» Восстановление разделов и информации на HDD (часть 2)

somereal
ДЛя начала протестить винт чем-то типа MHDD или Victoria, протестить память, также осмотреть кондеры на мааме на предмет вспухлости и т.п.

Antech

Вот, появилось время снова заняться восстановлением данных со слетевшего винта.
Предыдущая версия
NtfsSearch
не находила ничего из предыдущей МFT
новая версия (из сообщения от 10:07 05-07-2007)
NtfsSearchM
вылетает достаточно быстро с сообщением об ошибке.
(Изображение здесь: http://orient.gorodok.net/images/ntfssearchm.gif)
Пробовал искать все или только по заданному расширению, не успевает найти ничего,
кроме нескольких служебных файлов, вылетает.

ptr73
По поводу вставки картинки см. здесь

А поверхность своего винтаря не пробовал тестить и его SMART смотреть с помощью MHDD или Victoria?

ptr73

Цитата:

вылетает достаточно быстро с сообщением об ошибке

Это дырка в проверке при парсинге. Скорее всего, где-то в этой файловой записи (сектор 6889713 dec, смещение 312 dec) (точнее, в том, что принимается за файловую запись) неправильное смещение или размер. Прога обращается по неправильному адресу в памяти и возникает ошибка. Без Debugging'а я не могу сказать, в чем конкретно проблема, а доступа к Вашему винту у меня нет.

Возможно, Вы не скачали исправленную версию (в версии 10:07 05-02-2007 ошибка, не относящаяся к той, что возникла у Вас). Здесь я выложил исправленный NTFS Search вместе с исходниками (MS VC++ 6.0). Если хотите, Вы можете запустить прогу в режиме Debug и посмотреть, где происходит глюк. Можно еще пропустить глючное место, начав поиск после него (Start sector to search: 6889714 или больше).
Если не затруднит, выложите, пожалуйста, секторы 6889713...6889720 (WinHex => Выделите фрагмент => Shift+Ctrl+N).

Sish

Цитата:

ДЛя начала протестить винт чем-то типа MHDD или Victoria , протестить память, также осмотреть кондеры на мааме на предмет вспухлости и т.п.

MHDD - всё впорядке.
Мемтест прошёл нормально.
Кондеры нормальные.

Цитата:

P.S.
Как получилось что я потерял свои данные с диска.
Решил я поставить на другой HDD Windows, и не выключил Externe HDD.
Запустил Partation Magic 8.5 свключеной Externe HDD, прога очень долко думала и не хотела грузится, я просто нажал на шалтер на HDD, и прога запустилась.
Сделал я "другой HDD" активным и начал устанавливать Windows. В итоге после установки я выяснил что даные потеряны.

Помогите советом.
Вышенаписаная цитата, это моё произведение.
Перепробывал несколько програм, и потерял 4 дня на востановление данных, отался недоволен результатом.
1.R-Studio, читал мои 400Гб 2 дня в итоге нашёл какуюто ерунбу.
2.FinalData Enterprise 2.0, читал 36 часов, результат конечно лутше, практически нашёл всё, но получилось что прога отсортировала файлы по типу.
А мне хотелось бы как они были до этого, отсортивованые по папкам
Возможно ли это, если да то какой прогой?

Sish

Да не, с винтом все ОК. Смотрел и тестил.


Antech

Пытался пропускать участки, на которых падала программа, но все равно она падала часто.
В коде времени разбираться нет, поэтому просто воткнул ей костыль, чтобы не падала
и перекомпилировал.
Итог:
1)В общем, чуда не случилось, никаких дополнительных файлов не найдено, также похоже не восстанавливает некоторые файлы,
хранящиеся внутри MFT.
2)При восстановлении к каждому файлу в конец дописывается лишних 4 килобайта.
3)Записи MFT из файла подкачки, к сожалению, не обрабатываются.
Записи, МFT, лежащие в файле подкачки, имеют немного другой формат,
дамп с участком таких записей включил в архив.
Также в архиве дамп 6889713 и далее секторов, изображение дебаггинга и измененный проект.
http://slil.ru/24699896


BBG

FinalData Enterprise -- зря ты с ней связался, она портит данне на винте.
я на 89-й странице написал подробный свой отчет по этим программам.

В итоге лидером стал Easy Recovery (только нужно использовать не ту версию, на которую ссылается данный сайт), на 2-м месте R-STUDIO, на 3-м GetDataBack.
Думаю с R-STUDIO ты просто не разобрался, попробуй другие 2 программы.

ptr73

Цитата:

Easy Recovery (только нужно использовать не ту версию, на которую ссылается данный сайт),

А на какую?

BBG

Смотри сообщение 09:35 09-07-2007, больше ничего добавить не могу, сам пользовал ту версию, которая под рукой была, на DVD сборнике утилит валялась

Цитата:

Смотри сообщение 09:35 09-07-2007, больше ничего добавить не могу, сам пользовал ту версию, которая под рукой была, на DVD сборнике утилит валялась

Ну у мнея стоит то что из шапки EasyRecovery Pro 6.10.07 with Rus (35.14 Мб)


Цитата:

А мне хотелось бы как они были до этого, отсортивованые по папкам
Возможно ли это, если да то какой прогой?

Так возможно или нет?

2BBG

>А мне хотелось бы как они были до этого, отсортивованые по папкам
Возможно ли это, если да то какой прогой?

Возможно. Любой из этих 3-х, а лучше 3-мя поочереди.

>Ну у мнея стоит то что из шапки EasyRecovery Pro 6.10.07 with Rus (35.14 Мб)

если вылетать не будет -- пользуй ее, если будет глючить -- ищи другую версию

Склеил два раздела с Norton Partition Magic 8, будь он неладен, этот гад прибил содержимое второго раздела, и папка, куда он поместил его содержимое - недоступна

TestDisk не помог, GetDataBack for NTFS не помогло, EasyRecovery Professional зарулил и все восстановил 8)

з.ы. в следующий раз буду лучше юзать Paragon Partition Magic, неадеюсь русские не подведут

donsleza4e

нда, мороз крепчал...

Думаешь между этими версиями Partition Magic большая разница?

Про то, что каждый, пользующий Partition Magic, -- враг самому себе,
пора прописывать в шапке большими красными буквами

donsleza4e
в следующий раз буду лучше юзать Paragon Partition Magic
Главное - резервные копии, а какую "убивалку инфы" пользовать - это уже вторично. Все проги типа ПартМага потенциально опасны для данных не потому, что проги совсем плохи, а из-за принципа действия, который обусловлен самой задачей.

ptr73
Спасибо за выполненную работу и файл! Сейчас пишу с КПК, когда будет возможность - посмотрю.

Поразительно! Уже почти 100 страниц 2й части и почти на каждой странице в двух частях красной нитью проходит:
Partition Magic - враг номер 1!
И всё равно каждый хочет наступить на свои грабли!

Подправлю-ка я шапку....

ptr73
Посмотрел Ваши материалы.

В моей проге была простая ошибка - неправильное максимальное количество слов в массиве корректировки. Исправил - глюк исчез (выложить сейчас не могу - сппецифика браузера на КПК).

"Файловые записи" в обоих дампах - это не файловые записи. В них есть строка "FILE" (что называется magic number), но дальше - ерунда. Например, в файле подкачки FILE выровнены по началу сектора, но двухбайтовые хвосты секторов - различны, хотя они должны быть одинаковы и содержать значение, равное первому элементу массива корректировки, которое при парсинге заменчется другими элементами этого массива. Может, я что-то не так понял, потом еще раз эти записи посмотрю.

[Сорри, M$ Internet Explorer глюканул ]

Antech

Ну, ошибок было как минимум 2:
с *(WORD*)(&partBuffer) и с лишними 4 килобайтами.

По поводу дампа сектора 6889713, да это не файловая запись, это участок, на котором программа валилась.

по поводу pagefile.dump, возможно, что это тоже не файловые записи, но таких записей идет подряд несколько мегобайт и примерно в той области винта, где раньше был файл подкачки. Что это за структура -- я не знаю, но она достаточно регулярная (и не выровненная по началу секторов)

ptr73

с лишними 4 килобайтами
Это не баг, это багофича . Прога восстанавливает покластерно - так проще. Новый файл имеет размер, выровненный по размеру кластера... ИМХО это не имеет особого значения. Или стоит исправить? (У меня есть еще наработки Media Workshop, это серьезный проект, не хочу там существенных дырок.)

*(WORD*)(&partBuffer)
А что с этим не так? Да, конструкция хреновая. Сейчас я пишу так:
variable=*(TYPE*)(ptrDump+OFFSET);
Но ничего ошибочного здесь вроде нет. (partBuffer - это аллоцированный буфер, ptrDump - указатель BYTE* на дамп/буфер).
Что касается скрина дебага, то присутствие там *(WORD*)(&partBuffer) не при чем - просто nCorrWord слишком велико и corrOff+iCorrWord*2 превышает размер partBuffer'а - отсюда Access Violation.

Исправленная версия

по поводу pagefile.dump, возможно, что это тоже не файловые записи
Совершенно точно, я их вчера еще раз проверил. Ничего общего, кроме magic number FILE. Подробнее Вы можете сами проверить в WinHex (мануал - Linux NTFS, статья Криса Касперски и т. д.). Даже не вдаваясь в подробности, в обычной файловой записи полно нулей из-за выранивания (padding'и), а здесь - почти все значения ненулевые. Также нет стандартных идентификаторов атрибутов вида XX 00 00 00, где XX = 10, 20, 30...
Насчет выравнивания по началу секторов - это я рассудил так по первой "записи".

Antech


Цитата:

ИМХО это не имеет особого значения. Или стоит исправить?

Ну, вообще говоря особого значения и не имеет, но есть такие аспекты:
1)наличие мусора в файлах, особенно актуально для файлов маленького размера, или для текстовых, будет непонятно, то ли это продолжение этого файла, то ли кусок другого файла. Особенно для файлов таблиц данных, когда чужие данные сольются с данными этого файла и будет непонятно с какого места.
2)Некоторые программы, например winrar, начинают ругаться на файл, хотя winrar после этого нормально с ним работает, но могут найтись программы, которые доставят больше неудобств.


Цитата:

А что с этим не так?

да я не про конструкцию, просто чтоб разделить ошибки


Цитата:

по поводу pagefile.dump, возможно, что это тоже не файловые записи
Совершенно точно, я их вчера еще раз проверил.

может ли файл подкачки хранить копию куска MFT в видоизмененном виде? тогда есть вероятность, что это как раз закэшированная MFT просто в другом формате

ptr73
есть такие аспекты
Ясно, спасибо. Буду иметь в виду. Если Media Workshop будет создан (что сомнительно), постараюсь сделать правильный размер файла.

может ли файл подкачки хранить копию куска MFT в видоизмененном виде
Насколько я знаю, записи в файле подкачки - в обычном виде, но запросто могут быть не выровнены по секторам (обсуждалось в форуме, на который нельзя давать ссылки). С форматом Ваших записей я не знаком, не знаю, что это такое (я ведь любитель, не профессионал). Возможно, какой-то промежуточный результат обработки файловой системы драйвером, ведь файл подкачки - содержимое памяти.

Пожалуйста помогите, очень нужна ваша помощь...

На SATA-диске 80Гб было 2 раздела (оба NTFS), примерно 32 и 48 Гб соответственно.
В начале был удален первый раздел (32 Гб), на его месте было создано два раздела (32 Мб - ext3, и все остальное свободное место под другой раздел ext3).
Потом во второй раздел (48 гб, NTFS) вроде как было записано несколько секторов с ext3-раздела другого диска. (непонятно но он перестал видится как ntfs!!!)
... в результате мучительных экспериментов, все разделы были загублены (читай - удалены). Теперь на руках есть чистый 80Гб диск (testdisk'ом и другими прогами разделы находятся, но опять же нужный 48Гб раздел определяется как ext3)
... в связи с этим возникает 2 вопроса - как вытянуть данные с 48Гб-раздела (очень желательно с сохранением структуры каталогов/файлов) и где купить самурайский меч чтобы отрубить себе руки....

Вот что показывает testdisk при анализе:
Disk /dev/sdc - 80 GB / 74 GiB - CHS 9729 255 63
_____Partition_______________Start________End____Size_in_sectors
*_Linux____________________0___1__1_____2_254_63______48132
P_Linux____________________3___0__1__3896_254_63___62557110
P_Linux_________________3897___0__1__9728_254_63___93691080


Вот что показывает при дополнительном поиске:

Disk /dev/sdc - 80 GB / 74 GiB - CHS 9730 255 63
_____Partition_______________Start________End____Size_in_sectors
D_Linux_____________________0___1__1_____2_254_63______48132
D_HPFS_-_NTFS______________0___1__1__3896_254_63___62605242
D_HPFS_-_NTFS______________0___1__2__3896_254_63___62605241
D_Linux_____________________3___0__1__3896_254_63___62557110
D_HPFS_-_NTFS______________3___0__1__3896_254_63___62557110
D_HPFS_-_NTFS___________3896_254_63__7793_254_63___62605306
D_Linux_________________3897___0__1__9728_254_63___93691080

Вот подписи под разделами, после дополнительного поиска:

EXT3, 24 MB / 23 MiB
NTFS, 32 GB / 29 GiB
NTFS found using backup sector!, 32 GB / 29 GiB
EXT3, 32 GB / 29 GiB
NTFS, 32 GB / 29 GiB
NTFS, 32 GB / 29 GiB
EXT3 Large file Sparse superblock, 47 GB / 44 GiB

Вот list files каждого раздела:
----------------------------------------------------------------
___D_Linux____________________0___1__1_____2_254_63______48132
Use_Right_arrow_to_change_directory,_q_to_quit
Directory_/
drwxr-xr-x_____0_____0______1024__4-Aug-2007_18:42_.
drwxr-xr-x_____0_____0______1024__4-Aug-2007_18:42_..
drwxr-xr-x_____0_____0_____12288__5-Aug-2007_02:19_lost+found
drwxr-xr-x_____0_____0______1024__2-Aug-2007_06:21_grub
-rw-r--r--_____0_____0_____33674__2-Aug-2007_06:33_config-gentoo
-rw-r--r--_____0_____0___1775416__2-Aug-2007_06:33_kernel-gentoo

----------------------------------------------------------------
___D_HPFS_-_NTFS______________0___1__1__3896_254_63___62605242
Use_Right_arrow_to_change_directory,_c_to_copy,_q_to_quit
Directory_/
dr-xr-xr-x_____0_____0_________0__5-Aug-2007_04:55_.
dr-xr-xr-x_____0_____0_________0__5-Aug-2007_04:55_..
----------------------------------------------------------------
___D_HPFS_-_NTFS______________0___1__2__3896_254_63___62605241
Can't_open_filesystem._Filesystem_seems_damaged.

----------------------------------------------------------------
___D_Linux____________________3___0__1__3896_254_63___62557110
Use_Right_arrow_to_change_directory,_q_to_quit
Directory_/
No_file_found,_filesystem_seems_damaged.

----------------------------------------------------------------
___D_HPFS_-_NTFS______________3___0__1__3896_254_63___62557110
Use_Right_arrow_to_change_directory,_c_to_copy,_q_to_quit
Directory_/
dr-xr-xr-x_____0_____0_________0__4-Aug-2007_18:52_.
dr-xr-xr-x_____0_____0_________0__4-Aug-2007_18:52_..
dr-xr-xr-x_____0_____0_________0__4-Aug-2007_18:52_System_Volume_Information

----------------------------------------------------------------
___D_HPFS_-_NTFS___________3896_254_63__7793_254_63___62605306
Can't_open_filesystem._Filesystem_seems_damaged.

----------------------------------------------------------------
___D_Linux_________________3897___0__1__9728_254_63___93691080
Use_Right_arrow_to_change_directory,_q_to_quit
Directory_/

drwxr-xr-x_____0_____0______4096__4-Aug-2007_18:42_.
drwxr-xr-x_____0_____0______4096__4-Aug-2007_18:42_..
drwx------_____0_____0_____16384__4-Aug-2007_18:38_lost+found
drwxr-xr-x_____0_____0______4096__3-Aug-2007_19:57_bin
drwxr-xr-x_____0_____0______4096_20-Apr-2007_03:54_boot
drwxr-xr-x_____0_____0______4096__4-Aug-2007_18:36_dev
drwxr-xr-x_____0_____0______4096__4-Aug-2007_18:42_etc
drwxr-xr-x_____0_____0______4096_20-Apr-2007_03:54_home
drwxr-xr-x_____0_____0______4096__3-Aug-2007_19:58_lib
drwxr-xr-x_____0_____0______4096__3-Aug-2007_21:07_opt
drwxr-xr-x_____0_____0______4096__4-Aug-2007_18:42_proc
----------------------------------------------------------------

Через list files наш раздел найти не смогли, что то применять без совета не хотим, а бэкап неразмеченного винта сделать не смогли...

Винт с момента покупки делился на 2 части только 1 раз, и до наших кривых рук не переразбивался...
RAW восстановление не нужно, т.к. очень важна структура.
Очень расчитываем на вашу помощь.

mPolr

читай 95-96 страницы
...
В итоге лидером стал Easy Recovery (только нужно использовать не ту версию, на которую ссылается данный сайт), на 2-м месте R-STUDIO, на 3-м GetDataBack.
...

Цитата:

В итоге лидером стал Easy Recovery

ptr73, сорри за ламерский вопрос, так она будет делать пофайловое восстановление, или структуру востановит? т.к. эти проверки многочасовые, и будет обидно если прога найдёт кучку файлов по типу...

mPolr
Пользуйте режим Advanced Recovery. Восстановит структуру каталогов и имена. Если сможет. Вообще EasyRecovery=>AdvancedRecovery только на живой таблице разделов работает. А у Вас там новые разделы созданы. Так что советую использовать R-Studio и отключить там Extra search for known file types, а также ненужные Вам файловые системы (оставить NTFS).

Бэкапнуть диск посекторно можно в R-Studio (Create Image), WinHex (Clone Disk), GetDataBack. Тогда можно ТестДиском мучить оригинал.

Цитата:

Пользуйте режим Advanced Recovery. Восстановит структуру каталогов и имена. Если сможет. Вообще EasyRecovery=>AdvancedRecovery только на живой таблице разделов работает. А у Вас там новые разделы созданы.

угу, не прокатило

Antech в R-Studio Create Image сделали, но не понятно каким макаром потом обратно записать, потому то и страшно мучать оригинал... щас образ R-Studio помучаем... Если не выйдет то удалим образ R-Studio и сделаем WinHex`ом, к нему как то больше доверия... однако не ясно, запишет ли он обратно...

И ещё, юзаем UNREGISTERED DEMO VERSION R-Studio (4.0 Build 124147), интересно, даст ли она что нибудь сохранить?

mPolr
Можешь попробовать сделать точную копию вот этой шнягой и работать с копией, а не с оригиналом.

ИМХО в любом случае, этот вариант (работа с копией) всегда предпочтительней.

mPolr
не понятно каким макаром потом обратно записать
Через WinHex: Тулбар => Кнопка Clone Disk => Источник - File, приемник - Disk.

даст ли она что нибудь сохранить?
Нет. Чтобы сохранить, надо платить лавэ, искать крак или самостоятельно разбираться (причем таблицы разделов - они очень простые) и править в DMDE (он бесплатный).

С R-Studio не вышло, очень красиво востановил первый раздел, но второй раздел востановил не так как хотелось бы... во первых всё было перечёркнуто крестиком, во вторых файлы раскидало по разным папкам
Отклонировали HDClon`ом диск 80 на диск 160, и начали мучать с testdisk, жаль что никто по testdisk не дал совета, придётся делать почти в слепую, одно радует что это копия...
Disk Editor программа мощная, но опыта совсем нет...

mPolr

Цитата:

ptr73, сорри за ламерский вопрос, так она будет делать пофайловое восстановление, или структуру востановит?

это вопрос не ламера

Цитата:

читай 95-96 страницы

Цитата:

2BBG

>А мне хотелось бы как они были до этого, отсортивованые по папкам
Возможно ли это, если да то какой прогой?

Возможно. Любой из этих 3-х, а лучше 3-мя поочереди.

это вопрос либо невнимательного человека, либо...

Если MFT битая, то полностью не восстановит уже никто, восстановят только частично.
И лучше всех в этом случае справится EasyRecovery/FormatRecovery
Если есть информация о структуре папок -- восстановит.
Если MFT цела, то тем более EasyRecovery/FormatRecovery и без проблем.
А триальным версиями программ пользоваться не советую.

ptr73, у нас винт не разбит, FormatRecovery просто не видит неразбитый винт, хоть плачь, я понимаю что нам ещё читать и читать, что бы стать гуру в востановлении...