Відновлення інформації на жорсткому диску

Справжній огляд не є технічним керівництвом з вивчення будови жорстких дисків або описом їх логічних структур. Це загальний огляд методик і способів відновлення інформації, що стала недоступною в результаті програмного збою операційної системи, руйнівної дії вірусу або необережних дій користувача.

Кілька загальних слів про будову та термінології жорстких дисків.

Жорсткий Диск (вінчестер) являє собою блок з декількох дисків / млинців (Disks) по поверхнях (Sides) яких переміщуються (плавають в повітряному потоці) головки (Heads). Позиціонуються головки по концентричних доріжках / треках / циліндрах (Cilinders), кожен з яких розділений на сектори (Sectors). Сектор є мінімальним адресуються блоком даних для диска і його розмір дорівнює 512 байтам. Логічне будова жорсткого диска відрізняється від його справжньої (фізичної) геометрії і це необхідно враховувати при відновленні інформації. Як правило, сучасні диски (в режимі адресації LBA) представляють собою кілька сот циліндрів мають 63-254 поверхонь по 63 сектора даних на кожній.

На самому початку диска (в секторі 0/0/1) знаходиться PT (Partition Table) - таблиця розділів і MBR (Master Boot Record) - головний завантажувальний запис.

На наступному треку в першому (их) секторі (ах) (починаючи з 0/1/1) розташована BA (Boot Area) - завантажувальна область операційної системи і BR (Boot Record) - запис завантаження OC.

Далі на цьому ж треку розташована 1-а копія FAT (File Allocation Table) - таблиця розміщення файлів. Відразу за нею - 2-я копія FAT. Розмір копії FAT (у секторах) визначається розміром розділу диска.

Після 2-ї копії FAT розташовані сектора ROOT (Root directory) - кореневого каталогу, за якою починається DA (Data Area) - область даних.

PT - складається з 4-х рядків описують 4-е можливих розділу диска. Опис кожного розділу диска містить інформацію про тип файлової системи, ознаці того, що розділ є завантажувальним, про перших і останніх голівках, доріжках, секторах розділу, кількість секторів зміщення початку розділу від початку диска і про загальну кількість секторів в розділі.

MBR - знаходиться в тому ж секторі що і PT. Дані в MBR являють собою код процесора необхідний для подальшого завантаження операційної системи. В останніх двох байтах сектора MBR знаходиться сигнатура 55AAh, яку можна використовувати як маску при пошуку PT і MBR.

BR - містить масу даних і служить для опису параметрів файлової системи. На відміну від диска, мінімальним адресуються блоком даних для операційної системи служить кластер, який об`єднує певну кількість секторів. У BR нам цікаві такі дані як розмір кластера, розмір і кількість копій FAT. BR для розділу FAT16 розміщується в одному секторі, в разі FAT32 Boot Record складається з кількох секторів.

FAT - Складається з 12, 16 або 32 бітних елементів, що описують номера кластерів або їх ознаки (BAD). Кількість елементів відповідає кількості кластерів розділу диска. З цих елементів утворюються ланцюжки номерів кластерів, що описують розташування файлів на диску.

ROOT - Кореневої каталог диска. Містить записи описують файли (дескриптори файлів) в кореневому каталозі. Такий запис описує ім`я, тип, дату створення, розмір, атрибути файлу, і т.п., а так само містить покажчик на перший кластер файлу.

Каталоги являють собою сектора ідентичні за структурою кореневого каталогу. Каталог, крім описів файлів, на самому початку містить два записи, перша з яких містить покажчик на перший кластер самого каталогу, друга на перший кластер батьківського каталогу.

Відновлення інформації:

Для відновлення втрачених (пошкоджених) даних постарайтеся згадати або отримати інформацію про:

• a. Ймовірне розбитті диска на розділи і кількості логічних дисків.
• b. Розмірах та історію створення логічних дисків. Історія створення на увазі під собою можливі штучні зміни розмірів розділів диска. Ця інформація може мати значення для точного визначення місця розташування ROOT.
• c. Особливості файлової системи FAT16 або FAT32. Решта типів файлових систем в цьому документі не розглядаються.
• d. Типи і версії Операційної Системи (DOS, Win95 / 98) використовувалася на диску.
• e. Унікальні імена директорій і файлів, що знаходилися в кореневому каталозі диска С, ім`я каталогу з даними, що підлягають пріоритетному відновлення й унікальні імена файлів і піддиректорій, що знаходилися в цій директорії.

Для відновлення даних можна скористатися наступними утилітами:

• 1. DiskEdit з комплекту Norton Utilities версії 3.0х (або аналогічний йому).
• 2. Tiramisu або Hard Drive Mechanic.
Утиліта TIRAMISU існує в різних модифікаціях, що відповідають різним типам файлових систем (FAT16 / FAT32 / NTFS / Novell / ZIP). Дана програма дозволяє УвитащітьФ Ваші дані з хворого диска, необхідно тільки щоб диск визначався BIOS-ом і був фізично справний. Звертаю увагу ще раз, що ця програма не лікує диск, вона дозволяє скопіювати ваші дані на інший носій.
• 3. UnFormat (З того ж комплекту Norton Utilities).
• 4. NDD - Norton DiskDoctor (знову з того ж комплекту Norton Utilities).
Можливо, застосування та інших утиліт, але, як правило, вони обмежуються окремими випадками або не враховують всіляких особливостей логічного будови дисків.

1. ДІАГНОСТИКА ПОШКОДЖЕНЬ

• 1.1. Запустіть DiskEditor і, перевівши його в режим перегляду пошкодженого диска на фізичному рівні, послідовно перевірте цілісність РТ, MDR, FAT-ів, ROOT і DA. На цьому етапі постарайтеся з`ясувати (якщо це достеменно невідомо) тип файлової системи першого розділу диска (FAT16 або FAT32). У стандартних випадках диски об`ємом менше 528 Mb, або розбиті на розділи за допомогою системних утиліт ДОС 7.10 і більш ранніх - мають FAT16. Операційні системи Windows 95 OSR2 і Windows 98 базуються на ДОС 7.10а на дисках і розділах обсягом більше 528 Mb, як правило, використовуються з файлової системою FAT32.
• 1.2. У разі цілісності будь-яких елементів дискової структури збережіть їх у вигляді файлів на резервному диску. Наприклад: MBR.HEX, BR1.HEX, FAT01.HEX, FAT02.HEX, ROOT0.HEX.
• 1.3 Подальше відновлення диска залежить від ступеня і характеру ушкоджень. Якщо у Вас залишилася неушкодженою (або хоча б частково) будь-яка копія FAT на першому розділі диска - відновлення інформації можливо майже в повному обсязі.

2. Тимчасове РЕЗЕРВУВАННЯ даних

З метою збереження можливості відновлення файлів розташовувалися на початку диска бажано зробити резервну копію початкових секторів диска, піддаються змінам у процесі відновлення.

У DiskEditor-е виділіть режим перегляду перших 500-1000 фізичних секторів диска і збережіть їх у вигляді файлу на резервному диску. Більш точний розмір можна визначити як суму секторів: MBR треку + BR + 2FAT + ROOT + розумний резерв.

Відео: Відео # 13. Як відновити дані з жорсткого диска

Візьміть дискету із зареєстрованою програмою TIRAMISU, що відповідає типу файлової структури відновлюваного диска. Керуючись інструкцією до цієї програми, виконайте попереднє відновлення даних на резервний диск.

Слід мати на увазі, що дана програма не зачіпає хворий диск, тобто править на ньому ніякі дані. При деяких особливостях сміття в системних областях диска відзначені випадки збою програми TIRAMISU, що виправляється очищенням (обнуленням) помилкових даних (див. Нижче).

3. ВІДНОВЛЕННЯ Partition Table

При відновленні PT необхідно враховувати обсяг диска і особливості файлових систем диска FAT16 або FAT32.

Не намагайтеся створювати будь-якої розділ на диску за допомогою програми Fdisk. При скануванні доступного дискового простору fdisk прописує в перший сектор на кожному треку код F6, що призводить до втрати інформації в цих секторах.

3.1. Якщо перший циліндр (0/0/1) заповнений сміттям - обнуліть його (заповніть нулями) для зниження можливих помилок при відновленні. Обнулення можна виконати DiskEditor-му.

3.2. Якщо Ви не знаєте точно кількість і розміри існуючих розділів диска або завідомо знаєте про наявність додаткового розділу диска, але не знаєте розмір основного розділу відновіть їх, використовуючи наступний спосіб: DiskEditor-му скопіюйте MBR і PT (сектор 0/0/1) з будь-якого справного диска на відновлюваний диск. Потім, очистивши всі записи крім першої, відредагуйте її, внісши завідомо перекручену інформацію про кінцевий розміщення розділу (наприклад: 9999-й циліндр) та загальну кількість секторів (наприклад: 99999999).

Запустивши DiskDoctor, почніть перевірку відновлюваного диска, і на твердження про знайдені помилки в PT і запиті на їх усунення відповідайте згодою. Після внесення виправлень у штучно створену Вами PT, DiskDoctor запропонує пошук можливих додаткових DOS розділів. Природно дайте на це згоду і якщо дані на диску в необхідному місці не пошкоджені - додатковий розділ буде знайдений і після Вашого підтвердження відновлений. Як правило, після перезавантаження комп`ютера, дані додаткового розділу стають повністю доступними без додаткових відновлювальних операцій. Врахуйте, що файли можливо заражені вірусом.

Якщо Ви все зробили правильно, без помилок і характер дискових помилок виявився не фатальним - перше завдання виконано, тобто PT відновлена.

3.4. Якщо ви впевнені в існуванні додаткового розділу диска або якого-небудь NON-DOS розділу (NTFS, Linux, ...), але NDD не зміг його відновити залишаються ще способи ручного пошуку.

3.4.1. Скористайтеся DiskEditor-му (від PhysTechSoft), що дозволяє здійснювати пошук різних NON-DOS розділів. І в разі знаходження таких розділів на підставі отриманих номерів фізичних секторів вручну внесіть інформацію в PT.

3.4.2. Можна скористатися пошуком PT у файлах резервування. Різні системні програми типу менеджерів завантаження, утиліт резервного збереження і т.п. (Про існування яких користувач іноді й не підозрює) виконують операцію збереження різної системної інформації в файл. Скориставшись цим припущенням, можна задати DiskEditor-у в режимі доступу до секторів фізичного диска маску пошуку PT (55AAh чи іншу унікальну запис) і якщо пощастить знайти інформацію про нього.

4. Відновлення BR, FAT і ROOT

• 4.1. Відновлення BR, копій FAT і ROOT простіше виконати автоматичним способом, але це не виключає можливість ручного відновлення за допомогою олівця, паперу і редактора дисків. Як уже згадувалося вище, якщо на восстанавливаемом диску є неушкоджені (або хоча б частково пошкоджені) елементи логічної структури збережіть їх у вигляді файлів на резервному диску.
• 4.2. Виконайте стандартне форматування основного розділу диска, тобто командою format С :. При цьому формується файлова структура форматируемого розділу диска з відтворенням BR, чистих FAT і ROOT, область даних при цьому не зачіпається, тобто інформація в DA не змінюється.
• 4.3. Перевірте правильність розташування кореневої директорії ROOT. Для цього DiskEditor-му в режимі перегляду кластерів новоствореного розділу, задавши пошук об`єкта Підкаталог, перевірте збіг номерів фізичного кластеру та номера кластера в першого запису знайдених підкаталогів. Що стосується розбіжності номерів, необхідно підкоригувати значення числа секторів FAT в завантажувальної записи BR. Коригування здійснюється збільшенням секторів на число кратне половині числа секторів в кластері. Як правило, таке коригування необхідна у випадках нестандартної розбивки диска або після змін розмірів розділів штучним шляхом.
• 4.4. Якщо Вам пощастило, і у Вас є зарезервовані у вигляді файлів вцілілі образи FAT і / або ROOT випливає, скориставшись DiskEditor-му відновити їх на диску. Якщо у Вас вціліла друга копія FAT, а перша немає, слід скопіювати другу копію і на місце першої копії. Якщо у Вас вціліла одна з копій FAT і кореневий каталог ROOT, після виконання всіх пунктів 4.1 Ц 4.4 повноцінний доступ до інформації на диску буде відновлений.

5. Відновлення DA (області даних)

При відновленні даних слід мати на увазі, що, не маючи достовірної інформації в таблиці розташування файлів (FAT) автоматичне або напівавтоматичне відновлення файлів розміром більше одного кластеру програмами типу UnFormat носить чисто випадковий характер.

Спрощено кажучи, алгоритм відновлення даних подібними програмами заснований на пошуку кластерів розділу диска з інформацією про підкаталогах, аналізі їх змісту на предмет визначення місця розташування каталогів, визначення номерів початкових кластерів кожного файлу та аналізі дати створення або стирання файлів. На базі цієї інформації будується дерево каталогів на логічному диску і розташування файлів по підкаталогах. Ця інформація відновити події з великим ступенем точності. У разі руйнування кореневого каталогу (ROOT) інформація і файлах у кореневому каталозі не відновлюється, а імена директорій замінюються умовними іменами (типу DIR001).

Вміст файлів мають розмір більше одного кластера відновлюється з великою часткою випадковості, шляхом стикування вільних послідовно розташованих кластерів, і внаслідок великих обсягів інформації та інтенсивної роботи зі створення / видалення файлів в середовищі Windows (і не тільки) найчастіше некоректно.

Відео: Як рахувати і відновити дані з зламаного убитого жорсткого диска комп`ютера

Для точного відновлення інформації необхідно або відновити FAT, або здійснювати відновлення вручну пошуком і аналізом вмісту кластерів на диску з подальшою стикуванням кластерів в необхідному порядку. Ручний спосіб в цьому документі розглядатися не буде.

Для спроби хоча б часткового відновлення FAT можна скористатися особливістю роботи ОС Windows 9x з віртуальною пам`яттю, тобто наявністю на диску своп-файлу. У цьому файлі можуть перебувати шматки кореневої директорії ROOT і окремі фрагменти, а часом і повні копії FAT. Пошук цих фрагментів здійснюється в режимі перегляду секторів диска за унікальними масок.

В якості початкової маски пошуку FAT може бути застосований ідентифікатор F8 FF FF FF. У подальший пошук можна здійснювати по довільним групи, що складаються з п`яти послідовних 16-ти або 32-ти розрядних (FAT16 або FAT32) номерів кластерів, які можуть належати якомусь файлу. Пошук займає досить тривалий час, але, змінюючи маски пошуку, його варто повторити кілька разів. Слід мати на увазі, що інформація в своп-файлі найчастіше розташовується із зсувом від початку секторів, що вимагає певної корекції при перегляді і надалі застосуванні. Основне завдання відшукати максимальне число фрагментів, вибрати з них найбільш УсвежіеФ і скласти з них подібність повної копії FAT. Після проведення подібної операції можливо застосування утиліт типу UnErase для більш повного (але можливо некоректного) відновлення файлів і DiskDoctor для корекції дискових помилок.

УВАГА! Якщо інформація на жорсткому диску життєво необхідна, а Ви не впевнені в своїх знаннях та / або не виключаєте можливої ​​помилки в своїх діях, не робіть самі ніяких відновлювальних дій. Навіть незначна неточність у Ваших діях може значно ускладнити або навіть зробити неможливим подальше відновлення інформації.

РАДА тим, хто САМ не зможе впоратися з навалилася на нього проблемою. Зверніться по допомогу в технічний центр до фахівців, які візьмуться за вирішення Вашої проблеми.