» Пропали локальные диски

wercatunia
Я малость ошибся в первой расчётной формуле. Точнее сначала написал русское навание зеркала, а потом решил сделать как правильно, скопировал-вставил, но забыл приписать Mirror.
То есть, правильно должно быть так.
353 077 248 + размер кластера*значение MFT Mirror Start cluster = начальный сектор зеркала.
И это будет первый сектор, а так как зеркало содержит 4 записи то его записи находятся и в последующих 7-ми секторах. Но это в нормальной ФС. У убитой часть секторов может быть и перезаписано.

Что касается дампов, то они делаются по другому, но даже из скриншотов видно что в 2450247679 реально загрузочный сектор который можно обнулить. Хотя я бы обнулил области, которые на скриншоте экрана Разделы помечены как свободно - как раз в них и располагается пара реликтов.
Для Home начало MFT расчитываем на основе нормального скриншота DMDE
525084524-104872256=420212268 виртуальное начало тома
420212268+6291456=426503724 начало MFT за которым следует какое то количество секторов с записями.

Добавлено:
Что касается WinHex, то буквально на днях на "зоне" немного пополемизировал с Tau_0 по поводу этой программы.
Конечно же ИМХО, но DMDE проще для обычного пользователя, и тому пример скриншот для раздела Home. Всё необходимое практически видно - и это безо всяких манипуляций пользователя.
Причём если бы после этого нажать Esc то попали бы в указанный сектор. И для его обнуления достаточно сделать не такую заумную комбинацию действий. В меню Сервис - Заполнить секторы оставить как есть значения и нажать Ок. Хотя можно и проконтролировать что выбран шаблон и он 00, что начальный и конечный сектор имеют оно и то же значения (при затирании одного сектора) а число секторов равно 1.

Tau_0, ну не знаю все -таки ну не настолько же тупая чтобы не суметь нажать
Цитата:

Edit ===> Past Zeros Bytes ===> 512

512 набираю на клавиатуре ничего не происходит кроме первых цифр меняющихся, если ентер нажать появляется окно

и становится еще непонятнее))

в DMDE нажала при выделенном NEW ESK перейти к кластеру 353077248, открыло картинку такую-же как в Winhex))
потом нажала заполнить секторы окошко такое:

соглашаться?)

wercatunia

Цитата:

соглашаться?)

Да, но только чуть позже, так как надо же вычислить где находится MFT Mirror.
Сделай отмену после чего нажми F7 или выбери в меню Режим-Загрузочный.... и сделай скриншот.

wercatunia

Цитата:

ну не настолько же тупая чтобы не суметь нажат

Цитата:

таки ну не настолько же тупая чтобы не суметь нажать

Я тупо нажимаю
Edit ===> Past Zeros Bytes ===> 512



и получаю тупо занулённый сектор LBA = 4 (на примере реликта pano)

Tau_0 ну не надо сердиться я же про себя говорила, может версия программы другая( у меня 16,8) или какая-то тонкость банальная есть о которой я не в курсе(

9285

http://www.picshare.ru/view/1051428/

wercatunia
Мой прогноз оправдался - зеркало находилось в начале раздела, сейчас в свободной зоне и поэтому сохранилось. Находится оно с 353077248+8*2=353077264 и по 353077271
Так что можешь вернуться к окну, которое показано ранее (Заполнить секторы) и в нём изменить значение число секторов - поставь 30. При этом автоматически изменится значение последнего сектора

http://www.picshare.ru/view/1051663/
правильно? соглашаться?)

скорее всего поняла почему не получалось ) , в обще-то я спрашивала (начало блока -конец блока), ну тоесть выделить по всей видимости надо было, ну а так как я послушная я только наводила маркер и Edit ===> Past Zeros Bytes ===> 512, а теперь досмотрела, что у Tau_0 выделен этот сектор. Не проверяла, но по всей видимости это из-за этого.

wercatunia
Правильно. Соглашайся.
После переоткрой диск и посмотри результат. Если вдруг реликт останется, то перезапусти DMDE.

http://www.picshare.ru/view/1051963/
вроде пропал мой NEW ) спасиб.

wercatunia
Ну и ладушки. И ведь совсем не так уж и страшно.

Tau_0

Цитата:

Но не факт, что DMDE опять его (реликт не покажет). Это ведь очень мощная ремонтная программа, --- может по другим косвенным признакам (файловым_записям/записям_MFT, копии бута) показать, что в этом секторе когда-то начинался раздел. В этом и ценность DMDE...

DMDE несомнено хорошая утилита, но только пиписывать чудеса не надо.
По крайней мере к начальному поиску разделов. В нём не учавствуют файловые записи.
Другое дело - после Поиска NTFS (или соотвествующей ФС). В этом случае может найтись и по этим признакам, но в этом случае в экране разделы такие будут обозначены как найденные.

wercatunia

Цитата:

ну тоесть выделить по всей видимости надо было, ну а так как я послушная я только наводила маркер и Edit ===> Past Zeros Bytes ===> 512, а теперь досмотрела

Цитата:

может версия программы другая

Mille pardons...
Версия не влияет --- это я все-таки настолько же тупой

Выделяем блок из 512 байт от начала сектора до сигнатуры конца бута 55h, AAh. Хотя можно залить любой блок, но нужен ровно бут сектор.
Edit ===> Fill Block
Заливаем ВСЕ байты блока паттерном 00h
См. картинки


и вот результат

ЗЫ А по paste нельзя --- сектор нулей вставиться. --- Сдвиг на целый сектор.
ЗЗЫ Давно не пользовался, --- виноват, --- подзабыл

9285, может "хому" поможете прибить))
"Для Home начало MFT расчитываем на основе нормального скриншота DMDE
525084524-104872256=420212268 виртуальное начало тома
420212268+6291456=426503724 начало MFT за которым следует какое то количество секторов с записями. "
http://www.picshare.ru/view/1052296/
интуитивно чувствую, что что-то не то вставила)

wercatunia
Ломать не строить .
Только не надо делать резких движений.
Для начала надо поглядеть что в указанных секторах есть записи MFT. И лишь убедившись в этом прибивать их.

Добавлено:
И да, не то вставила. И очень много.
Эти сектора находятся на ext-овском разделе и могут относиться к его структуре.
Впоследствии, когда убедишься что там нужное, надо сделать чтобы начальный сектор был 426503724 а конечный зависит от того сколько осталось записей. А это можно определить или по дампу (неизвестно какого количества секторов) или, что значительно проще, на основе лога поиска NTFS на участке от сектора 420212268 до 525084524.

wercatunia
9285 опередил, но я свои пять копеек вставлю...


Цитата:

за которым следует какое то количество секторов с записями. "

wercatunia
В WinHex Вы на MFT можете одеть шаблон NTFS FILE Record To be applied to records in the Master File Table. Хотя бы посмотреть на файловые записи. Обычно по два сектора на запись.
А вдруг там иное...???...

ЗЫ Чтобы кое-что посмотреть и перепроверить мне приходится перезагружаться на систему без интернета, но с редакторами и утилитами. На основной что-то в браузере чудно сломалось...

Tau_0
Пользоваться виртуалками не пробовал?

когда открываю Home по ентер такие картинки, так что теряюсь где делать лог поиска.
http://www.picshare.ru/view/1052602/

http://www.picshare.ru/view/1052603/

в хексе

http://www.picshare.ru/view/1052726/

http://www.picshare.ru/view/1052728/


Tau_0

Цитата:

В WinHex Вы на MFT можете одеть шаблон NTFS FILE Record

сейчас попробую..
http://www.picshare.ru/view/1052796/ это 426503724
http://www.picshare.ru/view/1052818/

wercatunia
Иш чё захотела - открыть диск с копии бутсектора, да ещё при том что диска уже почти нет.
Открываешь физический диск, закрываешь окно разделов и переходишь в сектор 426503724
Затем можешь сделать дамп этого сектора + штук 100 последующих в файл.
Сервис-Копировать секторы
Источник
Начальный сектор - 426503724
Конечный выставиться сам после указания следующего параметра
Число секторов - 101
Место для записи - файл


Цитата:

в хексе     http://www.picshare.ru/view/1052726/

Ну как бы видно что это файловая запись $MFT, и что один фрагмент но это когда понимаешь.
А вот если бы открыла тот же сектор в DMDE, то всё было бы намного понятнее и правее видно было бы FILE. А если ещё и нажмёшь Alt+F5 то вообще увидишь красоту.

Что касается поска то вообще элементарщина.
Открываешь диск и в окне разделов нажимаешь пимпу Поиск NTFS. Задаёшь границу поиска и вперёд.
По окончании сохраняешь лог.

9285

Цитата:

переходишь в сектор 426503724

, это оно?, тут дополнительные настройки
http://www.picshare.ru/view/1052922/

wercatunia
Я по винхексу не могу подсказать.
А в DMDE делается просто - Редактор - Физические секторы и в том поле где находится курсор вбиваешь нужный номер сектора.

9285
так это ж и есть DMDE)

9285

Цитата:

понятнее и правее видно было бы FILE.

wercatunia
Либо Вы откоючили в меню View WinHex'а показ правого столбца (ASCII), либо просто обрезали срин. Но при включенной опции показа WinHex выводит для файлоой записи столбец ASCII c сигнатурой FILE*.

Цитата:

так это ж  и есть DMDE)

Ну тогда я не знаю как ты достигла такого результата.

9285
Скачать lba_426503724_101.bin с WebFile.RU
надеюсь правильно, не приходилось загружать))


Добавлено:
Tau_0

Цитата:

в меню View

, галок никаких нет кроме кодировка ANSI-ASCII. И не обрезано, проверила.

wercatunia
Дамп сделан правильно, но с чего ты вдруг начала выкладывать на такой паршивый хост?
Если что - rghost.ru
Дамп расставил всё по местам. Да, есть там записи, даже почти все из 32-х (размер указывает на то, что раздел был вновь отформатированный).
Так что можешь делать как я написал чуть выше, а Число секторов указать 58.
После чего можешь занулить копию бутсектора.

Цитата:

Ну тогда я не знаю как ты достигла такого результата

редактор-переход к позиции)
http://www.picshare.ru/view/1053247/
даете добро?)
420212268- а это начало тома нигде не участвует?
бррр или может 426503724(совсем запуталась)

wercatunia
Это актуально для копии бутсектора и там достаточно 1-го сектора.
А для MFT
Начальный сектор - 426503724
И лучше сразу перейти в него, чтобы убедиться что туда попала - справа увидишь FILE в начале сектора (в шестнадцатеричнов режиме просмотра).

Добавлено:

Цитата:

420212268- а это начало тома нигде не участвует?

Я же писал что это виртуальное начало тома (там сейчас итак нули) и оно учавствует лишь в расчётах.

Цитата:

Открываешь физический диск, закрываешь окно разделов и переходишь в сектор 426503724

так ?

да

http://www.picshare.ru/view/1053436/
добро?

Добро.

Добавлено:
ушёл