Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Пропал диск. Восстановление таблицы разделов (не данных) - 2

Модерирует : KLASS, IFkO

KLASS (26-02-2017 16:06): Продолжение в Пропал диск. Восстановление таблицы разделов (не данных)-3  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181

   

vu1tur



Moderator-Saaber
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
предыдущие части: 1
ВНИМАНИЕ! В данной теме не восстанавливают данные. Кому восстановить данные сюда... там несколько частей темы, возможно, уже есть решение вашей проблемы. Внимательно читаем шапку.
---------------------------------------------------------------------------------------------
В помощь по данной теме:

Всего записей: 3690 | Зарегистр. 01-02-2003 | Отправлено: 16:26 08-04-2010 | Исправлено: KLASS, 17:42 16-08-2014
TaxEskeldy

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! Очень нужна Ваша помошь в решении проблемы. Суть в следующем, имеется диск HDD Hitachi HDS721616PLA380 SATA 150 Gb, разбит на 2 раздела по 75 Gb, загрузочный диск С:\NTFS и D:\FAT32. Установленная ОС была Win XP SP3.  
После ошибочного запуска восстановления системы накрылась MFT системного диска. Т.е. комп был загружен с DVD ACER Recovery диска  и запущена утилита восстановления. Тут же было замечено что данная утилита пытается не задавая лишних вопросов установить новую ОС с заводскими настройками. Диск был сразу извлечен, утилита прервала свою работу проработав секунд 5-7, т.е. за это время утилита не форматировала диск, а как мне кажется тупо записала на него новую таблицу размещения файлов. Подключил винт к другому компьютеру, и вижу такую картину, диск  D:\FAT32 на месте и на нем все нормально и без изменений, а вот на диске C:\ видны только  пару новых папок созданных утилитой, старые данные не видны, но данные на диске есть (видны программами для восстановления данных GetDataBack и др.). В общем нужна прога, для автоматического восстановления таблицы размещения файлов. Можно конечно скопировать все на другой винт, но это долго (учитывая объемы) + нужен носитель, ну и заново устанавливать все программы и настраивать все это долго. Естественно хотелось бы восстановить или поправить MFT чтобы восстановить на диске все данные ну и заодно ОС Win XP со всеми программами и настройками которых на компьютере собралось не мало. Все что пока нашел по существу это предложение ручками поковыряться с помощью WinHex'а, на что знаний и опыта у меня не хватает, читал что можно поправить MFT с помощью утилиты DMDE, но тоже не смог разобраться в тонкостях ее работы, а экспериментировать стало боязно.
 
P.S. Что делать не знаю - гуру помогите!!! Объясните ПОШАГОВО, как можно восстановить систему в прежнем виде??? Дампы и скриншоты выложил здесь http://zalil.ru/32095540

Всего записей: 36 | Зарегистр. 20-11-2011 | Отправлено: 17:02 20-11-2011
TaxEskeldy

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На этой ветке есть кто живой ??? Люди добрые помогите решить проблему !!!

Всего записей: 36 | Зарегистр. 20-11-2011 | Отправлено: 17:49 21-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, диск с NTFS превратился в  RAW. подскадите что делать. редактонуть MBR? или ещё какие-нибудь файлы?
Через ВинХекс диск видит нормально. Повреждённые сектора позатирал с помощью MHDD

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 22:03 22-11-2011 | Исправлено: pahan35, 22:04 22-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35

Цитата:
Повреждённые сектора позатирал с помощью MHDD

А в тех неведомых секторах было что то из служебных записей MFT.
Вот и результат.
 

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 00:09 23-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
pahan35
 
Цитата:
Повреждённые сектора позатирал с помощью MHDD
 
А в тех неведомых секторах было что то из служебных записей MFT.
Вот и результат.
 

 
Сомневаюсь. но у меня есть бекап MFT до краша. могу снять текущее состояние MFT если это чем-то поможет.
 
Добавлено:
есть два бекапа всех метафайлов, до краша и после

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 03:37 23-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35
Сомневаешься? Ну так давай, подтверди обоснованность своих сомнений.
Хотя да, немного неточно написал - надо было вместо MFT ФС написать.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 10:35 23-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
А ты случайно не знаешь как можно с помошью этих метафайлов или чего мто другого восстановить ФС??
Или какой прогой можно  заменить текущий MFT на скопированный недельной давности MFT??
Там я где-то скачал +100 ГБ инфы за неделю ну и удалил несколько фильмов -10-15 ГБ.
 
Да и насчёт
Цитата:
Сомневаюсь
: раздел был RAW ещё до моих манипуляций с MHDD. Бекапы сейчас попробую выложить куда-нибудь. Ссылки закину сюда

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 16:49 23-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35

Цитата:
раздел был RAW ещё до моих манипуляций с MHDD

К сожалению, мой уровень телепатии очень низок.
Что касается дампов, то лучше сбрось дампы начального сектора + 100 следующих для физического диска и раздела, который RAW.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 18:43 23-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
все метафайлы раздела RAW. http://files.mail.ru/QS84ZW
метафайлы раздела RAW за неделю до краша(когда он был еще NTFS) http://files.mail.ru/KNZT9W
начальный сектора диска http://files.mail.ru/FHK83R
P.S:
Цитата:
К сожалению, мой уровень телепатии очень низок.  
извиняюсь, что раньше не написал

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 17:12 24-11-2011 | Исправлено: pahan35, 17:13 24-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35
Метафайлы не смотрел, но в "начальном секторе" нет самого интересного - содержимого сектора 2048.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 18:14 24-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
у меня второй partition слетел. начальный сектор 131074048
вот этот сектор http://rghost.ru/31835821. я так понял это MBR

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 18:39 24-11-2011 | Исправлено: pahan35, 18:44 24-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35
Уж звиняй, но до сих пор не заметил что проблема со вторым разделом.
Я же писал что не телепат.
 
В дампе мусор, хотя среди него отчётливо просматриваются сообщения стандартного загрузочного сектора.
Очень сильно напоминает обфускацию, применяемую для сокрытия тех же вирусных записей.
И вполне закономерно "возник" RAW .

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 20:39 24-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
9285
какие предложения будут по восстановлению работоспособности равздела?
Подредактить MBR??
залить старые метафайлы вместо текущих?
может что-то ещё?  
 
да и что значит "напоминает обфускацию"??

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 21:05 24-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35
MBR не виноват в проблеме. С метафайлами не  стоит так опрометчиво.
Но $Boot можно вернуть - записать его содержимое в сектор 131074048
Кстати, можно взглянуть на сектор 2930272255 до всех исправлений?
 
Про обфускацию можно в интернете почитать, но смысл в добавлении кучи мусора, который не воспринимается системой. А среди него фрагменты кода (вплоть до одной буквы), который воспринимается. Авторановские вирусы так любят autorun.inf модифицировать. Сейчас не нашёл такого с хорошей обфускацией, но простейший пример есть на прилагаемомй картинке (в верхнем правом углу).
А в остальной части фрагмент твоего текущего бута, в котором выделены красным характерные записи буткода. Справа внизу записи 7-ой записи. Видишь схожесть?
И заодно - жёлтым выделил два фрагмента, но таких там много. Обрати внимание на изменение значения. Явно есть закономерность. Я понимаю что это какой то глюк, и вопрос из разряда бредовых но всё таки.
Не использовался какой то шифровшик раздела или нечто подобное? А то может это  должно быть так, но только при наличии самого шифровшика?
http://rghost.ru/31908651.view

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 04:01 25-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Но $Boot можно вернуть - записать его содержимое в сектор 131074048  

$Boot, что прежний, что нынешний одинаковы(сравнивал хеш-суммы).
вот скрин сектора 2930272255 http://imageshack.us/photo/my-images/259/2930272255.png/

Цитата:
Не использовался какой то шифровшик раздела или нечто подобное? А то может это  должно быть так, но только при наличии самого шифровшика?  

нет. шифровщиками не пользовался.
 
насчёт вирусов - то частенько каспер убирает всякие там autorun.inf , которые цепляются на флеху с институтских компов. но я думаю дело не в вирусе.
 
да и кстати: винда предлагала сделать проверку диска(chkdsk короче)(довольно часто перед запуском системы), но я отказывался, и впоследствии за неделю полетела ФС

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 17:08 25-11-2011 | Исправлено: pahan35, 17:09 25-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
$Boot, что прежний, что нынешний одинаковы(сравнивал хеш-суммы).

Есть такое дело. Но только ты тогда сам уж разберись что ты высылаешь.
$Boot ни что иное, как содержимое начальных секторов раздела. В таком случае, высланный тобою
Цитата:
начальный сектор 131074048
, что то другое или является следствием обработки каким то текстовым (?) редактором.

Цитата:
вот скрин сектора 2930272255

Чисто визуально - вполне нормальная копия бутсектора.
 
Про вирусы я как бы не писал - просто написал что напоминает.

Цитата:
винда предлагала сделать проверку диска(chkdsk короче)(довольно часто перед запуском системы), но я отказывался, и впоследствии за неделю полетела ФС

В автомобиле загорается лампочка отсутствия тормозной жидкости. Но это игнорируется. Каковы последствия такого при очередном торможении?

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 21:00 25-11-2011 | Исправлено: 9285, 21:00 25-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В автомобиле загорается лампочка отсутствия тормозной жидкости. Но это игнорируется. Каковы последствия такого при очередном торможении?  

боялся повредить чекдиском данные, так как он был восстанеовлен после подобного краша.
 
какие будут предложения???

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 23:38 25-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pahan35
Если есть боязнь, то можно запустить проверку без исправлений.
Хотя бы будет известно в чём проблема.
 
Что касается предложений, то они уже озвучены.

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 00:32 26-11-2011
pahan35

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что касается предложений, то они уже озвучены.

тоесть $Boot переписать и всё?? (Чем лучше это сделать?)
 
А что делает быстрое форматирпование??? Что удаляет? Что заменяет?
 
Может раздел быстро форматнуть  а потом залить старые MFT, MFTMirror, Boot, и записать сектор 131074048 и 2930272255

Всего записей: 20 | Зарегистр. 14-11-2011 | Отправлено: 13:11 26-11-2011
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
тоесть $Boot переписать и всё?? (Чем лучше это сделать?)

Для начала да, а потом смотреть что будет. Только имеется в виду запись содержимого метафайла в соответствующие сектора. Использовать DMDE или каой то другой хекс-редактор. Такого чтобы сделать "Восстановить $Boot" я не знаю.
Ни  в коем случае не разрешать чекдиску что то делать автоматически. После перезагрузки системы сделать проверку вручную и в режиме только чтения. По резултатам проверки делать выводы.
 

Цитата:
А что делает быстрое форматирпование??? Что удаляет? Что заменяет?

У Криса Касперски это подробно описано. Делается немного, но и немало.
К тому же, может уже что то и изменилось в новых версиях винды (виста и семёрка при полном формате стала обнулять раздел - может и с быстрым что то по другому).
 

Цитата:
Может раздел быстро форматнуть  а потом

Смысл сего действа можно обьяснить?
Есть случаи, когда быстрый формат может и помочь, но это в специфичных случаях и для работы с рековерилками (вытасквание информаци, а не восстановление по месту).

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 13:56 26-11-2011 | Исправлено: 9285, 13:59 26-11-2011
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Пропал диск. Восстановление таблицы разделов (не данных) - 2
KLASS (26-02-2017 16:06): Продолжение в Пропал диск. Восстановление таблицы разделов (не данных)-3


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru