- •Прежде всего... Меры предосторожности
- •Пожар в здании, где находится компьютер или стихийные бедствия. Общие принципы восстановления информации
- •С чего начать
- •Проверка параметров bios
- •Тип и параметры диска
- •Расширенные параметры bios
- •Установка параметров bios по умолчанию
- •Структура файловой системы
- •Восстановление partition table
- •Восстановление данных вручную
- •Формат записи значений цилиндра и сектора (10 и 6 бит соответственно)
- •Значение "относительного сектора"
- •Восстановление винчестера, разбитого на несколько логических дисков.
- •Восстановление загрузочного сектора fat Простейший случай. Разрушен только Boot Sector
- •Непростой случай. Разрушен не только Boot Sector
- •Как восстановить Boot Sector вручную
- •Восстановление загрузочного сектора ntfs
- •Восстановление загрузочного сектора первого раздела
- •Восстановление резервного загрузочного сектора, если первичный сектор отсутствует, поврежден или содержит неверные данные
- •Восстановление загрузочных секторов в Extended partitions
- •Восстановление самой fat Резервная копия
- •Файл подкачки
- •Проверка состояния файловой системы fat
- •Проверка параметров bios
- •Тип и параметры диска
- •Расширенные параметры bios
- •Установка параметров bios по умолчанию
- •Анализ главной загрузочной записи mbr и таблицы разделов
- •Описание формата таблицы разделов
- •Прослеживание списка разделов диска
- •Проверка таблицы разделов при помощи программы diskedit
- •Сохранение параметров диска и таблицы разделов диска
- •Исследование расширенного раздела диска
- •Сохранение содержимого таблиц логических дисков
- •Исследование логических дисков fat
- •Проверка загрузочного сектора
- •Анализ зарезервированных секторов
- •Формат таблицы fat
- •Просмотр таблицы fat
- •Формат каталогов
- •Просмотр каталогов
- •Каталоги в файловой системе vfat
- •Область данных
- •Поиск и восстановление файлов в разделах fat
- •Поиск с помощью программы Norton File Find
- •Поиск с помощью программы diskedit
- •Поиск разделов
- •Поиск таблиц fat
- •Поиск потерянных каталогов
- •Восстановление потерянных каталогов и файлов
- •Один из алгоритмов восстановления области данных
- •Приступим
- •А если Root Directory восстановить не удалось?
- •Этот способ применим как для каталогов, так и для отдельных файлов. Восстановление данных в разделах ntfs (с) Александр Фролов, 2002, http://www.Frolov.Pp.Ru/, http://www.Datarecovery.Ru/
- •Файловая система нового поколения для Microsoft Windows nt/2000
- •Поиск основных внутренних структур ntfs
- •Загрузочный сектор раздела ntfs
- •Определение геометрии раздела ntfs
- •Размер сектора
- •Размер кластера
- •Начало таблицы mft и копии ее первых записей
- •Размер записи таблицы mft
- •Поиск главной таблицы файлов mft
- •Атрибуты файла
- •Поиск атрибутов в записях mft
- •Массив корректировки секторов записи mft
- •Прослеживание списка атрибутов
- •Формат атрибутов файла
- •Заголовок атрибута файла
- •Проблемы с оборудованием
- •Термокалибровка
- •Отказ модуля диагностики
- •Мультисекторные операции
- •Вычисление зон предкомпенсации
- •Потеря сигнала готовности
- •Ошибка чтения сектора
- •Восстановление 0-й дорожки
Поиск с помощью программы Norton File Find
Наиболее распространенное повреждение файловой системы FAT возникает при внезапном отключении питания и заключается в появлении так называемых потерянных кластеров. Это повреждение также бывает следствием аппаратного сброса компьютера при работающей операционной системе Microsoft Windows.
Потерянные кластеры называются так потому, что на них нет ссылок ни в одном каталоге файловой системы. Такая ситуация может возникнуть, например, из-за того, что соответствующий каталог был просто уничтожен и, следовательно, ссылки на описанные в нем файлы исчезли.
Чаще всего для ремонта повреждений такого рода пользователи применяют программу SCANDISK, входящую в состав операционной системы, или программу Norton Disk Doctor.
После восстановления файловой системы программой Norton Disk Doctor или SCANDISK на диске может образоваться громадное количество файлов со специфическим расширением имени, составленные из цепочек потерянных кластеров (каждая программа восстановления использует свое имя). Таких файлов в зависимости от серьезности повреждений файловой системы может быть до нескольких тысяч.
Если после сбоя или вирусной атаки Вы проверили диск одной из перечисленных выше программ, и в результате нужные Вам файлы исчезли, существует большая вероятность, что они оказались среди восстановленных файлов. Однако как их найти среди сотен и тысяч других?
Проще всего это сделать, например, с помощью программы Norton Find File. Ее можно запустить из популярной оболочки Norton Commander при помощи комбинации клавиш Alt+F7.
В поле File(s) to find Вы должны задать шаблон для имени файла и расширения имени, например, *.NDD. Поиск будет выполняться только среди файлов, имя которых удовлетворяет указанному шаблону.
Необходимо также указать в поле Containing контекст для поиска, то есть какую-либо текстовую строку, присутствующую в файле. Например, для того чтобы найти все файлы, созданные текстовым процессором Microsoft Word for Windows, Вы можете указать строку контекста "Microsoft Word", а для того чтобы найти все файлы, подготовленные в среде процессора электронных таблиц Microsoft Excel, укажите строку контекста "Microsoft Excel".
Список путей к найденным файлам отобразится в верхней части окна программы Norton Find File.
В дальнейшем, если найденных файлов будет все еще очень много, Вы можете переписать их в отдельный каталог и переименовать, а затем продолжить поиск, используя другие строки в качестве контекста.
Поиск с помощью программы diskedit
По сравнению с описанной в предыдущем разделе программой Norton Find File, программа DISKEDIT предоставляет намного больше возможностей для поиска файлов, а также различных структур файловой системы.
Поиск разделов
Обратите внимание на меню Tools программы DISKEDIT.
Если выбрать из этого меню строку Find, на экране появится диалоговая панель Enter search text. С помощью этой диалоговой панели Вы сможете выполнять контекстный поиск строк, заданных как символьным, так и шестнадцатеричным представлением. Дополнительно можно указать смещение сектора и выбрать режим Ignore Case. При использовании этого режима сравнение с образцом будет выполняться без учета строчных или прописных букв.
Строка Find Object позволяет выполнить поиск различных структур файловой системы. Если выбрать эту строку, на экране появится меню второго уровня, где есть строки Partition/Boot, FAT и Subdirectory.
Попробуйте все это в действии. Для этого откройте меню Object и выберите из него строку Physical Sector. Затем укажите самый первый сектор, расположенный на нулевой дорожке. Этот сектор должен содержать главную загрузочную запись MBR. Перейдите в режим неформатированного просмотра, выбрав из меню View строку as Hex.
А что делать, если, взглянув на главную загрузочную запись, Вы увидели, что таблица разделов разрушена или зашифрована?
В этом случае можно выполнить контекстный поиск секторов загрузочных записей, содержащих блоки параметров BIOS BPB. Проще всего это сделать, если после просмотра главной загрузочной записи по ее физическому адресу и перехода к следующему сектору диска выбрать из меню Tools/Find Object строку Partition/Boot.
Программа DISKEDIT найдет сектор, содержащий в конце последовательность байт "55 AA", соответствующую сигнатуре загрузочного сектора 0xAA55.
После того как Вы нашли загрузочный сектор, его физический адрес можно вручную подставить в таблицу разделов, отредактировав ее программой DISKEDIT.
Так как структура разделов диска в процессе эксплуатации последнего может многократно изменяться, не исключено, что Вы найдете слишком много загрузочных секторов. Некоторые из них принадлежали старым разделам и не были уничтожены при изменении структуры разделов, некоторые вообще могут принадлежать другим операционным системам. В любом случае проверяйте расположение найденного загрузочного сектора относительно других найденных вами логических структур файловой системы. Например, Вы можете использовать для "опознания" тот факт, что сразу после загрузочного сектора раздела FAT должна следовать таблица размещения файлов.
Так как в процессе поиска программа DISKEDIT проверяет только последние два байта сектора, возможны ложные срабатывания. Вслед за найденным сектором может располагаться сектор, содержимое которого мало похоже на таблицу размещения файлов.