Ru-Board.club
← Вернуться в раздел «Магнитные носители информации»

» Восстановление разделов и информации на HDD (часть 8)

Автор: temp9285
Дата сообщения: 08.11.2015 17:20
igor ne me

Цитата:
не было этого вчера.

Вчера и случилось (ну или ночью). Решил ответить, результат ник кому хотел ответить, а я уже не мог войти на форум и "лишился всего". Создал временный ник, ответ не проходил, чёт дёрнуло подредактировать сообщение оригинального ника. Так появилась процитированная комбинация + тема улетела куда то. Уже сегодня нашёл её по ссылке з предыдущей части и ответил. Тема поднялась, но без заголовка - сейчас уже с ним.

Добавлено:
Elvis_Warlock_new

Цитата:
Нет, я выбираю в DMDE все кроме удаленных.

Речь идёт не только об удалённых, но и о найденных (реликтах) и т.п.

Цитата:
Т.е. диск подмонтируется в windows как обычно?

Всё зависит от того, на каком этапе произошёл сбой. Если на том, когда в бутсекторе должны были прописаться новые значения (что малорельно), то подмонтируется. В противном случае число враинтов огромно.


Цитата:
Восстанавливающиеся криво файлы это не вернет?

Чекдиск не занимается разгребанием дерьма, тем более сгенерированного акронисом.
Автор: igor ne me
Дата сообщения: 08.11.2015 19:32

Цитата:
Вчера и случилось (ну или ночью).

Ну этот глюк с вашим ником - возможно и вчера. А в моих постах попортились заголовки и ещё в пятницу!!! Я нажал выход и при попытке входа по новой - "незарегистрированный пользователь"...с 5000 постами

Добавлено:

Цитата:
Чекдиск не занимается разгребанием дерьма, тем более сгенерированного акронисом

Метко подмечено
PS Вообще он занимается разгребанием только того, что САМА винда напортит, думается
Автор: temp9285
Дата сообщения: 08.11.2015 20:43
igor ne me

Цитата:
Вообще он занимается разгребанием только того, что САМА винда напортит, думается

Буквально недавно приводил пример подпорченного атрибута $Data - имея несколько "опорных" значений вполне элементарно вычисляется некорректное и так же элементарно вычисляется корректное. Но чекдиск просто зануляет атрибут.
Так что не стоит быть оптимистом в отношении поделий сей корпорации. Там принцип действия как у электрического тока - идёт по пути наименьшего сопротивления.
Автор: Elvis_Warlock_new
Дата сообщения: 09.11.2015 10:39
temp9285

Давайте попробуем скорректировать.. Если это как-то поможет файлы вернуть.. Ну вообще задача конечно файлы восстановить, далее я могу и просто отформатировать или вообще раздел грохнуть.
Автор: temp9285
Дата сообщения: 09.11.2015 13:29
Elvis_Warlock_new
Открой диск (физический), перейди (Редактор-Физические секторы) в сектор 157476864
Нажми F7 чтобы был вид загрузочного сектора NTFS.
Будет так, как в левой части http://plasmon.rghost.ru/8CgtMdBxk/image.png
Перейди в режим редактирования (Ctrl+E) и сделай изменения согласно указанных на скриншоте ( некорректные значения выделены красной рамкой).
Синим выделено значение которое не обязательно, но правильнее заменить вместо имеющегося в бутсекторе - это то, что меня смутило ранее.
Сохрани изменения нажав CTL+W.
Теперь можешь открыть том, нажав дважды Enter. Смотри что в Root и пробуй восстанавливать.
Если что то восстанавливается некорректно, запиши и сообщи ID записи - обьясню что можно сделать ещё.
И что насчёт сигнатурного восстановления?
Автор: JekaRus
Дата сообщения: 09.11.2015 19:29
Купил диск на 4ТБ. В семерке сделал его GPT и залил на него данные. Позже подключал его к XP в котором он определялся как неразмеченный на 2ТБ, но никаких действий с диском не делал. После этого в семерке диск стал неразмеченным на 2 раздела по 2ТБ. Преобразовал его в GPT и теперь он неразмеченный на 4ТБ. Можно ли как-то восстановить раздел? Раньше для восстановления разделов искользовал акронис Acronis Recovery Expert. Но справится ли он с 4ТБ диском да еще и GPT?
Автор: temp9285
Дата сообщения: 09.11.2015 20:40
JekaRus

Цитата:
но никаких действий с диском не делал.
После этого в семерке диск стал неразмеченным на 2 раздела по 2ТБ.

Позволь не поверить. Нормальная винда сама не изменяет содержимое MBR - да, да в GPT существует такая штука как Protective MBR - специально для защиты.
И зачем было делать преобразование (кстати, что это подразумевает)? Сразу спросить не?
Открывай диск в DMDE, ищи знакомые разделы, смотри что в них. И покажи скриншот экрана Разделы из DMDE.
Автор: igor ne me
Дата сообщения: 09.11.2015 22:34

Цитата:
Позволь не поверить

Ну видимо он диск "только инициализировал", а "так неее, ничегоо не делал"
Автор: JekaRus
Дата сообщения: 09.11.2015 22:46
igor ne me

Цитата:
Ну видимо он диск "только инициализировал", а "так неее, ничегоо не делал"

Так точно. Только диск инициализировал ))) Больше ничего не делал )))
Не ожидал что инициализация диска внесет в него изменения. Думал это только в операционке что то в реестре поменяется. А что именно сделала инициализация? Удалила GPT? Можно ли восстановить полностью раздел, а не по файлам вытаскивать?

Добавлено:
temp9285
Спасибо за совет. Попробую. А она сможет сразу раздел восстановить?
Автор: igor ne me
Дата сообщения: 09.11.2015 22:56

Цитата:
А что именно сделала инициализация?

Создала на нём MBR, как раз. Потому что в XP не поддерживается GPT. Поэтому там созадаётся только MBR, без доп. вопросов. Вот в 7-ке и более новых при инциализации вылазит доп. вопрос кажется: "инизиализировать как MBR или GPT"...
Если была только инициализация - по идее изменений минимум, шансы хорошие. Ну это temp9285 уже объяснит, я не спец...
Автор: temp9285
Дата сообщения: 09.11.2015 23:08
JekaRus
Обычно, инициализация изменяет содержимое 0-го сектора.
В твоём случае (логически рассуждая) как бы заменила Protective MBR на реальный MBR.
После этого восстановление элементарное.
Тут более непонятно что было при конвертации. Если использовался растиражированный в нете способ с использованием diskpart и его команды clean, то данные GPT разметки успешно похерены.
Впрочем, сами разделы не должны пострадать и всё должно быть тип-топ.
Впрочем, я не люблю гадать, тем более в таких вопросах. Давай не будем спешить, а то сам знаешь кого насмешим.
Автор: temp9285
Дата сообщения: 10.11.2015 07:35

Цитата:
логически рассуждая

У меня нет под рукой 4тб винта, поэтому остаётся вариант смоделировать ситуацию в виртуалке, в которой могу создать максимум 2040Mb "винт". В случае такого, и инициализации его в 7-ке как GPT и последующего подключения к ХР, в контекстном меню диска нет ничего кроме свойств.
В таком случае непонятно что же всё таки делалось с винтом в ХР.
Автор: MrFrozzer
Дата сообщения: 11.11.2015 08:24
Знакомый - "программист", что-то наковырял в partition magic, пропал раздел жёсткого диска. Почитал на форуме советы людям с такой же проблемой, так понял, что проблема правится dmde. В программе к сожалению не разобрался, прошу помощи. Скрины прилагаю.
http://s3.postimg.org/kowhyep9d/111112.png


http://s3.postimg.org/4pdueut7l/111113.png
Автор: temp9285
Дата сообщения: 11.11.2015 11:33
MrFrozzer
Да, правится, и не только в DMDE - можно и самой виндой поправить (если даст немного поджать проблемные разделы).
И вроде бы всё выглядит оптимистично, но были случаи когда и бутсектор раздела корректировался.
Поэтому давай не будем торопиться (*) и посмотрим что в бутсекторе.
На ходясь на экране Разделы выдели поочередно разделы у которых последний сектор выделен красным и сделай скриншот так, чтобы было видно фоновое окно.
(*) Ты уже и так долго ждал на осзоне. Да ужжжж - там уже деградация полная, раз уж такие пустяки не могут помочь решить.
Автор: rikitikitavi666
Дата сообщения: 11.11.2015 12:24
Имеется жесткий диск деленный на три логических тома акронисом. Из лайв сиди пытался перекинуть триста метров с топа Д на том Ф. Т.к. диски забиты почти под завязку, процесс затянулся. И тут выключили свет. Бесперебойника хватает на минут десять, нажал отмену, акронис подзавис. Адекватно закрытся и нормально записать разметку я так понимаю он не успел. После запуска системы диск недоступен и выдает ошибку файловой системы. Прогнал стандартной виндовской проверкой на ошибке, Всю ночь исправлялялись ошибки, на утро диск открывается, показывает свободно 50 гигов из 160 (забито было на 150). Папки в корне и файлы почти все востановились, но файлов в них нет, а те что есть не открываются. Рекува и рстудио нечего не находят. Реально ли востановить некоторые данные с него? Или проверкой на ошибки я перезаписал кластеры?
Автор: temp9285
Дата сообщения: 11.11.2015 15:29
[more] rikitikitavi666
Даже не знаю с чего и начать.
1. В акронисе отмена означает прерывание операции а не откат сделанного.
И закончить нормально он может лишь закончив действие.
2. Процесс мог затянуться не только в силу заполненности разделов, но и по другим причинам - например акронис может не только изменить размер раздела, но и сдвинуть его, в том числе и на некратное размеру кластера число секторов.

И конечно же, нельзя было запускать исправление чекдиском - подозреваю что он не предназначен для таких расколбасов. Зато на основе таких вот случаев, потом пугают им - в том числе и в ситуациях, где только он может решить проблемы.

В принципе, можно посмотреть в лог исправлений и понять что сделал чекдиск, но только основная причина в использовании акрониса.
Сейчас важно не усугублять ситуацию - исключить работу виды с разделами. И надо смотреть что там:
- скриншот экрана Разделы
- лог поиска NTFS на участке подверженному деструкции
- дампы бутсекторов и начальных записей MFT [/more]
Автор: rikitikitavi666
Дата сообщения: 11.11.2015 16:09
[more]Здравствуйте, понимаю что дурак.
Разделы из акрониса?
http://img-fotki.yandex.ru/get/9362/27385332.13/0_145f61_28050ade_orig.png
лог вот здесь Панель управления -> Администрирование -> Просмотр событий -> Журналы Windows -> «Приложение»
?

Тип события:    Уведомление
Источник события:    Chkdsk
Категория события:    Отсутствует
Код события:    26180
Дата:        10.11.2015
Время:        6:13:11
Пользователь:        Н/Д
Компьютер:    LSD
Описание:
Проверка файловой системы на \\?\Volume{4d4c897d-edd3-11de-8259-806d6172696f}
Тип файловой системы: NTFS.
Восстановление потерянных файлов.
Проверка содержимого файла (этап 4 из 5)...
Проверка содержимого файла завершена.
CHKDSK проверяет наличие места на диске (этап 5 из 5)...
Проверка свободного места на диске завершена.
Исправление ошибок в атрибуте BITMAP основной таблицы файлов.
Исправление ошибок в рисунке тома.
Windows сделала изменения в файловой системе.

170931568 КБ всего на диске.
108519381 КБ в 375495 файлах.
146144 КБ в 68965 индексах.
0 КБ в поврежденных секторах.
553412 КБ используется системой.
65536 КБ занято под файл журнала.
61712630 КБ свободно на диске.

Размер кластера: 512 байт.
Всего кластеров на диске: 341863136.
123425261 кластеров на диске.

Данные:
0000: c0 c8 06 00 35 c8 06 00 ÀÈ..5È..
0008: 67 2f 0a 00 00 00 00 00 g/......
0010: fd 03 00 00 00 00 00 00 ý.......
0018: 05 00 00 00 00 00 00 00 ........
0020: b2 c8 04 08 00 00 00 00 ²È......
0028: 6e 8d 67 47 00 00 00 00 ngG....
0030: ac f6 ca 05 00 00 00 00 ¬öÊ.....
0038: d6 b7 0a 1e 0d 00 00 00 Ö·......
0040: b8 f4 a0 0c 00 00 00 00 ¸ô .....
0048: 9a ac b8 89 0d 00 00 00 š¬¸‰....
0050: 99 9e 36 00 00 00 00 00 ™ž6.....



Тип события:    Уведомление
Источник события:    Chkdsk
Категория события:    Отсутствует
Код события:    26180
Дата:        10.11.2015
Время:        6:13:11
Пользователь:        Н/Д
Компьютер:    LSD
Описание:
Проверка файловой системы на \\?\Volume{4d4c897d-edd3-11de-8259-806d6172696f}
Тип файловой системы: NTFS.
Восстановление потерянных файлов.
Проверка содержимого файла (этап 4 из 5)...
Проверка содержимого файла завершена.
CHKDSK проверяет наличие места на диске (этап 5 из 5)...
Проверка свободного места на диске завершена.
Исправление ошибок в атрибуте BITMAP основной таблицы файлов.
Исправление ошибок в рисунке тома.
Windows сделала изменения в файловой системе.

170931568 КБ всего на диске.
108519381 КБ в 375495 файлах.
146144 КБ в 68965 индексах.
0 КБ в поврежденных секторах.
553412 КБ используется системой.
65536 КБ занято под файл журнала.
61712630 КБ свободно на диске.

Размер кластера: 512 байт.
Всего кластеров на диске: 341863136.
123425261 кластеров на диске.

Данные:
0000: 0006c8c0 0006c835 000a2f67 00000000
0010: 000003fd 00000000 00000005 00000000
0020: 0804c8b2 00000000 47678d6e 00000000
0030: 05caf6ac 00000000 1e0ab7d6 0000000d
0040: 0ca0f4b8 00000000 89b8ac9a 0000000d
0050: 00369e99 00000000

дампы это тут http://img-fotki.yandex.ru/get/26001/27385332.13/0_145f62_3de341eb_orig.png ?
[/more]


Автор: MrFrozzer
Дата сообщения: 11.11.2015 16:33
temp9285
http://postimg.org/image/6kr7iylgr/full/
http://postimg.org/image/fxmu11nab/full/
Я так понимаю, тот раздел, у которого красным выделен первый сектор, скринить не нужно?
Автор: temp9285
Дата сообщения: 11.11.2015 17:03
MrFrozzer
Выделяй Noname 03, который с красным и удаляй.
Затем вставляй одноименный который ниже (с последним сектором 1871601663).
Примени изменения, перезагрузи систему. Если (вдруг) запустится чекдиск, не дай ему сделать проверку.

По ext -овскому не подскажу. Я даже "не заметил" что он таковой - PM как бы с этой ФС не работает.

Добавлено:
rikitikitavi666
Разделы, как и всё остальное - из DMDE.
Дамп это содержимое сектора в байтах, в виде файла, а не скриншот.
Если уж и скриншот, то в виде как у MrFrozzer

PS. Забудь про акронис.
Автор: rikitikitavi666
Дата сообщения: 11.11.2015 17:28
temp9285
ага, какой акронис? не знаю такоего
вот скрин разделов:
http://img-fotki.yandex.ru/get/42991/27385332.13/0_145f6a_2998c5fc_orig.png
http://img-fotki.yandex.ru/get/16146/27385332.13/0_145f6b_c31a605a_orig.png
ошибку выдает одну

область деструкции т.е. понлостью писать лог на весь размер?
Автор: temp9285
Дата сообщения: 11.11.2015 17:48
rikitikitavi666
Это скриншот разделА. И он если и нужен когда то, то лишь в случае когда действия происходили в пределах его границ.

Цитата:
т.е. понлостью писать лог?

Лог чекдиска? Подробности лишними не бывают, но чтобы не нагружать тему, можешь сохранить его в текстовый файл и выложить на нормальный файлообменник.
Кстати, что есть диск F? Тот, что в акронисе S?
Автор: rikitikitavi666
Дата сообщения: 11.11.2015 17:55

Цитата:
Кстати, что есть диск F? Тот, что в акронисе S?

вторая винда, осталось как резеврная если нет лайв диска под рукой.

лог поиска NTFS на участке подверженному деструкции
это весь диск D сканировать?
Поставил на скан ntfs область $Volume 04 выделеную серым, это та область десктрукции?


Автор: temp9285
Дата сообщения: 11.11.2015 19:42
rikitikitavi666
Вопрос не в том что там было, а какой из разделов F - я логически понимаю что этот S, но в данном вопросе лучше удостоверится в реальности мыслей (всякое бывало).
И если это так, то область деструкции шире D, и чтобы не заморачиваться с уточнениями - сканируй весь диск.
Автор: rikitikitavi666
Дата сообщения: 11.11.2015 19:54

Цитата:
И если это так, то область деструкции шире D, и чтобы не заморачиваться с уточнениями - сканируй весь диск.

пока что сделал только $Volume 04 со скрина http://img-fotki.yandex.ru/get/16146/27385332.13/0_145f6b_c31a605a_orig.png лог вот здесь http://rghost.ru/89Zwg7cXk
скриншот http://img-fotki.yandex.ru/get/3006/27385332.13/0_145f70_a93b1e1f_orig.png
Прогнать по отдельности оставшееся места вначале и в конце, или заново запустить на весь диск?
Автор: temp9285
Дата сообщения: 11.11.2015 20:07
rikitikitavi666
Запусти на весь диск, и обязательно с RAW - собственно в результатах этого типа поиска и поищи нужное тебе. Смущает только что R-studio не нашёл по сигнатурам; или ты не смотрел результатов этого поиска?
Если будешь делать дампы, то нужен 50936154+100 последующих.
Автор: rikitikitavi666
Дата сообщения: 12.11.2015 11:19
temp9285
сделал полный поиск с рав и сигнатурами, нашел много файлов, но искомых с паролями нет, как добавить свои расширения в поиск? Или чтоб искать в определенном катологе все файлы с разными разрешениями возможно?
И много ошибок, наскринил не все, в конце просто тыкнул игнорить все. Очень много.
http://img-fotki.yandex.ru/get/15503/27385332.13/0_146024_ba373962_orig.png
http://img-fotki.yandex.ru/get/4805/27385332.13/0_146025_243ea4ba_orig.png
http://img-fotki.yandex.ru/get/9060/27385332.13/0_146026_90e94df_orig.png
http://img-fotki.yandex.ru/get/9827/27385332.13/0_146027_f7750eb9_orig.png
http://img-fotki.yandex.ru/get/4402/27385332.13/0_146028_b63136ce_orig.png
http://rghost.ru/private/75wKRPGkN/59e8d93f61db49508c63d81e297dfd9a

Если я перейду на дампы результаты поиска не потеряются?
Автор: temp9285
Дата сообщения: 12.11.2015 12:05

Цитата:
Если я перейду на дампы результаты поиска не потеряются?

Ну ты же сохранил результат поиска. В любой момент можешь запустить поиск и выбрать Загрузить - выбираешь сохранённый лог - всё как и было.

Что касается результата - если исходить из сообщений, то нет в нужном месте соотвествующих записей MFT. Для исправной (*) MFT этого как бы не должно быть, поэтому могу лишь предположить что идёт попытка построения виртуальной по результатам поиска. И как бы получается что записи с указанными номерами (3ххххх) недоступны для виртуализации, хотя в поиске есть и 4ххххх. Тут есть ещё один момент - я с новой версией ещё мало знаком, поэтому не могу сказать точно что и как.
(*) исправленной чекдиком, при этом о корректности по отношению к прежней речь не идёт.

Пробовал в результатах поиска (открыть том) воспользоваться Поиском по именам?
Автор: rikitikitavi666
Дата сообщения: 12.11.2015 18:20

Цитата:
Пробовал в результатах поиска (открыть том) воспользоваться Поиском по именам?

да, нашел старые версии, либо пустые в ноль килобайт.
Почему получилось 4 раздела?
Если просто форматнуть раздел станет рабочим? Так думаю что из всей этой каши врядле я что путное востановлю.
Автор: valshi1
Дата сообщения: 12.11.2015 20:46
Здравствуйте.
Случайно отформатировал системный диск с виндой.
DMDE старую разметку видит и файлы восстанавливаются корректно.
Но хотелось бы восстановить файловую систему без копирования на другой диск.
Прикрепил первые 100 секторов, скриншот разделов и лог сканирования.
Можно чем-то помочь?
http://rghost.ru/private/6w76tmWv9/367815e6b8a1222165fb3e849508ed57
http://rghost.ru/6cmk5Xxjx
http://rghost.ru/7mbN6pgj8
Автор: tomset
Дата сообщения: 12.11.2015 21:12
valshi1
Не стоит.
Первые, 16 записей MFT о метаданных нужно полностью восстанавливать,
0-я описывает саму MFT, остальные файлы метаданных где угодно могут лежать, сигнатур они не имеют, мало реально их найти.
Переустановить и настроить систему по новой, будет куда быстрее.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354

Предыдущая тема: Проблема HDD с востновлениям информациии


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.