» Восстановление разделов и информации на HDD (часть 8)

temp9285

Цитата:
А, ну я же делал полный поиск, там RAW был включен. Но таким путем, наверное, реально будет только некоторые песни найти.


Цитата:

Можно нефрагментированные файлы (*) или начальный фрагмент.
PS. Что ты хочешь - чудес?

Ну, хотелось бы...



Цитата:

Что касается второго случая, скриншот настолько информативный что не поймёшь что открылось - запись MFT, фрагмент индекса или данные из журнала файловой системы.
В любом случае, надо исключить любую запись на диск (забрать букву диска и т.п.)
После этого открыть диск в DMDE, сделать виртуальную реконструкцию и смотреть есть ли запись об этом файле.
Небольшой печальный факт. В случае удаления файла более 4-х гигов (а тиб наверняка не маленький) в файловой записи ранлист удаляется.

PS. Насколько помню - у какого то формата tib-файлов есть характерные сигнатуры в начале и конце файла. И вроде бы размер файла + контрольная сумма. Что, в случае нефрагментированного файла позволяет найти его даже при отсутствии ранлиста.

Я все это и делал, только букву не забирал - уже исправлено.

Дело в том, что я запускал поиск по строке и вот он мне открыл только эту строчку с конкретным номером сектора, а как узнать из какой это области я не знаю. В твоем примере с Метелкиным было все ясно - наверное потому что файлы-то в общем-на своих местах. А в случае удаленного - я в сумленяих - как быть дальше ?!

Честно говоря, странно ваще, что файл был так резво удален без подтверждения факта окончания переноски на другой диск...

avtandil33

Цитата:

Дело в том, что я запускал поиск по строке и вот он мне открыл только эту строчку с конкретным номером сектора, а как узнать из какой это области я не знаю.

Ну так разверни окно пошире, и вообще сделай дамп этого сектора + до и после штук 8.
И покажи что в корневом показывает после виртуальной реконструкции.


Цитата:

Честно говоря, странно ваще, что файл был так резво удален без подтверждения факта окончания переноски на другой диск...

Ну так - кэширование никто не отменял, впрочем как и глюки.

temp9285,спасибо большое за Ваши советы! Все файлы нашлись в Root.

temp9285

Цитата:
Дело в том, что я запускал поиск по строке и вот он мне открыл только эту строчку с конкретным номером сектора, а как узнать из какой это области я не знаю.


Цитата:

Ну так разверни окно пошире, и вообще сделай дамп этого сектора + до и после штук 8.
И покажи что в корневом показывает после виртуальной реконструкции.

Лежит тута. Сделал дамп +/- 10 секторов.

В корне ваще было еще несколько тибов, но тоже большие, может поэтому их и не показывают в списке удаленных ?

Thrix
В твоём случае, с вероятностью 99,99% этот раздел можно восстановить по месту - то есть вставить и применить изменения.

avtandil33
Что то я в корне не заметил тибов. И если их нет, то напрашивается вывод что уже что то переписало их записи.
Что касается дампа, то и в нём не прояснилось к чем относится - похоже на индекс папки но, при стандартном размере кластера, в таком промежутке секторов встретился бы маркер индекса. Получается или кластер большой, или что то ещё - не исключаю что маковское.
В принципе, можно по карте кластеров посмотреть что там лежит.

temp9285


Цитата:

Что то я в корне не заметил тибов. И если их нет, то напрашивается вывод что уже что то переписало их записи.

Типа их-за того, что я сразу букву не забрал? Потому как уж на этот диск точно ничего не писалось...



Цитата:

Что касается дампа, то и в нём не прояснилось к чем относится - похоже на индекс папки но, при стандартном размере кластера, в таком промежутке секторов встретился бы маркер индекса. Получается или кластер большой, или что то ещё - не исключаю что маковское.
В принципе, можно по карте кластеров посмотреть что там лежит.

Вот вроде нашел - правда не стало от этого легче... $UsnJml:$J - вот уж хрень...

avtandil33

Цитата:

Типа их-за того, что я сразу букву не забрал?

Ну а чем ещё обьяснить что нет записи о файле?

Цитата:

Потому как уж на этот диск точно ничего не писалось..

Писать можешь не только ты.

Цитата:

$UsnJml:$J - вот уж хрень..

Есть такое дело, только правильнее $UsnJrnl
Если есть желание - изучай что за хрень.
А это тебе в помошь - http://www.orionforensics.com/w_en_page/NTFS-Journal-Viewer.php Возможно что с её помощью узнаешь номер записи MFT пропавшего файла, а потом что в ней сейчас.
PS. А в корзине случаем нет твоего файла?

temp9285


Типа их-за того, что я сразу букву не забрал?


Цитата:

а чем ещё обьяснить что нет записи о файле?

Мажет из-за большого размера ? Там еще несколько перемещенных типов
канули, правда они мне не нужны...

Потому как уж на этот диск точно ничего не писалось..


Цитата:

Писать можешь не только ты.

$UsnJml:$J - вот уж хрень..


Цитата:

Есть такое дело, только правильнее $UsnJrnl
Если есть желание - изучай что за хрень.
А это тебе в помошь - http://www.orionforensics.com/w_en_page/NTFS-Journal-Viewer.php Возможно что с её помощью узнаешь номер записи MFT пропавшего файла, а потом что в ней сейчас.

Спасибо, поизучаю.


Цитата:

PS. А в корзине случаем нет твоего файла?

Увы...

avtandil33

Цитата:

Мажет из-за большого размера ?

Я не настолько знаком с NTFS, чтобы что то утверждать.
Да к тому же с ней работает драйвер системы, коих не счесть - в том числе не микрософтовских.
Если же по толмудам - после удаления файла запись MFT считается свободной и любой вновь записываемый файл может записаться в неё.
Я тебе и предложил программу, потому как она показывает номер записи MFT который был у файла.

PS. Не надо цитировать свои прежние ответы - сбивают малость с толку.
Вот непонятно это
Цитата:

Потому как уж на этот диск точно ничего не писалось..

к верхнему тексту относится или нет.

temp9285

Может из-за большого размера ?


Цитата:

Я не настолько знаком с NTFS, чтобы что то утверждать.
Да к тому же с ней работает драйвер системы, коих не счесть - в том числе не микрософтовских.
Если же по толмудам - после удаления файла запись MFT считается свободной и любой вновь записываемый файл может записаться в неё.
Я тебе и предложил программу, потому как она показывает номер записи MFT который был у файла.

Нашел искомый файл журнала в папке Metadata\$Extend.

Как видно файл больше 5 метров - в нем сначала куча нулей, потом инфа, а в конце опять нули. Хотел восстановить его, чтобы напустить на него парсер, но сам файл не дает выделить, а при попытке восстановления всех файлов из папки все восстановленные файлы получаются нулевого размера.
Как быть ?


Цитата:

PS. Не надо цитировать свои прежние ответы - сбивают малость с толку.

Сорри, мусор прокрался ...

avtandil33
Парсер сам может извлекать журнал, но для этого ему нужна буква диска.
Возможно что его можно собрать по частям, подсмотрев ранлист.
Может можно и ещё как, но я не в курсе.

avtandil33
Ну и ещё откуда можно узнать информацию о крайних транзакциях ФС - это журнал файловой системы. Погугли парсер NTFS $LogFile

Добрый день! Имеется флешка Transcend 16 Gb. При подключении флешки window выдает сообщение: «Прежде чем использовать диск его нужно отформатировать».
При запуске chkdsk g: /f появляется сообщение "Тип файловой системы: RAW. CHKDSK недопустим для дисков RAW."
Запускаю dmde. В окне Разделы разделы отсутствуют.
Первым делом делаю копирую секторы в резервный файл.
Поиск NTFS ничего не дает.
Поиск FAT находит том FAT0 (http://prntscr.com/a8a4xi).
При открытии тома предлагаются следующие параметры: (http://prntscr.com/a8a5dn). Жму Открыть.
В окне "Установки использования FAT-таблиц" (http://prntscr.com/a8a6or) жму OK.
После этого можно восстанавливать файлы по одному. Но т.к. файлов очень много, хочется все же восстановить таблицу разделов.
В окне Разделы появилась строка с файловой системой FAT32 (http://prntscr.com/a8a664).
Выделяю строку, жму Вставить. Появляется предупреждение: "Для выбранного диска не найден загрузочный сектор. После добавления диск будет виден как неотформатированный. Продолжить?". Жму OK.
Появляется предупреждение: "Файловая система тома повреждена. Продолжить все равно?". Добавляю диск как основной раздел.
Появляется такая картина (http://prntscr.com/a8a74a). Жму Применить.
После этого получаю картину, как на скриншоте http://prntscr.com/a8a7fr.
Подскажите, пожалуйста, что делать дальше.

insight81
Судя по имеющейся информации, начало раздела чем то переписано - соотвественно уничтожен бутсектор, его копия и начало FAT1.
Хотя лучше взглянуть что там реально - в секторе 2049 (*) + штук 200 далее.
Ну а далее - сделать бутсектор и прописать его.
Если версия насчёт повреждения FAT1 верна - записать в неё содержимое FAT2.

Вот только есть ли смысл этим заморачиваться?
Возможно что этого будет недостаточно или будут мелкие ошибки, которые надо устранять чекдиском. А вот что он сделает - сложно сказать. К тому же смещение раздела не стандартное - что вроде бы для флэшек не есть хорошо.

temp9285, нужно смотреть содержимое до или после того, как я добавил раздел FAT32 в dmde? Начиная с 2049 сектора, или с 2079? Просто у меня везде на скриншотах начало с 2079.

insight81
В смысле добавил? Ты всё таки вставил - но толку без бутсектора.
Сейчас очень плохой доступ к скриншотам, поэтому писал номер по памяти. Если 2079-й, то с 2079-го.

insight81
Да,судя по всему дамп нужно сделать с 2079 сектора. Ещё неплохо было бы глянуть на содержимое 100 секторов от сектора 7340032 (предположительно первая фат таблица) и 7836160 (вторая фат таблица).

Добрый день!
У меня такая проблема. Случайно вместо флэшки выбрал не тот диск, и им оказался один из разделов винта.
Раздел был в НТФС, случайно форматировал в ФАТ. Процесс прервал сразу же, как заметил.
Запустил GetDataBack for NTFS 4.33. Сканировал в разных режимах, не видит папки/файлы вообще. Но еще смущает то, что при выборе логического раздела (диск Е) его объем прога видит не верно (видит как весь ЖД).
Запустил EasyRecovery 11.5.0.2, после сканирования файлы вроде бы все нашел, но все имена файлов левые и общей кучей по расширениям. Читал, что это особенность проги.
Но у меня там было много файлов по папкам, и все я сам не раскидаю.
Помогите, что еще можно сделать?

dmkov9
Снимок сделайте раздела для резерва.
И после пробуйте другие ПО для восстановления.

bahtey
Если можно подробнее про снимок, что это. И какое еще ПО лучше подойдет для моей цели? Всегда пользовался этими двумя... Система 7-х64

Сколько размер флешки-то? а то фат, он такой, ему и фат 32 не совсем товарищ и размер будет другой, да прерывание может вреднее стать, чем просто конвертация.
Но это преамбула.

Ну смотрите, суть в том, чтобы не угробить (нам же это пока не нужно), что есть под этими изменениями в разделе.

R.saver
R-studio

bahtey

Цитата:

Случайно вместо флэшки выбрал не тот диск, и им оказался один из разделов винта.
Раздел был в НТФС, случайно форматировал в ФАТ.

Это основной винт на ноуте. Общий размер 320 Гб, диск Е (который отформатировал) - около 130 Гб.
Запускал форматирование в ФАТ32. Логический диск естественно пока не трогаю.
Проги попробую.
Кстати гет на финише выдает вот такое:

Первый раз такое вижу...

dmkov9
Судя по описанию, ты не форматировал а делал что то типа расскатывания из образа - обычно так залетают делая загрузочную флэшку.
Что касается файлов без нормальных имён, то тут два варианта:
1- использовался только режим восстановления по сигнатурам
2- успело затереть MFT, что очень даже легко делается в случае использования для форматирования (ранее) акрониса.

Для начала покажи скриншот экрана Разделы, который покажет DMDE при открытии проблемного физического диска. Ну и опиши подробнее о том что же ты делал и каковы размеры разделов были до этого несчастья.
Можешь запустить Полное сканирование (галки RAW и NTFS) и по мере его продвижения сохраняй результат поиска в лог файл (на другой носитель).

Снимок, о котором написал bahtey - по всей видимости посекторная копия.


Добавлено:
Пока писал ответ выше, не видел что уже есть дополнительная инфа, исходя из которой можно всё таки сделать вывод что делалось форматирование, потому как то, о чём я написал делают с вешними винтами.
А учитывая что размер раздела более 32 гигов - делалось это не виндой.
Учитывая что раздел очень большой, таблицы FAT тоже не маленькие, но пустые и могут записаться (занулиться) очень быстро. Да и при нынешних скоростях дисков это вполне реально.
"Обнадёживает" что на скриншоте GDB виден размер $MFT, но не очень понятно почему тогда нет других файлов и почему там красноватым (с этой прогой мало знаком, поэтому может это и нормально).

temp9285
Форматирование запускал именно вот этим guiformat.exe.
Разделы вот:

Извини, а что за экран "Разделы"?
А в EasyRecovery запускал по умолчанию. Птичка Enable file signature scan там стояла.
Ну сейчас уже запустил сканирование R.saver. Осталось 44 минуты, посмотрим.

R.saver показал то же, что и GDB

Запустил R-studio. Он нашел файлы, но также без папок и с левыми именами.


И что мне делать дальше, есть мысли?
Или уже все, и имена и размещения файлов утеряны навсегда?

temp9285, Alex_Green
Вот сектора (это до того как я добавил раздел FAT32)
С 2079 - 200 шт https://www.sendspace.com/file/dhyp5e
С 7836160 - 100шт https://www.sendspace.com/file/jfkw9e

dmkov9
Мысль была озвучена ранее.

insight81
Я не знаю что хотел увидеть Alex_Green в указанных секторах, поэтому давай будем исходить из букваря и имеющихся данных.
FAT1 начинается в секторе 2110 - он присутствует в дампе, и там, как и в бутсекторе какой то мусор
FAT2 начинается в секторе 17415 - вот сделай дамп этого сектора и штук 100 (надеюсь что хватит) секторов.

temp9285
Сектора 17415..17514 https://www.sendspace.com/file/3vevim

insight81
Ага, вот это похоже на FAT.

temp9285

Цитата:

но не очень понятно

Цитата:

почему там красноватым (с этой прогой мало знаком, поэтому может это и нормально).

Это нормально. Там даже внизу окна на скриншоте видна легенда: красный цвет - системный файл