Восстановление утерянных данных

[9285]

В общем, в чём суть предлагаемого действа и как его реализовать.
1. Проблемный диск подключается к компьютеру
2. В основной системе у томов, расположенных на нём забираются буквы, чтоб винда не работала с ними.
3. В виртуальной машине добавляем Hard Disk и выбираем этот физический диск.
4. В случае если используется VmWare Workstation, то в раcширенных (Advanced) настройках выставляем Independent - Nonpersisten
Но воркстэйшен достаточно дорогая лицензионная программа, поэтому можно сделать финт ушами.
В Vmware Player (в версии 5.х точно работает это) подключаем диск как в п.1-3
Далее, в папке виртуалки находим её конфигурационный файл - называется по заданному имени и с расширением vmx.
Открываем его в текстовом редакторе, находим строку с номером его порта и ниже вставляем строку следующего содержания
ide0:0.mode = "independent-nonpersistent"
Где вместо 0:0 - указываем тот порт, который задан в строке этого виртуального диска.
Бинго! Теперь такой режим работает и в бесплатном плейере. О том что всё это работает можно убедиться в момент когда виртуалка запущена, по появимшимся в папке виртуалки файлам с названиями типа *REDO*

Собственно что в этом случае с диском происходит.
В виртуалке с диском можно делать что угодно - хоть обнулить (*).
Все изменения делаются виртуально и после выключения виртуалки и закрытия её, все эти изменения отменяются.
(*) Здесь небольшая оговорка. Про обнуление написал для доходчивости и насколько понимаю на физический диск не поступает никаких команд, в том числе и TRIM. Но сейчас мне проверить не на чем (SSD или HDD c поддержкой TRIM). Так что те, у кого таковой можете подтвердить или опровергнуть моё утверждение. Ведь у вас же есть подстраховочная посекторка на случай если я не прав.
Но в данном случае у вас не должно быть тримовых операций, так как будут изменения в бутсекторах и работа (исправление ошибок) чекдиском.

Что касается используемой операционки в виртуалке, то здесь вы можете использовать любую, в которой сможете выполнять необходимые действия:
- редактирование секторов (запись дампов в сектора) в DMDE или каком то дисковом редакторе
- проверку файловой системы на ошибки и их исправление - в линуксах за это вроде бы отвечает fsck
- просмотр файловой системы (структуры, наличие и целостность файлов)
В случае использования винды крайне желательна 7-ка или таже виста (ХР) так как в них чекдиск не работает без спроса (кроме запуска при загрузке, который надо отменить). Можно не ставить систему а запустить оболочку с загрузочного диска винды. В этом случае надо чтобы в среде PE были необходимые программы.
Установливать винду если и надо то лишь для того чтобы в ней (для перестраховки) отключить использование TRIM.
Как то так. Если что непонятно обьяснил, спрашивайте.

[9285]

goferez
Ну что, готов к "пляскам".
Для начала, чтобы ты понимал что и как.
При виртуальной реконструкции нового тома у тебя выскочило сообщение об отсутствии более 400000 записей. Тут есть вероятность некоей зацикленности - в расширенном атрибуте идёт запись о том что продолжение в записи 17хххх а этой записи нет.
В любом случае я не нашёл среди списка записей той, с которой начинаются потери. Повторюсь, разбираться с таким месивом чисто теоретически возможно, но это может занять несколько месяцев.
Что касается старой MFt, то она цела в полном обьёме. Поэтому здесь очень важно два момента.
1. В ней всего 4хххх записей, поэтому вероятней всего в ней не будет записей о данных записанных со второго раздела. Можешь посмотреть есть ли таковые открыв этот "старый" том.
2. Всё дальнейшее делается из расчёта что старое расположение файлов нне изменилось. В противном случае сам файл будет виден, но содержимое бужет другое.

Итак, надеюсь что ты разобрался с виртуалкой.
подключаешь диск, открываешь (в виртуалке) его и на экране Разделы удаляешь запись о новом томе (отмечено красным) и вставляешь старый (отмечен зелёным).
Применяешь изменение разметки.
Заходишь в управление компьютера, далее в управление дисками и в меню Действие выбираешь обновление. Смотришь, "появился" ли 8х гиговый том вместо 2хх. Если у тома нет буквы, назначаешь её и пробуешь открыть том.
Если будут какие то ошибки при этом, скриншоть и выкладывай здесь.
Если ошибок нет, то делай проверку тома чекдиском в режиме только чтения. То есть, запускаешь cmd от имени администратора и в ней
chkdsk X:
где Х - буква тома
Если есть какие либо ошибки - показывай здесь.
Если ошибок много, то запускай чекдиск по другому
chkdsk X: >c:\12345.txt
c:\12345.txt - вместо этого пишешь свой путь сохранения файла.
При такой проверке на экране не будет каких то отображений, поэтому нужно просто дождаться когда появится новая строчка командной строки.

Если что непонятно, спрашивай.

[goferez]

Цитата (9285) »

3. В виртуальной машине добавляем Hard Disk и выбираем этот физический диск.

Не получается добавить диск. Пробовал разные версии программы. Такого пункта нет в меню. Есть CD/DVD, floppy... Harddrive нет.
Кстати, на этом ноуте давно не работает CD по неизвестной причине. Возможно это связано.
Буду еще пробовать на другом ноуте.

[9285]

goferez
Ну, не знаю, никогда не было таких "проблемм".

[goferez]

Оказывается диск в юсб кармане подключается через SCSI.
Диск подключил, внес изменения в конфигурационный файл. В настройках диска в виртуальной машине ничего не поменялось, но при запуске файлы REDO создаются.
Теперь я так понял нужно винду установить...

[9285]

goferez
По хорошему, сначала поставить винду на виртуальный диск, а потом уже подключать физический.

[insight81]

Ограничился следующим решением проблемы.
1) В dmde вставил обратно удаленный раздел NTFS (Правка-Вставить раздел).
2) В dmde восстановил загрузочный сектор из копии
3) Выполнил команду chkdsk g: / f

После этого файловая система NTFS восстановилась. Поврежденными оказались около 10 файлов из нескольких тысяч. Меня это устроило.
9285, спасибо за советы.

[9285]

insight81
Ну вот и ладушки.
Можно и так, но риск в таком случае есть. Хотя, всё зависит от того, что было испорчено в начале тома. Потому и предлагал безопасный вариант (в виртуалке) в случае отсутствия посекторки.

[9285]

insight81
Заглянул на форум откуда тебя пригласил сюда и увидел что ты написал о том что решил проблему. Не знаю кто поставил отметку о том что тема решена, но в любом случае хотелось бы высказать сугубо личное мнение по этому поводу.
У какого то человека возникала проблема с данными и если он более менее продвинутый пользователь, то воспользуется поисковиком и получит какие то ссылки. Вполне логично что он в первую очередь будет смотреть то, где отмечено что решено. И что в результате?
Рассмотрю на примере твоего случая с вкраплениями того, что не раз встречалось в практике решения подобных проблем.
Почему нужно было исследование того что накрыл формат диска? Чтобы определить что там было, особенно в части метаданных файловой системы.
Предположим что там была бы частичка сильно (или не очень) фрагментированной MFT. В этом случае выполнение исправлений чекдиском может привести к тому, что MFT не восстанавливается а просто формируется новой; в лучшем случае оставляется старое содержимое 256-ти записей. Причём чекдиск может сделать следующее (реальные примеры такого есть) - после формирования 256 записей, несмотря на то, что должно резервироваться место под будущие записи, он записывает свой лог сразу после 255-ой записи перезаписывая записи 256 и далее, которые ранее были в первом фрагменте MFT. А далее уже система, видя что в этой области нет резервной зоны MFT, пишет данные туда. В результате идут серьёзные потери, особенно если файлы фрагментированы или не имеют сигнатур - то есть не получится восстановить RAW-восстановлением.
Собственно в чём смысл того что написал. Неплохо было бы чтобы хотя бы вкратце написал про то, что делался анализ ситуации и после понимания того что произойдёт, делалось исправление. Как то так.

[kotovich]

Приветствую ув. формучан!

Использовал Bulldog 0.92 от автора Виктории — нужно было проверить, не умирает ли флешка.
После теста на чтение начал запись, нажал в этой софтине «деформатирование», переподключил накопитель, нажал!в win отказ от форматирования — ничего не произошло. Подумал, что что-то не прочиталось, обновил список обнаруженных дисков — и повторил процедуру.
И только после этого понял, что я видимо сделал то же «деформатирование» для первого диска, на котором по умолчанию выбор ставится после повторного обнаружения подключенных дисков. А это был hdd на 1 TB с кучей данный (системный у меня ssd).
В итоге флешку проверил, а вот через некоторое время windows перестал видеть терабайтник. И после перезагрузки видит его, как неразмеченный.
Ничего на него не записывал (в т.ч. в Бульдоге, там это отдельная кнопка и функция, запись начинается после "деформатирования" и сопровождается соотв.визуализацией), только посмотрел, что физ.устройство видится через биос, и в hard disk manager 16 посмотрел, что диск обнаруживается. Ничего там тоже не делал, не применял. В R-Studio сделал скан диска. Собрался было восстановлением заняться - но терабайной емкости другой нет, танцы с бубном надо будет делать и кусками восстанавливать, копировать...
Подозреваю, что Бульдог что-то простое делает с диском при этом "деформатировании", структура папок не затёрта. Есть ли возможность как-то восстановить содержимое на диске? Автор Бульдога ничего не ответил.
По диску: ST1000DM003-1SB10C, живой, 4 раздела в ntfs, вроде все логические. И раздел от дебиана остался в ext4, он не нужен. ОС Windows 10 x64.

[kotovich]

скрин из dmde

[9285]

kotovich
Если ты ничего не предпринимал с целью восстановления, то судя по скриншоту, максимум куда "куснул" бульдог - сектор 16127.
Хотя если быть точнее чуть дальше на пару секторов потому как (насколько помню) у Ext4 бутсектора в обозначенном секторе нет, он виртуальный, смещённый назад от суперблока.
В любом случае тебе это некритично так как целы NTFS-овские разделы.
Открывай те, что с EBCF и смотри, есть ли там нужное. Можешь сделать пробное восстановление данных, желательно расположенных в начале первого тома.
Если всё нормально - вставляй поэтапно и смотри.
Если хочешь полной подстраховки - поищи здесь где то про использование виртуальной машины (VmWare).
Хотя, для 100% гарантии надо как бы делать посекторку. Это пишу не столько для тебя, а для тех кто вдруг решит что всё так просто решается. Ну и вдруг заглянувших сюда профи (барыг) вечно ноющих что без неё никак.

[kotovich]

Спасибо.
Правильно понял, что в DMDE выделяю найденный диск и использую функцию "Вставить раздел undelete"? Там дальше вопрос - как лог.диск mbr или раздел guid. Не помню, как я их делал. Можно где-то это посмотреть? По метафайлам?

[9285]

Да, именно так. Причём, как написал выше, сделайте проверку данных заголовка первого тома, вставляешь, не забывай применять разметку.
Если тому не назначится буква, назначь.
Потом можешь сделать проверку чекдиском в режиме только чтения (но это сродни перебздеть). Если всё нормально, то все остальные вставляй смело.
Что касается как вставлять - тут уж сам решай.
1.Если стиль разметки был GPT, то в последних секторах диска будет копия.
2. Если тебе достаточно четыре тома, то можно (в MBR разметке) все вставить основными. Хотя, если судить по отступам, то вероятней всего были логическими.
Проверить это можно посмотрев бутсектора каждого тома. Если там в поле отсупа число секторов равно смещению раздела, то том был основным.
Как то так.

Добавлено через 1 минуту

PS. Когда решишь проблему напиши на хоботе что решено.
Чтобы тамошние, по крайней мере мой виртуальный коллега - Yatagan, не топтал зря клавиатуру.

[kotovich]

Всё, благодаря ув. 9285 решил проблему. Восстановил через dmde нужные локал.диски (разметку), потом буквы им присвоил на основе прежних ярлыков в системе. Вроде всё работает.

[Алексей По]

Здравствуйте.

Прошу помочь, если есть такая возможность.

Отключили свет. Когда стали включать компьютер, то пробежал CHKDSK.
После этого все папки на диске стали пустые.
При этом объем диска остался какой и был, значит ничего не удалилось.

Нашел три скрытые папки found.000, found.001, found.002. В них находятся перенесенные файлы.
Но при попытке открыть любой файл: картинка, фото, видео, текст, ничего не открывается.

Обратил внимания, на странную разметку на диске. Может из-за этого ничего не открываться?
Посмотрите, может можно вернуть как нужно? Подскажите как.

На диске всего один раздел от начала до конца.
Дамп 2100 секторов от начала диска https://transfiles.ru/20a43

Диск был и есть в GPT.

[9285]

Алексей По
Первое что надо сделать - исключить работу с этим диском.
Как минимум, забрать букву у него, по хорошему - сделать GPToff.
А дальше анализировать ситуацию.
Описание точно соответствует произошедшему или со слов клиента и т.п.?
Вот чуйка подсказывает что были какие то манипуляции с разделом, и тогда вполне обьяснимо что данные битые. И, вероятней всего, по причине смещения их относительно реального расположения.
Чекдиск подобное натворить не может, точнее может и может, но это уже по причине глюка контроллера.
Что в данном случае могу предложить сделать.
1. В DMDE выдели "странные" записи, особенно ту, что с В и покажи скриншот, чтобы было видно правое окно (расширь его по возможности)
2. Посмотреть структуру файлов с характерными заголовками (те же зип-архивы или фотки) в нормальном хексредакторе или том же DMDE чтобы видеть что там.
3. Если предположить что нет проблем с контроллером, который может вносить "мусор" в сектора или его транслировать. то не исключаю вариант смещения. Именно поэтому и написал про манипуляции с разделами.
В таком случае надо попробовать поработать с черновым (RAW) поиском. Если будут найдены те же зип-архивы, посмотреть что в них. Если получится сопоставить содержимое с уникальным названием, то посмотреть сектор начала по результате чернового восстановления, и тому, что по ФС. Желательно найти несколько таких пар. Если смещение идентичное, то это будет подтверждением манипуляций чс разделами.

[9285]

На скриншоте пример открытого файла avi.
Сразу видны характерные сигнатуры.
Но, avi это просто контейнер. Такое расширение можно дать множеству видео файлов, имеющих разные заголовки, засисящие от типа используемой компрессии.

[Алексей По]

Диск мой, с новья стоит как дополнительный D. Системы там никогда не было. Манипуляций с разделами не проводились и не планировались.

Смотрели с женой с него фильм, свет выключили. При следующем включении компьютера побежал Chkdsk. Хотели дальше фильм включить, а все папки стали пустые. Я еще уже сам потом по незнанию Chkdsk запустил, но ничего не изменилось.

Вот нашел лог Chkdsk в папке System Volume Information на этом диске и он, кстати, открывается.

https://transfiles.ru/4hlr6

Не знаю, это тот, что при загрузке, или тот, что я уже сам запускал.

Скриншоты сделал, не знаю, такие или нет.

[9285]

Алексей По
Поищи ещё в журналах винды лог чекдиска.
Что касается приведённого скриншота файла картинки - это не заголовок jpg-файла.
Сделай следующее - посмотри номер сектора, в котором начинается этот джипег, отними от этого числа 304, перейди к указанному сектору и покажи что там.
Что касается лога чекдиска, то там сильно критичного нет ничего.
Если не считать вставку атрибута данных в 70-ти записях.