уборка сообщений под тэг - глюк (?) характерный для новых участников.

Цитата:

глюк (?) характерный для новых участников

это фича

temp9285
Старый ексель.может быть что кластеры в неправильном порядке были выставлены?

Цитата:

5) для надёжности, сделай по отдельности дампы разделов, обозначенные тобою как 2 и 3. Выбрать их можно нажав пимпу Раздел.

http://s018.radikal.ru/i520/1602/85/ec5964a556a4.jpg

Так?

Turkish88
Выставлены чем?
Я же написал - для меня организация FAT почти как тёмный лес.
[more=Для сравнения]в NTFS есть запись, в которой у резидентного файла хранится ранлист.
Не будем рассматривать кучу возможных вариантов, а типичный. В таком случае, если файл удалён, то запись может быть цела и ранлист тоже. То есть мы можем знать точное расположение, но не факт что там уже не будет другое. В FAT, насколько понял, цепочка может быть частично перезаписана.
[/more]
В любом случае, могут быть и различные глюки, типа мусора как в кластерах, так и в таблицах. Хоть и редко, но встречались такие случаи - типа цикличная пропись 0 или какого то другого символа в секторе, ка и сдампленный мусор на месте файла.

Добавлено:
acrid2
Упс, не 2 и 3 а 3 и 4. Или 2 и 4.

Цитата:

Добавлено:
acrid2
Упс, не 2 и 3 а 3 и 4. Или 2 и 4.

посмотрите, пожалуйста, картинку с поста выше, так дамп делается?
Если так, то уже сделал. Что дальше, кэп? ) Выделить "раздел" 4 --> нажать правую кнопку мыши --> из меню выбрать "восстановить загрузочный сектор из копии" --> выбрать "раздел" 2 или 3?

acrid2
На картинке выше экран разделов, на котором выбран, ранее обозначенный как №2.
Что по нему сказать? Если о более раннем, то по нему я всё уже написал.
Если всё сделалось, то у тебя должно быть два файла, один из которых обьёмом более 8 гигов. Есть такие? Какие их имена?

Добавлено:
acrid2
Зачем нужно было заменять скриншот? Мог бы просто новый приатачить, чтобы не сбивать с толку.
На новом показан выбор сохранения разметки - и это абсолютно не посекторка.

[more]
Цитата:

acrid2
Зачем нужно было заменять скриншот? Мог бы просто новый приатачить, чтобы не сбивать с толку.
На новом показан выбор сохранения разметки - и это абсолютно не посекторка.

Про замену извиняюсь, ошибся с картинкой, думал успею заменить.



Цитата:

5) для надёжности, сделай по отдельности дампы разделов, обозначенные тобою как 2 и 3. Выбрать их можно нажав пимпу Раздел.
В месте для записи указать файл и сохранить его на другой носитель.

Все-таки не пойму, где эта пимпа Раздел?
Сервис->копировать секторы (как на картинке №5 моего поста от "15:24 09-02-2016") не то?


Добавлено:

Цитата:

acrid2
На картинке выше экран разделов, на котором выбран, ранее обозначенный как №2.
Что по нему сказать? Если о более раннем, то по нему я всё уже написал.
Если всё сделалось, то у тебя должно быть два файла, один из которых обьёмом более 8 гигов. Есть такие? Какие их имена?

Вот, кажись понял что к чему. Делал так, сервис - копировать секторы, справа нажимал раздел, выбирал ну и далее в файл.

Сделал три, на каждый "раздел".

http://s008.radikal.ru/i305/1602/ef/0def03a3fae1.jpg

На этот раз верно?

[/more]

Цитата:

На этот раз верно?

Да. Один избыточен, но лучше больше.
Теперь, находясь в экране Разделы, запомни значения первого и последнего секторов нужного тебе раздела (2048 и 16631807). Выдели ом Noname04 , перечёркнутый красным и удали его. Затем наведи курсор на том с указанными выше секторами и вставь его. Находясь на строке вставленного раздела, используй функцию восстановления бутсектора из копии. Примени изменения.
Покажи что получилось.

[more] [more]
не совсем понял, что вы написали, лучше уточню:

Цитата:

Выдели ом Noname04

ом - опечатка?


Цитата:

Затем наведи курсор на том с указанными выше секторами и вставь его.

На какой том навести понял, а вставить "его" это кого?


Цитата:

Находясь на строке вставленного раздела, используй функцию восстановления бутсектора из копии.

Это описания процесса вставки "его" или уже следующая операция?
Восстановить бутсектор из копии какого раздела, который 100мб(noname03)?
-----
Как я понял процесс:
1) удалить раздел noname04 перечеркнутый красным
2) выделить оставшийся раздел noname04 (2048 и 16631807), нажать пкм, выбрать пункт "восстановить загрузочный сектор из копии" и выбрать noname3(это предположение, т.к. пишет: "том еще не был открыт. рекомендуется открыть том...." и можно игнорировать или открыть?
Прошу извинить за излишнюю бдительность, просто, я так понимаю, здесь нету права на ошибку.

upd:
вот всегда догоняю когда уже читаю что сам написал )
понял что вставить )
Остался только вопрос, из какой копии бутсектор восстанавливать?
[/more]

upd2: и все -таки нет, не понял что вставить )) Сначала думал надо будет вставить значения секторов.
Пока что удалил только том перечеркнутый красным. Вот что имеем:
http://s011.radikal.ru/i316/1602/60/9292ca00bc8b.jpg [/more]

acrid2

Цитата:

Остался только вопрос, из какой копии бутсектор восстанавливать?

Разве не логично из той, которая относится к нужному разделу?

Цитата:

Разве не логично из той, которая относится к нужному разделу?

наверное логично, когда понимаешь что и зачем делается, но, разве не логично, что в таком случае и спрашивать ничего не станешь?

И все-таки, почти все вопросы остаются открытыми...

acrid2
Ответы тоже остались на месте - в http://forum.ru-board.com/topic.cgi?forum=84&topic=5006&start=540#16

Цитата:

Выдели ом Noname04 , перечёркнутый красным и удали его.

Этот шаг сделан.

Я же вам писал, что мне не совсем понятны ваши указания. Что я понял, то сделал.


Цитата:

Затем наведи курсор на том с указанными выше секторами и вставь его. Находясь на строке вставленного раздела, используй функцию восстановления бутсектора из копии.

Если "вставь его" - это нажать на кнопку "вставить", которая появляется в нижнем левом углу окна "разделы", то когда я навожу на том noname 04, там появляется кнопка "восстановить", а когда на том noname 03, тогда "вставить", а указанные выше сектора относятся к тому noname 04.
Будьте так добры, уточните пожалуйста, что нужно сделать.

acrid2
У меня сейчас нет под руками виртуалки, на которой мог бы проверить твою ситуацию.
Поэтому смотри в контексте того, что тебе надо восстановить $Noname04 и его же бутсектор.

Цитата:

Поэтому смотри в контексте того, что тебе надо восстановить $Noname04 и его же бутсектор.

Понимаете, я вообще не понимаю что обозначает "вставить" и "восстановить"(я не знаю что там втавляется и что восстанавливается и каким образом), поэтому спрашиваю у вас.

Что мне дальше нужно нажать? восстановить - $Noname04?
потому как "вставить" при выделении этого тома нет. Если нажать пкм на нем, тогда в меню есть пункт вставить раздел(undelete), но это, как я понимаю, не то..

http://s017.radikal.ru/i439/1602/6d/0987b11e5599.jpg

Цитата:

Если нажать пкм на нем, тогда в меню есть пункт вставить раздел(undelete), но это, как я понимаю, не то..

Как раз таки то.

temp9285


Цитата:

avtandil33 А на лог поиска можно взглянуть? Ты смотрел во всех папках? В том числе и с именами типа $Fxxxx? Если известны имена нужных данных - поищи по именам, может они в какой то такой "завалялись". Открывай другие тома, если есть. Смотри результаты RAW поиска. А может уже их и нет, и чекдиск сделал своё дело. В любом случае, можешь пробовать и другие программы. Полная версия, в плане поиска ничем не отличается от Free.

Цитата:

avtandil33 То есть, ты видишь дерево каталогов, но в нём мало папок? Нужные файлы есть? Поиском по имени пробовал найти? Покажи как выглядит каталог и сделай дамп секторов 6293504 + 60 последующих.   Картинку (если много, то лучше в один архив) можешь тоже выложить на rghost и дать ссылку. Или посмотри как выкладывают другие - для этого войди в редактирование сообщения.

Полные снимки каталогов и дамп тут.

Папку Chkdsk перенес из папки System Volume Information, там находятся логи двух запусков чека нашего диска.

Я посмотрел еще раз структуру лог-файла чекдиска, вот у меня в папке 0Huis еще была подпапка Gruz2016, а в ней еще несколько подпапок с данными. Так вот судя по всему чекдиск снес подпапку Gruz2016, и соответственно о том, что было там внутри вообще никаких упоминаний нет.



Добавлено:
temp9285_2



Цитата:

avtandil33 Оу дело серьёзное, без мощных средств не обойтись. Качайте Winhex, нужно поменять несколько байт.

WinHex есть. Что конкретно надо делать ?

Цитата:

Как раз таки то.

Хорошо.
>нажимаю "вставить раздел(undelete)" результат: "том еще не был открыт..."
>нажимаю "игнорировать" результат: "загрузочный сектор не найден или является неправильным/несовместимым. Раздел будет виден как неотформатированный. продолжить все равно?"
>нажимаю "да" результат "выберите тип раздела. основной раздел(mbr), логический диск(mbr)"

что выбрать нужно?


Добавлено:

Цитата:

Затем наведи курсор на том с указанными выше секторами и вставь его. Находясь на строке вставленного раздела, используй функцию восстановления бутсектора из копии. Примени изменения.
Покажи что получилось.

Все сделал. вот что получилось:
http://s017.radikal.ru/i412/1602/5d/8ba5fc7fa23d.jpg

Добавлено:
вот так его теперь видит винда. как пустой ntfs логический 8gb диск...

http://s019.radikal.ru/i623/1602/11/b749e87455a2.jpg

acrid2
Букву диска винда сама дала? Или ты уже перезагрузил систему?
Проверка диска делалась? Если ещё нет - не давай сделать.
И открой том в DMDE - что там (в папках тоже)?

Добавлено:
avtandil33

Цитата:

вот у меня в папке 0Huis еще была подпапка Gruz2016, а  в ней еще несколько подпапок с данными.

Можно увидеть что в логе по поводу этих папок?


Цитата:

судя по всему чекдиск снес подпапку Gruz2016, и соответственно о том, что было там внутри вообще никаких упоминаний нет.

Если даже снесена запись об этой папке, в записях MFT подпапок и файлов внутри неё, остался номер родительской папки. И, в отсуствии родительской, они как раз собираются в DMDE в папки типа $Fxxxx
Потому и писал о таких папках и о поиске по известным именам. Технически, можно поискать где фигурируют названия в хексредакторе и возможно что ситуация прояснится, но это очень муторно.
Дамп подтвердил подозрение в наличии расширенного атрибута в 0-вой записи, причём его "конструкция" для меня нова. Здесь уже было как то пара-тройка случаев с таким атрибутом, огромным числом записей (у тебя около 460 тысяч, но было и больше) и невиндовыми системами. Могу предположить что это как то взаимосвязано - ведь NTFS не документирована в полном обьёме, и всевоможные приблуды для работы с инородной ФС не гарантируют свою безошибочность.
Как то так.

PSю Что касается винхекса то там несколькими байтами не обойтись, и сказано (не мной) от балды.
Подробности в http://forum.ru-board.com/topic.cgi?forum=84&topic=5070#1.

temp9285

Цитата:

Букву диска винда сама дала? Или ты уже перезагрузил систему?
Проверка диска делалась? Если ещё нет - не давай сделать.
И открой том в DMDE - что там (в папках тоже)?

Да, я не перезагружал, букву винда сама назначила.
Проверку не делал.
Открываю том в dmde, результат на картинке:
http://s019.radikal.ru/i613/1602/83/6b668823a65a.jpg

upd:

папка root пустая, а metadata на картинке:
http://s018.radikal.ru/i501/1602/1c/cc5fe113c9a2.jpg

upd2

Букву убрал.
делаю реконструкцию с такими параметрами:
http://s017.radikal.ru/i427/1602/26/bc07bc96f8e0.jpg

acrid2
Букву лучше забери на время
Ну так зайди в Root и т.д.
Можешь и виртуальную реконструкцию сделать и "походить" по папкам.

результат виртуальной реконструкции:
http://s017.radikal.ru/i420/1602/99/988b8cb6a372.jpg

содержимое папки metadata выложил постом выше.

acrid2
Размер MFT 256 записей, что характерно для вновь отформатированного раздела.
Смущает только что есть папка Sony и некоторые файлы. Хотя это можно списать на то, что они прописались после формата (бывшим владельцем)?.
Впрочем, бывают разделы восстановления и с малым числом файлов (папок).

Добавлено:
Зачем мне содержимое метафайлов, если вопрос был про root?