Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Hardware » Магнитные носители информации » Восстановление разделов и информации на HDD (часть 8)

Модерирует : Akam1, Dr_StandBy, vertex4

Akam1 (13-11-2016 05:23): http://forum.ru-board.com/topic.cgi?forum=84&topic=5216  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100

   

Akam1



Комса
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Восстановление разделов и информации на HDD
 
1 часть :: 2 часть :: 3 часть:: 4 часть :: 5 часть :: 6 часть :: 7 часть

Внимание! Если у Вас возникли проблемы с доступом к информации на дисках большого объема (более 120 Гб) - пропала таблица разделов, система говорит, что нужно отформатировать диск и т.п., то сначала прочитайте эту ветку про LBA48.
 
Для операций с разделами на жестких дисках по-возможности используйте штатные средства ОС. Прежде, чем править разделы с помощью Acronis Partition Expert, Norton Partition Magic и им подобных программ, пробегите быстро по всем страницам всех частей этой темы и Вы увидите, что половина проблем из-за них! Если не хотите сами наступить на эти грабли, запомните несколько простых правил:
 
- перед использованием программ типа Partition Magic всегда сохраняйте резервные копии важных данных
- не забывайте проверять диски на ошибки и дефрагментировать их (может помочь позже, при восстановлении данных)
- не пытайтесь изменять разделы на дисках с ошибками или на которых имеются сбойные блоки
- на время правки разделов постарайтесь обеспечить бесперебойную работу компьютера
- никогда не прерывайте процесс изменения разделов, если он уже начался
- не проводите операций по изменению разделов на дисках забитых до отказа, т.к. это значительно увеличивает продолжительность таких операций, а следовательно и риск возникновения сбоев
 
Прочтите и передайте другим, которые заходят сюда, когда уже слишком поздно...

 
То же самое касается программ ScanDisk и CHKDSK, автоматически проверяющих диски при загрузке системы. В случае серьезных сбоев они ничем помочь не смогут, но навредить могут изрядно. Поэтому всегда отключайте эти утилиты из автозапуска и выполняйте проверку дисков только вручную, периодически, когда уверены, что серьезных проблем на диске нет. Как их отключить написано здесь (на английском)

  • Общие рекомендации по самостоятельному восстановлению данных
     
  • Хороший совет по восстановлению, когда не уверен в своих знаниях
     
  • Список программ для восстановления информации
     
  • Статьи о восстановлении данных и жестких дисках
     
  • Восстановление данных из .chk файлов
    Обращаясь в тему за помощью, обязательно укажите информацию о диске: тип, емкость, способ подключения, информацию о разделах, SMART винта из MHDD / Victoria / HDDScan, наименование и мощность БП, возраст БП, результаты MemTest86, версию ОС и сервис-пака, а также обстоятельства краха - честное слово, толковым запросам и отвечать приятно. Здесь телепатов нет...
     

    Важно! Инструкция по чистке контактов на плате HDD

  • Всего записей: 26377 | Зарегистр. 20-04-2006 | Отправлено: 05:45 11-10-2015
    cash2000



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BOBAH4IK
    Статью почитал.
    Вы имеете в виду, что он не может расшифровать информацию что ли?
    Я же жесткий диск вернул обратно в родной карман.

    Всего записей: 56 | Зарегистр. 06-10-2003 | Отправлено: 00:34 23-12-2015 | Исправлено: cash2000, 00:34 23-12-2015
    BOBAH4IK

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    cash2000
    Есть 100% уверенность, что карман исправен?

    Всего записей: 855 | Зарегистр. 17-05-2006 | Отправлено: 06:53 23-12-2015
    cash2000



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BOBAH4IK
    Никаких манипуляций с ним до момента, как перестал диск определяться, не осуществлялось, не падал, перемещался разве что со стола на стол.
    От перепада напряжения мог бы выйти из строя? Хотя был подключен всегда через сетевой фильтр...
     
    Т.е., если он не исправен, вся информация на жестком зашифрована и достать ее возможно только при манипуляциях, о которых шла речь в 36-ти страничном докладе из статьи по вашей ссылке? )

    Всего записей: 56 | Зарегистр. 06-10-2003 | Отправлено: 15:01 23-12-2015 | Исправлено: cash2000, 15:02 23-12-2015
    BOBAH4IK

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    cash2000

    Цитата:
    Т.е., если он не исправен, вся информация на жестком зашифрована и достать ее возможно только при манипуляциях, о которых шла речь в 36-ти страничном докладе из статьи по вашей ссылке? )

    Если есть не преодолимое желание постичь кухню, то пожалуйста. Есть и другие варианты.
    1. Приобрести необходимое оборудование для работы с такими драйвами.
    2. Обратиться с специалистам, имеющим такое оборудование.

    Всего записей: 855 | Зарегистр. 17-05-2006 | Отправлено: 16:04 23-12-2015
    temp9285

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    cash2000
    Если бы я мог что то написать по твоему случаю, то сделал бы это.
    south_man с самого начала написал о причине ненахождения данных.
    Мне (на тот момент) нечего было добавить. Что касается текущего состояния, то я не знаю что и ответить - я физически не сталкивался с такими винтами. Единственное что могу - спросить "Ты точно не инициализировал диск когда он был подключен без бокса?".
     
    The_Immortal

    Цитата:
    Правда, в этих секторах ничего полезного лично я не увидел - там пустые MFT (кроме первого)...

    На самом деле там много интересного, хотя есть и непонятность.
    Я лишь поверхностно знаком с расширенным аттрибутом, и не очень понимаю его структуру. Тем более что имеющиеся в моём распоряжении дампы нескольких случаев показывают что она бывает нескольких видов.
    В записях, которые предоставил ты, записи MFT (причём мизерная часть) в которых перечислены кластера с расположением нужного тебе файла. Но, по неизвестной мне причине, они "не рабочие" - не знаю как тебе по другому обьяснить. То есть запись как бы обрезана несколькими строчками, хотя дальше чётко отслеживаются ранлисты. Возможно что число фрагментов стало каким то критическим (а их было не одна тысяча ) и система начала формировать новый список но не успела сделать.
    Даже если вычленить все ранлисты, то это требует немеряного времени; но самое главное что это может быть бессмысленным в случае если какой то из участков будет некорректным (или уже что то перезаписалось)
     
    Кстати, нередко можно прочитать что владельцам SSD не требуется дефрагментация. И я всегда говорю что она нужна хотя бы из соображений неполучения такого вот "фарша". Хотя, по правильному, надо просто иметь резервную копию важных данных.  
     

    Цитата:
    А в логе полного сканирования я не обнаружил ни !BDN, ни SM - это как-то странно, ибо pst файлы-то другие там должны быть...

     
    !BDN - это сигнатура начала файла, которую можно увидеть в секторах (*).
    Ну а что касается результата поиска, то видимо DMDE (пока?) не знает сигнатуры pst-фалов. Хотя наверняка другое ПО знакомо.
    (*) Кстати, там же можно узнать и размер файла - это не критично для фрагментированного файла, но может хотя бы понять заголовок какого файла найден. В принципе. размер файйла можно узнать и из индекса папки, которые находятся в секторе 99930912+7 последующих.

    Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 01:24 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285,
    Цитата:
    В принципе. размер файйла можно узнать и из индекса папки, которые находятся в секторе 99930912+7 последующих.
    А как это узнать? Я в 99930912 вижу внизу сектора только "O.u.t.l.o.o.k...p.s.t"
    Цитата:
    Ну а что касается результата поиска, то видимо DMDE (пока?) не знает сигнатуры pst-фалов
    Дык надо же тупо считать все файлы в 16-ричном представлении - неужели ему это так сложно сделать?
    Цитата:
    Хотя наверняка другое ПО знакомо.
    А как найти такое ПО? Что-то не могу сообразить с запросом... Нахожу только что-то типа такого.
    Цитата:
    хотя дальше чётко отслеживаются ранлисты.  
    А как Вы это видите?) Хочу посмотреть Вашими глазами... Может въеду и буду дальше расследовать...

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 01:42 24-12-2015 | Исправлено: The_Immortal, 02:06 24-12-2015
    bomzzz



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее...
    как правильно удалить эти следы непонятно от чего, потому что кроме дмде это никто не находит. винт разбивался один раз, ничего не переделывалось и откуда когда и как они появились не знаю

    Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 01:52 24-12-2015
    tomset



    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285
    The_Immortal
    Все нормально с записью о файле Outlook
    Run лист не резидентный.
    Лежит (или лежал) в кластере
    12491364
    https://yadi.sk/i/jog_JTwlmSdmc
     
     
    bomzzz
    Не парьтесь, так всегда на системном диске.
    Система хранит кучу копий файловой структуры в различных временных файлах и виртуальных страницах памяти.

    Всего записей: 6906 | Зарегистр. 02-12-2002 | Отправлено: 02:16 24-12-2015 | Исправлено: tomset, 02:22 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    tomset, а если перевести на русский-приземленый - это хорошо или плохо? Лично я ничего не понял

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 02:27 24-12-2015
    temp9285

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    The_Immortal

    Цитата:
    А как это узнать?

    Перевести хексзначения  в определённых байтах в привычные цифры.

    Цитата:
    А как найти такое ПО?

    Смотреть в описании программы какие типы файлов восстанавливаются сигнатурно. Если такого нет, то просто проверять в действии.
    Скорей всего с такими знакомы R-studio, Photorec (при работе с ним надо учитывать специфику его работы). На приведённой тобой странице виден скрипт (или скрипт для неё) Active@ File Recovery.
    Можно использовать программы, позволяющие добавлять свои сигнатуры.
    Только пойми одно - они актуальны для нефрагментированного файла, или хотя бы для случая, если из этого первого фрагмента можно что то извлечь (программами по восстановлению данных из таковых).
     
    Добавлено:
    tomset
    Запись 78725 содержит информацию о родительской папке.
    И я её запрашивал чтобы узнать где находятся индексы, по которым можно узнать размер файла.
    Это как бы, как я понимаю.
     
    Впрочем, более ранний дамп записи о самом файле, в 20-ке указывает на один кластер (его дамп здесь фигурировал), в котором расширенный атрибут имеет длинючий список записей MFT, в которых фигурируют не менее длинючие ранлисты.
     
    PS. Судя по вашим описаниям PC3000 ну просто чудеса творит.
    Вот сможет ли она восстановить "кусок мяса из такого вот фарша"?

    Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 02:33 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285, охрендеть! Я запустил этот Active File Recovery, впихнул тот скрипт и запустил поиск. Прошло 5 минут и он обнаружил один pst файл размером 1,04 GB! Называется Found_какие-то_цифры. Помечен удаленным.
    Сейчас дождусь окончания сканирования...

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 02:54 24-12-2015 | Исправлено: The_Immortal, 02:58 24-12-2015
    bomzzz



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    tomset
    не всегда. это можно стереть. хотелось бы разобраться как сделать это правильно.

    Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 02:58 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285, короче. Восстановил он файл Found_635645448_1115374592.pst весом 1.03 GB. Я попытался его подпихнуть в Outlook - тот ругнулся на ошибки. Я его запихнул в SCANPST - там на 3 этапе все тормознулось "из-за ошибок" (( Есть лог обработки файла, но не знаю, что это даст...
     
    Вообще есть подозрение, что это некогда резервная копия того самого pst, которую я зачем делал, а потом за ненадобностью удалил...

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 03:08 24-12-2015 | Исправлено: The_Immortal, 03:10 24-12-2015
    temp9285

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    The_Immortal
    Давай дождёмся результата, хотя подозреваю что речь идёт о случае, когда находится заголовок файла, из него считывается размер, и потом "находится" файл от первого сектора и на длину размера". В случае нефрагментированого файла это сработает, но у тебя другой случай (*).
    Впрочем, а вдруг как раз перед сбоем система собрала файл воединно, но не успела изменить запись в MFT?  Хотя это из разряда фантастики.
     
    (*) В ходе некоторых своих экспериментов и т.п., сталкивался с ситуацией когда файл имел расширенный атрибут и множество частей. Я дефрагментировал раздел. Файл реально собрался в один кусок, но при этом расширенный атрибут остался и в нём фигурировало что файл многофрагментный. Видимо в NTFS нет штатного возврата к обычному ранлисту. Так что, ещё один гипотетический шанс имеется, но даже он действителен лишь в случае если кластера дефрагментировались последовательно.
     
    Добавлено:

    Цитата:
    Восстановил он файл Found_635645448_1115374592

    Подозреваю что в секторе 635645448 находится заголовок файла, а второй число и есть размер в байтах.
    Ну а причину неоткрытия я написал чуть выше.
    Кстати, сбрось дамп этого начального сектора и кластер, о котором писал чуть выше -  99930912+7 последующих.

    Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 03:13 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285, помучил этот файл через другую программу - она делает превью писем. В общем, похоже там сидят письма из Outlook.bak (до 2013 года). Размер явно фейковый... Но интересно то, что там засветилось одно единственное письмо 6 писем от 2015 года! Как оно туда попало...
    Цитата:
    Подозреваю что в секторе 635645448 находится заголовок файла,
    Точно так: 635645448 - там в начале сидит тот самый !BDN...SM
    Цитата:
    а второй число и есть размер в байтах
    И это так.
    Цитата:
    дамп этого начального сектора и кластер, о котором писал чуть выше -  99930912+7 последующих
    Держите.

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 03:20 24-12-2015 | Исправлено: The_Immortal, 03:37 24-12-2015
    temp9285

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    The_Immortal
    Я думаю что размер не фэйковый а реальный. И начало файла реальное. Тем более что начальный фрагмент достаточно большой и видимо сформировался на ещё не очень занятом разделе. Далее пошла фрагментация файл - что вполне естественно для расширяющего по времени файла.
    Что же касается письма от 2015 года, то и этому есть обьяснение - программ по восстановлению баз ищут в месиве характерные записи и выводят что соотвествует им. Вот представь газеу, которую разорвали на кучу клочков, причём разного размера. Ведь не исключено что в каком то попадётся часть статьи, а каком то полностью кусок какого то небольшого обьявления. То есть как бы есть и неполные фрагменты, и даже полные, но всей газеты нет.

    Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 03:28 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285, в любом случае есть подозрение, что это не искомый файл:
    Цитата:
    есть подозрение, что это некогда резервная копия того самого pst, которую я зачем делал, а потом за ненадобностью удалил...

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 03:40 24-12-2015 | Исправлено: The_Immortal, 03:44 24-12-2015
    temp9285

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    The_Immortal
    Дамп кластера делался из оригинала тома?
    Просто номер сектора рассчитан от начала тома, а (подозреваю) что ты работаешь не с образом а с винтом, на который откатан образ. Тем более что номер сектора начала pst явно за пределами числа секторов в проблемном разделе.
    Кстати, исходя из описания структуры заголовка, там фигурирует размер базы около 7 мегабайт.

    Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 03:41 24-12-2015
    The_Immortal



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    temp9285, эм... Я вчера присылал дампы с раздела, на который накатан образ, т.е. условно оригинальный раздел. И сейчас я также сделал оттуда же и эти дампы...
    Если я таким образом запутываю, то могу передать - только подскажите как именно
    Цитата:
    размер базы около 7 мегабайт.  
    Эм... 7 МБ pst?
    Тьфу пардон! Дамп сектора и дамп кластера - у меня в единое слилось (время уже позднее, подзасыпаю). Я Вам там выше делал дампы секторов только.
    Погодите... Я в конец запутался. Физический сектор - это "LBA" (по DMDE). Кластер - это "Клас." (по DMDE). А ещё есть "лог. сек." (логический сектор). Так вот 12491364 - это кластер, который соответствует лог. секторам 99930912+7. В общем, вот он

    Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 03:46 24-12-2015 | Исправлено: The_Immortal, 05:21 24-12-2015
    temp9285

    BANNED
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    The_Immortal

    Цитата:
    Я вчера присылал дампы с раздела, на который накатан образ, т.е. условно оригинальный раздел.

    Насколько я понимаю, раздел не с начала диска и если ты открываешь раздел через таблицу разделов (это когда открываешь физический диск), то номер сектора применяется к физическому диску. Другое дело если ты его открываешь как логический диск.
    Что касается кластера-сектора, то сектора 99930912+7 это и есть один кластер.
     
    Что сасается размера 7 мб, то в заголовке базы, в указанном в статье месте, фигурирует  B1 D5 6F 00
    Для расчёта в обычном числе надо брать это значение в обратном порядке 00 6F D5 B1 и он равно 7329201 (байт).
     
    Добавлено:
    Вот, это нужный дамп. И судя по индексам (насколько я понимаю), вырисовывается размер 1350743937.
    Что как бы соответствует на твоим сведениям.

    Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 03:58 24-12-2015 | Исправлено: temp9285, 04:02 24-12-2015
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100

    Компьютерный форум Ru.Board » Hardware » Магнитные носители информации » Восстановление разделов и информации на HDD (часть 8)
    Akam1 (13-11-2016 05:23): http://forum.ru-board.com/topic.cgi?forum=84&topic=5216


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru