LINUX.ORG.RU
ФорумTalks

[ССЗБ,оффтоп] MFT восстановление. нужна помощь


0

1

приветствую. далее будет простыня.

предисловие: дурная голова рукам покоя не даёт. игрульки с dd и grub на разных дисках привели к тому, что убил виндовый раздел.

клиника: не особо внимательно закатал до 32К в начала разделов (и начиная с 0-го сектора, и в начало NTFS раздела). в результате диска как бы не стало. на нём ещё много важных данных и просто обидно ( да, про бекапы я помню. но они скорее для рабочих данных, а не для персональных. умерли персональные).

проведённое «лечение»: попробовал восстановить систему chkdsk. в результате мне система сделала диск на 30Г, который всё равно не бутабельный. в остальном надеюсь, что проверка всё же не сильно писала на диск и всё ещё есть возможность вернуть данные.

поигрался с testdisk. особо меня не спасает. говорит что MFT и MFT_mirr убитые.

кто может что подсказать? линукс тут при том, что на машине с линуксом это восстановление и производится. виндов у меня больше нет (т.е. тирамису запустить не смогу).

симпаффки и прочие нефти откликнувшимся :-)


Зачем тебе та винда... Сиди и радуйся без нее.

Pavval ★★★★★ ()

Я тут

закатал до 32К в начала разделов (и начиная с 0-го сектора, и в начало NTFS раздела).

Бери R-Studio и вперёд. Тут особо руками ничего не сделаешь.

adriano32 ★★★ ()
Ответ на: комментарий от Black_Shadow

С кластера 0xC0000 (786432) располагается MFT, если раздел форматирован вендой. Если mkfs.ntfs и прочими с её использованием, то с начала раздела ЕМНИП, а значит она может быть того.
Но думаю ТС это вряд ли поможет.

adriano32 ★★★ ()

В testdisk в Advanced mode копируем mirror MFT на основной, проверяем в таблице разделов наличие корректной записи с подходящим типом. Теперь можно проверить раздел chkdisk, но нужно быть готовым что некоторое количество файлов затерлось.

Nanodesu ()

ок. я скорее хотел знать какие есть линуксовые утилиты, кроме «тестдиск» для подобной проблемы. или хотя бы ключевые слова.

R-Studio стоит 50 баксов (это если начнёт помогать), т.к. данные всё же явно больше 64К.

с копией MFT не особо у меня прокатило решение. точнее скорее всего утилита находить копию MFT от 30Г раздела, сделанного поверх оригинального 100Г. ну а заставить как-то просмотреть дальше первого найденного MFT у меня толку не хватило

gunja ()
Ответ на: комментарий от drull

> Отпразднуй, что-ли.

сначала фотки вытащу и пару папок с рабочего стола. а вот потом можно в самом деле признать, что с вистой было хорошо, но и без неё можно прекрасно жить в ... (барабанная дробь) Кубунте!

gunja ()
Ответ на: комментарий от gunja

По крайней мере, R-Studio тебе возможно продемонстрирует ту инфу, которой ты сеёчас не располагаешь: границы раздела с точностью до сектора, начальный и конечный сектор MFT. Стоит попробовать trial'ом пройтись.

Ещё можете попробовать вот эту утилиту: site:ixbt.com Antech MediaWorkshop.
Antech'a я знаю как годного спеца по ДатаРекавери с хоббита. Эту утиль писал он сам. Утиль бесплатна. Вопрос только найти оффтопик, чтобы её запустить.

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

> границы раздела с точностью до сектора

это мне и тестдиск уже отдал. вот только как этим воспользоваться я не особо представляю пока (разве что копию сырых данных снять).

начальный и конечный сектор MFT

ну начальный я скорее уже лихо убил. а при учёте что я использовал явно больше 88% диска, часть данных начала смешиваться с MFT.

Стоит попробовать trial'ом пройтись

факт. хоть буду знать, есть шансы что поднять или нет никаких. а если есть возможность, то может и 50 баксов не такая цена за «вторую жизнь».

попробовать вот эту утилиту

спасибо. уже вариант. виндовый, но вариант

gunja ()
Ответ на: комментарий от gunja

Я на твоём месте будучи настолько же честным по отношению к ребятам из R-tt сидел с hexedit -s /dev/sda в одном окне и хэндбуку по ntfs в другом. Авось отроешь чего, сдампишь в нужное место.
Однажды мне примерно так и пришлось, правда мне тогда пришлось всего лишь найти метки начала и конца случайно удалённых NTFS разделов и прописать в 0-ой сектор и воссоздать extended раздел.

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

> правда мне тогда пришлось всего лишь найти метки начала и конца случайно удалённых NTFS разделов

NTFS и 0x55AA? не... это уже пройденный этап. с этим я уже набаловался и делать бек-ап нулевого сектора научился.

сидел с hexedit -s /dev/sda

о! а вот такую программку я не знаю. надо почитать.

будучи настолько же честным по отношению к ребятам

я не честный к ребятам. я просто сам этим же зарабатываю на хлеб. 50 баксов не так много за работу и программу, которую нужно будет писать для восстановления. просто сейчас напряжёнка с деньгами.

посидеть в бинарном редакторе тоже проблема, т.к. со временем тоже напряжёнка.

отроешь чего, сдампишь в нужное место

там только фоток гигов 15... сложно мне будет вручную дампить. или прогать, или фиг пойми.

gunja ()
Ответ на: комментарий от gunja

с этим я уже набаловался и делать бек-ап нулевого сектора научился.

Видимо недостаточно...

hexedit и есть шестнадцатиричный редактор.

>>там только фоток гигов 15

Степень фрагментации на глаз намколько высокая была?

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

> Степень фрагментации на глаз намколько высокая была?

я не особо слежу за фрагментацией дисков. есть свободное место - хорошо. нет его - не хорошо. фрагментация меня ну очень слабо интересовала и волновала.

gunja ()

виндов у меня больше нет (

с чем тебя и поздравляю.

ciiccii ()
Ответ на: комментарий от adriano32

короче для начала нужно ручками пробежаться по диску и найти всякие упоминания NTFS. если упоминание в первых 10 байтах сектора - вообще супер.

найти в интернетах хоть какую-то подпись MFT ($Mft примерно) и искать такие штуки по диску вместе с $MftMirr.

а дальше как проведение позволит.

gunja ()
Ответ на: комментарий от adriano32

Я считаю, что нужно использовать инструменты, наиболее подходящие для решения задачи, и копирасты со штольманофилами могут дальше грызть свои сладкие кактусы.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от gunja

Если точно, то 0xEB 52 90 4E 54 46 53 что соответствует в ASCII ?R?NTFS, где ? - непечатаемый символ.

Обязательно пробей, что в 0xC0000-ом кластере (я писал выше) от начала раздела. Для разделов от 2 ГБ до 2 ТБ кластер это 4КБ. Сам пересчитаешь какой это сектор с учётом смещения стартового сектора раздела (множить 786432 на 8). У меня там на разделе отформатированном инсталятором вендовым значится FILE0 (0x46 49 4C 45 30). Если найдёшь, отпишешь сюда, дальше попробуем сообразить чё делать дальше.

adriano32 ★★★ ()
Ответ на: комментарий от Nanodesu

>поигрался с testdisk. особо меня не спасает. говорит что MFT и MFT_mirr убитые.

bhfq ★★★★★ ()
Ответ на: комментарий от gunja

В hexedit'e есть hexпоиск, а шестнадцатиричный выхлоп od или xdd или hd или подобных утилит можно перенаправть в греп или сед или авк или что ты там умеешь для поиска вышеупомянутых кусков.

adriano32 ★★★ ()
Ответ на: комментарий от gunja

с копией MFT не особо у меня прокатило решение. точнее скорее всего утилита находить копию MFT от 30Г раздела, сделанного поверх оригинального 100Г. ну а заставить как-то просмотреть дальше первого найденного MFT у меня толку не хватило

А если попробовать восстановить таблицу разделов сначала тем же TestDisk, т.е. те самые оригинальные 100 Гб, а потом искать MFT? Ещё можно отказаться от первого предложенного, тогда, насколько помню, TestDisk продолжит поиски других копий MFT.

А фотки, и не только хорошо PhotoRec восстанавливает. Правда, без названий и с дублями, но можно отсортировать/переименовать по датам с помощью Digikam или KRename.

amus ★★★ ()
Ответ на: комментарий от gunja

Ну, вот видишь, ты и сам справишься, голова вернулась на место после кратковременного отсутствия во время выполнения операций с накопителем, приведших к столь плачевным результатам :)

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

угу. только я в одном месте, а диск на работе. вот поэтому раньше завтра обеда я новых данных не найду. пока инфу собираю, пути ищу

gunja ()
Ответ на: комментарий от adriano32

политика такая. чтобы получить доступ, нужно обосновывать причину. у меня причин, которые обоснуют такую необходимость нету.

машина пингуется, а вот порты (по всей видимости) фильтруются

gunja ()
Ответ на: комментарий от gunja

А ну если так, то это да...так и должно быть. если контора серъёзная, это правильно.

adriano32 ★★★ ()

а я вот прикупил 2 одинаковых харда по 1ТБ, один в компе, другой лежит в шкафу. И иногда по настроению делаю dd с первого на второй, вот :)

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Умница.

Только бэкапы
1) по общепринятым канонам должен либо делать крон (или другой планировщик) либо ОС вместе/или с аппаратной частью материнской платы в рамках RAID1.
2) man rsync

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

в этих вариантах оба харда должны быть постоянно подключены к компу, соответственно инфа на них не защищена от человеческого фактора - шаловливых ручек и ССЗБ-ства, как в случае с ТС :) Также харды будут находиться в одном системнике, так что пожар или падение компа может повредить их оба

хотя можно еще выделить отдельный бэкапный комп в другом помещении и сохранять бэкапы на него через сеть

Harald ★★★★★ ()

господа, кто заглянет в эту тему...

в описании NTFS говорится, что раздел NTFS по-сути представляет из себя extended тип раздела. т.е. имеет начало + таблицу своих разделов.

после diskedit (копаясь в логах) я никак не мог понять, откуда был раздел на 30Г в самом начале + какой-то выхлоп в программе с намёком на раздел начинающийся примерно на 10+ 60 и идущий до 10+ 110.

разбивка диска такая, что в голове диске 10Г диск восстановления, потом первый раздел на 110Г и второй раздел на 110Г.

на сколько вероятно, что первый раздел NTFS был системой представлен из 3х разделов по 30Г? т.е. первую часть как раз «успешно» восстановила прога, забыл про остальные части?

версию пока не проверял, пока просто интересуюсь мнение у кого какое

gunja ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.