» Восстановление разделов и информации на HDD (часть 3)

AFT,
Цитата:

поискать

и
Цитата:

иметь

- не совсем одинаковые глаголы . Чем, конкретно, не устраивает способ доступа к зашифрованным файлам, описанный в статье?

Ignat
я не могу понять где искать название файла, на картинке выше это имя выделено вторым, может я тормоз не догоняю, но на этой картинке написано, что справа внизу ПРИВАТ КЕЙ


откуды его доставать?

AFT
Из зашифрованного файла!
3-й абзац статьи.

Для начала из зашифрованных файлов необходимо добыть некоторую информацию. Можно просматривать NTFS в поисках заголовков EFS, а можно (как мы рекомендуем) использовать ntbackup для сохранения одного из зашифрованных файлов, к которому невозможно получить доступ. Открываем бекап с помощью редактора и ищем и ищем примерно вот такой кусок:

Проще всего Winhex-ом найти нужный файл, и куда-нибудь скорировать или прям на месте искать.

кто-нить этой инструкцией положительного результата добился?

писал в соседней теме:

купил месяц назад 2ой хард ST325041AS ATA на 250 Гб (не разбит на разделы)
скинул туда всю инфу,
спустя какоето время начались проблемы с копированием файлов на него или с него,не важно..иногда винт отрубался(не видно было в системе)

после очередной перезагрузки стандартная виндосовская проверка диска убила половину файлов на нём (ОС Vista 64)

при попытке востановить данные (testdisk_win) вылазит ошибка: read error at 387\9\13 lba=6217734
R-Studio тоже постоянно выдаёт ошибки чтения и процесс не идёт

NEED HELP!!

AFT,
Цитата:

кто-нить этой инструкцией положительного результата добился?

- как минимум, автор инструкции . Завтра, если будет время, смоделирую Вашу ситуацию и проверю.

Ignat
ок, жду твоего результата

исходная ситуация: у меня на руках тока 1 файл шифрованный

caze, просканируйте MHDD или Victoria-DOS, снимите SMART. Отчеты выложите здесь. Очень плохо, что была допущена
Цитата:

стандартная виндосовская проверка

. Если есть возможность, то сделайте посекторную копию винчестера на другой носитель (это надо было сделать до любых предпринятых действий).

и как WinHex'ом просматривать том? я смог только файл

AFT, Инструменты -> Открыть диск или F9

Ignat
этот приват должен же быть на системном, на котором учетка лежала, а этого диска нет же, есть тока диск с файлами которые были зашифрованы

или я опять не догоняю

Добавлено:
http://forum.xakep.ru/m_856875/tm.htm

"Если при сканировании диска вы не нашли на нём частный ключ(приватный ключ) и/или ключ шифрования файла то тогда гайки!!!"

AFT, полностью ещё не вникал, но:
Цитата:

На второй машине шифруем файл и создаем тем самым набор ключей. Копируем публичный ключ из c:\documents and settings\foo\application data\microsoft\systemcertificates\my\certificates\ и переименовываем в соответствии с тем названием, что мы нашли в заголовке EFS.

-т.е. создаются новые ключи, которые и будут открывать зашифрованный том.

Добавлено:

Цитата:

то тогда гайки!!!

- а Вы нашли?

Ignat
я не нашел, может я неправильно ищу

я даже на рабочей машине с существующими ключами хексредактором просмотрел, искал "P.r.i.v.a.t.e", не нашел

Цитата:

P.r.i.v.a.t.e

через точки чтоли?
Нужно просто задать поиск "Private" и указать Unicode

tomset
в статье написано
"Внутри приватного ключа сохранен guid, однако отличие от EFS заголовка в том, что сохранен он в ASCII формате, не в юникоде. "

AFT
Так то про ключ. а вы "Private" ищите.
Посмотрите его шеснадцатеричное представление:
50 00 72 00.....
это и есть уникод
ASCII выглядело бы так:
50 72 ....

tomset
походу бесполезно, так как никакого ключа я НЕ МОГУ найти так какего у меня нет, т.е. нет на диске

и какая разница искать эксплорером или через хекс, и там и тут они должны быть

Добавлено:
походу то что описано в этой статейке, можно выполнить прогой Advanced EFS Data Recovery
так как она сама ищет эти ключи и открытый и приватный. НО их же у меня нет, точнее нет приватного, а есть только мастер, который в файле шифрованном прописан.

У меня умный дистрибутив Linux Debian отформатировал всё-таки мой хард по-своему.. Перекроив партитиции по-своему (достало что постоянно выкидывало в ручной разметке, ну и на автомат поставил, хотя у меня всё настроено было Partition Magic.. Увы, это не Suse
всеми ругаемый который всё делал замечательно, это Debilian) На винте ничего не трогал и не ставил Под виндой много чего без проблем восстановило бы... А в под этой ext3 галимой можно что-то сделать?
P.S. Правильно в шапке написано про менеджеры разделов...Но кроме виндовых есть гораздо более худшие, неудобные и абсолютно лишние менеджеры под линукс

Есть винчестер seagate на 120 (st0022a). Был разбит на 5 разделов разной ёмкости, большинство ntfs. В один прекрасный момент перестал грузиться системный раздел (после verifying DMI сразу error). Не трогал, отложил в сторону. Сейчас на свежей винде с другого винчестера видится нормально один раздел. Остальные видятся, размера нет, отмечаются как не форматированы. Попробовал восстановить ещё один с помощью easyrecovery -- нашёл большинство файл нормально, немного ушло в лостфайлс. Подозреваю, что просто слетели записи о разбивке, кажется, mbr это же. Каким софтом можно попробовать определить, в этом ли проблема, и каким софтом восстановить всё.
Просто очень не хочется юзать ER ждля каждого раздела, а потом просто форматировать - копировать, думается, что есть более элегантное решение.
Заранее спасибо.

sivka krd, в любом случае, вначале сделайте посекторную копию винчестера. После, можно TestDisk'om восстановить загрузочный сектор и таблицу разделов. Данные должны быть на месте. Удачи,

Для "ручного" восстановления таблицы разделов напишите Antech.

P.S. Т.к. данные важны для Вас, ещё раз напомню, что без копии лучше никаких действий не предпренимать!

Ребят, возникла трабла.
После попытки разбить жесткий PartitionMagic, результат оказался печальным.
Разбить не получилось(и черт с ним), но при этом с жесткого изчезли почти все папки и файлы!
Точнее говоря, с жесткого они не пропали(винда пишет что диск забит инфой), но вот отображать уже не хочет.
Как сделать что б винда все пути к файлам и папкам востановила?
Востановление инфы прогами не получится, диск терабайтный и сохранить все что на нем есть некуда.

ebbe, сообщение над Вашим читали? Ваш случай.

Ignat

Цитата:

диск терабайтный и сохранить все что на нем есть некуда

Как?

ebbe,
Цитата:

Как?

- я бы лично, без всякой опаски, напрямую прогнал бы TestDisk. Если результат анализа удовлетворяет, то записал бы новые загрузочный сектор и таблицу раздела.
Цитата:

Для "ручного" восстановления таблицы разделов напишите Antech.

- это "не деструктивный" метод применения патчей, сделанных Antech на основании данных, снятых DMDE. Почитайте последние 10 стр. и всё поймете. Удачи,

Добавлено:
Т.к. в Вашем случае больше пострадала MFT, то лучше напишите Antech

Ignat
это "не деструктивный" метод
По определению это деструктивный метод. Но т.к. пишем в редакторе и знаем "что куда", то такой метод практически безопасный (при исправном железе).

ebbe
После Партишн Мэджика вероятность грамотного in-place восстановления стремится к нулю.

они не пропали(винда пишет что диск забит инфой), но вот отображать уже не хочет
Таким образом, у Вас как бы нормальный раздел, но в корне пусто. Винда чрезвычайно чувствительна к глюкам в NTFS, и если бы там было что исправлять, раздел бы не открывался вообще. Как я понял, Вы можете зайти в раздел через обычный файлменеджер, но в корне пусто либо нет того, что нужно. Тогда у Вас два пути:
1. Чекдиск на исправление. Очень может быть, что он испортит все окончательно и восстановление станет невозможным.
2. R-Studio/GetDataBack на другой винт. С неизвестным результатом, но зато воистину недеструктивно.

Цитата:

Таким образом, у Вас как бы нормальный раздел, но в корне пусто.

Цитата:

Как я понял, Вы можете зайти в раздел через обычный файлменеджер, но в корне пусто либо нет того, что нужно.

Да, в корне лежит несколько папок/файлов, но того что надо нету, даже папки "Windows" не стало.

Цитата:

2. R-Studio/GetDataBack на другой винт. С неизвестным результатом, но зато воистину недеструктивно.

Сейчас вот, всю ночь сканировал GetDataBack. Много чего нашел, но при попытке скопировать найденое(не все) отваливается с ошибкой. Приходится сканировать почти заного. Да и засунуть все это некуда(то что все-таки удастся перенести)
Что ж, спасибо всем за попытку помочь!
Попробую что получится сохранить, а потом Chkdsk.
Кстати, а с какими параметрами его запускать?
У меня несколько жестких, что б и их еще не "убить"

ebbe

Цитата:

с какими параметрами

chkdsk.exe X: /f, где X - буква подопытного раздела.

Еще R-Studio попробуйте.

А где Ваш SMART?

Цитата:

А где Ваш SMART?

В смысле?

ebbe,
Цитата:

В смысле?

- снимите MHDD или Victoria показания SMART (можно скриншотом) и выложите здесь .

Добавлено:
Antech,
Цитата:

По определению это деструктивный метод

- из-за этого и в кавычках .

Цитата:

- снимите MHDD или Victoria показания SMART (можно скриншотом) и выложите здесь.

Скрин виктории