- •Прежде всего... Меры предосторожности
- •Пожар в здании, где находится компьютер или стихийные бедствия. Общие принципы восстановления информации
- •С чего начать
- •Проверка параметров bios
- •Тип и параметры диска
- •Расширенные параметры bios
- •Установка параметров bios по умолчанию
- •Структура файловой системы
- •Восстановление partition table
- •Восстановление данных вручную
- •Формат записи значений цилиндра и сектора (10 и 6 бит соответственно)
- •Значение "относительного сектора"
- •Восстановление винчестера, разбитого на несколько логических дисков.
- •Восстановление загрузочного сектора fat Простейший случай. Разрушен только Boot Sector
- •Непростой случай. Разрушен не только Boot Sector
- •Как восстановить Boot Sector вручную
- •Восстановление загрузочного сектора ntfs
- •Восстановление загрузочного сектора первого раздела
- •Восстановление резервного загрузочного сектора, если первичный сектор отсутствует, поврежден или содержит неверные данные
- •Восстановление загрузочных секторов в Extended partitions
- •Восстановление самой fat Резервная копия
- •Файл подкачки
- •Проверка состояния файловой системы fat
- •Проверка параметров bios
- •Тип и параметры диска
- •Расширенные параметры bios
- •Установка параметров bios по умолчанию
- •Анализ главной загрузочной записи mbr и таблицы разделов
- •Описание формата таблицы разделов
- •Прослеживание списка разделов диска
- •Проверка таблицы разделов при помощи программы diskedit
- •Сохранение параметров диска и таблицы разделов диска
- •Исследование расширенного раздела диска
- •Сохранение содержимого таблиц логических дисков
- •Исследование логических дисков fat
- •Проверка загрузочного сектора
- •Анализ зарезервированных секторов
- •Формат таблицы fat
- •Просмотр таблицы fat
- •Формат каталогов
- •Просмотр каталогов
- •Каталоги в файловой системе vfat
- •Область данных
- •Поиск и восстановление файлов в разделах fat
- •Поиск с помощью программы Norton File Find
- •Поиск с помощью программы diskedit
- •Поиск разделов
- •Поиск таблиц fat
- •Поиск потерянных каталогов
- •Восстановление потерянных каталогов и файлов
- •Один из алгоритмов восстановления области данных
- •Приступим
- •А если Root Directory восстановить не удалось?
- •Этот способ применим как для каталогов, так и для отдельных файлов. Восстановление данных в разделах ntfs (с) Александр Фролов, 2002, http://www.Frolov.Pp.Ru/, http://www.Datarecovery.Ru/
- •Файловая система нового поколения для Microsoft Windows nt/2000
- •Поиск основных внутренних структур ntfs
- •Загрузочный сектор раздела ntfs
- •Определение геометрии раздела ntfs
- •Размер сектора
- •Размер кластера
- •Начало таблицы mft и копии ее первых записей
- •Размер записи таблицы mft
- •Поиск главной таблицы файлов mft
- •Атрибуты файла
- •Поиск атрибутов в записях mft
- •Массив корректировки секторов записи mft
- •Прослеживание списка атрибутов
- •Формат атрибутов файла
- •Заголовок атрибута файла
- •Проблемы с оборудованием
- •Термокалибровка
- •Отказ модуля диагностики
- •Мультисекторные операции
- •Вычисление зон предкомпенсации
- •Потеря сигнала готовности
- •Ошибка чтения сектора
- •Восстановление 0-й дорожки
Один из алгоритмов восстановления области данных
При восстановлении данных следует иметь в виду, что, не имея достоверной информации в таблице расположения файлов (FAT) автоматическое или полуавтоматическое восстановление файлов размером более одного кластера программами типа UnFormat носит чисто случайный характер.
Упрощенно говоря, алгоритм восстановления данных подобными программами основан на поиске кластеров раздела диска с информацией о подкаталогах, анализе их содержания на предмет определения места расположения каталогов, определения номеров начальных кластеров каждого файла и анализе даты создания или стирания файлов. На базе этой информации строится дерево каталогов на логическом диске и расположение файлов по подкаталогам. Эта информация восстановима с большой степенью точности. В случае разрушения корневого каталога (ROOT) информация и файлах в корневом каталоге не восстанавливается, а имена директорий заменяются условными именами (типа DIR001).
Содержимое файлов имеющих размер более одного кластера восстанавливается с большой долей случайности, путем стыковки свободных последовательно расположенных кластеров, и вследствие больших объемов информации и интенсивной работы по созданию/удалению файлов в среде Windows (и не только) чаще всего некорректно.
Для точного восстановления информации необходимо либо восстановить FAT, либо осуществлять восстановление "вручную" поиском и анализом содержимого кластеров на диске с дальнейшей стыковкой кластеров в необходимом порядке. Ручной способ в этом документе рассматриваться не будет.
Для попытки хотя бы частичного восстановления FAT можно воспользоваться особенностью работы ОС Windows 9x с виртуальной памятью, т.е. наличием на диске своп-файла. В этом файле могут находиться куски корневой директории ROOT и отдельные фрагменты, а подчас и полные копии FAT. Поиск этих фрагментов осуществляется в режиме просмотра секторов диска по уникальным маскам.
В качестве начальной маски поиска FAT может быть применен идентификатор F8 FF FF FF. В дальнейший поиск можно осуществлять по произвольным группам, состоящим из пяти последовательных 16-ти или 32-ти разрядных (FAT16 или FAT32) номеров кластеров, которые могут принадлежать какому-либо файлу. Поиск занимает довольно продолжительное время, но, меняя маски поиска, его стоит повторить несколько раз. Следует иметь в виду, что информация в своп-файле чаще всего располагается со смещением от начала секторов, что требует определенной коррекции при просмотре и дальнейшем применении. Основная задача отыскать максимальное число фрагментов, выбрать из них наиболее "свежие" и составить из них подобие полной копии FAT. После проведения подобной операции возможно применение утилит типа UnErase для более полного (но возможно некорректного) восстановления файлов и DiskDoctor для коррекции дисковых ошибок.
Приступим
Запускаем DISKEDITOR и получаем доступ к HDD как к физическому устройству. Ищем ROOT, он, как правило, содержит файл типа command.com. Только не вздумайте вводить в строку поиска "command.com", если Вы таким образом что-нибудь и найдёте, можете быть уверены что это не ROOT. Введите просто "command" или какое-нибудь другое имя файла, про который Вы точно знаете, что он был в корневом каталоге.
Переходим в режим показа каталогов и определяем размер (в секторах) ROOT и записываем эти сектора на дискету (не на загрузочную, она ведь у нас от записи защищена) в отдельный файл. Записываем (на бумажку) с какого именно места начинался ROOT (цилиндр (он же - дорожка), головка, сектор).
Запускаем программу FDISK и убиваем раздел диска. Далее, заново создаём раздел и выходим из программы. FDISK предложит перезагрузиться, что мы и сделаем.
Запускаем программу FORMAT с ключами /U /S и форматируем диск C:. Что, страшно? Не волнуйтесь, программа формат на самом деле ничего не стирает с диска кроме ROOT и FAT, ещё она модифицирует запись BR.
Снова запускаем DISKEDITOR и находим ROOT. Внимательно смотрим, лежит ли он в том же месте что и прежний (у нас это на бумажке было записано). Если не в том же, то считаем, на сколько секторов он сместился. Делим число секторов смещения на два (вернее на количество копия FAT - см. BR). Полученный результат добавляем к (если смешение произошло к началу диска) или вычитаем из (если смешение произошло к концу диска) числа секторов в FAT указанных в соответствующем поле BR. Модифицируем BR и снова форматируем диск. Примечание: Способ абсолютно не корректный, зато простой и действенный. :-)
Повторив предыдущий пункт и, убедившись, что новый ROOT лежит на месте старого, читаем (всё тем же DISKEDITOR-ом) файл с сохранённым ROOT и записываем его поверх нового.
Перезагружаемся (все перезагрузки мы делаем с помощью загрузочной дискеты). Если всё сделано правильно, мы увидим, что всё утраченное содержимое вновь появилось на диске C:. Однако радоваться рано. То, что мы видим только указатели на начала файлов. FAT (после форматирования) девственно чист и нам ещё предстоит заняться восстановлением цепочек кластеров. Здесь успех полностью зависит от того, насколько давно Вы делали дефрагментацию диска. Если дефрагментация выполнена недавно, то все кластеры отдельного файла лежат по порядку. Если дефрагментация делалась давно, или не делалась вовсе, Вам остается положиться на удачу и утешится тем, что первый кластер любого файла Вы считаете верно.
Для восстановления цепочки кластеров в FAT, удалим файл, который требуется восстановить, запустим программу UNERASE и восстановим файл. Программа сделает следующее: исходя из размера файла, объединит соответствующее количество последовательно идущих кластеров, начиная с первого указанного в дескрипторе файла, в цепочку.
Скопируйте восстановленный файл на дискету, и повторите действия для следующего файла подлежащего восстановлению.
Если в каталоге вдруг отсутствует файл, который Вы хотели бы восстановить, во что бы то ни стало, найдите имя файла с помощью DISKEDIRTOR-а используя физический доступ к диску. Удостоверьтесь, перейдя в режим просмотра каталога, что имя находится в дескрипторе файла. Запишите номер первого кластера файла. Найдите любой не нужный файл, который Вы видите на диске и запишите в дескриптор этого файла номер первого кластера файла, который Вы увидеть не можете. Далее используйте технологию восстановления описанную выше.