» SecurStar DriveCrypt Plus Pack

Tau_0
я туплю в этой во всей терминоллогии.
я взял лив-сд с оболочкой, вошел.
открыл WinHex, HxD, открыл диск шифрованный.
вижу сектора, блоки.
но не пойму как мне сделать там дамп для того чтобы вам скинуть ?

http://s012.radikal.ru/i320/1503/5a/a5f73ce2ef33.jpg
http://s015.radikal.ru/i330/1503/75/2bcfd0923292.jpg

WinHex
http://i064.radikal.ru/1503/22/075298266e6f.png

вот скриншоты.

ferrarievich

Цитата:

я туплю в этой во всей терминоллогии.

Чтобы не тупить прочитайте эти две статьи. Обе посвящены MBR и разберите обе. Они --- ключ к пониманию…
Главная Загрузочная Запись - Master Boot Record (MBR)
Главная загрузочная запись


Цитата:

но не пойму как мне сделать там дамп для того чтобы вам скинуть ?

Память у Вас, как у девочки…
Как делать дампы я уже Вам расписывал на зоне полтора месяца назад. И для DMDE и для Winhex расписывал.

См. мой пост на зоне.
Последний раз редактировалось Tau_0, 16-01-2015 в 03:21.

И Вы даже выкладывали некий LBA = 0. Но мне захотелось получить дам снова…
Глянул на обе последние присланные Вами картинки. --- Пока обе не понравились…

Как выглядит загрузчик Windows 7 подробно расписано в статье.
An Examination of the
Windows™ 7 or 8
MBR ( Master Boot Record )

А LBA = 0 для DCPP и WildGoblin и я выкладывали на руборде. --- Посмотрите код.

Я понимаю, что Вы не низкоуровневый программер, но, на мой взгяляд, с этим и очаровательная блондинка лЁгко разберётся…

Добавлено
============


Цитата:

WinHex http://i064.radikal.ru/1503/22/075298266e6f.png

Вот этот последний скриншот с какого харда получен …???...
Где LBA четырёх сигнатур…???... --- Ничто не мешает найти их на зашифрованном харде.

Tau_0
оба дампа
http://www.sendspace.com/filegroup/lHyeNsUMlBs4a%2B%2FUznMVow
по Winhex не уверен, большеватый файл вышел на выходе, хотя я копировал LBA0 только и далее shift ctrl n комбинацией сохранил файл.
вот щас вроде корректно сохранил,
https://www.sendspace.com/file/4avfhu

ferrarievich

Цитата:

вот щас вроде корректно сохранил,

Не корректируйте уже отправленный текст. Лучше пишите добавлено, как делаю я , --- у меня хорошая память, потому Ваши посты перечитываю редко...

Уж очень погано у Вас хард в Windows 7 разбит, --- 100 MiB под System reserved и 170 GiB под остальное. Других разделов нет.

Не нравится мне это…, --- такое ощущение, что Вы много чего нахомутали… Ну ладно…

Сообщите полную ёмкость харда и то, как он ранее (5 лет назад) был разбит…

ЗЫ Нужны LBA четырёх сигнатур, начиная с первой (нулевой)…

Tau_0
это виртуальный образ vmware, в ней поднял вин7, сделал fixmbr, и щас там абсолют идентичная картина как с моим 1.7 ТБ жестким диском(основной пациент).

я просто думал изначально эксперимент с подменой загрузочной области сделать в виртуалке, благо тут у меня сохраненный этот образ, и я могу добесконечности тестить и откатыватся и снова заменять нужную область.

после уже делаю клон 1.7ТБ, и уже на нем произвожу оттестенный вариант с виртуалкой.

верно ведь мыслю?
поэтому на размер не смотрите. суть в том, чтобы вернуть на виртуалке щас загрузочную область DriveCrypt PlusPack и уже перейти к основному пациенту.

я извиняюсь, но ЛБА 4-их сигнатур, это надо сделать дамп просто 0,1,2,3,4 ? (до этого делал только 0-ой дамп верно и скидывал).

ferrarievich

Цитата:

я извиняюсь, но ЛБА 4-их сигнатур, это надо сделать дамп просто 0,1,2,3,4 ? (до этого делал только 0-ой дамп верно и скидывал).

Надо в WinHex выполнить поиск упорядоченной последовательности байтов Search ===> Find Hex Values... (Ctrl+Alt+X)
В шаблон вбиваете искомую цепочку байтов. И Вы находите её по Offset... LBA = Offset / 512
Поиск всякий раз начинаете с LBA = 0. --- В навигаторе его задаёте.
А цепочки (они же сигнатуры) даны Вам в Ководстве. Или из моего поста возьмите, --- я паразитные пробелы между байтами вырезал.

Что может быть проще...???...

Tau_0
так, я зайти зашел, в поиск, щас я сижу вкуриваю как там набирать надо =)
вы напоминаете мне моего учителя по математике в школе еще ))
думаю скоро меня будут бить учебником по голове))


Цитата:

В шаблон вбиваете искомую цепочку байтов. И Вы находите её по Offset... LBA = Offset / 512
Поиск всякий раз начинаете с LBA = 0. --- В навигаторе его задаёте.

сижу вкуриваю, в поиске там написано надо типа 1А и тд вводить.. сижу думаю где в каком посте вы указывали этот момент.

http://s020.radikal.ru/i703/1503/d7/81404e093eed.png

в само поле поиска не совсем понимаю, что вводить.
а ниже, я опционально выбираю connd offset mode 512=0, затем 512=1, 512=2, 512=3 и 512=4.

Цитата:

в само поле поиска не совсем понимаю, что вводить.

О майн гот…!!!...

В Ководстве для начала предлагается найти LBA сигнатуры
22ACCD848842ADCECAB021ED1E3B584100000000

1. Navigation ===> GoTo Sector… (Ctrl+G) --- переходите к LBA = 0
См. картинку 1

2. По copy-past вбиваете её в окно поиска
См. картинку 2

3. Выходите на Offset последовательности и смотрите смещение в hex и dec. Просто щёлкаете по полю Offset и представление hex изменится на dec
См. картинку 3

4. 00028528640 / 512 = 55720
Калькулятором переводите 55720dec = D9A8hex
См. Картинку 4

Короче вы ложны представить LBA для четырёх сигнатур типа такого ===>


Цитата:

22ACCD848842ADCECAB021ED1E3B584100000000
Offset = 0001B35000 = 00028528640dec
LBA = 55720dec = 0000D9A8 Big-endian
A8D90000 Little-endian

22ACCD848842ADCECAB021ED1E3B584101000000
Offset = 0002053000 = 00033894400dec
LBA = 66200dec = 00010298 Big-endian
98020100 Little-endian

22ACCD848842ADCECAB021ED1E3B584102000000
Offset = 0001C9D000 = 00030003200dec
LBA = 58600dec = 0000E4E8 Big-endian
E8E40000 Little-endian

22ACCD848842ADCECAB021ED1E3B584103000000
Offset = 00031B0000 = 00052101120dec
LBA = 101760dec = 00018D80 Big-endian
808D0100 Little-endian

Ессно, что у Вас будут другие цифры, но четыре сигнатуры универсальны…

ЗЫ В Ководстве предлагалось последовательно искать, если сигнатура не найдена, то только тогда переходить к следующей. Но Вы найдите LBA ВСЕХ четырёх

ferrarievich

Цитата:

вы напоминаете мне моего учителя по математике в школе еще

Масаракш…!!!...

Доведёте Вы менядо белого каления…

Информация на харде хранится в секторах.
Размер каждого сектора фиксирован и равен 512 байтам.
Где-то на харде хранятся четыре последовательности байтов.
Вот они
22ACCD848842ADCECAB021ED1E3B584100000000
22ACCD848842ADCECAB021ED1E3B584101000000
22ACCD848842ADCECAB021ED1E3B584102000000
22ACCD848842ADCECAB021ED1E3B584103000000

Нам надо найти номер LBA сектора в котором начинается эта последовательность.
Секторы нумеруются последовательно 0, 1, 2, 3, …, 1 953 525 167. Это на моём терабайтнике. Итого 1 953 525 168 секторов.

На самом деле ВСЁ обстоит немножко не так, как показывает WinHex или DMDE.
Редакторы показывают положение каждого байта, как Offset относительно базы 0 в секторе LBA = 0. Но на самом деле сначала выбирается сектор, а затем байт относительно выбранного сектора. Он может быть в диапазоне [0..511]. Но редактор показывает смещения относительно базы в самом первом (нувом) байте LBA = 0.

Когда мы запускаем поиск, то получаем Offset первого байта последовательности. Тогда LBA (логический номер сектора в котором начинается сигнатура) = Offset / 512

Это задачка для второго класса ЦПШ, --- она сводится к простой арифметике…

ferrarievich
Куда пропал…???... Тут делов на три конейки --- либо получится, либо нет...
Нет никакого смысла в затягивании. А самомтоятельно что-то предпринимать я Вам настоятельно не советую...

Вот максимально близкий к оригиналу (почти без фантазий...) перевод 4-го пункта Ководства (первые три пункта я уже переводил)…

Цитата:

Scan from the physical start of the disk looking for the sector
with the following hex bytes(in ascending order)

"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00"

if the above can't be found he should search for:

"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 01 00 00 00"
then:
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 02 00 00 00"
finally
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 03 00 00 00"


When the place on the disk is found identify the SECTOR offset of this
data. if the offset to the data is a BYTE offset the value will be
wholly divisible by 512 and it should be devided by 512. If it is a
SECTOR number then the number should be left as it is.

The SECTOR number needs to be expressed in hex. For example Sector
0x000740EF might be identified as the place where the above bytes were
found. Now the hex SECTOR number should always have at least eight
digits. so if the sector number is written as (0x) 740EF then add
leading digits so there are at least 8 digits. IE (0x) 000740EF [This
is VERY important]. Now write each pair of digits in REVERSE order,
so we get EF 40 07 00. Do NOT reverse the order of the DIGIT PAIR
which must remain the same. Basically we are dealing with "little
endian" computers which store larger values in low-high order in
ascending memory locations.


4: Просканируйте физический диска от самого его начала и отыщите сектор, содержащий следующую последовательность hex байтов (в порядке возрастания)

"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00"
если вышеупомянутая последовательность не найдена, ищите:
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 01 00 00 00"
затем:
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 02 00 00 00"
И наконец
"22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 03 00 00 00"

Как только найдете на диске местоположение этих данных, определите смещение к ним в СЕКТОРАХ. Если смещение к данным найдено в БАЙТАХ, разделите значение смещения на 512. Должно разделиться гладко (без остатка). Если смещение было найдено как номер СЕКТОРА оставьте его, таким как оно есть.

Номер СЕКТОРА должен задаваться в hex. Например, Например, вышеупомянутые байты найдены в Секторе 0x000740EF. У номера СЕКТОРА в hex представлении всегда должно быть, по крайней мере, восемь цифр. Так, если номер сектора записан как (0x) 740EF, добавьте ведущие цифры 0, чтобы стало, по крайней мере, 8 цифр. Т.е. адрес следует записать как (0x) 000740EF [Это ОЧЕНЬ важно]. Теперь запишите каждую пару цифр в обратном порядке, таким образом, мы получим EF 40 07 00. Не изменяйте порядок ЦИФР в ПАРЕ, пара должна остаться неизменной. Мы имеем дело в основном с компьютерами "little endian" (порядок размещения от младшего байта к старшему), которые сохраняют наиболее “весомые” значения по более низкому адресу, --- “весовой вклад” байта возрастает с уменьшением адреса местоположения в памяти.

Большего пока написать придумать не могу...

Добавлено
========

Цитата:

сижу вкуриваю, в поиске там написано надо типа 1А и тд вводить.. сижу думаю где в каком посте вы указывали этот момент.

Рано пока Вам что-то куда-то вставлять. Хотя я на своей картинке и показывал куда... Но я потом на этом деле специальный упор сделаю... А пока мне нужны LBA четырёх сигнатур. И ВСЁ...

Tau_0
22ACCD848842ADCECAB021ED1E3B584100000000
Offset = 0000BC4000
12337152/512=24096dec
5E20hex

22ACCD848842ADCECAB021ED1E3B584101000000
Offset = 0000E94000
15286272/512=29856dec
74A0hex

22ACCD848842ADCECAB021ED1E3B584102000000
Offset = 0000D2C000
13811712/512=26976dec
6960hex

22ACCD848842ADCECAB021ED1E3B584103000000
Offset = 0000FFC000
16760832/512=32736dec
7FE0hex

ferrarievich
Для первой сигнатуры найден сектор LBA = 5E20hex. Арифметику я и для остальных трёх проверил. Эти значения похожи на правду…

Но есть один, вернее два момента.

1. Согласно пункту 4. Ководства ====>

Цитата:

У номера СЕКТОРА в hex представлении всегда должно быть, по крайней мере, восемь цифр. Так, если номер сектора записан как (0x) 740EF, добавьте ведущие цифры 0, чтобы стало, по крайней мере, 8 цифр. Т.е. адрес следует записать как (0x) 000740EF [Это ОЧЕНЬ важно].

Поэтому добавляем слева четыре hex 0 (два байта). Число (значение от этого не изменится), но формат требует, чтобы было 8 hex цифирь (4 байта).
5E20hex = 00005E20hex --- Big-endian


Цитата:

2. Теперь запишите каждую пару цифр в обратном порядке, таким образом, мы получим EF 40 07 00. Не изменяйте порядок ЦИФР в ПАРЕ, пара должна остаться неизменной. Мы имеем дело в основном с компьютерами "little endian" (порядок размещения от младшего байта к старшему).

Поэтому наше искомое число должно быть
205E0000hex --- Little-endian

Дело осталось за немногим --- выполнить пункты 1 – 3 Ководства.
См. выше пост Tau_0 Отправлено: 20:14 26-01-2015 | Исправлено: Tau_0, 20:17 26-01-2015.

Вы выполнили требуемые рекомендации, но проявили при этом глупую инициативу --- опять затёрли загрузчик DCPP загрузчиком Windows 7…

Но выход из этой беды есть. У нас есть 2 разных загрузчика (точнее MBS из LBA = 0) DCPP. Это мой LBA = 0 для DCPP v.3.97 и LBA = 0, который я с боем вырвал у WildGoblin. Мне неведомо какой версии его загрузчик…???...
WildGoblin, ау… --- назовите номер Вашей версии..???...

Беглый просмотр голов (MBS/LBA=0) показывает, что загрузчики различаются…
См. Картинку 1. из WinHex

На картинке я пометил совпадающие строки, но если прокрутить окна до последней строки offset = 1F0 = 496dec, то можно заметить существенные (и не очень…) различия.

Пока я исхожу из того, что моя версия DCPP совпадает с Вашей…
Поэтому беру свой LBA = 0 и модифицирую следующим образом…

Уже было, но ещё раз...

Цитата:

См. в моём вольном переводе…
Now, on the NEWLEY restored MBR boot loader at SECTOR #0, at offset 10 decimal, (0x0A in hex) enter there - the four pairs of HEX digits, in the newly reveresed order including any leading zero bytes. Before these digits their should be 80 80 80 80 (but not on all versions so don't worry if not)
Теперь, на вновь восстановленном загрузчике MBR в СЕКТОРЕ #0, по offset 10dec, (0x0A в hex) вбейте четыре пары цифр HEX цифр в little-endian, включая любые ведущие нулевые байты. Перед этими цифрами должны быть 80 80 80 80 (но не на всех версиях, так не волнуйтесь, если будет немного не так).

Save out the sector now modified and reset the computer. If everything has worked then the bootauth screen should appear.
Сохраните модифицированный сектор и перезагрузите компьютер. Если все работает правильно, то должен появиться экран bootauth.

Поэтому я модифицирую MBS загрузчика DCPP следующим образом.
См. Картинку 2.

и сам модифицированный сектор MBS/LBA=0

На этом инструкии Ководства оканчиваются…
===============================

Но мне неймётся… _ Не нравится мне, что в PT остались прописаны моя сигнатура диска (или GUID - Globally Unique Identifiers) --- байты 01B8 - 01BB,
А также мои разделы, ---
01BE - 01CD = первая запись таблицы разделов
01CE - 01DD = вторая запись таблицы разделов
01DE - 01ED = третья запись таблицы разделов
01EE - 01FD = четвертая запись таблицы разделов

Уж лучше взять Ваши значения и и вбить их в мою модифицированную MBS DCPP … Это ближе к правде будет… Ну вот хочется мне такую модификацию сделать, хотя, возможно, что она избыточна…
См. Картинку 3.


и сам дважды модифицированный сектор MBS/LBA=0


Ну вот пожалуй и ВСЁ…

Если четыре сигнатуры присылались с харда, утерянного пять лет назад, я бы сказал, что модифицированный сектор DCPP надо записать на тот хард в LBA = 0. А затем с него загрузиться.

Но раз у Вас виртуалки, то перепишите тот LBA = 0, откуда Вы выковыряли LBA с загрузчиком Windows 7. Этот загрузчик мне ещё не понравился.

Записываете в DMDE 512 ,байтов с модифицированным LBA = 0, только теперь копируйте не с харда в файл, а наоборот --- из файла на хард.

Отпишитесь как идут дела… Но только без фанатизма с самостоятельностью…

Tau_0

Цитата:

...с боем вырвал у WildGoblin

Цитата:

...назовите номер Вашей версии..???...

Да я уже и не помню.

Есть такие:
3.01g
30b041101
3.90G.July
3.95
3.97
4.0
5.21

Tau_0
щас мой мозг переварит инфо, что мне дальше делать по вашему мануалу! )
а вообще, предлагаю держать ориентир на вашей и моей версиях DCPP, а это 3.97.
на виртуалке тестанем, если оживет оно, то тогда я покупаю новый HDD (помоему аж 2 ТБ емае), клонирую и начинаю на нем уже эксперимент Века ))

WildGoblin

Цитата:

Да я уже и не помню.   Есть такие: 3.01g 30b041101 3.90G.July 3.95 3.97 4.0 5.21

А как сильно MBS различаются...???...
Плохо, что ferrarievich ухитрился затереть свой... --- Я привык доверять, но проверять. Ладно будем считать, что у него, как и у меня v.3.97...

ferrarievich

Цитата:

то тогда я покупаю новый HDD

Не майтесь дурью, а лучше пришлите мне LBA=0 c Вашего потерянного "(помоему аж 2 ТБ емае)" харда...
Если Вы помните свой пароль и хранилище ключей будет доступно, то данные будут доступны, а если нет, то на нет и суда нет...

Из самых общих соображений прклепать/заменить MBS (LBA= 0) это безопасно. Конечно, это если ВСЁ делать аккуратно...

ЗЫ Хард надо не клонировать в каком-нибуть акронисе (этот сук не делает точную копию), а делать точную посекторнуй копию в DMDE или WinHex. На моей шустрой машине посекторная копия 1 TB WDFBYS на 1 TB WDFBYZ делается часа за три...
А вот на то, чтобы зашифровать ~ 750 GiB у меня ушло сутки... Потом я поумнел и стал шифровать только один раздел 80GiB. Но и на это дело у меня уходит порядка 3 часов... И дешифровка столько же времени занимает..
ЗЗЫ Какие причины (Вы двойной агент разиедок ведущих мировых держав..??... ) сподвигли Вас на этодурное занятие...
ЗЗЗЫ Шифрование разделов сказывается на машине не так гладко и красиво, как об этом пишут... Кое-что я заметил, но это слишком в сторону от наших баранов...

Tau_0
ок, я завтра подрублю хдд этот который основной пациент.
но почему не хотите скинуть пошагово как заменить и что заменить непосредственно на виртуалке, которая вот открыта, с редактированием в WinHex, потестили б на ней, это ж полная аналогия с реальной машиной. Приэтом я могу сделать ОБРАЗ нынешней вариации с fixmbr, и откатыватся к аждый раз если что то сделал не так, и так до посинения, нежели вариант с основным пациентом.
Призываю Вас потестить сия методику на виртуалке. Разницы ж не будет никакой. Ибо и там и там стоит одинаковая DCPP версия и одинаковым способом затертая загрузочная область.

ferrarievich

Цитата:

почему не хотите скинуть пошагово как заменить и что заменить непосредственно на виртуалке,

Уже писал об этом ===>

Цитата:

ЗЫ Чтобы приготовить чай нужен самовар, а не паровоз…

Но если Вы хотите более простое объяснение, то рано или поздно Вам придётся править MBS на реальном, а не на виртуальном харде… Если Вы знаете, как это проделать на виртуальном, --- флаг Вам в руки… На виртуальной машине Вам надо вставить/заменить модифицированный DCPP в MBS виртального харда с вместо попорченного Windows 7, который Вы прислали... Откуда Вы его выковыряли, туда и вставляйте... --- Я уже ВСЁ нужное сказал. Я не имел с виртуальными машинами никаких дел, и пока не собираюсь… Зачем мне брать в голову какие-то смещения к виртуальному харду, которые могут появиться из-за некорректой работы с Вашим паровозом…???...

Может WildGoblin Вам в этом деле поможет…???... --- Слёзно попросите его помочь… Я думаю, что теперь он знает где, что и как можно изящно модифицировать. А для меня это совсем в сторону, ну очень не хочется ещё и в эту механику влазить.

Если вздумаете начать с того, что Вам действительно нужно (с реального зашифрованного харда), то предоставьте мне
1. его LBA = 0 с MBS Windows 7.
2. LBA четырёх сигнатур, как это сделали ранее…

Я склепаю MBS DCPP v. 3.97 (даже два…)… Вам останется только проверить его и прописать в LBA = 0…

Tau_0

Цитата:

А как сильно MBS различаются...???...

Не скажу так сразу - меня, если честно, сабж интересует постольку-поскольку... я давно им не пользуюсь и смысла в нём не вижу никакого т.к. есть более приемлемые альтернативы.

P.S. Могу все эти дистрибутивы слить если нужно.

Цитата:

Плохо, что ferrarievich ухитрился затереть  свой...  --- Я привык доверять, но проверять. Ладно будем считать, что у него, как и у меня  v.3.97...

Зачем гадать - пускай выложит свой дистрибутив!

Цитата:

ЗЫ Хард надо не клонировать в каком-нибуть акронисе (этот сук не делает точную копию)

делает...

Цитата:

ЗЗЫ Какие причины ... сподвигли Вас на этодурное занятие...

Это обычная и нормальная практика у разумных людей.

Цитата:

Если Вы знаете, как это проделать на виртуальном, --- флаг Вам в руки…

Нужно включить виртуалку, загрузится с лайвсиди с поддержкой сети, запустить тимвьювер или внс-сервер какой и тогда вы сможете ему за пять секунд всё починить. Наверное.

Цитата:

Я не имел с виртуальными машинами никаких дел...

Там всё так же как на реальной машине и всё прозрачно.

Цитата:

...какие-то смещения к виртуальному харду, которые могут появиться из-за некорректой работы...

бред какой-то

Цитата:

Я думаю, что теперь он знает где, что и как можно изящно модифицировать.

Я даже не вникал в ваши посты ибо хаотично, эмоционально и многабукаф - если вы про это говорите.

на виртуалке - все заработало.

теперь инфо с hdd.

512, вот,
http://rghost.net/8rrZpJmPt


22ACCD848842ADCECAB021ED1E3B584100000000
Offset = 000016D1000 = 23924736dec
LBA = 46728dec B688


22ACCD848842ADCECAB021ED1E3B584101000000
Offset = 000019AF000 = 26931200
LBA = 52600dec CD78


22ACCD848842ADCECAB021ED1E3B584102000000
Offset = 00001839000 = 25399296
LBA = 49608dec C1C8

22ACCD848842ADCECAB021ED1E3B584103000000
Offset = 0000129B000 = 19509248
LBA = 38104dec 94D8

WildGoblin

Цитата:

P.S. Могу все эти дистрибутивы слить если нужно.

Спасибо, но видимо не нужно... ===>
ferrarievich

Цитата:

выскочил "запрос пароля", далее ввод пароля(ПРИНЯТО!!!) и загрузка.

WildGoblin

Цитата:

делает...

Нет не делает... По крайней мере ADDS v.10 при простом клонировании разделов Windows 7 меняет поле
с сигнатурой диска (или GUID - Globally Unique Identifiers) --- байты 01B8 - 01BB. И видимо ещё кое-что, Короче в результате получается незагружаемая система Windows 7. Я выкручивался из этой ситуции посекторным копированием первых 100 MiB с System Reserved. Но давно уже не имею дел с акронис, поскольку считаю ВСЕ его фичи вредными и опасными. Это не касается резервирования разделов, --- для этих целей акронис хорош тем, что работает быстро. Но и здесь многие порой прокалываются....

WildGoblin

Цитата:

Нужно включить виртуалку, загрузится с лайвсиди с поддержкой сети, запустить тимвьювер или внс-сервер какой и тогда вы сможете ему за пять секунд всё починить. Наверное.

AND

Цитата:

бред какой-то

Я имел в виду некорректную работу пользователя, когда WinHex запускается просто из-под Live CD без виртуальной машины, тогда сигнатуры будут найдены, но смещения определятся относительно реального, а не виртуального харда...

WildGoblin

Цитата:

многабукаф - если вы про это говорите.

Много лишних букаффф мне пришлось потратить только на то, чтобы поазать, что нужен MBS, а не NEW_MBR. --- Мы с этого общение начали...

ferrarievich

Цитата:

все сделал, с файлом "дважды модифицированым"

Попробуйте проделать тоже самое с просто "один раз модифицированым" файлом... --- Будут ли какие-то отличия...???... Возможно, что вторая моя модификация есть ненужная избыточная блажь ...

Цитата:

Попробуйте проделать тоже самое с просто "один раз модифицированым" файлом... --- Будут ли какие-то отличия...???... Возможно, что вторая моя модификация есть ненужная избыточная блажь ...

а я выше вот подсчеты сигнауры и тд скинул, реально пробовать с "один раз модифицированным" ?

Tau_0

Цитата:

Нет не делает... По крайней мере ADDS...

adds не юзаю, а вот AB нормально посекторную копию разворачивает на диск.

Цитата:

а не NEW_MBR. --- Мы с этого общение начали...

Если почитать сначала, то станет понятным зачем нужен был NEW_MBR.

ferrarievich
Наши посты совпали по времени и я проглядел Ваш...
Сейчас склепаю MBS для сигнатуры 00.


Цитата:

реально пробовать с "один раз модифицированным" ?

Имеено так, если что-то будет не так, то вновь просто перепишите "дважды модифицированый".

ЗЫ Можно также побаловаться со вставкой сигатуры 01 вместо LBA сигнатуры 00. Я пробовал, и у меня не пошло с LBA сигнатур, отличных от первой найденной сигнатуры 00. Но и в Ководстве прямо нигде не сказано, что будет работать со ВСЕМИ сигнатурами. Там предписано вставить первую найденную...

Добавлено
=========

WildGoblin

Цитата:

а вот AB нормально посекторную копию разворачивает на диск.

Исправный том это одно, а вот точная посекторная копия (когда совпаденив сектор в сектор, а в секторе байт в байт) это совсем другое... Это очень большие две Одесских разницы...

Цитата:

Наши посты совпали по времени и я проглядел Ваш...
Сейчас склепаю MBS для сигнатуры 00.

буду очень признателен.

тем временем, я ради эксперимента, поигрался на виртуалке, и заменил "один раз модифицированным".

перегрузился, РЕЗУЛЬТАТ = ЗАПРОС ПАРОЛЯ, но, после ввода УСПЕШНО пароля, выходит ошибка та, что была до непосредственно замены "модифицированным", то есть после комманды fixmbr. О как.

p.s. токо плиз проверье все тщательно по поводу моих выше сигнатур

ferrarievich

Цитата:

p.s. токо плиз проверье все тщательно по поводу моих выше сигнатур

Сигнатуры проверю позже...

Не нравится мне это... ===>


Цитата:

теперь инфо с hdd.   512, вот, http://rghost.net/8rrZpJmPt

А вот безымянный (368 байт) мне очень не понравился... Откуда/как Вы получили это чудо...???...

Во-первых в файле 386 байтов, а не 512
Во-вторых это MBS НЕ Windows 7, а огрызок без начала... MBS DCPP. И версия его мне не нравится потому, что вижу отличия в коде DCPP v.3.97

См. Кардинку

Постарайтесь ещё раз (для проверки) скопировать MBS в файл и выложить на обменник.

ЗЫ No Panic

Tau_0

Цитата:

Откуда/как Вы получили это чудо...???...

через WinHex, скопировал до нижней границы, весь первый LBA. больше данных небыло вроде.
емае.

5 лет прошло, но помоему жешь была версия 3.97. может есть вероятность по поиску задать DCPP или DriveCrypt и посмотреть, можешь где то будет указана версия или врядли наверное.
Но мне видится что 3.97 ставил.



Цитата:

ЗЫ No Panic

это реально критическая ситуация? мы ж ниче не теряем, давайте попробуем записать с вашей помощью двойной этот файл, я педварительно сохраню то что там есть у меня , весь LBA0, и заменю вашим. поглядим, мож оно стартанется.

ferrarievich

Цитата:

поглядим, мож оно стартанется.

Давайте поглядим.., --- мож оно стартанется....???...
Вот дважды модифицированный MBS DCPP v.3.97

Махмуд, поджигай...!!!...
Но без фанатизма, --- Отчитываетесь "по миллиметрам"...

Tau_0
Тут ситуация странная. Я щас посмотрю есть ли у меня еще аналогичный хдд, ибо к какому то я находил доступ, но вроде это не этот. Тем не менее, ситуация с ним какая, до замены LBA0, я решил с него загрузился, далее ситуация
1. введите пароль (опа)
2. ввожу пароль правильный, пускает и далее у меня на выбор 3 опеационых системы ВИН7
3. каждую пробовал открыть, при запуске пишет, что типа устройство недоступно ошибка. если надо заскринить могу.

по итогу, я сделал бекап ессно 512 байт. в этот разх сохранил верно.
и плюс еще, вот такая папочка хранится в отдельном локальном (нешифрованном диске), тут вижу и мбр какой то файл есть, гляньте может поможет нам.

я к тому, что у нас походу еще один пациент появился, в данном случае, видимо убита ОС сама, то есть предазугрзочная облась работает, пароль работает, но дальеш системы битые и поэтому видимо не пускает внутрь киптованного харда. Из вне я не могу его раскрипттовать. Приэтом если загрузочный диск вставить, то после ввода пароля, оно не сработает.

Короче моя очередь видимо Вам сносить мозг )))

Тем не менее, после бекапа, я решгил заменить 512 на ваш файл, по итогу, после ребута HDD ответил тем, что внизу шла какая то черточка(то есть он ЗАЦИКЛИЛСЯ), я честно сказать немного, простите, очканул ))) то етсь ни паролей, ни ошибок, тупо зацикливание пошло.

вернул обратно пока свои 512 байт.

посмотрите
512 байт правильно снятые с хдд
http://rghost.net/7Tzxxlh98

DCCPboot
http://rghost.net/7NK8DV7nB

ferrarievich

Цитата:

Тем не менее, после бекапа, я решгил заменить 512 на ваш файл, по итогу, после ребута HDD ответил тем, что внизу шла какая то черточка(то есть он ЗАЦИКЛИЛСЯ)

Это потому, что меня переклинило и я ***ню по смещению Offset = 0Ah = 10dec прописал (для LBA сигнатуры 0).

А почему меня не перепроверили…???... --- Доверяй, но проверяй.

Вот правильное значение --- запишите его.
И повторите...

Цитата:

И повторите...

та-же ситуация, зацикливание идет.
вы прочитали предыдущее мое сообщение?
там судя по всему загрузочная область не нарушена. ибо идет запрос пароль, и пароль успешно принимает, но далее идет сбитая система, вот этот момент бы посмотреть, может это следующий сектор , где винда идет. вот этот момент бы востановить. или хотя бы войти в него с загрузочным диском как то, ибо как я понимаю, когда я прохожу предзагрузочную АВТОРИЗАЦИЮ, а я ее прохожу, то хард по идеи уже виден.