» Восстановление разделов и информации на HDD (часть 4)

dmde
А, тут - другое дело. Можно попробовать.


Цитата:

Интересно ещё насчёт $Secure

Цитата из Брайн Кэрриэ, "Анализ файловых систем":
Реализация в NTFS
При шифровании атрибута $DATA в NTFS применяется симметричный алгоритм
DESX. Для каждой записи MFT, содержащей шифрованные данные, генерирует-
ся один случайный ключ, который называется ключом шифрования файла (FEK,
File Encryption Key). Если запись содержит несколько атрибутов $DATA, все они
шифруются одним ключом FEK.
Ключ FEK хранится в зашифрованном виде в атрибуте $LOGGED_UTILITY_STREAM.
Атрибут содержит список полей расшифровки данных (DDF, Data Decryption
Fields) и полей восстановления данных (Data Recovery Fields). DDF создается для
каждого пользователя, имеющего доступ к файлу, и содержит код SID (Security
ID) пользователя, данные шифрования и ключ FEK, зашифрованный открытым
ключом пользователя. Поле восстановления данных создается для каждого мето-
да восстановления данных и содержит ключ FEK, зашифрованный с открытым
ключом восстановления данных; он используется в тех случаях, когда админист-
ратору или другому привилегированному пользователю потребуется обратиться
к данным (рис. 11.11).
При расшифровке атрибута $DATA система обрабатывает атрибут $LOGGED_UTIL-
ITY_STREAM и находит запись DDF пользователя. Закрытый ключ пользователя
используется для дешифрования ключа FEK, а ключ FEK — для дешифрования
атрибута $DATA. Когда пользователь теряет право доступа, его ключ удаляется из
списка. Закрытый ключ пользователя хранится в реестре Windows и шифруется
симметричным алгоритмом, при этом его пароль входа в систему используется
в качестве ключа. Таким образом, для дешифрования всех зашифрованных фай-
лов, обнаруженных в процессе расследования, необходимо знать пароль пользо-
вателя и иметь доступ к реестру. Процесс показан на рис. 11.12.


Т.е., как я понял, Security descriptor - это только для обычных прав доступа. Если удалить security descriptors, файлы станут доступны всем юзерам. Но только не зашифрованные. В зашифрованных - LOGGED_UTILITY_STREAM, который при этом никуда не девается, но и файл всем доступен не станет - нужна ОС, которая сможет расшифровать или прога, заменяющая этот функционал (типа Advanced EFS Recovery).

Antech
О, спасибо!

Цитата:

ключ пользователя хранится в реестре Windows

Значит, нужно обязательно восстановить реестр, тогда, наверное, и пользователи с SID'ами восстановятся и ключи. Если Mozill'а использует своё шифрование, то, наверное всё равно хранит ключи в реестре, а аналог LOGGED_UTILITY_STREAM где-нибудь в Documents and Settings, вот, только bilzzard писал, что "содержимое documents and settings не имеет папку юзера"...

dmde

Цитата:

Значит, нужно обязательно восстановить реестр

Вроде эта EFS Recovery умеет сама искать ключи (или сертификаты, ну в общем эту дрянь) по сигнатурам (raw-поиск таких вот специфичных файлов по заголовкам, возможно и по структуре). Т.е. напускаете прогу на раздел, она сама насканивает что надо и показывает варианты.
Где и что хранит Мозилла, какой там алгоритм шифрования - я не знаю...

bilzzard
У проги есть демо-версия. Попробуйте. Я могу ошибаться насчет raw-поиска, но что-то подобное там есть.
И еще. Откройте проблемный раздел в WinHex как логический диск. Нажмите на файл $MFT в браузере WinHex. Выделите примерно 1000 секторов, начиная с того, где стоит курсор (Alt+1, Alt+G, Alt+2) и запишите в файл (Shift+Ctrl+N). Потом перейдите в сектор 6291456 (Ctrl+G) и аналогичным образом запишите в файл 100 секторов. Оба файла в архив и на zalil.ru. Пожалуйста, не ошибитесь, иначе диагноз будет неверный.

Antech
Добрый день, уважаемый!

Вся надежда на тебя!

Краткая предыстория:

1. Создал из-под BartPE с помощью ATIES файловый архив диска D: (FAT32) сохранил его на С: (NTFS).

2. Пересоздал с помощью Acronis Disk Director D:, сделав его NTFS-разделом.

3. Развернул из-под BootCD ATIES файловый архив (см. п.1) на D:

4. Развернул на C: с помощью ATIES WinXP из образа.

А когда XP уже установилась, все файлы на D: оказались нулевого размера!

Если можешщь чем помочь, буду весьма признателен.

Вся MFT, её кусок.

Заранее спасибо!

Sish
А почему все файлы нулевого размера? Я посмотрел наугад записи 4 файлов в MediaWorkshop, нормальные размеры файлов. У Вас права на эти файлы есть? (Свойства, "Безопасность".) R-Studio после "Open drive files" (это быстро) какие размеры файлов показывает?

Antech
Уважаемый!

Мои респекты просто не знают границ!

На самом деле было достаточно просто назначить права доступа

М-да, хроническое недосыпание & 13-е (хоть и не суеверный) мне явно не на пользу...

Да ни к чему тут респекты, я же ничего не сделал почти...

Ребят помогите плиз, у меня тут проблема... :'(

Кароч в системе Виндовс, в управлении дисками тупо удалил раздел 270 гб, из них 180 забито, востановленное копирывать некуда .

Я просканировал диск Актив Партитион Рековери, вся инфа на месте, как заставить систему увидеть диск заново? я его не форматировал. только удалил.

Всем привет!
имеем пациента Hitachi HTS542580K9SA00
на нем два раздела
основной c:\ (19.5 Gb)
и дополнительный на котором два логических диска
d:\(39,06Gb) и e:\(15,93Gb)
подцепил вирус, после удаления вируса стали прям на глазах пропадать папки,
на дополнительном разделе на диске d:\ была папочка D:\Work\Project с исходниками программ и она исчезла, тоесть первый раз при попытке войти в нее винда выдала ошибку что доступ запрещен и потом папка исчезла. После отключения ноута винт был подрублен к другому компу, но проморгал запуск скандиска. Скандиск накопировал в папку Found кучу файлов, но нужных нету.
Сканирование прогами R-studio, EasyRecovery Professional, getdataback ничего не находит.
Есть ли шансы восстановить D:\Work\Project ???

oookotooo
Покажите скрин окна "Разделы" из DMDE (физический диск откройте), а также скрин из Управления Дисками. Кроме того, в DMDE - Сервис - копировать секторы в файл, первый сектор 0, число секторов 100, zalil.ru.

Shara7
Шансы не велики, Вы опробовали самые популярные и мощные проги.
В вирусе была проблема или нет, а Чекдиск свое дело сделал...

http://slil.ru/28489178

тут 2 скрина и сохраненный лог поиска NTFS в диске E

я пытался просто создать диск без форматирования с установочного диска винды.Не вышло(

тут секторы 0 - 100

http://slil.ru/28489201

Итак, ситуация следующая: после некорректного объединения двух разделов в один через PowerQuest PM у меня пропал второй раздел диска (стал отображаться как неразмеченная область). Оба раздела были NTFS.

После "восстановления" раздела через TestDisk, появился второй раздел, но на него зайти нельзя и файлы с него через TestDisk восстановить тоже. Акронис про этот раздел пишет что повреждена файловая система. Теперь в тестдиске всё выглядит так:


Код: Disk /dev/sdb - 80 GB / 74 GiB - CHS 9729 255 63
Current partition structure:
Partition Start End Size in sectors

1 * HPFS - NTFS 0 1 1 2589 254 63 41608287
2 E extended LBA 2590 0 1 9727 254 63 114671970
5 L HPFS - NTFS 2590 1 1 9727 254 63 114671907

777neon

Цитата:

Есть ли шанс восстановить сам раздел со всеми файлами

После этого:

Цитата:

после некорректного объединения двух разделов в один через PowerQuest PM у меня пропал второй раздел диска

нет (передавайте привет Seymour).

Помогите восстановить RAID0 soft

материнка gigabyte GA-EP35-DS4
райд построен на чипе GIGABYTE SATA2 RAID
2 винта Seagate 400gb серия NS

вчера райд поменял статус на failed первый диск стал non-raid
в настройках райда ничего не менял "даже не смотрел туда"

возможно ли как то посмотреть живи ли оба винта
есть подозрение что умер первый диск

UFS Explorer видит только один диск

oookotooo
Что-то я не понимаю, что за проблема у Вас с диском. Вы говорите, что только удалили раздел в Управлении Дисками. Потом зачем-то создали новый, пусть и без форматирования, но этого не надо делать. Но в дампе и на скрине DMDE видно, что никакой MBR нет вообще - Управление так не удаляет! И уж точно после создания раздела должна быть MBR, а ее нет. Однако на скрине Управления мы видим совсем другую картину? все диски в порядке, кроме "Диск 1", где первый раздел RAW. Но там разделы есть, причем MBR-style (Intel-style). Вам все это не кажется странным?

777neon
Товарищи, с Partition Magic (и вообще с любыми "изменялками" разделов), если произошел сбой в процессе перемещения/объединения и т.д. - сразу недеструктивные авторекаверилки (популярные и провереные: R-Studio, GetDataBack, RecoverMyFiles). Спрашивать в форуме нет смысла, т.к. in-place после такого не делается, тем более дистанционно. И проверяйте БП, SMART и память - сбои бывают и не по вине программ, тогда перед восстановлением надо вначале причину устранить, если не хотите сделать хуже.

Antech


Цитата:

Потом зачем-то создали новый, пусть и без форматирования, но этого не надо делать.

Просто один человек после удаления, создал новый, и у него все вернулось(незнаю как, решил проверить....)


Цитата:

Но в дампе и на скрине DMDE видно, что никакой MBR нет вообще - Управление так не удаляет! И уж точно после создания раздела должна быть MBR, а ее нет.

походу я просто сделал скрин и дамп не диска а только его раздела...

вот тут сделал как надо для всего диска... http://slil.ru/28492246
надеюсь тут все правильно....

Здравствуйте
в одно прекрасное утро винда котарая стоит на диске с: пересталагрузится, думая что слетела не долго думая компакт paragon PM в дисковод и установить имейдж системы
но тут меня ждал сюрприз парагон начал ругаться ошибка ввода\вывода

беру снимаю с ноута этот винт подсоеденяю к другому компу.
как видите на рисунках HDDScan начал рисовать красивую разноцветную картину
R-Studio сейчас делаю образ диска за час перекопировало 1.5 гига типа 1% и при каждом копировании выдаёт ошибку оневозможности чтения.

Даже не знаю в чем проблема чего это с ним случилось и вообще поможет ли создание образа и вообще когда он закончит.
название пациента на рисунке.

помогите пожалуста.

http://депозит.com/files/v5cn5gf7i

ну вот типа за 11 часов создало 4 гига образа.

vovnyah
если нижнее сообщение адресовано мне то подскажи как если это быстрее

так может все-таки получится восстановить файловую таблицу?

Имеется внешний (USB) хард WD на 320 Гб, случайно отформатированный в Ubuntu 9.10 вместо загрузочной флэшки в FAT32 (был NTFS). Форматирование было "быстрое". Сразу после аварии диск был отсоединен и кроме как testdisk, photorec и R-Studio, никто с ним не общался
Файлы, вроде, вытаскиваются - только photorec на половине диска вываливается со словами
Код: Segmentation fault

Помогите восстановить разделы. В результате системного сбоя вместо трех разделов образовалось четыре и перестали грузиться винды на диске D:. TestDisk после глубокого анализа мне их восстановил, но на диске теперь куча ложных ошибок (файлы бракуются авторекаверилками при отсутствии каких-либо повреждений) и DMDE показывает несколько отличные от TestDisk параметры дисков. В этом собственно и вопрос. Диск у меня был разбит на три раздела, два по 20 и один 70 Gb. Так вот общее кол-во секторов для диска C: (Total Sectors) в DMDE показывается неправильным. Оно должно быть равным 41961717, причем как для диска C:, так и для D:, а в DMDE показывается 41961698 для C: и 41961717 для D:, в TestDisk оба размера были правильными. И подозреваю, что возможно эти 19 недостающих секторов и являются причиной всех проблем. NDD к примеру в прошлый раз, когда у меня была похожая ситуация ругался, что не может прочитать последний кластер на диске C:. Так кому верить TestDisk'у или DMDE? И как выставить правильные параметры разделов? R-Studio кстати тоже сейчас видит какой-то лишний раздел, вдобавок к имеющимся, объемом в 7.9 Gb и с каким-то обрывками вместо названий дисков. Кстати, вот скриншот того, что мне восстановил TestDisk, т.е. правильной конфигурации разделов:



Вот ее хотелось бы вернуть, не так, как TestDisk, а полностью, чтобы и DMDE и другие программы с ним соглашались...

А вот скриншоты из DMDE:

Пожалуйста, помогите с такой проблемой. Перестал загружаться компьютер (Dell стационар), ни в обычном, ни в безопасном режиме. Сделали диагностику при которой было выдано сообщение об ошибке на жестком диске Return code 7. Техподдержка сказала, что сделать ничего нельзя, и они поменяют диск (комп на гарантии). Проблема в том, что в случае замены по гарантии они отсылают аварийный диск производителю, а на диске слишком много конфиденциальной инфы и инфы, которую можно классифицировать как интеллектуальную собственность. Так вот вопрос в том, как можно отформатировать этот диск, чтобы не рисковать всем этим? То есть речь не идет о восстановлении информации - нужно только все удалить. Может, это не так сложно..

ОС Windows Vista Home Premium SP2, диск Serial ATA 2, non-RAID (2x250GB)

Больше честное слово ничего не знаю, я не так продвинута, к сожалению. Помогите, пожалуйста, это нужно сделать до прихода техника, потому как вряд ли он захочет это делать сам...

Прошу помощи
Случайно удалил раздел на диске (диск не системный), партитишен показал что на диске не3 а 4 раздела, 3й и 4й одинаковые но 4й неиправен, удалил 4й а слетел 3й
Было три раздела - первый файл подкачки, ФАТ, размер 10 Гиг, второй НТФС 300 Гиг и третий тоже НТФС 155 Гиг
Пытался восстановить раздел с Ливе СД помощью Acronis Recovery Expert - при быстром поиске раздел не найден, полный по моим прикидкам займет несколько суток а результат неизвестен...
Погуглив, узнал про утилиту Testdisk http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step
http://www.winsov.ru/varius0062.php
Скачал-запустил, получил такую картину (пошаговые скрины):

жду советов
Кстати, Acronis Recovery Expert под Вистой 64 не запускается, говорит нет каких то файлов, или запускается но требует говорит что нет доступа к винчестерам

==========
Добавлено:
bourger

Цитата:

Имеется внешний (USB) хард WD на 320 Гб, случайно отформатированный в Ubuntu 9.10 вместо загрузочной флэшки в FAT32 (был NTFS).

не знаю, поможет ли но на всякий случай
Восстановление данных с флеш носителей http://stahanov-rdc.ru/data-flash.html
Повреждения логической структуры
Форматирования флеш-карты http://stahanov-rdc.ru/format-flash.html

Здравствуйте, уважаемые!

Antech, надежда на вас! Вы уже решали подобную проблему (http://forum.ixbt.com/topic.cgi?id=11:38633), но, к сожалению, из описания решения я понял лишь то, что надо снять дамп диска и обратиться к вам!

Итак, описание проблемы:

Жесткий диск Seagate ST3500820AS (466 Гб, один раздел, не системный, использовался для хранения данных) после внезапного отключения электричества перестал видеться файловым менеджером системы (Microsoft Windows XP Version: 5.1.2600 Service Pack 3), перетыкания шлейфов не помогли.


В "Управлении компьютером" диск отображается как "Диск 1 Динамический Не подключен" и имеет значок знака "кирпич". Как он был подключен до этого (динамически ли) к сожалению, не могу сказать - никогда не обращал внимания.

Скриншот "Управления компьютером": http://farm3.static.flickr.com/2756/4283927634_1b6b589de6_o.jpg

В контекстном меню диска в "Управлении компьютером" есть строка "Реактивизировать диск", при попытке это сделать выдается сообщение "Операция не завершена. Проверьте журнал System Event Log, чтобы получить дополнительные сведения". В журнале появляется ошибка LDM: "Внутренняя ошибка - Нет допустимых копий журнала в дисковой группе (C1000082)."

Также в меню есть опция "Преобразовать в базовый диск" но появляется сообщение "Если преобразовать этот диск в базовый, данные на нем будут потеряны", но это критично! Там важные данные - дизайнерские работы и проекты, этот диск и был предназначен для хранения важных файлов! Если они будут потеряны... Даже думать об этом не могу.

Поиском вышел на описание похожей проблемы (http://forum.ixbt.com/topic.cgi?id=11:38633), там Antech сказал, что нужно показать дамп первых ста секторов. Я воспользовался программой WinHex 15.5, открыл проблемный диск, выбрал строку "Start sectors" и скопировал первые сто строк (я не уверен, что строки - это сектора, поэтому скопировал с запасом, надеюсь, что это то, что нужно), залил на http://slil.ru/28505580

Очень надеюсь на вашу помощь!

Seymour

Цитата:

И подозреваю, что возможно эти 19 недостающих секторов и являются причиной всех проблем.

Причиной всех проблем может являться автоматическое исправление разделов в NDD и TestDisk (да и в DMDE) без консультации со специалистами. Судя по значению Hidden sectors из бутсектора, все разделы были основными. Кто-то же загнал два раздела в логические.

Цитата:

Так вот общее кол-во секторов для диска C: (Total Sectors) в DMDE показывается неправильным.

DMDE в окне редактора показывает лишь то, что записано в бутсекторе. При этом в окне "разделы" показывает то, что имеется в таблицах разделов - одинаковые размеры двух разделов. То, что размер в бутсекторе немного меньше размера в таблице - не страшно, а, вот, то, что после автоматических исправлений

Цитата:

теперь куча ложных ошибок (файлы бракуются авторекаверилками при отсутствии каких-либо повреждений)

дествительно плохо, хотя не совсем понятно, что значит "бракуются". Сейчас конфигурация разделов вполне корректная, хотя в бутсекторах и присутствуют признаки не совсем корректных действий. Возможно, форматирование исправит размеры в бустсекторах. Данные, как я понял, Вам не нужны.




Добавлено:
bourger
После этого:

Цитата:

случайно отформатированный в Ubuntu 9.10 вместо загрузочной флэшки в FAT32 (был NTFS)

вернуть "как было" не получится. Восстанавливайте файлы.



Добавлено:
crownnori

Цитата:

То есть речь не идет о восстановлении информации - нужно только все удалить.

в HDDScan, Victoria и др. сделайте Erase. Только диск не перепутайте!

Добавлено:
MicroWorld

Цитата:

вообще поможет ли создание образа

В чём?

Цитата:

при каждом копировании выдаёт ошибку оневозможности чтени

Там, поди, и не прочиталось ничего... 4 гига - это странный образ. А какой был диск?

Цитата:

помогите пожалуста

А что нужно-то?
Прежде всего сделайте и прикрепите SMART.

восстановил раздел с помощью Testdisk (см. мой пост выше)
Ребутнулся, после ребута ось установила драйвер, снова ребут и вуаля, раздел восстановлен, файлы слава богу на месте
правда первый раздел на 10 Гиг, который был в ФАТ (а Тестидск посчитал его НТФС) стал РАВ, но это мелочи




После восстановления запустил Testdisk - опять предупреждает про геометрию, хотя вся инфа на месте
Посоветовали убрать инфу и перебить раздел diskpart -ом, возможно так и сделаю...

Dzimitor
Фигня все это, там восстанавлтвать-то - один байт поправить... Откройте диск в DMDE, Escape, Ctrl+E, тип раздела смените с 42 на 07 (NTFS) либо 0C (если у Вас FAT), Ctrl+W, перезагрузка, и оно должно заработать. Если нет, покажите SMART и вывод chkdsk.exe БукваРаздела: (без /f), но 99% что это не понадобится.
Кстати, дамп Вы неправильно сделали - в секторе 512 байт, а не "одна строка" . Правда, в Вашем случае это не важно, т.к. все элементарно...

Antech
Огромное спасибо!

Все это просто магия какая-то - делаешь непонятные (для меня) пассы, заклинания, Escape, Ctrl+E и прочее - и все срабатывает!

Еще раз огромное спасибо за доброе волшебство!

Antech

Помогите пожалуйста! Не знаю что мне делать, нехочу сделать хуже! А информацию уж больно охота вернуть назад!!!

Вот мой пост...

На компе стоит Win XP Sp3.
Работа ХР была завершена корректно. Но при последующем ключеннии почему-то запустился скандиск.
Потом еще одно выключение, то же корректное.
В последующей загрузке выскакивает синий экран: отключите антивирусные и программы проверки диска. Запустите chkdsk /f.
Загрузился с Live CD попробовал запустить скандиск по загрузочному разделу - говорит не распознана файловая система.
Жесткий диск: Seagate Barracuda 7200.11
ST3320613A5
P/N 9FZ162-301
Firmware CC2F
Помогите восстановить данные плз!!!!

Добавлено:
На диске два раздела.
Второй проверяеся дискдоктором вроде нормально

oookotooo
Я не всегда бываю в форуме, пропустил Ваше сообщение...

Теперь картина становится более ясной, но все равно непонятки. В общем, проблема с первым разделом на "Диск 1".
Сейчас на этом диске в MBR первый раздел имеет тип 06 (FAT16) и начинается в секторе 800h (2048), такое смещение делает Win7 и, возможно, Виста (более старые Винды делали 3Fh == 63).
Если предположить, что раньше раздел начинался в секторе 63, то там следует ожидать бутсектор. И он там есть, это бутсектор NTFS. Смещение MFT стандартно для Винды XP и старше но без кода загрузчика. Размер раздела примерно тот, что надо, но до начала второго раздела не хватает 4026 либо 4025 секторов. Хотя это и необычно, но могло работать и так.
Надо проверить MFT. Покажите 100 секторов физического диска, начиная с 6291519.

И еще. Почему в бутсекторе первого раздела нет кода загрузчика? Винда при форматировании раздела пишет загрузчик перманентно, а смещение MFT в секторе 63 стандартно для Винды.
Чем форматировался первый раздел?
Что кроме удаления и создания раздела в Управлении Дисками предпринималось? Какие-то попытки исправить автолечилками? Реконструкция бутсектора?

Aladdinych

Цитата:

ST3320613A5
P/N 9FZ162-301
Firmware CC2F

Не A5, а AS. С новой противомуховой фирмварью, уже из постмуховых партий...


Цитата:

Второй проверяеся дискдоктором

Не стоит такими штуками пользоваться.


Цитата:

скандиск по загрузочному разделу

Он вообще умеет NTFS? Или у Вас FAT? Скандиск - он же из Win9x? Если у Вас NTFS, пользуйте штатный Чекдиск, но не давайте ему сразу исправлять.
Покажите результаты chkdsk.exe БукваРаздела: (без /f).
Покажите дампы физического диска по 100 секторов, начиная с секторов 0 и 6291519. Первый раздел был Primary или Logical? NTFS или FAT?