Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Пропал диск. Восстановление таблицы разделов (не данных) - 2

Модерирует : KLASS, IFkO

KLASS (26-02-2017 16:06): Продолжение в Пропал диск. Восстановление таблицы разделов (не данных)-3  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181

   

vu1tur



Moderator-Saaber
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
предыдущие части: 1
ВНИМАНИЕ! В данной теме не восстанавливают данные. Кому восстановить данные сюда... там несколько частей темы, возможно, уже есть решение вашей проблемы. Внимательно читаем шапку.
---------------------------------------------------------------------------------------------
В помощь по данной теме:

Всего записей: 3690 | Зарегистр. 01-02-2003 | Отправлено: 16:26 08-04-2010 | Исправлено: KLASS, 17:42 16-08-2014
Antech

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bai01
В общем-то 9285 уже все рассказал, если картко, то проблема вовсе не в 20-м атрибуте, а в том, что он появляется только при очень большом количестве фрагментов MFT, и врядли кто-то захочет тратить столько времени на формирование ранлиста.
 
Если бы все фрагменты были не реликтовыми и с четко определенными координатами, то возможно было бы написание автоматической создавалки ранлиста по результатам лога поиска DMDE. Правда, разделять потом ранлист на несколько записей, включая составление 20-го атрибута, - тоже время нужно, но в случаях, когда ранлист помещается в одну запись, это была бы очень эффективная примочка. Проблема в том, что далеко не все найденные экстенты надо включать в ранлист, да и формат лог-файла может измениться в новой версии...

Всего записей: 3120 | Зарегистр. 26-12-2006 | Отправлено: 10:21 09-09-2011 | Исправлено: Antech, 10:22 09-09-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Antech

Цитата:
не в 20-м атрибуте, а в том, что он появляется только при очень большом количестве фрагментов MFT

Насколько понял, если потом число фрагментов уменьшается то аттрибут всё равно остаётся? Если это так, то у bai01 есть хороший шанс.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 10:31 09-09-2011
Antech

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285

Цитата:
если потом число фрагментов уменьшается то аттрибут всё равно остаётся?

Вроде да.
Но Вы же говорили, что офигели от количества фрагментов в результатах поиска. Я сейчас тоже посмотрел, с тем же результатом. Это не раздел, это клиника. Мало того, что находится более 500 начал разделов, да еще и фрагментов MFT вообще не счесть. Даже если там нужны не все, кто будет обрабатывать этот хлам? Т.е. нужна прога для автоматического поиска цепочек фрагментов по результатам DMDE, которая бы не только прочитала/распарсила лог-файл и определила последовательность фрагментов, но и сама составила ранлист для патчевания, причем врядли там без 20-го обойдется... Например, я видел последовательность фрагментов, по-моему по 2048 записей, которые начинаются/заканчиваются "нос в хвост", т.е. формируют непрерывную последовательность записей. И таких там, наверное, не одна...

Всего записей: 3120 | Зарегистр. 26-12-2006 | Отправлено: 15:02 09-09-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Antech
Ну, программе может и сложно расспарсить все эти комбинации, потому то человеческий ум и не могут до сих пор компьютеризировать.
Ведь вроде бы и небольшое повреждение первых записей MFT. Винт вроде как не сыпется. Вполне ожидаемо что остальное цело. При этом номерация записей идёт на десятки тысяч, а фрагменты очень мелкие. Список должен был бы быть в невероятно раз больше. Имено это меня и смутило. В результате замечено два больших фрагмента. Плюс 1 начальный. В сумме число записей, соответствующее тому, что есть в MFT.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 19:36 09-09-2011
VasiliskA89

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прикол такой: перезагрузил Вин7 на буке и случился "великий П". Симптомы такие: Если пытаться загрузить на данном компе что-то вроде Win PE - вылетает в синий экран. Если подключить данный хард к другому компу, где уже запущена винда - винда вылетает синим экраном. Акронис Диск Директор видит нереальную картинку: 1 - локальный том (реальный диск С - объем соответствует действительности); 2 - локальный том (реальный диск Д - все соответствует); 3 - локальны том (основной MBR 281,1Гб - не отформатирован - такого никогда не было); 4 - Не занято 465,8Гб (полный реальный объем харда - данных никаких).
На 1 и 2 томах видит файлы - уже все восстановил. Проблема в том, что по отношению к томам 2, 3 и 4 не возможно применить какие либо действия (удаление и т.п.): коды такие 0х950014 (Сбой применения), 0х360194 (сбой проверки Fdisk), 0x10302F (не удается удалить том), 0х108408 (не удается найти том MBR на диске).
Вопрос: что сделать чтобы на диске пропало ВСЁ? Обнулить сигнатуру носителя в MBR? Обнулить 6 байт? Если ДА - то что значит "обнулить" - вписать туда 0?
Спасибо.

Всего записей: 7 | Зарегистр. 09-09-2011 | Отправлено: 20:22 09-09-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VasiliskA89
Я не знаю что имеется в виду под сигнатурой, но если речь о том, что в описании MBR из шапки (выделено салатновым), то это не поможет.
Если реально нет желания решить достаточно элементарную задачу и ничего не нужно, то можно обнулить (в порядке возрастания): его конец (55AA) + (или) таблицу разделов или весь сектор. Но это сделает диск как бы без ничего, хотя на самом деле останется весь мусор.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 20:46 09-09-2011
VasiliskA89

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
Что вы подразумеваете под "обнулить"? Меня это вполне устроит. Пусть он будет таким как будто его только что принесли из магазина)

Всего записей: 7 | Зарегистр. 09-09-2011 | Отправлено: 21:01 09-09-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VasiliskA89
Чтобы он был как будто из магазина, его надо обнулить весь.
Обнуление - запись нулей в нужные сектора.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 21:15 09-09-2011
VasiliskA89

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
Подскажите что и куда нужно записать (нужно что-то от меня?)
Спасибо

Всего записей: 7 | Зарегистр. 09-09-2011 | Отправлено: 21:45 09-09-2011
Sphinx114



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VasiliskA89, походу в таблице разделов две (или одна) лишние строки и всё. Это хорошо, что Акронис грузится. Там есть Acronis Hex Editor, им можно открыть диск и либо обнулить эти строки, либо весь 0-й сектор.

Всего записей: 1201 | Зарегистр. 26-03-2011 | Отправлено: 22:14 09-09-2011
VasiliskA89

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sphinx114
Строчки искать не вариант. Подскажите в каких адресах записать "0". И каков вообще порядок действий.

Всего записей: 7 | Зарегистр. 09-09-2011 | Отправлено: 22:29 09-09-2011 | Исправлено: VasiliskA89, 22:33 09-09-2011
Sphinx114



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VasiliskA89, в акронисе "Диск N" - ПКМ - дополнительно - правка - F2 - выделяешь 0-й сектор - правка - заполнить - OK - правка - сохранить сектор.

Всего записей: 1201 | Зарегистр. 26-03-2011 | Отправлено: 22:50 09-09-2011
VasiliskA89

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
0 сектор - с какого по какой адресс (пока нет таких глубоких познаний).

Всего записей: 7 | Зарегистр. 09-09-2011 | Отправлено: 22:54 09-09-2011
Sphinx114



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VasiliskA89, от 0 до 1FF

Всего записей: 1201 | Зарегистр. 26-03-2011 | Отправлено: 22:57 09-09-2011
VasiliskA89

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sphinx114
Спасибо, помогло - буду учиться дальше

Всего записей: 7 | Зарегистр. 09-09-2011 | Отправлено: 23:29 09-09-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VasiliskA89
Учиться чему? Уничтожению?
Вот если бы восстановил то что было, и сохранил данные оттуда а не не вытаскивал хлам рековерилками, тогда было бы понятно.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 23:46 09-09-2011
rooten

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо огромное. очень выручили. познаем непознаваемое)

Всего записей: 1 | Зарегистр. 04-09-2011 | Отправлено: 00:20 10-09-2011
Antech

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285

Цитата:
программе может и сложно расспарсить все эти комбинации

Алгоритм такой:
1. Упорядочиваем все фрагменты по номеру начальной записи.
2. Задаем номер текущего фрагмента = 0, пишем его номер в массив последовательности, помечаем его как использованный.
3. Просматриваем список фрагментов, начиная с текущего+1, в поисках такого фрагмента, у которого номер начальной записи равен номеру последней записи текущего фрагмента + 1. Если таковой находится, то меняем номер текущего фрагмента на номер найденного фрагмента, пишем его в массив последовательности, помечаем его как использованный и переходим опять к п. 3. Если такой не находится, то закрываем данную последовательность.
4. Задаем номер текущего фрагмента равным первому из неиспользуемых, выполняем п. 2 (кроме задания текущего фрагмента) и переходим к п. 3. Если ниспользованных фрагментов не осталось, заканчиваем обработку.
Вот такой нехитрый алгоритм, описание несколько кривое, но смысл очевиден. Он применим только для MFT, в которой есть номера записей. Учитывает реликты: если между двумя "настоящими" фрагментами вклинился один или несколько реликтовых фрагментов, алгоритм пропустит их и в список добавлять не будет. Также он поддерживает несколько последовательностей фрагментов, например, если проискана область более чем одного раздела. Использовать его можно по существующим результатам поиска в DMDE.
Т.е. теоретически фича реализуема. Практически будет вполне работоспособно на не слишком twisted результатах поиска. Но это надо в DMDE встраивать, моя прога не имеет функции формирования фрагментов MFT, да и времени нет пока что...
 
VasiliskA89
Лучше идеи не нашлось... Неужели так трудно было почистить PT? В шапке есть ссылка на прекрасный мануал по MBR-Style разметке...
А то, что Вы сделали, тут никаких байт вообще не нужно: взяли бы HDDScan - Tests - Surface - Write. Но к теме это уже совершенно не относится, т.к. стирает все содержимое диска.

Всего записей: 3120 | Зарегистр. 26-12-2006 | Отправлено: 22:35 10-09-2011
atdevilru

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте Antech и 9285, не поможете мне разобраться со структурой boot сектора на планшетном компьютере ради спортивного интереса?
В наличии имеется дамп диска под виртуальную машину VMware, который частично соответствует дампу прошивки реального устройства.
Отсюда следует, что если разобраться в организации разделов под виртуальной машиной, то и на устройстве всё будет справедливо.
Из анализа диска, проведённого мной, выяснено, что MBR находится в 640 секторе (видимо в начале находятся цифровые подписи прошивки?)
Структура MBR имеет вполне стандартный вид, с ней вроде бы всё понятно, кроме нестандартной файловой системы, System ID = 0xB3, т.е QNX Neutrino Power-Safe filesystem.
Из MBR берём относительное смещение (0x01C6), оно равно 3F, умножаем на размер сектора, т.е 512 байт, получаем адрес 7E00, перейдя от начала MBR на смещение 7E00 приходим к boot сектору, вот тут то и начинаются проблемы, после первых 3х байт (Jump instruction), не идёт OEM ID, как указано в большинстве статей, а идёт не понятно что, вот тут мне и нужна помощь специалистов, как расшифровать организацию данных записей? Есть ли какая-нибудь литература про устройство файловых систем unix (структуру QNX Neutrino Power-Safe filesystem я думаю найти нереально), а то я обыскался, нигде ничего нету.
Если предположить, что OEM ID просто пропускаем, то следующий, по идее, должен идти размер сектора, а он варьируется от версии прошивки, получается ерунда.  
Причём при загрузке MBR позволяет выбрать с какого раздела (бут сектора) грузиться, поэтому в дампе имеется ещё один бут сектор, сравнивая их получаем следующую картинку:  

т.е отличаются только 6 байтов в первой строке, отсюда я предположил что в данной строке каким-то образом закодирован адрес на который передаётся управление кодом самого бутлаодера, на этом я и заступорился, как из 2х адресов собрать один верный?
Также прикрепляю дампы секторов MBR+100 и boot+100.
http://zalil.ru/31679258
 
Ещё имеется штук 8 прошивок для устройства, ответа на вопрос из их анализа я, конечно же, не получил.
Заранее спасибо за помощь в любом её проявлении.

Всего записей: 6 | Зарегистр. 16-07-2009 | Отправлено: 05:04 11-09-2011 | Исправлено: atdevilru, 05:39 11-09-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
atdevilru
Я в данном вопросе не помощник, хотя кое что всё таки отвечу.
1. Посмотри Б. Кэрриэ - Криминалистический анализ файловых систем
2. У меня на втором винте установлена убунта. Её раздел начинается в 63-ем секторе, и там (вместо привычных символов) одни нули.
Насколько понимаю, все эти идентификаторы относительны. Главное что бы загрузчик сам понял что считывать и делать. Сейчас стали распространены различные видеорегистраторы. Вот в них разработчики соревнуются в умении "Кто во что горазд".
 
PS. Если понадобится патч для твоего случая - маякни.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 16:56 11-09-2011
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Пропал диск. Восстановление таблицы разделов (не данных) - 2
KLASS (26-02-2017 16:06): Продолжение в Пропал диск. Восстановление таблицы разделов (не данных)-3


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru