после CHKDSK не видно фалов(win10) - Страница 2

stenn · 22.02.2019, 00:56

Цитата (9285) »

Про то как сдампить и сравнить напишу позже.
А пока можешь попробовать открыть том на проблемном диске. Затем в верхнем правом окне "зайди" во "Все найденные / виртуальная реконструкция" - на появившемся экране опций виртуальной реконструкции можешь пару раз нажать чекбокс "включая удалённые" (чтобы он был пустым - это уменьшит обьём выводимых файлов) и далее Ок. Виртуальная реконструкция ничего не изменяет а просто считывает данные MFT.
После реконструкции заходи в папку Root и смотри что там и сколько - там только данные другого диска или есть что то из твоего? Попутно обращай внимание на ID файлов (папок) - интересно какое будет максимальное значение для файлов которые относятся к другому диску.

Хинт. После виртуально реконструкции можно в меню Сервис выбрать "Поиск в найденном". По окончании поиска сделать сортировку по ID и посмотреть какое максимальное значение ID.

Добавлено через 1 час 9 минут

1. В DMDE открываешь том, заходишь в папку Metadata, выбираешь $MFT и в контекстном меню Восстановить.
Указываешь куда - если на том с NTFS то не в корневой каталог.
После восстановления можешь переименовать файл и снять с него атрибут скрытого и системного.
То же самое делаешь для другого тома.
2. В WinHex:
- открываешь оба этих файла
- для удобства для обоих файлов выбрать в меню Specialist - Interpret Image File As Disk
- затем выбрать расположение окон как горизонтальное
- в меню View - Synchronize & Compare

А далее смотришь где разница. Смотри номера секторов и учитывай что типичная запись занимает 2 сектора. То есть, чтобы определить номер записи достаточно поделить номер сектора на 2.

Конечно же, будет много мелких отличий - интересуют глобальные.

сделал Виртуальную реконструкцию - прикладываю пару скринов
Сделал MFT для обоих дисков,потом в WinHex все как вы сказали - прикладываю скрин.
уточните плиз про глобальные отличия- не очень понял куда именно смотреть
и может еще какие скрины сделать?

9285 · 22.02.2019, 01:16

По этим скриншотам сложно что то определить.
Единственное что можно увидеть - то, что есть запись 89334.
И тут вопрос в том к чему она относится - то есть есть ли такая на 3ТБ диске или она ещё от 8ТБ - при некоторых обстоятельств нельзя исключить что старые записи "соединились с новыми".

Не знаю как бы попроще обьяснить слишком хитро вывернутую вещь, но тут есть очень много вариантов развития событий, которые зависят от того где лежала "старая" MFT - если точнее то была ли фрагментированна и какие были фрагменты - то же самое относится и к новой. То есть, есть вариант как частичной, так и полной перезаписи MFT.
Я бы мог предложить тебе сбросить мне обе MFT (через приват), чтобы я нашёл границу перезаписи, но даже если бы ты на это согласился - я то не в курсе всей структуры папок чтобы понять где чьё.

Что касается глобальных отличий, то подразумеваются не отличия в байтах, которые ты показал а в том что полностью отличается запись - то есть можно понять что запись от прежней MFT.

В любом случае, запускай Полное сканирование и потом выложи архив с логом скана (в нём нет ничего конфиденциального) - попробую определить что выжило. Да и сам открой том и посмотри какие данные виды из старых.
Причём учти то, что они не будут лежать "на поверхности" - часть может быть в папках типа $Fxxxx, а часть может даже затесаться среди новых папок (случай редкий, но встречается).
И еще нужно будет взлянуть на скриншот или дамп, про который напишу позже.

9285 · 22.02.2019, 01:37

Не знаю, получится ли описать как делать дамп, поэтому пока обойдёмся скриншотом.
Открываешь проблемный том, переходишь в правое нижнее окно и меняешь Режим отображения на Запись MFT - можно просто нажать Alt+F5. Запись будет выглядеть чуть по другому чем была до этого. Выделяешь атрибут $Data и нажимаешь пробел - должен появиться список типа как на скриншоте. Если он длинный (после него будет следующий атрибут $Bitmap), растяни окно чтобы по возможности влезло всё и заскриншоть.

stenn · 22.02.2019, 01:41

СПОЙЛЕР »

Цитата (9285) »

По этим скриншотам сложно что то определить.
Единственное что можно увидеть - то, что есть запись 89334.
И тут вопрос в том к чему она относится - то есть есть ли такая на 3ТБ диске или она ещё от 8ТБ - при некоторых обстоятельств нельзя исключить что старые записи "соединились с новыми".

Не знаю как бы попроще обьяснить слишком хитро вывернутую вещь, но тут есть очень много вариантов развития событий, которые зависят от того где лежала "старая" MFT - если точнее то была ли фрагментированна и какие были фрагменты - то же самое относится и к новой. То есть, есть вариант как частичной, так и полной перезаписи MFT.
Я бы мог предложить тебе сбросить мне обе MFT (через приват), чтобы я нашёл границу перезаписи, но даже если бы ты на это согласился - я то не в курсе всей структуры папок чтобы понять где чьё.

Что касается глобальных отличий, то подразумеваются не отличия в байтах, которые ты показал а в том что полностью отличается запись - то есть можно понять что запись от прежней MFT.

В любом случае, запускай Полное сканирование и потом выложи архив с логом скана (в нём нет ничего конфиденциального) - попробую определить что выжило. Да и сам открой том и посмотри какие данные виды из старых.
Причём учти то, что они не будут лежать "на поверхности" - часть может быть в папках типа $Fxxxx, а часть может даже затесаться среди новых папок (случай редкий, но встречается).
И еще нужно будет взлянуть на скриншот или дамп, про который напишу позже.

ок.спасибо. я то вообще в MFT ничего не понимаю.
по поводу старых и новых файлов,так я регулярно скидываю на 2й диск(есть еще один для первого диска,т.к. первый 8тб.но из-за случившегося до него пока не добрался). так что на втором почти всё что есть на 1м(точнее половина).ну и на первом то что не успел скопировать на 2й.(надеюсь не запутанно объяснил))
Сбросить обе MFT (через приват)- это отправить сообщение по электронной почте?
Полное сканирование только 1го диска?
том открыть и посмотреть данные-после полного скана?

stenn · 22.02.2019, 01:47

Цитата (9285) »

Не знаю, получится ли описать как делать дамп, поэтому пока обойдёмся скриншотом.
Открываешь проблемный том, переходишь в правое нижнее окно и меняешь Режим отображения на Запись MFT - можно просто нажать Alt+F5. Запись будет выглядеть чуть по другому чем была до этого. Выделяешь атрибут $Data и нажимаешь пробел - должен появиться список типа как на скриншоте. Если он длинный (после него будет следующий атрибут $Bitmap), растяни окно чтобы по возможности влезло всё и заскриншоть.

сделалюнадесь правильно

9285 · 22.02.2019, 01:58

Всё нормально. Видно что MFT одним фрагментом - теперь осталось дождаться результата полного сканирования. Так что запускай полное сканирование - конечно же только проблемного диска. Так как диск большой, скан может длиться долго - так что делай промежуточные сохранения лога.

СПОЙЛЕР »

MFT содержит имена файлов, которые могут содержать какой то конфидишен. Но главное - в MFT есть такое понятие как резидентный файл. Это очень небольшие файлы - нередко в таких хранят пароли и т.п.
Поэтому выкладывать такое в публичный доступ не стоит. Как и отсылать мне, если есть хоть какой то элемент сомнения в моей честности

.
Если же доверие есть или нет ничего критичного - обычно дамп-файл запковывается в архив WinRAR с нормальным паролем, выкладывается на какой то обменник с возможностью приватной выкладки и паролированием скачки,а также наличием возможности удаления скачки при вводе пароля (к числу таких относится rgho.st) - потом мне в ЛС отсылается ссылка и пароли, я скачиваю и после удаляю файлы с обменника и работаю с ними. Как то так.

PS. Можешь где то через полчаса после начала сканирования сделать сохранение лога, запаковать и прикрепить (если получится) к сообщению или выложи на обменник) а здесь дай ссылку. Может можно будет сделать какие то предварительные выводы.

stenn · 22.02.2019, 02:04

Цитата (9285) »

Всё нормально. Видно что MFT одним фрагментом - теперь осталось дождаться результата полного сканирования. Так что запускай полное сканирование - конечно же только проблемного диска. Так как диск большой, скан может длиться долго - так что делай промежуточные сохранения лога.

СПОЙЛЕР »

MFT содержит имена файлов, которые могут содержать какой то конфидишен. Но главное - в MFT есть такое понятие как резидентный файл. Это очень небольшие файлы - нередко в таких хранят пароли и т.п.
Поэтому выкладывать такое в публичный доступ не стоит. Как и отсылать мне, если есть хоть какой то элемент сомнения в моей честности

.
Если же доверие есть или нет ничего критичного - обычно дамп-файл запковывается в архив WinRAR с нормальным паролем, выкладывается на какой то обменник с возможностью приватной выкладки и паролированием скачки,а также наличием возможности удаления скачки при вводе пароля (к числу таких относится rgho.st) - потом мне в ЛС отсылается ссылка и пароли, я скачиваю и после удаляю файлы с обменника и работаю с ними. Как то так.

PS. Можешь где то через полчаса после начала сканирования сделать сохранение лога, запаковать и прикрепить (если получится) к сообщению или выложи на обменник) а здесь дай ссылку. Может можно будет сделать какие то предварительные выводы.

одним фрагментом-это ведь хорошо?
ок.завтра начну полный скан
а как делать промежуточное сохранения лога?
и вы писали,Сбросить обе MFT (через приват)- это отправить сообщение по электронной почте?

9285 · 22.02.2019, 02:18

Как сбросить дампы MFT описано под спойлером.
Файлы то большие и даже в запакованном виде будут немаленькие.
Как сохранять - нажимать кнопку Сохранить в окне поиска.
Хотя и читать справку программы тоже полезно (она там неплохая).

Что касается хорошо что один фрагмент или нет - тут зависит от того что было раньше и от того сколько дампится (я ещё не интересовался этим моментом).
Поэтому тут есть несколько вариантов.
1. Старая MFT была одним фрагментом или первый фрагмент был соизмерим с тем что сейчас в ранлисте.
1.1. Если сдампилось небольшое количество новых записей, то расположенные далее старые выжили и (возможно) подхватились новой записью - вопрос того что натворил в таком случае чекдиск остаётся в воздухе.
1.2. Если сдампилась вся MFT, то соответственно более 120 тысяч старых записей канули в нирвану.
2. Старая запись была более одного фрагмента.
2.1. Для первого фрагмента актуальны варианты 1.1. и 1.2.
Остальные фрагменты могли и выжить а могли и перезаписаться чем то ещё из сдампившегося и даже тем же логом чекдиска.

stenn · 22.02.2019, 02:34

СПОЙЛЕР »

Цитата (9285) »

Как сбросить дампы MFT описано под спойлером.
Файлы то большие и даже в запакованном виде будут немаленькие.
Как сохранять - нажимать кнопку Сохранить в окне поиска.
Хотя и читать справку программы тоже полезно (она там неплохая).

Что касается хорошо что один фрагмент или нет - тут зависит от того что было раньше и от того сколько дампится (я ещё не интересовался этим моментом).
Поэтому тут есть несколько вариантов.
1. Старая MFT была одним фрагментом или первый фрагмент был соизмерим с тем что сейчас в ранлисте.
1.1. Если сдампилось небольшое количество новых записей, то расположенные далее старые выжили и (возможно) подхватились новой записью - вопрос того что натворил в таком случае чекдиск остаётся в воздухе.
1.2. Если сдампилась вся MFT, то соответственно более 120 тысяч старых записей канули в нирвану.
2. Старая запись была более одного фрагмента.
2.1. Для первого фрагмента актуальны варианты 1.1. и 1.2.
Остальные фрагменты могли и выжить а могли и перезаписаться чем то ещё из сдампившегося и даже тем же логом чекдиска.

извиняюсь,не заметил спойлер
ок.спасибо. пришлю вам MFT

9285 · 22.02.2019, 02:44

Ещё пару моментов.
1. Хотелось бы определиться с содержимым папки Found.000
Там "файлы" с 3ТБ диск или как? "Файлы" заключил в кавычки потому как вряд ли там сами файлы - скорей их имена, но содержимое какое то другое.
И сколько их там?
Это можно определить следующим путём.
Открыть том в DMDE, выделить папку, в контекстном меню выбрать "Восстановить файлы" и в открывшемся окне нажать пимпу Обьём.
Если там только "файлы" с 3ТБ диска, то это позволит хотя бы примерно понять сколько записей перезаписалось.

2. У меня нет под рукой 10-ок, поэтому сам погугли "отключить быстрый запуск в Windows 10". Насколько помню, где то в параметрах энергосбережения.
Это если не хочешь повторения подобного и конфликтных ситуаций в случае если 7 как использует свой загрузчик.
PS. На сегодня хватит.

9285 · 22.02.2019, 13:03

Провёл небольшой эксперимент с 10-кой в виртуалке.
Выключил систему а потом поменял местами два диска с данными.
После запуска не произошло таких серьёзных накладок как у тебя (наверняка это завист иот конкретной ситуации), но всё равно случилась "накладка" - на один из винтов записался идентификатор другого, что привело к конфлкту подписей и один из дисков был переведён ф оффлайн.
вот такая вот "быстрота" в исполнении мелкомягких.

stenn · 22.02.2019, 16:13

СПОЙЛЕР »

Цитата (9285) »

Ещё пару моментов.
1. Хотелось бы определиться с содержимым папки Found.000
Там "файлы" с 3ТБ диск или как? "Файлы" заключил в кавычки потому как вряд ли там сами файлы - скорей их имена, но содержимое какое то другое.
И сколько их там?
Это можно определить следующим путём.
Открыть том в DMDE, выделить папку, в контекстном меню выбрать "Восстановить файлы" и в открывшемся окне нажать пимпу Обьём.
Если там только "файлы" с 3ТБ диска, то это позволит хотя бы примерно понять сколько записей перезаписалось.

2. У меня нет под рукой 10-ок, поэтому сам погугли "отключить быстрый запуск в Windows 10". Насколько помню, где то в параметрах энергосбережения.
Это если не хочешь повторения подобного и конфликтных ситуаций в случае если 7 как использует свой загрузчик.
PS. На сегодня хватит.

в папке Found.000 есть и музыка и картинки итд но они в помещены в папки тиа dir.0000002.chk. но это я мог видеть и раньше через тотал коммандер(до выключения МБР)
о папке Found.000 написать в моей теме?

stenn · 22.02.2019, 16:16

Цитата (9285) »

Провёл небольшой эксперимент с 10-кой в виртуалке.
Выключил систему а потом поменял местами два диска с данными.
После запуска не произошло таких серьёзных накладок как у тебя (наверняка это завист иот конкретной ситуации), но всё равно случилась "накладка" - на один из винтов записался идентификатор другого, что привело к конфлкту подписей и один из дисков был переведён ф оффлайн.
вот такая вот "быстрота" в исполнении мелкомягких.

ага.спасибо
ну может не только вин10 виновата,а еще тотал коммандер,bcompare,soulseek или еще что.

9285 · 22.02.2019, 16:43

Цитата

в папке Found.000 есть и музыка и картинки итд но они в помещены в папки тиа dir.0000002.chk. но это я мог видеть и раньше через тотал коммандер(до выключения МБР)

MBR выключалось не для того чтобы ты увидел что то новое а чтобы не дать затереться тому, что ещё может живое.
Ну а то, что ты видишь - это результат работы чекдиска. Обьяснить все превращения и нюансы слишком сложно, но постараюсь хотя бы вкратце все таки написать (только потом). Сейчас же просто прийми это как есть.
Тут главное было в том с 8-ми ТБ диска там файлы и папки или с 3Тб.
Ну и ещё нужно ждать результат полного сканирования.
Судя по дампу MFT 8ТБ диска там должны быть ещё записи от прежней MFT - вот если таковые есть, то появятся сейчас отсутствующие файлы.

Добавлено через 1 минуту

Цитата

ну может не только вин10 виновата,а еще тотал коммандер,bcompare,soulseek или еще что.

Ну уж точно что не тотал. А в остальном - напоминает анекдот про печеньку.

stenn · 22.02.2019, 22:18

СПОЙЛЕР »

Цитата (9285) »

MBR выключалось не для того чтобы ты увидел что то новое а чтобы не дать затереться тому, что ещё может живое.
Ну а то, что ты видишь - это результат работы чекдиска. Обьяснить все превращения и нюансы слишком сложно, но постараюсь хотя бы вкратце все таки написать (только потом). Сейчас же просто прийми это как есть.
Тут главное было в том с 8-ми ТБ диска там файлы и папки или с 3Тб.
Ну и ещё нужно ждать результат полного сканирования.
Судя по дампу MFT 8ТБ диска там должны быть ещё записи от прежней MFT - вот если таковые есть, то появятся сейчас отсутствующие файлы.

Добавлено через 1 минуту

Ну уж точно что не тотал. А в остальном - напоминает анекдот про печеньку.

да,про MBR я так и понял. просто сказал,что то же видел и раньше(решил,что информация может быть полезной).
про чекдиск почитал.понял что он прячет файлы в папку Found.000
Объяснить нюансы думаю не стоит.да и не факт что всё пойму))
ок.значит ждём результатов полного сканирования.
про тотал итд это мои предположения))

9285 · 22.02.2019, 22:36

Сбрось пока промежуточный лог.
Я понимаю что ты видел, но видел лишь часть - тем более что в другом месте ты писал что видел файлы другого диска, поэтому то и решил уточнить.

PS. К вопросу о "виновнике" - ещё раз попробовал поменять диски после выключения. В результате, опять конфликт подписей, но после устранения выяснилось что на втором диске в корне видна структура папок другого.
Причина в кривых индексах корневого каталога и легко исправилась.
В экспериментальной системе не было ничего из перечисленного тобой.

stenn · 22.02.2019, 23:08

СПОЙЛЕР »

Цитата (9285) »

Сбрось пока промежуточный лог.
Я понимаю что ты видел, но видел лишь часть - тем более что в другом месте ты писал что видел файлы другого диска, поэтому то и решил уточнить.

PS. К вопросу о "виновнике" - ещё раз попробовал поменять диски после выключения. В результате, опять конфликт подписей, но после устранения выяснилось что на втором диске в корне видна структура папок другого.
Причина в кривых индексах корневого каталога и легко исправилась.
В экспериментальной системе не было ничего из перечисленного тобой.

понял.спасибо
послал промежуточный лог в привате

9285 · 23.02.2019, 00:35

В логах сканирования нет ничего приватного, поэтому можно не прятать ссылки в привате.
На данном этапе найден один большой фрагмент из 187 тысяч записей.
Учитывая что в "наложенной" записи число записей примерно 110 тысяч, а расположение MFT в типичном месте, то наверняка 77 тысяч это от прежней MFT. Да и эти 110 тоже похоже от неё же, но за счёт "кастрациии" и исправлений чекдиска она просто перетасовалась.
Кстати, можно попробовать поискать лог чекдиска и посмотреть что он там "начинил".

stenn · 23.02.2019, 01:13

Цитата (9285) »

В логах сканирования нет ничего приватного, поэтому можно не прятать ссылки в привате.
На данном этапе найден один большой фрагмент из 187 тысяч записей.
Учитывая что в "наложенной" записи число записей примерно 110 тысяч, а расположение MFT в типичном месте, то наверняка 77 тысяч это от прежней MFT. Да и эти 110 тоже похоже от неё же, но за счёт "кастрациии" и исправлений чекдиска она просто перетасовалась.
Кстати, можно попробовать поискать лог чекдиска и посмотреть что он там "начинил".

ок.спасибо. думал логи лучше в приват.
так а все эти файлы можно будет восстановить как раньше(со структурой файлов и папок)?
лог чекдиска могу поискать.вы скажите где.сам я не знаю

9285 · 23.02.2019, 01:20

Приват существует для чего то конфиденциального.
И тема предполагает что и другие участники могут что то подсказать (помочь) - а как же они это сделают если не знают что у тебя?

Всё таки прийдётся тебе понять как устроена иерархия папок.

Потому что только тогда будет понятно что ожидать и что сейчас в фаунд.000
Лог чекдиска можно искать в журналах винды, а ещё может быть внутри скрытой папки System Volume Information.

22.02.2019, 00:56	Вверх #21
stenn Интересующийся Автор темы Регистрация: 20.02.2019	СПОЙЛЕР » Цитата (9285) » Про то как сдампить и сравнить напишу позже. А пока можешь попробовать открыть том на проблемном диске. Затем в верхнем правом окне "зайди" во "Все найденные / виртуальная реконструкция" - на появившемся экране опций виртуальной реконструкции можешь пару раз нажать чекбокс "включая удалённые" (чтобы он был пустым - это уменьшит обьём выводимых файлов) и далее Ок. Виртуальная реконструкция ничего не изменяет а просто считывает данные MFT. После реконструкции заходи в папку Root и смотри что там и сколько - там только данные другого диска или есть что то из твоего? Попутно обращай внимание на ID файлов (папок) - интересно какое будет максимальное значение для файлов которые относятся к другому диску. Хинт. После виртуально реконструкции можно в меню Сервис выбрать "Поиск в найденном". По окончании поиска сделать сортировку по ID и посмотреть какое максимальное значение ID. Добавлено через 1 час 9 минут 1. В DMDE открываешь том, заходишь в папку Metadata, выбираешь $MFT и в контекстном меню Восстановить. Указываешь куда - если на том с NTFS то не в корневой каталог. После восстановления можешь переименовать файл и снять с него атрибут скрытого и системного. То же самое делаешь для другого тома. 2. В WinHex: - открываешь оба этих файла - для удобства для обоих файлов выбрать в меню Specialist - Interpret Image File As Disk - затем выбрать расположение окон как горизонтальное - в меню View - Synchronize & Compare А далее смотришь где разница. Смотри номера секторов и учитывай что типичная запись занимает 2 сектора. То есть, чтобы определить номер записи достаточно поделить номер сектора на 2. Конечно же, будет много мелких отличий - интересуют глобальные. сделал Виртуальную реконструкцию - прикладываю пару скринов Сделал MFT для обоих дисков,потом в WinHex все как вы сказали - прикладываю скрин. уточните плиз про глобальные отличия- не очень понял куда именно смотреть и может еще какие скрины сделать? Миниатюры

22.02.2019, 01:37	Вверх #23
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Не знаю, получится ли описать как делать дамп, поэтому пока обойдёмся скриншотом. Открываешь проблемный том, переходишь в правое нижнее окно и меняешь Режим отображения на Запись MFT - можно просто нажать Alt+F5. Запись будет выглядеть чуть по другому чем была до этого. Выделяешь атрибут $Data и нажимаешь пробел - должен появиться список типа как на скриншоте. Если он длинный (после него будет следующий атрибут $Bitmap), растяни окно чтобы по возможности влезло всё и заскриншоть. Миниатюры

22.02.2019, 01:47	Вверх #25
stenn Интересующийся Автор темы Регистрация: 20.02.2019	Цитата (9285) » Не знаю, получится ли описать как делать дамп, поэтому пока обойдёмся скриншотом. Открываешь проблемный том, переходишь в правое нижнее окно и меняешь Режим отображения на Запись MFT - можно просто нажать Alt+F5. Запись будет выглядеть чуть по другому чем была до этого. Выделяешь атрибут $Data и нажимаешь пробел - должен появиться список типа как на скриншоте. Если он длинный (после него будет следующий атрибут $Bitmap), растяни окно чтобы по возможности влезло всё и заскриншоть. сделалюнадесь правильно Миниатюры

22.02.2019, 01:58	Вверх #26
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Всё нормально. Видно что MFT одним фрагментом - теперь осталось дождаться результата полного сканирования. Так что запускай полное сканирование - конечно же только проблемного диска. Так как диск большой, скан может длиться долго - так что делай промежуточные сохранения лога. СПОЙЛЕР » MFT содержит имена файлов, которые могут содержать какой то конфидишен. Но главное - в MFT есть такое понятие как резидентный файл. Это очень небольшие файлы - нередко в таких хранят пароли и т.п. Поэтому выкладывать такое в публичный доступ не стоит. Как и отсылать мне, если есть хоть какой то элемент сомнения в моей честности . Если же доверие есть или нет ничего критичного - обычно дамп-файл запковывается в архив WinRAR с нормальным паролем, выкладывается на какой то обменник с возможностью приватной выкладки и паролированием скачки,а также наличием возможности удаления скачки при вводе пароля (к числу таких относится rgho.st) - потом мне в ЛС отсылается ссылка и пароли, я скачиваю и после удаляю файлы с обменника и работаю с ними. Как то так. PS. Можешь где то через полчаса после начала сканирования сделать сохранение лога, запаковать и прикрепить (если получится) к сообщению или выложи на обменник) а здесь дай ссылку. Может можно будет сделать какие то предварительные выводы. Последний раз редактировалось 9285; 22.02.2019 в 02:00.

22.02.2019, 16:13	Вверх #32
stenn Интересующийся Автор темы Регистрация: 20.02.2019	СПОЙЛЕР » Цитата (9285) » Ещё пару моментов. 1. Хотелось бы определиться с содержимым папки Found.000 Там "файлы" с 3ТБ диск или как? "Файлы" заключил в кавычки потому как вряд ли там сами файлы - скорей их имена, но содержимое какое то другое. И сколько их там? Это можно определить следующим путём. Открыть том в DMDE, выделить папку, в контекстном меню выбрать "Восстановить файлы" и в открывшемся окне нажать пимпу Обьём. Если там только "файлы" с 3ТБ диска, то это позволит хотя бы примерно понять сколько записей перезаписалось. 2. У меня нет под рукой 10-ок, поэтому сам погугли "отключить быстрый запуск в Windows 10". Насколько помню, где то в параметрах энергосбережения. Это если не хочешь повторения подобного и конфликтных ситуаций в случае если 7 как использует свой загрузчик. PS. На сегодня хватит. в папке Found.000 есть и музыка и картинки итд но они в помещены в папки тиа dir.0000002.chk. но это я мог видеть и раньше через тотал коммандер(до выключения МБР) о папке Found.000 написать в моей теме? Миниатюры

22.02.2019, 01:16	Вверх #22
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	По этим скриншотам сложно что то определить. Единственное что можно увидеть - то, что есть запись 89334. И тут вопрос в том к чему она относится - то есть есть ли такая на 3ТБ диске или она ещё от 8ТБ - при некоторых обстоятельств нельзя исключить что старые записи "соединились с новыми". Не знаю как бы попроще обьяснить слишком хитро вывернутую вещь, но тут есть очень много вариантов развития событий, которые зависят от того где лежала "старая" MFT - если точнее то была ли фрагментированна и какие были фрагменты - то же самое относится и к новой. То есть, есть вариант как частичной, так и полной перезаписи MFT. Я бы мог предложить тебе сбросить мне обе MFT (через приват), чтобы я нашёл границу перезаписи, но даже если бы ты на это согласился - я то не в курсе всей структуры папок чтобы понять где чьё. Что касается глобальных отличий, то подразумеваются не отличия в байтах, которые ты показал а в том что полностью отличается запись - то есть можно понять что запись от прежней MFT. В любом случае, запускай Полное сканирование и потом выложи архив с логом скана (в нём нет ничего конфиденциального) - попробую определить что выжило. Да и сам открой том и посмотри какие данные виды из старых. Причём учти то, что они не будут лежать "на поверхности" - часть может быть в папках типа $Fxxxx, а часть может даже затесаться среди новых папок (случай редкий, но встречается). И еще нужно будет взлянуть на скриншот или дамп, про который напишу позже.

22.02.2019, 01:41	Вверх #24
stenn Интересующийся Автор темы Регистрация: 20.02.2019	СПОЙЛЕР » Цитата (9285) » По этим скриншотам сложно что то определить. Единственное что можно увидеть - то, что есть запись 89334. И тут вопрос в том к чему она относится - то есть есть ли такая на 3ТБ диске или она ещё от 8ТБ - при некоторых обстоятельств нельзя исключить что старые записи "соединились с новыми". Не знаю как бы попроще обьяснить слишком хитро вывернутую вещь, но тут есть очень много вариантов развития событий, которые зависят от того где лежала "старая" MFT - если точнее то была ли фрагментированна и какие были фрагменты - то же самое относится и к новой. То есть, есть вариант как частичной, так и полной перезаписи MFT. Я бы мог предложить тебе сбросить мне обе MFT (через приват), чтобы я нашёл границу перезаписи, но даже если бы ты на это согласился - я то не в курсе всей структуры папок чтобы понять где чьё. Что касается глобальных отличий, то подразумеваются не отличия в байтах, которые ты показал а в том что полностью отличается запись - то есть можно понять что запись от прежней MFT. В любом случае, запускай Полное сканирование и потом выложи архив с логом скана (в нём нет ничего конфиденциального) - попробую определить что выжило. Да и сам открой том и посмотри какие данные виды из старых. Причём учти то, что они не будут лежать "на поверхности" - часть может быть в папках типа $Fxxxx, а часть может даже затесаться среди новых папок (случай редкий, но встречается). И еще нужно будет взлянуть на скриншот или дамп, про который напишу позже. ок.спасибо. я то вообще в MFT ничего не понимаю. по поводу старых и новых файлов,так я регулярно скидываю на 2й диск(есть еще один для первого диска,т.к. первый 8тб.но из-за случившегося до него пока не добрался). так что на втором почти всё что есть на 1м(точнее половина).ну и на первом то что не успел скопировать на 2й.(надеюсь не запутанно объяснил)) Сбросить обе MFT (через приват)- это отправить сообщение по электронной почте? Полное сканирование только 1го диска? том открыть и посмотреть данные-после полного скана?

22.02.2019, 02:04	Вверх #27
stenn Интересующийся Автор темы Регистрация: 20.02.2019	Цитата (9285) » Всё нормально. Видно что MFT одним фрагментом - теперь осталось дождаться результата полного сканирования. Так что запускай полное сканирование - конечно же только проблемного диска. Так как диск большой, скан может длиться долго - так что делай промежуточные сохранения лога. СПОЙЛЕР » MFT содержит имена файлов, которые могут содержать какой то конфидишен. Но главное - в MFT есть такое понятие как резидентный файл. Это очень небольшие файлы - нередко в таких хранят пароли и т.п. Поэтому выкладывать такое в публичный доступ не стоит. Как и отсылать мне, если есть хоть какой то элемент сомнения в моей честности . Если же доверие есть или нет ничего критичного - обычно дамп-файл запковывается в архив WinRAR с нормальным паролем, выкладывается на какой то обменник с возможностью приватной выкладки и паролированием скачки,а также наличием возможности удаления скачки при вводе пароля (к числу таких относится rgho.st) - потом мне в ЛС отсылается ссылка и пароли, я скачиваю и после удаляю файлы с обменника и работаю с ними. Как то так. PS. Можешь где то через полчаса после начала сканирования сделать сохранение лога, запаковать и прикрепить (если получится) к сообщению или выложи на обменник) а здесь дай ссылку. Может можно будет сделать какие то предварительные выводы. одним фрагментом-это ведь хорошо? ок.завтра начну полный скан а как делать промежуточное сохранения лога? и вы писали,Сбросить обе MFT (через приват)- это отправить сообщение по электронной почте?

22.02.2019, 02:18	Вверх #28
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Как сбросить дампы MFT описано под спойлером. Файлы то большие и даже в запакованном виде будут немаленькие. Как сохранять - нажимать кнопку Сохранить в окне поиска. Хотя и читать справку программы тоже полезно (она там неплохая). Что касается хорошо что один фрагмент или нет - тут зависит от того что было раньше и от того сколько дампится (я ещё не интересовался этим моментом). Поэтому тут есть несколько вариантов. 1. Старая MFT была одним фрагментом или первый фрагмент был соизмерим с тем что сейчас в ранлисте. 1.1. Если сдампилось небольшое количество новых записей, то расположенные далее старые выжили и (возможно) подхватились новой записью - вопрос того что натворил в таком случае чекдиск остаётся в воздухе. 1.2. Если сдампилась вся MFT, то соответственно более 120 тысяч старых записей канули в нирвану. 2. Старая запись была более одного фрагмента. 2.1. Для первого фрагмента актуальны варианты 1.1. и 1.2. Остальные фрагменты могли и выжить а могли и перезаписаться чем то ещё из сдампившегося и даже тем же логом чекдиска.

22.02.2019, 02:34	Вверх #29
stenn Интересующийся Автор темы Регистрация: 20.02.2019	СПОЙЛЕР » Цитата (9285) » Как сбросить дампы MFT описано под спойлером. Файлы то большие и даже в запакованном виде будут немаленькие. Как сохранять - нажимать кнопку Сохранить в окне поиска. Хотя и читать справку программы тоже полезно (она там неплохая). Что касается хорошо что один фрагмент или нет - тут зависит от того что было раньше и от того сколько дампится (я ещё не интересовался этим моментом). Поэтому тут есть несколько вариантов. 1. Старая MFT была одним фрагментом или первый фрагмент был соизмерим с тем что сейчас в ранлисте. 1.1. Если сдампилось небольшое количество новых записей, то расположенные далее старые выжили и (возможно) подхватились новой записью - вопрос того что натворил в таком случае чекдиск остаётся в воздухе. 1.2. Если сдампилась вся MFT, то соответственно более 120 тысяч старых записей канули в нирвану. 2. Старая запись была более одного фрагмента. 2.1. Для первого фрагмента актуальны варианты 1.1. и 1.2. Остальные фрагменты могли и выжить а могли и перезаписаться чем то ещё из сдампившегося и даже тем же логом чекдиска. извиняюсь,не заметил спойлер ок.спасибо. пришлю вам MFT

22.02.2019, 02:44	Вверх #30
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Ещё пару моментов. 1. Хотелось бы определиться с содержимым папки Found.000 Там "файлы" с 3ТБ диск или как? "Файлы" заключил в кавычки потому как вряд ли там сами файлы - скорей их имена, но содержимое какое то другое. И сколько их там? Это можно определить следующим путём. Открыть том в DMDE, выделить папку, в контекстном меню выбрать "Восстановить файлы" и в открывшемся окне нажать пимпу Обьём. Если там только "файлы" с 3ТБ диска, то это позволит хотя бы примерно понять сколько записей перезаписалось. 2. У меня нет под рукой 10-ок, поэтому сам погугли "отключить быстрый запуск в Windows 10". Насколько помню, где то в параметрах энергосбережения. Это если не хочешь повторения подобного и конфликтных ситуаций в случае если 7 как использует свой загрузчик. PS. На сегодня хватит.

22.02.2019, 13:03	Вверх #31
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Провёл небольшой эксперимент с 10-кой в виртуалке. Выключил систему а потом поменял местами два диска с данными. После запуска не произошло таких серьёзных накладок как у тебя (наверняка это завист иот конкретной ситуации), но всё равно случилась "накладка" - на один из винтов записался идентификатор другого, что привело к конфлкту подписей и один из дисков был переведён ф оффлайн. вот такая вот "быстрота" в исполнении мелкомягких.

22.02.2019, 16:16	Вверх #33
stenn Интересующийся Автор темы Регистрация: 20.02.2019	Цитата (9285) » Провёл небольшой эксперимент с 10-кой в виртуалке. Выключил систему а потом поменял местами два диска с данными. После запуска не произошло таких серьёзных накладок как у тебя (наверняка это завист иот конкретной ситуации), но всё равно случилась "накладка" - на один из винтов записался идентификатор другого, что привело к конфлкту подписей и один из дисков был переведён ф оффлайн. вот такая вот "быстрота" в исполнении мелкомягких. ага.спасибо ну может не только вин10 виновата,а еще тотал коммандер,bcompare,soulseek или еще что.

22.02.2019, 16:43	Вверх #34
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Цитата в папке Found.000 есть и музыка и картинки итд но они в помещены в папки тиа dir.0000002.chk. но это я мог видеть и раньше через тотал коммандер(до выключения МБР) MBR выключалось не для того чтобы ты увидел что то новое а чтобы не дать затереться тому, что ещё может живое. Ну а то, что ты видишь - это результат работы чекдиска. Обьяснить все превращения и нюансы слишком сложно, но постараюсь хотя бы вкратце все таки написать (только потом). Сейчас же просто прийми это как есть. Тут главное было в том с 8-ми ТБ диска там файлы и папки или с 3Тб. Ну и ещё нужно ждать результат полного сканирования. Судя по дампу MFT 8ТБ диска там должны быть ещё записи от прежней MFT - вот если таковые есть, то появятся сейчас отсутствующие файлы. Добавлено через 1 минуту Цитата ну может не только вин10 виновата,а еще тотал коммандер,bcompare,soulseek или еще что. Ну уж точно что не тотал. А в остальном - напоминает анекдот про печеньку.

22.02.2019, 22:18	Вверх #35
stenn Интересующийся Автор темы Регистрация: 20.02.2019	СПОЙЛЕР » Цитата (9285) » MBR выключалось не для того чтобы ты увидел что то новое а чтобы не дать затереться тому, что ещё может живое. Ну а то, что ты видишь - это результат работы чекдиска. Обьяснить все превращения и нюансы слишком сложно, но постараюсь хотя бы вкратце все таки написать (только потом). Сейчас же просто прийми это как есть. Тут главное было в том с 8-ми ТБ диска там файлы и папки или с 3Тб. Ну и ещё нужно ждать результат полного сканирования. Судя по дампу MFT 8ТБ диска там должны быть ещё записи от прежней MFT - вот если таковые есть, то появятся сейчас отсутствующие файлы. Добавлено через 1 минуту Ну уж точно что не тотал. А в остальном - напоминает анекдот про печеньку. да,про MBR я так и понял. просто сказал,что то же видел и раньше(решил,что информация может быть полезной). про чекдиск почитал.понял что он прячет файлы в папку Found.000 Объяснить нюансы думаю не стоит.да и не факт что всё пойму)) ок.значит ждём результатов полного сканирования. про тотал итд это мои предположения))

22.02.2019, 22:36	Вверх #36
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Сбрось пока промежуточный лог. Я понимаю что ты видел, но видел лишь часть - тем более что в другом месте ты писал что видел файлы другого диска, поэтому то и решил уточнить. PS. К вопросу о "виновнике" - ещё раз попробовал поменять диски после выключения. В результате, опять конфликт подписей, но после устранения выяснилось что на втором диске в корне видна структура папок другого. Причина в кривых индексах корневого каталога и легко исправилась. В экспериментальной системе не было ничего из перечисленного тобой.

22.02.2019, 23:08	Вверх #37
stenn Интересующийся Автор темы Регистрация: 20.02.2019	СПОЙЛЕР » Цитата (9285) » Сбрось пока промежуточный лог. Я понимаю что ты видел, но видел лишь часть - тем более что в другом месте ты писал что видел файлы другого диска, поэтому то и решил уточнить. PS. К вопросу о "виновнике" - ещё раз попробовал поменять диски после выключения. В результате, опять конфликт подписей, но после устранения выяснилось что на втором диске в корне видна структура папок другого. Причина в кривых индексах корневого каталога и легко исправилась. В экспериментальной системе не было ничего из перечисленного тобой. понял.спасибо послал промежуточный лог в привате

23.02.2019, 00:35	Вверх #38
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	В логах сканирования нет ничего приватного, поэтому можно не прятать ссылки в привате. На данном этапе найден один большой фрагмент из 187 тысяч записей. Учитывая что в "наложенной" записи число записей примерно 110 тысяч, а расположение MFT в типичном месте, то наверняка 77 тысяч это от прежней MFT. Да и эти 110 тоже похоже от неё же, но за счёт "кастрациии" и исправлений чекдиска она просто перетасовалась. Кстати, можно попробовать поискать лог чекдиска и посмотреть что он там "начинил".

23.02.2019, 01:13	Вверх #39
stenn Интересующийся Автор темы Регистрация: 20.02.2019	Цитата (9285) » В логах сканирования нет ничего приватного, поэтому можно не прятать ссылки в привате. На данном этапе найден один большой фрагмент из 187 тысяч записей. Учитывая что в "наложенной" записи число записей примерно 110 тысяч, а расположение MFT в типичном месте, то наверняка 77 тысяч это от прежней MFT. Да и эти 110 тоже похоже от неё же, но за счёт "кастрациии" и исправлений чекдиска она просто перетасовалась. Кстати, можно попробовать поискать лог чекдиска и посмотреть что он там "начинил". ок.спасибо. думал логи лучше в приват. так а все эти файлы можно будет восстановить как раньше(со структурой файлов и папок)? лог чекдиска могу поискать.вы скажите где.сам я не знаю

23.02.2019, 01:20	Вверх #40
9285 Умудрённый Регистрация: 08.02.2019 Адрес: https://t.me/help9285	Приват существует для чего то конфиденциального. И тема предполагает что и другие участники могут что то подсказать (помочь) - а как же они это сделают если не знают что у тебя? Всё таки прийдётся тебе понять как устроена иерархия папок. Потому что только тогда будет понятно что ожидать и что сейчас в фаунд.000 Лог чекдиска можно искать в журналах винды, а ещё может быть внутри скрытой папки System Volume Information.