Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Пропал диск. Восстановление таблицы разделов (не данных) - 2

Автор: 9285
Дата сообщения: 10.07.2011 15:23

Цитата:
Поиск NTFS эт, по всей видимости, надолго.

Ну а что поделать, если в прописанном месте ничего нет.
Автор: Ked_Converse
Дата сообщения: 10.07.2011 15:39
Да не, я ж не жалуюсь. Пока, кстати, один фрагмент нашелся.
Автор: Ked_Converse
Дата сообщения: 10.07.2011 23:05
9285
Вот DMDE подоспел: http://zalil.ru/31404921
Автор: Antech
Дата сообщения: 11.07.2011 08:36
Ked_Converse
Результаты поиска плачевны. Найден только небольшой фрагмент MFT на 256 записей (файлов или каталогов). Начало (более 7 тыс. записей) затерто. Т.е. если искомая ФС - NTFS, то от нее мало что осталось (скан в R-Studio поможет хоть что-то вернуть).

Почему так получилось? Это вопрос. Вы говорите, что все произошло спонтанно. Но там довольно много затерлось, "само собой" такое маловероятно.

Отдельное слово стоит сказать о разметке и форматировании. Сделано это было редкостным дерьмом. Мало того, что раздел логический, хотя он один, да еще и смещения... Стандартно (по старому стилю) в таком случае расширенный должен начинаться в секторе 16065, а логический - на 63 сектора позже, в 16128. Как уж там сделает Виста и старше в таком случае, я не знаю, но у Вас... Расширенный начинается в секторе 63, а логический - в следующем секторе (64). Теперь сам раздел. Размер кластера 1 сектор, хотя для NTFS нет смысла отклоняться от стандартного 8 секторов. Смещение MFT нестандартное. В общем, не удивительно, что это чудо навернулось. Если такие косяки, то наверняка есть (точнее были) и другие несуразности, которые могли стать причиной сглючивания.
Автор: 9285
Дата сообщения: 11.07.2011 10:15
Ked_Converse
А можно узнать более подробно что было, и самое главное что делалось?

Antech
Подозреваю что такую нестандартную разметку сделал упомянутый Testdisk, а может и ещё что то, о чём мы пока не знаем..
А реальность кроется в структуре последующих секторов, особено в 76-ом, в котором явно виден EXFAT.
Автор: Ked_Converse
Дата сообщения: 11.07.2011 11:50
Antech
9285
С моей стороны диск никаким издевательствам не подвергался. Однако он неоднократно давался друзьям для спасения данных перед форматированием, мб там у какого оболтуса хватило ставить эксперименты не на своем харде, а на моем.
Автор: 9285
Дата сообщения: 11.07.2011 12:09
Ked_Converse
Насчёт друзей понятно. В таком случае вопрос сформулирую по другому.
Диск вам отдали в таком состоянии? Если нет то получается что диск у вас работал, и вдруг стал RAW.
Что было до экспериментов с TestDisk и что делалось этой програмой (только анализ или вносились изменения)?
Автор: Ked_Converse
Дата сообщения: 11.07.2011 12:13
Вернули диск. Лежал два дня, подрубаю - облом. Звоню - ничего не делал. Фиг с тобой.
Только TestDisk'ом изменения вносились.
Автор: 9285
Дата сообщения: 11.07.2011 12:28

Цитата:
Только TestDisk'ом изменения вносились.

Всего лишь навсего? А какие нужно телепать?
Автор: Ked_Converse
Дата сообщения: 11.07.2011 12:32
Сорь. Восстанавливался бут и переписывалась структура раздела. Кажется как-то так там это называется.
Автор: Antech
Дата сообщения: 11.07.2011 14:28
9285
Ked_Converse
Понятно, т.е. начало диска в текущем состоянии - это продукт ТестДиска, а останки MFT в текущем состоянии - это продукт друзей... Или там был ExFAT, а NTFS - просто реликт?

Я тоже видел ExFAT, но там так согласовывалась таблица с AMBR, и бутсектор в нужном месте. Я просто пропустил слова про TestDisk вчера... Тогда возможно, что восстанавливать надо ExFAT, а не NTFS?

ExFAT Reverse Engineering (SANS)
Я не изучал подробно, но эксперимент на столь полезном внешнем винте и вышеприведенный мануал дают возможность утверждать, что когда-то на винте был ExFAT раздел емкостью 500 ГБ, который начинался в секторе 40h (64). Да, почему-то именно в секторе 64 (возможно, выравнивание на AF с секторами 4096 Б). Кстати, ExFAT также имеет тип (в MBR) 07. Об этом сказано в мануале и об этом говорит опыт.
Начало раздела соответствует началу ExFAT с подтертым нулевым сектором, т.е. <BS-NTFS> - <11 секторов> - <BS-ExFAT-Copy> - <11 секторов> - <Нули>. Смещение FAT там 800h секторов и мы, естественно, таблиц в дампе не видим.

Таким образом, мы можем попробовать реинкарнировать ExFAT раздел и посмотреть на результат. Ked_Converse, вот что для этого нужно:
1. В таблице разделов задать тип 07 (в DMDE открыть физический, перейти к табличке с разделами и нажать Ctrl+E для редактирования, затем в табличке поменять тип раздела с 0F на 07, сохранить Ctrl+W). Размер раздела можно оставить как есть (там на 1 сектор больше, чем в буте, но это роли не сыграет).
2. Сектор 4Ch (76) скопировать в сектор 40h (64), делается через Копировать Секторы, думаю, Вы и так знаете как именно. Это вернет основной бутсектор на место (из копии).
После этого нужно перезагрузиться, чтобы Винда прочухала изменения, или переподключить винт через "Безопасное извлечение".
Вероятность того, что раздел станет при этом доступен, стремится к нулю. Ведь таким образом устраняются последствия ТестДиска, но и до него раздел уже не монтировался (Raw). Зато можно запустить Чекдиск без исправлений и посмотреть на результат. Или восстанавливать R-Studio (умеет ExFAT) - ей будет проще после наших исправлений определить тип ФС и начало раздела.

Повторюсь, это для случая, когда основной ФС таки была ExFAT, а ошметки NTFS - ненужный реликт, оставшийся с давних времен. Если точно известно, что была NTFS, то R-Studio + Extra Found Files по типам... Если об ФС точно ничего неизвестно, можно попробовать приведенные выше исправления, и если это ничего не даст, откатить все путем записи дампа sec_0_101.ima обратно на диск.
Автор: 9285
Дата сообщения: 11.07.2011 14:57
Antech
ИМХО, но версия по поводу EXfat - наиболее реальная.
Насчёт копирования 76 сектора хотел тоже предложить.
Ну а что касается
Цитата:
Вероятность того, что раздел станет при этом доступен, стремится к нулю. Ведь таким образом устраняются последствия ТестДиска, но и до него раздел уже не монтировался (Raw).
то тут просто интуитивно могу выдвинуть версию того, что в системе просто не стоит патч для поддержки EXFAT в XP, соответствено она и воспринимает раздел как RAW. Так что Ked_Converse не лишним будет ещё и установка kb955704.

Ну и ещё ему попытать того, у кого был винт до этого.
Автор: 9285
Дата сообщения: 11.07.2011 18:44
Попытка воссоздания картны случившегося показало, что вся эта котовасия с расширенным разделом делается TestDisk-ом. Но, в 64-м секторе ничего не затрагивается. И изменение этого сектора связано или с другими действиями, или кроется под формулировкой "Восстанавливался бут".

Цитата:
Да, почему-то именно в секторе 64 (возможно, выравнивание на AF с секторами 4096 Б).

Насколько понял, данная ФС расчитана на внешние носители (например флэшки) и учитывает специфику этих носителей. Имено поэтому и делается такое смещение.
Автор: Antech
Дата сообщения: 11.07.2011 21:27
9285

Цитата:
кроется под формулировкой "Восстанавливался бут"

Собственно, Ked_Converse сказал это именно применительно к TestDisk, так что вполне логично.


Цитата:
данная ФС расчитана на внешние носители

Но ведь форматер не может изменить координаты разделов. Другое дело, что если выбрано форматирование создаваемого раздела в ExFAT, вот тут возможно, но проверить сейчас лениво (надо десктоп включать).
Автор: 9285
Дата сообщения: 11.07.2011 22:09
Antech
Вопрос конечно интересный, но в моём понимании то, что была изменена структура разделов подпадает под определение "и переписывалась структура раздела".
А в 64-ом виден загрузчик "а-ля виста".
В общем то, можно много полемизировать, но пострадавшему лучше знать что и как было. Ведь до определённого момента он и про друзей не упоминал.


Цитата:
Но ведь форматер не может изменить координаты разделов.

Это верно подмечено, но если надо, то почему бы и нет?
Автор: Antech
Дата сообщения: 13.07.2011 08:07
Ked_Converse
День проходил за днем... Ну как, пробовали реинкарнировать ExFAT?
Автор: gennin
Дата сообщения: 22.07.2011 15:45
Добрый день.
Слетел раздел на съемном диске. Даже не представляю в чем причина. Win-7, диск работал, потом ноут был послан в сон/S3. Когда ноут проснулся, на экране табличка "диск не отформатирован, отформатировать?"

Посмотрел в менеджер дисков. Раздел есть, но не опознан. SMART чист.

* Диск 2.5" 500Гб магнитный, вероятно с классическим сектором. Главный и единственный раздел NTFS на 450 с чем-то Гб (маскимум). Был создан еще на Win XP. Кластер 4 Кб (этот размер подошел при сканировании с restorer2000)

Попробовал разные программы, которые ничего на диске не насканировали, кроме обрывков.

Лучше всех насканировал Restorer2000pro, который по крайней мере в одном из предложенных вариантов раскладки диска опознал аж половину каталогов.
И кучу копий файлов с разными индексами. (видимо от разных обнаруженных MFT, включая один из бэкап-образов ноута)

Все осложнилось тем, что диск не так давно был *дефрагментирован*.
По половине индексов из опознанного вытаскивается мусор. Т.е. такое восстановление - трудный вариант с большим количеством брака.

Помогите пожалуйста исправить раздел до читаемости? Хотя-бы какие действия необходимы, ссылочку на рецепт?
Автор: Antech
Дата сообщения: 22.07.2011 16:57
gennin
Универсального рецепта нет.
Для начала нужно:
1. Результаты теста памяти в Memtest86 (один прогон, можно оставить на ночь).
2. SMART и результаты сканирования винта из HDDScan.
3. Дампы по 100 секторов, начиная с секторов 0 и 6291456 от начала раздела (не диска, а раздела). Через DMDE - Копировать секторы (Раздел => Файл).
4. Вывод chkdsk.exe БукваРаздела: без /f.


Цитата:
Кластер 4 Кб (этот размер подошел при сканировании с restorer2000)

Что за чудный алгоритм в проге, разве она не может определить размер кластера? Это делается по любой нерезидентной файловой записи (речь про NTFS).
Автор: 9285
Дата сообщения: 22.07.2011 19:14

Цитата:
Все осложнилось тем, что диск не так давно был *дефрагментирован*.

Всегда думал что недавняя дефрагментация полезна в деле восстановления.
Я что то пропустил?
Автор: gugury76
Дата сообщения: 22.07.2011 19:49

Цитата:
Друзья, помогите реанимировать систему. после 3-кратного выключения электроэнергии, система перестала загружаться.
появляется логотип с бегущей строкой и затем черный экран, загрузился с live-cd. сделал проверку chkdsk, сообщила что нашла ошибки в mft bitmap, исправила, однако система по-прежнему не загружается, пробывал утилиткой ntfs recovery, находит дефектный сектор но не исправляет.
R-STUDIO network edition 5.0 Build
обнаружила ошибку, но не исправила ее.

Warning File system 20.04.2010 21:27:24 Unexpected MFT record 23536 at 7455202816. If you are scanning RAID and this message will reappear constantly, check RAID for consistence.

как решить проблему?


Попробуйте Paragon Partition Manager. Вместе с полной версией программы есть еще аварийный диск Paragon Partition Manager BootCD. Хорошая программа восстановления разделов жестких дисков
Автор: gennin
Дата сообщения: 22.07.2011 20:36
Antech
9285


Цитата:
1. Результаты теста памяти в Memtest86 (один прогон, можно оставить на ночь).
2. SMART и результаты сканирования винта из HDDScan.

да, я говорил, что тут чисто, проверял. со стороны железа все выглядит более чем прилично. по кр. мере нет очевидных проблем.

надо оживить как-то сам раздел.

Хорошо. Сегодня ночью закончу прогонять сканеры и завтра пришлю дампы. (просто уже начал по капле вытягивать данные на запасной винт... у меня тут 3 час ночи уже)
Большое спасибо за внимание к проблеме!


Цитата:
Что за чудный алгоритм в проге, разве она не может определить размер кластера? Это делается по любой нерезидентной файловой записи (речь про NTFS).

Так он же не понимает что это NTFS!
он видит неопределяемый раздел с неким ID, по которому приписывает букву.
Т.е. некоторые сканеры видят, что это NTFS (но ен видят файлов) а Rstore2000 не образает внимания на это и сканирует все. И из кучи потенциальных кандидатов частично читаемы только куски с калстером 4kb (точнее большинство найденных кусков определяются с 4 кб кластером)
Диск не очень новый и там, видимо, очень много старых обрывков копий файловых таблиц в "пустых" областях.


Цитата:
Всегда думал что недавняя дефрагментация полезна в деле восстановления.
Я что то пропустил?

Все случайно завалявшиеся куски устаревших MFT(до дефрагментации) сильно запутывают сканирующие программы неактуальными координатами файлов. Сканеры просто выбрасывают мусор наружу всесто файла.
Главный MFT видимо мертв, потому что ни одна прога не нашла чего-либо похожего на него.
Есть что-то напоминающее, наверное, резервную копию, но она тоже запутана неактуальными дубликатами, поди пойми какой ID вытягивать. И файлов там многие тысячи, у меня уже мышка дымится от кликов.

Автор: 9285
Дата сообщения: 22.07.2011 22:31
gennin

Цитата:
Так он же не понимает что это NTFS!

А другие понимают (DMDE, R-studio)? Не думаю что могли так капитально повредиться все служебные (характерные) элементы ФС, чтобы по ним нельзя было определить тип ФС.
В описываемой ситуации (выход из спячки), достаточно часто мусор сбрасывается в начало диска, и потенциально может затереть часть MFT. Но это смотряя чем она создавалась.


Цитата:
Все случайно завалявшиеся куски устаревших MFT(до дефрагментации) сильно запутывают сканирующие программы неактуальными координатами файлов.

Тут наверное путанье понятий. Одно дело - куски MFT каких либо ранее сущевстввавших раздлов, валяющиеся в незанятом пространстве. Ну так они, независимо от дефрагментации, мешаются под ногами. Зато, если дело доходит до RAW-сканирования, то недавняя дефрагментация файлов как никогда кстати.

PS. Обычно, проги для восстановления позволяют сохранять результаты сканирования - мало ли, зачем надо отвлечься. Если эта прогрммма не позволяет такое, то это минус.
А с учётом вышесказанного раньше - может стоит остановится и лучше сделать дампы, да выложить.

PPS. Судя по описанию - таблица разделов есть, хотя возможно и кривая.
А с MFT может и проблемы. В таком случае, более соответстует случаю другая тем, указанная в шапке.
Автор: gennin
Дата сообщения: 23.07.2011 08:11
DMDE - про нее не в курсе.
R-studio пока в процессе сканирования.
пробовал что-то типа Ontrack, GetDataBack, и еще пару каких-то, стер, забыл как зовутся (на форуме из FAQ по восстановлению инфы брал).
DMDE еще проверю.

Добавлено:

Цитата:
Тут наверное путанье понятий. Одно дело - куски MFT каких либо ранее существовавших разделов, валяющиеся в незанятом пространстве. Ну так они, независимо от дефрагментации, мешаются под ногами. Зато, если дело доходит до RAW-сканирования, то недавняя дефрагментация файлов как никогда кстати.

мне казалось, MFT же не стабильный кусок, он живет, дышит и меняет размеры.
интересно, после дефрагментации обе копии обновляются полностью, или только основной, а бэкап постепенно с последующими доступами на запись?
Так получилось, что restorer нашел пачками огромное количество ссылок на файлы с устаревшими координатами (малые номера ID как при создании). Некоторые ссылки тем не менее работают, видимо файлы не двигались... но таких очень мало... Мне кажется в такой ситуации лучше бы дефрагментации не было

все.. сейчас посмотрю что там в r-studio...

Добавлено:
А в R-studio та эе фигня что и в Restorer - recognized только раздел с RAW бэкап-образом другого диска.
И большое количество оборванных кусков раздела


А если не секрет, почему при выходе из сна винда что-то пишет на диск вообще? почему мусор? Я просто шокирован, никак не ожидал.
Автор: 9285
Дата сообщения: 23.07.2011 09:34
gennin
MFT может изменяться, но она не теряет своё хозяйство. Копия, которая на самом деле копия всего четырёх основных записей, обновляется синхронно с обновлением тех записей, которые дублируются.
Всё это относится к случаю нормально работающей системы, а с ненормальной какой может быть спрос.

БЕз обид, но после прочтения написаного по поводу не стабильности MFT, а особено по поводу обновления копии, хочется посоветовать не прикладывать такие знания к решению вопроса восстановления. Лучше забыть про них - бо последствия могут быть печальные.

Автор: gennin
Дата сообщения: 23.07.2011 11:59
9285
дык, блин, я-ж и не прикладываю. Это вопрос был.

Я же прошу нормального совета, в какую сторону копать. Что необходимо сделать в данном случае. Был бы план действий, необходимый материал прочту.

А сейчас, даже если образ снять для экспериментов, плохо представляю, что можно с этим сделать.

З.Ы. R-studio хотя и дал похожий на restorer результат с копиями записей на устаревшие координаты, нашел чуть больше файлов. Уже приятнее.
Блин. Ну почему они не пишут, какие конкретно записи используют для каждого варианта восстановления. Там же очевидно не одна таблица в некоторых вариантах. Какие-то древние, давно стертые файлы вместе с новыми перемешаны почему-то.

Добавлено:
УРА-УРА! R-Studio действительно крут! Правильно собрал главный образ-архив на 200 гигов! Сразу половина работы за 5 лет одним махом восстановилась
Автор: 9285
Дата сообщения: 23.07.2011 12:44
gennin
Вообще то, все необходимые инструкции Antech уже написал. Да и в шапке темы есть.
Но похоже что тебе не важно что пишут. Ну что же - продолжай дерзать. Тебя ещё ожидают неоткрытые "Америки".
Автор: gennin
Дата сообщения: 23.07.2011 16:36
9285

Цитата:
Вообще то, все необходимые инструкции Antech уже написал. Да и в шапке темы есть.
Но похоже что тебе не важно что пишут. Ну что же - продолжай дерзать. Тебя ещё ожидают неоткрытые "Америки".

А вот наезжать зачем? я что-то обидное сказал?

я же говорю, что задержка с дампами потому что сейчас сканирую диск. заглядываю на форум в паузах.

Добавлено:
Antech
прошу прощения за задержку. слил то что смог, теперь вернулся к вопросу:

дампы. (с 63 сектора по Вашим смещениям)
http://zalil.ru/31458151

chkdsk k:
The type of the file system is NTFS.
The first NTFS boot sector is unreadable or corrupt.
Reading second NTFS boot sector instead.
Unable to determine volume version and state. CHKDSK aborted.
Автор: 9285
Дата сообщения: 23.07.2011 18:13
gennin
Какие наезды?
Наверняка между сканированиями в двух программах был промежуток времени, в течении которого можно было сделать запрошенные дампы.
Вот сейчас есть дампы (правда не все и к тому же названия изменены вручную, поэтому нет уверенности в их корректности) и уже по ним можно сделать вывод что в MFT записи сделаны не в соответствующем порядке. И, если верно указан 63 сектор, то и заголовок тома сдвинут на один сектор. Чему тогда удивляться.
Автор: gennin
Дата сообщения: 23.07.2011 19:06

Цитата:
Вот сейчас есть дампы (правда не все

хорош стебаться. сделал все что сказал Antech.
названия написал как понятнее. Не все ли равно?
Автор: 9285
Дата сообщения: 23.07.2011 22:14

Цитата:
названия написал как понятнее. Не все ли равно?

Да, в общем то всё равно, тем более что не мне нужно решение проблемы. Только к чему здесь что то спрашивать, если ты всё равно решаешь сам?
Давай посмотрим название твоего файла - Sector63+100_dump.ima
Как бы означает что есть 63-й сектор + 100. То есть - 101 сектор. Но в дампе всего 100 и правильнее было бы Sector63+99_dump.ima (ещё лучше оставить название как сделала сама программа). Это название корректное и информативное.
Есть и другой момент. В виду того что в HDD логическая адресация начинается с 0-го сектора, получается что 63-й по счёту (обычному) является 62-ым LBA. И если ты сделал дамп начиная с него, то ошибки (смещения) как бы и нет. А если бы оставил оригинальное название, то гадать бы не пришлось.

PS. Представляю что думают о стоматологах, которые выдирают зуб. Наверняка думают что он изверг, который только и мечтает сдеалть больно "страдальцу".

PPS. Если одумаешься, то сделай дампы повторно и оставь оригинальные имена + добавь дампы секторов (физического диска) : 0 и 488384063+10
Если что - в самом низу шапки темы описано как делать дампы секторов.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114

Предыдущая тема: Последствия и восстановление после вирусов


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.