Восстановление NTFS раздела. Восстановление поврежденных разделов NTFS Анализ записей MFT

Читайте, что такое логическое повреждение данных или таблицы разделов диска . Уровни повреждения и прогноз результата восстановления данных. Для восстановление данных с повреждённых жестких дисков нужно разбираться в жестких дисках, файловых системах, их структурах и принципах работы. Кроме того, нужно понимать степень повреждения. От вас потребуются полная концентрация сил и внимания, самоотверженность и навыки программирования. Мы предоставим всю нужную информацию, которая понадобится, чтобы восстановить ценные данные без специального программного обеспечения.

Наименьшая логическая единица информации, которой оперируют программисты, – 1 бит. Во время работы с жестким диском наименьшая единица – сектор. Это означает, что компьютер читает или пишет 512 байт, даже если вы хотите прочитать или записать 1 байт.

Перед тем как начать процесс восстановления, вы должны понимать три вещи:

• Master Boot Record (далее MBR). Это то, с чего всё начинается. MBR всегда размещается в первом секторе на диске. Если такая запись есть, то диск является загрузочным, а если нет, то диск не загрузочный. Диск, содержащий операционную систему, должен быть загрузочным.

  Volume Boot Record (далее VBR). Сектор также известен как загрузочный сектор или загрузочная запись раздела. Это понятие разработано IBM и используется для создания разделов на жестком диске (например: «C:\», «D:\», «E:\» и т.д.). Каждый логический диск имеет свой собственный VBR.

  File Systems (файловые системы). Это набор алгоритмов, определяющих способ организации, хранения и именования данных, а также структуру информации. Если вы хотите восстановить файлы, вы должны знать, какой тип файловой системы на вашем диске (NTFS или FAT32).

Что такое логическое повреждение данных?

Повреждение данных или жесткого диска – это ситуация, при которой ваша операционная система (далее ОС) не может получить информацию о файлах или их свойствах. Это может случиться в результате повреждения элементов файловой системы, MBR или VBR, либо физического повреждения жесткого диска или флеш-накопителя. Вы сможете легко восстановить данные, если повреждённый диск соответствует нескольким требованиям:

Диск и его секторы распознаются операционной системой.

ОС имеет доступ к жесткому диску и его секторам.

Основная цель восстановления – собрать остатки данных после случившегося повреждения. Вы должны проанализировать каждый сектор в поисках файлов, так как ваша ОС больше не может этого сделать.

Уровень повреждения

Повреждения жесткого диска можно условно разделить на три уровня. Уровень определяет, насколько повреждения обратимы и информация поддается восстановлению.

Рассмотрим подробнее:

Уровень 1: Это простой уровень, когда повреждена только таблица раздела вашего MBR. В данном случае нужно найти VBR. Как только будет найден VBR, вы сможете восстановить данные.

Уровень 2: В этом уровне некоторые поля вашего VBR повреждены, из-за чего ОС не в состоянии распознать свою файловую систему. В данном случае вы должны проанализировать VBR, чтобы получить адресное поле вашего корневого каталога в FAT32 и MFT в NTFS. Если это получится, то вы сможете найти и восстановить ваши файлы, в противном случае вам придется осуществить поиск сигнатур файлов по всему диску.

Уровень 3: В этом случае нет гарантии, что вы сможете восстановить данные, поскольку может иметь место физическое повреждение вашего оборудования : диск повреждён огнём, испорчен в результате падения, или в него попала вода и т.д. Для начала понадобится заменить поврежденные детали диска и восстановить работоспособность устройства.

Архитектура

Рассмотрим, к примеру, компьютер с одним жестким диском и двумя разделами «C:\» и «D:\» на нем. ОС установлена на диске «C:\». MBR всегда находится в первом секторе, эта запись полностью отвечает за загрузку операционной системы компьютера на базе BIOS. Рассмотрим структуру этой записи подробнее:

Код начальной загрузки . При загрузке компьютера необходимо выполнить код загрузки операционной системы или любого другого программного обеспечения. Такой первичный набор кодов находится в BIOS. Этот код проверяет наличие аппаратного обеспечения и проводит несколько проверочных тестов на возможность загрузки. Затем, в соответствии с указанным порядком загрузки, он начинает загрузку первого сектора дисков. Когда он находит тот, который отмечен как MBR, он начинает его запускать.

Этот код называется код начальной загрузки (обычно 440 байт). Работа кода заключается в просмотре таблицы раздела в поисках активного раздела (например, на каком диске находятся загрузочные файлы операционной системы), чтобы найти начальный сектор активного раздела. Загружает копию загрузочных файлов из раздела в память, контролирует их и то, как загружается ОС. Мы не будем углубляться в этом направлении, так как это не нужно для восстановления файлов.

Таблица разделов . Размер таблицы составляет 64 байта.

Раздел – это часть жесткого диска, которая была логически отделена, чтобы работать как отдельный диск настолько, насколько определит операционная система, и может иметь независимую структуру файловой системы . Независимо от того, какой раздел является активным, т.е. содержит ОС, начальный адрес сектора, включающего VBR раздела, содержит его размер и информацию о том, в какой системе он отформатирован: NTFS или FAT. Для восстановления файлов поиск и интерпретация таблицы разделов играют важную роль.

Подпись диска . MBR и VBR всегда содержат последовательность байт 0x55AA . Эта сигнатура определяет, содержит ли этот сектор MBR или VBR или нет.

Таблица разделов содержит от 1 до 4 записей размером 16 байт каждая. Давайте рассмотрим, как их интерпретировать:

Индикатор загрузки . Это первый байт в таблице разделов, указывающий на то, активен раздел или нет.

Пример: находится на нём операционная система (файлы и драйвера) или нет. Если это поле содержит 0x80H (это в шестнадцатеричном виде, а в десятичном = 128), то это активный раздел. Для неактивных разделов это поле равняется 0x00h .

Стартовое значение CHS . Игнорируйте его.

Дескриптор типа раздела. Это однобайтовое поле, но очень важное, так как даёт информацию о том, какой тип файловой системы реализован на диске. Поскольку каждая файловая система имеет свой алгоритм, очень важно знать, какая файловая система реализована на вашем диске. В этом поле вы можете встретить несколько шестнадцатеричных показателей. Они приведены ниже:

Завершающее значение CHS. Игнорируйте его.

Адрес сектора, содержащего VBR. В первом секторе каждый раздел имеет сектор загрузки. Это поле содержит адреса подобных записей, поэтому это важное поле. Оно содержит адрес в шестнадцатеричном формате и имеет размер в 512 байт.

Размер раздела . Здесь можно получить размер раздела.

Установив размер раздела и адрес его начала, вы можете приступить к ручному режиму

Восстановление данных в 2019: полное руководство

Ремонт и восстановление данных жесткого диска HGST (Hitachi)

Ищите как восстановить данные жесткого диска HGST (Hitachi) ? Проблемы с работоспособностью или ошибки жесткого диска HGST (Hitachi) стали причиной утери данных? Всегда ли такие данные утеряны безвозвратно или существуют способы, с помощью которых их ещё можно восстановить? Отремонтируйте носитель информации, исправьте ошибки, приводящие к сбою в работе, и восстановите утерянные данные самостоятельно.

Если необходимо восстановить жесткий или внешний диск (HDD, SSD или SSHD), карту памяти или USB флешку, в первую очередь вам необходимо подсоединить устройство к компьютеру. Если вы хотите восстановить данные с автомобильного регистратора, телефона, фото или видео камеры, аудиоплеера, вы должны извлечь карту памяти и подключить ее к стационарному компьютеру. Вы можете опробовать данную инструкцию и для внутренней памяти устройств, если после подключения вы видите свое устройство в папке Мой компьютер как флешку.

Шаг 1: Программа для восстановления жесткого диска HGST (Hitachi)

Ищите как восстановить файлы?

В случаях, когда c жесткого диска HGST (Hitachi) удалены файлы и стандартными средствами операционной системы вернуть их не предоставляется возможным, наиболее действенным способом будет использование Hetman Partition Recovery .

Для этого:

• 2

  По умолчанию, пользователю будет предложено воспользоваться Мастером восстановления файлов . Нажмите кнопку «Далее» , программа предложит выбрать диск, с которого необходимо восстановить файлы.

• 3

  Дважды кликните на диске и выберите тип анализа. Укажите «Полный анализ» и ждите завершения процесса сканирования диска.

• 4

  «Восстановить» .

• 5

  Выберите один из предложенных способов сохранения файлов. Не сохраняйте восстановленные файлы на диск, с которого эти файлы были удалены – их можно затереть.

Шаг 2: Восстановите данные жесткого диска HGST (Hitachi) после форматирования или удаления раздела

Восстановите файлы после форматирования

Ищите как восстановить файлы жесткого диска HGST (Hitachi) после форматирования? Следуйте инструкции:

• , установите и запустите его. После запуска в левой колонке основного окна программа обнаружит и выведет все физические диски, а также доступные и недоступные разделы и области на дисках.
• Дважды кликните на диске или области файлы из которой необходимо восстановить и выберите тип анализа.
• Выберите «Полный анализ» и дождитесь завершения процесса сканирования диска.
• После окончания процесса сканирования вам будут предоставлены файлы для восстановления. Выделите нужные и нажмите кнопку «Восстановить» .
• Выберите один из предложенных способов сохранения файлов. Не сохраняйте файлы на диск, с которого эти файлы были удалены – их можно затереть.

Восстановите данные удаленного раздела

Ищите как восстановить файлы c удаленного раздела жесткого диска HGST (Hitachi)? Следуйте инструкции:

• Загрузите Hetman Partition Recovery , установите и запустите его. После запуска в левой колонке основного окна программа обнаружит и выведет все физические диски, флешки или карты памяти. Список физических устройств расположен после логических дисков.
• Дважды кликните на физическом устройстве, с которого был удален раздел.
• Укажите «Полный анализ» и дождитесь завершения процесса сканирования.
• После сканирования вам будут предоставлены файлы для восстановления. Выделите нужные и нажмите кнопку «Восстановить» .
• Выберите один из предложенных способов сохранения файлов. Не сохраняйте файлы на диск, с которого они были удалены – их можно затереть.

Восстановите системный раздел с помощью LiveCD

Если нет возможности подключить жесткий диск с утерянным или повреждённым системным разделом к другому компьютеру, можно восстановить такой раздел запустив компьютер с помощью LiveCD – альтернативной портативной версии операционной системы. Для этого:

• Найдите и скачайте подходящий вам LiveCD на CD/DVD-диск или USB-накопитель.
• Подключите LiveCD к компьютеру и включите его. Компьютер автоматически загрузится с LiveCD.
• Скопируйте файлы c системного раздела на другой носитель информации.

Шаг 3: SMART параметры жесткого диска HGST (Hitachi)

Крупные производители жестких дисков включают технологию S.M.A.R.T. в свои жесткие диски. S.M.A.R.T. анализирует множество механических атрибутов. Анализ многих из них даёт возможность зафиксировать неправильную работу диска до момента его полного отказа, а также причину его отказа.

Но несмотря на то, что S.M.A.R.T. позволяет определить будущие проблемы, большинство из них невозможно предотвратить. Таким образом S.M.A.R.T. – это технология, которая часто служит для предупреждения о скором выходе диска из строя. Значения S.M.A.R.T. нельзя исправить, и тратить время на это нет необходимости.

Каждый производитель жестких дисков устанавливает пороговое значение для той или иной операции. При нормальных обстоятельствах, такое пороговое значение никогда не превышается. В обратном случае – мы сталкиваемся с ошибкой.

Есть 256 значений, каждое из которых имеет своё ID. Некоторые ошибки и предельные значения критичны. Они не имеют решения. Единственным решением есть замена жесткого диска, сразу же после обнаружения такой ошибки.

Критичные SMART ошибки не имеют способа их исправления. Если не заменить жесткий диск, то окно с ошибкой будет появляться вновь и вновь. Единственным оправданным действием в таком случае будет сохранение данных из ещё доступных секторов диска. Если предупреждение об ошибке осуществится, диск станет недоступным ни для одной из программ. Поэтому необходимо предпринять шаги по сохранению ваших данных.

Шаг 4: Восстановите файловую систему жесткого диска HGST (Hitachi)

Если файловую систему жесткого диска HGST (Hitachi) определить не предоставляется возможным – отформатируйте устройство.

Файловая система жесткого диска HGST (Hitachi) определяется как RAW

Иногда операционная система не может определить структуру файловой системы (например, FAT или NTFS). Если посмотреть свойства такого устройства, то его файловая система будет определяться как RAW. В этом случае Windows предлагает отформатировать диск.

Существует утилиты, которые специализируются на восстановлении RAW диска, однако мы рекомендуем остановиться на универсальном решении - Hetman Partition Recovery. Эта функция включена в нее как дополнительная, вам нужно только запустить программу и запустить анализ такого диска.

Запустите команду CHKDSK

В некоторых случаях файловую систему жесткого диска HGST (Hitachi) можно восстановить с помощью команды CHKDSK .

1. Запустите Командную строку от имени Администратора .
2. Введите команду “chkdsk D: /f” (вместо D: – введите букву необходимого диска) и нажмите ENTER .
3. После запуска команды, запустится процесс проверки и исправления ошибок на диске или устройстве, это может вернуть работоспособность файловой системе.

Шаг 5: Восстановите разделы жесткого диска HGST (Hitachi) командой diskpart

Если USB-флешка, карта памяти или любой другой тип носителя информации работает неправильно, очистка диска и его разделов с помощью команды “Clean” и инструмента Diskpart – может стать одним из способов решения проблем. Этот инструмент исправит ошибки если устройство не получается отформатировать или его размер определяется неправильно.

1. Запустите Командную строку от имени Администратора .
2. Запустите команду DISKPART .
3. Отобразите список дисков с помощью команды LIST DISK и определите номер диска, который необходимо восстановить.
4. Выберите необходимый диск: SELECT DISK # (вместо # - введите номер диска).
5. Запустите команду CLEAN .
6. Создайте на очищенном диске раздел и отформатируйте его в желаемой файловой системе.

Шаг 6: Найдите битые сектора и ошибки, сделайте дефрагментацию

Просканируйте диск на наличие ошибок и битых секторов, и исправьте их

Запустите проверку всех разделов жесткого диска и попробуйте исправить найденные ошибки. Для этого:

• Откройте папку «Этот компьютер» .
• Кликните правой кнопкой мышки на диске с ошибкой.
• Выберите Свойства / Сервис / Проверить (в разделе Проверка диска на наличие ошибок ).

В результате сканирования обнаруженные на диске ошибки могут быть исправлены.

• Откройте папку «Этот компьютер» и кликните правой кнопкой мышки на диске.
• Выберите Свойства / Сервис / Оптимизировать (в разделе Оптимизация и дефрагментация диска ).
• Выберите диск, который необходимо оптимизировать и кликните Оптимизировать .

Шаг 7: Ремонт жесткого диска HGST (Hitachi)

Существует несколько решений для создания резервных копий данных:

1. Встроенные в операционную систему приложения . Microsoft Windows предоставляет способы резервного копирования данных, которые предполагают сохранение файлов и данных на внешних или встроенных носителях информации. Все современные версии Windows уже включают в себя возможность создания резервной копии необходимых файлов или всего жесткого диска, в случае необходимости. Предоставляемые Windows функции являются полными и самостоятельными, и направлены на то чтобы у вас не возникала необходимость пользоваться сторонними сервисами или программами.
2. Копирование данных вручную . Всегда можно воспользоваться старым проверенным способом создания резервной копии данных – ручное копирования данных на внешний носитель информации. Это долго, но, если вы работаете с небольшим количеством данных, такое решение может оказаться для вас вполне приемлемым.
3. Онлайн сервисы . В последнее время всё большую популярность приобретает наиболее современный способ резервирования данных – это многочисленные онлайн сервисы. Компании, которые обеспечивают резервирование ваших файлов прямиком в интернете. Небольшое установленное на компьютере фоновое приложение, создаёт копии необходимых данных и сохраняет их на удалённом сервере. Однако, предоставляемы такими компаниями объёмы для хранения ваших файлов в бесплатной версии не позволяют использовать их как комплексное решения. Часто предлагаемое для резервирования данных место не превышает 10 ГБ, соответственно говорить о создании резервной копии всего жесткого диска не приходится. Такие сервисы скорее нацелены на резервирование отдельного количества файлов.
4. Создание образа диска . Это наиболее полное решение для создания резервной копии данных, которым пользуются продвинутые пользователи. Данный способ предполагает использование сторонней программы для создания образа всего диска, который может быть развёрнут в случае необходимости на другом носителе информации. С помощью данного решения, можно в короткий промежуток времени получить доступ ко всем данным которые находились на диске в момент его резервирования: документам, программам и медиа файлам.

17.10.1999

Опишем процесс ручного восстановления случайно удаленных файлов или файлов из поврежденных разделов системы NTFS при работе в ОС Windows NT. Проблема заключается в том, что в составе этой ОС нет соответствующих программных средств.

Программы же восстановления NTFS от сторонних производителей, к сожалению, труднодоступны и дороги. Ситуация усугубляется отсутствием полной документации по низкоуровневой структуре управляющих блоков NTFS.

Что же делать, если в один прекрасный момент обнаруживается, что компьютер с ОС Windows NT больше не загружается или некоторые логические разделы NTFS стали вдруг недоступны?

Сначала нужно уточнить, с чем связана неисправность: физическим повреждением диска, выходом из строя контроллера или разрушением файловой системы NTFS.

Проблемы с диском

Жесткие диски имеют ограниченный срок службы, обычно - несколько лет. Выход устройства из строя иногда можно определить по характерным щелчкам в момент инициализации. Диск может несколько раз щелкнуть и затихнуть, так и не раскрутившись. При инициализации BIOS сообщит вам об этой неисправности. В такой ситуации следует произвести ремонт жесткого диска. Если стоимость потерянной информации заметно превышает стоимость самого диска, следует обратиться к специалистам, что, впрочем, недешево.

Ремонт выполняется следующим образом. Если из строя вышла электроника, расположенная вне герметичного пространства диска, то заменяется или ремонтируется соответствующая плата. Для этого часто приходится разбирать другой диск точно такого же типа.

В том случае, когда повреждены детали, расположенные внутри корпуса диска, проблем будет больше. Прежде всего, разбирать сломанный диск нужно в так называемой «чистой комнате», где гарантируется отсутствие пыли. Затем следует заменить плату с электроникой, сняв ее с другого диска. Отремонтированный диск закрывается, после чего остается только скопировать информацию на третий диск по секторам.

Поэтому если сломался жесткий диск с ценной информацией, приготовьтесь пожертвовать еще одним для ремонта и найдите третий для копирования восстановленных данных.

Если есть подозрение на неисправность контроллера диска, попробуйте его заменить. Проверьте также соединительный кабель.

Проблемы с файловой системой

Убедившись, что диск, контроллер и соединительный кабель исправны, не торопитесь использовать дискету NT Repair Disk, созданную при установке ОС, или запускать программу восстановления файловой системы chkdsk - результат может оказаться плачевным. Не пытайтесь также найти «волшебную» программу восстановления NTFS в комплекте Norton Utilities для Windows NT - пока ее там нет. Если информация, записанная на диске, имеет особую ценность, нужно вначале проанализировать состояние управляющих блоков файловой системы NTFS с помощью редактора диска.

Такая работа требует достаточно высокой квалификации. В частности, нужно разбираться в форматах управляющих блоков файловой системы. Если вы не в состоянии выполнить ее самостоятельно, лучше вызвать специалиста и не предпринимать попыток самому отремонтировать NTFS.

Чтобы проверить управляющие блоки, нужно подключить к компьютеру два диска: первый, исправный загрузочный, и второй - тот, информацию с которого необходимо восстановить.

Сначала подключается только первый диск и инсталлируется ОС Windows NT. Этот диск будет использован для сохранения файлов, восстановленных из разделов поврежденного. Далее устанавливается редактор Disk Probe, входящий в состав Windows NT Resource Kit. Хотя этот редактор далек от совершенства, именно он позволит выполнить всю работу по восстановлению потерянных файлов.

Убедившись, что с первым диском все в порядке, выключите компьютер и подключите к нему второй, поврежденный диск.

Определение геометрии логического устройства

Для успешного восстановления информации следует определить размер кластера и адрес загрузочного сектора. Первое значение можно получить из загрузочного сектора раздела NTFS (если, конечно, его содержимое сохранилось).

Запустите программу Disk Probe. Выберите в меню Drive позицию Physical Drive. В панели Open Physical Drive, появившейся на экране, укажите устройство PhysicalDrive1, дважды щелкнув левой клавишей мыши по соответствующей строке списка Available Physical Drives. Затем нажмите кнопку Set Active, оставив включенным переключатель Read Only, и закройте панель кнопкой OK (рис. 1).

В результате программа Disk Probe получит доступ на чтение поврежденного диска. После этого попытайтесь прочитать содержимое главной загрузочной записи диска, расположенной в первом секторе на нулевой дорожке нулевого цилиндра. Для этого в меню Sectors выберите строку Read. Появится панель Read Sector. В поле Starting Sector укажите номер первого сектора, равный нулю, а в поле Numbers of Sectors установите значение 1. Затем нажмите кнопку Read.

Программа считает в оперативную память содержимое первого сектора и покажет его в шестнадцатеричном виде. Выберите из меню View строку Partition Table для форматного просмотра таблицы разделов диска, а затем перейдите на нужный раздел с помощью кнопки Go. Если необходимо (когда восстанавливаются файлы из расширенного раздела), повторите эту процедуру несколько раз.

Добравшись до загрузочной записи нужного вам раздела, выберите из меню View строку NTFS Bootsector. Вы должны увидеть что-то вроде изображения на рис. 2.

А что делать, если главная загрузочная запись или загрузочная запись нужного раздела уничтожены?

Эта ситуация тяжелая, но не фатальная. Подробную таблицу соответствия емкости логического устройства NTFS и числа кластеров можно найти в MSDN. Например, если емкость находится в интервале 1025 - 2048 Мбайт, размер кластера будет равен 4 секторам, а если в диапазоне от 8193 до 16 384 Мбайт - то в одном кластере будет 32 сектора. Заметим, однако, что, позаботившись заранее о возможности последующего восстановления диска в случае его повреждения, можно облегчить такую работу, когда в ней возникнет необходимость. Нужно определить и записать размер кластера сразу после установки ОС, пока загрузочный сектор NTFS еще цел.

В том случае, если размер кластера так и остался неизвестным, его придется определять косвенными способами или методом подбора.

Таблица MFT

Внутренняя структура файловой системы NTFS принципиально отличается от хорошо знакомой большинству FAT. Не вдаваясь в подробности, изложим лишь те сведения, которые необходимы для выполнения в ней восстановительных работ.

Файловая система FAT (и ее разновидность FAT32) хранит информацию о файлах в нескольких местах логического устройства. Дескриптор файла, содержащий его имя, размер, дату создания и номер первого выделенного для него кластера, находится в каталоге. Таблица размещения файлов File Allocation Table, от которой и произошло название файловой системы FAT, хранит связанный список всех кластеров, выделенных файлу. И наконец, сам файл может быть распылен по кластерам.

Такая организация в значительной мере затрудняет восстановление файлов в случае каких-либо сбоев. Особенно критичной является целостность таблицы FAT: если эта таблица пропала или ее содержимое оказалось частично разрушено, исчезает информация о кластерах, выделенных файлу. В результате файл можно с очень большим трудом собрать из отдельных кластеров, лишь зная его содержимое. К тому же эта работа требует очень много времени. Поэтому на практике исчезновение таблицы FAT и ее копии означает полную потерю файлов.

Потеря каталогов приводит к невозможности определения номера первого кластера, выделенного файлу, его имени и точного размера. В этом случае последствия не столь катастрофичны, так как в таблице FAT остались «бесхозные» цепочки кластеров, которые нетрудно превратить в файлы. Имена полученных таким образом файлов обычно состоят из цифр. Заметим, что при крушении каталогов, содержащих тысячи файлов, после восстановления будет трудно найти нужный файл, если хотя бы приблизительно не известно его содержимое.

В файловой системе NTFS вся информация о файлах хранится в так называемой главной таблице файлов Master File Table (MFT). Записи таблицы MFT содержат наборы дескрипторов с такой информацией о файлах, как имя, даты создания и модификации, атрибуты безопасности, и, что самое главное, списки кластеров, выделенных файлам. Если файл имеет небольшой размер, то он может храниться непосредственно в записи таблицы MFT.

Следовательно, возможность восстановления файлов из поврежденных разделов NTFS во многом определяется целостностью таблицы MFT и ее копии.

Как найти таблицу MFT?

Найти таблицу MFT достаточно просто, если сохранился загрузочный сектор раздела NTFS. Нажмите кнопку Go около поля Clusters to MFT или Clusters to MFT mirr в панели, показанной на рис. 2. Для просмотра содержимого первого сектора таблицы выберите из меню View программы Disk Probe строку Bytes. Результат выполнения такой операции показан на рис. 3.

Обратите внимание на строку FILE, расположенную в самом начале сектора. С нее начинаются записи таблицы, описывающие файлы. Существуют еще записи для каталогов, элементов индекса и другие, которые мы не будем рассматривать.

Строка $.M.F.T. находится со смещением D2. Это имя системного файла, содержащего таблицу MFT, в кодировке Unicode. Таким образом, первая запись файла $MFT описывает сам этот файл. Просматривая таблицу, можно обнаружить записи для других системных файлов, таких как $MFTMirror, $LogFile, $Volume, $AttrDef и др.

Если загрузочный сектор разрушен, начало таблицы MFT нетрудно найти с помощью программы Disk Probe. Для этого выберите в меню Tools строку Search Sector, установите переключатели в положение, показанное на рис. 4, и, заполнив поле Enter characters to search for, нажмите кнопку Search. Следует запастись терпением, поскольку процесс поиска может отнять немало времени.

Заметим, что подобным образом можно найти в таблице MFT записи для тех файлов, которые нужно восстановить. Так как имена файлов хранятся в кодировке Unicode, при поиске следует установить переключатель в положение Unicode characters. Кроме того, необходимо включить режим поиска Exhaustive search и Ignore case.

Анализ записей MFT

К сожалению, программа Disk Probe не содержит никаких средств для форматного просмотра содержимого записей MFT. Более того, точный формат этой записи отсутствует в открытой документации Microsoft. Однако многое можно обнаружить в Internet, сделав запрос по ключевым словам «NTFS Documentation». Нам, например, удалось найти информацию, собранную разработчиками модулей для операционной системы Linux. Анализируя исходные тексты модуля для монтирования в Linux файловой системы NTFS, можно понять назначение отдельных полей записей MFT (авторы приносят благодарность Максиму Синеву за помощь в «расшифровке» записей MFT).

Запись MFT состоит из начального фрагмента фиксированного размера и набора атрибутов, имеющих в общем случае переменный размер. Для восстановления файлов нужно знать точный формат только атрибута данных. Что же касается других атрибутов, достаточно уметь определять их расположение и размер.

Первые четыре байта в записи, описывающей файл, образуют слово FILE. На рис. 3 они выделены красным цветом. Следующие два байта (выделенные синим цветом) - смещение так называемой области Fixup. В рассматриваемом случае значение смещения равно 002A (с учетом обратного порядка расположения байтов в слове). Здесь и далее будем пользоваться шестнадцатеричными числами.

Область Fixup используется в процессе обнаружения ошибок чтения или записи. Она состоит из слов размером два байта. Количество слов хранится в записи MFT со смещением 0006. На рис. 3 поле размера области Fixup выделено фиолетовым цветом. Там хранится значение 0003, следовательно, область Fixup начинается со смещения 002A и простирается до 002A+(2*0003)=002F.

Сразу за областью Fixup начинаются поля атрибутов. Смещение первого атрибута равно 0030.

Первые четыре байта области атрибутов определяют тип, а следующие четыре - размер в байтах. Например, вслед за областью Fixup со смещением 0030 следует атрибут с типом 10. На рис. 3 тип этого и следующего за ним атрибутов выделен красным цветом (размер атрибута выделен синим). Атрибут занимает 48 байт, следовательно, следующий атрибут (с типом 30) начнется со смещением 0078.

Таким образом можно выделить в записи MFT все атрибуты. В конце самого последнего записано значение FFFFFFFF - признак конца цепочки атрибутов.

Для восстановления файлов наибольший интерес представляют атрибуты типа 30 и 80. Первый из них хранит имя файла. По нему следует искать запись MFT, описывающую восстанавливаемый файл. Второй атрибут с типом 80 хранит список кластеров, выделенных файлу, или сам файл. Про него мы расскажем подробнее. Для удобства описание атрибута данных выделено на рис. 5.

Рис. 5. Атрибут данных

Как видно из рисунка, тип атрибута, равный 80, хранится в записи MFT со смещением 0160. Всего атрибут данных занимает D8 байт, так как именно это значение находится в четырехбайтовом поле со смещением 4 относительно начала атрибута.

Байт со смещением 8 относительно начала атрибута данных - это признак резидентного размещения файла. Если его значение равно 1, запись MFT хранит только список кластеров, выделенных файлу (как в описываемом случае), а если 0 - файл находится внутри самой записи MFT. Как правило, записи содержат только файлы небольших размеров.

Сначала рассмотрим случай нерезидентного размещения файла. При этом четыре байта со смещением 30 хранят длину файла, расположенного где-то на диске. В данном примере длина файла $MFT составляет B7B000 байт.

Для того чтобы определить точное расположение нерезидентного файла на диске, нужно проследить цепочку так называемых блоков виртуальных номеров кластеров Virtual Cluster Number (VCN), или просто блоков VCN. Показатель смещения начала этой цепочки хранится в двухбайтовом поле, имеющем смещение 20 байт относительно начала атрибута данных. В описываемом случае этот показатель равен 40, а смещение области блоков VCN относительно начала записи MFT равно 01A0. На рис. 5 эта область выделена жирной вертикальной линией зеленого цвета.

Анализ области блоков VCN

Файл, записанный в разделе NTFS, может быть сегментирован. Он состоит из одного или нескольких фрагментов, называемых экстентами. Размер и расположение каждого экстента описывается в блоке VCN. В зависимости от того, фрагментирован файл или нет, область VCN может содержать один блок или их набор. Блоки VCN имеют переменный размер, определяемый первым байтом.

Формат блока стоит показать на конкретном примере. Возьмем первый блок VCN, имеющий в рассматриваемом примере смещение 01A0 относительно начала записи MFT:

31 20 D9 86 02

Тетрады первого байта со значением 31 определяют размеры двух полей блока VCN. Первое поле, имеющее длину один байт, хранит количество кластеров, выделенных экстенту файла. Второе поле размером три байта содержит номер первого кластера. В данном случае первому экстенту файла $MFT выделено 20 кластеров, а номер первого кластера для первого экстента равен 0286D9. Таким образом определяем размер и расположение первого экстента файла.

Второй блок VCN расположен сразу вслед за первым:

12 24 08 21

Для того чтобы определить первый кластер второго экстента, необходимо прибавить к адресу первого экстента смещение, указанное во втором блоке VCN (с учетом знака). В данном случае второй экстент размещен в кластере с номером 0286D9+21=286FA. Длина второго экстента составляет 0824 кластера.

Анализируя остальные блоки VCN, можно определить размеры и расположение всех экстентов файла. Список блоков VCN закрывается байтом с нулевым значением.

Резидентные файлы

Файлы небольшого размера размещаются непосредственно в записи MFT, описывающей этот файл, для сокращения времени доступа. Если в байте со смещением 8 относительно начала атрибута данных находится нулевое значение, то не нужно прослеживать цепочки блоков VCN. Это означает, что файл находится внутри атрибута данных.

При этом смещение резидентных данных, т. е. файла, записано в двухбайтовом слове со смещением 14 относительно начала атрибута данных, а размер - в двухбайтовом слове со смещением 10.

Приведем небольшой пример. Для иллюстрации формата записи MFT, содержащей резидентный атрибут данных, мы подготовили маленький файл с именем Small.txt, содержащий текстовую строку «This is a small text file.». Затем с помощью программы Disk Probe мы обнаружили запись таблицы MFT, созданную для этого файла (рис. 6).

Здесь атрибут данных начинается со смещением 0160 относительно начала записи MFT. Байт со смещением 8 внутри этого атрибута (выделен зеленым цветом) равен нулю, следовательно, мы имеем дело с резидентным атрибутом.

Как видно из рис. 6, байты файла Small.txt (выделенные желтым цветом) находятся внутри записи MFT со смещением 18 относительно начала атрибута данных, а размер файла составляет 1A байт.

Как же восстановить файлы?

Теперь, вооружившись приведенными выше знаниями о внутренней структуре системных блоков NTFS, можно приступить к восстановлению файлов из поврежденного раздела этой файловой системы.

Когда известны имена файлов, подлежащих восстановлению, нужно найти соответствующие им записи в таблице MFT. Это можно сделать с помощью программы Disk Probe, воспользовавшись строкой Search Sector из меню Tools. Далее следует обнаружить в этой записи атрибут данных и определить, резидентный он или нет.

Если атрибут данных резидентный, то нужно сохранить сектор, содержащий запись MFT, в виде файла на исправном жестком диске или на дискете. Это можно сделать, используя строку Save as меню File программы Disk Probe. После этого следует вырезать нужную часть данных и сохранить результат в новом файле. Такую операцию нетрудно выполнить, например, в редакторе Norton Disk Editor для MS-DOS.

В случае нерезидентного атрибута работы будет намного больше.

Прослеживая цепочку блоков VCN, нужно определить расположение и размер экстентов восстанавливаемого файла. Далее с помощью приложения Disk Probe следует прочитать данные экстента, а затем сохранить их в файле на исправном диске. Не забудьте также, что в программе Disk Probe указывается количество секторов, которые нужно прочитать или записать, а в блоке VCN установлено количество кластеров, выделенных экстенту. Поэтому нужно выполнить соответствующий пересчет.

Восстановив все экстенты, объедините их в один файл (например, командой COPY с параметром /B). Затем установите правильную длину файла, полученную из поля со смещением 30 атрибута данных. В разделе FAT такая операция может быть выполнена с помощью все той же программы Norton Disk Editor.

К сожалению, на практике восстановление большого количества файлов требует много времени. Тяжелее всего дается ручная обработка цепочек блоков VCN, которые могут быть очень длинными. Приходится часами работать с калькулятором, переводя десятичные числа в шестнадцатеричные и обратно, а также производя различные арифметические действия, необходимые для определения размеров и расположения экстентов восстанавливаемых файлов. Поэтому обычно мы пользуемся небольшой самодельной программой NTFS Explorer, выполняющей наиболее трудоемкие операции в полуавтоматическом режиме.

Что же касается полностью автоматических средств, восстанавливающих разрушенные разделы NTFS и случайно удаленные файлы, до здесь можно упомянуть программу Tiramisu for Windows NT, разработанную в компании OnTrack Data International, Inc. Ее бесплатная демонстрационная версия доступна по адресу http://www. recovery.de .

Эта версия, однако, позволяет только просмотреть восстанавливаемые файлы. Если же нужно сохранить имеющуюся в них информацию, приготовьте деньги. У вас есть выбор - заплатить либо 195 долл. за использование программы в течение ограниченного срока (одной недели), либо 390 долл. за версию без ограничений.

Мы все-таки рекомендуем использовать автоматические средства только в крайнем случае, особенно если речь идет о восстановлении особо важных данных. Известно, например, что такая программа, как Norton Disk Doctor, может в некоторых случаях не только не улучшить, но даже ухудшить состояние диска FAT, сделав потерю данных невозвратимой.

К сожалению, всякий раз сталкиваясь с необходимостью восстанавливать разрушенные разделы NTFS, мы убеждались в уникальности проводимой работы, ее приходилось выполнять по-разному в зависимости от причин и последствий аварии. Автоматическая программа вовсе не обязательно сможет принять правильное решение, если после сбоя от данных мало что осталось. С другой стороны, опытный специалист, вооруженный даже простейшим редактором диска, скорее всего, найдет способ восстановить пропавшие файлы.

ОБ АВТОРАХ

Захожу на свой рабочий диск…
Стоп. Точнее пытаюсь зайти на
свой рабочий диск… а диска Е:
нету:(. Вместо него пустое
неразмеченное пространство

Из воспоминаний Horrific
Xakep v.11.01(35) p.27

Даже с великими гуру случаются
неприятности такого рода. От них не
застрахован никто. Я попытаюсь рассказать,
как можно восстановить данные в подобной
ситуации. Ведь, скорее всего, данные никуда
не делись, как были, так и остались на диске.
Просто повреждена служебная область
раздела. Поэтому попытаемся разобраться,
как она устроена, а поняв, выработаем
алгоритм действий.

Информация о структуре NTFS довольно скудна,
и, вследствии закрытости основных
спецификаций на нее, получена так
называемым методом . Как и другие файловые системы, NTFS
делит поверхность диска на кластеры. Размер
кластеров имеет фиксированный размер,
выбираемый из интервала от 512 байт (1 сектор)
до 64 Кб (128 секторов). Обычно используется
размер кластера в 4 Кб (8 секторов). Каждый
элемент файловой системы, включая
служебные (которые принято называть
метафайлами), представляет из себя файл.
Метафайлы находятся в корневом каталоге NTFS
раздела и начинаются с символа имени "$",
Основной служебный файл — $MFT (Master File Table) —
список абсолютно всех файлов, хранящихся в
разделе, включая MFT. Вновь
отформатированный раздел NTFS выглядит
следующим образом:

Место под MFT файл выделяется сразу и с
большим запасом, обычно 12,5% (но может быть и
25%, 37,5% и 50%) от объема раздела. Оставшееся
место предназначено для хранения
содержимого файлов. Однако ОС, при
необходимости, может сокращать место,
выделенное для MFT файла, когда место под
содержимое файлов заполнено. Для этого, в
текущих версиях NTFS, оставшееся свободное
место, выделенное под MFT файл, уменьшается
вдвое, тем самым, увеличивая место,
отведенное для размещения содержимого
файлов. И когда ОС информирует о свободном
месте, то это сумма свободного места в обеих
частях раздела (зарезервированное под MFT
файл и выделенное под хранение содержимого
файлов). Но файлы не только добавляются в
раздел, но и удаляются из него. И в этом
случае возможно вновь увеличение места,
отводимого под MFT файл. При этом в служебной
области может оказаться содержимое файлов,
которое там и останется. MFT файл начнет
фрагментироваться, хотя это и не есть good.
Еще раз повторюсь, сказанное относится к
вновь отформатированному разделу. Когда я
при помощи программы Partition Magic добавил
неразмеченное пространство перед NTFS
разделом к NTFS разделу (F:), то MFT у меня
начинается с 1731201 кластера, хотя обычное
значение — 4.

Сам MFT поделен на записи фиксированного
размера по 1 Кб (2 сектора) каждая. Первые 24
записи — это служебные файлы, причем первым
в списке идет сам MFT. Ввиду особой важности
MFT файла, копия первых четырех записей
хранится в файле $MFTMirr где-то в районе
середины раздела. Также в последнем секторе
раздела (для Win’2k/XP) хранится резервная копия
boot сектора. Таким образом, для
восстановления раздела необходимо найти и
скопировать в начало раздела 4 первые
записи MFT из резервной копии и, возможно, сам
загрузочный сектор.

Для работы нам потребуется любой дисковый
редактор. Главное, чтоб он мог видеть все
пространство твоего диска. Можно
воспользоваться DiskEdit от дяди Нортона из
пакета Norton Utilities
2002 или штатным дисковым редактором Win’2k —
Disk Probe, для чего нужно с дистрибутива Windows из
папки Support\Tools установить дополнительные
инструменты, в том числе и Disk Probe. Также
потребуется программа PartitionInfo из пакета Partition
Magic . Для начала, выясним физические
границы требуемого NTFS раздела. Это можно
сделать при помощи программы PartitionInfo из
пакета Partition Magic.

В моем случае раздел NTFS начинается с 5060538
сектора диска. (также в нижнем окне доступна
информация в формате C:H:S) Теперь получим
информацию о номере последнего сектора и о
расположении MFT и ее копии, для чего
нажимаем кнопку Boot Record…

Итак, последний сектор раздела это 5060538 +
3341456 = 8401994 (первый сектор раздела + Total NTFS Sectors),
MFT начинается с 8х4=32 сектора (MFT start cluster * Sectors
per cluster), MFT Mirr — c 417682 х 4=1670728 сектора (MFT Mirror start
cluster * Sectors per cluster). Уточним размер отдельной
записи в MFT файле, для чего запустив
программу Partition Magic, выбрав требуемый раздел,
нажав правую кнопку мыши, выберем пункт
Properties В появившемся окне выберем
вкладку NTFS Info. Как и должно быть, размер
записи в MFT файле (File Record Size) составляет 1 Кб (2
сектора).

Запускаем дисковый редактор, например Disk
Probe, и выбираем пункты меню — Volume>. В появившемся окне дважды щелкаем
мышкой по требуемому разделу (в моем случае
это G), нажимаем последовательно кнопки Set
Active и OK. Теперь переходим на сектор,
содержащий копию MFT. Для этого выбираем
пункт меню — и в открывшемся
окне вводим номер сектора 1670728 и число
требуемых секторов (16) и нажимаем кнопку Read.
Теперь перепишем эти сектора по месту
расположения MFT, с 32 сектора. Для этого
выбираем пункт меню — .
Отвечаем утвердительно на вопрос изменения
режима работы с Read Only на Read/Write, в
появившемся окне указываем сектор, с
которого надо осуществить запись (в нашем
случае это 32) и нажимаем кнопку Write it.
Подтверждаем свое желание еще раз и MFT
восстановлена.

Теперь необходимо скопировать на свое
место загрузочный сектор. Для этого
выбираем пункт меню — После чего устанавливаем активным
требуемый физический диск. Это аналогично
тому, что мы осуществили для логического
диска. Теперь надо перейти на последний
сектор восстанавливаемого раздела. Через
меню — вводим значение 8401994
после чего записываем это значение в сектор
5060538. Будьте особенно внимательны,
поскольку вы работаете с целым диском и не
ограничены границами поврежденного
раздела!

Осталось запустить утилиту chkdsk e: /f, которая
найдет и исправит просто огромное
количество ошибок, после чего поздравить
себя со спасенным разделом.

PS: Поскольку все операции потенциально
опасны, не поленись сделать резервную копию
разделов, находящихся на том же физическом
диске, что и восстанавливаемый раздел.

R-Studio как пользоваться правильно, чтобы не усложнить наверно и без того сложную ситуацию в которую вы попали.
Пожалуйста прослушайте небольшой курс молодого бойца по работе с подобными программами, без этого вы можете наделать много ошибок и вместо того, что бы вернуть свои удалённые данные, вы ещё хуже затрёте их.

R-Studio как пользоваться

Первая ошибка это волнение, которое сопровождается вытекающими отсюда последствиями, например необдуманными действиями, успокойтесь, дочитайте статью до конца, спокойно всё обдумайте, а затем действуйте. Кстати, если вы случайно удалили с вашего жёсткого диска фотографии, то у нас есть очень простая статья, которая я уверен вам поможет . Ещё вам могут пригодиться статьи: Как восстановить удалённые файлы бесплатными программами , и и платными - , .

Когда мы с вами, Дорогие мои, случайно удаляем файл, без которого наше дальнейшее существование на планете Земля, будет нам не в радость, знайте, что физически с жёсткого диска он не удалился, но навсегда потерять его можно, записав любую информацию поверх него. Поэтому, даже если вы читали как пользоваться R-Studio , но опыта как такового у вас нет, сразу выключаем компьютер и лучше в аварийном порядке. Больше никаких действий с вашим жёстким диском не производим, тогда наши шансы на благополучный успех увеличиваются.

• Примечание: много раз ко мне обращались люди с подобными проблемами и не могли вспомнить, какие действия они предпринимали до того, как обратиться в технический сервис. Они даже толком не могли назвать точное название программы, которой пытались спасти свои данные, а самое главное, после удаления своих файлов, например мимо корзины, они активно пользовались компьютером (иногда несколько дней), что категорически делать нельзя, только потом всё-таки шли в сервис и требовали чуда.

После того как мы выключили компьютер, берём системный блок и идём к профессионалам, ваши данные 90% будут спасены, естественно с вас возьмут немного денежки, сколько, лучше узнать сразу, но если денежки попросят очень много, читаем дальше.

Сейчас я пишу эту статью, а передо мной стоит системный блок, в нём находится жёсткий диск, его случайно форматировали, то есть удалили всё что на нём находилось, давайте попробуем восстановить потерянные файлы с помощью R-Studio , а заодно научимся пользоваться этой хорошей программой.
В первую очередь нам с вами нужно эвакуировать пострадавшего, другими словами снять форматированный винчестер и подсоединить к моему компьютеру, я делаю так всегда, потому что нельзя сохранять восстанавливаемую информацию на тот же носитель, с которого были удалены файлы.

Если для вас это трудно, тогда хотя бы не восстанавливайте файлы на тот раздел жёсткого диска с которого они были удалены.

Примечание: Друзья, самое главное правило при восстановлении информации звучит так: число обращений к жёсткому диску с удалёнными данными должно быть сведено к минимуму. А значит, перед работой с R-Studio желательно сделать образ жёсткого диска с потерянными данными и восстанавливать информацию уже с образа. Как сделать посекторный образ жёсткого диска и восстановить с него информацию написано в .

Итак начнём, на нашем пострадавшем от форматирования винчестере пропало очень много папок с семейными фотографиями и видео, нам нужно их вернуть.

Запускаем R-Studio , у программы интуитивно понятный англоязычный интерфейс, но нам не привыкать, я уверен, что, попользовавшись ей один раз, вы запомните её навсегда.
Главное окно программы Device View "Просмотр дисков" в левой его части показаны практически все накопители находящиеся в системе: жёсткие диски, разбитые на логические разделы, USB-накопители, DVD-диски, флеш-карты, правое окно предоставляет полнейшую информацию о выбранном нам накопителе, начиная с названия и заканчивая размером кластеров.

Выбираем наш диск (N:) и жмём Open Drive Files (Открыть файлы диска),

сейчас мы с вами используем самый простой способ восстановления удалённых файлов, перед нами открывается несколько папок имеющих древовидную структуру, раскрываем все начиная с первой, предупреждаю, не ждите обычных названий ваших файлов, в нашем случае Фото сынишки и т.д. Можно сказать нам повезло, в окне присутствуют папки перечёркнутые

красным крестиком, это значит они были удалены, смотрим названия: Глава 01, 02 и т.д, это нужные нам папки с лекциями Университетского профессора, дело в том что перед подобными операциями восстановления, я внимательно расспрашиваю людей о названиях удалённых файлов и их расширениях, это нужно в особых запущенных случаях для поиска по маске и т.д. Вы можете не забивать себе голову на первый раз, в конце статьи мы воспользуемся методом расширенного сканирования (Scan ) и восстановим всё что было на винчестере, это конечно займёт времени по сравнению с простым способом в десять раз больше. А сейчас ставим везде галочки и далее Recover ,

выбираем куда восстанавливать, по умолчанию в личную папку R-Studio в Моих документах и предложение изменить настройки восстановления по умолчанию, оставляем всё как есть нажимаем ОК .

Идёт процесс восстановления файлов

Может возникнуть такое окно, содержание которого я вам перевёл в фотошопе, думаю мне за это ничего не будет, окно с предупреждением, что какой либо из восстанавливаемых файлов имеет атрибут скрытый, R-Studio предложит убрать этот атрибут со всех подобных файлов, соглашаемся, ставим галочку, где надо и Продолжить .

После окончания процесса восстановления, идём в папку Мои документы, далее личная папка R-Studio , она называется R-TT и смотрим результат, восстановились папки с очень нужным видео Глава 01, 02, а так же несколько папок с личными фотографиями, уже не плохо, но такой результат нас не устраивает.

Полный поиск и восстановление удалённых файлов

Для поиска и восстановления других удалённых данных, воспользуемся функцией полного сканирования диска (Scan).

В данном окне ставим галочку Поиск известных типов файлов, и выбираем Детализированное сканирование и жмём Scan .

Наберёмся терпения, операция довольно продолжительная, в правом окне в виде разноцветных квадратиков, отображён ход процесса, на данный момент просканировано всего 13%.

Ждём, почти половина пространства винчестера просканирована 43%

На 55% моё терпение кончилось, так как прошёл почти час, и я останавливаю процесс, нажимаем на Stop

В окне программы, приведённом ниже, можно увидеть распознанные программой файловые системы и соответственно сведения или данные, которые можно восстановить.
Recognized 0 или Recognized 1 , Recognized 2 – помеченные зелёным цветом, здесь находятся данные, которые можно восстановить практически на 100%.
Extra Found Files – помеченные жёлтым и красным цветом, данные, которые программа не смогла распознать и сопоставить какой-либо файловой системе, восстановить их скорее всего не удасться, а если что и восстановится, будет не читаемо, что бы выудить из таких файлов информацию, нужен hex-редактор, но это уже другая тема, требующая не одной, а нескольких больших статей.
Так же мало шансов на восстановление у Recognized 0 , помеченного жёлтым цветом.