» Пропал диск. Восстановление таблицы разделов (не данных) - 2

Речь про технологию Intel smart response.
Данные на разделе очень нужны. Вернее пару папок от туда. Информацию приложу из dmde чуть позже.

Добавлено:
9285
вот http://rghost.ru/8kmlC9WHB

KitePark
Забыл уточнить один момент - какие разделы менялись и примерные значения до и после.
После ознакомления с технологией возникает вопрос о режиме работы и корректно ли завершалась работа до передела.
Впрочем, с технологией не всё понятно (точнее почти ничего непонятно).
Например, вполне можно понять что кэшируется $MFT, но не очень кэшируются ли бтсектора или таблица разделов. Ну и собственно как поступает она в случае если в кэше данные (не сами данные а их положение на диске) не совпадают с прежними.
Хотя, проблема может быть и не в кэше а в очень "легендарном" акронисе, который элементарно ломает структуру разделов, а кэш (же позже) "посыпает их пеплом".

И если еть такие непонятки, то можно пойти по стандартному пути - использовать Поиск NTFS - как минимум в области захватывающей область нынешнего пропавшего раздела + зоны которые были раньше его (если он тоже изменялся). А если не очень торопишься - сделай на всём диске. По окончании поиска сохрани лог и выложи. Открывай тома с наибольшим числом соответствий и смотри что в них - в первую очередь те, начало которых в районе 2000000000 сектора
В любом случае восстанавливай самое ценное на другой носитель и проверяй их целостность.
И ещё - сделай дамп сектора 3890243583 и ещё один скриншот экрана Разделы, но уже в момент когда откроешь один из найденных томов. Для этого в меню Файл выбери Разделы диска.

9285
Менялись все ращделы. Идея была в том чтобы уменьшить размер последнего раздела, передвинуть на его место диски Д и Е и увеличить диск С. т.е. отрезал от Ф и прилепил к С.
диск С до - 50Гб. После -100Гб
Диск Д. до - 300Гб кажется. После- 450Гб
Диск Е. До - 400Гб. После - 400Гб.
Диск Ф. До - 1.2Тб. После 990Гб

Сделал поиск NTFS по всему диску. Часов 5 заняло.
Окрывал найденные разделы в месте где был старый Ф до изменения размера. дерево каталогов открывается, но все файлы которые я проверял не открываются после восстановления (фото).
открывал раздел вновь созданный. Дерево тоже ооткрывается. Но файлы такие же битые.
http://rghost.ru/7Ktxmh8xM

Цитата:

Окрывал найденные разделы в месте где был старый Ф до изменения размера.

Том с началом в 1573091328 (кстати, сбрось его дамп и дамп секторов 2954752271+100)?
В принципе, частично проблема может быть и из за того, что сейчас конец раздела Programs находится на бывшем начале F. Вполне естественно что туда могли записаться данные с этого раздела - поэтому на время лучше забрать букву у этого раздела чтобы не было новых записей туда.
Ну и ещё надо посмотреть что восстанавливается. Это не изменит ситуацию (существенно), но всё таки есть разница когда восстанавливается реально фотка (с правильным заголовком) но внутри её вклинен мусор); другое дело что восстанавливается просто набор байтов.
В любом случае - надо использовать программы, использующие сигнатурный поиск.

Здравствуйте. Однажды я сидел за компьютером и он внезапно выключился и когда я его включил заметил жесткий диск пропал и его отражает. Что я только не делай, перепробовал все что пишет в интернете и даже сам пробовал что-то сделать но тщетно. Но однажды я наткнулся на этот сайт http://pro-pcservice.ru/vyzov-mastera/ и решил обратиться к ним. Когда я вызвал мастера и он прибыл и посмотрел к моему компьютеру, он быстро разобрался в проблеме и качественно все починить а главное достаточно дешево. Я выдохнул с облегченной и был очень рад, что он мне помог. Хочу посоветовать всем у кого есть проблемы с компьютером которые трудно сделать, обращайтесь http://pro-pcservice.ru/vyzov-mastera/ и вам обязательно качественно и быстро помогут.

Tamasa
Шёл бы ты, пиараст, отсюда по хорошему со своей рекламой.

9285
Готово
http://rghost.ru/8YsqhDbkh
уже успел просканирповатьс помощью getdataback. результат тот же. файлы не открываются. во вложении несколько фото. можешь посмотреть насколько с ними все плохо?
букву забрал.
сейчас сканирую с помощью MiniTool Power. посмотрим на результат.

KitePark
Опа, я не тот номер сектора написал - нужно 2954327824+100.
Что касается "фоток" - набор мусора.
По GDB посмотри - недавно было написано как использовать сигнатурный поиск. Сейчас он наверное не задействован. Да и прога так себе.

9285
вот http://rghost.ru/6Fkm5QFSC
в этой ветке было написано или в соседней?

Добавлено:
Какую прогу можешь рекомендовать? R-studio?

KitePark
В тематической - http://forum.ru-board.com/topic.cgi?forum=84&topic=4564#1
Можно и R-studio, но только отключить использование структур ФС.
Для фоток очень хороша Photorec, но у него есть специфика, про которую в указанной теме уже писал.
Кратко, нет возможности анализа и оценки найденного - всё тупо восстанавливается а потом надо смотреть. Соответственно, обьём восстановленного в разы больше имеющегося. Можно частично уменьшить выбрав восстановление лишь по конкретному типу файлов.

Дамп последний новой информации не дал. С восстановлением фс можно распрощаться и нужно переходить в соседнюю ветку?
Попробую разобраться с r-studio.

KitePark
Имеешь в виду дамп 100 секторов?
Конечно же дал. Например то, что это начало MFT принадлежит старому тому.
Но только в случае с акронисом это не очень помогает. Алгоритмы его вредительств неизвестны, тм более что они не имеют типичности и зависят от версии.
То есть неизвестно что делалось с разделом, или (скажем так) что успелось.
Кстати, можешь уточнить версию акрониса - а именно его билд? Кромсание делал сразу нескольких разделов или поэтапно? Подозреваю что сразу - по другому я не могу обьяснить как мог быть "закончен" раздел Programms при том, что бывший F нет.
Наверное лучше перейти в другую чтобы не оффтопить, да и там есть и другие помощники. Опиши суть ситуации и дай ссылку на начало здесь чтобы было понятно о чём речь.

Изменял размеры разделов все разом
Акронис был 2010 ddh. Билл позже посмотрю.

Как востановить usb-флешку 4 гига Фат 32
В виндовс откривается и пишет что ее нужно отфармотировать

Доброго времени!
Винчестер WDC WD2500JS-60NCB1, был установлен в внешний карман.
Вытянул винт из кармана (отдал, потому как был не мой, сейчас его взять опять нет возможности!)
подключил к компьютеру вторым, в BIOS определяется, а в проводнике нет, зашел в диспетчер дисков "Не инициализированный"(Win XP). Далее как обычно провел инициализацию, но диск стал определяться как динамический и в проводнике так и не появился.
Подключил на другой компьютер, в BIOS определяется, в диспетчере дисков такая же картина (Win 7).
Проверил Victoria, бэдов нет, смарт нормальный.
Прочитал на этом форуме, что дело одной минуты нужно в WinHex в Partition type indicator (hex), ---- меняете 42 <=== 07.
Рестарт. после этого в диспетчере винт определяется как основной, но ФС RAW.
Выполнил все требования из шапки по подготовке логов. Посмотрите, пожалуйста. как можно поднять инфу. Спасибо большое заранее.

http://rghost.ru/7LXrFbS5r

Добавлено:
R-Studio находит только 148 фалов из всего винта и все и то это куски чего-то (не открываются). там файлов полно было.

TamerLanTK

Цитата:

Винчестер WDC WD2500JS-60NCB1, был установлен в внешний карман

с данным карманом ранее пробовали так работать - чтоб диск в нем и без него был доступен?
Поясню - существуют (особенно у WD) "непрямые" карманы, которые на лету шифруют/модифицируют данные, соотв. диск отформатированный в этом кармане с записанными данными не будет отображаться корректно без кармана.

А теперь основная проблема - вы уже успели модифицировать содержание диска, соотв. есть риск, что карман его "не признает" и открыть данные будет опять же сложно (если вообще возможно).

Советую поставить ваш диск обратно в карман и искать данные через эту сборку.

Добавлено:
riskisee

Цитата:

Как востановить usb-флешку 4 гига Фат 32

очень мало информации.. есть программы по восстановлению данных.
Советую попробовать Recuva, GDB for FAT, ZAR, R-Studio...
Попробуйте обратиться в этот раздел за помощью

TamerLanTK

Цитата:

Далее как обычно провел инициализацию, но диск стал определяться как динамический

Опрометчивое решение. но не об этом сейчас. В нормальной винде, если ты не ставил галку сделать динамически - он таковым не делается.

Цитата:

Прочитал на этом форуме, что дело одной минуты нужно в WinHex в Partition type indicator (hex), ---- меняете 42 <=== 07.

Где ты эту глупость прочитал? Этот способ работает лишь в случае простого динамического тома.

В общем то ситуация достаточно мутная. При том же создании динамики, должны быть записи в секторе 9 и в конце диска. Но их нет. Сами они не рассасываются.
В принципе, можешь сбросить дамп секторов 206848+30 + секторов 100 от конца диска. но поозреваю что толку от этого мало.

south_man
Что, реально есть шифрующие карманы?
Как то не очень логично - всё таки карманы предназначены для перетыкания разных винтов.
И, где то писалось что в случае шифровки сектора 1 и последующие содержат содержимое, отличающееся от 00. А здесь такого не заметно.
Впрочем, незаметно и другого - типа записей MFT (как и других ФС).
Кстати, предположим что данные шифруются (просто с таким ещё не сталкивался) - шифровка происходит непосредственно секторами? То есть, если MFT по записям в бутсеторе начинается в секторе ХХХ, то и шифрованная запись в нём же?

9285

Цитата:

Что, реально есть шифрующие карманы?

есть, правда (возможно) в Россию они не должны попадать из-за соотв. законодательства, но все же.

Самый распространенный способ - 128/256-битный AES. Соотв. без кармана будет отлично видно паттерн по 16/32-байт на секторах, которые в кармане видны как 0х00.
Но есть еще более хитрые карманы, которые отрезают "железно" начало диска и хвост под свои нужны (иногда создают разделы виртуальных СД-РОМов) - тогда и смещение MFT может быть совсем не привычным.
А еще есть с "виртуальной трансляцией" - которые упорно прикидываются устройствами или с 4К-сектором или, наоборот, с 512-байт и самое интересное происходит, когда тип носителя не совпадает с типом кармана.

так что я уже давно, как только слышу, что после кармана диск вытащили, а он - БАЦ - и неинициализирован - тут же подозрение, что это не с проста.

south_man

Цитата:

так что я уже давно, как только слышу, что после кармана диск вытащили, а он - БАЦ - и неинициализирован - тут же подозрение, что это не с проста.

Вариант что пользователь не понимает разницы между неинициализированным и нераспределённым не берём в расчёт? А ведь при 4к-512 именно таким винт видится.
Лично для меня этот вариант более реальный чем шифрующий карман. По крайней мере до тех пор, пока не будет какого то подтверждения.


Цитата:

Соотв. без кармана будет отлично видно паттерн по 16/32-байт на секторах

Ну вот, а здесь то нет. Там даже отметина Partition Magic отслеживается в исходном виде.


Цитата:

тогда и смещение MFT может быть совсем не привычным

Не проблема отрезать кусок, сделать скрытый раздел и т.п. Но смысл заморачиваться со сдвижками не очень открытой файловой системы? Или я чего то не понял?

9285

Цитата:

Там даже отметина Partition Magic отслеживается в исходном виде.

Если диск был размечен без кармана в ПМ ранее, потом поставлен в карман, который "резервирует" (но не стирает, пока ему этого не нужно) какое-то пространство под себя, то можно найти следы прошлых лет.
Т.е. возможны варианты, но, конечно, если не видно паттернов, то скорее всего тут просто 4К-512.


Цитата:

Или я чего то не понял?

я не утверждаю, что сам понимаю все, но смотреть на то, что имеем довольно дико порой. Прошивка кармана может быть настроена на использование конкретного пространства (например от 0ЛБА диска до 20479-го сектора), а далее идет преобразование, где на выходе кармана сектор 0ЛБА физически записан на место 20480-го сектора на диске.

Внешний диск ADATA на 500 Гб, использовался редко (раз в квартал) для резервных копий. Сегодня при подключении выдал предложение отформатировать. Хотелось бы восстановить разделы. Логи: http://rghost.ru/8XZ9gR9MG

shali87
Желательно уточнить модель самого бокса, потому как были модели Adata, у которых проблемы с контроллером бокса, приводящие к сдвигам в записях. По данным DMDE вроде бы такого нет, но не факт что их нет вообще.
+ SMART надо глянуть. Если и с ним всё в порядке. то можно запустить чекдиск в режиме только чтения - возможно банальные логические ошибки в разделе.
По поводу глючных Adata можно поискать в этой теме и в http://forum.ru-board.com/topic.cgi?forum=84&topic=4564#1 (в том числе предыдущих частях). В принципе, можешь сбросить дамп 40-ка начальных секторов логического раздела.
Можешь даже запустить Поиск NTFS и выложить результат поиска (лог-файл) - но это если нет физических проблем.

9285 Как узнать модель бокса мне неведомо и гугл пока не помог. SMART, результат Chkdsc и дамп здесь: http://rghost.ru/8Dkg4TDY2

shali87
На самой коробке разве нет ничего?
Впрочем, сразу не заметил - метка тома как бы намекает что NH92. Насколько помню, он не подвержен ошибке со сдвигом, хотя гарантировать не буду.
И хотя я не запрашивал дамп физического диска, тем не менее в LBA1 прописан какой то шаблон, а в конце запись, имеющаяся в некоторых случаях сбоев.
Чекдиск как бы намекает что проблема в индексах, и относящихся к корневому каталогу. В принципе, вероятность что исправит большая, но при таких ошибках не показываются остальные, которые могут быть вычислены при исправлении "корневой". Так что если есть что то суперважное (по логике, у такого должен быть бэкап), то лучше восстанови на другой носитель а потом уже чекай.
И, можешь ещё сделать дамп секторов логического раздела 6291456+100.

9285
Да, на боксе NH92. Дамп: http://rghost.ru/8QtFMKtWV.
Конечно, хотелось бы данные сохранить. В крайнем случае, чтобы диск хотя бы определялся системой.
Т.е. можно Chkdsk на исправление запустить попробовать?

shali87
В предыдущем ответе я уже всё написал. Чекдиск должен разобраться с проблемой, но если хочешь гарантии, то восстанавливай на другой носитель. Или жди того, кто может разобраться что за ошибка в ФС.

9285 Чекдиск помог. Диск определяется, данные с виду на месте. Спасибо за помощь.

Решил сделать копию раздела Акронисом с загрузочного CD.
Указал выносной терабайтник, нажал далее и бах, ошибка.
Решил повторить операцию, а Акронис не видит выносной диск.
Перезагрузился в Windows - тоже не видит.
Начал решать вопрос, открыл в WinHex, открыл MFT, а там вот что: http://rghost.ru/675CPwhsn
Вот что показывает Runtime DiskExplorer: http://rghost.ru/8ptVjtqy7
Акронис вкатал запись о резервной копии в самую первую запись MFT. MFTMirror испортил аналогично.
Вся остальная часть MFT,кроме первой записи, не повреждена. Дэйта-раны в первой записи MFT сохранились.
WinHex все читает отлично. Все рековырялки все видят отлично.
Не видит только Windows: http://rghost.ru/82XmdyR6K
Chkdsk показывает следующее: http://rghost.ru/6LKlDhWYS
Надо как-то вручную перезаписать первую запись MFT.
Пробовал склеить первую запись без "$10 $STANDARD INFORMATION Win764.tib", "$30 $FILE NAME Win764.tib", "$80 $DATA Win764.tib", ничего не получается:
Windows не видит, Chkdsk пишет тоже самое.
Помогите восстановить первую запись MFT.
Вот дамп первых 12-ти записей MFT: http://rghost.ru/8LsRLhvjp

aleksey1965
Знакомая ситуация. Такую надо показывать тем, кто любит доказывать что "я 100500 раз делал акронисом".
Цитата:

Пробовал склеить первую запись без "$10 $STANDARD INFORMATION Win764.tib", "$30 $FILE NAME Win764.tib", "$80 $DATA Win764.tib", ничего не получается:

Там надо делать некоторые корректировки.
Увы, я скоро убегаю, поэтому не смогу помочь тебе. Но как только появится возможность - сделаю.
В любом случае ты должен понимать что такие вклины могут быть не только в 0-вой записи, но и в самих данных. Поэтому надо перестраховываться если на разделе было что то ценное.

9285
Там надо делать некоторые корректировки.
Увы, я скоро убегаю, поэтому не смогу помочь тебе. Но как только появится возможность - сделаю.

Был бы премного благодарен.
И, еще, попросил бы, если можно, показать мне, как делать эти корректировки.