» Восстановление разделов и информации на HDD (часть 2)

tomset
А возможно ли востановить MFT на этом же диске? Как работает форматирование при NTFS? Ведь форм. затирает эту таблицу, но в середине есть резервная копия! Так?

ReallyNoise
Нет полной копии MFT. Только начало для основных записей ФС. При форматировании копия тоже переписывается.
Ни одна программа не восстанавливает на месте, кроме таблицы разделов, для данных не критичную.
Помимо MFT другие структуры должны быть тоже в порядке.
Обратная связь. Любое изменение на диске приводит к измению общей картины. Которую опять нужно сканировать, для приведения в соответствие с реальным состоянием структуры ФС. Такой процесс затянется на годы.
У самой файловой системы, свой собственный механизм слежения за своим состоянием и состоянием файлов, а она разрушена. Вернее там уже новая. Но старые записи MFT кроме основных, еще пока целы. По ним можно найти файлы. Но заставить работать новую структуру со старыми данными невозможно.

ReallyNoise
Восстановить на месте можно. Но не нужно. К тому же, если инфа такая важная, новый винт потом будете использовать для резервных копий.

у меня такая проблемка! у меня usb hdd 250gb western digital.
на днях я его подключил к Mac OS X. была такая картина: правильно показывало свободное и занятое место на нем, метку тома, но прежних данных на нем не было, там было пусто!
так вот я подключил его к windows и что я увидел?? то же самое!
так вот! подскажите пожалуйста, есть ли какой то способ вернуть эту информацию назад???
Спасибо заранее!

gunner23
Ну спросил!
Мас ОS X - 99 специалистов из 100 в глаза не видили.

Файловая система на диске какая была?
Про ФАТ32 не знаю.
А про NTFS.
Официально она вроде как NTFS не поддерживает, только через утилиты стороних производителей, и ни чего не гарантирует. По умолчанию на сколько знаю может только читать NTFS. Так, что вроде писать не должна.
Смотреть надо редактором, чего она на диске натворила.
А стандартно - пробовать авторековери программами. Cписок программ в шапке темы.

читает, не пишет, сомневаюсь что Mac OS X имеет отношение к потере информации, скорее совпадение

stas999,

Цитата:

Спасибо за совет. Было FAT => FAT...Но даже RawRecovery не помог...

а по заголовку файла искать пробовал?

los2
RawRecovery - это и есть по заголовкам.

Antech
Если точнее - по начальным сигнатурам файлов.

Antech,

Цитата:

RawRecovery - это и есть по заголовкам.

ага,только есть один момент-иногда нужно указывать file header и footer вручную.
Т.к. если заголовка искомого файла в базе нет,то поиск результата не даст

Господа. меня такой вопрос. У приятеля два харда. Первый 150 Гигов, второй 200. Переустанавливал систему, в итоге первый диск видится системой, а второй нет. Partition Magic показывает его как ДИНАМИЧЕСКИЙ диск.
Вопрос. На диске есть ценная информация (домашнее видео), ее надо СОХРАНИТЬ. Как переключить диск с динамического на базовый?
Заранее благодарю за советы.

IAP

Цитата:

Как переключить диск с динамического на базовый?

Официально ни как.

Скопировать даные, переразметить в базовый, вернуть данные на место.

Это самое безопасное действо для ценных данных.

Которые, кстати, обязательно должны иметь копию, чтоб потом не возмущаться и платить большие деньги за восстановление данных.
Процесс сей трудоёмок и весьма недешев.

Неофициальные методы - сохранность данных не гарантируют. Значит опять нужно делать резервную копию на всякий пожарный.
Спрашивается зачем заморочки с поиском программы.

А динамические диски подключаются в управлении дисками, - подключить чужой диск. ( Кроме WinXP Home)

Спасибо.

Прошу помочь. ибо вляпался))

решил доверить 8му партишну объединение 2 разделов одного 160-гигового диска... к разделу С в 10 гиг решил припаять другой размером 140 гиг (не наоборот, т.к. на С случайно прописался загрузочный сектор и винда с другого винта в 80 гиг грузится с его участием)...

т.е. воспользовался операцией merge, которая закончившись на 100% успешно обвалилась по какойто причине...

в итоге: в папке на диске C, где должно было появиться сождержимое 140 гигов... оказалась пустая папка... диск на 140 гиг не исчез, но отображается неформатированным.

Оба раздела были, естесственно, НТФС. Что же сломала операция merge и какими средствами можно восстановить НТФС на 140 Гб диске? там вся инфа ))

===

навскидку пробовал р-студию... сканирование проблемного раздела результатов не дало... показана какаято чушь.

Добавлено:
к слову:

есть предложение отформатить проблемный раздел в нтфс и восстанавливать easy_recovery будто после форматирования данных. Такое срабатывало для разделов с ФАТ.

===

поюзал GetDataBack... нашла все данные... но при копировании ничего не работает... судя по содержанию текстовиков, файлы начинаются не с начала а в конце мусор какойто. Смещение вощим какоето. Под нтфс пока не форматил тот раздел.

Форматирование, как и любая запись вообще на проблемный HDD, только ухудшит ситуацию. Это первое правило при восстановлении данных - никогда ничего не писать на оригинал, тем более не имея четкого понятия о том, что делаешь.
А аналогичные проблемы тут обсуждались, давно, правда. Там все было сказано, повторяться долго и вряд ли нужно...

Люди, помогите пожалуйста. У меня был хард на 80 гигов с NTFS файловой системой, разбитый на два логических раздела. Я решил их объединить в один раздел программой Partition Magic 8. Но во время перезагрузки выдалась ошибка, и у меня данные из одного раздела просто исчезли, вернее сам раздел не отображается в Моем Компьютере. У меня винда ХР. В Partition magic потерянный раздел отображается серым цветом с надписью unallocated. Помогите пожалуйста.

my5tery
Попробуй bootCD Acronis Disk Director в режиме восстановления партиций.


Цитата:

Я решил их объединить в один раздел программой Partition Magic 8

ИМХО лучше в таких случаях юзать вышеуказанную прогу, или продукцию Paragon.

Цитата:

ИМХО лучше в таких случаях юзать вышеуказанную прогу, или продукцию Paragon.

При таких операциях, не зависимо от программы нужно делать резервную копию важных данных.
А раз копия необходима. То безопасней, проще и быстрее. Просто переразметить диск, как нужно, и вернуть данные на место. Сразу и порядок наведешь. И дефрагметация исчезнет. И резервный диск в хозяйстве всегда пригодится.

tomset

Цитата:

И дефрагметация исчезнет

Точнее, всё же, фрагментация, или необходимость дефрагментации

Вобщем, жду еще советов... Все-таки хоть частично, но что-нибудь хочу восстановить.

my5tery
Зачем кросс-постить-то?

Я уже ответили

Здравствуйте, гуру.
Столкнулся с проблемой, ищу ее корни.
Бьюс уже 4-е сутки.

Суть в следующем:

Во время работы комп ушел в ребут да там и остался. Слетела таблица разделов (на этом винте никогда не слетала).
Винт 60 гигов, логический диск на нем один. Винда 2000 стояла 5 лет с момента покупки винта,
пользовалась активно, фрагментация низкая, заполнен был на 95%.

Взял винт с другого компа, грузился с него и стал экспериметировать.
Прогнал TestDisk-ом, тот попытался восстановить таблицу разделов, но как-то криво это сделал,
винда его не видела, решил PartitionMagic-ом прибить логический диск и создать заново диск NTFS БЕЗ ФОРМАТИРОВАНИЯ.
Создал. Прогонял разнообразные утилиты по восстановлению данных. Из 55Гб восстанавливают только 4Гб
да и то структура директорий практически полностью уничтожена.
Посмотрел через WinHex: начало диска капитально стерто.
до адреса 1'362'616'320 (ничего, что я в десятичной системе?)
сплошные нули, а через каждые 80 секторов вот такая подозрительная надпись

Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

672358400 78 01 2F 00 78 01 2F 00 77 77 2E 79 61 6E 64 65 x./.x./.ww.yande
672358416 78 2E 72 75 2F 7C 68 74 74 70 3A 2F 2F 77 77 77 x.ru/|http://www
672358432 2E 67 6F 6F 67 6C 65 2E 72 75 2F 0A 00 00 00 00 .google.ru/.....

в общем основная MFT уничтожена напрочь, но так как она состояла вроде из 3-х фрагментов, то восстанавливаются
файлы по записям MFT из тех фрагментов -- только 4 гига из 55.
Понимаю, что восстанавливать оставшиеся файлы можно только в режимах RawRecovery, поскольку
MFT-записи вида FILE* уничтожены.

Теперь вопрос:
1)Основной вопрос: что это за надпись /ww.yandex.ru/|http://www.google.ru/ ?
Откуда она могла взяться и кем была прописана?
Боюсь, как бы не вирус и не столкнуться бы с подобной проблемой в будущем.
2)с PMagic-ом я конечно поторопился, это была моя ошибка, однако я указывал создавать раздел NTFS, но не форматировать,
мог PMagic затереть первые 600 метров на диске?
3)безнадежный вопрос, но а вдруг? Если записи вида FILE* уничтожены, может существует где еще какая избыточная информация
типа INDX файлов, какой-нибудь сжатый/переформатированный кусок MFT в файле подкачки или еще что, что может помочь
с вытаскиванием файлов с винта, поскольку кроме первого гига ничего не повреждено, все в полном порядке, а без MFT
вытащить большой фрагментированный файл почтового архива TheBat становится большой проблемой.

С уважением.

ptr73
Сперва я бы посоветовал, если на винте особо ценная инфа, сделать его посекторную копию и экспериментировать с ней, хотя в этом уже, возможно, и нет смысла, учитывая, что ты уже экспериметировал наживую.

Для восстановления слетевших разделов можно попробовать (на копии винта!) Acronis Disk Director.

Для востановления инфы в режиме RAW - EasyRecovery, например.

А вообще, для начала - внимательно ознакомится с шапкой данной темы.

ptr73
Хорошее исследование!
Насчет паттерна с Яндексом и Гуглом ничего сказать не могу... Думаю, Вы уже проверили на вирусы обновленными антивирями.

Если записи вида FILE* уничтожены, может существует где еще какая избыточная информация
INDX - это не то. В них, грубо говоря, только названия файлов, время создания/изменения, родительский каталог и т. д. Ранлистов там нет.
Где еще могут быть FILE - так это в файле подкачки. Причем не выровненные по началу сектора (смещение - любое).
Можете попробовать мою прогу, ищет по любым смещениям. Device Index - это номер диска в Управлении Дисками. Другие параметры, если не уверены, можете оставить по-умолчанию (нажмите Enter). Enter Extra Parameters - N. Более точно параметры раздела можно посмотреть в бутсекторе. Его копия, если форматили Виндой, в последнем секторе раздела. А если каким-нибудь леваком форматили , то может и не быть никакой резервной копии.

кроме первого гига ничего не повреждено
MFT обычно начинается после третьего гига. Вы точно уверены, что у Вас MFT в первом гиге?

основная MFT уничтожена напрочь, но так как она состояла вроде из 3-х фрагментов
Это установлено по $MFTMirr?

Пытался восстановить данные с помощью FinalRecovery 2.2. Отсканировал отформатированный диск, восстанавливаю с него файлы на другой диск. Они вроде туда копируются, но не открываются. Объем их не нулевой. Несмотря на тип файла, никакое приложение, открывающее данный тип, эти "восстановленные" файлы открыть не может. К примеру, блокнот открывает пустые тексты, хотя объем не нулевой и до форматирования там были тексты. Медиа-роигрыватели вообще выдают сообщение об ошибке при открытии видео.
У кого-нибудь получилось удачно восстановить или мне выбрать другую программу для восстановления? У меня имеется еще Advanced NTFS Recovery 3.1, но без ключа, поэтому диск сканирует, но восстанавливать не восстанавливает.

Sish

Ну, трое суток мне хватило, чтобы ознакомиться со всеми шапками, MFT-таблицы
у меня уже вот где сидят, еще чуть-чуть и наступит полное просвеление, и тогда я эти MFT-таблицы
смогу ручками без всяких HEX-редакторов восстанавливать, одной только плоской отверткой :)))

Комментирую свои действия и работу программ:

слетела таблица разделов

1)Запустился с cd диска Erdcommander 2003, система не обнаружена
2)Пробовал Acronis Disk Director / Recovery Expert -- толку 0
3)TestDisk вроде восстановил раздел, однако винда его не видела PMagic говорил, что раздел кривой
4)Пробовал Acronis Disk Director / Recovery Expert -- толк 0, типа вам восстанавливать то и нечего,
в общем в данном случае продукты акрониса показались мне самыми бестолковыми инструментами.
5)PMagic-ом грохнул кривой раздел и создал новый NTFS без форматирования, надеялся, что восстановится,
однако чуда не произошло, этот шаг все же был лишним.
)DMDE нашла не больше других (см. ниже), но восстанавливать может только отдельные файлы, за полноценной версией
обращайтесь к разработчику, даже и в голову не пришло восстанавливать по одному файлу.
6)BadCopy pro 3.75 вроде могла восстанавливать, но только без имен файлов, от ее услуг я отказался.
7)FinalRecovery 1.3 для NTFS бесполезна
8)RecoverMyFiles 2.72 даже и трогать не стал, на прошлой неделе бился со случайно удаленными
файлами на флэшке -- эта прога восстанавливала какую-то ерунду вместо файлов.
9)R-STUDIO -- нашла 4 гига потерянных данных практически без структуры директорий
10)Easy Recovery Pro 6.04 -- тоже нашла 4 гига, структуру директорий обрабатывает заметно лучше,
чем R-STUDIO.
11)GetDataBack for NTFS -- версия 3.03 несмотря на гордые восклицания по поводу кряка,
файлы не восстанавливает, использовал 3.01 от Fosi. Те же 4 гига с порушенной структурой директорий,
примерно на одном уровне с R-STUDIO, однако часть файлов восстанавливаются с 0-м размером.
12)Restorer 2000 pro 3.3 -- младший брат R-STUDIO, возможности более ограниченные, тоже около 4-х гигов.
13)FinalData Enterprise 2.0, спросила какого максим. размера файлы нужно восстанавливать, указал 150 или 200 метров.
Ничего выдающегося она не нашла.
После ее работы обнаружил на исследуемом винте скрытую папку Drive Information и файлик wkNtFsLdf.dat на 640 метров.
В начале файла прописано FinalData Detection File. Однако нафиг подобные рекаверилки.
14)Для просмотра содержимого диска удобнее всего оказался WinHex, Runtime DiskExplorer не такой
удобный, зато наглядней преобразует MFT-записи и boot-сектор. Акронисовский Disk Editor проигрывает обоим.

В итоге лидером стал Easy Recovery, на 2-м месте R-STUDIO, на 3-м GetDataBack.

Antech

Попробовал Вашу программу, однако, к моему удивлению, просканировав 60 гигов, она ничего не нашла.
точнее:
04.07.2007 17:30 4 096 $AttrDef
04.07.2007 17:30 8 192 $Boot
04.07.2007 17:58 67 108 864 $LogFile
04.07.2007 17:58 49 152 $MFT
04.07.2007 17:58 4 096 $MFTMirr
04.07.2007 17:30 266 240 $Secure
04.07.2007 17:30 131 072 $UpCase
04.07.2007 17:30 4 096 change.log.1
04.07.2007 17:30 20 480 tracking.log
ну и тот левый файл на 640 метров, но я его сразу прибил
Может ей как-то область диска (смещение) не нравится или еще какие параметры,
может размер кластеров раньше был не стандартный не знаю, хотя все другие программы
определяют как стандарные 512х8.

>>основная MFT уничтожена напрочь, но так как она состояла вроде из 3-х фрагментов
>Это установлено по $MFTMirr?
Нет, это примерные данные по памяти из последних отчетов дефрагменаций.

>MFT обычно начинается после третьего гига. Вы точно уверены, что у Вас MFT в первом гиге?
Не уверен, однако использовал раньше разные программы дефрагмертации, в том числе и те которые дефрагментируют
page-файл и MFT, так что MFT начинаться могла где угодно и скорее всего в начале диска.

Провожу сейчас анализ расположения MFT
- бут сектор совпадает с копией в последнем секторе диска
- исходя из них MFT должна начинаться с кластера C0000h
- MFT в кластере C0000h в секторе 600000h в смещении C0000000h
присутствует, причем эта MFT как раз новая и очень маленькая, и любая запись на диск отображается в ней.
Так что сектора уже перезаписаны и нужно искать куски старой MFT.
В 95-м секторе нашел начало MFT от 2002-го года с размером в 460 мегабайт, однако от этой MFT осталось только 4 записи, как MFTMirr,
а затем начинается этот блок с нулями и яндексом.
И MFTMirr на который он указывает уже перезаписан.


>Где еще могут быть FILE - так это в файле подкачки. Причем не выровненные по началу сектора
Спасибо, есть такие.
Нашел кусок MFT размером 130 метров и кусок в файле подкачки размером 65 метров
Анализирую их, но сдается мне, что самые важные файлы в эти записи не вошли...

ptr73
Очень ёмкий ответ, конечно.

На будущее добрый совет: по возможности, не юзай PQMagic.


Цитата:

Easy Recovery Pro 6.04

Уже есть (и давно) 6.10, хотя не в этом, конечно, суть.

Восстановить диск (данные) после формата (Acronis). Чем?

В результате ошибки (два одинаковых жестких диска) при форматировании программой Acronis Disk Director Suite v10 (быстрый формат) оказались потеряны данные. Форматирование производилось с загрузочного диска (Linux-версия, если не ошибаюсь), после загрузки Windows уже выяснилось, что диск был отформатирован "не тот" . На диск после этого ничего не записывалось (диск отдельный физический, не раздел), но... злобная ХРю успела создать "System Volume Information" .
Есть надежда восстановить хоть что-то? Сам "Рековери от Акрониса" отказывается, говорит - восстанавливать нечего .
Пробовал R-Studio "натравить", но что-то ее действия оптимизма не вызвали - возможно, "готовить не умею"?
Словом, хэлп!

ptr73
RecoverMyFiles 2.72 даже и трогать не стал, на прошлой неделе бился со случайно удаленными файлами на флэшке -- эта прога восстанавливала какую-то ерунду вместо файлов
Это не прога, это FAT. На флэшке у Вас ведь наверняка FAT, а на этой ФС удалил файл == потерял фрагменты. Так что, если файл был фрагментирован, ни одна популярная автоматическая прога не поможет (за исключением, возможно, специально разработанных для определенных типов файлов).

В начале файла прописано FinalData Detection File
Нет слов. В топку такие проги.

MFT в кластере C0000h в секторе 600000h в смещении C0000000h присутствует, причем эта MFT как раз новая и очень маленькая, и любая запись на диск отображается в ней
Не понял. А откуда там взялась новая MFT и почему производится запись на пострадавший диск? Вы ведь создавали раздел без форматирования.

к моему удивлению, просканировав 60 гигов, она ничего не нашла
Странно. Я ей сканил несколько винтов, все находилось. Несколько винтов, конечно, не показатель...
Размер кластера тут не при чем. На поиск MFT File Record'ов влияет только размер файловой записи, по умолчанию 2 сектора, это практически стандарт. Хотя прога отбрасывает записи, в которых при парсинге обнаружены существенные ошибки (например, размер атрибута больше размера самой записи), но сообщение "Found FILE Record at sector ..." появляется в любом случае при обнаружении текстовой строки "FILE0". Здесь я хреново сделал. Правильнее было бы искать "FILE", а не "FILE0", но при этом находилось много мусора. Вот здесь версия, которая ищет просто "FILE".
Вы не могли бы выложить несколько найденных Вами записей? WinHex -> Выделите блок -> Shift+Ctrl+N.

Цитата:

омощи, укажите обязательно информацию о диске: тип, ёмкость, способ подключения, информацию о разделах, а также обс

Цитата:

чет паттерна с Яндексом и Гуглом ничего сказать не могу... Думаю, Вы уже проверили на вирусы обновленными антивирями.