» Пропал диск. Восстановление таблицы разделов (не данных) - 2

aleksey1965
Патч, в принципе готов, но с ним не всё так просто - в ранлисте есть второй фрагмент, который за пределами раздела. Возможно какой то байтик влетел не туда а может что ещё, но после оставления только нужных (как бы целых) аттрибутов и соотвествующих корректировок чекдиск находит ошибку в 128 атрибуте и правит его - фактически удаляет из ранлиста этот фрагмент. А это 512 кластеров. Ну ладно, если это ошибка единичная, а если есть и другие вкрапления?
Поэтому нужна более точная диагностика и описание. Какой размер раздела? Запусти в DMDE Поиск NTFS на площади всего проблемного раздела, по окончании сохрани лог поиска и выложи.

[more=о корректировках]Не думай о плохом, но смысл показывать как делать?
Есть несколько критериев, по которым определяется "целостность" записи, после которой уже чекдиск может "допилить" запись (*), и их надо осмысливать комплексно. И в каждой индивидуальной ситуации это будет по другому. Здесь то и чужий патчи нередко применяют - представь если начнут применять конкретные изменения для твоего случая, да ещё и в такой важной записи.

Можно сделать по другому. Покажи что ты там сшил, а я в ЛС напишу что в там не так.

(*) чекдиск непременно это делает, причём не всегда даже понять зачем, если и так всё вроде нормально.
То есть, надо понимать суть [/more]

PS. С таблицей разделов у тебя нормально, поэтому может лучше сразу перейти в соответствующую тему и уже там решать проблему решение?

Смысл запускать DMDE?
Фрагментов MFT два.
Runtime DiskExplorer Run-листы видит, вот они: http://rghost.ru/7HqdWLMDK
Проверял адреса Run-листов в Winhex, все соответствует действительности.
Winhex MFT видит, может даже собрать ее в один файл 424 Мб, что я и сделал для страховки.
Winhex видит так же всю файловую систему, открывает все папки и файлы.
А DMDE я запускал: реальную MFT по адресам в $Boot находит мгновенно, далее начинает сканирование раздела на поиск других осколков MFT. Поработал чуть более часа, отсканировал 6% где-то, нашел около двух сотен других осколков MFT. А на всем разделе их могут быть тысячи, их просто просмотреть день надо.
Раздел 1 Тб, время сканирования USB 2.0 на моем Intel Core 2 Quard - это 17 часов, на Pentium 4 - 24 часа.
Это я уже однажды делал, на это уходит трое суток непрерывной работы компьютера: 1 сут. - сканирование, 2 сут. - перегон информации на резервный носитель, 3 сут. - перегон с резервного на основной носитель.
Как я уже говорил, все рековырялки , в том числе и DMDE, всю информацию видят, но если восстанавливать через них, то это 3-ое суток непрерывной работы компьютера, можно одуреть. Был бы раздел 100 Гб, давно бы уже так сделал и не заморачивался.

aleksey1965

Цитата:

Смысл запускать DMDE?

Для того. чтобы убедиться в правильности данных.
Вот ты пишешь что
Цитата:

Раздел 1 Тб,

, а я вижу инфу о 700 гигабайтах. А второй экстент как раз за границей этой величины. Так чему верить?
И раз есть такая неувязка, то не факт что и в других местах набросало подобного мусора. Говорить о беспроблемном восстановлении ФС по месту глупо.

А склеить я пытался как на фото http://rghost.ru/675CPwhsn
Выкинул то, что касалось Win7x64.tib, оставил то, что касалось $MFT,
получилось что-то типа того: http://rghost.ru/7hkdB9z7h


Добавлено:
Не так просто запустить на сутки этот DMDE, жена тут у меня тогда из штанов выпрыгивать начнет:
воздух портит, озоном от него каким-то воняет, жара от него, работает как тепловинтелятор, шум на нервы действует, ночью спать мешает, шум как в самолете и так далее.
И что я этот диск не разбил на 4 раздела сразу, или потом, когда один раз восстанавливал информацию с него???
А видно только 700 Гб, то это навернов от того, что там много нерезидентских Run-листов, были файлы, и не один, с фрагментами порядка 3500 и более. Здесь 17 Акронисовских копий с 7 компьютеров, и менялись последнее время в основном они. Так что с учетом дикой фрагментации, я думаю, вся информация на месте.
Диск 1 Тб, доступно для записи 931 Гб, на диске было порядка 915 Гб - заполнен почти полностью. Делать дефрагментацию - опять нарываешься на проблему 24 часов.
Если дойдет до перегона информации, то уже обязательно разобью его на 4 раздела по 250 Гб, что бы были все основные и их адреса сидели только в MBR.

aleksey1965
Дело не во фрагментации и т.п.
В записи MFT указан размер тома, озвученный мною выше.
Сшивка сделана просто, без учёта того, что в конце сектора (и второго) есть контрольное число.
И как раз это контрольное вклинилось в атрибут Data и "препятсвует" работе чекдиска. И повезло что оно попало в некритичные байты). С учётом данных из заголовка записи и структуры Data? эти два байта надо заменить на 00.
PS. И ещё надо скорректировать значение размера 0-вой записи - впрочем это можно оставить на сьедение чекдиску (он его скорректирует).

Какой DMDE делать:
- DMDE 2.10.2 Free с оф. сайта
или
- DMDE 2.4.6 Pro с торрента

Добавлено:
9285
Дело не во фрагментации и т.п.
В записи MFT указан размер тома, озвученный мною выше.

700 Гб - это размер самого тома или размер информации на томе???
Если тома, то где тогда в MFT указан размер тома???
Покажи, пожалуйста, по смещениям.

Я знаю размер тома, указан в MBR, в $Boot.

Если в MFT указан неверно именно размер тома, то надо его править на реальный:

Вот мои размеры:

- Диска: http://rghost.ru/6p98dJQ95
E8E0DB5DFF + 1 = E8E0DB5E00 байт (hex) 1000204885504 байт (dec)
E8E0DB5E00 / 200 = 74706DAF секторов (hex) 1953525167 секторов (dec)

- Тома: http://rghost.ru/7NmYKVXzs
E8E09FFFFF + 1 = E8E0A00000 байт (hex) 1000200994816 байт (dec)
E8E0A00000 / 200 = 74705000 секторов (hex) 1953517568 секторов (dec)


Добавлено:
Я проверил в WinHex последние записи, какие помню, на томе, датированные 08.08.2015.
Восстановил в WinHex несколько файлов, все они не битые.
Значит MFT, кроме первой записи, не битая.

Добавлено:
9285
А ты не ошибся с 700 Гб ???

WinHex считывает следующее: http://rghost.ru/8wzX7GCzj
Used space: 0.9 TB
966 883 508 224 bytes
Free space:     31.0 GB
Total capacity: 0.9 ТВ
1 000 200 994 816 bytes

Вопрос решен.
Совместными усилиями с "9285" из первой записи $MFT удалили блоки с Win7x84.tib, склеили оставшиеся блоки, восстановили последовательность обновления, подчистили от мусора, и диск запустился.

Всем хочу посоветовать, сам нажегся на этом, не делайте разделы 1 Тб и более.
Потому что в случае восстановления будете упираться в проблему трех суток непрерывной работы компьютера:
- прогон поиска информации (1 сут.)
- восстановление информации на другой носитель (1 сут.)
- копирование восстановленной информации на место (1 сут.)
Плюс еще надо найти резервный терабайтник, купить или взять в аренду.

Необходима помощь в восстановлении разделов.
Во время обычной работы с ноутом, выскочил синий экран, после перезагрузки у локального диска D в "моем компьютере" перестал показываться объем, при попытке зайти на него выскакивало сообщение об ошибке CRC, сам компьютер при этом постоянно подтормаживал. Был запущен chkdsk D: /F/R (зря, каюсь) но,безрезультатно (завершался с ошибкой на проверке журнала USN), в безопасном режиме был запущен chkdsk /F/R, но уже для диска С (завершился, и даже вроде что там исправил), но при работе ноут все равно постоянно подвисал, после нескольких включений-выключений перестал загружаться вообще. При подключению к другому ПК никаких локальных дисков не видит вообще. Диск TOSHIBA MQ01ABD050 500Gb При запуске DMDE показывает что он объемом (2,2 Тб), разделы: A 100 Мб (здесь вроде как была инфа для восстановления ноута), С 65,2 Гб, D 400 Гб.
Скрины и дампы тут: http://rghost.ru/6HDhjbx6l

JumP 92
Вместо скриншота диспетчера дисков не дающего никакой информации, кроме как приколоться от кучи 50-ти гиговых разделов, лучше покажи показатели SMART.

SMART проблемного диска.
http://rghost.ru/77v7BpLfg

JumP 92
Вполне предсказуемо, у винта имеются проблемные сектора, и их немало, как и сработок G-sensor.
По хорошему нужно бы сделать посекторку и работать уже с ней. Но неизвестно к чему могут привести дальнейшие попытки вычитывания - не исключено что и до запила диска.
Тебе лучше бы к знатокам железной части обратиться - http://forum.ru-board.com/topic.cgi?forum=84&topic=4681#1 , а когда станет ясным можно ли дальше его "пилить", то в http://forum.ru-board.com/topic.cgi?forum=84&topic=4564#1

Заодно ещё надо разобраться с некорректным определение обьёма.

Здравствуйте. Обращаюсь за помощью.
На днях возникли проблемы с RAID5 по причине вышедшего из строя одного из дисков.
После замены диска сделал ребилд массива. Контроллер отрапортовал, что все в норме, но, по факту перекривило файловые системы. Работа за 3 года на логическом F.
Скрин и дамп 100 секторов - http://zalil.su/403331

mesa2000
Пока не видно что проблемы с таблицами разделов, тут скорей с MFT (бутсектором) - поэтому более подходящая тема http://forum.ru-board.com/topic.cgi?forum=84&topic=4564&start=3120#lt
Впрочем, может действительно, проблема в неправильной прописи раздела - тем более начала их какие то корявые. Один кратен 8-ми другой нет.

Поэтому не помешает забрать букву у раздела и, если с физикой всё нормально,:
- сделай дамп секторов 16385280+100, 22525632+100, 177202616+10
- запусти Поиск NTFS; по окончании его сохрани лог поиска и выложи его и дампы. Открывай тома с наибольшим числом соответствий и смотри где твои бесценные данные.
- когда, после окончания поиска, откроешь любой из томов в меню Файл Выбери разделы и покажи его скриншот
- пробуй восстанавливать на другой носитель и проверь их целостность.
Сообщи результат.

PS. Рэйд не является защитой данных - хотя бы по причине того что данные на нём могут быть ошибочно удалены или зашифрованы вирусом. Поэтому бэкап важного должен быть.

Сделал все, что просили.
http://zalil.su/248792
После проведения поиска NTFS, впал в ступор: том с максимальным соответствием - 8ТБ. Это как?
Том всего физически 180Гб.
Пробовал восстановить несколько файлов из разных разделов - большинство битые. В норме только маленькие TXT.

mesa2000
http://plasmon.rghost.ru/6qpGQ2ckt/image.png
Обрати внимание что блоки записей MFT имеют характерный шаг и размер блока.
И нет бОльшей части записей. Я не знаю почему так получилось и насколько реально они таковые на разделе, т.к. не в курсе как выглядит работа с такими рэйдами. В этом списке выделенный фрагмент относится в первому разделу. И блок такой же по числу записей. Может он так и должно, а может это просто какой то старый фрагмент. т.к. для первого тома есть один большой фрагмент, начинающийся с 0вой записи. В общем то, не очень понятно и (лично для меня) это выглядит как скан вырванного и рэйда отдельного диска.

Спасибо, что уделили внимание.
Еще один вопрос: посекторное копирование раздела и дальнейшая передача образа в фирму по восстановлению поможет?

mesa2000
Конечно же поможет, особенно если фирма окажется некомпететной и что либо поправит.
Но только думается мне что нужно со всем рэйдом разбираться.
PS.
Цитата:

по факту перекривило файловые системы

Сейчас не могу закачать начальный архив, но помнится там с первым разделом нормально.
Если да, то о каких системаХ идёт речь? Или и на первом проблемы (но не такие жёсткие)?

[more] Как было дело:
В один из дней загорелась сигнализация на одном из дисков. Всего их шесть и собраны в RAID5.
Основной раздел 8гб под систему, 160гб в виде логического диска под данные.
Сбойный диск заменил. Контроллер забросил ребилд, что и было сделано. После окончания процедуры отказалась грзуиться операционка.
Не долго думая, загрузился с лайв-сиди и начал смотреть разделы. Они оказались на месте, но нечитаемы.
С разделом данных экспериментировать не стал, а на системный натравил chkdsk с ключом F.
Столько ошибок я вжизни не видел.
После окончания процедуры, доступ к С появился, но, т.к. много файлов ушло в папки вида FOUNDxxx, система умерла окончательно.
Установил по новой. Разметку при установке не менял.
После переустановки, второй раздел опознался как RAW
chkdsk без ключа f на этом томе говорит о невозможности найти загрузочный сектор NTFS.
Всякие утилиты типа ZAR, R-Studio и и т.п. файлы достают, но они практически все повреждены.
Я, так понимаю, некорректно прошел ребилд и произошло смещение данных, но как и куда, знаний в этой области недостаточно. [/more]

mesa2000
Я предполагал что ребилд прошёл неправильно, но правильная файловая система на первом разделе не давала уверенности в этом. Теперь стало понятно что так всё и было, а нормальные участки - следствие новой установки системы.
Так что версия про предоставление всего рэйда (в фирму) актуальна.

Добрый вечер!
Возникла следующая проблема. Имеется диск WD My Passport 07AA 500 Gb. Был подключен к ПК, он не появился в проводнике. В управлении дисками отображался как неинициализированный, после нажатия на инициализацию (GTP) он инициализировался как пустой (что как позже выяснил - вполне логично). Форматирование не производилось. TestDisk его видит, однако при попвтке анализа пишет "Partition: Read Error" и висит долго и упорно. Задача восстановить данные на винте. Прошу помощи, заранее спасибо.

lyubimoff
Винт подключался без бокса? В таком случае не надо было ничего делать.

9285
в боксе, через usb 3.0

Сейчас анализируется DMDE - валится куча ошибок WinError 23 и 1117

lyubimoff
Видимо проблемы с физикой и пока не ясна их причина лучше не пилить диск.
В таком случае советую сделать следующее:
- приостановить сканирование (сохранив лог чтобы потом продолжить)
- обратится в http://forum.ru-board.com/topic.cgi?forum=84&topic=4612#1
- искать место для посекторки (если получится вычитать, то лучше потратить ресурс на это).

Здравствуйте. Переносил данные, по глупости решил изменить основной раздел на логический (диск С) и изменить его размер в акронисе. В общем, выключили свет. Прочитав гугл и кучу форумов вооружился dmde, сделал посекторное.

Структура нужных папок восстановлена нормально (в основном doc-файлы).
dmde выдал около 140 частей NTFS и 46 фрагментов mft.
Если сканировать раздел целиком, документы восстанавливаются и при открытии выдают кривую кодировку, не подлежащую восстановлению.
Если открывать по отдельности эти части NTFS, то документы при восстановлении и перекодировании в Unicode выдают текст другого документа.
Причем в разных частях NTFS этот текст разный.
Посигнатурно восстанавливает, но не те документы, которые надо. Уже все просмотрел. Я такого случая к сожалению не нашел, но думаю что надежды на нормальное восстановление уже нет, правда?

kro4i
Тебе лучше сразу в соотвествующую тему; и не гадать а смотреть что за фарш получился.
Сразу можешь выложить на обменник типа rghost.ru архив с скриншотом экрана Разделы + лог поиска (NTFS) + бутсектор текущего тома.

Приветствую.
Есть Seagate ST1500DM003.
В результате периодических сбоев питания образовались бэды в начале диска, было отрезано 50 гигов, так и работал до недавнего времени.
Теперь долго тупит при определении в биос, определяется, при загрузке в винде его нет.
В виктории определяется через раз, в основном если подключать на горячую, подключая питание и сата шлейф или сбрасывать контроллер, нажимая F3 несколько раз. В винде так же виден после таких манипуляций, есть созданные разделы, иногда удается перенести несколько файлов. Потом виснет и пропадает.
Прогоны в виктории ни чего не дают, ошибка сразу на 0 секторе, долго тупит, потом проходит нормально.
Что нить можете посоветовать, что бы вернуть к жизни?

[more] [/more]Доброго времени суток!
Прошу помощи в восстановлении работоспособности диска в следствии (на сколько я могу судить) повреждения вирусом его структуры.

[more=Коротко о характеристиках и симптомах:]
Система Server2008r2,
5 HDD (один из них полностью выделен под штатный Windows Backup) + SSD

На сколько я понимаю, вирус выполнил свои действия, после чего система перезапустилась и, при попытке загрузить, систему на экран выводится - "Missing operating system"

При загрузке с установочного диска, в пункте "Восстановление системы" увидел, что из 6 винтов Проводник видит и может зайти только на один из них.

При подключении "зараженных" винтов в оснастке "управление дисками" они определяются как "Динамический", "Инородный"

Проанализировав винт с бекапами, которые делал Windows Backup, программой DMDE увидел следующую картину - на диске видны все разделы, размеры разделов похожи на актуальные. [К сожалению, я не могу утверждать, что разделы до заражения выглядели именно таким образом, т.к. данный винт для бекапов был установлен всего около недели назад, была настроена роль Backup'а, но пока для восстановления он ни разу не использовался]

Сразу обратил внимание, что в самом начале структуры диска все заполнено нулями (смотрел через WinHex).

Никаких действий с дисками (типа chkdsk или testdisk) не выполнял, все что было сделано - полное сканирование винта в DMDE [результат которого меня только запутал, т.к. было найдено более 400 томов NTFS, похожих между собой по внешнему виду и размеру. На сколько я могу понять - так DMDE мог распознать бекапы, которые находятся на этом самом винте][/more]

Прикладываю к просьбе:
- дамп начального сектора винчестера
- скриншот окна "Разделы" программы DMDE
- скриншот окна оснастки "Управление дисками"

http://rghost.ru/8yyMVdD5s

На сколько я могу судить, дампы первого сектора каждого раздела получить в моей ситуации пока не представляется возможным.

Заранее благодарен!
PS не смог разобраться с тэгом more, прошу прощения.[more]

[/more]

LuXiMaL
http://forum.ru-board.com/topic.cgi?forum=84&topic=4681#1

sergfme
Исходя из предоставленного минимума информации можно предположить что диск подключён к другой системе (вроде бы как к 7-ке, но неизвестно какой редакции). В принципе, можно сделать (не помню как точно называется, поэтому по памяти) импорт чужеродного динамического диска - есть такая бяка в контекстном меню диска. НО здесь очень важно был ли этот диск просто динамическим ма по себе или был участником какого либо массива. Если первый вариант, то после импорта диск станет доступным.

[more] [/more] 9285

Цитата:

диск подключён к другой системе

Совершенно верно, диск был снят с сервера (LSI Megaraid, все 6 дисков сервера работают самостоятельно, хоть Утилита LSI указывает raid0) и сейчас подключен к win7ultimate x64 sp1 7601, где и проводятся тесты.


Цитата:

после импорта диск станет доступным

Честно говоря, не могу решиться на подобные манипуляции, потому что структуру диска перед заражением не видел.

Прочитал много Ваших постов на этом форуме, и много читал на других, чтобы попытаться определить конкретно мою проблему. На сколько я понял, тот факт, что в WinHex'e начальная область диска заполнена нулями заставляет задуматься о том, что сначала я должен восстановить (на сколько я понимаю) MFT диска, после этого я должен указать корректные смещения для моих разделов на диске (сами разделы вроде бы верных размеров) и, возможно, на этом все закончится.


Цитата:

Исходя из предоставленного минимума информации

Готов предоставить любую требуемую информацию в кратчайшие сроки.

Благодарю за внимание к моей проблеме. [more] [/more]

Добавлено:
9285

Цитата:

после импорта диск станет доступным

Все же решился и импортировал (импорт инородного диска) 2 жестких диска с сервера на win7 - первый - мой пациент, второй - живой винт с того же сервера. Просто для того, чтобы убедиться, что рабочий винт будет так же определен как динамический инородный - так и оказалось.

После импорта видим такую ситуацию:
http://rghost.ru/8qd7dWGLK