Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Hardware » Магнитные носители информации » Восстановление информации с Flash - накопителей

Модерирует : Akam1, Dr_StandBy, Dekker

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7

Открыть новую тему     Написать ответ в эту тему

ICQman2GO



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex_Green

Цитата:
Узнать бы ещё в каком секторе он берёт начало.

DiskDigger восстановил те же 28 файлов avi. Тот, который показывает видео в 12:31 начинается в секторе 3424256. Пытаюсь открыть SD-карту в WinHex. Почему-то ноутбук каждый раз зависает при обращении к карте, приходится перезагружать. До этого снял ее образ и работал с образом в DMDE. Может и в WinHex можно открыть этот образ?

Всего записей: 243 | Зарегистр. 06-03-2008 | Отправлено: 23:47 25-10-2015
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex_Green

Цитата:
Судя по скрину из DMDE, файл IST 0005 берёт начало в секторе 3968

Разве это не номер сектора папки; а сам файл начинается в другом секторе (который на третьем скриншоте)?

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 12:09 26-10-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICQman2GO

Цитата:
Почему-то ноутбук каждый раз зависает при обращении к карте, приходится перезагружать. До этого снял ее образ и работал с образом в DMDE. Может и в WinHex можно открыть этот образ?  

 
Вот это уже ничего хорошего. Ну в том, что ноутбук зависает при обращении к карте. Вероятно на карте появились бэд блоки, и возможно при снятии образа некоторые сектора могли не прочитаться, потому и по сигнатурам нужный файл не находится. Если к примеру бэды пришлись на его первые сектора. WinHex по идее должен понимать образ, сделаный в DMDE.  
 
9285

Цитата:
Разве это не номер сектора папки; а сам файл начинается в другом секторе (который на третьем скриншоте)?

 
Кстати да, кажется так и есть. Скрин из WinHex точно прояснит это.
 

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 00:45 27-10-2015
ICQman2GO



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
Alex_Green

Цитата:
Скрин из WinHex точно прояснит это.  

   
   
   
 

Цитата:
WinHex по идее должен понимать образ, сделаный в DMDE.  

Через меню File - Restore Image нельзя открыть, формат .bin не поддерживается, а через File-Open открывается в hex-редакторе, правда я не нашел как в этом режиме просматривать директории (поэтому рискнул опять открыть SD-карту).

Всего записей: 243 | Зарегистр. 06-03-2008 | Отправлено: 21:30 27-10-2015 | Исправлено: ICQman2GO, 21:31 27-10-2015
tomset



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 правда я не нашел как в этом режиме просматривать директории  

В опциях поставить - работать, как с диском.

Всего записей: 6906 | Зарегистр. 02-12-2002 | Отправлено: 22:13 27-10-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICQman2GO
Как видно из скрина в WinHex, первые файлы, что были записаны, все последовательно затёрты, и похоже у всех занулено старшее слово первого кластера. Удаление было произведено в винде? В общем сейчас можно будет точно посмотреть, перезаписано ли содержимое нужного файла чем то другим. Для этого нужно начиная с файла ICT 0001 переходить через контекстное меню Position>> List Clusters, т.к он начинается с пятого кластера, то старшее слово его первого кластера и будет 00 00 по любому. Затем смотрим его последний кластер, смотрим что делается в следующем кластере. Прописываем руками старшее слово первого кластера файла ICT 0002, снова смотрим Position >> List Clusters, cмотрим его последний кластер, переходим в следующий, прописываем значение старшего слова первого кластера файла ICT 0003, и.т.д пока не дойдём до интересующего файла ICT0005. Ну и смотрим что же прописано в его настоящем так сказать начале. Возможно это очень сложно. Ну в принципе зная размеры удалённых файлов в мегабайтах,перевести их в байты, затем делить каждый из них на 512, и получим размер каждого файла в секторах. Ну и в соответствующих секторах предположительного начала следующего файла смотреть, что там прописано. Ну и самый простой способ, это начиная с файла ICT 0001 тупо искать сигнатуру RIFF (искать только Forward, то есть вперёд).  
Возможно кто то из участников сможет предложить что то получше.

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 19:36 28-10-2015
ICQman2GO



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tomset

Цитата:
В опциях поставить - работать, как с диском.

Да, нашел: Specialist-Interpret Image File As Disk.
 
Alex_Green

Цитата:
Удаление было произведено в винде?  

Нет, эта SD-карта из автомобильного регистратора китайского производства, в нем файлы и затерлись, хотя после этого и/или перед этим  подключалась в Windows (сигнатура AA55 в начале).

Цитата:
нужно начиная с файла ICT 0001 переходить через контекстное меню Position>> List Clusters, т.к он начинается с пятого кластера, то старшее слово его первого кластера и будет 00 00 по любому.

WinHex ругается на in-place mode - наверное нужно перейти в режим редактирования F6?
 

Цитата:
контекстное меню Position>> List Clusters

Это меню Navigation-List Clasters показывает кластеры отдельного файла?
 

Цитата:
и.т.д пока не дойдём до интересующего файла ICT0005. Ну и смотрим что же прописано в его настоящем так сказать начале.

Пока не понял смысл манипуляций, маловато знаний. Т.е. в FAT уже неверные данные о начале и конце файла, а мы их восстанавливаем вручную? Или во всех файлах затерты начальные секторы?  
 

Цитата:
самый простой способ, это начиная с файла ICT 0001 тупо искать сигнатуру RIFF

Что с ней делать?
   
   
 
 
 
 

Всего записей: 243 | Зарегистр. 06-03-2008 | Отправлено: 23:02 28-10-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICQman2GO

Цитата:
Это меню Navigation-List Clasters показывает кластеры отдельного файла?  

 
Да, но правильные координаты начала файла имеет только самый первый файл ICT0001, начинающийся в пятом кластере.
 

Цитата:
Что с ней делать?  

 
В меню  Search >> Find Text, и выбрать опцию поиска Down. C этой сигнатуры начинается любой AVI файл. Затем после её нахождения переместить курсор мыши на строчку ниже, и снова искать. После этого сохранять данный диапозон в файл, и в контекстном меню винды присвоить ему имя.avi на карту ведь были записаны только AVI файлы?  
Или же как я уже предлагал, можно сохранять сектора всех файлов последовательно в файлы, исходя из размеров файлов, которые видны на самом последнем скриншоте, как впрочем и сигнатура RIFF
 
Например размер первого файла 5 мб. Его размер в секторах будет 10240, 10240+4000= 14240 - где 14240 - это сектор окончания первого файла. Сектор начала второго файла - 14368, и что самое интересное если 14368 поделить на 64 (размер кластера) получим 224.5, разделив 14368 на 32, получаем соответственно 449, то есть целое число. Вероятно размер кластера на карте равен тридцати двум секторам.  
Короче у меня получилось, что последний сектор четвёртого файла это 86944, на последнем скриншоте же мы видим, что первый сектор файла IST 0005 это 86880, то есть разница в два кластера. Не знаю, может регистратор пишет файлы не совсем так, как это делает винда. Вероятно авторекаверилки при восстановлении по сигнатурам AVI файла, восстанавливают его размер в байтах, (в заголовке файла после сигнатуры RIFF следующие четыре байта и описывают размер файла в байтах). Как то пробовал восстанавливать фрагментированный AVI файл, так файл и был восстановлен в свой полный размер, то есть первый фрагмент, плюс мусор ему не принадлежащий.
Надеюсь мысль ясна? В общем нужны скрины секторов 86880, 86912, 86944, 86976. Ну или же дамп секторов 86880 - 86976
 

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 18:56 29-10-2015 | Исправлено: Alex_Green, 18:59 29-10-2015
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex_Green
На крайнем скриншоте виден список кластеров файла.
Может, чтобы оценить масштаб повреждений, стоит посмотреть чем заняты эти кластера сейчас?

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 13:04 30-10-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285

Цитата:
Может, чтобы оценить масштаб повреждений, стоит посмотреть чем заняты эти кластера сейчас?

 
Да, можно конечно посмотреть. Подождём для начала скрины или дамп секторов, которые я запросил. Первый сектор "восстановленного" нужного файла точно занят не заголовком AVI файла. Может файл был перезатёрт частично, надо смотреть последовательно координаты сигнатур RIFF, тогда уже можно будет понять, что же произошло.

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 21:08 30-10-2015
ICQman2GO



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex_Green

Цитата:
на карту ведь были записаны только AVI файлы?

в основном - AVI, но есть и несколько JPEG
   

Цитата:
В общем нужны скрины секторов 86880, 86912, 86944, 86976. Ну или же дамп секторов 86880 - 86976  

   
   
   
   

Всего записей: 243 | Зарегистр. 06-03-2008 | Отправлено: 21:05 31-10-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICQman2GO
Ещё можно показать скрин сектора 86976, хотя уже кажется видно, что нужный файл перезаписан (по крайне мере частично) другим содержимым. Теперь остаётся только делать сигнатурный поиск в Disk Digger, Photorec, или любой другой проге, где в имени файла указан его начальный сектор. Затем смотреть лежит ли какой-либо другой файл в диапозоне тех секторов, что видны на скрине из WinHex.

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 20:00 01-11-2015
Big_Endian

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее... [/more]




Личные разборки прошу делать в ПМ.

Всего записей: 13 | Зарегистр. 01-11-2015 | Отправлено: 23:51 01-11-2015 | Исправлено: Akam1, 03:17 02-11-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Big_Endian

Цитата:
Да погоди, не спеши так, к тому-же сигнатурный поиск ничем не поможет до конца понять что осталось от PICT0005

 
Ну может и действительно более рационально смотреть List clusters каждого вновь записанного файла, и таким образом точно определить чем же перезаписан нужный файл.
 

Цитата:
И даже скажу чем: одним из фрагментов файла PICT0023  

 
Можно узнать, откуда это уже так точно известно?
 

Цитата:
Здесь в теме есть "очень крутой специалист"

 
Что касается 9285, то специалист он на самом деле очень неплохой. Да, некоторые считают его хамом, но с другой стороны каждый по своему воспринимает что такое хамство, а что нет. Да и вообще, nobody's perfect.

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 22:12 02-11-2015
Big_Endian

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 13 | Зарегистр. 01-11-2015 | Отправлено: 21:28 03-11-2015
ICQman2GO



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex_Green

Цитата:
Ещё можно показать скрин сектора 86976, хотя уже кажется видно, что нужный файл перезаписан (по крайне мере частично) другим содержимым.  

Почему-то когда перехожу на сектор 86976 открывается 86944 (справа Relative sector -86944, а внизу -86976) . Перепроверял несколько раз. На скриншоте видно. Ступор.
   
После восстановления ICT0005.avi перешел на 86976 нормально. Непонятно, почему так.
   

Цитата:
Теперь остаётся только делать сигнатурный поиск в Disk Digger

DiskDigger в режиме RAW-восстановления восстановил следующие файлы .avi. Может поискать не только .avi?
   
Big_Endian

Цитата:
Есть маленький фокус с открыванием файлов в WinHex, и не только в нём. Создайте ярлык на его исполняемый файл и поместите ярлык в папку SendTo. В ХР она находится C:\Documents and Settings\Имя пользователя\SendTo.
В Семёрке, если не ошибаюсь, ищите SendTo  в Users (Пользователи).  
Это вам позволит в любом месте через  ПКМ ->Отправить   открывать любой файл в WinHex, даже если он в данный момент не запущен.

Спасибо, воспользуюсь.

Цитата:
Вы PICT0005 уже вытащили из образа? Удобней работать только с файлом. Прямо в WinHex его цепляйте и вытаскивайте через ПКМ - Recover/Copy.  

Восстанавливал (сначала в DMDE, потом в WinHex -получается файл размером 402Мб), но не додумался открыть его в WinHex- пробовал открывать разными плеерами и восстановлялками avi (VLC, DivFix++, VirtualDub) - все они говорят, что файл не .avi и не открывают совсем ничего. Попробую предложенный вами набор программ - отпишусь.  
 
 
 

Всего записей: 243 | Зарегистр. 06-03-2008 | Отправлено: 23:59 03-11-2015 | Исправлено: ICQman2GO, 00:06 04-11-2015
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICQman2GO
Я уже написал по поводу своих "познаний" FAT, но и с WinHEX я мало знаком. Поэтому я не знаю как сделать это в нём, и могу предложить открыть посекторку (том) в DMDE, затем в меню Сервис выбери Карта кластеров. В нижнем правом окне посмотри что расположено в интересующих тебя кластерах - как минимум в 1300-ом. Хотя этот справедливо лишь для случая что была однократная перезапись.
 
Big_Endian
Я не строю из себя крутого спеца, и уж тем более в области FAT; в том числе поэтому (даже при наличии времени) не пишу скоропалительные ответы.
Я знал на какой скриншот ты сошлёшься и, зная квалификацию Alex_Green, понимая что что то можно и прозевать, но особенно понимая твои "мотиваторы" и беспринципность просто решил узнать что то новое для себя и вычеркнуть сомнения.
Провести небольшой эксперимент дело не такое уж и сложное, а чтобы потом не было зловония "всё это фэйк" сделал возможность любому желающему проверить результаты эксперимента и понять кто прав (вполне нормальная практика для реально технических форумов)
http://rghost.ru/7RrGFSpWV -  
архив с тремя посекторками
be1.bin - на разделе файл пустышка (прописан 00-ми) для заполнения места  и 10 скриншотов из темы файлы на разделе расположены последовательно.
be2.bin - c раздела удалено два файла. Выбраны такие чтобы позже записанный файл был фрагментирован.
be3.bin - записан файл прописанный шаблоном BE
 
http://rghost.ru/92cxxWhYl
результирующие скриншоты, для каждого из образа, из которых видно что:
- после удаления файлов значение "их" первого сектора почему то меняется (*). И оно попадает в место размещения файла-пустышки.
- при выборе удалённого файла отображается содержимое сектора, которые, описан выше
- запись нового файла (а он записался в кластеры, которые занимали удалённые) не изменяет ситуации
Исходя из этого я убедился в том, о чём думал и про квалификацию участника и в том что той "джокер" тухловат.
 
(*) Надеюсь что понимающие в FAT прокомментируют такую специфику поведения и чем обусловлены эти значения.
 
Что касается хамства




Отредактируйте последнее. Иначе вынужден буду применить меры.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 03:04 04-11-2015 | Исправлено: Akam1, 04:13 04-11-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
Big_Endian
 
Более подробный ответ по сути вопроса будет дан позже. А что касается выяснения отношений, то модератор Akam1 здесь прав. Для этого действительно как нельзя лучше подходит приват, а ещё лучше наверное e-mail. Там так вообще можно обмениваться "любезностями" хоть до посинения, при этом не нарушая правил никакого форума.
А тему это уже право начинает захламлять. Имхо однако.

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 09:21 04-11-2015
Alex_Green

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ICQman2GO
Что то DiskDigger похоже восстановил не все AVI файлы. Это видно по скрину, который я прилагаю к этому сообщению. Файл начинающийся в секторе 4032, имеет размер порядка 189 Мб, верно?Можно скриншот его последнего сектора, а ещё лучше дамп его последних десяти секторов? Он проигрывается в любом плэйере до конца? Похоже нужный файл перезаписан другим содержимым как минимум на треть (это в лучшем случае)  Хочу понять, что же от него осталось. Можно ещё скриншот List Clusters файла PICT0023, только нужно скролингом прокрутить до конца этот list, тогда увидим сколько фрагментов имеет сей файл. Это больше для того , чтобы лишний раз кое что проверить, о чём написал Big Endian.
В принципе у меня тоже была мысль, приклеить к тем остаткам нужного файла (PICT0005) заголовок любого файла, снятого на этот же аппарат, а затем починить его. Но прежде нужно выяснить, что же от файла осталось.  
 
Добавлено:
ICQman2GO
   Скрин.

Всего записей: 283 | Зарегистр. 21-04-2013 | Отправлено: 13:32 04-11-2015
Big_Endian

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 13 | Зарегистр. 01-11-2015 | Отправлено: 16:22 04-11-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7

Компьютерный форум Ru.Board » Hardware » Магнитные носители информации » Восстановление информации с Flash - накопителей

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды



Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru