Восстановление удаленных файлов (Разделы, RAID, CD-DVD)

Исходные данные

   Разберем ситуацию, когда  случайно произошел сбой  в операционной системе (или вирус постарался, или зависание Partition Magic, или другое событие), вобщем которое привело к исчезновению логической структуры жеcткого диска, грубо говоря, пропали разделы (перестали видеться). Как последствие такого сбоя, если подключить винт на другой компьютер, вы в управлении дисками (прав. кнопка мышки Мой компьютер -Уравление — Управление дисками)  увидите следующую картину :

clip_image001

Инструменты

Есть два способа восстановления данных в таком случае: — "красивый" -вернуть все разделы на место, но он сложный, или — простой (смотри Урок2 — Восстановление данных после форматирования), но грязный. Мы, как настоящие бойскауты  пойдем красивым и сложным путем. :) .

Итак, для этого нам понадобится любой HEX редактор (на наш взгляд, самый оптимальный и удобный под Windows — WinHex).

clip_image002

Эмуляция событий

Берем жесткий диск на 40 Гб, размеченный на два раздела, оба основные(primary), и отформатированные в файловой системе NTFS. На обоих логических дисках лежит важная информация.

clip_image003

Теперь "ложим" (убиваем) оба раздела. Для этого достаточно запустить Partition Magic, дать ему завиcнуть в процессе внесения изменений.

Техника безопасности

1) Мы будем вносить изменения на диск, поэтому нужно обязательно сделать физическую копию диска (бэкап, можно в файл образ). Это делается следующим образом (в WinHex):

Tools — Disk Tools — Clone Disk (Ctrl-D) далее в выпавшем меню в Soource medium указываем Physical Media  (название вашего винчестера)

в Destination: raw image file  — пишем желаемое название файла образа  и указываем место где ему лежать.

clip_image004

2)   Если вы неуверены в своих действиях и у вас  нет возможности подключить диск в другой компьютер и сделать образ — отдайте его на "операцию"  профессионалам. Здесь главное не ошибиться  иначе потеряете все.

Процесс восстановления разделов.

Запускаем WinHex. Открываем диск с потерянными разделами.Смотрим 0-ой сектор , изучаем проблему. В 0-ом секторе должен лежать ПРАВИЛЬНЫЙ master boot record. Если он поврежден или неправильный — система не сможет подмонтировать логическую структуру диска. Итак "подрехтуем" master boot record собственноручно, так чтобы появились наши пропавшие разделы.

clip_image005

Итак, приступим. Master boot record (не путать с boot-sector ), это 0-ой сектор, здесь хранится вся информация о разделах (количество, размеры, адреса бут-секторов, тип файловой системы). Когда вы размечаете при помощи Partition Magic или Fdisk свой винчестер вы вносите изменения именно в Master boot record.

Входим в меню выбираем : View — Template Manager (Alt F12), выскакивает такое окно:

clip_image006

В этом окне выбираем Master Boot Record (Containes Partition Table) (для просмотра мастер бут (0-го сектора) и внесения в него изменений), нажимаем Apply!

clip_image007

После неизвестного глюка  в мастер бут рекорде  может находиться много неверной и лишней информации, поэтому  мы все обнулим. Вот так:

clip_image008

Теперь поставим правильные флаги:

Partition Table Entry #1 Это первый раздел  

1

*1BE  80 = active partition

ставим 0 если небыл загрузочным диск и 80 если был загрузочным

0

2

  *1BF Start head 

неважно (не трогаем)

0

3

*1C0 Start sector

неважно (не трогаем)

0

4

*1C0 Start cylinder

неважно (не трогаем)

0

5

*1C2 Partition type indicator (hex)

внимание! Это тип файловой системы. У нас NTFS, значит ставим флаг 07

07

6

1C3  End head

  неважно (не трогаем)

0

7

1C4 End sector

  неважно (не трогаем)

0

8

1C4 End cylinder

  неважно (не трогаем)

0

9

*1C6 Sectors preceding partition 1

Сектор с которого начинается раздел (1-й раздел стартует с boot-сектора, тоесть с сектора №63)

63

10

*1CA  Sectors in partition 1

Сколько секторов у  нас в этом разделе

Указываем количество секторов 1-го раздела. (Если не знаем, находим начало следующего раздела (см. Поиск границы разделов) и от номера  этого сектора отнимаем 63. Если один раздел — ставим максимальное значение размера Вашего диска)

39070079

Очень важно знать размер первого раздела (в секторах), если вы этого не знаете, давайте найдем эту информацию на самом диске.

Поиск границы разделов

Граница 2-х разных разделов отличается тем, что 1-й раздел заканчивается бут-сектором, и 2-й раздел начинается своим новым бут-сектором., (тоесть идут 2-а подряд бут-сектора). Достаточно найти эту границу и запомнить порядковый номер сектора.

Поиск boot-секторов в winhex производится следующим образом:

Заходим в меню WinHex-Search , выбираем Find Hex Values

clip_image009

Вбиваем правильные параметры для поиска:

1) hex values — 55AA это сигнатура сектора. Для boot-сектора её значение обязательно 55AA.

2) Search: Выбираем Down (Ищем сверху-вниз)

3)Cond.: offset mod — выбираем 512=510 (В секторе у нас 512 байт, наша сигнатура пишется со смещением в 510 байт в пределах сектора)

clip_image010

Нажимаем ок .

Теперь внимание! Вы можете найти сотню разных бутов в пределах дискового пространства (остатки предыдущих разметок), но нас интересуют адреса именно тех бут-секторов, которые отвечают 2-м условиям:

1) Они находятся примерно в той области, где должен заканчиваться первый раздел (в нашем случае 20Гб, тоесть примерно посередине диска)

2) Они идут два подряд (Обязательно). (1-й раздел заканчивается копией своего бута, второй раздел начинается своим собственным бутом).

  Partition Table Entry #2  Это второй раздел (если он есть)

1

*1BE  80 = active partition

ставим 0 если небыл загрузочным диск и 80 если был загрузочным

80

2

  *1BF Start head 

неважно (не трогаем)

0

3

*1C0 Start sector

неважно (не трогаем)

0

4

*1C0 Start cylinder

неважно (не трогаем)

0

5

*1C2 Partition type indicator (hex)

внимание! Это тип файловой системы. У нас NTFS, значит ставим флаг 07

07

6

1C3  End head

  неважно (не трогаем)

0

7

1C4 End sector

  неважно (не трогаем)

0

8

1C4 End cylinder

  неважно (не трогаем)

0

9

*1C6 Sectors preceding partition 1

Сектор с которого начинается раздел (1-й раздел стартует с boot sector тоесть с 63)

39070080

10

*1CA  Sectors in partition 1

Сколько секторов у  нас в этом разделе

Указываем количество секторов 2-го раздела. (Если у нас два раздела, то это значение равно: полный объем диска минус первый раздел минус 63)

39070080

Внеся правильные изменения в мастер бут, необходимо их сохранить, для этого закрываем окно Template Manager,  вас система спросит сохранить ли изменения, отвечайте ОК. После закройте выбранный жестких диск и вас программа опять спросит сохранить ли изменения в 0-й сектор уже диска, отвечайте ОК.

Перегружаем компьютер.

Заходим в Мой компьютер — управление — управление дисками

и что мы Видим :)

clip_image011

Заходим в Мой компьютер и открываем рабочие, восстановленные разделы :) со всем содержимым.

clip_image003[1]

Восстановление жестких дисков с неисправным контроллером

Исходные данные

   Разберем ситуацию, когда у жесткого диска вышла из строя электроника (иногда её еще называют платой контроллером).

В примере будет использоваться неисправный винчестер марки Western Digital.

Для остальных марок жестких дисков проводятся подобные оперции для получения доступа к информации.

Инструменты

Для того чтобы восстановить данные в такой ситуации, нам понадобится специальный набор отвёрточек, воздушная паяльная станция, донор с таким же исправным контроллером, немножко мастерства пайки.

Наши инструменты:

- Пинцет .

- Воздушная паяльная станция.

clip_image012

- Специальный набор отверточек.

clip_image013

- Исправный контроллер (снимается с исправного жесткого диска такого же семейства)

- Прямые руки и незамутненный МосК.

События

Сами мы палить ничего не будем, используем то обстоятельство, что к нам в лабораторию принесли на восстановление данных жесткий диск с электрической проблемой .

clip_image014

Техника безопасности

     1) Во время пайки воздушной паяльной станцией, обеспечьте себе пожаротехническую безопасность, не наводите поток горячего воздуха на себя или других людей, выключайте станцию сразу после пайки.

     2) Не повредите, перегрейте микросхему ПЗУ.

     3) Если не уверены или не умеете работать паяльником, обратитесь к профессионалам.

Процесс восстановления жесткого диска.

С помощью отвертки (звезда № T8) из набора , снимаем контроллер.

clip_image015

С внутренней стороны видим проблему (прогорела насквозь микросхема управления двигателем)

clip_image016

Находим глазами ПЗУ (постоянное запоминающее устройство).

clip_image017

Берем аналогичный исправный контроллер (снимаем его с исправного винчестера — донора).

С помощью термовоздушной паяльной станции пересаживаем микросхему ПЗУ с неисправного контроллера на исправный.

clip_image018

clip_image019

Зачем это нужно? Дело в том, что почти у всех современных винчестеров есть свои уникальные настройки (адаптивные параметры , карта головок, фирмварь и т.п) и находятся они в ПЗУ на платах управления. Именно поэтому просто замена контроллера, для оживления неисправного диска, не помогает, поэтому мы перепаивали  ПЗУ с родными настройками на исправную электронику.

Смело ставим контроллер на нашего пациента, включаем и получаем ЖИВОЙ винчестер без утерянных данных :)

clip_image020

Подключаем его и сливаем всю необходимую информацию.

clip_image021

Пример другой микросхемы памяти (в данном случае флэш-память), которую необходимо перепаивать для получения доступа к информации.

clip_image022

Восстановление данных с внешнего сетевого RAID массива

Исходные данные

Итак, мы имеем внешний сетевой диск объёмом 1Тб, на который складывалась масса ценной информации нескольких отделов одной крупной киевской компании.  В какой-то момент времени он просто перестал подавать признаки жизни. Естественно, считывание информации с него было невозможным. Наша задача — выяснить неисправность сетевого хранилища, при возможности привести его в чувство, или при невозможности — вытащить из него максимум данных.

clip_image023

Инструменты

Для восстановления данных с такого сетевого массива нам понадобится   1-н компьютер с предустановленными на него несколькими  программами указанными ниже, 1-н жесткий диск размером 1Тб (для сохранения на него образа), 3-и жестких диска равных размерам наших пациентов (для бэкапа и в качестве запасного).

Программа HDD Scan , WinHEX и UFS Explorer PRO.

Техника безопасности

  Никаких манипуляций с исходными жесткими дисками (установленными в коробочку) ни в коем случае проводить не стоит, чтобы не ухудшить состояние общего Raid массива. С них необходимо сделать копии (клонировать) и работать исключительно с этими копиями.

Процесс восстановления данных.

Разбираем внешний сторэдж, (имейте ввиду он на защелках, не поломайте их), выкручиваем из него оба жестких диска ( в нашем случае марка жестких дисков Western Digital, объем каждого по 500Гб.

clip_image024

Подключаем жесткие диски к компьютеру и делам анализ их общего состояния. Тестируем программами типа HDD scan или MHDD .

Анализ показал, что у обоих дисков есть изрядное число бэд-блоков, что, видимо, и стало причиной выхода из строя сетевого хранилища (развала raid) .

Теперь наша задача клонировать ВСЕ дисковое пространство обоих дисков на 2-а живых других винчестера.

Что мы и делаем программой WinHEX . Обязательно нужно указать, что бэды игнорировать.

clip_image025

Итак, мы теперь имеем 2-а КЛОНА, но это еще только НАЧАЛО работы. Надежды на то, что поставив эти живые диски в коробку внешнего сетевого хранилища и он сам по себе заведется и отдаст данные — нет, так как такие хранилища привязываются к паспортным данным своих родных дисков :( .

Итак, приступаем к ВИРТУАЛЬНОЙ сборке рейда на компе.

1-ое — необходимо знать, что если ОБЩИЙ наш объем хранилища составлял 1Тб, а в середине установлено 2-а диска по 500 Гб, то это означает, что у нас только 2-а возможных варианта Raid-а, либо: stripe — чередование, либо jbod — последовательное соединение.

Давайте подключим оба наших "клона" и проанализируем, какой тип Raid массива у нас имеется, заодно узнаем, какая файловая система стояла на сетевом хранилище.

Итак, открываем WinHex-ом оба диска и смотрим:

clip_image026

Файловая система Ext3 (такая, как у Linux based систем)

clip_image027

У второго диска в начале тоже самое, что и у первого, а вот последний раздел не определен. Делаем вывод, что первые три раздела (в том числе и swap) зеркально отображены на обоих дисках, что логично, так как они запускают и монтируют сетевой сторадж в сеть, и являются предустановленными по умолчанию. А вот последний раздел у обоих винчестеров разный. Путем несложного анализа последних разделов у обоих дисков можно легко определить чередуются у нас блоки или нет. В нашем конкретном случае оказалось, что нет блочного чередования (страйпа), а обычное последовательное соединение jbod режим.

Теперь давайте, определим порядковый номер сектора первого диска, на котором заканчивается инфа. Важно знать, что это ни в коем случае не последний рабочий сектор всего диска, любая файловая система всегда оставляет в конце небольшой запас.

Прыгаем курсором в самый конец, видим нули (что означает незаполненное место), набираем поиском "искать любой на выбор символ", делаем поиск вверх и находим:

clip_image028

Запоминаем номер последнего заполненного сектора:  № 976767928.

Зная, что наша программа сборки виртуального raid (UFS Explorer Pro) позволяет только указывать сколько секторов необходимо откусить от конца, выполняем математический расчет. Всего секторов у первого диска  минус кол-во занятых секторов диска: (976773168 — 976767928)-1 = 5239 секторов.

Осталось теперь у второго диска клонировать только необходимую для склейки часть.

Надеюсь понятно, что сектор, с которого начинается последний не зеркальный раздел есть началом второго куска нашего общего JBOD-а.

Смотрим на номер сектора и запоминаем его:

clip_image029

Теперь подключаем к компьютеру третий диск 500 Гб для клонирования на него жбодового раздела.

Делаем клонирование, обратите внимание на начальный сектор, который мы указываем как стартовый (он будет 0-ым на нашем новом винчестере)

clip_image030

clip_image031

Все теперь осталось виртуально собрать полностью РЭЙД систему.

Для этого мы воспользуемся хорошей программой UFS Explorer Pro, так, она не просто позволяет виртуально собирать рэйды, а и анализировать диски ЛЮБЫХ файловых систем (в том числе Ext3)  на предмет потерянных разделов.

Запускаем программу, выбираем — собрать виртуальный raid :

clip_image032

Теперь выбираем наш первый диск в рэйде, потом выбираем 2-ой диск в рэйде, который будем прибавлять (наш последний клон-раздел), выбираем режим JBOD, указываем (откусываем) от конца 1-го диска 5239 секторов (незанятые разделом сектора) и нажимаем построить:

clip_image033

Далее мы видим наш собранный Raid, ставим поиск на нем утерянных разделов:

clip_image034

Получаем результат:

clip_image035

Наш 1Тб-ый, живой раздел :)

Открываем его :

clip_image036

А вот и наши данные, которые люди хранили на сетевом хранилище :)

Итак, остаётся эти данные скопировать на локальный жесткий диск.

clip_image037

Не забывайте, что у нас заготовлен 1Тб жестких диск, на который можно полностью скопировать содержимое внешнего raid диска.

Восстановление данных с СД или ДВД дисков методом Гоп-Свопа.

Исходные данные

  Наиболее часто проблемы с чтением данных с компакт-дисков или ДВД-дисков возникают, когда портится файловая система диска. Такое может происходить, когда запись на диск незафинализирована или лазерная головка СД-РОМА не может прочитать служебную часть диска из-за механических повреждений (царапин, помутнений и т.д)

  Возмем для восстановления ДВД-диск на который была произведена запись с видео-камеры, но диск на обычных компьютерах оказался нечитаемым. ( В дальнешем мы определили что видео-камера портила почти все диски, и записи уже неудавалось прочитать.)

Также для восстановления возьмем обычный привод DVD-RW Asus.

clip_image038

Инструменты

DVD-RW Asus, рабочий компьютер, программа Winhex, программа UFS Explorer Pro, болванка аналогичного типа с правильно записанной сессией.

Техника безопасности

1)  Всегда есть вероятность повредить привод DVD-RW, поэтому 5-ть раз подумайте прежде чем делать такую операцию самостоятельно.

2) Когда будете сдёргивать болванку , смотрите чтобы она не улетела кому-то в глаз.

Процесс восстановления данных.

Разбираем привод чтения дисков. Достаточно снять с него верхнюю крышку. ДВД-Ром должен оставаться работоспособным.

clip_image039

От снятой верхней крышки отрываем наклеку и вынимаем прижимной магнить для компакт-дисков.

clip_image040

clip_image041

Устанавливаем РАБОЧИЙ DVD-диск в привод , прижимаем верхней крутящейся тарелкой-магнитом. (Она нужна для того, чтобы при вращении диска на моторе, он не улетал )

clip_image042

clip_image043

Подключаем привод к компьютеру таким образом, чтобы к нему был хороший доступ, ставим в него живой DVD-диск.

clip_image044

Загружаем систему Windows, заходим на логический диск (DVD) , смотрим на информацию (проверяем чтение данных с диска).

И теперь ВНИМАНИЕ , нужно будет аккуратно сдёрнуть двумя пальцами вращающийся диск на гарячую (Hot-Swap в дальнейшем Гоп-Своп). И быстро установить туда нашего "пациента" ( нечитающийся DVD-диск) вместе с прижимным магнитом, чтобы не улетал.

Естественно, что файловую структуру на повреждённом диске мы тут же не увидим, и ничего скопировать не сможем, но мы можем сделать образ дискового пространства при помощи WinHex, что и сделаем.

clip_image045

Теперь мы будем искать все файлы (видеосюжеты) по заголовкам , для этого запускаем, знакомую нам программу, UFS Explorer Pro.

Открываем наш файл-образ:

clip_image046

Запускаем "сырое" сканирование:

clip_image047

"Сырое" сканирование потерянных файлов, это режим восстановления по заголовкам (уникальным сигнатурам). В результате такого сканирования , программа Вам покажет все ТИПЫ файлов, которые она смогла найти. Названий файлов и структуры каталогов НЕ БУДЕТ.

clip_image048

Так-как нам дали задание найти утерянные видео-файлы, снятые видеокамерой, то, скореее всего, расширение у таких файлов будет или VOB или MPG, или  другой подобный формат.

В нащем случае оказались файлы с расширением mpg.

clip_image049

Теперь эти видеофрагменты можно скопировать, назвать удобными именами, и проверить.

Эта методика подходит и в тех случаях , когда был удален файл или была записана новая сессия сверху, или был поврежден или переписан ТОС диска.

Вы можете оставить комментарий, или Трекбэк с вашего сайта.
Как самостоятельно отключить ненужные услуги http://mts-smart.ru/ Самый надежный способ отключить услуги МТС.

Оставить комментарий

Разработка NewWpThemes.com  |  WordPress шаблоны