Жарознижувальні засоби для дітей призначаються педіатром. Але бувають ситуації невідкладної допомоги за лихоманки, коли дитині потрібно дати ліки негайно. Тоді батьки беруть на себе відповідальність і застосовують жарознижувальні препарати. Що можна давати дітям грудного віку? Чим можна збити температуру у старших дітей? Які ліки найбезпечніші?
Якщо таблиця розділів жорсткого дискабуло пошкоджено, як правило, дані ще можна врятувати. Ми покажемо, як це зробити. При пошкодженні таблиці розділів дані, як правило, можна врятувати Ваш накопичувач легко може залишитися без таблиці розділів, що працює, - якщо занадто рано відключити зовнішній дисквід живлення, якщо вірус намагається угнездитися на захищеній ділянці жорсткого диска або якщо сектори, в яких записана таблиця, просто не читаються. Після цього ви обов'язково отримаєте повідомлення від Windows: Перш ніж використовувати диск в дисководі Х:, його потрібно відформатувати. Відформатувати?». Рятуємо дані та чистимо жорсткий диск Зрозуміло, в більшості випадків ви зовсім не хочете форматувати накопичувач, адже на ньому знаходяться ваші дані. Але без таблиці розділів система зможе отримати доступ до жорсткого диска. Вам необхідно знайти спосіб якось інакше отримати інформацію зі зіпсованого носія. Перш за все, вам знадобиться достатня кількість пам'яті на диску, щоб розмістити там врятовані дані. Для відновлення таблиці розділів диска можна скористатися безкоштовною утилітою TestDisk. Її можна завантажити із сайту виробника cgsecurity.org або взяти з CHIP DVD. Також знадобиться інструмент DiskPart. Починаючи з версії Vista, ця програма йде в комплекті з Windows, однак користувачам XP її доведеться завантажити з сайту microsoft.ru. Утиліта TestDisk необхідна для виявлення даних без таблиці розділів та їхнього копіювання. Після цього DiskPart очистить жорсткий диск, завдяки чому можна буде створити працюючі розділи за допомогою власного засоби Windows«Керування дисками», яке можна знайти в розділі «Керування комп'ютером». Не варто боятися командного рядкаЗвичайно, програми TestDisk та DiskPart – це потужні інструменти, при роботі з якими можна зіткнутися з певними труднощами. Але не варто боятися: уважно читайте кожне повідомлення, переглядайте кожен екран і намагайтеся максимально дотримуватись нашої інструкції. Якщо на комп'ютері використовується кілька HDD та/або твердотільних накопичувачів, особливо важливо стежити за літерами дисків та позначеннями. Немає нічого прикрішого, ніж видалити розділи абсолютно непричетного справного носія. До речі, після процедури ви зможете спокійно використовувати жорсткий диск із колись зіпсованою таблицею розділів. Навіть якщо джерелом проблеми стали несправні сектори на HDD, не варто побоюватися, що це станеться знову. Власний засіб диска для управління секторами відзначає їх як дефектні, щоб вони не задіялися. Навіть якщо на даний момент проблем із жорстким диском немає, збережіть цю інструкцію, і коли виникне надзвичайна ситуація, ви будете у всеозброєнні. ПРИМІТКА CHIP не несе відповідальності за пошкодження ваших апаратних засобів або втрату даних, які можуть виникнути під час виконання наведених у статті рекомендацій. Як це зробити? 1. ВІДПОВІДАЄМО ПРОБЛЕМУ Якщо Windows попереджає, що ваш жорсткий диск не відформатований, це необов'язково відповідає істині. Перевірити, чи це так, можна запустити вбудований інструмент Windows «Керування дисками». 2. ПЕРЕВІРЯЄМО ЖОРСТКИЙ ДИСК За відсутності неполадок у засобі «Управління дисками» («Панель управління | Адміністрація | Управління комп'ютером») диск буде позначений як «RAW» або мати статус «Справний». 3.ПЕРША СПРОБА ВІДНОВЛЕННЯ Використовуйте власну утиліту Windows chkdskу редакторі командного рядка cmd, який потрібно викликати від імені адміністратора. Запустіть команду chkdsk x: /f, де замість x підставте літеру вашого диска. 4. ЗАПУСКАЄМО ПРОГРАМУ ДЛЯ АНАЛІЗУ Якщо попередня процедура не принесла успіху, запустіть TestDisk. Клавішами «Enter» підтвердьте налаштування «Create». На наступному етапі оберіть свій жорсткий диск та запустіть тестування послідовністю «Proceed | Intel | Analyse | Quicksearch». 5. ПЕРЕЗАПИСЮЄМО ТАБЛИЦЮ РОЗДІЛІВ Виберіть свій розділ, натисніть на «Continue» і створіть нову таблицю розділів за допомогою функції «Write». Якщо розділ не з'явиться, повторіть процес за допомогою «Deeper search». 6. ЗБЕРЕЖУЄМО ЗНИКНІ ФАЙЛИ Якщо процес пройшов невдало, повторіть дії етапу 4, проте після «Continue» виберіть «List files». Для копіювання файлів виконайте вказівки внизу вікна. 7. ПОВЕРТАЄМО ЖОРСТКИЙ ДИСК У РОБОЧИЙ СТАН Після успішного копіювання запустіть програму DiskPart від імені адміністратора. За допомогою функції « List disk» відобразіть усі жорсткі диски, виберіть потрібний командою «Select disk x» та очистіть його («Clean»). 8. ФОРМАТУЄМО І РОЗБИВАЄМО НА РОЗДІЛИ В «Керуванні дисками» ініціалізуйте і, якщо потрібно, розбийте на розділи даний диск, а потім поверніть дані.
Опишемо процес ручного відновлення даних у разі віддалених файлів або файлів із пошкоджених розділів системи NTFS під час роботи в ОС Windows NT. Проблема у тому, що у складі цієї ОС немає відповідних програмних засобів. Програми відновлення даних NTFS від сторонніх виробників, на жаль, не завжди використовують всі можливості відновлення. Ситуація посилюється відсутністю повної документації щодо низькорівневої структури керуючих блоків NTFS.
Що ж робити, якщо одного разу виявляється, що комп'ютер з Windows NT більше не завантажується або деякі логічні розділи NTFS стали раптом недоступні?
Спочатку потрібно уточнити, із чим пов'язана несправність: фізичним пошкодженням диска, виходом з ладу контролера або руйнуванням файлової системи NTFS.
Проблеми з диском
Жорсткі диски мають обмежений термін служби, зазвичай кілька років. Вихід пристрою з ладу іноді можна визначити за характерними клацаннями у момент ініціалізації. Диск може кілька разів клацнути та затихнути, так і не розкрутившись. При ініціалізації BIOS повідомить вам про цю несправність. У такій ситуації слід провести ремонт жорсткого диска. Якщо вартість втраченої інформації помітно перевищує вартість диска, слід звернутися до фахівців, що, втім, недешево.
Ремонт виконується в такий спосіб. Якщо з ладу вийшла електроніка, розташована поза герметичним простором диска, то замінюється або ремонтується відповідна плата. Для цього часто доводиться розбирати інший диск такого самого типу.
Якщо пошкоджені деталі, розташовані всередині корпусу диска, проблем буде більше. Насамперед, розбирати зламаний диск потрібно у так званій «чистій кімнаті», де гарантується відсутність пилу. Потім слід замінити плату з електронікою, знявши її з іншого диска. Відремонтований диск закривається, після чого залишається лише скопіювати інформацію на третій диск секторами.
Тому якщо зламався жорсткий диск із цінною інформацією, приготуйтеся пожертвувати ще одним для ремонту та знайдіть третій для копіювання відновлених даних.
Якщо є підозра на несправність контролера диска, спробуйте замінити його. Також перевірте з'єднувальний кабель.
Проблеми з файловою системою
Переконавшись, що диск, контролер і з'єднувальний кабель справні, не поспішайте використовувати дискету NT Repair Disk, створену під час встановлення ОС, або запускати програму відновлення файлової системи chkdsk - результат може бути плачевним. Не намагайтеся також знайти «чарівну» програму відновлення NTFS у комплекті Norton Utilities для Windows NT – поки її там немає. Якщо інформація, записана на диску, має особливу цінність, необхідно спочатку проаналізувати стан керуючих блоків файлової системи NTFS за допомогою редактора диска.
Така робота потребує досить високої кваліфікації. Зокрема, потрібно розбиратися у форматах керуючих блоків файлової системи. Якщо ви не в змозі виконати її самостійно, краще викликати спеціаліста і не робити спроб самому відремонтувати NTFS.
Щоб перевірити блоки, що управляють, потрібно підключити до комп'ютера два диски: перший, справний завантажувальний, і другий - той, інформацію з якого необхідно відновити.
Спочатку підключається лише перший диск і встановлюється Windows NT. Цей диск буде використано для збереження файлів, відновлених із розділів пошкодженого. Далі встановлюється редактор Disk Probe, що до складу Windows NT Resource Kit. Хоча цей редактор далекий від досконалості, він дозволить виконати всю роботу з відновлення втрачених файлів.
Переконавшись, що з першим диском все гаразд, вимкніть комп'ютер і підключіть до нього другий пошкоджений диск.
Визначення геометрії логічного устрою
Для успішного відновлення інформації слід визначити розмір кластера та адресу завантажувального сектора. Перше значення можна отримати із завантажувального сектора розділу NTFS (якщо, звичайно, його вміст зберігся).
Запустіть програму Disk Probe. Виберіть у меню Drive позицію Physical Drive. На панелі Open Physical Drive, яка з'явилася на екрані, вкажіть пристрій PhysicalDrive1, двічі клацнувши лівою клавішею миші по рядку списку Available Physical Drives. Потім натисніть кнопку Set Active, залишивши увімкненим перемикач Read Only, і закрийте панель кнопкою OK.
В результаті Disk Probe отримає доступ на читання пошкодженого диска. Після цього спробуйте прочитати вміст головного завантажувального запису диска, розташованого в першому секторі на нульовій доріжці нульового циліндра. Для цього виберіть у меню Sectors рядок Read. Відобразиться панель Read Sector. У полі Starting Sector вкажіть номер першого сектора, який дорівнює нулю, а в полі Numbers of Sectors встановіть значення 1. Потім натисніть кнопку Read.
Програма вважає в оперативну пам'ятьвміст першого сектора і покаже його у шістнадцятковому вигляді. Виберіть з меню View рядок Partition Table для форматування таблиці розділів диска, а потім перейдіть на потрібний розділ за допомогою кнопки Go. Якщо потрібно (коли відновлюються файли з розширеного розділу), повторіть цю процедуру кілька разів.
Добравшись до завантажувального запису потрібного розділу, виберіть з меню View рядок NTFS Bootsector.
А що робити, якщо головний завантажувальний запис чи завантажувальний запис потрібного розділу знищено?
Ця ситуація важка, але не фатальна. Детальну таблицю відповідності ємності логічного пристрою NTFS та числа кластерів можна знайти у MSDN. Наприклад, якщо ємність знаходиться в інтервалі 1025 - 2048 Мбайт, розмір кластера дорівнюватиме 4 секторам, а якщо в діапазоні від 8193 до 16 384 Мбайт - то в одному кластері буде 32 сектори. Зауважимо, проте, що, подбавши заздалегідь про можливість подальшого відновлення диска у разі пошкодження, можна полегшити таку роботу, коли у ній виникне потреба. Потрібно визначити та записати розмір кластера відразу після встановлення ОС, поки завантажувальний сектор NTFS ще цілий.
Якщо розмір кластера так і залишився невідомим, його доведеться визначати непрямими способами або методом підбору.
Таблиця MFT
Внутрішня структура файлової системи NTFS принципово відрізняється від добре знайомої більшості FAT. Не вдаючись у подробиці, викладемо ті відомості, які необхідні виконання у ній відновлювальних робіт.
Файлова система FAT (і її різновид FAT32) зберігає інформацію про файли у кількох місцях логічного пристрою. Дескриптор файлу, що містить його ім'я, розмір, дату створення та номер першого виділеного кластера, знаходиться в каталозі. Таблиця розміщення файлів File Allocation Table, від якої і походить назва файлової системи FAT, зберігає пов'язаний список всіх кластерів, виділених файлу. І нарешті, сам файл може бути розпорошений кластерами.
Така організація значно ускладнює відновлення файлів у разі будь-яких збоїв. Особливо критичною є цілісність таблиці FAT: якщо ця таблиця зникла або її вміст виявився частково зруйнованим, зникає інформація про кластери, виділені файлу. У результаті файл можна насилу зібрати з окремих кластерів, лише знаючи його вміст. До того ж, ця робота вимагає дуже багато часу. Тому на практиці зникнення таблиці FAT та її копії означає повну втрату файлів.
Втрата каталогів призводить до неможливості визначення номера першого кластера, виділеного файлу, його імені та точного розміру. У цьому випадку наслідки не такі катастрофічні, тому що в таблиці FAT залишилися безгоспні ланцюжки кластерів, які неважко перетворити на файли. Імена отриманих у такий спосіб файлів зазвичай складаються з цифр. Зауважимо, що при катастрофі каталогів, що містять тисячі файлів, після відновлення буде важко знайти потрібний файлякщо хоча б приблизно не відомий його вміст.
У файловій системі NTFS вся інформація про файли зберігається у так званій головній таблиці файлів Master File Table (MFT). Записи таблиці MFT містять набори дескрипторів з такою інформацією про файли, як ім'я, дати створення та модифікації, атрибути безпеки і, що найголовніше, списки кластерів, виділених файлам. Якщо файл має невеликий розмір, він може зберігатися безпосередньо у записи таблиці MFT.
Отже, можливість відновлення файлів із пошкоджених розділів NTFS багато в чому визначається цілісністю таблиці MFT та її копії.
Як знайти таблицю MFT?
Знайти таблицю MFT досить легко, якщо зберігся завантажувальний сектор розділу NTFS. Натисніть кнопку Go біля поля Clusters to MFT або Clusters to MFT mirr на панелі, показаній на рис. 2. Щоб переглянути вміст першого сектора таблиці, виберіть з меню View програми Disk Probe рядок Bytes.
Зверніть увагу на рядок FILE, розташований на початку сектора. З неї починаються записи таблиці, які описують файли. Існують ще записи для каталогів, елементів індексу та інші, які ми не розглядатимемо.
Рядок $.M.F.T. знаходиться зі зміщенням D2. Це ім'я системного файлу, що містить таблицю MFT, у кодуванні Unicode. Таким чином, перший запис файлу $MFT описує сам цей файл. Переглядаючи таблицю, можна знайти записи для інших системних файлів, таких як $MFTMirror, $LogFile, $Volume, $AttrDef та ін.
Якщо завантажувальний сектор зруйнований, початок таблиці MFT не важко знайти за допомогою Disk Probe. Для цього виберіть у меню Tools рядок Search Sector, встановіть перемикачі у положення, показане на рис. 4, та, заповнивши поле Enter characters to search for, натисніть кнопку Search. Слід запастися терпінням, оскільки процес пошуку може забрати чимало часу.
Зауважимо, що так можна знайти в таблиці MFT записи для тих файлів, які потрібно відновити. Так як імена файлів зберігаються в кодуванні Unicode, під час пошуку слід встановити перемикач у положення Unicode characters. Крім того, необхідно увімкнути режим пошуку Exhaustive search та Ignore case.
Аналіз записів MFT
На жаль, програма Disk Probe не містить жодних засобів для форматного перегляду вмісту записів MFT. Більше того, точний формат цього запису відсутній у відкритій документації Microsoft. Однак багато можна виявити в Internet, зробивши запит по ключовим словам"NTFS Documentation". Нам, наприклад, вдалося знайти інформацію, зібрану розробниками модулів для операційної системи Linux. Аналізуючи вихідні тексти модуля для монтування в Linux файлової системи NTFS, можна зрозуміти призначення окремих полів записів MFT (автори приносять подяку Максиму Синьову за допомогу у «розшифруванні» записів MFT).
Запис MFT складається з початкового фрагмента фіксованого розміру та набору атрибутів, які мають у загальному випадку змінний розмір. Для відновлення файлів потрібно знати точний формат лише атрибуту даних. Що ж до інших атрибутів, достатньо вміти визначати їхнє розташування та розмір.
Перші чотири байти запису, описує файл, утворюють слово FILE. На рис. 3 вони виділені червоним кольором. Наступні два байти (виділені синім кольором) - зміщення так званої області Fixup. У цьому випадку значення зміщення дорівнює 002A (з урахуванням зворотного порядку розташування байтів у слові). Тут і далі користуватимемося шістнадцятковими числами.
Область Fixup використовується для виявлення помилок читання чи записи. Вона складається зі слів розміром два байти. Кількість слів зберігається у записи MFT зі зміщенням 0006. На рис. 3 поле розміру області Fixup виділено фіолетовим кольором. Там зберігається значення 0003, отже область Fixup починається зі зміщення 002A і простягається до 002A+(2*0003)=002F.
Відразу за областю Fixup починаються поля атрибутів. Зміщення першого атрибута дорівнює 0030.
Перші чотири байти області атрибутів визначають тип, а наступні чотири - розмір байтів. Наприклад, за областю Fixup зі зміщенням 0030 слід атрибут з типом 10. На рис. 3 тип цього та наступного за ним атрибутів виділено червоним кольором (розмір атрибута виділено синім). Атрибут займає 48 байт, отже наступний атрибут (з типом 30) почнеться зі зміщенням 0078.
Таким чином, можна виділити в записі MFT всі атрибути. Наприкінці останнього записано значення FFFFFFFF - ознака кінця ланцюжка атрибутів.
Для відновлення файлів найбільший інтерес становлять атрибути типу 30 і 80. Перший зберігає ім'я файла. По ньому слід шукати запис MFT, що описує файл, що відновлюється. Другий атрибут з типом 80 зберігає список кластерів, виділених файлу, або сам файл. Про нього ми розповімо докладніше.
Як видно з малюнка, тип атрибута, що дорівнює 80, зберігається в записі MFT зі зміщенням 0160. Усього атрибут даних займає D8 байт, так як саме це значення знаходиться у чотирибайтовому полі зі зміщенням 4 щодо початку атрибуту.
Байт зі зміщенням 8 щодо початку атрибуту даних – це ознака резидентного розміщення файлу. Якщо його значення дорівнює 1, запис MFT зберігає лише список кластерів, виділених файлу (як у описуваному випадку), а якщо 0 - файл знаходиться всередині самого запису MFT. Як правило, записи містять лише файли невеликих розмірів.
Спочатку розглянемо випадок нерезидентного розміщення файлу. При цьому чотири байти зі зміщенням 30 зберігають довжину файлу, розташованого десь на диску. У даному прикладіДовжина файлу $MFT складає B7B000 байт.
Щоб визначити точне розташування нерезидентного файлу на диску, потрібно простежити ланцюжок про блоків віртуальних номерівкластерів Virtual Cluster Number (VCN), чи навіть блоків VCN. Показник усунення початку цього ланцюжка зберігається у двобайтовому полі, що має зміщення 20 байт щодо початку атрибуту даних. В даному випадку цей показник дорівнює 40, а зсув області блоків VCN щодо початку запису MFT дорівнює 01A0. На рис. 5 ця область виділена жирною вертикальною лінієюзеленого кольору.
Аналіз області блоків VCN
Файл, записаний у розділі NTFS, можна сегментувати. Він складається з одного або декількох фрагментів, які називають екстентами. Розмір та розташування кожного екстенту описується в блоці VCN. Залежно від того, фрагментований файл чи ні, VCN може містити один блок або їх набір. Блоки VCN мають змінний розмір, який визначається першим байтом.
Формат блоку слід показати на конкретному прикладі. Візьмемо перший блок VCN, що має у цьому прикладі зсув 01A0 щодо початку запису MFT:
Зошити першого байта зі значенням 31 визначають розміри двох полів блоку VCN. Перше поле, що має довжину один байт, зберігає кількість кластерів, виділених екстент файлу. Друге поле розміром три байти містить номер першого кластера. У разі першому екстенту файла $MFT виділено 20 кластерів, а номер першого кластера для першого екстенту дорівнює 0286D9. Таким чином визначаємо розмір та розташування першого екстенту файлу.
Другий блок VCN розташований відразу за першим:
Щоб визначити перший кластер другого екстенту, необхідно додати до адреси першого екстенту зміщення, зазначене у другому блоці VCN (з урахуванням знака). У цьому випадку другий екстент розміщений у кластері з номером 0286D9+21=286FA. Довжина другого екстенту становить 0,824 кластера.
Аналізуючи інші блоки VCN, можна визначити розміри та розташування всіх екстентів файлу. Список блоків VCN закривається байтом із нульовим значенням.
Резидентні файли
Файли невеликого розміру розміщуються безпосередньо в записі MFT, який описує цей файл, для скорочення часу доступу. Якщо у байті зі зміщенням 8 щодо початку атрибуту даних знаходиться нульове значення, то не потрібно простежувати ланцюжки блоків VCN. Це означає, що файл знаходиться всередині атрибуту даних.
При цьому зсув резидентних даних, тобто файлу, записано у двобайтовому слові зі зміщенням 14 щодо початку атрибуту даних, а розмір - у двобайтовому слові зі зміщенням 10.
Наведемо невеликий приклад. Для ілюстрації формату запису MFT, що містить резидентний атрибут даних, ми підготували маленький файл з ім'ям Small.txt, що містить текстовий рядок "This is a small text file.". Потім за допомогою програми Disk Probe ми знайшли запис таблиці MFT, створену для цього файлу (рис. 6).
Як видно із рис. 6, байти файлу Small.txt (виділені жовтим кольором) знаходяться всередині запису MFT зі зміщенням 18 щодо початку атрибуту даних, а розмір файлу становить 1A байт.
Як відновити файли?
Тепер, озброївшись наведеними вище знаннями про внутрішню структуру системних блоків NTFS, можна розпочати відновлення файлів із пошкодженого розділу цієї файлової системи.
Коли відомі імена файлів, що підлягають відновленню, потрібно знайти відповідні записи в таблиці MFT. Це можна зробити за допомогою програми Disk Probe, скориставшись рядком Search Sector із меню Tools. Далі слід виявити в цьому записі атрибут даних та визначити, чи резидентний він чи ні.
Якщо атрибут даних резидентний, потрібно зберегти сектор, що містить запис MFT, як файла на справному жорсткому диску чи дискеті. Це можна зробити, використовуючи рядок Save as меню File програми Disk Probe. Після цього слід вирізати потрібну частину даних та зберегти результат у новому файлі. Таку операцію неважко виконати, наприклад, у редакторі Norton Disk Editor для MS-DOS.
У разі нерезидентного атрибуту роботи буде набагато більше.
Простежуючи ланцюжок блоків VCN, потрібно визначити розташування та розмір екстентів файлу, що відновлюється. Далі за допомогою Disk Probe слід прочитати дані екстенту, а потім зберегти їх у файлі на справному диску. Не забудьте також, що в Disk Probe вказується кількість секторів, які потрібно прочитати або записати, а в блоці VCN встановлено кількість кластерів, виділених екстенту. Тому потрібно здійснити відповідний перерахунок.
Відновивши всі екстенти, поєднайте їх в один файл (наприклад, командою COPY з параметром /B). Потім встановіть правильну довжину файлу, отриману з поля зі зміщенням 30 атрибутів даних. У розділі FAT така операція може бути виконана за допомогою програми Norton Disk Editor.
На жаль, на практиці відновлення великої кількостіфайлів вимагає багато часу. Найважче дається ручна обробка ланцюжків блоків VCN, які можуть бути дуже довгими. Доводиться годинами працювати з калькулятором, переводячи десяткові числа в шістнадцяткові і назад, а також виконуючи різні арифметичні дії, необхідні для визначення розмірів та розташування екстентів файлів, що відновлюються. Тому ми користуємося невеликою саморобною програмою NTFS Explorer, що виконує найбільш трудомісткі операції в напівавтоматичному режимі.
Читайте що таке логічне пошкодження даних або таблиці розділів диска. Рівні пошкодження та прогноз результату відновлення даних. Для відновлення даних із пошкоджених жорстких дисків потрібно розбиратися в жорстких дисках, файлових системах, їх структурах та принципах роботи Крім того, слід розуміти ступінь пошкодження. Від вас знадобиться повна концентрація сил і уваги, самовідданість та навички програмування. Ми надамо всю потрібну інформацію, яка знадобиться, щоб відновити цінні дані без спеціального програмного забезпечення.
Найменша логічна одиниця інформації, якою оперують програмісти, – 1 біт. Під час роботи із жорстким диском найменша одиниця – сектор. Це означає, що комп'ютер читає або пише 512 байт навіть якщо ви хочете прочитати або записати 1 байт.
Перш ніж розпочати процес відновлення, ви повинні розуміти три речі:
Master Boot Record (далі MBR).Це те, з чого все починається. MBR завжди розміщується у першому секторі на диску. Якщо такий запис є, то диск завантажувальний, а якщо ні, то диск не завантажувальний. Диск, що містить операційну систему, має бути завантажувальним.
Volume Boot Record (далі VBR).Сектор також відомий як завантажувальний сектор або завантажувальний запис розділу. Це поняття розроблено IBM і використовується для створення розділів на жорсткому диску (наприклад: C:\, D:\, E:\ і т.д.). Кожен логічний диск має власний VBR.
File Systems (файлові системи).Це набір алгоритмів, що визначають спосіб організації, зберігання та іменування даних, а також структуру інформації. Якщо потрібно відновити файли, ви повинні знати, який тип файлової системи на вашому диску (NTFS або FAT32).
Що таке логічне ушкодження даних?
Пошкодження даних або жорсткого диска – це ситуація, коли ваша операційна система (далі ОС) не може отримати інформацію про файли або їх властивості. Це може статися внаслідок пошкодження елементів файлової системи, MBR або VBR або фізичного пошкодження жорсткого диска або флеш-накопичувача. Ви зможете легко відновити дані, якщо пошкоджений диск відповідає декільком вимогам:
Диск та його сектори розпізнаються операційною системою.
ОС має доступ до жорсткого диска та його секторів.
Основна мета відновлення - зібрати залишки даних після пошкодження. Ви повинні проаналізувати кожен сектор у пошуках файлів, тому що ваша ОС більше не може цього зробити.
Рівень пошкодження
Пошкодження жорсткого диска можна умовно поділити на три рівні. Рівень визначає, наскільки пошкодження оборотні та інформація піддається відновленню.
Розглянемо докладніше:
Рівень 1:Це простий рівень, коли пошкоджено лише таблицю розділу вашого MBR. У цьому випадку потрібно знайти VBR. Як тільки буде знайдено VBR, ви зможете відновити дані.
Рівень 2:У цьому рівні деякі поля VBR пошкоджені, через що ОС не в змозі розпізнати свою файлову систему. В даному випадку ви повинні проаналізувати VBR, щоб отримати адресне поле вашого кореневого каталогу у FAT32 та MFT у NTFS. Якщо це вдасться, то ви зможете знайти та відновити ваші файли, в іншому випадку вам доведеться здійснити пошук сигнатур файлів по всьому диску.
Рівень 3:У цьому випадку немає гарантії, що ви зможете відновити дані, оскільки може мати місце фізичне пошкодження вашого обладнання: диск пошкоджений вогнем, зіпсований внаслідок падіння, або в нього потрапила вода тощо. Для початку потрібно замінити пошкоджені деталі диска і відновити працездатність пристрою.
Архітектура
Розглянемо, наприклад, комп'ютер із одним жорстким диском та двома розділами «C:\» і «D:\» у ньому. ОС встановлена на диску C:\. MBR завжди знаходиться в першому секторі, цей запис повністю відповідає за завантаження операційної системикомп'ютера з урахуванням BIOS. Розглянемо структуру цього запису докладніше:
Код початкового завантаження. Під час завантаження комп'ютера необхідно виконати код завантаження операційної системи або іншого програмного забезпечення. Такий первинний набір кодів знаходиться у BIOS. Цей код перевіряє наявність апаратного забезпечення та проводить кілька перевірочних тестів на можливість завантаження. Потім, відповідно до зазначеного порядку завантаження, він починає завантаження першого сектора дисків. Коли він знаходить той, що відзначений як MBR, він починає його запускати.
Цей код називається код початкового завантаження (зазвичай 440 байт). Робота коду полягає в перегляді таблиці розділу в пошуках активного розділу (наприклад, на якому диску знаходяться файли завантаження операційної системи), щоб знайти початковий сектор активного розділу. Завантажує копію завантажувальних файлівз розділу на згадку, контролює їх і те, як завантажується ОС. Ми не заглиблюватимемося в цьому напрямку, оскільки це не потрібно для відновлення файлів.
Таблиця розділів. Розмір таблиці становить 64 байти.
Розділ – це частина жорсткого диска, яка була логічно відокремлена, щоб працювати як окремий диск настільки, наскільки визначить операційна система, і може мати незалежну структуру файлової системи. Незалежно від цього, який розділ є активним, тобто. містить ОС, початкова адреса сектора, що включає VBR розділу, містить його розмір та інформацію про те, в якій системі він форматований: NTFS або FAT. Для відновлення файлів пошук та інтерпретація таблиці розділів відіграють важливу роль.
Підпис диска. MBR і VBR завжди містять послідовність байт 0x55AA. Ця сигнатура визначає, чи містить цей сектор MBR чи VBR чи ні.
Таблиця розділів містить від 1 до 4 записів розміром 16 байт кожна. Давайте розглянемо, як їх інтерпретувати:
Індикатор завантаження. Це перший байт у таблиці розділів, що вказує на те, чи активний розділ чи ні.
Приклад: знаходиться на ньому операційна система (файли та драйвера) чи ні. Якщо це поле містить 0x80H(це у шістнадцятковому вигляді, а десятковому = 128), це активний розділ. Для неактивних розділів це поле дорівнює 0x00h.
Стартове значення CHS. Ігноруйте його.
Дескриптор типу розділу.Це однобайтове поле, але дуже важливе, оскільки дає інформацію у тому, який тип файлової системи реалізований на диску. Оскільки кожна файлова система має свій алгоритм, дуже важливо знати, яка файлова система реалізована на диску. У цьому полі ви можете зустріти кілька шістнадцяткових показників. Вони наведені нижче:
Завершальне значення CHS.Ігноруйте його.
Адреса сектора, що містить VBR.У першому секторі кожен розділ має сектор завантаження. Це поле містить адреси подібних записів, тому це важливе поле. Воно містить адресу в шістнадцятковому форматі і має розмір 512 байт.
Розмір розділу. Тут можна отримати розмір розділу.
Встановивши розмір розділу та адресу його початку, ви можете розпочати ручний режим
17.10.1999
Опишемо процес ручного відновлення випадково віддалених файлів або файлів із пошкоджених розділів системи NTFS під час роботи з ОС Windows NT. Проблема у тому, що у складі цієї ОС немає відповідних програмних засобів.
Програми відновлення NTFS від сторонніх виробників, на жаль, важкодоступні і дорогі. Ситуація посилюється відсутністю повної документації щодо низькорівневої структури керуючих блоків NTFS.
Що ж робити, якщо одного разу виявляється, що комп'ютер з Windows NT більше не завантажується або деякі логічні розділи NTFS стали раптом недоступні?
Спочатку потрібно уточнити, із чим пов'язана несправність: фізичним пошкодженням диска, виходом з ладу контролера або руйнуванням файлової системи NTFS.
Проблеми з диском
Жорсткі диски мають обмежений термін служби, зазвичай кілька років. Вихід пристрою з ладу іноді можна визначити за характерними клацаннями у момент ініціалізації. Диск може кілька разів клацнути та затихнути, так і не розкрутившись. При ініціалізації BIOS повідомить вам про цю несправність. У такій ситуації слід провести ремонт жорсткого диска. Якщо вартість втраченої інформації помітно перевищує вартість диска, слід звернутися до фахівців, що, втім, недешево.
Ремонт виконується в такий спосіб. Якщо з ладу вийшла електроніка, розташована поза герметичним простором диска, то замінюється або ремонтується відповідна плата. Для цього часто доводиться розбирати інший диск такого самого типу.
Якщо пошкоджені деталі, розташовані всередині корпусу диска, проблем буде більше. Насамперед, розбирати зламаний диск потрібно у так званій «чистій кімнаті», де гарантується відсутність пилу. Потім слід замінити плату з електронікою, знявши її з іншого диска. Відремонтований диск закривається, після чого залишається лише скопіювати інформацію на третій диск секторами.
Тому якщо зламався жорсткий диск із цінною інформацією, приготуйтеся пожертвувати ще одним для ремонту та знайдіть третій для копіювання відновлених даних.
Якщо є підозра на несправність контролера диска, спробуйте замінити його. Також перевірте з'єднувальний кабель.
Проблеми з файловою системою
Переконавшись, що диск, контролер і з'єднувальний кабель справні, не поспішайте використовувати дискету NT Repair Disk, створену під час встановлення ОС, або запускати програму відновлення файлової системи chkdsk - результат може бути плачевним. Не намагайтеся також знайти «чарівну» програму відновлення NTFS у комплекті Norton Utilities для Windows NT – поки її там немає. Якщо інформація, записана на диску, має особливу цінність, необхідно спочатку проаналізувати стан керуючих блоків файлової системи NTFS за допомогою редактора диска.
Така робота потребує досить високої кваліфікації. Зокрема, потрібно розбиратися у форматах керуючих блоків файлової системи. Якщо ви не в змозі виконати її самостійно, краще викликати спеціаліста і не робити спроб самому відремонтувати NTFS.
Щоб перевірити блоки, що управляють, потрібно підключити до комп'ютера два диски: перший, справний завантажувальний, і другий - той, інформацію з якого необхідно відновити.
Спочатку підключається лише перший диск і встановлюється Windows NT. Цей диск буде використано для збереження файлів, відновлених із розділів пошкодженого. Далі встановлюється редактор Disk Probe, що до складу Windows NT Resource Kit. Хоча цей редактор далекий від досконалості, він дозволить виконати всю роботу з відновлення втрачених файлів.
Переконавшись, що з першим диском все гаразд, вимкніть комп'ютер і підключіть до нього другий пошкоджений диск.
Визначення геометрії логічного устрою
Для успішного відновлення інформації слід визначити розмір кластера та адресу завантажувального сектора. Перше значення можна отримати із завантажувального сектора розділу NTFS (якщо, звичайно, його вміст зберігся).
Запустіть програму Disk Probe. Виберіть у меню Drive позицію Physical Drive. На панелі Open Physical Drive, яка з'явилася на екрані, вкажіть пристрій PhysicalDrive1, двічі клацнувши лівою клавішею миші по рядку списку Available Physical Drives. Потім натисніть кнопку Set Active, залишивши увімкненим перемикач Read Only, та закрийте панель кнопкою OK (рис. 1).
| Мал. 1. Вибір фізичного диска |
В результаті Disk Probe отримає доступ на читання пошкодженого диска. Після цього спробуйте прочитати вміст головного завантажувального запису диска, розташованого в першому секторі на нульовій доріжці нульового циліндра. Для цього виберіть у меню Sectors рядок Read. Відобразиться панель Read Sector. У полі Starting Sector вкажіть номер першого сектора, який дорівнює нулю, а в полі Numbers of Sectors встановіть значення 1. Потім натисніть кнопку Read.
Програма вважає в оперативну пам'ять вміст першого сектора та покаже його у шістнадцятковому вигляді. Виберіть з меню View рядок Partition Table для форматування таблиці розділів диска, а потім перейдіть на потрібний розділ за допомогою кнопки Go. Якщо потрібно (коли відновлюються файли з розширеного розділу), повторіть цю процедуру кілька разів.
Добравшись до завантажувального запису потрібного розділу, виберіть з меню View рядок NTFS Bootsector. Ви повинні побачити щось на зразок зображення на рис. 2.
А що робити, якщо головний завантажувальний запис чи завантажувальний запис потрібного розділу знищено?
Ця ситуація важка, але не фатальна. Детальну таблицю відповідності ємності логічного пристрою NTFS та числа кластерів можна знайти у MSDN. Наприклад, якщо ємність знаходиться в інтервалі 1025 - 2048 Мбайт, розмір кластера дорівнюватиме 4 секторам, а якщо в діапазоні від 8193 до 16 384 Мбайт - то в одному кластері буде 32 сектори. Зауважимо, проте, що, подбавши заздалегідь про можливість подальшого відновлення диска у разі пошкодження, можна полегшити таку роботу, коли у ній виникне потреба. Потрібно визначити та записати розмір кластера відразу після встановлення ОС, поки завантажувальний сектор NTFS ще цілий.
Якщо розмір кластера так і залишився невідомим, його доведеться визначати непрямими способами або методом підбору.
Таблиця MFT
Внутрішня структура файлової системи NTFS принципово відрізняється від добре знайомої більшості FAT. Не вдаючись у подробиці, викладемо ті відомості, які необхідні виконання у ній відновлювальних робіт.
Файлова система FAT (і її різновид FAT32) зберігає інформацію про файли у кількох місцях логічного пристрою. Дескриптор файлу, що містить його ім'я, розмір, дату створення та номер першого виділеного кластера, знаходиться в каталозі. Таблиця розміщення файлів File Allocation Table, від якої і походить назва файлової системи FAT, зберігає пов'язаний список всіх кластерів, виділених файлу. І нарешті, сам файл може бути розпорошений кластерами.
Така організація значно ускладнює відновлення файлів у разі будь-яких збоїв. Особливо критичною є цілісність таблиці FAT: якщо ця таблиця зникла або її вміст виявився частково зруйнованим, зникає інформація про кластери, виділені файлу. У результаті файл можна насилу зібрати з окремих кластерів, лише знаючи його вміст. До того ж, ця робота вимагає дуже багато часу. Тому на практиці зникнення таблиці FAT та її копії означає повну втрату файлів.
Втрата каталогів призводить до неможливості визначення номера першого кластера, виділеного файлу, його імені та точного розміру. У цьому випадку наслідки не такі катастрофічні, тому що в таблиці FAT залишилися безгоспні ланцюжки кластерів, які неважко перетворити на файли. Імена отриманих у такий спосіб файлів зазвичай складаються з цифр. Зауважимо, що при краху каталогів, що містять тисячі файлів, після відновлення буде важко знайти потрібний файл, якщо хоча б приблизно не відомий його вміст.
У файловій системі NTFS вся інформація про файли зберігається у так званій головній таблиці файлів Master File Table (MFT). Записи таблиці MFT містять набори дескрипторів з такою інформацією про файли, як ім'я, дати створення та модифікації, атрибути безпеки і, що найголовніше, списки кластерів, виділених файлам. Якщо файл має невеликий розмір, він може зберігатися безпосередньо у записи таблиці MFT.
Отже, можливість відновлення файлів із пошкоджених розділів NTFS багато в чому визначається цілісністю таблиці MFT та її копії.
Як знайти таблицю MFT?
Знайти таблицю MFT досить легко, якщо зберігся завантажувальний сектор розділу NTFS. Натисніть кнопку Go біля поля Clusters to MFT або Clusters to MFT mirr на панелі, показаній на рис. 2. Щоб переглянути вміст першого сектора таблиці, виберіть з меню View програми Disk Probe рядок Bytes. Результат виконання такої операції показано на рис. 3.
Зверніть увагу на рядок FILE, розташований на початку сектора. З неї починаються записи таблиці, які описують файли. Існують ще записи для каталогів, елементів індексу та інші, які ми не розглядатимемо.
Рядок $.M.F.T. знаходиться зі зміщенням D2. Це ім'я системного файлу, що містить таблицю MFT, у кодуванні Unicode. Таким чином, перший запис файлу $MFT описує сам цей файл. Переглядаючи таблицю, можна знайти записи інших системних файлів, таких як $MFTMirror, $LogFile, $Volume, $AttrDef та інших.
Якщо завантажувальний сектор зруйнований, початок таблиці MFT не важко знайти за допомогою Disk Probe. Для цього виберіть у меню Tools рядок Search Sector, встановіть перемикачі у положення, показане на рис. 4, та, заповнивши поле Enter characters to search for, натисніть кнопку Search. Слід запастися терпінням, оскільки процес пошуку може забрати чимало часу.
Зауважимо, що так можна знайти в таблиці MFT записи для тих файлів, які потрібно відновити. Так як імена файлів зберігаються в кодуванні Unicode, під час пошуку слід встановити перемикач у положення Unicode characters. Крім того, необхідно увімкнути режим пошуку Exhaustive search та Ignore case.
Аналіз записів MFT
На жаль, програма Disk Probe не містить жодних засобів для форматного перегляду вмісту записів MFT. Більше того, точний формат цього запису відсутній у відкритій документації Microsoft. Однак багато можна виявити в Internet, зробивши запит за ключовими словами «NTFS Documentation». Нам, наприклад, вдалося знайти інформацію, зібрану розробниками модулів для операційної системи Linux. Аналізуючи вихідні тексти модуля для монтування в Linux файлової системи NTFS, можна зрозуміти призначення окремих полів записів MFT (автори приносять подяку Максиму Синьову за допомогу у «розшифруванні» записів MFT).
Запис MFT складається з початкового фрагмента фіксованого розміру та набору атрибутів, які мають у загальному випадку змінний розмір. Для відновлення файлів потрібно знати точний формат лише атрибуту даних. Що ж до інших атрибутів, достатньо вміти визначати їхнє розташування та розмір.
Перші чотири байти запису, описує файл, утворюють слово FILE. На рис. 3 вони виділені червоним кольором. Наступні два байти (виділені синім кольором) - зміщення так званої області Fixup. У цьому випадку значення зміщення дорівнює 002A (з урахуванням зворотного порядку розташування байтів у слові). Тут і далі користуватимемося шістнадцятковими числами.
Область Fixup використовується для виявлення помилок читання чи записи. Вона складається зі слів розміром два байти. Кількість слів зберігається у записи MFT зі зміщенням 0006. На рис. 3 поле розміру області Fixup виділено фіолетовим кольором. Там зберігається значення 0003, отже область Fixup починається зі зміщення 002A і простягається до 002A+(2*0003)=002F.
Відразу за областю Fixup починаються поля атрибутів. Зміщення першого атрибута дорівнює 0030.
Перші чотири байти області атрибутів визначають тип, а наступні чотири - розмір байтів. Наприклад, за областю Fixup зі зміщенням 0030 слід атрибут з типом 10. На рис. 3 тип цього та наступного за ним атрибутів виділено червоним кольором (розмір атрибута виділено синім). Атрибут займає 48 байт, отже наступний атрибут (з типом 30) почнеться зі зміщенням 0078.
Таким чином, можна виділити в записі MFT всі атрибути. Наприкінці останнього записано значення FFFFFFFF - ознака кінця ланцюжка атрибутів.
Для відновлення файлів найбільший інтерес становлять атрибути типу 30 і 80. Перший зберігає ім'я файла. По ньому слід шукати запис MFT, що описує файл, що відновлюється. Другий атрибут з типом 80 зберігає список кластерів, виділених файлу, або сам файл. Про нього ми розповімо докладніше. Для зручності опис атрибуту даних виділено на рис. 5.
 |
| Мал. 5. Атрибут даних |
Як видно з малюнка, тип атрибута, що дорівнює 80, зберігається в записі MFT зі зміщенням 0160. Усього атрибут даних займає D8 байт, так як саме це значення знаходиться у чотирибайтовому полі зі зміщенням 4 щодо початку атрибуту.
Байт зі зміщенням 8 щодо початку атрибуту даних – це ознака резидентного розміщення файлу. Якщо його значення дорівнює 1, запис MFT зберігає лише список кластерів, виділених файлу (як у описуваному випадку), а якщо 0 - файл знаходиться всередині самого запису MFT. Як правило, записи містять лише файли невеликих розмірів.
Спочатку розглянемо випадок нерезидентного розміщення файлу. При цьому чотири байти зі зміщенням 30 зберігають довжину файлу, розташованого десь на диску. У цьому прикладі довжина файлу $MFT становить B7B000 байт.
Щоб визначити точне розташування нерезидентного файлу на диску, потрібно простежити ланцюжок про блоків віртуальних номерів кластерів Virtual Cluster Number (VCN), чи навіть блоків VCN. Показник усунення початку цього ланцюжка зберігається у двобайтовому полі, що має зміщення 20 байт щодо початку атрибуту даних. В даному випадку цей показник дорівнює 40, а зсув області блоків VCN щодо початку запису MFT дорівнює 01A0. На рис. 5 ця область виділена жирною вертикальною лінією зеленого кольору.
Аналіз області блоків VCN
Файл, записаний у розділі NTFS, можна сегментувати. Він складається з одного або декількох фрагментів, які називають екстентами. Розмір та розташування кожного екстенту описується в блоці VCN. Залежно від того, фрагментований файл чи ні, VCN може містити один блок або їх набір. Блоки VCN мають змінний розмір, який визначається першим байтом.
Формат блоку слід показати на конкретному прикладі. Візьмемо перший блок VCN, що має у цьому прикладі зсув 01A0 щодо початку запису MFT:
31 20 D9 86 02
Зошити першого байта зі значенням 31 визначають розміри двох полів блоку VCN. Перше поле, що має довжину один байт, зберігає кількість кластерів, виділених екстент файлу. Друге поле розміром три байти містить номер першого кластера. У разі першому екстенту файла $MFT виділено 20 кластерів, а номер першого кластера для першого екстенту дорівнює 0286D9. Таким чином визначаємо розмір та розташування першого екстенту файлу.
Другий блок VCN розташований відразу за першим:
12 24 08 21
Щоб визначити перший кластер другого екстенту, необхідно додати до адреси першого екстенту зміщення, зазначене у другому блоці VCN (з урахуванням знака). У цьому випадку другий екстент розміщений у кластері з номером 0286D9+21=286FA. Довжина другого екстенту становить 0,824 кластера.
Аналізуючи інші блоки VCN, можна визначити розміри та розташування всіх екстентів файлу. Список блоків VCN закривається байтом із нульовим значенням.
Резидентні файли
Файли невеликого розміру розміщуються безпосередньо в записі MFT, який описує цей файл, для скорочення часу доступу. Якщо у байті зі зміщенням 8 щодо початку атрибуту даних знаходиться нульове значення, то не потрібно простежувати ланцюжки блоків VCN. Це означає, що файл знаходиться всередині атрибуту даних.
При цьому зсув резидентних даних, тобто файлу, записано у двобайтовому слові зі зміщенням 14 щодо початку атрибуту даних, а розмір - у двобайтовому слові зі зміщенням 10.
Наведемо невеликий приклад. Для ілюстрації формату запису MFT, що містить резидентний атрибут даних, ми підготували маленький файл з ім'ям Small.txt, що містить текстовий рядок "This is a small text file.". Потім за допомогою програми Disk Probe ми знайшли запис таблиці MFT, створену для цього файлу (рис. 6).
Тут атрибут даних починається зі зміщенням 0160 щодо початку запису MFT. Байт зі зміщенням 8 всередині цього атрибута (виділений зеленим кольором) дорівнює нулю, отже, ми маємо справу з резидентним атрибутом.
Як видно із рис. 6, байти файлу Small.txt (виділені жовтим кольором) знаходяться всередині запису MFT зі зміщенням 18 щодо початку атрибуту даних, а розмір файлу становить 1A байт.
Як відновити файли?
Тепер, озброївшись наведеними вище знаннями про внутрішню структуру системних блоків NTFS, можна розпочати відновлення файлів із пошкодженого розділу цієї файлової системи.
Коли відомі імена файлів, що підлягають відновленню, потрібно знайти відповідні записи в таблиці MFT. Це можна зробити за допомогою програми Disk Probe, скориставшись рядком Search Sector із меню Tools. Далі слід виявити в цьому записі атрибут даних та визначити, чи резидентний він чи ні.
Якщо атрибут даних резидентний, потрібно зберегти сектор, що містить запис MFT, як файла на справному жорсткому диску чи дискеті. Це можна зробити, використовуючи рядок Save as меню File програми Disk Probe. Після цього слід вирізати потрібну частину даних та зберегти результат у новому файлі. Таку операцію неважко виконати, наприклад, у редакторі Norton Disk Editor для MS-DOS.
У разі нерезидентного атрибуту роботи буде набагато більше.
Простежуючи ланцюжок блоків VCN, потрібно визначити розташування та розмір екстентів файлу, що відновлюється. Далі за допомогою Disk Probe слід прочитати дані екстенту, а потім зберегти їх у файлі на справному диску. Не забудьте також, що в Disk Probe вказується кількість секторів, які потрібно прочитати або записати, а в блоці VCN встановлено кількість кластерів, виділених екстенту. Тому потрібно здійснити відповідний перерахунок.
Відновивши всі екстенти, поєднайте їх в один файл (наприклад, командою COPY з параметром /B). Потім встановіть правильну довжину файлу, отриману з поля зі зміщенням 30 атрибутів даних. У розділі FAT така операція може бути виконана за допомогою програми Norton Disk Editor.
На жаль, на практиці відновлення великої кількості файлів потребує багато часу. Найважче дається ручна обробка ланцюжків блоків VCN, які можуть бути дуже довгими. Доводиться годинами працювати з калькулятором, переводячи десяткові числа в шістнадцяткові і назад, а також виконуючи різні арифметичні дії, необхідні для визначення розмірів та розташування екстентів файлів, що відновлюються. Тому ми користуємося невеликою саморобною програмою NTFS Explorer, що виконує найбільш трудомісткі операції в напівавтоматичному режимі.
Що ж до повністю автоматичних засобів, що відновлюють зруйновані розділи NTFS і випадково віддалені файли, тут можна згадати програму Tiramisu for Windows NT, розроблену в компанії OnTrack Data International, Inc. Її безкоштовна демонстраційна версія доступна за адресою http://www. recovery.de .
Ця версія, однак, дозволяє тільки переглянути файли, що відновлюються. Якщо потрібно зберегти наявну в них інформацію, приготуйте гроші. Ви маєте вибір - заплатити або 195 дол. за використання програми протягом обмеженого терміну (одного тижня), або 390 дол. за версію без обмежень.
Ми все-таки рекомендуємо використовувати автоматичні засобитільки в крайньому випадку, особливо якщо йдеться про відновлення особливо важливих даних. Відомо, наприклад, що така програма, як Norton Disk Doctor, може в деяких випадках не тільки не покращити, але навіть погіршити стан FAT, зробивши втрату даних незворотною.
На жаль, щоразу стикаючись з необхідністю відновлювати зруйновані розділи NTFS, ми переконувалися в унікальності роботи, що проводилася, її доводилося виконувати по-різному в залежності від причин і наслідків аварії. Автоматична програмазовсім не обов'язково зможе ухвалити правильне рішення, якщо після збою від даних мало що залишилося. З іншого боку, досвідчений фахівець, озброєний навіть найпростішим редактором диска, швидше за все, знайде спосіб відновити файли, що зникли.
ПРО АВТОРИ
Фролов Олександр В'ячеславович, Фролов Григорій В'ячеславович - автори серій книг «Бібліотека системного програміста» та « Персональний комп'ютер. Крок за кроком», їхні електронні адреси:R-Studio як користуватисяправильно, щоб не ускладнити напевно і без того складну ситуацію, в яку ви потрапили.
Будь ласка, прослухайте невеликий курс молодого бійця по роботі з подібними програмами, без цього ви можете наробити багато помилок і замість того, щоб повернути свої видалені дані, ви ще гірше затрете їх.
R-Studio як користуватися
Перша помилка - це хвилювання, яке супроводжується наслідками, наприклад, необдуманими діями, заспокойтеся, дочитайте статтю до кінця, спокійно все обдумайте, а потім дійте. До речі, якщо ви випадково видалили з вашого жорсткого диска фотографії, то у нас є дуже проста стаття, яка я впевнений, що вам допоможе. Як вам відновити видалені файли. безкоштовними програмами, та й платними - , .
Коли ми з вами, Дорогі мої, випадково видаляємо файл, без якого наше подальше існування на планеті Земля, буде нам не в радість, знайте, що фізично з жорсткого диска він не вийшов, але назавжди втратити його можна, записавши будь-яку інформацію поверх нього. Тому навіть якщо ви читали як користуватися R-StudioАле досвіду як такого у вас немає, відразу вимикаємо комп'ютер і краще в аварійному порядку. Більше ніяких дій з вашим жорстким диском не робимо, тоді наші шанси на успіх збільшуються.
- Примітка: багато разів до мене зверталися люди з подібними проблемами і не могли згадати, які дії вони робили до того, як звернутися до технічного сервісу. Вони навіть до ладу не могли назвати точну назву програми, якою намагалися врятувати свої дані, а найголовніше, після видалення своїх файлів, наприклад повз кошик, вони активно користувалися комп'ютером (іноді кілька днів), що категорично робити не можна, тільки потім таки йшли у сервіс і вимагали дива.
Після того, як ми вимкнули комп'ютер, беремо системний блокі йдемо до професіоналів, ваші дані 90% будуть врятовані, природно з вас візьмуть трохи гроші, скільки, краще дізнатися відразу, але якщо гроші попросять дуже багато, читаємо далі.
Зараз я пишу цю статтю, а переді мною стоїть системний блок, у ньому знаходиться жорсткий диск, його випадково форматували, тобто видалили все, що на ньому знаходилося, давайте спробуємо відновити втрачені файли за допомогою R-Studio , а заразом навчимося користуватися цією гарною програмою.
Насамперед нам з вами необхідно евакуювати потерпілого, тобто зняти форматований вінчестер і приєднати до мого комп'ютера, я роблю так завжди, тому що не можна зберігати відновлювану інформацію на той же носій, з якого були видалені файли.
Якщо вам це важко, тоді хоча б не відновлюйте файли на той розділ жорсткого диска з якого вони були видалені.
Примітка: Друзі, найголовніше правило, при відновленні інформації звучить так: кількість звернень до жорсткого диска з віддаленими даними повинна бути зведена до мінімуму. Отже, перед роботою з R-Studio бажано зробити образ жорсткого диска з втраченими даними та відновлювати інформацію вже з образу. Як зробити посекторний образ жорсткого диска і відновити інформацію написано в .
Отже почнемо, на нашому вінчестері, що постраждав від форматування, зникло дуже багато папок з сімейними фотографіями та відео, нам потрібно їх повернути.
Запускаємо R-Studio у програми інтуїтивно зрозумілий англомовний інтерфейс, але нам не звикати, я впевнений, що, скориставшись їй один раз, ви запам'ятаєте її назавжди.
Головне вікно програми Device View "Перегляд дисків" у лівій його частині показано практично всі накопичувачі, що знаходяться в системі: жорсткі диски, розбиті на логічні розділи, USB-накопичувачі, DVD-диски, флеш-карти, праве вікно надає повну інформацію про обраний нам накопичувач , починаючи з назви та закінчуючи розміром кластерів.
Вибираємо наш диск (N:) і тиснемо Open Drive Files (Відкрити файли диска),
зараз ми з вами використовуємо найпростіший спосіб відновлення віддалених файлів, перед нами відкривається кілька папок, що мають деревоподібну структуру, розкриваємо всі починаючи з першої, попереджаю, не чекайте звичайних назв ваших файлів, у нашому випадку Фото синочки і т.д. Можна сказати нам пощастило, у вікні є папки перекреслені
червоним хрестиком, тобто вони були видалені, дивимося назви: Глава 01, 02 і т.д, це потрібні нам папки з лекціями Університетського професора, справа в тому що перед подібними операціями відновлення, я уважно розпитую людей про назви видалених файлів та їх розширення , це потрібно в особливих запущених випадках для пошуку маски і т.д. Ви можете не забивати собі голову на перший раз, наприкінці статті ми скористаємося методом розширеного сканування (Scan ) і відновимо все, що було на вінчестері, це звичайно займе часу в порівнянні з простим способомудесятеро більше. А зараз ставимо скрізь галочки і далі Recover.
вибираємо куди відновлювати, за замовчуванням в особисту папку R-Studio в Моїх документах і пропозицію змінити налаштування відновлення за замовчуванням, залишаємо все як натискаємо ОК .
Йде процес відновлення файлів
Може виникнути таке вікно, зміст якого я вам перевів у фотошопі, думаю мені за це нічого не буде, вікно з попередженням, що якийсь із відновлюваних файлів має прихований атрибут, R-Studio запропонує прибрати цей атрибут з усіх подібних файлів, погоджуємося, ставимо галочку, де треба і Продовжити.
Після закінчення процесу відновлення, йдемо в папку Мої документи, далі особиста папка R-Studio, вона називається R-TT і дивимося результат, відновилися папки з дуже потрібним відео Глава 01, 02, а також кілька папок з особистими фотографіями, вже не погано Але такий результат нас не влаштовує.
Повний пошук та відновлення видалених файлів
Для пошуку та відновлення інших віддалених даних скористаємося функцією повного сканування диска (Scan).
У цьому вікні ставимо галочку Пошук відомих типів файлів, і вибираємо Деталізоване сканування і тиснемо Scan.
Наберемося терпіння, операція досить тривала, у правому вікні у вигляді різнокольорових квадратиків, відображено перебіг процесу, на даний момент проскановано лише 13%.
Чекаємо, майже половина простору вінчестера просканована 43%
На 55% моє терпіння скінчилося, тому що минула майже година, і я зупиняю процес, натискаємо на Stop
У вікні програми, наведеному нижче, можна побачити розпізнані програмою файлові системи та відповідно відомості чи дані, які можна відновити.
Recognized 0 або Recognized 1, Recognized 2 – позначені зеленим кольором, тут знаходяться дані, які можна відновити практично на 100%.
Extra Found Files – позначені жовтим та червоним кольором, дані, які програма не змогла розпізнати та зіставити будь-якій файловій системі, відновити їх швидше за все не вдасться, а якщо що й відновиться, буде не читаємо, щоб виудити з таких файлів інформацію, потрібний hex-редактор, але це вже інша тема, що вимагає не однієї, а кількох великих статей.
Так само мало шансів на відновлення Recognized 0, позначеного жовтим кольором.
