» Пропал диск. Восстановление таблицы разделов (не данных) - 2

cogni

Цитата:

что это такое "$Secure"? Где про него прочитать?

Это метафайл, в котором хранится список всех "дескрипторов безонасности". Т.е. если, к примеру, файлы 1, 2 и 3 имеют одни и те же права доступа, то зачем их описывать в каждой файловой зиписи, когда можно ссылаться на один и тот же номер в списке? Вот для этого и придумали $Secure. На доступ к файлам через рекаверилку этот файл не влияет, поэтому считается незначительным (Чекдиск его может и сам сделать).
Где почитать? Немного есть в Linux NTFS: http://rghost.ru/17317191 - даны даже форматы структур, но неизвестен смысл полей. Побольше текста есть в "Криминалистический анализ файловых систем", но... Этот файл нафиг не нужен .

Я так понял, Чекдиск уже проехался по разделу не раз, да и инфы нужной там нет, только ОС. Почему бы не пустить chkdsk /f? Может, он что интересное скажет. Почему-то ведь он не исправил раньше эти ошибки.

SMART, сканирование поверхности ОК?


Цитата:

И Ghost, и Active Disk Image отказываются создавать образ диска

А они нужны? DMDE и WinHex замечательно делают образ, а в Linux можно использовать dd и е вариации...

Добавлено:
Selev
Очень опасный совет. Если инфа нужна, так не делают. Можно сказать, классика "чего ни в коем случае нельзя делать при восстановлении" (кроме EasyRecovery, но она сейчас не особо котируется, обычно используют R-Studio или DMDE).

blackyu
Если действительно нужны файлы, то вначале сделайте образ (R-Studio - Drive - Create image file, 0 повторов, без сжатия) и этот образ просканируйте в R-Studio.
Если так, "стопка порнухи", как говорит ФорматЦефт, то открывайте прямо в R-Studio, вначале Open Drive Files (врялди поможет), потом Scan, и восстанавливаяте прямо с трупа. Но может додохнуть, и тогда уже все.

Selev
По поводу чекдиска уже ответил Antech.
Acronis Recovery занимается восстановлением потерянных разделов, причём ищет их только в нераспределённом пространстве, чего наверняка у blackyu нет. Зато у него возможно имеются физические проблемы с винтом и если бы даже раздел был дейстительно потерян, то поиски его могли бы окончательно добить винт. Впрочем как и чекдиск и любая другая программа для работы с винтом.

Доброй ночи.
Вопрос к спецам (Antech со товарищи).
Возможно ли восстановить вручную первые 4 записи файла $MFT?
Зеркало не катит, ибо в нём то же самое (повезло, однако).
В DiskExplorer-е от Runtime при переходе к mft эти 4 записи видны как инвалиды и выглядят пустыми (хотя при просмотре в хексе в этих секторах есть и сигнатура FILE, и ещё что-то)
А начиная с 5-й записи - уже всё нормально.

Cosmic Warrior
Здесь подобное бывало.
Только к чему эти гадания, может проще посмотреть "больную", чем делать гипотетические эпикризы?

Cosmic Warrior

Цитата:

Зеркало не катит, ибо в нём то же самое (повезло, однако)

Так всем везет. Как правило (или всегда), в зеркале именно та же хрень. Я вначале удивлялся: ну как глюк может быть абсолютно одинаковым, ведь во многих случаях это шлейф и в разных секторах должны быть разные глюки. Но тут в моем тупом мозге появилась неожиданная догадка: ведь Винда всегда пытается восстановить MFT из Mirror, даже если в Mirror фигня. Вот и получается, что не в Миррор то же самое, что в основной, а наоборот: в основной то же самое, что в Миррор. Что было в основной "до того как" мы обычно/всегда не видим, т.к. вначале загружается и гадит Винда, и только потом становится понятно, что раздел не работает...


Цитата:

Возможно ли восстановить вручную первые 4 записи файла $MFT?

На самом деле восстанавливать надо только ранлист $MFT. Остальное исправит Чекдиск, это ему можно доверить. А шаблон берется от любого исправного раздела.
Покажите дамп начала MFT...


Цитата:

В DiskExplorer-е от Runtime

Не советую. Это упрощенное представление, лучши зрите в Hex. Удобнее всего это делать в WinHex.

9285
Я хотел только принципиально узнать, подлежит ли больной лечению или легче пристрелить
Antech
На самом деле восстанавливать надо только ранлист $MFT. Остальное исправит Чекдиск, это ему можно доверить. А шаблон берется от любого исправного раздела.
Покажите дамп начала MFT...
К слову. Чекдиск (без слэш ф) вчера пробовал запускать. Отказался проверять.
Дамп - первые 4 записи $MFT?
Вечером из дома выложу (комп дома).

З.Ы. Ранлист - это, как я понимаю, отрезки с местонахождением $MFT? А если она была дефрагментирована? (Есть основания предполагать подобное ввиду заполнения пациента процентов эдак на 95 от объёма, если не больше)

Cosmic Warrior

Цитата:

Чекдиск (без слэш ф) вчера пробовал запускать. Отказался проверять.

А не все так просто . Чтобы он начал проверять, нужно:
1. Исправный бутсектор (что, скорее всего, так и есть, т.к. NTFS).
2. Более/менее живая запись $MFT, чтобы долезть до ранлиста MFT, ну и, конечно, сам ранлист MFT.
3. Как ни странно, живая запись $Volume. Иначе "Невозможно определить версию тома и его состояние. Работа Чекдиск прервана".


Цитата:

Дамп - первые 4 записи $MFT?

Ну, можно и побольше. Обычно делают 100 секторов для ровного счета.


Цитата:

Ранлист - это, как я понимаю, отрезки с местонахождением $MFT?

Не знаю, правильно ли понял я, но ранлист - это список элементов переменной длины, каждый из которых задает смещение и размер очередного фрагмента нерезидентного атрибута (в данном случае - файла $MFT).


Цитата:

А если она была дефрагментирована? (Есть основания предполагать подобное ввиду заполнения пациента процентов эдак на 95 от объёма, если не больше)

Если бы была дефрагментирована, то как раз проблем было бы меньше. А вот заполненность на 95% - это как пить дать полно фрагментов MFT, а ранлист у Вас врядли жив. Конечно, можно найти координаты в DMDE (Поиск NTFS), но там будет такое количество фрагментов, включая реликты, что разбираться с этим точно никто не будет. Знаете, когда фрагменты уже не лезут в одну файловую запись, это уже не фрагментация, это диагноз. Тут только рекаверилкой можно, поэтому мне кажется, что 99% Вам нужна R-Studio, а не дамп, хотя проверить таки нужно...

Цитата:

Ну, можно и побольше. Обычно делают 100 секторов для ровного счета.

Здесь. Пароль - стандартный (понимаю, что никому нафиг не сдался дамп, но параноик )


Цитата:

Не знаю, правильно ли понял я, но ранлист - это список элементов переменной длины, каждый из которых задает смещение и размер очередного фрагмента нерезидентного атрибута (в данном случае - файла $MFT).

Да, мы понимаем одно и то же. Просто я, вероятно, выражаюсь несколько коряво, впервые столкнувшись с данной темой.


Цитата:

Если бы была дефрагментирована, то как раз проблем было бы меньше. А вот заполненность на 95% - это как пить дать полно фрагментов MFT

Извиняюсь, я неверно выразился. Да, конечно же, имел в виду, что моя МФТ с большой долей вероятности дефрагментирована, ибо пациент исполнял роль файлопомойки и забивался по самое не хочу.

Цитата:

Пароль - стандартный

12345 не подходит, fuck тоже

FAQ по RU-Board, там вот этот пункт: Что значит "Пароль стандартный..."

Cosmic Warrior
По поводу 12345 это шутка, и набирал ru-board.com (мысль была такая), а оно вон как.
Не уверен, особено когда сектора очень плотно прописаны 01-м, но MFT вроде как не фрагментирована. Сделай в DMDE поиск NTFS на проблемном разделе и выложи лог + дамп 0-го сектора раздела.

Цитата:

Сделай в DMDE поиск NTFS на проблемном разделе и выложи лог + дамп 0-го сектора раздела.

Лог поиска NTFS - тут
Дамп бутсектора - тут

З.Ы. Уточню одну вещь, во избежание недоразумений.
Я на всякий случай склонировал пациента (сигейтовский диск на 500 Гб, модель сейчас точно не скажу, думаю, не столь важно) с помощью ddrescue на другой винт. Последний - двухтерабайтник от ВД, который в названии модели имеет 20EARS, соответственно, с технологией Advanced Format. Насколько понимаю, эти 4 кб сектора на физ. уровне не должны влиять на копию? Спрашиваю - потому что пациент лежит в шкафу, а я работаю вот с этой копией 500 гб. на 2 ТБ винте (остальное пространство там неразмечено).
К сожалению, равного по объёму лишнего винта с традиционными 512-байтными физическими секторами не имею в наличии.

Добавлено:
9285
Antech
Вынужден извиниться за неудачное время выхода на форум со своей проблемой. Поскольку уезжаю завтра (уже сегодня) в отпуск. Буду не ранее 30 августа, после чего вновь в вашем распоряжении.

Cosmic Warrior
Advnced Format в данном случае никим образом не сказывается в данной ситуации. Ну разве что возможная потеря нескольких процентов быстродействия винта.

Удачно отдохнуть!
Когда вернёшься, задумайся над вопросом "А кому ты нужен?"
Я вряд ли чем то серьёзно могу помочь, а Antech вряд ли будет заходить на ресурс, куда ты выложил, да ещё и вводить все эти цифры и пароли.

Если ещё успеешь, выложи дампы секторов:
0
6715200 + 20 последующих.

9285

Цитата:

Antech вряд ли будет заходить на ресурс, куда ты выложил, да ещё и вводить все эти цифры и пароли

Это точно . Как прочитал про пароль, сразу понял: такой "секретный" кейс не для меня. Удивляет эта паранойя: можно подумать, что если кто-то не с форума посмотрит его дампы, то все, Земля с орбиты сойдет... Еще часто встречающийся прикол - замазывание серийников винтов на скрине. Ну да, сейчас Пентагон Вас вычислит по серийнику винта и бомбардировщик прилетит!

Здравствуйте, случилась такая проблема ... случайно выдернули провод переносного ж/д во время копирования,

После этого появилось:

Нет доступа к E:\. Файл или папка повреждены. Чтение невозможно.
В свойствах: Raw 0 байт 0 байт

CHKDSK
http://img89.imageshack.us/img89/9462/chkdsk.png

Как я понял $MFT и $MFTmirr повредились


Попробовал:
GetDataBack и R-Studio даже не видят полностью(думал инфу слить)
EASEUS Partition Recovery и testdisk не смогли ничего сделать

Active@ Partition Recovery видит правильный размер и показывает правильные папки но при Recovery выдает ошибку что не может восстановить
http://img804.imageshack.us/img804/1553/activeprec2.png
http://img839.imageshack.us/img839/2629/acts.png

как восстановить? скинуть инфу вариант но инфы много и пока некуда слить... желательно восстановить

очень надеюсь на вашу помощь

P.S. PTDD Partition Table Doctor 3.5 написал что не может распознать и нужен 'fixboot'

lizardlord
Почитай шапку и выложи скриншот Разделы DMDE + дамп секторов 0 + 100.

Благодарю за уточнение,

Выложил

а) дамп начального сектора винчестера (абсолютный сектор 0), т.е. MBR
б) дампы первого сектора каждого раздела, т.е. boot-сектора
в) 2 скриншота окна "Разделы" программы DMDE (общий диска и раздел)
г) дамп секторов физического диска с 0 по 100 (101шт)

http://zalil.ru/31560652


разделы в DMDE отдельно фото:
http://img571.imageshack.us/img571/7087/dmderazdely.png
http://img692.imageshack.us/img692/2778/dmderazdely2.png

lizardlord
Ещё нужен дамп секторов 6291519 + 100 далее + лог Поиска NTFS.
И самое главное - чем уже поорудовал и что сделал?
Потому как с трудом верится что у тебя реально нестандартный размер кластера, особено с учётом того, что начало MFT и копии находятся в типичном месте. Следовательно бутсектор чем то правился.

Дампы секторв не надо называть по своему - в крайнем случае пусть это будет как дополнение. DMDE сам прекрасно называет имена файлов.

PS. Твой диагноз верный.

9285

Цитата:

с трудом верится что у тебя реально нестандартный размер кластера, особено с учётом того, что начало MFT и копии находятся в типичном месте. Следовательно бутсектор чем то правился.

Win7 именно такие параметры задает при кластере 16 секторов. Т.е. просто отформатировано Семеркой.

lizardlord
Чекдиск надо было нормальный показать, из командной строки. Это чудо гуёвое ничего толком сказать не может, бесполезная в нашем контексте приблуда. Ну не смогли они нормальный интерфейс сделать .

Antech

Цитата:

Win7 именно такие параметры задает при кластере 16 секторов. Т.е. просто отформатировано Семеркой.

Речь не о том, какие параметры прописываются при 16-ти кластерной разбивке, а о том, откуда взялась 16-ти кластерная (по дефолту то 8ми). Если сам задавал при форматировании то это одно; если же уже сейчас чем то скорректировано то другое.
Хотя, судя по остальным структурам, вроде 16 было выбрано имено при форматировании.

Цитата:

И самое главное - чем уже поорудовал и что сделал?

testdisk'ом пытался восстановить (Partition table recovery в нем сделал с самого начала,думал раз не виден раздел то

нужно его восстановить,только потом нашел информацию о том что это MFT,видимо это я зря делал? наделало много

проблем?) + PTDD Partition Table Doctor 3.5 'fixboot' пытался сделать (но PTDD Partition Table Doctor ошибку выдал и

как я понял ничего не сделал)

остальные проги ошибку выдавали сразу

потом все таки запустил в TestDisk repairMFT - получил что-то вроде "MFT and MFTMirr are damaged and thus cannot be

repaired using TestDisk"


вот дамп 6291519 + 100
http://zalil.ru/31561987

лог поиска в процессе выполнения...


Цитата:

Чекдиск надо было нормальный показать, из командной строки

сразу вылетает, т.е. командная строка закрывается


Цитата:

Т.е. просто отформатировано Семеркой.

так точно, все дефолт

lizardlord

Цитата:

так точно, все дефолт

Я не буду утверждать, но попробовал в виртуалке отформатировать 600-гиговый "винт" - кластер 8 секторов.
Откуда взялись 16, да ещё не только в бутсекторе - я не телепат.


Цитата:

потом все таки запустил в TestDisk repairMFT

А вот это можно назвать разводом. Конечно же, в описании автор пишет что на самом деле это возможно, но для случаев когда 4 записи MFT убиты, но зато есть целая копия этих записей. Случай достаточно редкий, если не слишком редкий. Но кто же читает документацию? Поэтому число тех, кто верит в пересоздание (лично я так понимаю rebuild) неизмено прогрессирует.

PS. Получилось из обломков собрать $MFT $MFTmirr $LogFile и основную часть $Volume. В принципе, можно перезаписать и натравить чекдиск, но у меня не тот опыт как у Antech, чтобы утверждать что всё сделано правильно.

9285
Мда, действительно странно,даже по информации microsoft,
2 ГБ—16 ТБ    должен быть вроде как 4 КБ (8секторов) по дефолту (щас проверил 171гб предлагает отформатировать действительно с кластером 4кб (8секторов))

ничем не пользовался для форматирования другим,видимо семерка решила что 16 секторов мне просто необходимо

lizardlord
Если это решила семёрка, то это как раз таки вполне нормально не так печально. Страшнее, если какая то другая программа некорректно определила размер кластера и перебила все соответствующие поля.

9285

Цитата:

если же уже сейчас чем то скорректировано

Вроде обычно при этом плывут начальные кластеры (в данном случае точнее - секторы) MFT и Mirror.


Цитата:

А вот это можно назвать разводом

Вот именно, я-то думал, что он ребилдить умеет по-настоящему, еще удивился: какой функционал. А он, оказывается, только копию может заюзать. Ну так Винда и сама это сделает, причем молча...


Цитата:

Получилось из обломков собрать

ИМХО это разве что ради спортивного (хотя вся эта муть с восстановлением тоже ради спортивного ). Я тоже раньше так делал, даже глючно поднятые биты исправлял в редакторе , но сейчас делаю проще и надежнее: имплантирую "уникальные" фрагменты в исправную MFT. Ведь большая часть там у всех одинакова. Это не только быстрее, но и надежнее: бывает, что не только очевидное смещение, но и еще какие-то глюки типа глючно поднятых бит, или разные смещения. При имплантации я уменьшаю вероятность зачерпнуть эти глюки...

lizardlord
Можете попробовать Патч MFT. DMDE - Сервис - Копировать секторы. Источник - файл (патч), приемник - физический диск. На приемнике: Первый сектор 6291519, Число секторов 8. После перезагрузки посмотрите на результат. Не смонтируется - покажите что говорит Чекдиск.

Цитата:

Можете попробовать Патч MFT. DMDE - Сервис - Копировать секторы. Источник - файл (патч), приемник - физический диск. На приемнике: Первый сектор 6291519, Число секторов 8.

сделал все как сказано


Цитата:

Не смонтируется - покажите что говорит Чекдиск

не смонтировался в винде

chkdsk I: /f


вот говорит:
http://img607.imageshack.us/img607/9493/chkdskr1.png
http://img21.imageshack.us/img21/2627/chkdskr2.png
http://img810.imageshack.us/img810/5492/chkdskr3.png
http://img35.imageshack.us/img35/1292/chkdskr4.png

в принципе все эти файлы как раз перемещались когда случайно вырвали диск
в конце 74% (обработано записей: 193887 из 204054) чтото не обновляется долго

P.S. Бл... ой... то есть... Блин...случайно закрыл окно

вот заново:

http://img28.imageshack.us/img28/5101/chkdskrnew1.png

в конце вот это:

Проверка индексов
74% (обработано записей: 193827 из 204054)

и усе ... дальше пока не движется... 10 мин прошло

ждать?


P.S. что-то каждый раз на ~193800 индексе подвисает и не движется дальше
Какой то CHKDSK у семерки кривой

____________________________


P.P.S

BINGO

А вот в XP отличный
после этого запустил на виртуалке CHKDSK /f за 20 мин все вернуло к жизни... ни один файл не потерялся
Antech,а до вашего MFT патча вообще ничем не мог сделать,chkdsk даже не открывался и другим ничем тоже.


9285 спасибо за помощь,
Antech благодарю вас и пожимаю вашу мастерскую руку :handshake:

lizardlord
Ну вот и славно.
Если не сложно - сбрось дамп секторов 6291519+8

Да,конечно...

Вот 6291519_8 :

http://zalil.ru/31565122

lizardlord
Вроде все ошибки на четырех скринах - это про один индекс, ну то ерунда: индекс сам перестроился. Про ошибки в файловых записях оно ничего не сообщало, так что, вроде как, должно быть все в порядке.


Цитата:

chkdsk даже не открывался и другим ничем тоже

Чекдиск не будет запускаться, если не может прочитать / распарсить ранлист $MFT и версию ФС в $Volume. Поэтому в таких случаях сначала поправить надо...

Привет всем.
Есть проблема, буду рад любому совету или помощи:
Винт разбит на два логических диска, я решил изменить размер и запустил для этого Norton PartitionMagic. Появилось два сообщения об ошибках на диске, я согласился на исправление, все вроде исправилось, но после этого PartitionMagic не запустился и вылетел с ошибкой.
После перезагрузки одного из дисков не стало. Винда видит как не размеченную область, а Acronis видит 2 диска и пустое пространство в размере полного (!) объема винта. Вот скрин:
http://img13.imageshost.ru/img/2011/08/20/image_4e4f790a94790.jpg
Recovery Expert говорит, что все ок, ошибок нет.
Файлы могу просмотреть из акроникса.
Подскажите, что сделать, чтобы все было как раньше и диск был виден в винде