поврежденные файлы btc в скрытом томе

[alexjohn]

Здравствуйте! Сразу скажу, потерял очень дорогие мне файлы, такие как wallet.dat, текстовики с той же тематикой и приватные ключи. И если кто-то поможет восстановить, я обязательно отблагодарю, не жалко. И это не какая-то шутка!
Начну с того, имеется переносной хард. Зашифрованный veracrypt в основной и скрытый разделы. Файлы на скрытом.
Сегодня захожу и вдруг вижу вместо папок какие иероглифы с разными сивмолами, а при заходе пишет что то про синтаксическую ошибку. Вне папок так же имеются текстовые файлы, которые открываются, но внутри опять такие же иероглифы. И что странно, во всем этом разделе уцелели только 2 exe файла.
Запустили восстановление раздела через утилиту в veracrypt, а запустилось chkdsk! Итог: удалены эти поврежденные, но самые важные папки с кошельками, ключами и текстовиками, текстовые файлы вне папок остались на месте, но текст все так же поврежден. Папки конвертировались в файлы без какого либо расширения. И создались .chk файлы(по количеству и размеру похоже на все, что были в папках). Пробовал переименовывать и текстовые файлы, и в .dat - результата 0. При открытии такие же иероглифы.
Изначально и после всех манипуляций пробовал восстановить программой DMDE, но показывало, что в папках ничего не содержится.удаленные файлы тоже не ищутся.
Помогите пожалуйста! Какие еще могут быть решения? Уже сутки сижу с крысными глазами от безысходности!

Так же уточню новый путь к возможному решению.
Сегодня приедет ноутбук, на котором создавались все эти файлы, но там собственноручно все почищено или же что-то просто перемещенно на этот переносной диск и извлечено. Так же там был спрятан файл с разделом для Veracrypt, который тоже удален. Все создавалось около трех месяцев назад, ноутбуком после этого почти не пользовались. Единственное за все это время обновлялась windows.
Может есть смысл как то там найти эти файлики?
Через удаленку уже пробовал искать программой Recuve, но ничего из этих файлов не нашла...

[9285]

Насколько понимаю, у тебя в контейнере была файловая система FAT32, которая нерекомендуется для хранения данных.
Я не настолько разбираюсь в FAT, но судя по симптомам, было повреждение файловой таблицы. И в таких ситуациях чекдиск категорически противопоказан.
Надо было в DMDEпопробовать открыть том с разными таблицами (первой и второй).
Если повреждения лишь в одной, то есть шанс что в другой всё нормально.
А так, там не знаю что сейчас.
Что бы я попробовал предпринять в этом случае. Во первых, определить формат нужных файлов. Возможно они имеют какие то характерные сигнатуры по которым можно поискать те, что нужны.Опять же, определить какой их типичный размер. Если размер меньше кластера, то это хорошо, потому как в обратном случае, и если файл фрагментирован, то искать его куски очень проблематично.
Что касается старой системы, то и тут твои косяки. Всё что важно (кроме создания резервных копий) не рекомендуется сохранять на системном разделе. Потому как система всё время что то пишет, даже не обновляясь, тем самым перезаписывая прежнее содержимое. Если контейнер выбирался динамический или если даже фиксированный но содержал много данных, то файл наверняка фрагментирован и тут поможет только если осталась запись этого файла в MFT/ Тогда его можно восстановить, пусть даже какая то часть секторов перезаписана.
Когда приходилось разбираться с проблемами с веракриптой (здесь есть тема), то выяснил что по сути контейнер содержит заголовок со служебными данными, которые критичны для восстановление, а содержимое контейнера что то типа посекторки, но зашифрованное. То есть, важно чтобы был цел заголовок, который смонтирует файловую систему. Да (если какая то часть секторов уже перезаписалось системой), она будет повреждена но это будет уже простая работа с нормальным томом с повреждениями, где возможно нужные файлы не пострадали. То есть, можно запускать уже программы и смотреть что там.
Так что:
- уточни насчёт FAT32
- прекрати любую работу со старой системой, чтобы там не добивалось то, что ещё цело.
А далее будем посмотреть.

[alexjohn]

Цитата (9285) »

Насколько понимаю, у тебя в контейнере была файловая система FAT32, которая нерекомендуется для хранения данных.
Я не настолько разбираюсь в FAT, но судя по симптомам, было повреждение файловой таблицы. И в таких ситуациях чекдиск категорически противопоказан.
Надо было в DMDEпопробовать открыть том с разными таблицами (первой и второй).
Если повреждения лишь в одной, то есть шанс что в другой всё нормально.
А так, там не знаю что сейчас.
Что бы я попробовал предпринять в этом случае. Во первых, определить формат нужных файлов. Возможно они имеют какие то характерные сигнатуры по которым можно поискать те, что нужны.Опять же, определить какой их типичный размер. Если размер меньше кластера, то это хорошо, потому как в обратном случае, и если файл фрагментирован, то искать его куски очень проблематично.
Что касается старой системы, то и тут твои косяки. Всё что важно (кроме создания резервных копий) не рекомендуется сохранять на системном разделе. Потому как система всё время что то пишет, даже не обновляясь, тем самым перезаписывая прежнее содержимое. Если контейнер выбирался динамический или если даже фиксированный но содержал много данных, то файл наверняка фрагментирован и тут поможет только если осталась запись этого файла в MFT/ Тогда его можно восстановить, пусть даже какая то часть секторов перезаписана.
Когда приходилось разбираться с проблемами с веракриптой (здесь есть тема), то выяснил что по сути контейнер содержит заголовок со служебными данными, которые критичны для восстановление, а содержимое контейнера что то типа посекторки, но зашифрованное. То есть, важно чтобы был цел заголовок, который смонтирует файловую систему. Да (если какая то часть секторов уже перезаписалось системой), она будет повреждена но это будет уже простая работа с нормальным томом с повреждениями, где возможно нужные файлы не пострадали. То есть, можно запускать уже программы и смотреть что там.
Так что:
- уточни насчёт FAT32
- прекрати любую работу со старой системой, чтобы там не добивалось то, что ещё цело.
А далее будем посмотреть.

Благодарю за ответ!
Сам переносной носитель на 1гб в формате NTFS. Раздел, как я вижу в DMDE в exFat. Веракрипт сама рекомендовала мне его, якобы если не будет храниться файлы более 4гб. Уже пробовал искать и в разделе, и в основном носителе с помощью програм DMDE, R-Studio, Recuva, Ontrack EasyRecovery DEMO, но результатов к сожалению не приносит. Какая-то одна программа нашла нужную папку в которую можно было зайти, но там абсолютно пусто.
Ноутбук мне привезли, он изначально не мой и там только один системный диск. Использовал временно, хранил все на рабочем столе. Зашифрованный файл для veracrypt хранился в документах. Максимум что успел сделать - это вставить флешку, установить на нее R-Studio. Больше не трогал. Буду ждать советов.
Причем самое обидное, что я вижу эти файлы в C:\USERS\User\Recent. Но они конечно же недоступны уже по этим путям.
Вы скажите какую мне информацию предоставить по поводу дисков, я все сделаю, лишь бы был хоть какой то толк. Всего пару папок, в котором по сути достаточно одного текстовика или же файл кошелька... Файлы на диске были с форматами txt(штук 10, но нужных пара), 2 файла с ключами csv, а так же они продублированы в .json, wallet.dat(или без расширения) 2 файлика и wallet.backup - 2. Пробовал переименовывать в .dat все .CHK файлы и открыть с помощью Electrum, но выдает ошибку с набором символов.

upd Так же добавлю, что перед всеми манипуляциями CHKDSK я сделал резервную копию заголовка тома. Весит файл 128кб. Но опять же, резервная копия была сделана уже с поломанными файликами..
upd2 Перед CHKDSK я заходил в DMDE, пытался восстановить эти папки, но в ответ мне программа кричала, что восстанавливать нечего, файлы отсутстуют, как и папки (они просто были видны)

[9285]

extFAT - убожество в плане восстановления данных, да и вообще.
Она то разрабатывалась для записи больших (мудьтимедийных) файлов - то есть не особо важных.
Не копал её чуть больше поверхности, но там вроде всего одна таблица FAT.
Мало софта, который может с ней работать. Тут больше надо работать в плане поиска по каким то сигнатурам. Или банально, создаём текстовый файл с содержимым примерно как должно быть в оригинале (особенно начало) - смотрим его в хексах и ищем по такому же набору символов.
Что касается заголовка контейнера - он по барабану в плане данных. Это всего лишь транслятор, который содержит данные о содержимом контейнера и не описывают сами данные.
То что сам носитель в NTFS не играет никакой роли.

Добавлено через 1 минуту

Цитата (alexjohn) »

Пробовал переименовывать в .dat все .CHK файлы и открыть с помощью Electrum, но выдает ошибку с набором символов

А рабочие файлы открываются нормально?

[alexjohn]

Цитата (9285) »

extFAT - убожество в плане восстановления данных, да и вообще.
Она то разрабатывалась для записи больших (мудьтимедийных) файлов - то есть не особо важных.
Не копал её чуть больше поверхности, но там вроде всего одна таблица FAT.
Мало софта, который может с ней работать. Тут больше надо работать в плане поиска по каким то сигнатурам. Или банально, создаём текстовый файл с содержимым примерно как должно быть в оригинале (особенно начало) - смотрим его в хексах и ищем по такому же набору символов.
Что касается заголовка контейнера - он по барабану в плане данных. Это всего лишь транслятор, который содержит данные о содержимом контейнера и не описывают сами данные.
То что сам носитель в NTFS не играет никакой роли.

Добавлено через 1 минуту


А рабочие файлы открываются нормально?

к сожалению содержимого самого главного я не знаю, иначе вообще не нужны были бы эти файлы. Только слова какие то помню из текстовиков..
а чем посоветуете с ноутбука файлы восстановить?
а рабочих файлов и не осталось, кроме CHK.
Были конечно текстовики вне этих папок и с содержимым как на фото, но они такие же и остались

[9285]

Что касается SMART диска, то один сектор не критичен (если не 0-вой). Но это при условии что дефект поверхности связан с проблемными доменами. Если же было физическое воздействие и контакт головки с поверхностью, то проблемных секторов будет поболее и (возможно) что они ещё не "проявились".

[alexjohn]

Цитата (9285) »

Что касается SMART диска, то один сектор не критичен (если не 0-вой). Но это при условии что дефект поверхности связан с проблемными доменами. Если же было физическое воздействие и контакт головки с поверхностью, то проблемных секторов будет поболее и (возможно) что они ещё не "проявились".

Мне почему то кажется, что это случилось в связи с периодическим открытием файлов в скрытом\внешнем разделе veracrypt. Диск можно сказать не использовал последние пару месяцев, только вчера зашел и увидел такую картину. Хотя до этого пользовался и ничего..
На диске 3 раздела из двух файлов veracrypt. На одном файле зашифрованный раздел. и на другом файле зашифрованный раздел + скрытый раздел в разделе

[9285]

Цитата (alexjohn) »

а чем посоветуете с ноутбука файлы восстановить?

Можно пробовать разным софтом (кроме DMDE), но в этом случае я не смогу чем то помочь, потому что пользовался ими поверхностно (в целях тестирования их возможности).

Цитата (alexjohn) »

а рабочих файлов и не осталось, кроме CHK.

Надо искать по всему обьёму тома и в самих chk-файлах. Последние, по сути - дампы секторов, которые имели проблемы.
Тут надо понимать что в таблицы попала некорретная информация (дай бог чтобы только в них а не в сами данные), поэтому информация о размещении файлов некорректна. То есть, раньше было (просто от балды) что файл начинается в кластере 100500 и далее а теперь вместо 100500 цифра совершенно другая. Естественно что там иное содержимое, которое не является текстовым (ansi) файлом. Кстати, текстовые файлы практически не находятся сигнатурно, потому как нет таковой, поэтому то и писал про поиск по содержимому.

Добавлено через 3 минуты

Цитата (alexjohn) »

и на другом файле зашифрованный раздел + скрытый раздел в разделе

По поводу такого не могу что то сказать, потому как не знаю какова его структура. Хотя думаю что там всё так же, только в заголовке он прописан как скрытый.

Цитата (alexjohn) »

Мне почему то кажется, что это случилось в связи с периодическим открытием файлов

Кстати, учитывая что диск внешний и предположительно подключался к 8-ке и новее, то было ли его отключение после завершения работы и подключения к чему то другому?

[alexjohn]

Цитата (9285) »

Можно пробовать разным софтом (кроме DMDE), но в этом случае я не смогу чем то помочь, потому что пользовался ими поверхностно (в целях тестирования их возможности).

Надо искать по всему обьёму тома и в самих chk-файлах. Последние, по сути - дампы секторов, которые имели проблемы.
Тут надо понимать что в таблицы попала некорретная информация (дай бог чтобы только в них а не в сами данные), поэтому информация о размещении файлов некорректна. То есть, раньше было (просто от балды) что файл начинается в кластере 100500 и далее а теперь вместо 100500 цифра совершенно другая. Естественно что там иное содержимое, которое не является текстовым (ansi) файлом. Кстати, текстовые файлы практически не находятся сигнатурно, потому как нет таковой, поэтому то и писал про поиск по содержимому.

На ноутбуке попробую наверно начать с R.Studio. Пойдет?

а насчет переносного харда сможете меня направить на какой нибудь гайд как заниматься этим восстановлением? А то я кучу информации перерыл, но похожий проблемы как у меня не нашел.. тем более информация в скрытом томе веракрипт

Добавлено через 3 минуты

Цитата (9285) »

По поводу такого не могу что то сказать, потому как не знаю какова его структура. Хотя думаю что там всё так же, только в заголовке он прописан как скрытый.

Кстати, учитывая что диск внешний и предположительно подключался к 8-ке и новее, то было ли его отключение после завершения работы и подключения к чему то другому?

отключение было точно, но подключение к чему то другому точно нет. После ноутбука пересел на стационарный пк и ничем другим не пользуюсь..

[9285]

1. !!! Ни в коем случае нельзя работать с той системы, где ищется старый контейнер.!!!
Любое лишнее его включение приводит к записи новых данных, которые могут уничтожить не только данные но, что катастрофически печально будет, и самой записи о файле.
Тут надо работать с иной системы или с загрузочного диска, причём у проблемного на время отключить MBR/GPT.
2. Если на начальном компьютере было завершение работы (и не отключен дефольный Быстрый запуск), то в идеале его нельзя подключать к другой системе. Хотя я надеюсь что в системах подобных той что использовалась с основной, не будет тех проблем, которые гарантированы в системах старее 8-ки.

Добавлено через 1 минуту

Цитата (alexjohn) »

а насчет переносного харда сможете меня направить на какой нибудь гайд как заниматься этим восстановлением?

Гайд напишу, но не сейчас, потому что мне надо немного поковырять устройство ExtFAT.

[alexjohn]

Цитата (9285) »

1. !!! Ни в коем случае нельзя работать с той системы, где ищется старый контейнер.!!!
Любое лишнее его включение приводит к записи новых данных, которые могут уничтожить не только данные но, что катастрофически печально будет, и самой записи о файле.
Тут надо работать с иной системы или с загрузочного диска, причём у проблемного на время отключить MBR/GPT.
2. Если на начальном компьютере было завершение работы (и не отключен дефольный Быстрый запуск), то в идеале его нельзя подключать к другой системе. Хотя я надеюсь что в системах подобных той что использовалась с основной, не будет тех проблем, которые гарантированы в системах старее 8-ки.

Добавлено через 1 минуту


Гайд напишу, но не сейчас, потому что мне надо немного поковырять устройство ExtFAT.

Если я запущу программу с флешки, то ничего страшного не будет?

я кстати перед всеми манипуляциями пробовал подключать диск на трех пк - вин 7, вин 10 и вин 10, но результат был один и тот же.

Сейчас, спустя сутки закончилось сканирование большого раздела на переносном диске с помощью DMDE и увидел такую картину. пытаюсь восстановить файл(фото)

[9285]

Цитата (alexjohn) »

Если я запущу программу с флешки, то ничего страшного не будет?

Не знаю, создаёт ли R-studio временные файлы - тут критичнее то, что создаёт винда. Это и временные файлы и нефиксированный файл подкачки и точки восстановления и много чего ещё.

На фото не видно что за ошибка на "нижнем" окне.

PS. Чтобы было понятно важность работы с системой, которая бы исключала запись на диск (а таких мало).
В NTFS устроено так, что запись любого нового файла приводит к тому, что заполняется незанятая запись в MFT, причём записывается в самую ближнюю свободную к началу. Предположим что у тебя запись о файле контейнера была в записи 100500, а ещё есть свободные 100496-10499. Когда ты подключишь диск к другой системы то там, как минимум, будет создана корзина - а это индекс её + несколько записей о файлах в ней. Вот и перезапишутся 100496-100500 и это будет полный пушной зверь, потому как восстановить фрагментированный файл (не помню есть ли у него хотя бы сигнатура) нереально.
Не торопись и не гони коней, чтобы не кусать потом локти. Продумай весь план действий, подготовься, потренируйся на "котиках" и только тогда в бой.

[alexjohn]

Цитата (9285) »

Не знаю, создаёт ли R-studio временные файлы - тут критичнее то, что создаёт винда. Это и временные файлы и нефиксированный файл подкачки и точки восстановления и много чего ещё.

На фото не видно что за ошибка на "нижнем" окне.

Там просто стоит на месте и выкидывает новое окно с ошибкой

Цитата (9285) »

Не знаю, создаёт ли R-studio временные файлы - тут критичнее то, что создаёт винда. Это и временные файлы и нефиксированный файл подкачки и точки восстановления и много чего ещё.

На фото не видно что за ошибка на "нижнем" окне.

PS. Чтобы было понятно важность работы с системой, которая бы исключала запись на диск (а таких мало).
В NTFS устроено так, что запись любого нового файла приводит к тому, что заполняется незанятая запись в MFT, причём записывается в самую ближнюю свободную к началу. Предположим что у тебя запись о файле контейнера была в записи 100500, а ещё есть свободные 100496-10499. Когда ты подключишь диск к другой системы то там, как минимум, будет создана корзина - а это индекс её + несколько записей о файлах в ней. Вот и перезапишутся 100496-100500 и это будет полный пушной зверь, потому как восстановить фрагментированный файл (не помню есть ли у него хотя бы сигнатура) нереально.
Не торопись и не гони коней, чтобы не кусать потом локти. Продумай весь план действий, подготовься, потренируйся на "котиках" и только тогда в бой.

да уж, лучше уж подождать советов как правильно все сделать, а то наделаю делов...

[9285]

Цитата (alexjohn) »

Там просто стоит на месте и выкидывает новое окно с ошибкой

Предполагаю что проблема в некорректных записях файловой таблицы - указывается на несуществующий сектор. Образно говоря, размер раздела 100500 секторов а в таблице прописан кластер, который записан в сектор далее этой цифры.

Добавлено через 3 минуты

Цитата (alexjohn) »

да уж, лучше уж подождать советов как правильно все сделать

Я пока еще не закончил наполнять пару тем, но уже кое что есть - почитай
Предупреждение. Восстановление данных.
DMDE - использование программы для восстановления данных
и ещё начальное сообщение на Восстановление утерянных данных это про использование виртуалки VmWare для безопасного восстановления.

Добавлено через 49 минут

На всякий случай.
Если старый ноутбук ещё работает и на нём включен Быстрый запуск, то прекрашать работу надо не завершением работы, потому как состояние метаданных будет не очень корректное а простым выключением (зажатием кнопки включения на несколько секунд). В идеале, перед этим сделать MBR/GPT off.

[alexjohn]

Цитата (9285) »

Предполагаю что проблема в некорректных записях файловой таблицы - указывается на несуществующий сектор. Образно говоря, размер раздела 100500 секторов а в таблице прописан кластер, который записан в сектор далее этой цифры.

Добавлено через 3 минуты


Я пока еще не закончил наполнять пару тем, но уже кое что есть - почитай
Предупреждение. Восстановление данных.
DMDE - использование программы для восстановления данных
и ещё начальное сообщение на Восстановление утерянных данных это про использование виртуалки VmWare для безопасного восстановления.

Добавлено через 49 минут

На всякий случай.
Если старый ноутбук ещё работает и на нём включен Быстрый запуск, то прекрашать работу надо не завершением работы, потому как состояние метаданных будет не очень корректное а простым выключением (зажатием кнопки включения на несколько секунд). В идеале, перед этим сделать MBR/GPT off.

Спасибо за ссылки, сижу изучаю.
Вроде как понял, что если данные на системном диске и срабатывает *Оптимизация диска*, то восстанавливать уже нечего.. верно это утверждение?

Винда там полностью стоковая, ничего не настраивали. Человек иногда заходил работать на нем, ну и соответственно скорее всего выключал его через Завершение работы...
А обновления винды происходили только через Windows Update.

upd сейчас посмотрел в электропитании, там быстрый запуск\спящий режим\режим гибернации\блокировка вообще серым помечены(неактивны), а галки стоят только на спящем режиме и на Блокировка

[9285]

Цитата (alexjohn) »

верно это утверждение?

И да, и нет - тут как карта ляжет и куда будут записаны перенесённые данные.
Но шансов, конечно, же меньше.

Цитата (alexjohn) »

а галки стоят только на спящем режиме и на Блокировка

Дай бог чтобы это было так, хотя в стоке Быстрый запуск включён.
Да, эти опции затемнены, но там где то вверху есть пимпа изменить доп.параметры. Но это когда надо отключить быстрый запуск.
Я везде отключаю и обьясняю людям чем это грозит.

[alexjohn]

Цитата (9285) »

И да, и нет - тут как карта ляжет и куда будут записаны перенесённые данные.
Но шансов, конечно, же меньше.
Дай бог чтобы это было так, хотя в стоке Быстрый запуск включён.
Да, эти опции затемнены, но там где то вверху есть пимпа изменить доп.параметры. Но это когда надо отключить быстрый запуск.
Я везде отключаю и обьясняю людям чем это грозит.

Очень опечалился, когда увидел в Оптимизации диска надпись: Последняя оптимизация 02.11.22..

[9285]

По факту, тебе надо запустить DMDEкак описано в другой теме, открыть том и сделать виртуальную реконструкцию с включенной галкой В том числе удалённые.
Потом поискать свой файл-контейнер в соответствующей папке или по имени (расширению) файла.
Если найдётся восстанавливать на другой носитель.
Если не найдётся, запускать полное сканирование, оставив только галку NTFS и в результатах поиска искать уже по имени или расширению - возможно что и найдётся какая нибудь "старая" запись - например такие могут быть после дефрагментации (оптимизации) если дефрагментируется и MFT а запись была не в первом фрагменте. Опять же воссстановить файл. Да, возможно он будет по размеру не актуален (то есть данные размещения будут на какой то более ранний срок) но это лучше чем ничего. Возможно что в целом куске будет нужный файл).
Кстати, какая версия веракрипты? Попробую в виртуалке смоделировать ситуацию и посмотрю что да как.

Добавлено через 2 минуты

Цитата (alexjohn) »

Очень опечалился, когда увидел в Оптимизации диска надпись: Последняя оптимизация 02.11.22..

Кстати, да, когда я писал про записи системы, забыл упомянуть об этом. Особо актуально для случаев, когда стоит опция оптимизировать новые и ты подключаешь свой диск к такой системе - для винды он новый и она его "оптимизирует".
Вообще, на будущее - отключать всю эту оптимизацию к едреней фени и самому делать периодически, когда всё тип-топ.

[alexjohn]

Цитата (9285) »

По факту, тебе надо запустить DMDEкак описано в другой теме, открыть том и сделать виртуальную реконструкцию с включенной галкой В том числе удалённые.
Потом поискать свой файл-контейнер в соответствующей папке или по имени (расширению) файла.
Если найдётся восстанавливать на другой носитель.
Если не найдётся, запускать полное сканирование, оставив только галку NTFS и в результатах поиска искать уже по имени или расширению - возможно что и найдётся какая нибудь "старая" запись - например такие могут быть после дефрагментации (оптимизации) если дефрагментируется и MFT а запись была не в первом фрагменте. Опять же воссстановить файл. Да, возможно он будет по размеру не актуален (то есть данные размещения будут на какой то более ранний срок) но это лучше чем ничего. Возможно что в целом куске будет нужный файл).
Кстати, какая версия веракрипты? Попробую в виртуалке смоделировать ситуацию и посмотрю что да как.

Добавлено через 2 минуты


Кстати, да, когда я писал про записи системы, забыл упомянуть об этом. Особо актуально для случаев, когда стоит опция оптимизировать новые и ты подключаешь свой диск к такой системе - для винды он новый и она его "оптимизирует".
Вообще, на будущее - отключать всю эту оптимизацию к едреней фени и самому делать периодически, когда всё тип-топ.

Я так понимаю это речь сейчас про ноутбук идет или поломанный переносной диск?
Второго то я уже запустил с помощью DMDE, 4 раздела сканировал - Общий диск в NTFS, зашифрованный 600гб с фотками, зашифрованный второй и зашифрованный скрытый во втором. Все это заняло ровно сутки. Результатов не дало. А если что и дало, то прилагал скрин выше с ошибкой при восстановлении. Хотя полагаю, что этот файл не тот что нужен все равно. Нужная папка не сканируется.
А к ноутбуку сейчас боюсь прикасаться, пока не дадут команды как и с чем работать. Мне кажется это моя последняя надежда.
Версия veracrypt Latest Stable Release - 1.25.9 (Saturday February 19, 2022)

PS на моем пк вообще все отключено, не люблю я вообще вин10 с ее приколюхами.
а вот ноутбук полностью в стоке..

[9285]

alexjohn
Речь была, конечно же, о ноутбуке.
А на переносном, как писал выше, нет смысла что либо сканить напрямую.
В идеале, сделать копию файла-контейнера, примонтировать его в вере и потом в DMDE открывать логический диск с соотвествующей буквой. И сканить уже в таком формате. И в дальнейшем, если будешь искать по содержимому тоже работать так + открывать chk-файлы как файл-образы* и в них искать по тексту (в хексах).

*. Перед этим, для простоты открытия меняешь расширение chk на bin.

[alexjohn]

Цитата (9285) »

alexjohn
Речь была, конечно же, о ноутбуке.
А на переносном, как писал выше, нет смысла что либо сканить напрямую.
В идеале, сделать копию файла-контейнера, примонтировать его в вере и потом в DMDE открывать логический диск с соотвествующей буквой. И сканить уже в таком формате. И в дальнейшем, если будешь искать по содержимому тоже работать так + открывать chk-файлы как файл-образы и в них искать по тексту (в хексах).

Я понял, завтра буду пробовать копаться с ноутбуком.
И если не сложно, прочитайте, пожалуйста, лс

[9285]

alexjohn
Ок!
Я постараюсь до завтра 8:00 что нибудь расскопать в exFAT, а может и в вере и отпишусь.
В ЛС ничего нет. Правда было какое то заблокированное всплывающее окно, которое я разрешил, но не думаю что блокирока удалила само сообщение. Поэтому, продублируй ещё.

[alexjohn]

Цитата (9285) »

alexjohn
Ок!
Я постараюсь до завтра 8:00 что нибудь расскопать в exFAT, а может и в вере и отпишусь.
В ЛС ничего нет. Правда было какое то заблокированное всплывающее окно, которое я разрешил, но не думаю что блокирока удалила само сообщение. Поэтому, продублируй ещё.

Благодарю За помощь!
Сообщение могло на электронную почту уйти

upd рассказываю свои мысли...
структура папок была такой
папка_1
..папка_1.1
...файл_1.json
...файл_2.csv
..папка_1.2
...файл_1.backup
..файл_1.dat
..файл_2.txt
..файл_3.txt
и такик папок всего 4, но с разными именами. их я знаю.
сейчас понял, что могу восстановить полносьтью структур двух папок, у меня есть к ним доступ(это старые кошельки). остаются две папки. одна из них не нужна, т.к тоже старый кошелек, а вот во второй все что нужно. и по сути, чтобы восстановить доступ требуется доступ хотя бы к любому одному файлу.
теперь вопрос.. поможет ли восстановление структуры двух папок восстановить еще две папки?
но правда с чтением hex я не силен..

Так же, может быть конечно все это из мира фантастики..но может существует программа, которая восстанавливает весь буфер обмена по тексту? Если на ноуте его поднять, то в нем 100% будут ключевые слова для доступа в кошелек..

[9285]

alexjohn

Цитата

поможет ли восстановление структуры двух папок восстановить еще две папки?

Если необходимые файлы имеют какую то характерную сигнатуру, то да.
Позжее опишу как использовать (проверить) такую возможность.

Цитата

но правда с чтением hex я не силен..

Да этож элементарно, Ватсон!
Всё покажу на скриншотах как это делать.

Цитата

Сообщение могло на электронную почту уйти

Увы, но регистрационный ящик я в своё время забросил, потому как не придерживаюсь политики необходимости оставлять свой телефон, поэтому доступа к нему нет. Продублируй здесь, просто в ЛС.
PS. изменил в профиле адрес электронки, так что можешь в неё послать.

[9285]

Ну что, начнём потихоньку.
1. Относительно хороший момент - файл-контейнер тома со скрытым разделом НЕ создаётся динамическими. То есть он сразу записывается в полном обьёме на хостовый диск. Это хорошо тем, что файл может быть или не фрагментирован или разбит на меньшее число чем если бы был простой том (динамический).
Если бы могли найти начало тома, то можно было бы просто скопировать сектора начиная от найденного сектора и размером каким он был (может быт и больше). Но всё равно стоит учитывать что на место где ранее был записан том могло что то записаться, в том числе и удалиться полностью. В случае если бы не удалилось, то по карте кластеров можно было бы оценить потери и где они будут.
Вопрос только в том как найти начало тома.
В документации есть описание заголовка тома и там видно что есть сигнатур по которой можно найти его, но что то я не нашёл таковой в своих образцах (но это мне надо ещё поковырять)
2. Отличный момент - в параметрах монтирования тома можно задать режим только чтения. Это защитит открываемый том от каких либо твоих неправильных действий или от действий того же чекдиска, который в 8-ке и новее может без спросу чекать некоторые типы ошибок.
3. Что касается поиска по хексам.
Находишь образец файла ил создаёшь такой.
Далее можешь открыть его как образ или просто найти на диске в DMDE и выделить его. В окне увидишь его заголовок. Выделяешь нужное число байтов и в меню Правка выбираешь копирование.
После этого выбираешь свой логический иск и переходишь к его началу. Если что, переключаешься в режим отображения Текст/хекс
В меню сервис выбираешь Найти строку. В появившемся окошке программа сама вставит в окно поиска то, что ты скопировал.
При необходимости выбираешь те или иные опции поиска и запускаешь его.
что касается опций, то они разные, но рассмотрю пока одну - смещение от начала сектора. Если мы знаем что скопированный текст должен быть в начале сектора, то выберем эту опцию и оставляем там цифру 0. Это избавит от нахождения кусков такого текста, которые могут быть в любом другом месте (с любым смещением).
После нахождения нужного начала делаешь посекторку, начиная с этого сектора и размером каким примерно должен быть файл. А потом смотришь содержимое в том же блокноте. Перед просмотром надо изменить расширение дампа с bin на соответствующее.

[9285]

У меня есть немного времени (потом уйду) - если есть "горящие" вопросы, спрашивай;
возможно успею ответить.

[alexjohn]

Цитата (9285) »

У меня есть немного времени (потом уйду) - если есть "горящие" вопросы, спрашивай;
возможно успею ответить.

Пока тяжеловато представить как все проделать на практике, но я попробую!
Я так понял мне нужно создать новый файл для шифрования в веракрипт, сделать идентичное расположение, то есть один раздел и в нем скрытый. Восстановить там структуру папок, файлов и содержимого, грубо говоря, сделать все так как было на сломанном контейнере. И уже методом поиска копировать хекс из нового контейнера и искать его же в старом контейнере?
Или же я должен искать хекс в созданных .chk файлах, заранее переименовав их в .bin?
Ну по ходу дела наверно в любом случае появятся вопросы, буду пробовать, что ж еще делать. Вам спасибо большое еще раз!

Я вам отправил письмо, посмотрите в электронную почту, спасибо

[9285]

Совсем недавно в DMDE открыл для себя очень полезный функционал, который может тебе пригодится. Это возможность программно находить сигнатуру файла, у которого нет таковой в стандартном наборе.
Для этого желательно иметь как можно больше образцов таких файлов, чтобы было точное определение сигнатуры. Все образцы нужно скопировать в одну папку, причём не обязательно сами файлы так как они могут быть огромными - достаточно 8 начальных секторов.
Затем, в параметрах полного сканирования надо зайти в RAW: сигнатуры файлов.
В появившемся окне можно (чтобы результаты поиска известных типов файлов не путались под ногами) снять чекбоксы с "лишних" типов файлов или групп полностью, и выбрать Добавить.
В новом окне Задать название типа файлов чтобы было самому понятно, выбрать к какому типу их отнести и задать расширение - в принципе наверное лучше даже своё. Это нужно для того, чтобы потом найденные файлы при восстановлении получали указанное расширение. Нажать кнопку выделенную коричневым и указать в какой папке лежат образцы для анализа. Если программа найдёт сигнатуру (характерный набор байтов), то эта сигнатура будет в окошке выделенном синим. Нажимаем Ок, не забываем сохранить новый набор сигнатурного поиска - в дальнейшем, при последующих сканах можно будет просто загружать этот набор.
После окончания сканирования смотри найдено ли что нибудь но этой сигнатуре.

[9285]

alexjohn
Не надо делать новый контейнер.
Просто, в любом месте создаёшь новый файл, открываешь его как образ и выделяешь необходимый набор символов. После этого открываешь уже примонтированный логический диск (или те же цэашки) и ищешь в них.
PS. Не бзди, прорвёмся.
Тем более что тему читает мой виртуальный коллега с другого форума и возможно что у него будут какие то идеи, которые помогут в решении задачки.

PS. Ни в электронке, ни в ЛС не нашёл ничего. На случай если вдруг ошибки отправки в движке форума, моя электронка 9285-1@mail.ru

[alexjohn]

Цитата (9285) »

alexjohn
Не надо делать новый контейнер.
Просто, в любом месте создаёшь новый файл, открываешь его как образ и выделяешь необходимый набор символов. После этого открываешь уже примонтированный логический диск (или те же цэашки) и ищешь в них.
PS. Не бзди, прорвёмся.
Тем более что тему читает мой виртуальный коллега с другого форума и возможно что у него будут какие то идеи, которые помогут в решении задачки.

PS. Ни в электронке, ни в ЛС не нашёл ничего. На случай если вдруг ошибки отправки в движке форума, моя электронка 9285-1@mail.ru

Очень рад что в решении такого важного дела помогают настоящие профессионалы!
Сейчас минут через 10 сяду за пк и начну впитывать всю информацию. На лету с телефона тяжело понять, а там уже наверно полегче будет.

Письмо на почту тоже с пк отправлю в течении 10минут!

[9285]

alexjohn

СПОЙЛЕР »

Из меня профессионал как из Валуева балерина.
Просто, своеобразное хобби, в том числе позволяющее тренировать мозг.
А реальные профи практически не присутствуют в подобных темах. Точнее присутствуют, но в основном чтобы написать что надо обращаться к ним, покритиковать такую методику восстановления данных и назвать таких как ты лентяями и халявщиками - примеров такового предостаточно на руборде, но которой я вёл подобную тему в течении семи лет.
PS. Кстати, ты сам сюда пришёл или кто то подсказал на недофоруме начинающемся на cyber?
Если последнее, то не надо указывать имя советчика, а то там "админы" очень не любят таких и мстят им.

На время исчезаю.

[alexjohn]

Случилось чудо! Другими словами это не описать!
Ранее уже была запущено сканирование с помощью R-Studio, но результатов не дало, или же я просто не правильно ее использовал.
Выбрал логический диск, правая кнопка - сканировать. Первое сканирование не принесло результатов, затем снова пересканировал и тут я нашел вкладку *Дополнительно найденные файлы*. В нем вкладка text документ. 3 файла. 1. wallet.backup - старый кошелек. 2. файл без расширения(который chkdsk конвертировал из папки) 3. текстовый документ с именем 5(таких имен текстовиков точно не было).
Открыл текстовик и увидел длинную строчку и мне она показалась знакомой. Вспомнил! Вчерашним днем я открывал файл кошелька(default_wallet.backup) текстовым документом и там была похожая строчка.
Переименовываю этот файл в wallet.backup и открываю в Electrum - ошибка(что-то типа файл не поддерживается этой версией Electrum). Открываю Portable версию Electrum - ввожу пароль, 2фа и смотрю баланс... а дальше чуть ли не слезы на глазах, одни эмоции. Это то что нужно.
Что самое удивительное... Из всех (около 20 файлов) восстановилось только 2 - старый кошелек и новый кошелек(но в формате .txt). Ну не Чудо ли это? Думаю да!
Теперь уж точно я не буду откладывать создание копий в разных форматах, даже если диск лежит без делу несколько месяцев. Оказывается даже так на нем может что-то случится, в самый не подходящий вариант!
Я очень рад что есть такие люди как Вы, 9285! Я отпишу на почту!

[9285]

Поздравляю с удачным результатом.
Хотелось бы немного прокомментировать это чудо.
1. В дневной спешке как то забыл написать про то, что процессе моделирования ситуации у меня не было случая чтобы VeraCrypt сама предложила exFAT.
В принципе, это не сильно критично, потому что найденное R-studio это результат RAWсканирования, которое не работает с файловой системой. А если говорить о восстановлении по файловой, то очень важно правильно указывать тип файловой системы. А она у тебя была FAT32. И именно такую предлагает VeraCrypt в случае если не нужны файлы более 4гб.
2. С точки зрения устройства файловой системы FAT32 и exFAT не очень сильно отличаются, но exFAT заброшенная разработчиком ФС, не до конца изученная и не всякое ПО умеет работать с exFAT. И это лишний повод не использовать её.
Впрочем как и FAT32, если речь идёт о надёжности хранения. По этой части NTFS вне конкуренции. Это если речь идёт о поддерживаемых виндой.
Да, я в курсе о всяких ZFS и т.п., но это из другого мира и не до конца уверен что некоторые из ФС того мира настолько надёжны как это пишут их адепты.
В истории форумов можно найти немало случаев проблем с Ext разных версий и очень мало решений в таких случаях. Да ФС открытая, есть документация и т.п., но что есть то есть - как бы закрытая NTFS наиболее изучена и проблемы с ней решаемы, в том числе и нетрадиционными способами.
3. Что касается результата восстановления. Если несложно, напиши версию R-studio, попробую потестировать - возможно в новых версиях что то изменилось.
Но здесь есть несколько моментов. Как писал раньше, у текстовых файлов нет сигнатур, но насколько понимаю, их можно найти по тому признаку что они содержат только plain-text (возможно ошибаюсь в этом определении).
И в результаты такого поиска в список текстовых могут попасть файлы с другими расширениями если они содержат именно такой тип данных.
Что касается имён, то в случае сигнатурного поиска, привычных имён нет, потому как нет данных о них. И имена таким файлам даются по определённым правилам.
Например, в DMDE файлы именуются fххххх, где ххххх - номер сектора в котором найдено начало файла. Возможно что имя 5 из той же серии, но точнее скажу лишь проведя тестирование.
Конечно бы, было бы интересно провести сравнение в конкретном случае а не в смоделированном и, определив где записан этот файл посмотреть нашла ли DMDE что либо в этом секторе.
В любом случае я никогда не говорю что есть идеальные программы, надо пробовать разные, тем более что есть некоторые типы файлов, поиск которых возможен только в определённых программах.
А ту же DMDE я, и мой виртуальный коллега, используем потому что она позволяет смотреть то, что нужно для анализа ситуации и этого нет в каких то других известных мне программах. Да, есть в некоторых хекс-редактор но нет много каких ещё возможностей.
Вроде ничего не забыл.

[alexjohn]

Цитата (9285) »

Поздравляю с удачным результатом.
Хотелось бы немного прокомментировать это чудо.
1. В дневной спешке как то забыл написать про то, что процессе моделирования ситуации у меня не было случая чтобы VeraCrypt сама предложила exFAT.
В принципе, это не сильно критично, потому что найденное R-studio это результат RAWсканирования, которое не работает с файловой системой. А если говорить о восстановлении по файловой, то очень важно правильно указывать тип файловой системы. А она у тебя была FAT32. И именно такую предлагает VeraCrypt в случае если не нужны файлы более 4гб.
2. С точки зрения устройства файловой системы FAT32 и exFAT не очень сильно отличаются, но exFAT заброшенная разработчиком ФС, не до конца изученная и не всякое ПО умеет работать с exFAT. И это лишний повод не использовать её.
Впрочем как и FAT32, если речь идёт о надёжности хранения. По этой части NTFS вне конкуренции. Это если речь идёт о поддерживаемых виндой.
Да, я в курсе о всяких ZFS и т.п., но это из другого мира и не до конца уверен что некоторые из ФС того мира настолько надёжны как это пишут их адепты.
В истории форумов можно найти немало случаев проблем с Ext разных версий и очень мало решений в таких случаях. Да ФС открытая, есть документация и т.п., но что есть то есть - как бы закрытая NTFS наиболее изучена и проблемы с ней решаемы, в том числе и нетрадиционными способами.
3. Что касается результата восстановления. Если несложно, напиши версию R-studio, попробую потестировать - возможно в новых версиях что то изменилось.
Но здесь есть несколько моментов. Как писал раньше, у текстовых файлов нет сигнатур, но насколько понимаю, их можно найти по тому признаку что они содержат только plain-text (возможно ошибаюсь в этом определении).
И в результаты такого поиска в список текстовых могут попасть файлы с другими расширениями если они содержат именно такой тип данных.
Что касается имён, то в случае сигнатурного поиска, привычных имён нет, потому как нет данных о них. И имена таким файлам даются по определённым правилам.
Например, в DMDE файлы именуются fххххх, где ххххх - номер сектора в котором найдено начало файла. Возможно что имя 5 из той же серии, но точнее скажу лишь проведя тестирование.
Конечно бы, было бы интересно провести сравнение в конкретном случае а не в смоделированном и, определив где записан этот файл посмотреть нашла ли DMDE что либо в этом секторе.
В любом случае я никогда не говорю что есть идеальные программы, надо пробовать разные, тем более что есть некоторые типы файлов, поиск которых возможен только в определённых программах.
А ту же DMDE я, и мой виртуальный коллега, используем потому что она позволяет смотреть то, что нужно для анализа ситуации и этого нет в каких то других известных мне программах. Да, есть в некоторых хекс-редактор но нет много каких ещё возможностей.
Вроде ничего не забыл.

Спасибо! Чтобы он не нашел, удивило то, что восстановился именно нужный файл с кошельком! Пусть и в другом формате, но мы его вычислили!
Версия R-Studio Demo 9.1 (Сборка: 191060). До нее по разному пытался что-то найти с помощь DMDE, но вообще никак! А может и ошибаюсь...скриншот кидал с каким-то файлом, где он ошибку при восстановлении выкидывал..
Вот интересно, что делать теперь с ЖД. На нем лежит 600гб фото, очень не хочется заново их копировать. Возможно как-то исправить этот диск, не затронув фотки? Они если что в другом контейнере(тоже зашифрованные)

[9285]

alexjohn
Возможно что это можно обьяснить тем, что менее повредились более свежие файлы.

Цитата

.скриншот кидал с каким-то файлом, где он ошибку при восстановлении выкидывал.

На том скриншоте том с exFAT на 7хх гигабайт а в электронке ты присылал скриншот где раздел FA32 314мб. Это совершенно разные вещи.
Ты наверное думаешь что когда том монтируется, то он виден расшифрованный на диске - а это не так. Расшифровка идёт на лету и эти данные только на "виртуальном" логическом тому.
Что касается диска, то с учётом написанного выше, тебе, по хорошему сбросить с него данные, хорошо протестировать, после чего (если не будет проблем) сделать том NTFS и на нём создать по новой или зашифрованные тома или файлы-контейнеры тоже с NTFS.
Ну и, первое время, следить за SMART. Если не будет никаких проблем, контролировать, но не так усиленно.

[alexjohn]

Цитата (9285) »

alexjohn
Возможно что это можно обьяснить тем, что менее повредились более свежие файлы.
На том скриншоте том с exFAT на 7хх гигабайт а в электронке ты присылал скриншот где раздел FA32 314мб. Это совершенно разные вещи.
Ты наверное думаешь что когда том монтируется, то он виден расшифрованный на диске - а это не так. Расшифровка идёт на лету и эти данные только на "виртуальном" логическом тому.
Что касается диска, то с учётом написанного выше, тебе, по хорошему сбросить с него данные, хорошо протестировать, после чего (если не будет проблем) сделать том NTFS и на нём создать по новой или зашифрованные тома или файлы-контейнеры тоже с NTFS.
Ну и, первое время, следить за SMART. Если не будет никаких проблем, контролировать, но не так усиленно.

Да, перепроверил скрины. На том скриншоте 7гб это другая флешку, в ней тоже копии хранились, но старые кошельки. Значит точно DMDE не находили этого файла. Хотя пробовал по разному сканировать..
А так понял, все же придется перемещать все фото, а то и они могут все уплыть..

[9285]

Цитата (alexjohn) »

На том скриншоте 7г

Не 7 а 752

[9285]

Цитата (alexjohn) »

Версия R-Studio Demo 9.1

Провёл простое тестирование крайних версий R-studio и DMDE
Взял и переформатировал раздел с exFAT на котором было записана пара экзешников и один лог-файл (по сути текстовый).
Выяснилось что DMDE при RAW-сканировании не ищет txt-файлы.
Но, после полного скана раздела, она нашла старую структуру диска с файлами и они со своими именами.
R-studio в RAW-сканировании может искать текстовые файлы и нашла (имя файла не понял как она формирует), но не нашла вообще старой структуры данныых.

[alexjohn]

Цитата (9285) »

Провёл простое тестирование крайних версий R-studio и DMDE
Взял и переформатировал раздел с exFAT на котором было записана пара экзешников и один лог-файл (по сути текстовый).
Выяснилось что DMDE при RAW-сканировании не ищет txt-файлы.
Но, после полного скана раздела, она нашла старую структуру диска с файлами и они со своими именами.
R-studio в RAW-сканировании может искать текстовые файлы и нашла (имя файла не понял как она формирует), но не нашла вообще старой структуры данныых.

А другие версии DMDE ищут .txt файлы? По сути это был важным пунктом для сканирования, т.к в этих файлах и был доступ к кошельку..

[9285]

alexjohn

Цитата

А другие версии DMDE ищут .txt файлы?

Обычно, более новые версии поддерживают больше форматов и алгоритмов.
Поэтому логично что раз крайняя не может, то и более ранние тоже.

Цитата

По сути это был важным пунктом для сканирования

В общем то, да. Но представь что нужный файл был бы не текстового формата а какой то специфичный.
Что бы было тогда?

[alexjohn]

Цитата (9285) »

alexjohn

Обычно, более новые версии поддерживают больше форматов и алгоритмов.
Поэтому логично что раз крайняя не может, то и более ранние тоже.

В общем то, да. Но представь что нужный файл был бы не текстового формата а какой то специфичный.
Что бы было тогда?

У меня как раз был тот случай, когда файлы специфичны в плане расширения(за исключением .тхт). И json, и csv, и dat, и вообще без расширения. А такие программы, как я понял, в основном ищут только популярные типы

[9285]

alexjohn
Ищут те, которые имеют сигнатуры и те, которые нужны.
Предположим что есть определённые типы файлов, которые и имеют сигнатуры, но про такие не знает разработчик - вот и не будет искать программа такие.