» Восстановление разделов и информации на HDD (часть 8)

temp9285
Реконструировал раздел 801 Гб, файлы похожи на диск D . По скану http://rghost.ru/6WSXJlPJ6 можно его вставить?
И еще, диск С в меню мой компьютер по прежнему показывает около 80 Гб, его нельзя с разделом 300 Гб объединить?
Извини за дилетантские вопросы.

Поможте кто сможет востановить разделы диска.
Диск 2Тб. Просто слетели разделы после выключения. Кристал диск инфо показывает 100% здоровья. В программах востановления файлов все файлы видны и легко востанавливаются, но вот незадача, нет у меня свободных 2 гигов для перезаписи, поэтому и стоит вопрос как восстановить разделы. Диск использовался как файловое хранилище. Был разбит на два раздела в NTFS
http://s015.radikal.ru/i332/1602/36/ac084c4a2e05.gif
Попытка восстановления заканчивается тем что находится только один раздел и он восстанавливается только в RAW
http://s010.radikal.ru/i311/1602/62/ef7337867b19.gif

avtandil33

Цитата:

если 5 - метка файла в руте, то и все файлы/папки с этой меткой тоже находились в руте

Вообще, неплохо изучать это дело на рабочих томах.
5-я запись - корневой каталог. И всё, что было в нём (папки и файлы) имеют в своей записи номер родительской папки 5.

Цитата:

Прошелся поиском Gruz2016 по всему диску - ничего не нашел, наверное это и не удивительно, раз чекдиск все упоминания о ней удалил.

Обычно, у обьекта имеется запись в MFT и имя фигурирует в индексах "родителя". Соответственно, если записи нет, то из индексов удаляется инфа об обьекте - ну и что тогда искать? Не, если действие произошло недавно, то можно найти упоминание о действе в журнале файловой системы тома, но он не безразмерный и, по мере заполнения новых событий, старые записи удаляются.


Цитата:

То есть место где был Gruz2016 находится в MFT 566842, а не в MFT 559761, я правильно понял ?

Да.


Цитата:

А MFT 559761 и MFT 559749 уже относятся к файлу 25 ?

Насколько знаю - нет, но мог в нём фигурировать (если у записи был соответствующий идентификатор) - это тебе лучше почитать про $ObjID


Цитата:

566842 - не нашел, 559761 и 559749 на скриншоте 02...   Куда дальше рыть ?

Можно посмотреть что сейчас в этих секторах, но там наверняка будут пустышки.
Так что, скорей всего, в сторону бэкапа или машины времени.
Но, на основе написанного выше про корневой, понятно что если есть записи у которых родителем прописана какая то запись, то в DMDE после поиска они собираются в одну папку с именем $Fxxxx

Добавлено:
yaleshka1984
Не могу порадовать тебе чем либо.
Учитывая результаты RAW-поиска, я практически уверен что был вирус-шифровщик.

Добавлено:
speno112
Так ты определился с размерами томов?
Я ещё раньше писал про "сборку", но тогда ещё не было подтверждений о наличии реального 1,67тб раздела. И при его нынешнем положении 1200гб можно собрать лишь из 800-гигового и участком до 1,67 - на котором сейчас 300-ка. Возможно так дела диск анлокер, возможно ты использовал что то типа хардинков. Технически, такое можно реализовать и с помощью динамических разделов, но по букварю это предполагает что весь диск должен быть таким. Или он таковым - хотя упоминание ХР как бы исключает это.
Если же говорить только о 801 гиговом, то я уже писал про него - кратко, стандартно его можно прописать лишь лишь при использовании GPT разметки.

Добавлено:
Goryna
Хочешь сказать что диск подключен как и ранее?
Есть необходимость пользоваться пиратскими версиями программы?

temp9285

Цитата:

Так ты определился с размерами томов?

да собственно, меня не сильно заботит размер томов, лишь бы попытаться сделать так, чтобы использовался весь объем харда. Файлы я все сохранил. Можно пробовать.
Я уже думал сегодня попробовать анлокером, но побоялся все запороть.

temp9285
Хозяин жесткого диска сознался, что кому то давал его, а что с ним творили неизвестно. Кроме вируса шифровальщика, какие могут быть еще предположение, может смещение какое или еще чего, что можно еще глянуть и если реально шифровальщик был, то ясен перец данных нет, может ковырнули chkdsk и ушло все во своя!?
Тут еще такая странная особенность глянул внимательно смарт, удивительно жесткому диску 2 года со слов хозяина, а часов наработки всего 500,при том что я его мучаю 2-3 дня, до меня получается в целом 18 дней всего проработал, что-то маловато, хотя он внешний может и быть, но сомнительно при том с него и фильмы смотрели. Возможно поигрались техно софтом, хотя жесткий USB и у него нет разъема Sata, по моему только wdr может схавать его и сделать сброс.

yaleshka1984
У меня сомнения в том, что так исключительно всё сдвинулось. При этом не сдвинулись другие типы файлов и живы записи старой MFT.
Ну, если хочешь проверить эту версию - вбивай характерную сигнатуру jpg-файлов и ищи.
А вообще, самому стало интересно - найдут ли проги при сигнатурном поиске файлы со смещением не кратным размеру сектора.
В принципе, шифрованные средствами NTFS файлы выглядят как мусор, но только в DMDE они не так отображаются.
Если говорить об игре чем то специфичным - как обьяснить выжившие старые записи?
как то так
speno112
Я не помню подробности (это было в какой то теме на хоботе), но вроде бы было написано про то, что при классической MBR нужно сделать так, чтобы раздел за пределами 2ТБ был прописан с началом в секторе ранее этого порога. Но никто не гарантировал что это может в любой момент глюкнуть. Так что, разумнее) использовать GPT-стиль разметки.
Ну а что касается дисканлокера, то тут я не советчик.

temp9285



Цитата:

Обычно, у обьекта имеется запись в MFT и имя фигурирует в индексах "родителя". Соответственно, если записи нет, то из индексов удаляется инфа об обьекте - ну и что тогда искать? Не, если действие произошло недавно, то можно найти упоминание о действе в журнале файловой системы тома, но он не безразмерный и, по мере заполнения новых событий, старые записи удаляются.

Думаю, там уже ничего нет - это ноут моей супруги был , а она его активно юзает. Но посмотреть можно. А какой точно файл для семерки ?

Цитата:
А MFT 559761 и MFT 559749 уже относятся к файлу 25 ?


Цитата:

Насколько знаю - нет, но мог в нём фигурировать (если у записи был соответствующий идентификатор) - это тебе лучше почитать про $ObjID

Ок, попытаюсь.

Цитата:
566842 - не нашел, 559761 и 559749 на скриншоте 02... Куда дальше рыть ?


Цитата:

Можно посмотреть что сейчас в этих секторах, но там наверняка будут пустышки.
Так что, скорей всего, в сторону бэкапа или машины времени.

На скриншоте 02, что я посылал, видно, что вроде пусто в запмсях. Бэкапа к сожалению нету, был бы - вообще бы не заморачивался.


Цитата:

Но, на основе написанного выше про корневой, понятно что если есть записи у которых родителем прописана какая то запись, то в DMDE после поиска они собираются в одну папку с именем $Fxxxx

А как вообще DMDE восстанавливает систему ? У меня-то в принципе все файлы должны быть на месте, просто MFT покоцано чекдиском. Может можно как-нибудь на основании лога чекдиска совершить обратную операцию, то есть добавить в MFT записи, которые этот гад стер ?

temp9285

Цитата:

Хочешь сказать что диск подключен как и ранее?
Есть необходимость пользоваться пиратскими версиями программы?

Диск подключен через USB переходник. Это имеет значение?
Про пиратку не понял, пользуюсь тем что есть в комплекте TotalCommander PowerUser

temp9285

Цитата:

Так что, разумнее) использовать GPT-стиль разметки

Полностью Вам доверяю и жду инструкций.

avtandil33

Цитата:

На скриншоте 02, что я посылал, видно, что вроде пусто в запмсях.

Если не вспоминать про чекдиск, то бывает что в записи есть сдвиг или какое то повреждение байт - и програма будет показывать так, как у тебя. Но на самом деле, если посмотреть в простом виде, то можно увдеть что там. Да и в записях бывает что за концом данных видны старые ранлисты и т.п.
Это не к тому чтобы тебя обнадёжить - уверен что чекдиск там зачистил - просто нужно смотреть в другом режиме (F2).


Цитата:

Может можно как-нибудь на основании лога чекдиска совершить обратную операцию, то есть добавить в MFT записи, которые этот гад стер ?

Даже если отбросить сложности ручного ввода, то всё равно нужны данные о размещении файлов, которые хранились в ранлистах. А где их взять?


Цитата:

А как вообще DMDE восстанавливает систему ?  У меня-то в принципе все файлы должны быть на месте, просто MFT покоцано чекдиском.

Это вопрос к автору, а если в общих чертах и как я понимаю - она ищет значимую информацию, анализирует и сопоставляет. На основе этого делаются выводы.

PS. Сигнатурным поиском пробовал найти информацию?

Goryna
Да, имеет, потому что похоже на то, что "переходник" выдаёт 4к-сектора.
Версия 2.4.6 - одна из распространнёных пиратских версий. Да и во всех сборках преимущественно всё ломанное.
И дело даже не в том что мне не очень нравится когда пользуют пиратку такой программы (*), а в том что она "восстанавливает" битым то, что нормальная версия восстанавливает целым - претензии к "ломальщикам"); да и не факт что и в других моментах может выдавать не то, что на самом деле.

(*)
1. Free-шная версия позволяет выполнить весь комплекс диагностики и выполнить простое восстановление (не папками)
2. Если уж невмоготу и хочется восстанавливать папками, то стоимость экспресс-версии просто смешная.
И уж тем более, в случае восстановления бесценного контента, она несоизмерима со стоимостью данных.
3. В новых версиях появляются новые возможности, улучшаются алгоритмы поиска, исправляются ошибки и т.п. http://dmde.ru/changelog.html .

Добавлено:
Оказывается что уже есть возможность получения бесплатной версии на месяц (для малоимущих) http://dmde.ru/buy.html

speno112
Готов к переустановке винды? Тогда жди - это одним абзацем не описать.
И, если хочешь, до установки винды попробовать одни костыли, то попробуй сжать том 1,67ТБ - достаточно пары мегабайт.

temp9285

Цитата:

Готов к переустановке винды? Тогда жди - это одним абзацем не описать

Готов ждать. Очень мне интересною

Цитата:

И, если хочешь, до установки винды попробовать одни костыли, то попробуй сжать том 1,67ТБ - достаточно пары мегабайт.

Сжал на 44 Мб http://rghost.ru/6gCC5cTyG

temp9285
по сигнатурам ничего не находит, R-studio к примеру пишет сектора как непознанные. А может mtf каким то волшебным образом измениться и поэтому неправильно файлы восстанавливаются или есть какая нибудь возможно корректировка секторов или еще чего нибудь?

speno112
Находясь на экране разделы, удали дополнительный раздел, а потом вставь том 1,67 но как основной.
Покажи скриншот.

yaleshka1984
Ну я же выше написал.
Может и можно волшебством, но я такого не знаю - по крайней мере применительно к стандартным условиям; ну мало ли - может они сами какой то шифровщик использовали. И вполне естественно, что под другой системой такие файлы не будут видны в привычном виде.

Добавлено:

Цитата:

R-studio к примеру пишет сектора как непознанные

Я не знаю что ей не нравится, тем более не представляю о чём речь - скриншот что ли покажи.

temp9285
Сделал http://rghost.ru/8m4Fv6r95

speno112
Ок. Можешь применить изменения и (по хорошему) лучше перезагрузить систему.

Сделал

speno112
А теперь попробуй вставить 801 гиговый как дополнительный. Не применяй изменения - покажи скриншот.

temp9285
что нажимать? http://rghost.ru/8kSFr5hwp

speno112
Логический

temp9285
игнорировать? http://rghost.ru/6rGJKl6Mh

speno112
Я не заметил там игнора. Ну и ладно - зачем нужны костыли.
Ты пока прозондируй про установку винды в случае использования UEFI. Это необходимо для случая когда загрузочный диск должен иметь GPT разметку - а при 3тб нужна таковая.

temp9285
вот скрин R-Studio http://rghost.ru/6sCKncRj4 я еще забыл сказать, что найденные файлы до 1кб открываются может это как то поможет в решение проблемы. В данном поиске он ничего не нашел в формате jpg, есть gif он их открывает http://rghost.ru/7xymJG2mX и еще находит много образов с большими размерами в формате pbm и т.д. http://rghost.ru/7vKkTnggG что это вообще?

temp9285
вот в этой статье Ссылка есть установка с флешки на материнку asus, у меня такая же. Делать все подготоперации в биосе?

yaleshka1984
Цитата:

найденные файлы до 1кб открываются

В MFT есть понятие резидентных данных. И некоторые файлы, которые могут всё содержимое записать в запись - записываются туда. Этим и обьясняется такой эффект. Кстати, гифки как раз мелкие.
Что касается PBM - не знаю что там ей мерещится; но видимо заголовки некоторых файлов содерхат характерную для PBM файлов сигнатуру.

Меня смущает сообщение о том, что MFT за пределами границ диска. Нет такого - дежит себе в положенном месте.

PS. Проверил в виртуалке версию про сдвиг - не находятся такие файлы, по крайней мере при дефолтовых настройках.

speno112
Потерпи пока без этого раздела.
Что касается ссылки и остального, то это здесь уже [more=оффтоп]
У меня нет желания заходить на сайт, где много ошибочной и опасной информации - по крайней мере по вопросам восстановления. Я описывал какие там ошибки - админ обидеЛОСЬ и поудалял мои комменты.
Почему я должен верить что и в остальных вопросах он такой же нуб, бездумно копипастящий статьи.
Лучше уж здесь поищи тему.
В принципе, можно было бы предложить попробовать установку и остановиться в нужный момент, но у меня нет уверенности что может сделать винда. У тебя MBR, и как она поступит с ней я не знаю.
Если просто удалит и создаст GPT, но при этом даст возможность тебе создать нужные разделы, то тогда нормально. А если нет, и сделает всё одним большим, а потом ещё и начнёт писать в конец диска, тем самым переписывая старые данные.[/more]

temp9285

Цитата:

Что касается ссылки

просто там написано, что нужно UEFI–флешка. Нужно ли обязательно ее создавать? Или я уже в дебри полез?

temp9285
Он так пишет в том случае, если я два раза щелкаю на Прямой том http://rghost.ru/6vM4SQGrt . Во общем делаю далее полное сканирование примерно секунд 20, выбираю Распознаный0 http://rghost.ru/692BQ7l5b и http://rghost.ru/8nqFWKh7p и внизу надпись место 1 есть... как будто говорит о смещение. Даже если я выбираю просто физический диск и делаю сканирование, то так же все выходит: http://rghost.ru/72ThKKVjJ

yaleshka1984
Ну не знаю я эту программу, и что в её понятии Field и Прямой том.
Возможно он ищет ФС с 0-го сектора и берёт за основу его данные.
Ну давай глянем что там - сделай дамп 0-го сектора.
Но только это для успокоения совести.
И видимо есть ошибка сектора,про который упоминается. Возможно наткнувшись на такой программа прерывает поиск.

temp9285
дамп 0 сектора http://files.d-lan.dp.ua/download.php?file=80c19344b24c6590e49ca73fe40ddce7


Цитата:

Возможно наткнувшись на такой программа прерывает поиск.

поиск не прерывается, уже делал полное сканирование прогой r-studio.

yaleshka1984
Дамп не качается. Выложи на какой то другой ресурс (раз ргхост не работает).

temp9285
http://файлообменник.рф/1a25amn0k0df.html вот сюда выложил