» Пропал диск. Восстановление таблицы разделов (не данных)

3eJIeHbIu
Понятно... Исходно у Вас произошла обычная проглючка начала MFT. Потом, если верить дампу, Вы сделали очень забавную вещь: вместо бутсектора вписали таблицу разделов (MBR, но без загрузчика), и по смещению 3 байта от начала сектора добавили сигнатуру NTFS. Смысл сего действа не ясен, ну да ладно, это не важно. В секторе 63 от начала дампа бутсектор и с ним все в порядке. У меня поэтому сомнения в Вашем первом дампе. ИМХО это 100 первых секторов физического диска, а не раздела (соответственно, бутсектор на месте). Потому что после бутсектора в 63 секторе дампа расположен загрузчик Винды, после которого - поток $SDS файла $Secure, т.е. нормальное начало раздела. Если это действительно дамп начала физического диска (не раздела), то тогда делаем так:

1. Таблицу разделов оставляем как есть. Если я правильно понял, раздел у Вас в Управлении Дисками виден, но не открывается.
2. Исправляем MFT. Патч здесь. Откройте его в WinHex, Ctrl+A, Ctrl+C. Затем откройте физический диск. Перейдите в сектор 6291519: Alt+G, Beginning, Sectors, 6291519 если указано dec. либо 60003F, если hexadec, OK. Проверьте, что курсор стоит в секторе с начальной строкой FILE. Теперь проверьте, что задан режим Editable (F6), жмите Ctrl+B (вставить патч из буфера), Ctrl+S. Перезагрузитесь и смотрите, что с разделом.

Добавлено:
Nightelf0
Да ладно, забейте на Mirror. Пропатчили MFT - смотрите результат. Если раздел не открывается, смотрите что пишет chkdsk.exe X: (X - буква раздела).

Antech да все верно. Я из 63 сектора скопировал в нулевой 4 байта содержащие кол-во секторов раздела...указал тип ФС нтфс и еще что-то...я такое где-то вычитал и сделал как там было написано...теперь, после того как сюда написал, искал нтфс раздел с помощью dmde и он нашел раздел содержащий 190гиг инфы и даже написал какое кол-во файлов...но я не стал жать на кнопку"обзор тома" или как-то так она называлась потому что, когда просматривал диск акронисом он показывал что на диске занято порядка 300гигов, вот и засомневался тот ли раздел он мне нашел. Диск не мой и кол-во информации на нем мне было неизвестно...Далее...сделал замену секторов патчем...и о чудо, после перезагруза винда увидела раздел и все данные на нем...при чем, именно тот самый раздел, в 190гигов...видимо эт он и был все таки...В начальном секторе патча до замены у меня вместо слова file какие-то символы другие были....Прежде всего хочется сказать вам СПАСИБО! но хотелось бы еще и понять как вы создавали патч по дампам и еще вопрос ме интересует-то что я затер нулевой сектор это как то важно? мне надо слить инфу и нормально переразметить диск или все таки не стоит беспокоиться и с диском все будет нормальн?

3eJIeHbIu

Цитата:

Я из 63 сектора скопировал в нулевой 4 байта содержащие кол-во секторов раздела...указал тип ФС нтфс и еще что-то

Все правильно. Можно было еще загрузчик "для приличия" туда записать. А строка "NTFS" в MBR лишняя, хотя это не важно.


Цитата:

вместо слова file какие-то символы другие были

BAAD. Это Чекдиск так отмечает записи, у которых не сходится проверка по USA (Update Sequence Array).


Цитата:

как вы создавали патч по дампам

У Вас глючно поднят первый бит в каждом втором байте четырех начальных записей MFT (виноват шлейф винта 99%, если не заменить шлейф, опять проглючит).
Восстановление исходного дампа в таких случаях неэффективно. Я использую MFT живого раздела. Туда нужно перенести ранлист MFT, изменить размер атрибута DATA в записи MFT, также изменить Last VCN в этом атрибуте. В записи $MFT Mirror надо поправить первый кластер в ранлисте, это легко сделать по бутсектору раздела. Желательно скопировать имя раздела в запись $Volume (атрибут VOLUME_NAME), но у Вас раздел никак не назывался (я вставил обычное iXBT-DR, т.к. этот расколбас с бесплатным восстановлением начинался на iXBT).
Когда патч сделан, его желательно проверить на тестовом разделе, т.к. легко что-нибудь забыть или ошибиться.


Цитата:

то что я затер нулевой сектор это как то важно?

Не важно. Вы его уже восстановили самостоятельно. Можете скопировать туда загрузчик от любого живого винта по адресам 0...19Fh. Только осторожно, не сотрите опять таблицу разделов , хотя теперь Вы легко восстановите ее, если что. Загрузчик в MBR нужен на случай, если с винта захочется загрузиться (Винда при разметке всегда загрузчик в MBR записывает).
Переразмечать не нужно. Лучше смените шлейф побыстрее, пока MFT опять не накрылась . И покажите SMART. Следите за Ultra DMA CRC Errors (Raw).

Цитата:

Nightelf0
Да ладно, забейте на Mirror. Пропатчили MFT - смотрите результат. Если раздел не открывается, смотрите что пишет chkdsk.exe X: (X - буква раздела).

Так всё работает, все данные целы спасибо огромное

Цитата:

Можете попробовать "Поиск NTFS" в DMDE (покажите результаты).

Нужно полностью отсканировать поврежденый раздел? могу на данный момент выложить результат на 60% отсканированого.

SxMaks

Цитата:

Нужно полностью отсканировать поврежденый раздел?

Можно не полностью, покажите что есть.

Цитата:

Можете попробовать "Поиск NTFS" в DMDE (покажите результаты).

Почему-то до 100% не дошло долго висело на 99%
http://www.filekeeper.org/download/shared/ntfsscan_2.log

кстати у меня тоже до 100% не дошло...но раздел он нашел просто я побоялся дальше на кнопки жать...мало ли что...

Цитата:

И покажите SMART. Следите за Ultra DMA CRC Errors (Raw).

это как?

Цитата:

Я использую MFT живого раздела. Туда нужно перенести ранлист MFT, изменить размер атрибута DATA в записи MFT, также изменить Last VCN в этом атрибуте. В записи $MFT Mirror надо поправить первый кластер в ранлисте, это легко сделать по бутсектору раздела.

mft живого раздела...любого? что есть ранлист и Last VCN?

3eJIeHbIu

Цитата:

это как?

В поиск.


Цитата:

mft живого раздела...любого?

Да.


Цитата:

что есть ранлист и Last VCN?

Ранлист - список координат фрагментов.
Last VCN - номер последнего виртуального кластера (подробнее в статье Касперски про NTFS и Linux NTFS).

3eJIeHbIu

Цитата:

mft живого раздела...любого?

Возможно, я не так выразился. Конечно, полностью MFT не заменяется!!! Трансплантируются только начальные записи, естественно при этом подбирается раздел-источник с наиболее близкими параметрами (например, если видите старую версию NTFS в стиле Win-2000, то ищите соответствующее живое начало MFT), разумеется, как я уже говорил, необходимы корректировки...

SxMaks
Сорри, про Вас совсем забыл.
Посмотрел логи, получается интересная картина. Фрагментов MFT немного, значимый из них только один, остальные - совсем мелкие, хрен с ними. Единственный значимый экстент начинается в секторе 385897392, начало раздела по этому экстенту определяется в секторе 175590520. Если теперь определить смещение MFT от предполагаемого начала раздела, получим 385897392-175590520=210306872. Знакомая цифра, да? Это смещение MFT (в секторах), которое указано в текущем бутсекторе (сектор 104952708 от начала раздела). Значит, процесс происходил таким образом. Партмаг изменил координаты разделов в таблице, уменьшил размер первого раздела. На этот момент второй раздел был еще живой, но его номер начального сектора в таблице уже указывал мимо кассы (исправляется элементарно). Далее началось перемещение начала второго раздела, чтобы увеличить его размер. Партмаг начал перемещать все содержимое раздела, включая бутсектор, назад на заданный Вами объем дополнительного пространства. И тут отключилось питание, причем многое уже, вероятно, было перемещено... Вот почему по заданному смещению из бутсектора мы не нашли MFT: начало раздела вместе с бутсектором переехало, MFT осталась на месте, при этом значения в бутсекторе не были исправлены Партмагом.
Итак, что нам нужно сделать. Во-первых, надо посмотреть, что происходит в секторах 175590520 и 385897392 от начала физического диска (старое начало раздела и старое/новое начало MFT). Покажите, пожалуйста, дампы по 100 секторов, начиная с указанных. Далее надо будет изменить в таблице координаты второго раздела и, если бутсектор не сохранился, скопировать бутсектор в 175590520. А потом надеяться на чудо. Можно попробовать такую методику.
0. Сделайте заказанные дампы.
1. Скачайте MBR. Откройте в WinHex, Ctrl+A, Ctrl+C. Теперь откройте пострадавший физический диск, Ctrl+B, Ctrl+S. MBR запишется в сектор 0, координаты второго раздела исправлены.
2. Скачайте BS. Аналогично п. 1 запишите на диск. Но бутсектор надо записывать в сектор 175590520. Для этого, перед записью, нажмите Ctrl+G, Logical, 175590520, ОК. Проверьте, что внизу в строке состояния показан нужный номер сектора. Только теперь жмите Ctrl+B, Ctrl+S.
3. Перезагрузитесь и посмотрите, что Винда говорит про раздел в Управлении Дисками. То, что раздел не смонтируется, это 99%. Поэтому запустите chkdsk.exe X: (без /f), где X - буква раздела, и покажите, что он говорит.

Цитата:

0. Сделайте заказанные дампы.

http://www.filekeeper.org/download/shared/sectors3_1.ima

http://www.filekeeper.org/download/shared/sectors4.ima


Цитата:

запустите chkdsk.exe X: (без /f), где X - буква раздела, и покажите, что он говорит.

Тип файловой системы: RAW
CHKDSK недопустим для дисков RAW.

Да и изменилось сообщение при обращении к диску Д

Было: Нет доступа к диску D:/ Файл или папка повреждены.

Теперь: Диск Д не отформатирован, отформатировать диск. Да Нет

SxMaks

Цитата:

Тип файловой системы: RAW

Странно. Я, конечно, немного лоханулся: в секторе 385897392 начинается MFT Mirror, а MFT - в секторе 391968448 (от начала физического). Но это сути не меняет. Раздел в таблице сейчас начинается в секторе 175590520 и туда должен быть скопирован бутсектор, начальный кластер MFT по бутсектору 27047241, поэтому получаем начальный сектор MFT от начала физического диска 175590520+27047241*8=391968448, что в точности равно номеру сектора, где DMDE нашла начало MFT.

Давайте проверим, что у нас есть на данный момент. Пожалуйста, покажите дампы по 10 секторов, начиная с секторов 0 (MBR), 175590520 (BS), 391968448 (MFT), номера секторов от начала физического диска естественно. Дамп с сектора 175590520 нужно именно повторить, чтобы проверить, что в него записан BS.

MFT Mirror по Вашему дампу на вид в порядке.

Цитата:

Давайте проверим, что у нас есть на данный момент. Пожалуйста, покажите дампы по 10 секторов, начиная с секторов 0 (MBR), 175590520 (BS), 391968448 (MFT), номера секторов от начала физического диска естественно. Дамп с сектора 175590520 нужно именно повторить, чтобы проверить, что в него записан BS.

http://www.filekeeper.org/download/shared/sectors_9.ima

http://www.filekeeper.org/download/shared/sectors2_2.ima

http://www.filekeeper.org/download/shared/sectors5.ima

Интересная вещь открылась, при открытии физического устройства в DMDE появился еще один диск Д с фс нтфс, и он открываетсся т.е. я могу все восстановить через "Сервис-восстановить-(путь)". тоько нужен хард.
Ага не все так просто видео файлы восстанавливает, хотя открывать их плеера не хотят, из кодеков стоит K-Lite Mega Codec Pack 4.1.4, Power DVD пишут Cannot render the file, а вот .ехе не хочет пишит - "ошибка чтения файла" может из-того что прога в бесплатном варианте!?

Так же прогнал диск Д GetDataBack'om поднять готов 141Гб из "200" причем как на зло самые важные файлы половину тока видит

SxMaks
По дампам.
MBR Вы исправили как надо.
Бутсектор и начало MFT (второй и третий дампы) - какая-то ерунда. Или не записали патч на бутсектор, или дампы снимаете неправильно, или и то и другое. Т.к. в секторе 391968448 DMDE нашла начало MFT, а в Вашем дампе с этого сектора - мусор, то скорее всего Вы неправильно сняли дампы. Но это уже не важно.

По DMDE. Файлы восстанавливаются, но в них мусор, потому что произошло смещение. Помните 30...40%? Вот это результат. Часть данных смещена относительно того места, куда указывает ФС. Значит in-place восстановление невозможно.
Попробуйте просканировать в GetDataBack for NTFS на всякий случай и посмотрите (на примере тех же самых файлов), как она восстанавливает. Если правильно, тогда ищите другой винт и копируйте. Если неправильно, тогда все.

Цитата:

Попробуйте просканировать в GetDataBack for NTFS на всякий случай и посмотрите

Пробовал - не правельно восстанавливает. Я думаю тут любая из подобных прог так же восстановит

Цитата:

причем как на зло самые важные файлы половину тока видит

Цитата:

Бутсектор и начало MFT (второй и третий дампы) - какая-то ерунда. Или не записали патч на бутсектор, или дампы снимаете неправильно, или и то и другое. Т.к. в секторе 391968448 DMDE нашла начало MFT, а в Вашем дампе с этого сектора - мусор, то скорее всего Вы неправильно сняли дампы. Но это уже не важно.

http://www.filekeeper.org/download/shared/sectors_10.ima

http://www.filekeeper.org/download/shared/sectors2_3.ima

Посмотрите пожайлуйста еще раз вот эти дампы!
Как я снимаю дампы.
открываю DMDE - Физические устройства - Сервис - Копировать сектора в... - Сектора диска ставлю полностью весь жесткий диск 0-625140334

При попытки открыть Логический диск/Тома Д открывается вновь появившийся диск Д(предполагаю появился после "Поиск НТФС")
При попытки открыть поврежденый диск Д пишит следующее - "Неверное значение BPS будет не будет использоваться" далее "Допустимые значения Sectors per Cluster: 1,2,4,8,16,32,64,128" Далее " Определить параметры NTFS автоматически(именно только эта строка активна) Продолжить с выбраными параметрами строка не активна.

что можете сказать по этому дампу http://www.filekeeper.org/download/shared/sectors00100.ima
предистория: во время очередной загрузки винда запросила проверку этого диска. ей разрешили.
после проверки раздел не определился. Винч 250гиг фс - фат. Один раздел, чем отформатир непомню.

SxMaks
Вот, теперь дампы правильно сделаны. Почему ФС определяется RAW, я не знаю. У меня на тестовом разделе ФС определяется (chkdsk.exe) и начинается проверка. Да это и не суть важно. У Вас партмагоидное смещение, самостоятельно ничего уже не сделаете; несите в DR фирму, если очень нужны данные. На всякий случай вот мой мануальчик по определению партмагоидного смещения, но не думаю, что Вы будете с этим заморачиваться.


Цитата:

Неверное значение BPS не будет использоваться

Если BPS - это bytes per sector, то оно у Вас правильное: 512.


Цитата:

Допустимые значения Sectors per Cluster: 1,2,4,8,16,32,64,128

У Вас 8, что допустимо.

Такое ощущение, что неправильно задано начало раздела. Но я проверил не один раз: начало (второго) раздела в патче MBR в секторе 175590520, и в этом секторе, по Вашему дампу, нормальный BS NTFS, который Вы записали. (Ну а первый раздел нас не волнует, т.к. с ним все в порядке.)

Если хотите разобраться, почему ФС Raw, можете попробовать проверить координаты:
1. В WinHex нажмите на строку в таблице с разделами - должен быть показан бутсектор раздела (как в файле sectors_10).
2. На бутсекторе Alt+F12 - Boot Sector NTFS, смотрите MFT Start Cluster, умножаете на 8 и перемещаетесь на полученное количество секторов (Alt+G, Current Position, Sectors, не перепутайте dec/hexadec). Должно быть показано начало MFT (как в файле sectors2_3).
Но это так, ради спортивного интереса.

3eJIeHbIu
Раздел-то расширенный и единственный. В MBR все нормально, но начала раздела в дампе нет. Пожалуйста, 200 секторов, начиная с сектора 16065 (от начала физического).

Antech ) ну это я понял...я так и подумал, что вы так скажете...я видел что раздел расширенный и что ТР указывает на 16065 как на начало раздела...и посмотрел эти сектора...ну не 200 а пару десятков после 16065го они все обнуленные...сегодня скину дамп 200 секторов...

3eJIeHbIu
Уже вечер завтра, а дампа нет...

Вообщем проблема решена, огромное человеческое спасибо Antech без Вас ничего бы не получилось.
А решилась проблема так - запустив DMDE открыв полностью весь жеск. диск у меня отображалось 2 диска Д, оба с фс нтфс, выдилив один из них видно было, что он поврежден и boot sector и др. а второй нормальный. Я от отчаяния просто удалил поврежденный, а второй нормальный добавил и при ребуте запустился чекдиск, исправив 10000000000000000000000 ошибок загрузилась ОС и ву а ля диск Д стал доступным ( правда есть не значительные потери в данных но это не страшно, самое важное не задето) вообщем еще раз хочу поблагодарить Antech'а Спасибо ребята!

Здрасти люди добрые! долго искал подобный форум, вообщем нужна помощь при подключении ж.д. не появляется. В управлении дисками видится, пишит объем и "Не распределен" раньше все было нормально т.е. на нем есть информация форматировать не в коем случае нельзя. Подозреваю, что дело в таблице разделов, люди добрые помогите.

Gapg
Дело в таблице разделов, как минимум. Покажите дамп секторов 0-99. DMDE - меню Сервис - Копировать секторы в файл.

Цитата:

Покажите дамп секторов 0-99.

http://www.filekeeper.org/download/shared/sectors_11.ima

Gapg
В таблице разделов нули (остальное в MBR сохранено). В секторе 63 - бутсектор NTFS, параметры стандартные, объем раздела 500 ГБ.
Патч MBR здесь. Откройте этот файл в WinHex, Ctrl+A, Ctrl+C. Затем откройте физический диск, Ctrl+B, Ctrl+S (если не редактируется, включите "Editable" через F6). После перезагрузки проверьте результат.

Antech

Все замечательно все красиво. Благодарю!

И ради спортивного интереса хотелось бы узнать из-за чего так получилось?

Gapg

Цитата:

из-за чего так получилось?

Точно не знаю, но причина - не в железе 90%.
(такое случается, но от чего - ХЗ)

на диске есть инфо. и терять её не хочу ... как тут быть

chkdsk F: /F
Тип файловой системы: NTFS.
Метка тома: Games.

Проверка файлов (этап 1 из 3)...
Проверка файлов завершена.
Проверка индексов (этап 2 из 3)...
Проверка индексов завершена.
Проверка дескрипторов безопасности (этап 3 из 3)...
Проверка дескрипторов безопасности завершена.
Не удается записать во второй загрузочный сектор NTFS.


на этом винте 4 файловых системы и на этом же винте стоит XP ... как можно поправить данную проблему (форматирование исключается)

здоровье винта 100% (проверял HD Sentinel)

mouser

Цитата:

на диске есть инфо. и терять её не хочу

Цитата:

chkdsk F: /F

Одно с другим не сочетается.

У Вас в чем конкретно проблема? Пока что мы видим, что Ваша NTFS в порядке.


Цитата:

Не удается записать во второй загрузочный сектор NTFS

А вообще на разделы этого винта (хотя бы на один) удается что-то записать, и чтобы после перезагрузки сохранилось?

Antech


Цитата:

chkdsk F: /F

Одно с другим не сочетается.

насмешил )) ... я же писал что 4 раздела (C,D,E,F) ... вот F у меня не открывается и чек диск в конце пишет Не удается записать во второй загрузочный сектор NTFS.
каждый раз при загрузке XP пытается его почекать ...

что с этим делать не знаю

mouser

Цитата:

вот F у меня не открывается

У Вас на F: что-то нужное, а Вы его Чекдиском на исправление. Что смешного-то?
Какое сообщение об ошибке выдается при попытке открыть F?
На другие разделы (C, D, E) записать файлы можно? После перезагрузки записанное сохраняется?