после CHKDSK не видно фалов(win10)

[stenn]

добрый день
у меня произошла следующая проблема с винчестером.
поробую описать:
раз или два в год делаю бэкап всякой музыки итд на отдельные винчестеры(которые лежат отдельно). вот и решил на этот раз(раньше делал в win7 но перешел на win10 так что в этот раз делал на десятке)

1й HDD(основной, на котором и случился сбой стоит непосредственно в корпусе( это Western Digital WD80PUZX). с присвоенным именем m-ziq3(blabla) .он в GPT,NTFS. винчестер не разделен на разделы,просто создал папку в которую копировал музыку.
2й HDD на который делал бекап воткнут в док станцию в корпусе.док напрямую подключёт к мат.плате сата кабелем.(это Western Digital WD30EURS) с присвоенным именем backup m-zq1(blabla)

бэкап делал в программе TOTAL COMMANDER Image 22.22
сравнивал два диска при помощи програмы,которая в сборке тотал коммандера- beyond compare 3.09.(в ней использовал функцию исключить для тех файлов,которые на на другом винчестере для бэкапа).
еще в это время была включена программа Soulseek(p2p клиент),в которой так же расшаренны файлы с первого диска(не знаю важно это или нет,но решил упамянуть). и возможно что-то слушал с 1го HDD в плеере foobar(но точно не помню)
делал бэкап вечером.на ночь комп выключал. утром когда влючил комп,началась проверка CHKDSK(какой именно диск проверялся,я не смотрел). потом обнаружил что на 1м винчестере (WD80PUZX) пропали файлы. а название с m-ziq3(blabla) поменялось на backup m-zq1(blabla). т.е. 1й диск почему то стал называться как 2й. после чего я вытащил из док станции диск 2(WD30EURS) и перезагрузил комп. но всё осталось по прежнему(винчестер без файлов с названием от 2го винчестера).

после чего проверил этот винч на ошибки(без исправления) програмой PartitionWizard MiniTool. а потом проверил программой testdisk-7.1,но ничего не исправлял и не востанавливал а просто посмотрел содежимое диска(комманда list вроде)

надеюсь CHKDSK не мог затереть около 4Tb ормации зп 3 минуты. скорее всего фалы на винчестере просто спрятаны. хотелось бы восстановить(т.к. информация довольно ценная)
дополнительно:
windows 10 enterprise(x64) с последними обнвлениями
Gigabyte z87x-ud5h-cf
intel core i5 4690k 3,5Ghz

надеюсь ничего не забыл.
извеняюсь за много букв и надеюсь на помощь.
скрины SMART и DMDE с проблемного винчестера прилагаю. GPT+MBR не отключал
готов следовать инструкциям

[9285]

Исходя из написанного, первое что напрашивается -т после включения винда сдампила (как минимум) заголовок MFT на другой диск.
Подробности напишу чуть позже, сейчас главное в такой ситуации - исключить запись на диск чтобы не произошли дальнейшие повреждения.
Ну а далее надо бы провести анализ того что сейчас на дисках.
То есть что сейчас в MFT, сколько переписано, что сделал чекдиск.

Добавлено через 31 минуту

Всё что будет написано ниже предполагает то, что ты хочешь разобраться в ситуации, если же нет желания этим заниматься, то можно "тупо" запустить рековерилку и восстановить что выжило.

СПОЙЛЕР »

Я не знаю как устроено в деталях, а по простому:
- начиная с 8-ки в винде по умолчанию включён режим быстрого запуска
- если он включён, при завершении работы завершается только сеанс пользователя а сама винда вводится в гибернацию
- после запуска винда восстанавливает бывшее до этого состояние "окружения"
Вот здесь вопрос в том, что она делает делает в части файловой системы томов дисков. Если предположить что "привязка" идёт с идентификатору диска, то как бы проблем не должно быть. Другое дело если "привязка" идёт к "номеру" диска, который виден в том же диспетчере дисков винды.
В таком случае, если по какой то причине этот номер изменился, то и может произойти что состояние MFT запишется на другой том (диск) и т.п.

Другой причины я не вижу, потому как метка тома хранится в 3-ей записи и поменяться сама по себе не может.
Ну и, если такое произошло то, конечно же, будут какие то несоответствия, которые и начнёт исправлять чекдиск. Причём кроме "фишки" быстрого запуска в новоделах и чекдиск тоже другой - он даже без запуска может исправлять некоторые типы "ошибок".

[stenn]

Цитата (9285) »

Исходя из написанного, первое что напрашивается -т после включения винда сдампила (как минимум) заголовок MFT на другой диск.
Подробности напишу чуть позже, сейчас главное в такой ситуации - исключить запись на диск чтобы не произошли дальнейшие повреждения.
Ну а далее надо бы провести анализ того что сейчас на дисках.
То есть что сейчас в MFT, сколько переписано, что сделал чекдиск.

Добавлено через 31 минуту

Всё что будет написано ниже предполагает то, что ты хочешь разобраться в ситуации, если же нет желания этим заниматься, то можно "тупо" запустить рековерилку и восстановить что выжило.

СПОЙЛЕР »

Я не знаю как устроено в деталях, а по простому:
- начиная с 8-ки в винде по умолчанию включён режим быстрого запуска
- если он включён, при завершении работы завершается только сеанс пользователя а сама винда вводится в гибернацию
- после запуска винда восстанавливает бывшее до этого состояние "окружения"
Вот здесь вопрос в том, что она делает делает в части файловой системы томов дисков. Если предположить что "привязка" идёт с идентификатору диска, то как бы проблем не должно быть. Другое дело если "привязка" идёт к "номеру" диска, который виден в том же диспетчере дисков винды.
В таком случае, если по какой то причине этот номер изменился, то и может произойти что состояние MFT запишется на другой том (диск) и т.п.

Другой причины я не вижу, потому как метка тома хранится в 3-ей записи и поменяться сама по себе не может.
Ну и, если такое произошло то, конечно же, будут какие то несоответствия, которые и начнёт исправлять чекдиск. Причём кроме "фишки" быстрого запуска в новоделах и чекдиск тоже другой - он даже без запуска может исправлять некоторые типы "ошибок".

спасибо.
да,конечно хочу разобраться что случилось. т.к. с таким еще не сталкивался. на вин7 бэкап делал не раз по той же схеме,но видимо с десяткой что-то пошло не так. ну и хотелось бы вернуться к состоянию до чекдиск(если это возможно), т.е. чтобы опять появились файлы.
к тому же планирую бэкап других винчестеров(не хотелось бы повтора).
а по поводу "запустить рековерилку" то р-студио вроде и так умею пользоваться))

а как посоветуете сделать "исключить запись на диск чтобы не произошли дальнейшие повреждения"?. читал что можно при помощи dmde сделать Mbr off,я планировал так сделать,но у меня GPT+MBR off и после нажатия применить, дмде предупреждает о стирании или перезаписи файлов(я испугался и отменил).
ну и так же чем лучше"Ну а далее надо бы провести анализ того что сейчас на дисках" сделать?

[Smirnoff]

Цитата (stenn) »

на вин7 бэкап делал не раз по той же схеме

В семёрке просто не было "быстрого запуска".

[9285]

stenn
Применительно к твоей ситуации, вполне возможно (*), что хватит и удаления буквы у тома.
Но MBR(GPT) off более надёжен. При выполнении его надо не забыть что надо применить изменения и сделать так, чтобы винда узнала об этом (одно из ниже перечисленного):
- обновить данные в штатной оснастке управления дисками (актуальных версий Win)
- можно перезагрузить систему
- в случае внешнего носителя, переподключить его
При этом надо понимать что после этого в диспетчере дисков диск будет выглядеть как неинициализированный и винда преlложит его проинициализировать - ни в коем разе нельзя этого делать (особенно инициализацию как GPT).
В последующем, когда нужно будет начать работу с диском, достаточно будет сделать обратную процедуру - MBR/GPT on.

(*) Не знаю как в случае иных ОСей, но если используется Windows нельзя что то гарантировать на 100%.
Чекдиск может работать с томами у которых нет буквы, и где гарантия что ему не примерещится какая то "ошибка"?
Как то подключил обнулённую флэшку к винде а потом на ней увидел какие то байты. На тот момент особо не разбирался, но судя по всему наследила ReadyBoost - видимо делала какой то тест на возможность использования. Поэтому надо перестраховываться и самой верной перестраховкой является посекторка диска.

Добавлено через 17 минут

Что касается "анализов".
1. Для начала открыть том в DMDE и посмотреть в нижнее правое окно.
В атрибуте STANDARD_INFORMATION будет видна дата и время.
Вот сравнить её на одном диске и другом. Если идентичны, то это уже признак того что записи другого тома записались на место родных.
2. Далее надо определить размер MFT. Его можно увидеть в верхнем правом окне в папке Metadata - смотреть $MFT.
3. Сделать полное сканирование (оставив чекбокс только на той ФС которая использовалась, можно оставить и RAW) участка тома, проанализировать результат на предмет того какие записи относятся к родному тому, попали ли они в "новую" MFT или нет.

[stenn]

Цитата (9285) »

stenn
Применительно к твоей ситуации, вполне возможно (*), что хватит и удаления буквы у тома.
Но MBR(GPT) off более надёжен. При выполнении его надо не забыть что надо применить изменения и сделать так, чтобы винда узнала об этом (одно из ниже перечисленного):
- обновить данные в штатной оснастке управления дисками (актуальных версий Win)
- можно перезагрузить систему
- в случае внешнего носителя, переподключить его
При этом надо понимать что после этого в диспетчере дисков диск будет выглядеть как неинициализированный и винда преlложит его проинициализировать - ни в коем разе нельзя этого делать (особенно инициализацию как GPT).
В последующем, когда нужно будет начать работу с диском, достаточно будет сделать обратную процедуру - MBR/GPT on.

(*) Не знаю как в случае иных ОСей, но если используется Windows нельзя что то гарантировать на 100%.
Чекдиск может работать с томами у которых нет буквы, и где гарантия что ему не примерещится какая то "ошибка"?
Как то подключил обнулённую флэшку к винде а потом на ней увидел какие то байты. На тот момент особо не разбирался, но судя по всему наследила ReadyBoost - видимо делала какой то тест на возможность использования. Поэтому надо перестраховываться и самой верной перестраховкой является посекторка диска.

Добавлено через 17 минут

Что касается "анализов".
1. Для начала открыть том в DMDE и посмотреть в нижнее правое окно.
В атрибуте STANDARD_INFORMATION будет видна дата и время.
Вот сравнить её на одном диске и другом. Если идентичны, то это уже признак того что записи другого тома записались на место родных.
2. Далее надо определить размер MFT. Его можно увидеть в верхнем правом окне в папке Metadata - смотреть $MFT.
3. Сделать полное сканирование (оставив чекбокс только на той ФС которая использовалась, можно оставить и RAW) участка тома, проанализировать результат на предмет того какие записи относятся к родному тому, попали ли они в "новую" MFT или нет.

спасибо.надеюсь что всё проще чем я думаю.
правильно я понял-первым делом в DMDE сделать MBR(GPT) off и перезагрузить комп(и не разрешать проинициализировать).?
и после этого идти смотреть в атрибуте STANDARD_INFORMATION дата и время?
мне надо обратно воткнуть в док 2й винчестер? и с ним проделать тоже(MBR(GPT) off и смотреть STANDARD_INFORMATION?
полное сканирование делать в DMDE обоих HDD?

и еще как избежать случайного Чекдиск(его можно где-то отключить?

[9285]

stenn
1. Предложение инициализации появляется когда заходишь в штатную оснастку управления дисками винды. Так что, если ты не будешь заходить туда, то предложения о таковом не должно быть.
2. Да, тебе надо будет подключить и второй диск - ведь как то же надо убедиться в том какие там значения в указанном атрибуте.
3. MBR off и полное сканирование делается только на проблемном диске.
4. В нормальных версиях винды запуск чедиска можно было отключить используя команду chkntfs с соответствующими ключами. Наверное и в новоделах такое возможно, но я не проверял.
Да и речь идёт не столько о случайном запуске, от которого ещё можно успеть отказаться (кроме случая запуска в безопасном режиме) а о том что чекдиск может работать без явной видимости. Можно ли это как то отключить - не знаю. Как вариант - попробовать на время удалить или переименовать исполняемый файл. Но нельзя исключать что он восстановится защитой системы.
PS. Просьба не делать такие огромные цитирования (или хотя бы прячь под спойлер).

[9285]

1. Про штатную правильно понял.
2. Как хочешь, но я бы для начала сравнил данные атрибута чтобы понять реальность версии замены записей. А потом уже и сканирование.
Кстати, по ходу сканирования делай промежуточные сохранения (в лог файл). Полезно на случай если вдруг будет какой то срыв, то можно будет продолжить с места последнего сохранения.
3. Можешь делать скрины, можешь делать дампы секторов - любая уточняющая информация лишней не бывает.
4. Запускаемый файл чекдиска chkdsk.exe - по логике, если его удалить, то он не сможет запуститься. Это просто мысль а не руководство к действию.
5. Кстати, если стоит 7-ка и тебе надо будет ею пользоваться то там тоже есть нюансы (возможные проблемы) связанные с тем же быстрым запуском. С ним же связаны и другие проблемы типа когда выключают комп, отключают внешний диск, идут с ним куда, записывают файлы, потом подключают опять к компу, запускают и ....записанных данных нет.
По хорошему (ну или ИМХО) его надо вообще отключить.

[stenn]

СПОЙЛЕР »

Цитата (9285) »

1. Про штатную правильно понял.
2. Как хочешь, но я бы для начала сравнил данные атрибута чтобы понять реальность версии замены записей. А потом уже и сканирование.
Кстати, по ходу сканирования делай промежуточные сохранения (в лог файл). Полезно на случай если вдруг будет какой то срыв, то можно будет продолжить с места последнего сохранения.
3. Можешь делать скрины, можешь делать дампы секторов - любая уточняющая информация лишней не бывает.
4. Запускаемый файл чекдиска chkdsk.exe - по логике, если его удалить, то он не сможет запуститься. Это просто мысль а не руководство к действию.
5. Кстати, если стоит 7-ка и тебе надо будет ею пользоваться то там тоже есть нюансы (возможные проблемы) связанные с тем же быстрым запуском. С ним же связаны и другие проблемы типа когда выключают комп, отключают внешний диск, идут с ним куда, записывают файлы, потом подключают опять к компу, запускают и ....записанных данных нет.
По хорошему (ну или ИМХО) его надо вообще отключить.

а данные атрибута делать до выключения MBR off?
и их делать на обоих дисках?
или лучше всё сделать на 1м а потом втыкать 2й винчестер,т.к. 2й сейчас отключён и просто лежит на полке(не хочется лишних глюков)
ок скрины и дампы постараюсь делать регулярно
про chkdsk понял.лучше не буду его трогать.
а про вин7 это я на всякий случай упамянул(вдруг она лучше подходит для моей задачи)

[9285]

Данные атрибута можно смотреть в любой момент.
Конечно же на двух - а как по другому можно сравнить?
Если же есть боязнь ещё какой то напасти, то тогда в первую очередь сделать MBRoff на проблемном диске, а потом всё остальное.
Кстати, судя по практике, указанный атрибут не меняется тем же чекдиском при каких либо исправлениях, в том числе и в случае если даже там какое то 00-вое значение. И это иногда помогает в понимании тех или иных моментов при расследовании ситуации. Например, понятно когда была сформирована MFT. В том числе поэтому, когда делаю патчи для MFT в "импланты" записей стараюсь вносить оригинальный временной штамп из выживших записей.

Цитата

а про вин7 это я на всякий случай упамянул(вдруг она лучше подходит для моей задачи)

Это хорошо, потому как к этому вопросу мы вернёмся чуть позже.
А в плане восстановления у 7-ки - точнее её чекдиска есть главный плюс - он не делает исправлений сам по себе.

Добавлено через 2 минуты

Smirnoff
А вот перезагружать систему как раз таки можно, потому как при ней происходит полноценное завершение работы системы (и последующий запуск).
Что касается опасности быстрого запуска, то я бы сказал что его вредное действие усиливается ранее упомянутым онлайновым чекдиском.

[stenn]

СПОЙЛЕР »

Цитата (9285) »

Данные атрибута можно смотреть в любой момент.
Конечно же на двух - а как по другому можно сравнить?
Если же есть боязнь ещё какой то напасти, то тогда в первую очередь сделать MBRoff на проблемном диске, а потом всё остальное.
Кстати, судя по практике, указанный атрибут не меняется тем же чекдиском при каких либо исправлениях, в том числе и в случае если даже там какое то 00-вое значение. И это иногда помогает в понимании тех или иных моментов при расследовании ситуации. Например, понятно когда была сформирована MFT. В том числе поэтому, когда делаю патчи для MFT в "импланты" записей стараюсь вносить оригинальный временной штамп из выживших записей.

Это хорошо, потому как к этому вопросу мы вернёмся чуть позже.
А в плане восстановления у 7-ки - точнее её чекдиска есть главный плюс - он не делает исправлений сам по себе.

Добавлено через 2 минуты

Smirnoff
А вот перезагружать систему как раз таки можно, потому как при ней происходит полноценное завершение работы системы (и последующий запуск).
Что касается опасности быстрого запуска, то я бы сказал что его вредное действие усиливается ранее упомянутым онлайновым чекдиском.

MBRoff сделал.дамп сохранил
подскажите как правильно сделать данные атрибута?

[9285]

stenn
Как написано выше - открываешь том, который на твоём скриншоте виден с индикаторами BCF и смотри в нижнее правое окно - на значение выделенное зелёной рамкой на моём скриншоте.
Можешь сделать скриншот и прикрепить к сообщению (в расширенном режиме редактирования - скрепка).

[Smirnoff]

Цитата (9285) »

По хорошему (ну или ИМХО) его надо вообще отключить.

Как минимум, "быстрый запуск" стОит отключить на время разборок (а то он и ещё чего может "подправить").
Но в целом... опасная такая фигня у M$ получилась. Если не отключать "быстрый запуск", то мне видится лишь один вариант хоть как-то подстраховаться: все/любые внешние накопители подключать только на запущенной системе. И отключать - тоже на запущенной системе (т.н. "безопасным выключением", Ага ). Причем между подключением и отключением категорически нельзя систему выключать (и лучше даже не перезагружать)...

[stenn]

Цитата (Smirnoff) »

Как минимум, "быстрый запуск" стОит отключить на время разборок (а то он и ещё чего может "подправить").
Но в целом... опасная такая фигня у M$ получилась. Если не отключать "быстрый запуск", то мне видится лишь один вариант хоть как-то подстраховаться: все/любые внешние накопители подключать только на запущенной системе. И отключать - тоже на запущенной системе (т.н. "безопасным выключением", Ага ). Причем между подключением и отключением категорически нельзя систему выключать (и лучше даже не перезагружать)...

если честго не совсем понял что нужно отключить.вы про chkdsk?
и как отключать "быстрый запуск"?(если это надо вообще) или вы про MBR off?
спасибо. значит 2й хард втыкать только на время проверки при запущенной вин10 и вытыкать перед выключением или перезагрузкой,я правильно понял?

[9285]

Цитата (Smirnoff) »

Как минимум, "быстрый запуск" стОит отключить на время разборок

Новая вводная.
На одном из форумов прочитал
Странная ситуация, может кто-то сталкивался? Суть вот в чем:
Windows 8.1 на SSD, C:\WINDOWS
Машина работает неделями без перезагрузки, suspend/hibernate, никаких проблем.
CHKDSK C: - никаких ошибок.
Гружусь с флэшки Strelec LiveCD чтобы забэкапить некоторые файлы (реестр из WINDOWS\system32\config).
После этого гружусь в систему как обычно, CHKDSK C: - полезли ошибки (file linkage, volume bitmap errors).
Пару раз доходило до BSOD, хорошо что свежая копия реестра осталась.
Т.е. Стрелец как-то криво монтирует NTFS C: раздел и портит там MFT ?
Сам я под Стрельцом _на_ C: ничего не записывал, только _с_ него.
Может надо сборку Стрельца поновее или наоборот, более старую, но с этой какая-то беда.

Чуйка подсказывает что проблема в быстром запуске.
Тема староватая, было бы интересно что лежит в основе Стрельца (7-ка или новее).
Так что, лучше сразу отключать, что собственно я и делаю на всех доступных компах и буках.

[9285]

PS. После MBRoff том на экране Разделы будет уже не синий а жёлтый.

[9285]

Про то как сдампить и сравнить напишу позже.
А пока можешь попробовать открыть том на проблемном диске. Затем в верхнем правом окне "зайди" во "Все найденные / виртуальная реконструкция" - на появившемся экране опций виртуальной реконструкции можешь пару раз нажать чекбокс "включая удалённые" (чтобы он был пустым - это уменьшит обьём выводимых файлов) и далее Ок. Виртуальная реконструкция ничего не изменяет а просто считывает данные MFT.
После реконструкции заходи в папку Root и смотри что там и сколько - там только данные другого диска или есть что то из твоего? Попутно обращай внимание на ID файлов (папок) - интересно какое будет максимальное значение для файлов которые относятся к другому диску.

Хинт. После виртуально реконструкции можно в меню Сервис выбрать "Поиск в найденном". По окончании поиска сделать сортировку по ID и посмотреть какое максимальное значение ID.

Добавлено через 1 час 9 минут

1. В DMDE открываешь том, заходишь в папку Metadata, выбираешь $MFT и в контекстном меню Восстановить.
Указываешь куда - если на том с NTFS то не в корневой каталог.
После восстановления можешь переименовать файл и снять с него атрибут скрытого и системного.
То же самое делаешь для другого тома.
2. В WinHex:
- открываешь оба этих файла
- для удобства для обоих файлов выбрать в меню Specialist - Interpret Image File As Disk
- затем выбрать расположение окон как горизонтальное
- в меню View - Synchronize & Compare

А далее смотришь где разница. Смотри номера секторов и учитывай что типичная запись занимает 2 сектора. То есть, чтобы определить номер записи достаточно поделить номер сектора на 2.

Конечно же, будет много мелких отличий - интересуют глобальные.

[stenn]

СПОЙЛЕР »

Цитата (9285) »

Про то как сдампить и сравнить напишу позже.
А пока можешь попробовать открыть том на проблемном диске. Затем в верхнем правом окне "зайди" во "Все найденные / виртуальная реконструкция" - на появившемся экране опций виртуальной реконструкции можешь пару раз нажать чекбокс "включая удалённые" (чтобы он был пустым - это уменьшит обьём выводимых файлов) и далее Ок. Виртуальная реконструкция ничего не изменяет а просто считывает данные MFT.
После реконструкции заходи в папку Root и смотри что там и сколько - там только данные другого диска или есть что то из твоего? Попутно обращай внимание на ID файлов (папок) - интересно какое будет максимальное значение для файлов которые относятся к другому диску.

Хинт. После виртуально реконструкции можно в меню Сервис выбрать "Поиск в найденном". По окончании поиска сделать сортировку по ID и посмотреть какое максимальное значение ID.

Добавлено через 1 час 9 минут

1. В DMDE открываешь том, заходишь в папку Metadata, выбираешь $MFT и в контекстном меню Восстановить.
Указываешь куда - если на том с NTFS то не в корневой каталог.
После восстановления можешь переименовать файл и снять с него атрибут скрытого и системного.
То же самое делаешь для другого тома.
2. В WinHex:
- открываешь оба этих файла
- для удобства для обоих файлов выбрать в меню Specialist - Interpret Image File As Disk
- затем выбрать расположение окон как горизонтальное
- в меню View - Synchronize & Compare

А далее смотришь где разница. Смотри номера секторов и учитывай что типичная запись занимает 2 сектора. То есть, чтобы определить номер записи достаточно поделить номер сектора на 2.

Конечно же, будет много мелких отличий - интересуют глобальные.

сделал Виртуальную реконструкцию - прикладываю пару скринов
Сделал MFT для обоих дисков,потом в WinHex все как вы сказали - прикладываю скрин.
уточните плиз про глобальные отличия- не очень понял куда именно смотреть
и может еще какие скрины сделать?

[9285]

По этим скриншотам сложно что то определить.
Единственное что можно увидеть - то, что есть запись 89334.
И тут вопрос в том к чему она относится - то есть есть ли такая на 3ТБ диске или она ещё от 8ТБ - при некоторых обстоятельств нельзя исключить что старые записи "соединились с новыми".

Не знаю как бы попроще обьяснить слишком хитро вывернутую вещь, но тут есть очень много вариантов развития событий, которые зависят от того где лежала "старая" MFT - если точнее то была ли фрагментированна и какие были фрагменты - то же самое относится и к новой. То есть, есть вариант как частичной, так и полной перезаписи MFT.
Я бы мог предложить тебе сбросить мне обе MFT (через приват), чтобы я нашёл границу перезаписи, но даже если бы ты на это согласился - я то не в курсе всей структуры папок чтобы понять где чьё.

Что касается глобальных отличий, то подразумеваются не отличия в байтах, которые ты показал а в том что полностью отличается запись - то есть можно понять что запись от прежней MFT.

В любом случае, запускай Полное сканирование и потом выложи архив с логом скана (в нём нет ничего конфиденциального) - попробую определить что выжило. Да и сам открой том и посмотри какие данные виды из старых.
Причём учти то, что они не будут лежать "на поверхности" - часть может быть в папках типа $Fxxxx, а часть может даже затесаться среди новых папок (случай редкий, но встречается).
И еще нужно будет взлянуть на скриншот или дамп, про который напишу позже.

[stenn]

СПОЙЛЕР »

Цитата (9285) »

По этим скриншотам сложно что то определить.
Единственное что можно увидеть - то, что есть запись 89334.
И тут вопрос в том к чему она относится - то есть есть ли такая на 3ТБ диске или она ещё от 8ТБ - при некоторых обстоятельств нельзя исключить что старые записи "соединились с новыми".

Не знаю как бы попроще обьяснить слишком хитро вывернутую вещь, но тут есть очень много вариантов развития событий, которые зависят от того где лежала "старая" MFT - если точнее то была ли фрагментированна и какие были фрагменты - то же самое относится и к новой. То есть, есть вариант как частичной, так и полной перезаписи MFT.
Я бы мог предложить тебе сбросить мне обе MFT (через приват), чтобы я нашёл границу перезаписи, но даже если бы ты на это согласился - я то не в курсе всей структуры папок чтобы понять где чьё.

Что касается глобальных отличий, то подразумеваются не отличия в байтах, которые ты показал а в том что полностью отличается запись - то есть можно понять что запись от прежней MFT.

В любом случае, запускай Полное сканирование и потом выложи архив с логом скана (в нём нет ничего конфиденциального) - попробую определить что выжило. Да и сам открой том и посмотри какие данные виды из старых.
Причём учти то, что они не будут лежать "на поверхности" - часть может быть в папках типа $Fxxxx, а часть может даже затесаться среди новых папок (случай редкий, но встречается).
И еще нужно будет взлянуть на скриншот или дамп, про который напишу позже.

ок.спасибо. я то вообще в MFT ничего не понимаю.
по поводу старых и новых файлов,так я регулярно скидываю на 2й диск(есть еще один для первого диска,т.к. первый 8тб.но из-за случившегося до него пока не добрался). так что на втором почти всё что есть на 1м(точнее половина).ну и на первом то что не успел скопировать на 2й.(надеюсь не запутанно объяснил))
Сбросить обе MFT (через приват)- это отправить сообщение по электронной почте?
Полное сканирование только 1го диска?
том открыть и посмотреть данные-после полного скана?