Книга построена на личном опыте автора и опыте специалистов фирмы ace - лидера отечественного винчестеровосстановления - описанные в ней методики известны только узкому кругу профессионалов и в доступной литературе до сих пор не публиковались.
| Вид материала | Книга |
- Москва Издательство "права человека", 1944.11kb.
- Ферейдун Батмангхелидж Вы не больны, у вас жажда, 2364.88kb.
- Глен Кун Азбука молитвы, 1906.73kb.
- Реферат. На главную страницу сайта, 456.34kb.
- Система личностных характеристик руководителя, 102.82kb.
- Любовь Николаевна Запольская была наделена неброской скромностью, и судьбе было угодно, 85.95kb.
- Книга самурая, 3634.72kb.
- Эффективная реклама недвижимости, 47.47kb.
- Положение о передовом педагогическом опыте, 113.59kb.
- Клуб садоводов – огородников «Живая земля», 2415.75kb.
les docteurs automatisés
автоматические "доктора"
Более убогой утилиты, чем ChkDsk – стандартный дисковый "доктор", входящий в штатный комплект поставки Windows, – по-видимому не придумать даже сценаристам из Голливуда. Система диагностики ошибок упрощена до минимума – доктор лишь информирует о факте их наличия, но отказывается говорить, что именно по его мнению повреждено и что он собирается лечить, поэтому последствия такого "врачевания" могут носить фатальный характер — ¡arda Troya!
Известно много случаев, когда ChkDsk залечивал до смерти полностью исправные разделы. С другой стороны, успешно проведенных операций восстановления на его счету намного больше. Обычно он используется неквалифицированными пользователями (и администраторами) для периодической проверки разделов и исправления мелких искажений файловой системы.
Рисунок 47 ChkDsk за работой
В мире UNIX проверка целостности файловой системы обычно осуществляется программой fsck (аналог chkdsk под Windows NT), представляющей собой консольную утилиту, практически лишенную пользовательского интерфейса и входящую в штатный комплект поставки любого дистрибьютива. Как и любое другое полностью автоматизированное средство она не только лечит, но, случается, что и калечит, так что пользоваться ей следует с большой осторожностью.
One of your disks needs to be checked for consistency. You
may cancel the disk check, but it is strongly recommended
that you continue.
Windows will now check the disk.
The VCN 0x9 of index $I30 in file 0x1a is inconsistence with
the VCN 0x0 stored inside the index buffer.
Correcting error in index $I30 for file 26.
The index bitmap $I30 in file 0x1a is incorrect.
Correcting error in index $I30 for file 26.
The down pointer of current index entry with length 0x70 is invalid.
0b 01 00 00 00 00 01 00 70 00 58 00 01 00 00 00 ........p.X.....
1a 00 00 00 00 00 01 00 00 c0 4c bb 5a 94 bf 01 ..........L.Z...
00 c0 4c bb 5a 94 bf 01 c0 3a 15 55 97 ea c4 01 ..L.Z....:.U....
f0 54 e1 71 7a ea c4 01 00 10 01 00 00 00 00 00 .T.qz...........
22 02 01 00 00 00 00 00 20 00 00 00 00 00 00 00 "....... .......
0b 03 63 00 5f 00 32 00 30 00 38 00 36 00 36 00 ..c._.2.0.8.6.6.
2e 00 6e 00 6c 00 73 00 ff ff ff ff ff ff ff ff ..n.l.s.........
1f 01 00 00 00 00 01 00 70 00 54 00 01 00 00 00 ........p.T.....
Sorting index $I30 in file 26.
Cleaning up minor inconsistencies on the drive.
CHKDSK is recovering lost files.
Recovering orphaned file c_037.nls (253) into directory file 26.
Recovering orphaned file c_10000.nls (254) into directory file 26.
Recovering orphaned file c_10079.nls (255) into directory file 26.
Recovering orphaned file c_1026.nls (256) into directory file 26.
Recovering orphaned file c_1250.nls (257) into directory file 26.
Recovering orphaned file c_1251.nls (258) into directory file 26.
Recovering orphaned file c_1252.nls (259) into directory file 26.
Recovering orphaned file c_1253.nls (260) into directory file 26.
Recovering orphaned file c_1254.nls (261) into directory file 26.
Recovering orphaned file c_1255.nls (262) into directory file 26.
Recovering orphaned file c_1256.nls (263) into directory file 26.
Recovering orphaned file c_1257.nls (264) into directory file 26.
Recovering orphaned file c_1258.nls (265) into directory file 26.
Recovering orphaned file c_20261.nls (266) into directory file 26.
Recovering orphaned file cryptext.dll (412) into directory file 26.
Recovering orphaned file ctl3dv2.dll (422) into directory file 26.
Recovering orphaned file ctype.nls (423) into directory file 26.
Recovering orphaned file CSRSRV.DLL (880) into directory file 26.
Recovering orphaned file cryptdll.dll (2206) into directory file 26.
Recovering orphaned file ctl3d32.dll (2441) into directory file 26.
Recovering orphaned file c_10007.nls (2882) into directory file 26.
Recovering orphaned file c_10017.nls (2883) into directory file 26.
Recovering orphaned file c_20127.nls (2916) into directory file 26.
Recovering orphaned file csseqchk.dll (4019) into directory file 26.
Recovering orphaned file cscript.exe (4335) into directory file 26.
Recovering orphaned file cscdll.dll (4661) into directory file 26.
Recovering orphaned file CRYPTDLG.DLL (5125) into directory file 26.
Recovering orphaned file cryptsvc.dll (5127) into directory file 26.
Recovering orphaned file cscui.dll (5136) into directory file 26.
Recovering orphaned file CSRSS.EXE (5144) into directory file 26.
Recovering orphaned file CVID32.QTC (17408) into directory file 26.
Recovering orphaned file c_10001.nls (19801) into directory file 26.
Recovering orphaned file c_20290.nls (19805) into directory file 26.
Recovering orphaned file c_20000.nls (19811) into directory file 26.
Recovering orphaned file CSH.DLL (21395) into directory file 26.
Recovering orphaned file CRYPT32.DLL (38161) into directory file 26.
Recovering orphaned file CRYPTNET.DLL (38162) into directory file 26.
Recovering orphaned file CRYPTUI.DLL (38260) into directory file 26.
Cleaning up 48 unused index entries from index $SII of file 0x9.
Cleaning up 48 unused index entries from index $SDH of file 0x9.
Cleaning up 48 unused security descriptors.
CHKDSK discovered free space marked as allocated in the
master file table (MFT) bitmap.
Correcting errors in the Volume Bitmap.
Windows has made corrections to the file system.
19543040 KB total disk space.
18318168 KB in 36008 files.
16604 KB in 1684 indexes.
0 KB in bad sectors.
124080 KB in use by the system.
65536 KB occupied by the log file.
1084188 KB available on disk.
4096 bytes in each allocation unit.
4885760 total allocation units on disk.
271047 allocation units available on disk.
Windows has finished checking your disk.
Please wait while your computer restarts.
28 Мая 2005
Восстановление потерянного файла NTMSJRNL (835) в файле каталога 4614.
Листинг 1 "протокол" лечения практически здорового диска с одной-единственной поверженной FILE RECORD, после лечения мыщъх не досчитался многих файлов
GetDataBack
Еще одна утилита от создателя Disk Explorer'а. Полная автоматизация и никакой ручной работы. Сканирует MFT и выводит все файлы, которые только удалось найти (включая удаленные), рассовывая их по директориям (при условии, что соответствующие индексы не повреждены). Если споткнется о BAD-сектор – вылетит не прощаясь. Зато поддерживает удаленное восстановление, создание образов дисков, и мощную систему поиска по файлам (дата/размер), но почему-то нет поиска по содержимому, что не есть хорошо. Допустим, вы хотите восстановить файл со своей диссертацией ключевые слова которой вам известны, а вот в каких секторах они располагаются – не ведомо. Тоже самое относится и к поиску файла записной книжки с телефоном приятеля. Néanmoins, для большинства рядовых задач по восстановлению, возможностей GetDataBack'а хватает с лихвой. Демонстрационную версию программы под NTFS можно раздобыть по адресу (me.org/gdbnt.zip). Она все показывает, но восстанавливать ничего не дает. Однако, позволяет открывать файлы ассоциированным с ними приложениями. Важно отметить, GetDataBack не является доктором, таким как NDD или ChkDsk. Она не лечит разделы, а всего лишь позволяет скопировать из них уцелевшие файлы.
Рисунок 48 внешний вид GetDataBack
DIY Recover
Продукт "жизнедеятельности" нидерландской фирмы с неоригинальным названием Data Recovery – замечательный полуавтоматический доктор с кучей настроек. Поддерживает динамические диски, позволяет задавать все параметры сканирования вручную. Надежен. Не зависает даже на сильно поврежденных томах. Правда, навигация по восстанавливаемому диску выполнена крайне неудобно (если не сказать – небрежно), что особенно хорошо заметно на больших дисках, содержащих миллионы файлов. Как и его concurrent – GetDataBack – он ничего не лечит, а лишь вытягивает уцелевшие данные из небытия. Тем не менее, я отношу DIY Recover к лучшим автоматизированным средствам восстановления из всех имеющихся в моем арсенале (не считая своих собственных утилит, которые пишутся на скорую руку для восстановления конкретного диска, после чего уходят в /dev/null, как и всякий фаст фуд). Демонстрационную копию программы можно найти по следующему адресу tarecovery.nl/~tkuurstra/downloads/Demo/iRecoverSetup.exe.
Рисунок 49 ползущая змейка DIY Recover'a
Easy Recovery Professional
Широко разрекламированная утилита от компании OnTrack Data Recovery (www.ontrack.com) – L'apparence est souvent trompeuse, Il ne fait pas juger de l'arbe par l'ecource, L'habit ne fait pas le moine, Il ne faut pas ne fier aux apperences, к тому же работающий полностью в автоматическом режиме, интеллектуальность которого находится на зачаточном уровне. Не рекомендуется для использования (ну разве что вы хотите восстановить только что отформатированный том на который еще ничего существенного не писалось).
Рисунок 50 EasyRecovery и полтораста мегабайт косметики
Stellarinfo Phoenix
Копания Stellarinfo (stellarinfo.com) выпустила утилиту "Phoenix", предназначенную для восстановления данных и поддерживающую практически все популярные файловые системы, которые только известны на сегодняшний день (и UFS в том числе).
Демонстрационную копию можно сказать по адресу arinfo.com/spb.exe. Обратите внимание на расширение файла. Это exe. Судя по графе "Platform Supported" он рассчитан на BSD. Ага, так он в BSD и запустится! Потребуется устанавливать в систему дополнительный винчестер с рабочей Windows и инсталлировать Phoenix поверх нее. Под Windows PE он работать отказывается… На Windows 2000 запускается, но при попытке анализа заведомо исправного раздела падает с воплем о критической ошибке. На других системах я его не проверял. Тем не менее, ссылку на файл все-таки даю. Во-первых, пусть все знают, что это за зверь и особых надеж на него не возлагают, а во-вторых, не исключено что у кого-то он все-таки сработает.
Рисунок 51 феникс собственной персоной
The Sleuth Kit
Бесплатно распространяемый комплект утилит для ручного восстановления файловой системы, который можно найти по адресу (hkit.org/), там же (hkit.org/sleuthkit/docs/ref_fs.phpl) лежит краткий how-to. Увы, чудес не бывает и вся методика восстановления сводится к сканированию свободного пространства на предмет поиска фрагментов с известным содержимым.
Foremost
Еще одна бесплатная утилита для восстановления удаленных файлов, основанная формате их заголовков на особенностях структуры. Естественно, она работает только с теми файлами, чье строение ей известно. Тем не менее, по сравнению с ее предшественницами это большой шаг вперед! Кстати говоря, утилита взаимодействует с файловой системой не напрямую, а обрабатывает файлы полученные командой dd или набором Sleuth Kit, благодаря чему она "поддерживает" все файловые системы. Последняя версия лежит на сервере sourceforge.net/
CrashUndo 2000
Утилита отечественного производства. Пожалуй, самый мощный восстановитель под NTFS из всех, что мне доводилось видеть. Работает даже с теми дисками, которые Windows наотрез отказывается монтировать. Использует минимум системной информации, реконструируя ссылочные структуры по их сигнатурам и восстанавливает файлы даже при значительных повреждениях MFT. Реконструирует дерево каталогов даже если одно или несколько ветвей, несущих материнские каталоги, оказываются разрушенными.
AnalizHD/DoctorHD
Еще две отечественные разработки. Предназначены для удаленного восстановления данных по Интернету в том случае, если поблизости от вас нет ни одной мало-мальски серьезной фирмы, специализирующейся на лечении HDD.
EraseUndo for NTFS
Восстанавливает удаленные файлы, которые еще не были физически затерты на диске.