HomeРазноеВосстановить ntfs: Алгоритм восстановления данных NTFS раздела

Восстановить ntfs: Алгоритм восстановления данных NTFS раздела

Содержание

Алгоритм восстановления данных NTFS раздела

Читайте, как происходит восстановление данных с NTFS диска. Какой алгоритм используется программами для восстановления файлов.Вот мы и подошли вплотную к теме восстановления файлов. В отличие от FAT, NTFS – очень удобная для восстановления данных файловая система, позволяющая полностью восстановить все занимаемые удалённым файлом секторы на диске. Но есть у неё и недостаток: при определённых обстоятельствах теряется имя файла. Впрочем, содержимое файла гораздо важнее его названия, так что недостаток этот хоть и неприятный, но не критичный.

В статье «Анализ файловой системы NTFS» мы рассмотрели основные структуры данных файловой системы NTFS, далее мы рассмотрим алгоритм поиска удаленного файла.

Содержание:

Удаление файла

Рассмотрим ситуацию, когда файл был удалён штатными средствами системы (т.е. файловая система присутствует в полном объёме и не повреждена). Восстановить удаленный файл в NTFS проще, чем в большинстве файловых систем. Как мы помним, при удалении файла в файловой системе FAT терялась цепочка записей, указывающих на занимаемые файлом кластеры. Такого безобразия в NTFS не происходит.

При удалении файла с HDD, USB-диска, карт памяти CompactFlash, MicroSd его имя исключается из индекса родительского каталога, а соответствующая ему запись MFT и занимаемые им кластеры освобождаются. Происходит пересортировка индекса, в результате которой информация об имени файла может быть утеряна. Соответственно, имя удалённого файла более не будет присутствовать в исходном каталоге.

Впрочем, этот недостаток более чем компенсируется, тем фактом, что MFT хранит все записи в одной таблице. Таким образом, поиск свободных записей сильно упрощается. Каждая запись содержит атрибут с базовым адресом родительского каталога. Соответственно, при нахождении свободной записи становится возможным определить её полный путь.

Для того чтобы восстановить удалённые в NTFS файлы, необходимо просканировать MFT в поиске свободных записей. При обнаружении свободной записи становится возможным определить имя файла – оно хранится в одном из атрибутов. Как было сказано ранее, имя файла удаётся определить не всегда. Зато в отличие от файловой системы FAT указатели на кластеры, занимаемые удалённым файлом, продолжают существовать. Соответственно, удаётся восстановить файл любого размера и любой степени фрагментации – разумеется, при условии, что занимаемые им кластеры не были перезаписаны другими данными.

Как мы ранее говорили, некоторые файлы могут целиком храниться в области MFT в виде атрибута. Такие файлы называют резидентными. Если для хранения резидентного файла было достаточно единственной записи MFT, то такой файл может быть восстановлен вплоть до момента повторного выделения записи MFT.

Особенностью NTFS является алгоритм выделения записей MFT. При выделении записи, Windows использует алгоритм, выделяющий первую по порядковому номеру доступную запись. Соответственно, записи MFT с малыми номерами выделяются чаще, чем записи с большими номерами.

Ранее мы публиковали статью о преимуществах файловых систем FAT и NTFS в нашем блоге.

Журнал файловой системы

Одним из преимуществ NTFS является особенность организации записи информации в виде транзакций. Все изменения на диске регистрируются в специальном файле – журнале файловой системы. Журнал изменений активен не всегда, но он содержит информацию о времени удаления и последнего редактирования файла.

В NTFS есть функция самовосстановления, и журнал файловой системы – один из её инструментов. Наиболее распространённая причина повреждения файловой системе – сбой во время операции записи. При возникновении сбоя в работе компьютера в процессе операции записи файла на диск операционная система анализирует журнал файловой системы. В журнале хранится информация о предстоящих обновлениях метаданных, а после их успешного обновления создаётся соответствующая запись.

Что происходит, если во время операции записи происходит сбой? В этом случае операционная система сможет проанализировать журнал файловой системы и «откатить» состояние файловой системы к предыдущему состоянию.

Журнал файловой системы не содержит нерезидентных пользовательских данных, но содержит все резидентные атрибуты для возможности отмены изменений. Соответственно, для восстановления больших файлов журнал непригоден.

Нужно отметить, что полезность журнала изменений файловой системы с точки зрения восстановления файлов ограничена; этот журнал приносит гораздо больше пользы в тех случаях, когда необходимо восстановить целостность файловой системы ценой отмены (утраты) последних записанных данных. Соответственно, программы, восстанавливающие диски NTFS , журнал изменений для своей работы не используют.

Восстановление NTFS раздела — «Хакер»

Захожу на свой рабочий диск…
Стоп. Точнее пытаюсь зайти на 
свой рабочий диск… а диска Е: 
нету :(. Вместо него пустое 
неразмеченное пространство

Из воспоминаний Horrific
Xakep v.11.01(35) p.27

 

Даже с великими гуру случаются
неприятности такого рода. От них не
застрахован никто. Я попытаюсь рассказать,
как можно восстановить данные в подобной
ситуации. Ведь, скорее всего, данные никуда
не делись, как были, так и остались на диске.
Просто повреждена служебная область
раздела. Поэтому попытаемся разобраться,
как она устроена, а поняв, выработаем
алгоритм действий.

Информация о структуре NTFS довольно скудна,
и, вследствии закрытости основных
спецификаций на нее, получена так
называемым методом reverse
engineering. Как и другие файловые системы, NTFS
делит поверхность диска на кластеры. Размер
кластеров имеет фиксированный размер,
выбираемый из интервала от 512 байт (1 сектор)
до 64 Кб (128 секторов). Обычно используется
размер кластера в 4 Кб (8 секторов). Каждый
элемент файловой системы, включая
служебные (которые принято называть
метафайлами), представляет из себя файл.
Метафайлы находятся в корневом каталоге NTFS
раздела и начинаются с символа имени «$»,
Основной служебный файл — $MFT (Master File Table) —
список абсолютно всех файлов, хранящихся в
разделе, включая MFT. Вновь
отформатированный раздел NTFS выглядит
следующим образом:

Место под файл $MFT

Место под содержимое файлов

Boot файл $MFT зарезервированное
место для файла
 $MFT
остальные метафайлы свободно

Место под MFT файл выделяется сразу и с
большим запасом, обычно 12,5% (но может быть и
25%, 37,5% и 50%) от объема раздела. Оставшееся
место предназначено для хранения
содержимого файлов. Однако ОС, при
необходимости, может сокращать место,
выделенное для MFT файла, когда место под
содержимое файлов заполнено. Для этого, в
текущих версиях NTFS, оставшееся свободное
место, выделенное под MFT файл, уменьшается
вдвое, тем самым, увеличивая место,
отведенное для размещения содержимого
файлов. И когда ОС информирует о свободном
месте, то это сумма свободного места в обеих
частях раздела (зарезервированное под MFT
файл и выделенное под хранение содержимого
файлов). Но файлы не только добавляются в
раздел, но и удаляются из него. И в этом
случае возможно вновь увеличение места,
отводимого под MFT файл. При этом в служебной
области может оказаться содержимое файлов,
которое там и останется. MFT файл начнет
фрагментироваться, хотя это и не есть good.
Еще раз повторюсь, сказанное относится к
вновь отформатированному разделу. Когда я
при помощи программы Partition Magic добавил
неразмеченное пространство перед NTFS
разделом к NTFS разделу (F:), то MFT у меня
начинается с 1731201 кластера, хотя обычное
значение — 4.

Сам MFT поделен на записи фиксированного
размера по 1 Кб (2 сектора) каждая. Первые 24
записи — это служебные файлы, причем первым
в списке идет сам MFT. Ввиду особой важности
MFT файла, копия первых четырех записей
хранится в файле $MFTMirr где-то в районе
середины раздела. Также в последнем секторе
раздела (для Win’2k/XP) хранится резервная копия
boot сектора. Таким образом, для
восстановления раздела необходимо найти и
скопировать в начало раздела 4 первые
записи MFT из резервной копии и, возможно, сам
загрузочный сектор. 

Для работы нам потребуется любой дисковый
редактор. Главное, чтоб он мог видеть все
пространство твоего диска. Можно
воспользоваться DiskEdit от дяди Нортона из
пакета Norton Utilities
2002 или штатным дисковым редактором Win’2k —
Disk Probe, для чего нужно с дистрибутива Windows из
папки Support\Tools установить дополнительные
инструменты, в том числе и Disk Probe. Также
потребуется программа PartitionInfo из пакета Partition
Magic. Для начала, выясним физические
границы требуемого NTFS раздела. Это можно
сделать при помощи программы PartitionInfo из
пакета Partition Magic.

В моем случае раздел NTFS начинается с 5060538
сектора диска. (также в нижнем окне доступна
информация в формате C:H:S) Теперь получим
информацию о номере последнего сектора и о
расположении MFT и ее копии, для чего
нажимаем кнопку Boot Record…

Итак, последний сектор раздела это 5060538 +
3341456 = 8401994 (первый сектор раздела + Total NTFS Sectors),
MFT начинается с 8х4=32 сектора (MFT start cluster * Sectors
per cluster), MFT Mirr — c 417682 х 4=1670728 сектора (MFT Mirror start
cluster * Sectors per cluster). Уточним размер отдельной
записи в MFT файле, для чего запустив
программу Partition Magic, выбрав требуемый раздел,
нажав правую кнопку мыши, выберем пункт
Properties  В появившемся окне выберем
вкладку NTFS Info. Как и должно быть, размер
записи в MFT файле (File Record Size) составляет 1 Кб (2
сектора).

Запускаем дисковый редактор, например Disk
Probe, и выбираем пункты меню <Drives> — <Logical
Volume>. В появившемся окне дважды щелкаем
мышкой по требуемому разделу (в моем случае
это G), нажимаем последовательно кнопки Set
Active и OK. Теперь переходим на сектор,
содержащий копию MFT. Для этого выбираем
пункт меню <Sectors> — <Read> и в открывшемся
окне вводим номер сектора 1670728 и число
требуемых секторов (16) и нажимаем кнопку Read.
Теперь перепишем эти сектора по месту
расположения MFT, с 32 сектора. Для этого
выбираем пункт меню <Sectors> — <Write>.
Отвечаем утвердительно на вопрос изменения
режима работы с Read Only на Read/Write, в
появившемся окне указываем сектор, с
которого надо осуществить запись (в нашем
случае это 32) и нажимаем кнопку Write it.
Подтверждаем свое желание еще раз и MFT
восстановлена. 

Теперь необходимо скопировать на свое
место загрузочный сектор. Для этого
выбираем пункт меню <Drives> — <Physical Drive…>
после чего устанавливаем активным
требуемый физический диск. Это аналогично
тому, что мы осуществили для логического
диска. Теперь надо перейти на последний
сектор восстанавливаемого раздела. Через
меню <Sectors> — <Read> вводим значение 8401994
после чего записываем это значение в сектор
5060538. Будьте особенно внимательны,
поскольку вы работаете с целым диском и не
ограничены границами поврежденного
раздела! 

Осталось запустить утилиту chkdsk e: /f, которая
найдет и исправит просто огромное
количество ошибок, после чего поздравить
себя со спасенным разделом.

PS: Поскольку все операции потенциально
опасны, не поленись сделать резервную копию
разделов, находящихся на том же физическом
диске, что и восстанавливаемый раздел.

Восстановление поврежденных разделов NTFS | Мир ПК

17.10.1999

Автор: А. В. Фролов, Г. В. Фролов

Программы же восстановления NTFS от сторонних производителей, к сожалению, труднодоступны и дороги. Ситуация усугубляется отсутствием полной документации по низкоуровневой структуре управляющих блоков NTFS.

Что же делать, если в один прекрасный момент обнаруживается, что компьютер с ОС Windows NT больше не загружается или некоторые логические разделы NTFS стали вдруг недоступны?

Сначала нужно уточнить, с чем связана неисправность: физическим повреждением диска, выходом из строя контроллера или разрушением файловой системы NTFS.

Проблемы с диском

Жесткие диски имеют ограниченный срок службы, обычно — несколько лет. Выход устройства из строя иногда можно определить по характерным щелчкам в момент инициализации. Диск может несколько раз щелкнуть и затихнуть, так и не раскрутившись. При инициализации BIOS сообщит вам об этой неисправности. В такой ситуации следует произвести ремонт жесткого диска. Если стоимость потерянной информации заметно превышает стоимость самого диска, следует обратиться к специалистам, что, впрочем, недешево.

Ремонт выполняется следующим образом. Если из строя вышла электроника, расположенная вне герметичного пространства диска, то заменяется или ремонтируется соответствующая плата. Для этого часто приходится разбирать другой диск точно такого же типа.

В том случае, когда повреждены детали, расположенные внутри корпуса диска, проблем будет больше. Прежде всего, разбирать сломанный диск нужно в так называемой «чистой комнате», где гарантируется отсутствие пыли. Затем следует заменить плату с электроникой, сняв ее с другого диска. Отремонтированный диск закрывается, после чего остается только скопировать информацию на третий диск по секторам.

Поэтому если сломался жесткий диск с ценной информацией, приготовьтесь пожертвовать еще одним для ремонта и найдите третий для копирования восстановленных данных.

Если есть подозрение на неисправность контроллера диска, попробуйте его заменить. Проверьте также соединительный кабель.

Проблемы с файловой системой

Убедившись, что диск, контроллер и соединительный кабель исправны, не торопитесь использовать дискету NT Repair Disk, созданную при установке ОС, или запускать программу восстановления файловой системы chkdsk — результат может оказаться плачевным. Не пытайтесь также найти «волшебную» программу восстановления NTFS в комплекте Norton Utilities для Windows NT — пока ее там нет. Если информация, записанная на диске, имеет особую ценность, нужно вначале проанализировать состояние управляющих блоков файловой системы NTFS с помощью редактора диска.

Такая работа требует достаточно высокой квалификации. В частности, нужно разбираться в форматах управляющих блоков файловой системы. Если вы не в состоянии выполнить ее самостоятельно, лучше вызвать специалиста и не предпринимать попыток самому отремонтировать NTFS.

Чтобы проверить управляющие блоки, нужно подключить к компьютеру два диска: первый, исправный загрузочный, и второй — тот, информацию с которого необходимо восстановить.

Сначала подключается только первый диск и инсталлируется ОС Windows NT. Этот диск будет использован для сохранения файлов, восстановленных из разделов поврежденного. Далее устанавливается редактор Disk Probe, входящий в состав Windows NT Resource Kit. Хотя этот редактор далек от совершенства, именно он позволит выполнить всю работу по восстановлению потерянных файлов.

Убедившись, что с первым диском все в порядке, выключите компьютер и подключите к нему второй, поврежденный диск.

Определение геометрии логического устройства

Для успешного восстановления информации следует определить размер кластера и адрес загрузочного сектора. Первое значение можно получить из загрузочного сектора раздела NTFS (если, конечно, его содержимое сохранилось).

Запустите программу Disk Probe. Выберите в меню Drive позицию Physical Drive. В панели Open Physical Drive, появившейся на экране, укажите устройство PhysicalDrive1, дважды щелкнув левой клавишей мыши по соответствующей строке списка Available Physical Drives. Затем нажмите кнопку Set Active, оставив включенным переключатель Read Only, и закройте панель кнопкой OK (рис. 1).

Рис. 1. Выбор физического диска

В результате программа Disk Probe получит доступ на чтение поврежденного диска. После этого попытайтесь прочитать содержимое главной загрузочной записи диска, расположенной в первом секторе на нулевой дорожке нулевого цилиндра. Для этого в меню Sectors выберите строку Read. Появится панель Read Sector. В поле Starting Sector укажите номер первого сектора, равный нулю, а в поле Numbers of Sectors установите значение 1. Затем нажмите кнопку Read.

Программа считает в оперативную память содержимое первого сектора и покажет его в шестнадцатеричном виде. Выберите из меню View строку Partition Table для форматного просмотра таблицы разделов диска, а затем перейдите на нужный раздел с помощью кнопки Go. Если необходимо (когда восстанавливаются файлы из расширенного раздела), повторите эту процедуру несколько раз.

Добравшись до загрузочной записи нужного вам раздела, выберите из меню View строку NTFS Bootsector. Вы должны увидеть что-то вроде изображения на рис. 2.

Рис. 2. Просмотр загрузочного сектора раздела NTFS

Здесь содержатся все сведения о геометрии восстанавливаемого раздела. В частности, размер кластера в секторах находится в поле Sectors per cluster. Кроме того, здесь приведены номера кластеров основной и резервной таблицы MFT (поля Clusters to MFT и Clusters to MFT mirr соответственно).

А что делать, если главная загрузочная запись или загрузочная запись нужного раздела уничтожены?

Эта ситуация тяжелая, но не фатальная. Подробную таблицу соответствия емкости логического устройства NTFS и числа кластеров можно найти в MSDN. Например, если емкость находится в интервале 1025 — 2048 Мбайт, размер кластера будет равен 4 секторам, а если в диапазоне от 8193 до 16 384 Мбайт — то в одном кластере будет 32 сектора. Заметим, однако, что, позаботившись заранее о возможности последующего восстановления диска в случае его повреждения, можно облегчить такую работу, когда в ней возникнет необходимость. Нужно определить и записать размер кластера сразу после установки ОС, пока загрузочный сектор NTFS еще цел.

В том случае, если размер кластера так и остался неизвестным, его придется определять косвенными способами или методом подбора.

Таблица MFT

Внутренняя структура файловой системы NTFS принципиально отличается от хорошо знакомой большинству FAT. Не вдаваясь в подробности, изложим лишь те сведения, которые необходимы для выполнения в ней восстановительных работ.

Файловая система FAT (и ее разновидность FAT32) хранит информацию о файлах в нескольких местах логического устройства. Дескриптор файла, содержащий его имя, размер, дату создания и номер первого выделенного для него кластера, находится в каталоге. Таблица размещения файлов File Allocation Table, от которой и произошло название файловой системы FAT, хранит связанный список всех кластеров, выделенных файлу. И наконец, сам файл может быть распылен по кластерам.

Такая организация в значительной мере затрудняет восстановление файлов в случае каких-либо сбоев. Особенно критичной является целостность таблицы FAT: если эта таблица пропала или ее содержимое оказалось частично разрушено, исчезает информация о кластерах, выделенных файлу. В результате файл можно с очень большим трудом собрать из отдельных кластеров, лишь зная его содержимое. К тому же эта работа требует очень много времени. Поэтому на практике исчезновение таблицы FAT и ее копии означает полную потерю файлов.

Потеря каталогов приводит к невозможности определения номера первого кластера, выделенного файлу, его имени и точного размера. В этом случае последствия не столь катастрофичны, так как в таблице FAT остались «бесхозные» цепочки кластеров, которые нетрудно превратить в файлы. Имена полученных таким образом файлов обычно состоят из цифр. Заметим, что при крушении каталогов, содержащих тысячи файлов, после восстановления будет трудно найти нужный файл, если хотя бы приблизительно не известно его содержимое.

В файловой системе NTFS вся информация о файлах хранится в так называемой главной таблице файлов Master File Table (MFT). Записи таблицы MFT содержат наборы дескрипторов с такой информацией о файлах, как имя, даты создания и модификации, атрибуты безопасности, и, что самое главное, списки кластеров, выделенных файлам. Если файл имеет небольшой размер, то он может храниться непосредственно в записи таблицы MFT.

Следовательно, возможность восстановления файлов из поврежденных разделов NTFS во многом определяется целостностью таблицы MFT и ее копии.

Как найти таблицу MFT?

Найти таблицу MFT достаточно просто, если сохранился загрузочный сектор раздела NTFS. Нажмите кнопку Go около поля Clusters to MFT или Clusters to MFT mirr в панели, показанной на рис. 2. Для просмотра содержимого первого сектора таблицы выберите из меню View программы Disk Probe строку Bytes. Результат выполнения такой операции показан на рис. 3.

Рис. 3. Содержимое первого сектора таблицы MFT

Обратите внимание на строку FILE, расположенную в самом начале сектора. С нее начинаются записи таблицы, описывающие файлы. Существуют еще записи для каталогов, элементов индекса и другие, которые мы не будем рассматривать.

Строка $.M.F.T. находится со смещением D2. Это имя системного файла, содержащего таблицу MFT, в кодировке Unicode. Таким образом, первая запись файла $MFT описывает сам этот файл. Просматривая таблицу, можно обнаружить записи для других системных файлов, таких как $MFTMirror, $LogFile, $Volume, $AttrDef и др.

Рис. 4. Поиск начала таблицы MFT

Если загрузочный сектор разрушен, начало таблицы MFT нетрудно найти с помощью программы Disk Probe. Для этого выберите в меню Tools строку Search Sector, установите переключатели в положение, показанное на рис. 4, и, заполнив поле Enter characters to search for, нажмите кнопку Search. Следует запастись терпением, поскольку процесс поиска может отнять немало времени.

Заметим, что подобным образом можно найти в таблице MFT записи для тех файлов, которые нужно восстановить. Так как имена файлов хранятся в кодировке Unicode, при поиске следует установить переключатель в положение Unicode characters. Кроме того, необходимо включить режим поиска Exhaustive search и Ignore case.

Анализ записей MFT

К сожалению, программа Disk Probe не содержит никаких средств для форматного просмотра содержимого записей MFT. Более того, точный формат этой записи отсутствует в открытой документации Microsoft. Однако многое можно обнаружить в Internet, сделав запрос по ключевым словам «NTFS Documentation». Нам, например, удалось найти информацию, собранную разработчиками модулей для операционной системы Linux. Анализируя исходные тексты модуля для монтирования в Linux файловой системы NTFS, можно понять назначение отдельных полей записей MFT (авторы приносят благодарность Максиму Синеву за помощь в «расшифровке» записей MFT).

Запись MFT состоит из начального фрагмента фиксированного размера и набора атрибутов, имеющих в общем случае переменный размер. Для восстановления файлов нужно знать точный формат только атрибута данных. Что же касается других атрибутов, достаточно уметь определять их расположение и размер.

Первые четыре байта в записи, описывающей файл, образуют слово FILE. На рис. 3 они выделены красным цветом. Следующие два байта (выделенные синим цветом) — смещение так называемой области Fixup. В рассматриваемом случае значение смещения равно 002A (с учетом обратного порядка расположения байтов в слове). Здесь и далее будем пользоваться шестнадцатеричными числами.

Область Fixup используется в процессе обнаружения ошибок чтения или записи. Она состоит из слов размером два байта. Количество слов хранится в записи MFT со смещением 0006. На рис. 3 поле размера области Fixup выделено фиолетовым цветом. Там хранится значение 0003, следовательно, область Fixup начинается со смещения 002A и простирается до 002A+(2*0003)=002F.

Сразу за областью Fixup начинаются поля атрибутов. Смещение первого атрибута равно 0030.

Первые четыре байта области атрибутов определяют тип, а следующие четыре — размер в байтах. Например, вслед за областью Fixup со смещением 0030 следует атрибут с типом 10. На рис. 3 тип этого и следующего за ним атрибутов выделен красным цветом (размер атрибута выделен синим). Атрибут занимает 48 байт, следовательно, следующий атрибут (с типом 30) начнется со смещением 0078.

Таким образом можно выделить в записи MFT все атрибуты. В конце самого последнего записано значение FFFFFFFF — признак конца цепочки атрибутов.

Для восстановления файлов наибольший интерес представляют атрибуты типа 30 и 80. Первый из них хранит имя файла. По нему следует искать запись MFT, описывающую восстанавливаемый файл. Второй атрибут с типом 80 хранит список кластеров, выделенных файлу, или сам файл. Про него мы расскажем подробнее. Для удобства описание атрибута данных выделено на рис. 5.

Рис. 5. Атрибут данных

Как видно из рисунка, тип атрибута, равный 80, хранится в записи MFT со смещением 0160. Всего атрибут данных занимает D8 байт, так как именно это значение находится в четырехбайтовом поле со смещением 4 относительно начала атрибута.

Байт со смещением 8 относительно начала атрибута данных — это признак резидентного размещения файла. Если его значение равно 1, запись MFT хранит только список кластеров, выделенных файлу (как в описываемом случае), а если 0 — файл находится внутри самой записи MFT. Как правило, записи содержат только файлы небольших размеров.

Сначала рассмотрим случай нерезидентного размещения файла. При этом четыре байта со смещением 30 хранят длину файла, расположенного где-то на диске. В данном примере длина файла $MFT составляет B7B000 байт.

Для того чтобы определить точное расположение нерезидентного файла на диске, нужно проследить цепочку так называемых блоков виртуальных номеров кластеров Virtual Cluster Number (VCN), или просто блоков VCN. Показатель смещения начала этой цепочки хранится в двухбайтовом поле, имеющем смещение 20 байт относительно начала атрибута данных. В описываемом случае этот показатель равен 40, а смещение области блоков VCN относительно начала записи MFT равно 01A0. На рис. 5 эта область выделена жирной вертикальной линией зеленого цвета.

Анализ области блоков VCN

Файл, записанный в разделе NTFS, может быть сегментирован. Он состоит из одного или нескольких фрагментов, называемых экстентами. Размер и расположение каждого экстента описывается в блоке VCN. В зависимости от того, фрагментирован файл или нет, область VCN может содержать один блок или их набор. Блоки VCN имеют переменный размер, определяемый первым байтом.

Формат блока стоит показать на конкретном примере. Возьмем первый блок VCN, имеющий в рассматриваемом примере смещение 01A0 относительно начала записи MFT:

31 20 D9 86 02

Тетрады первого байта со значением 31 определяют размеры двух полей блока VCN. Первое поле, имеющее длину один байт, хранит количество кластеров, выделенных экстенту файла. Второе поле размером три байта содержит номер первого кластера. В данном случае первому экстенту файла $MFT выделено 20 кластеров, а номер первого кластера для первого экстента равен 0286D9. Таким образом определяем размер и расположение первого экстента файла.

Второй блок VCN расположен сразу вслед за первым:

12 24 08 21

Для того чтобы определить первый кластер второго экстента, необходимо прибавить к адресу первого экстента смещение, указанное во втором блоке VCN (с учетом знака). В данном случае второй экстент размещен в кластере с номером 0286D9+21=286FA. Длина второго экстента составляет 0824 кластера.

Анализируя остальные блоки VCN, можно определить размеры и расположение всех экстентов файла. Список блоков VCN закрывается байтом с нулевым значением.

Резидентные файлы

Файлы небольшого размера размещаются непосредственно в записи MFT, описывающей этот файл, для сокращения времени доступа. Если в байте со смещением 8 относительно начала атрибута данных находится нулевое значение, то не нужно прослеживать цепочки блоков VCN. Это означает, что файл находится внутри атрибута данных.

Рис. 6. Запись таблицы MFT с резидентным атрибутом

При этом смещение резидентных данных, т. е. файла, записано в двухбайтовом слове со смещением 14 относительно начала атрибута данных, а размер — в двухбайтовом слове со смещением 10.

Приведем небольшой пример. Для иллюстрации формата записи MFT, содержащей резидентный атрибут данных, мы подготовили маленький файл с именем Small.txt, содержащий текстовую строку «This is a small text file.». Затем с помощью программы Disk Probe мы обнаружили запись таблицы MFT, созданную для этого файла (рис. 6).

Здесь атрибут данных начинается со смещением 0160 относительно начала записи MFT. Байт со смещением 8 внутри этого атрибута (выделен зеленым цветом) равен нулю, следовательно, мы имеем дело с резидентным атрибутом.

Как видно из рис. 6, байты файла Small.txt (выделенные желтым цветом) находятся внутри записи MFT со смещением 18 относительно начала атрибута данных, а размер файла составляет 1A байт.

Как же восстановить файлы?

Теперь, вооружившись приведенными выше знаниями о внутренней структуре системных блоков NTFS, можно приступить к восстановлению файлов из поврежденного раздела этой файловой системы.

Когда известны имена файлов, подлежащих восстановлению, нужно найти соответствующие им записи в таблице MFT. Это можно сделать с помощью программы Disk Probe, воспользовавшись строкой Search Sector из меню Tools. Далее следует обнаружить в этой записи атрибут данных и определить, резидентный он или нет.

Если атрибут данных резидентный, то нужно сохранить сектор, содержащий запись MFT, в виде файла на исправном жестком диске или на дискете. Это можно сделать, используя строку Save as меню File программы Disk Probe. После этого следует вырезать нужную часть данных и сохранить результат в новом файле. Такую операцию нетрудно выполнить, например, в редакторе Norton Disk Editor для MS-DOS.

В случае нерезидентного атрибута работы будет намного больше.

Прослеживая цепочку блоков VCN, нужно определить расположение и размер экстентов восстанавливаемого файла. Далее с помощью приложения Disk Probe следует прочитать данные экстента, а затем сохранить их в файле на исправном диске. Не забудьте также, что в программе Disk Probe указывается количество секторов, которые нужно прочитать или записать, а в блоке VCN установлено количество кластеров, выделенных экстенту. Поэтому нужно выполнить соответствующий пересчет.

Восстановив все экстенты, объедините их в один файл (например, командой COPY с параметром /B). Затем установите правильную длину файла, полученную из поля со смещением 30 атрибута данных. В разделе FAT такая операция может быть выполнена с помощью все той же программы Norton Disk Editor.

К сожалению, на практике восстановление большого количества файлов требует много времени. Тяжелее всего дается ручная обработка цепочек блоков VCN, которые могут быть очень длинными. Приходится часами работать с калькулятором, переводя десятичные числа в шестнадцатеричные и обратно, а также производя различные арифметические действия, необходимые для определения размеров и расположения экстентов восстанавливаемых файлов. Поэтому обычно мы пользуемся небольшой самодельной программой NTFS Explorer, выполняющей наиболее трудоемкие операции в полуавтоматическом режиме.

Что же касается полностью автоматических средств, восстанавливающих разрушенные разделы NTFS и случайно удаленные файлы, до здесь можно упомянуть программу Tiramisu for Windows NT, разработанную в компании OnTrack Data International, Inc. Ее бесплатная демонстрационная версия доступна по адресу http://www. recovery.de.

Эта версия, однако, позволяет только просмотреть восстанавливаемые файлы. Если же нужно сохранить имеющуюся в них информацию, приготовьте деньги. У вас есть выбор — заплатить либо 195 долл. за использование программы в течение ограниченного срока (одной недели), либо 390 долл. за версию без ограничений.

Мы все-таки рекомендуем использовать автоматические средства только в крайнем случае, особенно если речь идет о восстановлении особо важных данных. Известно, например, что такая программа, как Norton Disk Doctor, может в некоторых случаях не только не улучшить, но даже ухудшить состояние диска FAT, сделав потерю данных невозвратимой.

К сожалению, всякий раз сталкиваясь с необходимостью восстанавливать разрушенные разделы NTFS, мы убеждались в уникальности проводимой работы, ее приходилось выполнять по-разному в зависимости от причин и последствий аварии. Автоматическая программа вовсе не обязательно сможет принять правильное решение, если после сбоя от данных мало что осталось. С другой стороны, опытный специалист, вооруженный даже простейшим редактором диска, скорее всего, найдет способ восстановить пропавшие файлы.

ОБ АВТОРАХ

Фролов Александр Вячеславович, Фролов Григорий Вячеславович — авторы серий книг «Библиотека системного программиста» и «Персональный компьютер. Шаг за шагом», их электронные адреса: [email protected] и http://www.glasnet.ru/~frolov

Программа для восстановления данных c NTFS разделов

Пытаетесь восстановить структуру NTFS — диска после форматирования? Ищете, как восстановить сильно поврежденные данные с флешки? Хотите вернуть удаленные данные, полностью сохранив файловую структуру?

Восстановление NTFS разделов программой

RS NTFS Recovery

Восстановите удаленные файлы в NTFS за полцены с программой RS NTFS Recovery! Это мощный инструмент для восстановления любых типов данных, реконструкции структуры поврежденных и недоступных разделов, полного восстановления работы файловой системы после форматирования. То есть программа работает с той же эффективностью, что и RS Partition Recovery (но только в системе NTFS), а обойдется в два раза дешевле!

Скачать
Регистрация

Быстрая и простая операция

Научиться работать с RS NTFS Recovery несложно, и много времени у вас это не займет. Ее интуитивно понятный пользовательский интерфейс делает использование самых передовых механизмов восстановления данных вопросом одного нажатия кнопки. В режиме быстрого сканирования RS NTFS Recovery может найти и восстановить недавно удаленные файлы за считанные минуты.

Предназначен для восстановления с NTFS

RS NTFS Recovery — утилита, специально предназначенная для обработки информации, хранящейся на дисках, отформатированных в NTFS. Она работает с файлами с длинными именами, сжатыми и зашифрованными в NTFS файлами, а также альтернативными потоками данных. На сегодня это одно из самых передовых решений для восстановления данных с разделов NTFS.

Полное восстановление

В режиме глубокого анализа программа очень тщательно и всесторонне сканирует диск, предлагая наиболее полное восстановление отформатированных, поврежденных и недоступных носителей и их разделов. В этом режиме RS NTFS Recovery сканирует все содержимое диска, ищет характерные подписи известных типов файлов, что позволяет осуществлять качественное восстановление и в самых сложных случаях. RS NTFS Recovery может извлечь исходный файл или папку с восстанавливаемого диска и воссоздать ее точную копию на здоровом носителе.

Мгновенный предварительный просмотр удаленных файлов

RS NTFS Recovery предлагает наиболее удобный мгновенный предварительный просмотр восстанавливаемых документов. Данная функция позволяет просматривать содержимое удаленных файлов в режиме реального времени. Он может отображать фотографии и документы в их исходном форматировании, включая внедренные объекты, позволяет воспроизводить аудио-файлы и просматривать сжатые файлы из архивов. Предварительный просмотр доступен и в демо-версии программы – вам даже не придется ее покупать, чтобы оценить ее возможности. Сначала убедитесь, что RS NTFS Recovery действительно справится с восстановлением ваших файлов, а затем оформляйте покупку. Если вы успешно просмотрели все файлы. Вы гарантированно сможете их восстановить!

Анализ содержимого

Многие типы файлов могут быть успешно восстановлены, даже если они находятся на недоступных, сильно поврежденных или отформатированных дисках. RS NTFS Recovery использует алгоритм анализа содержимого восстанавливаемых файлов (Content-Aware) – анализирует всю поверхность диска в дополнение к сканированию файловой системы. Сначала RS NTFS Recovery находит и вычисляет длину каждого файла, обнаруживая известные программе структуры, такие как заголовки файлов. Детальное сканирование и сверхсовременные алгоритмы анализа собранных данных позволяют достичь наиболее высокой точности восстановления. Выполняя Content-Aware анализ, RS NTFS Recovery обеспечивает впечатляющие темпы восстановления в самых сложных случаях.

Поддержка всех файловых систем NTFS

RS NTFS Recovery поддерживает любые объемы, отформатированные во всех версиях NTFS, включая NTFS5. Все 32-разрядные и 64-разрядные версии ОС Windows, Windows 8 также поддерживаются.

Для восстановления данных с флешки или диска, отформатированных в системе NTFS, – воспользуйтесь программой RS NTFS Recovery. Если вы работаете в системе FAT, вам подойдет RS FAT Recovery или универсальный RS Partition Recovery.

Возможности программы:

  • Восстановление данных с любых типов жестких дисков, USB-флешек и других носителей, отформатированных в NTFS;
  • Полное восстановление работы системы после системного или аппаратного сбоя, а также восстановление информации, утерянной по любым причинам – после вирусной атаки, форматирования или удаления без корзины и т.п.;
  • Реконструкция разделов диска даже с высокой степенью повреждения, возвращение работоспособности недоступным дискам;
  • Возможность восстановить необходимые файлы в считанные секунды либо детально просканировать сохранившуюся информацию для извлечения всех данных, доступных к восстановлению;
  • Исправление поврежденных разделов и воссоздание «с нуля» сильно поврежденных логических структур дисков;
  • Возможность «отложенного восстановления» данных с помощью виртуальных образов дисков;
  • Восстановление документов Microsoft Office (Word, Excel, PowerPoint и др.), документов Adobe Reader, файлов баз данных, цифровых изображений и фотографий любых форматов, видео и аудио файлов;
  • Поддержка популярных файловых систем NTFS / NTFS 4 / NTFS5, и популярных ОС Microsoft Windows, включая XP, 2003, Vista, 2008 Server и Windows 7, 8, 10.

Magic NTFS Recovery

Восстановление всех типов файлов с любых носителей информации

Magic NTFS Recovery может восстанавливать все типы файлов с любых видов устройств хранения данных, доступных на сегодняшний день. Недавно удаленные файлы могут быть восстановлены моментально с помощью быстрого сканирования файловой системы, которое длится всего несколько секунд. При этом не важен тип файлов, их расположение и расширение, программа моментально построит дерево папок и файлов, аналогичное тому, которое вы привыкли видеть в проводнике Windows. В дополнение к существующим файлам и каталогам, программа отобразит удаленные. Благодаря технологии глубокого анализа, сотни типов файлов могут быть восстановлены, даже если диск отформатирован, удален или не читается.

Magic NTFS Recovery может быть использован для восстановления файлов с жестких дисков и SSD дисков, USB флэш-накопителей и любых типов карт памяти, включая полноразмерные, мини- и микро-версии карт SD / SDHC / SDXC, Compact Flash, Memory Stick, а также устаревших форматов, таких как MMC и xD.

Восстановление испорченных и недоступных разделов

Благодаря использованию сложных алгоритмов, включая технологию глубокого анализа, наши инструменты могут восстановить информацию с поврежденных, недоступных и отформатированных томов, а также с жестких дисков, заново разбитых на логические разделы. Magic NTFS Recovery выполняет тщательный анализ всего физического носителя, чтобы найти недоступные или удаленные разделы, а затем, используя всю полученную информацию, строит файловую систему для каждого из найденных томов. Таким образом, программа не опирается на существующую файловую систему, которая может быть испорчена, недоступна, либо просто не соответствовать (в результате форматирования) содержимому диска, а воссоздает свою, на основе которой и строит дерево папок и файлов, определяя их адреса, имена и другие атрибуты.

Использование Magic NTFS Recovery на поврежденных дисках – процесс абсолютно безопасный, так как все операции программа выполняет строго в режиме только для чтения.

Восстановление файлов с удаленных и отформатированных дисков

Этот инструмент поддерживает восстановление данных с удаленных разделов, отформатированных томов и жестких дисков, разбитых на новые разделы. Программа сканирует всю поверхность жесткого диска или твердотельного накопителя для того, чтобы обнаружить любую сохранившуюся информацию, найти и прочитать содержимое удаленных разделов или испорченных и недоступных томов. Если диск был отформатирован с полным удалением файловой системы, программа будет читать каждый сектор диска, чтобы обнаружить начало и структуру известных типов файлов, восстанавливая их содержимое. Во время этого процесса инструмент успешно восстановит данные, даже если файловая система удалена посредством форматирования или недоступна в связи с поломкой диска.

Удаленные разделы могут быть обнаружены аналогичным путем — посредством чтения блоков данных с поверхности диска, а используемые в программе сложные алгоритмы, в свою очередь, восстановят первичную структуру данных и восстановят таблицу файлов и папок, включая их размер, название и расположение. Чаще всего восстановить удаленные разделы гораздо легче, чем отформатированные жесткие диски.

Легкий доступ к сложным операциям

Тщательно продуманный и проработанный интерфейс программы прост, удобен и доступен любому пользователю. Для вашего удобства мы внедрили простой пользовательский интерфейс на основе привычного каждому проводника Windows. Тем не менее, опытные специалисты смогут получить доступ к более тонким настройкам и возможностям программы. Такой подход позволяет работать с удаленными данными и недоступными носителями так же просто, как вы это ежедневно делаете с существующими файлами. А благодаря интегрированному пошаговому мастеру любая сложная задача выполняется всего несколькими нажатиями. При этом пользователь отвечает на простые вопросы, даже не имея представления о структуре файловой системы и восстановлении данных.

Используя функцию предварительного просмотра, вы сможете увидеть содержимое файла еще до восстановления, а удобный поиск поможет вам легко найти и выбрать необходимые для восстановления файлы. Интегрированный мастер восстановления поможет вам сохранить файлы на жесткий диск, записать их на CD/DVD или выложить на FTP-сервер.

Поиск файлов на основе содержимого (глубокий анализ)

Вся линейка наших программ по восстановлению удаленных данных имеет интегрированную функцию, позволяющую находить удаленные файлы на основе их содержимого, не используя файловую таблицу. Данная технология называется «Глубокий анализ» и позволяет восстанавливать не только те файлы, которые были просто удалены, но и файлы, хранящихся на отформатированных, поврежденных и недоступных дисках и картах памяти.

В отличие от других запатентованных алгоритмов, которые ищут информацию на основе файловой таблицы, технология «Глубокий анализ» выходит за рамки файловой системы в поисках и извлечении информации. Программа читает каждый сектор на диске, анализируя полученные данные с целью выявления характерных подписей известных типов файлов, после чего пытается определить их структуру, размер и содержание. Основываясь на этой информации, программа определяет точное местоположение файла на диске, и сам файл может быть успешно восстановлен, даже если записи о нем в файловой системе больше не существует.

восстанавливаем данные с FAT, NTFS и UFS, не покидая Linux — «Хакер»

Содержание статьи

О восстановлении данных с файловых систем Linux не писал только
ленивый. Для выполнения этой задачи существует множество самых разнообразных
средств, включая утилиту debugfs, которая с легкостью извлекает любые потертые
файлы с ext2. Но как же быть с другими ФС? Как восстановить исчезнувший файл с
флеш-брелка или расположенного рядом NTFS-раздела? Об этом молчат даже самые
трудолюбивые блоггеры. А между тем, все очень просто и прозаично.

Не всегда удобно перезагружаться в другую операционную систему для выполнения
действий по проверке файловых систем, восстановления файлов, изменения размера
разделов и выполнения других операций с данными. Представь, что уже несколько
лет на твоем компе установлено две операционные системы: Windows и Linux. Первую
ты загружаешь очень редко и только в экстренных случаях, второй пользуешься
ежедневно и уже подумываешь о полном переходе на Linux и удалении винды, вот
только NTFS-раздел, хранящий годами накапливаемые данные, перевести в ext3
нельзя никакими инструментами. Приходится держать две операционки, потому что
хоть NTFS-раздел и доступен из Linux (с помощью ntfs-3g), для решения проблем
файловой системы все равно придется перезагружаться в Windows.

А если накрылась файловая система FAT на Flash-накопителе? Опять
перезагружаться в Windows? Или ты случайно удалил файл в файловой системе UFS,
принадлежащей рядом установленной FreeBSD? Может быть, ты системный
администратор, и диска для восстановления Windows в нужный момент не оказалось
под рукой? Отвечу на все вопросы сразу: почти все действия по возвращению из
небытия файловых систем FAT, NTFS, UFS, восстановлению хранящихся в них файлов,
диагностике и многому другому можно произвести, не покидая Linux. Из этой статьи
ты узнаешь, как это сделать.

 

Набор инструментов

Перед тем, как перейти непосредственно к описанию процесса восстановления,
диагностики и возвращения убитых файлов к жизни, считаю своим долгом ознакомить
тебя со списком используемых инструментов. Во-первых, нам понадобятся
инструменты для работы с файловыми системами (создание, проверка, получение
информации). Все они распространяются в трех пакетах:

1. dosfstools — утилиты для работы с файловыми системами типа FAT.
Пакет содержит всего две программы: mkfs.vfat (mkfs.dos) для создания файловой
системы и fsck.vfat (fsck.dos) для выполнения проверки файловой системы.

2. ufsutils — набор утилит для работы с UFS и производными (например,
FFS, используемой во FreeBSD). Содержит восемь утилит, включая mkfs.ufs,
fsck.ufs, tunefs.ufs (настройка ФС), growfs.ufs (изменение размера) и другие.

3. ntfsprogs — различные утилиты для работы с NTFS. Не содержит
программ для создания или полной проверки (базовая проверка возможна) файловой
системы, но включает в себя массу полезнейших инструментов, таких как ntfscp для
копирования файлов без монтирования раздела, «реинкарнатор» файлов ntfsundelete,
утилита для изменения размера раздела ntfsresize, программа для клонирования
разделов ntfsclone и другие.

Также нам могут пригодиться инструменты для работы с разделами жесткого
диска. Есть три наиболее продвинутые программы такого типа:
parted,
предназначенная для создания разделов, изменения их размера, перемещения,
создания и проверки файловых систем;
gpart —
программа-восстановитель затертой таблицы разделов и
TestDisk —
аналог gpart с псевдо-графическим интерфейсом и несколькими полезными функциями.

Следует отметить, что parted — лишь хорошая обертка поверх описанных утилит
для работы с файловыми системами, поэтому почти все, что может parted, могут и
они. Причем вокруг самой parted есть и другая обертка, названная
gparted. Она
всего-навсего создает удобный графический GTK-интерфейс в стиле Partition Magic.

В пакете TestDisk ты найдешь утилиту PhotoRec, предназначенную для
восстановления различных типов файлов с раздела вне зависимости от используемой
файловой системы. Принцип ее работы заключается в поиске и восстановлении файлов
по их метаданным без анализа структуры файловой системы. PhotoRec способна
восстанавливать изображения (bmp, jpg, png, tiff, raf, raw, rdc, x3f, crw, ctg,
orf, mrw), аудио-файлы (wav, au, mp3, wma), видео-файлы (avi, mov, mpg), архивы
(bz2, tar, zip), документы (doc, pdf, html, rtf), файлы с исходниками программ (c,
pl, sh). Ряд программ такого же типа можно найти в пакете
Sleuth Kit, для которого
существует web-интерфейс autopsy.

 

Сценарии использования

В следующих разделах мы рассмотрим несколько распространенных сценариев
использования описанных утилит. Во-первых, это подробное описание процесса
восстановления файлов с использованием трех разных подходов, во-вторых, починка
файловых систем после сбоя, в-третьих, клонирование раздела на несколько машин,
в-четвертых, описание процесса переноса данных на раздел меньшего размера.

 

Кастим ressurection

Для оживления умерших файлов на NTFS предназначена уже упоминавшаяся
ntfsundelete из пакета ntfsprogs. Она очень проста в использовании и чрезвычайно
аккуратна. Если ты случайно потер файл и сразу же отмонтировал раздел, будь
уверен — ntfsundelete сможет вернуть его на место в целости и сохранности.

Для начала необходимо просмотреть список всех удаленных файлов:

# ntfsundelete /dev/sda1

В третьей колонке вывода будет указан процент сохранности файла. Если он
равен 100% — все ок, файл может быть возвращен к жизни целым и невредимым;
меньшее значение указывает на то, что какие-то его участки уже были затерты
новыми данными, поэтому после восстановления файл окажется, что называется,
битым. В некоторых случаях возможность восстановления даже наполовину убитого
файла может сделать погоду, пока же остановимся на полностью целых экземплярах.
Для этого выполним следующую команду:

# ntfsundelete -p 100 /dev/sda1

Ух, как же их много! Заставим программу вывести на экран только файлы,
удаленные за последние 2 дня:

# ntfsundelete /dev/sda1 -p 100 -t 2d

Так-то лучше. Восстановим файл, номер inode (первая колонка вывода) которого
равен 11172, в каталог /undeleted:

# ntfsundelete /dev/sda1 -u -i 11172 -d /undeleted

Файлы можно восстанавливать по маске:

# ntfsundelete /dev/sda1 -u -m "*.doc"

Фильтровать по длине:

# ntfsundelete /dev/hda1 -S 5k-6m

Или же ты можешь восстановить все удаленные файлы, а уже потом разобраться,
что к чему:

# ntfsundelete /dev/sda1 -u -m "*" -d /undeleted

Программа извлекает файлы со всеми атрибутами, включая имя и время создания.
Пользоваться ей одно удовольствие.

Для восстановления данных со всех остальных файловых систем, включая FAT, UFS,
EXT3, да и любых других, удобнее всего использовать PhotoRec. Запускаем
программу:

# photorec

В главном меню выбираем подопытное устройство (например, /dev/sda). Нажимаем
<Enter> и выбираем тип таблицы разделов (для писюков это Intel). Далее выбираем
раздел, а на следующем экране — тип файловой системы (ext2/ext3 или другая).
Задаем каталог, куда мы хотим поместить восстановленные файлы, и нажимаем «Y».
Каталог должен находиться на другом разделе/диске, иначе ты рискуешь усугубить
ситуацию, затерев удаленные файлы новыми данными.

Все, начался процесс восстановления, он может продлиться от 10 минут до
нескольких часов, в зависимости от «старости» файловой системы и количества
удаленных файлов. Ты можешь остановить процесс в любой момент, нажав <Ctrl-C>, и
возобновить его с места прерывания, вновь запустив PhotoRec.

В выбранном тобой каталоге ты найдешь массу подкаталогов с именами вроде
recup_dir.1, recup_dir.2, каждый из которых содержит большое количество файлов
разного типа. Имена PhotoRec не восстанавливает, поэтому придется повозиться с
разгребанием всей этой кучи.
У PhotoRec есть и другие недостатки:

  1. Достаточно часто он дает сбои, и файлы могут оказаться поврежденными,
    поэтому их следует проверять на «небитость» в обязательном порядке.
  2. Программа ищет файлы по шаблонам. Если ты удалил файл, формат которого
    не поддерживается PhotoRec — пиши пропало.

Поэтому в довесок к photorec необходимо иметь под рукой другие средства
анализа и восстановления утраченных данных. Лучшим на этом поприще считается
комплект утилит Sleuth Kit,
содержащий огромное количество самых разнообразных инструментов, которые любят
применять в своей работе различные службы по расследованию инцидентов взлома и
продвинутые системные администраторы. Мы далеки от этого, и нас интересуют
только две утилиты из всего комплекта: fls и icat, предназначенные для поиска и
извлечения файлов (как существующих, так и удаленных).

Просмотрим список удаленных файлов с помощью утилиты fls:

# fls -rd /dev/sdb1
r/r * 117: dsc0005.jpg
r/r * 119: dsc0006.jpg
r/r * 122: dsc0007.jpg
r/r * 125: dsc0008.jpg
r/r * 128: dsc0009.jpg

Флаг ‘-r’ заставляет программу рекурсивно проходить по всем каталогам, а ‘-d’
— показывать только удаленные файлы.

Скорее всего, листинг будет очень длинным, и к тому же будет содержать список
inode, которые уже были отданы другим файлам (строчка realloc в третьей
колонке), поэтому мы его отфильтруем и направим в less:

# fls -rd /dev/sda1 | grep -v '(realloc)' | less

В третьей колонке ты увидишь номера inode-файлов, а в четвертой — их имена.
Чтобы выдернуть файл из ФС, воспользуйся командой icat (флаг ‘-r’ предназначен
для восстановления удаленного файла):

# icat -r /dev/sda1 1023 > /home/vasya/tmp/my_file

Для восстановления всех файлов можно воспользоваться следующей командой:

# for i in `fls -rd /dev/sda1 | grep -v '(realloc)' |\
awk {'print $3'}|tr -d [:]`; do icat -r -f fat /dev/sdb1 $i >\
/home/vasya/tmp/inode-$i ;done

Если ты желаешь найти какой-то конкретный файл, то вывод fls можно просто «погрепать»:

# fls -rd /dev/sda1 | grep -v '(realloc)' | grep my_file.jpg

Замечательная особенность утилит Sleuth Kit состоит в том, что они используют
множество самых разнообразных методик поиска удаленных файлов и их частей. Это и
анализ управляющих структур файловой системы, и различные эвристические методы,
и сопоставление с шаблоном. Фактически, с помощью Sleuth Kit возможно вернуть к
жизни даже файлы, затертые на ext3 (притом, что сами разработчики ext3 говорят о
невозможности проведения такой операции).

 

Починка файловых систем

Починить поломавшуюся файловую систему очень просто. Достаточно
воспользоваться стандартными утилитами fsck.vfat (для файловых систем FAT12,
FAT16 и FAT32), fsck.ufs (для UFS, UFS2, FFS) и ntfsfix (для NTFS).

К сожалению, ntfsfix не способна полностью вылечить NTFS. Она лишь исправляет
некоторые из ее проблем и устанавливает флаг принудительной проверки файловой
системы, так что следующая перезагрузка в Windows повлечет за собой запуск
chkdsk для полной проверки ФС.

Используя виртуальную машину, мы можем избежать необходимости перезагрузки в
Windows. Для этого:

  1. Запускаем виртуальную машину и устанавливаем винду на виртуальный
    жесткий диск.
  2. Отмонтируем раздел, содержащий файловую систему NTFS.
  3. Запускаем виртуальную машину, в качестве первого жесткого диска которой
    указываем виртуальный диск с Windows, а второго — наш настоящий жесткий
    диск.
  4. С помощью стандартных средств Windows запускаем проверку NTFS-раздела.

 

Копирование разделов

Допустим, ты купил новый жесткий диск и хочешь перенести несколько разделов
со старого диска на новый. Если ты начнешь делать это стандартными методами,
через создание нового раздела и ручное копирование файлов, то рискнешь поиметь
массу проблем, связанных с кодировками имен файлов, специальными файлами,
защищенными файлами, да и потеряешь массу времени. Лучше воспользоваться методом
клонирования раздела.

Пользователи UNIX клонируют разделы с помощью стандартной утилиты dd, которую
можно применять в связке с любой файловой системой. Для этого на новом диске
создается раздел, идентичный по размерам источнику, и выполняется команда «dd if=раздел1
of=раздел2 bs=1m». Таким же образом можно скопировать и NTFS-раздел, но в пакете
ntfsprogs для этой цели есть более подходящая утилита.

Программа ntfsclone идентична по функциональности команде dd за исключением
двух особенностей. Во-первых, она не копирует незанятые участки файловой
системы, и перемещение происходит быстрее, а образ раздела (если ты создаешь
образ) занимает меньше места. Во-вторых, ntfsclone способна хранить образ в
специальном сжатом файле, который удобно передавать на другие машины.

Для клонирования раздела достаточно выполнить следующую команду:

# ntfsclone --overwrite /dev/hda1 /dev/hdb1

А для создания образа:

# ntfsclone --save-image --output backup.img /dev/hda1

Утилита ntfsclone особенно удобна, если ты решил скопировать установленный
Windows на целый парк других машин (учебный класс или офис). Для этого
достаточно установить Windows на одну машину и создать образ, который затем
можно выложить в шару и с помощью Linux LiveCD залить на другие машины. Чтобы
они смогли загружаться, придется также скопировать MBR-запись диска:

# sfdisk -d /dev/sda > /share/sda-sfdisk.dump
# dd if=/dev/sda bs=512 count=1 of=/share/sda-mbr.dump

А затем записать ее на диск всех машин:

# sfdisk /dev/sda < /share/sda-sfdisk.dump
# dd if=/share/sda-mbr.dump of=/dev/sda

 

Перенос данных

Что делать, если ты решил полностью перейти на Linux, но не хочешь
использовать различные ухищрения и ntfs-3g для доступа к своим старым данным,
расположенным на NTFS-разделе? Ведь этот раздел может занимать большую часть
диска, и нет никакой возможности просто скопировать его содержимое на новый
раздел, отформатированный в ext3/ext4. В этом случае тебе на помощь опять придут
утилиты из пакета ntfsprogs, а точнее одна из них — ntfsresize, которая позволит
копировать данные небольшими порциями в новую файловую систему с последующим
уменьшением размера NTFS-раздела и увеличением ext3/ext4-раздела. Для этого тебе
понадобится какой-нибудь LiveCD, содержащий ntfsprogs и e2fsprogs версии не ниже
1.41 (для поддержки ext4, если ты, конечно, собираешься переносить данные на
нее). Также очень желательно, чтобы LiveCD содержал свеженький gparted, потому
что изменять размер вручную трудно и опасно (кроме изменения размера самой ФС,
предстоит менять размер раздела с помощью fdisk, одна ошибка и всю операцию
придется начинать сначала).

Итак, загружаемся с LiveCD и монтируем разделы жесткого диска. Допустим, его
размер составляет 120 Гб. Из них 80 Гб — под завязку набитый NTFS-раздел, а
остальные 30 Гб (да, именно 30, после перевода маркетинговых гигабайт в
настоящие объем диска оказывается равным примерно 111 Гб) — это раздел с
установленным Linux, занятость которого составляет 5 Гб. Значит, наше «окно»
равно примерно 25 Гб. Перемещаем файлы с NTFS-раздела на ext3/ext4-раздел до тех
пор, пока их совокупный размер не станет равен размеру окна. В результате
последний оказывается полностью заполненным, а первый «худеет» на 25 Гб.
Отмонтируем оба раздела и запускаем gparted. Выбираем NTFS-раздел, жмем вторую
кнопку мыши, выбираем Resize/Move и уменьшаем раздел на размер окна, выбираем
ext3/ext4-раздел и увеличиваем его на тот же размер окна (раздел придется
сдвинуть к началу диска, а затем увеличить). Так мы получаем еще 25 Гб
освободившегося места, что позволит нам скопировать часть файлов, а затем вновь
изменить размер. Четыре таких прохода, и мы полностью удаляем NTFS-раздел, а
раздел ext3/ext4 расширяем на весь диск.

 

Выводы

Как ты смог убедиться, Linux умеет не только работать с множеством сторонних
файловых систем, но и оснащен массой утилит для их модификации, проведения
диагностики и выполнения других операций. Ты никогда не окажешься в безвыходной
ситуации, держа под рукой LiveCD на базе Linux, который как раз и является тем
самым Святым Граалем любого системного администратора и пользователя.

 

WWW

foremost.sourceforge.net — Foremost, еще одна популярная программа для
восстановления файлов по шаблонам.

www.sysresccd.org —
System Rescue CD содержит все упомянутые в статье программы.

Как восстановить главную таблицу файлов (Master File Table) — Starus Recovery

В предыдущих статьях мы неоднократно затрагивали тему повреждений HDD. Но что случится, если эти повреждения приобретут массовый характер во всего лишь одном накопителе? Такое развитие событий приведет к неизбежному сбою главной таблицы файлов диска и ряду других неприятных последствий.


Содержание статьи:


Что такое главная таблица файлов?

Главная или Общая таблица файлов диска (Master File Table, MFT) — документ, хранящийся исключительно в файловой системе NTFS. Он является важнейшим винтиком в механизме работы данной системы, поскольку хранит в себе такую информацию как размер, дату и время записи, содержимое файлов.

Любой документ, загружаемый в NTFS, будет записан и в MFT. В случае удаления, файловое пространство будет помечено как свободное и находящееся в ожидании дальнейшей перезаписи. Если же главная таблица файлов была повреждена, все документы в разделе NTFS станут недоступными.

Симптомы повреждения

Как и в случае с любой другой ошибкой, повреждения MFT также не проходят бесследно. Они проявляются следующим образом:

Вы пытаетесь получить доступ к поврежденному накопителю и вместо привычных глазу файлов видите сообщение “Неверный параметр” или “Файл или каталог повреждены и не читаются”.

Большинство руководств, которые вы найдете на просторах интернета предлагают одно единственное решение для сложившейся ситуации — использование утилиты CHKDSK. Несмотря на ее эффективность в работе с рядом других ошибок, с MFT, к сожалению, она работает далеко не всегда. Причиной тому является степень поврежденности диска. Если главная таблица раздела пострадала слишком сильно, процесс работы CHKDSK будет досрочно прерван со следующим сообщением:

The type of the file system is NTFS.


Volume label Work Folder.


Corrupt master file table. Windows will attempt to recover master file table from disk.


Windows cannot recover master file table. CHKDSK aborted.

Примечание:

Volume label (метка тома) — это название диска, которое в вашем случае может отличаться.

Причины ошибки

В большинстве случаев, повреждение раздела NTFS смело свидетельствует о наличии сбоя главной таблицы файлов. Причин, способных спровоцировать возникновение неполадки, существует множество, но мы разберем самые основные:

  • Сбой в работе операционной системы. Например, BSOD (синий экран смерти).
  • Вирус, предназначенный для повреждения MFT.
  • Неправильное извлечение диска (вы могли отключить его в момент неполного завершения работы компьютера).
  • Сбой приложения.
  • Наличие битых секторов.

Вне зависимости от причины возникновения неполадки, всегда есть шанс на восстановление диска и данных на нем. Каждая из приведенных ниже инструкций позволит своей простотой существенно сэкономить ваше личное время с большой долей вероятности вернуть HDD к жизни. Приступим!

Приложение Starus Partition Recovery для восстановления данных
после повреждения главной таблицы файлов

Если ни один из упомянутых в статье способов не помог вам справиться с ошибкой MFT, существует вероятность наличия действительно серьезного повреждения. При таких обстоятельствах, возможно, у вас не останется другого варианта, кроме как заменить старый диск на новый.

Однако прежде чем выкидывать ненужное устройство, рекомендуем попробовать восстановить с него необходимые вам ценные данные.

 

Starus Partition Recovery — приложение, разработанное специально для восстановления файлов в тяжелых условиях поврежденных дисков, когда другие программы теряют свою эффективность. Наличие функции глубокого сканирования позволит вам провести низкоуровневый анализ каждого отдельного сектора HDD, а удобный интерфейс поможет разобраться в процессе работы за считанные секунды. Это позволит в существенной мере сэкономить личное время, избежав необходимости чтения длинных мануалов по взаимодействию с софтом.

 

Руководство по восстановлению данных:

1. Запустите приложение Starus Partition Recovery.

2. Выберите логический раздел или физический диск, с которым предстоит работать.

3. Выберите тип анализа.

4. Дождитесь завершения сканирования.

5. Выделите нужные файлы и нажмите клавишу Восстановить.

6. Выберите наиболее удобный вам тип экспорта данных.

Готово!

Примечание:

Ни при каких обстоятельствах не экспортируйте данные на диск с которого вы их восстанавливаете. Это может привести к перезаписи информации и ее перманентной потере.

Восстановление поврежденной таблицы файлов

Дефрагментация диска

В некоторых случаях причиной отказа работы MFT и, как следствие, всей системы NTFS является чрезмерное фрагментирование диска. Решить этот вопрос можно следующим образом:

1. Откройте Мой компьютер.

2. Щелкните правой кнопкой по логическому разделу или физическому диску, с которым предстоит работать, и перейдите в Свойства.

3. Откройте раздел Сервис и нажмите клавишу Оптимизировать.

4. Проанализируйте и оптимизируйте устройство.

Готово!

Переустановка диска

 

Иногда сбой MFT может возникать вследствие некорректной установки разных приложений. В данной ситуации оптимальным решением для вас станет переустановка раздела диска.

Примечание:

Ни при каких обстоятельствах не используйте данный способ относительно системного раздела.

1. Щелкните правой кнопкой по иконке Мой компьютер и выберите параметр Управление.

2. Откройте Диспетчер устройств.

3. Разверните список Дисковые устройства.

4. Щелкните правой кнопкой мыши по нужному диску и нажмите Удалить устройство.

5. Щелкните правой кнопкой мыши по списку Дисковые устройства и нажмите Обновить конфигурацию оборудования.

6. Перезапустите компьютер.

Готово!

Использование утилиты CHKDSK

CHKDSK по праву является одной из популярнейших утилит по работе с дисками. В ее функционал входит 38 различных команд, позволяющих пользователю реализовать гибкое взаимодействие со всеми подключенными устройствами.

Как восстановить MFT при помощи CHKDSK?

1. Запустите командную строку от имени администратора.

2. Введите команду chkdsk e: /r. Вместо e: введите букву вашего диска.

3. Нажмите Enter и запустите процесс сканирования, восстановления.

Готово!

Форматирование диска

Как мы уже разобрали выше, главная таблица файлов является неотъемлемой частью файловой системы диска. Это подводит к тому, что в ряде случаев можно применить привычное нам форматирование устройства, решив при этом все вопросы с возникшей неполадкой.

1. Откройте Мой компьютер.

2. Щелкните правой кнопкой мыши по устройству, с которым предстоит работать, и выберите параметр Форматировать.

3. Воспользуйтесь быстрым или, по желанию, полным форматированием диска.

Надеемся, статья оказалась для вас полезной и помогла найти ответы на поставленные вопросы.

 


Похожие статьи про восстановление данных:

Дата:

Теги: HDD, Windows, Жесткий диск, Как восстановить, Поврежденный диск

Восстановление NTFS — Отформатирование и восстановление дисков NTFS

Не говори «Со мной этого никогда не случится». Такое случается с каждым пользователем ПК один раз. Но не стоит паниковать. Будьте готовы, и у вас будет шанс вернуть свои данные. Если файлы не уничтожены физически, их можно восстановить с помощью DiskInternals NTFS Recovery!

О файловой системе NTFS

Файловая система NTFS становится все более популярной среди файловых систем. И это не случайно, потому что NTFS очень безопасна, с ней легко работать и она намного производительнее своих аналогов.Эта файловая система имеет множество расширений; например, с помощью ACL вы можете контролировать доступ к данным. Кроме того, есть поддержка Unicode, больших файлов и т.д.

Несмотря на все эти преимущества, файловые системы NTFS могут быть повреждены. К счастью, восстановление файлов NTFS возможно.

Восстановление и деформатирование данных

NTFS Recovery — это полностью автоматическая утилита, которая восстанавливает данные с поврежденных или отформатированных дисков. Он разработан для домашнего пользователя. Вам не нужно иметь никаких специальных знаний о восстановлении дисков.

DiskInternals NTFS Recovery — запустить пробную версию

DiskInternals NTFS Recovery — окно мастера восстановления диска

Значок «Корзина» на рабочем столе Windows позволяет восстановить удаленные файлы . К сожалению, есть много возможных ситуаций, когда корзина бесполезна. Всего несколько примеров:

  • Том диска, содержащий ценную информацию, был поврежден из-за сбоя системы
  • Том диска поврежден опасным вирусом
  • Windows не может получить доступ к диску
  • Диск был поврежден
  • Вы по ошибке отформатировали том диска
  • Файлы или папки не читаются
  • Поврежденная или поврежденная таблица разделов.

Ваши данные полностью теряются только в случае их перезаписи другими файлами. Windows 10, 8 и Windows 7, XP и другие современные операционные системы от Microsoft, все используют NTFS (вам не нужно понимать аббревиатуру, чтобы ее использовать, верно?) NTFS — это расширенное форматирование диска, которое имеет множество полезных функций, включая способы восстановить потерянные данные. DiskInternals NTFS Recovery — это удобный инструмент, который использует функции NTFS, позволяя восстанавливать файлы с поврежденных томов NTFS или даже целые тома в случае их потери или непреднамеренного форматирования.

Преимущества восстановления NTFS

NTFS Recovery может выполнять тщательный поиск в широком диапазоне форматов файлов:

  • Презентации и документы (PPT, PPTX, RTF, PDF, DOC, DOCX)
  • Таблицы и диаграммы (XLS, XLSX)
  • Фотографии, изображения и картинки (GIF, JPEG, PNG, PSD)
  • Видео, а также музыка (MPG, MP3, AVI, DAT, MKV).

Пользователь может сканировать не только жесткие диски и SSD, но и любые съемные носители с файловой системой NTFS.Это могут быть диски любого размера и любого производителя, разницы нет: приложение NTFS Recovery прекрасно подойдет!

Восстановление данных NTFS

Вы можете случайно удалить любой системный файл, и это будет фатальной ошибкой для вас и файловой системы NTFS. Вирус может безжалостно повредить системные файлы. Есть много способов справиться с такими событиями, но вот как выполнить восстановление файлов NTFS: используйте специальное профессиональное программное обеспечение. А чтобы не тратить время на поиски такого софта в Интернете, воспользуйтесь DiskInternals NTFS Recovery.

Эта программа поддерживает все версии Windows и восстанавливает файлы абсолютно любого типа и размера. С помощью этого программного обеспечения вы быстро и точно выполните восстановление файлов NTFS. Он может справиться с типом проблемы и имеет все необходимое!

DiskInternals NTFS Recovery разработан для домашних пользователей. Как восстановить данные для файловых систем NTFS? Вам не нужно иметь никаких специальных знаний о восстановлении дисков. Процесс восстановления полностью автоматизирован и надежен.Например, программа не позволит вам еще больше повредить ваши данные, восстанавливая файлы на том же диске.

DiskInternals NTFS Recovery — это ваш последний шанс сэкономить месяцы работы или гигабайты ваших бесценных фотографий, писем и других ценных файлов. Это поможет вам даже в тех случаях, когда ваш диск недоступен из Windows, диск был поврежден, файлы или папки не читаются и многое другое.

DiskInternals NTFS Recovery поддерживает следующие файловые системы — NTFS, NTFS4, NTFS5.

Попробуйте прямо сейчас. Вы можете бесплатно загрузить полнофункциональную пробную версию DiskInternals NTFS Recovery.

Восстановление данных для файлов NTFS

Воспользуйтесь этим подробным руководством по DiskInternals NTFS Recovery, чтобы работать с приложением стало еще проще.

Шаг 1. Загрузите и установите DiskInternals NTFS Recovery.

Настройка DiskInternals NTFS Recovery

Шаг 2. Запустите Мастер восстановления, щелкнув соответствующий значок левой кнопкой мыши.Затем вам будет предложено выбрать тип файлов для восстановления, но вы можете пропустить это действие, если оно не критично.

DiskInternals NTFS Recovery — выберите файлы для восстановления.

Шаг 3. Сканирование. Этот процесс может занять некоторое время, поэтому расслабьтесь и не волнуйтесь.

Шаг 4. Предварительный просмотр потерянных данных.

DiskInternals NTFS Recovery — все восстанавливаемые файлы отмечены красным крестиком

Просмотрите удаленные файлы, щелкнув их правой кнопкой мыши и выбрав «Предварительный просмотр в новом окне».

DiskInternals NTFS Recovery — шаг 1 — вы можете предварительно просмотреть содержимое любого файла

DiskInternals NTFS Recovery — как предварительно просмотреть содержимое файлов

Шаг 5. Сохранение файлов.

Вам просто нужно купить лицензию DiskInternals NTFS Recovery. Вы получите лицензионный ключ, который необходимо ввести в соответствующее окно. Теперь выберите место для сохранения восстановленных данных и нажмите кнопку «Сохранить».

Как видите, восстановить файлы NTFS легко с помощью соответствующего программного обеспечения.

Часто задаваемые вопросы

Восстановление разделов, RAID и EFS

NTFS Recovery является частью восстановления разделов и восстановления RAID. EFS Recovery следует использовать для восстановления зашифрованных файлов и папок. В случае повреждения из-за программных и аппаратных сбоев диски VMware, простой способ восстановить информацию — это VMFS Recovery ™.

.

Резервное копирование и восстановление разрешений NTFS

Администратору может быть сложно справиться с набором разрешений NTFS. Утилита Microsoft SubInACL — это инструмент командной строки, который можно использовать для получения параметров безопасности файлов, ключей реестра и служб, а также для передачи этой информации от пользователя к пользователю, от группы к группе и от домена к домену.

Вот список функций, которые вы можете выполнять с помощью SubInACL:

  • Отображение информации о безопасности, связанной с файлами, разделами реестра или службами.Эта информация включает владельца, группу, ACL разрешений (список контроля доступа), DACL (дискреционный ACL) и SACL (системный ACL).
  • Сменить владельца объекта.
  • Замените информацию о безопасности для одного идентификатора (учетная запись, группа, общеизвестный SID (идентификатор безопасности)) на другой идентификатор.
  • Перенести информацию безопасности об объектах. Это полезно, если вы реорганизовали сетевые домены и вам необходимо перенести информацию о безопасности файлов из одного домена в другой.

Вы можете загрузить SubInACL с веб-сайта Microsoft.

SubInACL — мощный инструмент, поэтому было бы неплохо оценить, подходит ли он для вашей ситуации, прежде чем использовать его в действующей системе. Также рекомендуется использовать параметр / testmode для проверки изменений перед их внесением в действующую операционную систему.

Синтаксис SubInACL

  SUBINACL [/ option ...] / object_type / object_name [/ action [= / параметр] ...]
  
  • / опция — на выбор предлагается 18 вариантов, два из которых описаны в этом документе.Параметр / verbose указывает, сколько информации должно отображаться при выполнении. Помимо / noverbose, есть два уровня детализации на выбор (/ verbose = 1 и / verbose = 2). Уровень 2 (отображается большая часть информации) по умолчанию.

  • / object_type — Существует 13 типов объектов Windows. Доступные объекты: / service, / keyreg, / subkeyreg, / file, / subdirectories, / share и / printer, а также некоторые другие. Для этого параметра нет опции по умолчанию, и он необходим для выполнения./ имя_объекта — это имя объекта, тип которого указан в предыдущей переменной. Например, если это тип файлового объекта, это будет путь к файлу.

  • / действие указывает, что должен делать SubinACL. Действие по умолчанию — отобразить соответствующую информацию для указанного объекта. Параметры включают в себя, среди прочего, / display, / replace, / changedomain, / migratetodomain, / findid, / grant, / deny, / revoke, / accesscheck и / ifchangecontinue.

Чтобы получить более подробную информацию о SubInACL, введите следующую команду:

  SUBINACL / help / full
  

Резервное копирование NTFS с использованием SubInACL

Если вы тестируете различные возможные комбинации безопасности NTFS для папок или объектов, было бы хорошо иметь возможность восстановить систему до заведомо исправного состояния.

NTFSBKP — это пакетный сценарий для резервного копирования разрешений NTFS для папки или всего диска. Вы можете использовать этот сценарий для резервного копирования всего, прежде чем вносить какие-либо изменения.

Источник: Jerold Schulman International Inc. (JSI), Атланта, Джорджия,

Синтаксис сценария:

  NTFSBKP диск или папка папка назначения BKP | RST
  

BKP создает резервную копию настроек безопасности NTFS , в данном случае:

диск или папка — это имя диска или папки, разрешения для которых вы сохраняете; для резервного копирования ACL (списка управления доступом) для всего диска необходимо указать имя диска с двойной косой чертой (например, диск C: отображается как «C: \»)

папка назначения — это папка, в которую вы записываете информацию о разрешениях для резервного копирования.

RST восстанавливает настройки NTFS из предыдущей резервной копии; в данном случае:

диск или папка — это имя диска или папки, права доступа к которым вы восстанавливаете; чтобы восстановить ACL (список управления доступом) для всего диска, необходимо указать имя диска с двойной косой чертой (например, диск C: отображается как «C: \»)

папка назначения — это папка, которая содержит информацию о разрешениях для резервного копирования

Если вы хотите перенаправить результаты в файл, добавьте перенаправление:

  NTFSBKP папка-диск или папка назначения BKP | RST> output.текст
  

Полный список сценариев пакетной обработки приведен в Приложении к этому руководству.

Прочие сведения о NTFSBKP

  • Если вы создаете резервную копию разрешений для папки, а затем создаете в этой папке новые объекты с ненаследуемыми разрешениями, процесс восстановления не перезапишет ненаследуемые разрешения.

  • Вы можете использовать этот сценарий в многоязычных системах без проблем с совместимостью.

  • NTFSBKP хранит информацию о безопасности по имени, а не по SID (идентификатору безопасности).Предположим, у вас есть папка с разрешениями, явно заданными для пользователя A. Если вы создадите резервную копию этих разрешений для папки, а затем удалите пользователя A, операция восстановления не восстановит разрешения пользователя A. Однако, если вы создаете новую учетную запись (другой SID) с тем же именем (Пользователь A), эта учетная запись будет использоваться в качестве держателя разрешений для операции восстановления в этой папке.
    Сопоставляет хэш с местом хранения дескриптора безопасности в атрибуте $ SDS data.

  • Если соответствие для карты не найдено, NTFS назначает новый уникальный идентификатор безопасности дескриптору безопасности и добавляет новый идентификатор к атрибуту данных $ SDS.Когда запись ссылается на этот дескриптор безопасности в атрибуте данных $ SDS, NTFS добавляет соответствующие записи в индексы $ SDH и $ SII.

  • Записывает идентификатор безопасности, соответствующий дескриптору безопасности в атрибуте $ SDS, в атрибут $ STANDARD_INFORMATION файла или папки.

Когда NTFS ищет $ SDH, она ищет совпадения и для хэша, и для дескриптора безопасности.

Когда приложение пытается открыть файл или папку, происходит следующее:

  • NTFS считывает внутренний идентификатор безопасности для файла или папки из атрибута $ STANDARD_INFORMATION записи MFT.
  • В файле $ Secure NTFS открывает индекс $ SII и ищет соответствующий дескриптор безопасности для этого файла или папки.
  • Если NTFS находит дескриптор безопасности, она находит запись идентификатора безопасности в атрибуте SDS.
  • В атрибуте SDS смещение позволяет NTFS прочитать дескриптор безопасности и завершить проверку безопасности.

NTFS не удаляет записи в файле $ Secure, даже если ни один файл или каталог на томе не ссылается на запись.Тот факт, что NTFS добавляет только эти записи, не приводит к значительному уменьшению дискового пространства, поскольку большинство томов, даже если они используются в течение длительного времени, имеют относительно мало уникальных дескрипторов безопасности.

Два индекса безопасности

Записи в индексе $ SDH сопоставляют хэши дескриптора безопасности с местом хранения дескриптора безопасности в атрибуте данных $ SDS.

$ Secure: макет записи индекса $ SDH

.

$ Поле ввода SDH Описание
DataOffest Значение переменной смещения указывает положение базовой переменной в переменной области относительно начала области.
Длина данных Размер строки данных.
Зарезервировано ForZero Заполнение нулями.
Индекс Длина входа Размер элемента указателя.
Длина ключа Размер ключа индекса.
Флаги Аргументы, определяющие тип информации о безопасности.
Подушка Padding, чтобы помочь с выравниванием полей.
KeyHash Ключ: Хеш описания ценной бумаги
KeySecurityId Ключ: SecurityID, присвоенный дескриптору
Хэш Данные: Хэш дескриптора безопасности
SecurityID Данные: идентификатор безопасности, назначенный дескриптору
Offset_in_SDS Данные: смещение дескриптора безопасности в потоке данных $ SDS
Размер_в_SDS Данные: Размер дескриптора в потоке данных $ SDS
Зарезервировано_II Данные: заполнение — всегда Unicode «II»

$ Secure: макет записи индекса $ SII

Ключ

.

.

Поле ввода индекса $ SII Описание
DataOffset Смещение к данным.
Длина данных Размер данных.
Зарезервировано ForZero Заполнение нулями.
Индекс Длина входа Размер ключа индекса.
Флаги Аргументы, определяющие тип информации о безопасности.
Подушка Padding, чтобы помочь с выравниванием полей.
KeySecurityId : идентификатор безопасности, присвоенный дескриптору
Хэш Данные: Хэш дескриптора безопасности
SecurityID Данные: идентификатор безопасности, назначенный дескриптору
Offset_in_SDS Данные: смещение дескриптора безопасности в потоке данных $ SDS
Размер_в_SDS Данные: Размер дескриптора в потоке данных $ SDS

.

Как создать резервную копию и восстановить NTFS и разрешения на общий доступ — статьи TechNet — США (английский)

Эта тема изначально была размещена в
Блог AskDS и добавлен в вики
разрешить редактирование сообществом.

Эта тема — это , как это сделать.
Сделайте это как можно более простым и понятным. Избегайте спекулятивных дискуссий, а также углубляйтесь в основные механизмы или связанные технологии.

Время от времени нас спрашивают, как сделать резервную копию и восстановить разрешения файловой системы NTFS, а также разрешения общего сетевого ресурса. Статья в базе знаний
125996 говорит о сетевом ресурсе, но не о разрешениях NTFS.

Одна вещь, которая упростила работу с разрешениями NTFS, — это
Инструмент icacls. Icacls был разработан для Windows Vista в качестве замены таких инструментов, как
Cacls,
Xcacls и Xcacls.vbs.Он также был включен в Service Pack 2 для Windows Server 2003 и Windows Server 2008.

Резервное копирование и восстановление разрешений для общих ресурсов

Для резервного копирования разрешений общего доступа экспортируйте раздел реестра Shares .

  1. Откройте Regedit в следующее расположение:

    HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Shares

  2. Щелкните правой кнопкой мыши раздел реестра Shares и выберите Export .Дайте ему имя файла, например
    shareperms.reg .

Если вы хотите восстановить разрешения, дважды щелкните shareperms.reg , чтобы импортировать его обратно в реестр.

Используйте инструмент Reg для резервного копирования раздела реестра из командной строки:

reg экспорт HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Shares shareperms.reg

Если вам понадобится восстановить его в какой-то момент, просто запустите:

рег. Импортных сухопутных растений.рег

Резервное копирование и восстановление разрешений NTFS

Используйте эту команду для резервного копирования разрешений NTFS:

icacls d: \ data / save ntfsperms.txt / t / c

Коммутатор / T также позволяет получать разрешения для вложенных папок. В
Переключатель / C позволяет продолжить работу даже при обнаружении ошибок (хотя ошибки все равно будут отображаться).

Используйте эту команду, чтобы восстановить их:

icacls d: \ / restore ntfsperms.txt

Обратите внимание, что в команде для сохранения разрешений я указал целевую папку
D: \ Data , но когда я их восстановил, я указал только D: \ в качестве цели. Icacls немного напуган, и вот почему.

Если вы откроете текстовый файл с экспортированными разрешениями ( ntfsperms.txt в приведенном выше примере), вы увидите, что Icacls использует относительные пути (выделены жирным шрифтом ниже). Под относительными путями находятся разрешения для папок в дескрипторе безопасности.
Формат языка определения (SDDL).

данные
D: AI (A; ID; FA ;;; BA) (A; OICIIOID; GA ;;; BA) (A; ID; FA ;;; SY) (A; OICIIOID; GA ;;; SY) (A; OICIID; 0x1200a9 ;;; BU) (A; ID; 0x1301bf ;;; AU) (A; OICIIOID; SDGXGWGR ;;; AU)

данные \ папка1

D: AI (A; ID; FA ;;; BA) (A; OICIIOID; GA ;;; BA) (A; ID; FA ;;; SY) (A; OICIIOID; GA ;;; SY) ( A; OICIID; 0x1200a9 ;;; BU) (A; ID; 0x1301bf ;;; AU) (A; OICIIOID; SDGXGWGR ;;; AU)

данные \ папка2

D: AI (A; ID; FA ;;; BA) (A; OICIIOID; GA ;;; BA) (A; ID; FA ;;; SY) (A; OICIIOID; GA ;;; SY) ( A; OICIID; 0x1200a9 ;;; BU) (A; ID; 0x1301bf ;;; AU) (A; OICIIOID; SDGXGWGR ;;; AU)

Если бы я указал D: \ Data в команде для восстановления разрешений, поиск
D: \ Data \ Data папка:

D: \> icacls d: \ data / восстановить perms.текст

d: \ data \ data: система не может найти указанный файл .
Успешно обработано 0 файлов; Ошибка обработки 1 файла

Вы можете подумать, что указание D: \ в качестве цели в команде восстановления может каким-то образом испортить разрешения для других папок на этом уровне, но, как вы можете видеть из
ntfsperms.txt выходной файл, он содержит информацию только о
Папка и подпапки Data
, так что это все, что нужно изменить.

.

Как преобразовать RAW-диск в NTFS и восстановить его данные?

Прочтите эту статью, чтобы узнать, почему диск превращается в RAW, как вы можете преобразовать его в NTFS. Как восстановить доступ к RAW диску и как восстановить информацию с такого диска. Определяется ли файловая система диска как RAW? Хотите восстановить раздел NTFS после потери данных? У вас есть проблемы с форматированием диска в файловую систему NTFS? Вы ищете приложение для преобразования RAW в NTFS? Ответы на эти и другие вопросы вы найдете в нашей статье.

Содержание:

  • Способы восстановления доступа к диску RAW
  • 1. Проверьте состояние кабелей или разъемов
  • 2. Измените настройки безопасности в свойствах раздела
  • 3. Измените настройки безопасности в свойствах раздела.
  • 4. Преобразуйте RAW в файловую систему NTFS путем форматирования диска.
  • 5. Восстановление файлов с дисков RAW с помощью ПО для восстановления данных
  • Заключение
  • Открытие диска и обнаружение пустого нераспределенного пространства вместо ваших данных может стать отчаянным и ужасным опытом — большинство пользователей склонны считать, что вся их информация потеряна навсегда.Такая ситуация очень неприятная, но отнюдь не критическая. Все данные в таком запоминающем устройстве все еще там, но система не может определить внутреннюю структуру диска и предоставить вам доступ к данным. Однако вы можете исправить формат файловой системы (показанный как RAW ) и вернуть его в исходное состояние и, таким образом, вернуть свои данные. В этой статье мы рассмотрим основные семь причин этой проблемы и предложим вам несколько способов ее решения.

    Что такое RAW сам по себе

    Прежде чем мы перейдем к описанию причин, по которым ваше устройство хранения данных превращается в формат RAW и поиску возможных выходов, давайте попытаемся подробно объяснить ситуацию.

    Понятие RAW предназначено для обозначения файловой системы тома, который не может быть идентифицирован (том является частью долговременной памяти компьютера, рассматриваемой как единая унифицированная область хранения для удобства использования).

    Каждый том или место для хранения имеет определенную файловую систему, представляющую определенный порядок и определяющую особый способ организации, хранения и отображения данных на устройствах хранения в компьютерах и других электронных устройствах.

    Ядро имеет встроенный системный компонент RAWFS, его основная функция — уведомлять любые приложения о размере тома и версии файловой системы, если они отправляют соответствующий запрос.Когда невозможно идентифицировать файловую систему, появляется индикация RAW . Другими словами, это означает, что имя файловой системы в разделе диска не может быть распознано по какой-либо причине ни одним из драйверов файловой системы, установленных и доступных в операционной системе Windows .

    На практике это означает, что раздел не отформатирован в определенном формате, структура файловой системы повреждена или существует причина, по которой внутреннее содержимое раздела (диска) становится недоступным.Далее мы перечислим основные причины, по которым некоторые разделы превращаются в RAW .
    .

    Семь основных причин, по которым возникает RAW

    Есть много признаков того, что раздел жесткого диска становится RAW формата . Как мы уже описывали в предыдущей части статьи, могут быть самые разные причины, по которым невозможно распознать имя файловой системы диска. Кроме того, операционная система может потребовать от вас выполнения определенных действий, прежде чем вы сможете использовать раздел диска, в котором файловая система отображается как RAW. Например, операционная система Windows показывает предупреждение об ошибке и предлагает выполнить следующее действие: Вам необходимо отформатировать диск в Диске…, прежде чем вы сможете его использовать. Вы хотите его отформатировать? В этом случае вы не сможете получить доступ к разделу диска и всей содержащейся на нем информации, пока не выполните требования операционной системы.

    В такой ситуации форматирование раздела может помочь вам избавиться от проблемы форматирования RAW .Однако этот процесс уничтожит все данные, хранящиеся в таком разделе. Поэтому предлагаем вам ознакомиться с основными причинами проблемы и полезными советами по их устранению без потери данных.

    Примечание : Иногда диск или другой носитель данных отображается в формате RAW , если их файловая система не поддерживается текущей версией операционной системы, установленной на вашем компьютере. В этом случае вам следует предпринять некоторые действия, чтобы открыть запоминающее устройство в операционной системе, для которой оно изначально предназначалось и которая поддерживает использование такой файловой системы.

    Ниже приведены семь возможных причин и несколько решений для каждой из них.

    1. Плохие секторы

    Если в ключевых областях жесткого диска есть поврежденные сектора (или блоки), такой диск определенно никогда не будет работать должным образом, что может повредить файловую систему и привести к тому, что он будет отображаться как RAW.

    2. Поврежденная структура файловой системы

    Основная основная причина ошибок и отображения разделов или целых дисков как RAW связана с надежностью файловой системы, которая может быть подорвана по ряду причин, помимо поврежденных секторов. .Следовательно, если файловая система содержит внутренние структурные повреждения, раздел может получить формат RAW .

    3. Поврежденная таблица разделов

    Следующей и не менее важной причиной проблем с форматом RAW в разделе диска, вероятно, является поврежденная таблица разделов. Например, неправильные значения в таблице MBR , которая содержит данные и фрагмент кода, а также специальные подписи, необходимые для правильной загрузки операционной системы, также могут вызвать эту проблему.

    4. Переустановка операционной системы Windows

    При обновлении старой операционной системы до более новой версии файловая система системного раздела также может быть изменена на новую версию файловой системы (например, может измениться с FAT на NTFS ). В этом случае файловая система может быть некорректно идентифицирована новой операционной системой, и в результате она будет отображаться как RAW.

    5. Атаки вирусов и вредоносных программ

    Одной из наиболее распространенных причин, по которой раздел диска отображается как принадлежащий файловой системе RAW , являются агрессивные действия вирусов или других вредоносных программ.Их злонамеренная атака может повредить часть таблицы разделов, которая указывает начало и конец раздела и содержит другие дополнительные данные, или изменить / удалить важные настройки жесткого диска. В результате будет невозможно определить границы поврежденного раздела и его файловую систему, и это приведет к тому, что раздел диска, атакованный вредоносным ПО, будет отображаться как RAW при обращении к нему компьютером.

    6. Поврежденные кабели или разъемы

    Иногда жесткий диск или запоминающее устройство может отображаться как неопознанная файловая система RAW , если соединительный кабель поврежден или плохой контакт в разъеме.

    Обычно кабель жесткого диска выходит из строя в последнюю очередь, но не следует забывать, что это может быть одной из возможных причин, по которой система определяет диск как RAW. Это особенно актуально, когда произошел скачок напряжения или есть вероятность другого механического повреждения. В большинстве случаев могут возникнуть проблемы с разъемом, используемым для жесткого диска, который повреждается, если диск подключается и отключается очень часто, или если разъем имеет плохой контакт, недостаточный для правильного отображения и работы устройства хранения данных.

    7. Неправильные права доступа к диску

    Одной из возможных причин, по которой раздел получает формат RAW , могут быть неправильно настроенные параметры доступа, которые напрямую связаны с параметрами локальной политики безопасности. В результате операционная система может ограничить ваш доступ к разделу и отобразить его как область с неопознанной файловой системой.

    Способы восстановления доступа к диску RAW

    В зависимости от причин, по которым раздел или весь диск отображаются в формате RAW , вам необходимо выполнить определенную процедуру для устранения проблемы.Описанные ниже действия следует выполнять одно за другим, пока проблема с неправильно отображаемым диском не будет решена. После каждого шага проверяйте, устранена ли проблема, и переходите к следующему этапу, если результат по-прежнему отрицательный.

    1. Проверьте состояние кабелей или разъемов

    Если произошел скачок напряжения, проверьте кабели и разъемы на предмет возможных повреждений. Замените поврежденный кабель на исправный и снова проверьте диск. В противном случае подключите привод к другому разъему, который, как вы знаете, находится в хорошем рабочем состоянии, и повторите попытку.Этих действий может быть достаточно, чтобы решить проблему.

    2. Измените настройки безопасности в свойствах раздела.

    С точки зрения настройки прав доступа к разделу, вы можете изменить необходимые настройки безопасности в окне свойств раздела. Откройте проводник и найдите раздел или диск формата RAW . Щелкните его правой кнопкой мыши и откройте контекстное меню; из списка действий выберите Properties.

    В новом окне перейдите на вкладку Безопасность , где вы можете удалить ненужных пользователей и любые нежелательные коды, а также добавить локального пользователя для восстановления доступа к диску.

    3. Измените настройки безопасности в свойствах раздела

    Если по какой-то причине вы не можете разрешить доступ к нужному разделу, вы можете изменить настройки безопасности с помощью встроенного инструмента операционной системы — Local Security Policy. Вы можете открыть его окно несколькими способами. Например, нажмите кнопку Start в нижнем левом углу рабочего стола на панели задач , и откройте главное меню Windows . Перетащите ползунок вниз, пока не найдете строку Windows Administrative Tools. Щелкните по нему один раз и откройте контекстное меню. Из списка элементов системы выберите Local Security Policy.

    В открывшемся окне посмотрите на левую панель и выберите Local Policies , а на правой панели дважды щелкните Security Options или щелкните правой кнопкой мыши и выберите Open в контексте меню.

    На правой панели окон параметров безопасности вы увидите основные политики с настройками для каждой из них.С помощью ползунка прокрутите вниз и найдите политику Сетевой доступ: модель совместного использования и безопасности для локальных учетных записей. Дважды щелкните по нему, чтобы открыть свойства политики. В противном случае щелкните его правой кнопкой мыши и откройте контекстное меню, затем выберите Properties.

    В окне доступа к сети найдите вкладку Local Security Setting и в центральной ячейке откройте меню, чтобы изменить предыдущую настройку на Classic — локальные пользователи аутентифицируются как они сами.

    Затем нажмите Применить и ОК , чтобы изменения вступили в силу.

    4. Преобразование RAW в файловую систему NTFS путем форматирования диска

    Если операционная система идентифицирует диск при включении компьютера или подключении устройства хранения данных, всегда будет отображаться сообщение, предлагающее вам отформатируйте диск, чтобы восстановить доступ и установить правильную версию новой файловой системы. Если информация, хранящаяся на таком диске (обозначенном как RAW ) не важна, вы можете сразу нажать кнопку Форматировать диск и начать процесс настройки файловой системы.

    Однако, если информация важна, не спешите форматировать диск и перейдите к разделу 5 этой статьи, чтобы восстановить свои данные. Процесс форматирования не может полностью стереть информацию на диске RAW , но может затруднить последующее восстановление данных и уменьшить окончательное количество файлов, пригодных для дальнейшего использования.

    Если сообщение неактивно, вы можете отформатировать диск из приложения Disk Management . Есть много способов открыть это приложение.Например, щелкните правой кнопкой мыши кнопку Start на панели задач , или нажмите комбинацию клавиш Windows + X , чтобы открыть контекстное меню. Из списка выберите Disk Management для прямого доступа.

    В открывшемся окне щелкните правой кнопкой мыши диск RAW и выберите в меню Format .

    В новом окне установите параметры формата и нажмите ОК , чтобы начать процесс.

    Вы также можете отформатировать диск RAW из проводника Windows.Щелкните правой кнопкой мыши имя диска и откройте контекстное меню. Из списка доступных действий выберите Формат .

    Задайте необходимую файловую систему и другие параметры, если необходимо, и нажмите Запустить , чтобы начать процесс форматирования.

    Когда все закончится, ваш диск RAW будет иметь новую файловую систему и будет готов к дальнейшему использованию.

    5. Восстановление файлов с дисков RAW с помощью программного обеспечения для восстановления данных

    Если вы хотите сохранить все данные, находящиеся на диске RAW , вам придется использовать программное обеспечение для восстановления данных, способное выполнять такие операции.Одной из таких программ, пользующихся большой популярностью и высоко оцененной пользователями за отличные результаты в восстановлении утерянных данных, является Hetman Partition Recovery , разработанная Hetman Software . Она полностью удовлетворяет требованиям пользователя, когда речь идет о нераспознанном разделе RAW . , имеет удобный и простой интерфейс, очень похожий на интерфейс операционной системы Windows , прост в использовании и показывает очень хорошие результаты при восстановлении файлов.

    Важным преимуществом является то, что в программе реализована опция предварительного просмотра восстановленных файлов, чтобы пользователи могли просматривать, просматривать или прослушивать содержимое любых файлов, прежде чем они решат сохранить их. Такой подход помогает вам быть абсолютно уверенными в выборе и сохранении. лучшие версии восстановленных документов.

    Загрузите установочный файл для Hetman Partition Recovery с официального сайта компании и установите его на свой портативный или настольный компьютер.Процесс установки не займет много времени и довольно прост благодаря пошаговому мастеру. Следуйте инструкциям, и установка будет успешной.

    Откройте программу и найдите диск или раздел RAW .

    Дважды щелкните по нему и в открывшемся окне выберите необходимый тип анализа. Отметьте опцию Полный анализ для поиска любой доступной информации и восстановления файловой системы диска.

    После того, как вы закончите настройку сканирования, нажмите Далее и запустите процесс анализа и восстановления данных.В зависимости от степени повреждения файловой системы, размера диска и других обстоятельств процесс восстановления может занять от нескольких минут до нескольких часов. Для удобства пользователя процесс сканирования отображается в режиме реального времени.

    Когда все закончится, нажмите Завершить и перейдите в окно предварительного просмотра, чтобы выбрать восстановленные файлы и сохранить их. Нажимая на каждый файл, вы можете просмотреть его содержимое и выбрать наиболее подходящий.

    Выбрав все необходимые файлы, нажмите кнопку Recovery , оформленную в виде спасательного кольца и расположенную на главной ленте окна.

    Программа предложит вам выбрать один из следующих вариантов: сохранить файлы на жесткий диск, записать их на CD / DVD , создать виртуальный образ ISO или загрузить по FTP . В зависимости от ваших предпочтений или потребностей в определенный момент, отметьте опцию рядом с желаемым методом сохранения, а затем нажмите Далее , чтобы продолжить.

    В следующем окне отметьте необходимые дополнительные параметры, например, укажите путь для сохранения файлов или используйте предложенный вариант и нажмите Recovery.

    Теперь, когда вы восстановили все важные для вас файлы, вы можете отформатировать свой диск или раздел в NTFS для дальнейшего использования с помощью метода, описанного ранее в Части 4.

    Заключение

    Информация имеет первостепенное значение и требует безопасных методов хранения. Причины, по которым диск, содержащий важную информацию, может стать недоступным, могут быть самыми разными. Однако вы можете устранить почти все из них с помощью встроенных инструментов операционной системы Windows или стороннего программного обеспечения для восстановления данных, такого как Hetman Partition Recovery

    В этой статье мы рассмотрели основные причины появления жестких дисков. в формате RAW и основные способы решения этой проблемы.Если у вас есть какие-либо вопросы или вы хотите поделиться своим опытом решения таких проблем, оставьте свои комментарии, и мы обязательно на них ответим.

    .

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *