Mam problem z odzyskaniem danych z ntfsa obecnie struktura dysku wygląda tak:
Problematyczna partycja to partycja NTFS na końcu dysku - /dev/sda4
Straciłem tablice partycji a to co jest wyżej to odbudowana tablica. Wszytkie partycje poza tą jedną dają się normalnie odczytać, po 2 dniach różnych prób i używania różnych narzedzi(głownie testdisk, parted, gparted, fdisk i cfdisk coś się w jej strukturze uszkodziło. Na początku był problem żeby testdisk w ogóle ja wykrył - nie dał rady bo partycja była między innymi przesuwana w prawo - testdisk przy skanowaniu wykrywał starą kopię.
Stworzyłem więc fdiskiem partycję zjmującą cały obszar - od partycji extended(sda) do końca dysku. Ten obszar wczytałem do hexedytora i wyszukałem wszytkie wystąpienia bootsectora NTFS (ciągu EB 52 90 'N' 'T' F' 'S').
Znalazłem dokładnie 10 wystąpień - 5 blisko początku , 5 blisko końca więc zakładam że połowa była boot sectorem a druga jego kopiami.
Spisałem sobie pierwsze 5 adresów i po kolei tworzyłem partycje o takim początku i końcu na końcu dysku. Za każdym razem sprawdzałem testdiskiem rezultat.
pierwszy adres: uszkodzny boot sector
drugi adres: testdisk wyświetlił zawartość - pustą partycje z system volume infortation
trzeci adres test disk wyświetlił wszystkie moje pliki
Wiedząc że 3 boot sector jest tym właściwym policzyłem na podstawie NTFS FAQ końcowy sektor partycji i zapisałem ponownie fdiskiem. Potem na tej partycji uruchomiłem testdisk i wybrałem opcje stworzenia backup bootsectora na podstawie głównego. Wszystko ok, testdisk dalej wyświetlał pliki razem z pełnym drzewem katalogów ale również informacje że zarówno MFT jak i MFT mirror są uszkodzone.
Obraz w pliku: offset_594260415_sector0-9.bin
Próbowałem policzyć położenie $MFT, jednak wychodzi mi poza pojemnością dysku(mogę się mylić), a wyszukjąc hexedytorem ciąg "FILE" znajduję go dopiero kilkadziesiąt tysięcy sektorów dalej od przyjętego początku partycji, a chwile przed nimi kolejny boot sector NTFS. Przyjmując ten bootsector za początek partycji testdisk znowu widzi tylko System Volume Information dodatkowo raportując:
Oprócz tego sam rozmiar partycji wg tego bootsectora jest znacznie mniejszy wykorzystane tylko 2 bajty - maks ~32MB przy 512 bajtowym sektorze a partycja ma ~15GB
obraz z tego punktu w pliku offset_594311119_sector0-49.bin
Skąd testdisk bierze informacje o nazwach plikow itp skoro sam wyświetla komunikat że obie MFT są uszkodzone ? I jak to naprawić bez kopiowania plików?
Nie wiem czy to ma jakieś znaczenie ale ta partycja to partycja recovery laptopa, wcześniej miała zmieniony typ partycji z NTFS na Compaq Diagnostics, gdy dzialała po zamianie typu stawała się widoczona i można było do niej zapisywać i odczytywać.
nusch@novopad:~$ fdisk -l -u /dev/sda
Disk /dev/sda: 320.1 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders, total 625142448 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0006e805
Device Boot Start End Blocks Id System
/dev/sda1 63 120005535 60002736+ 7 HPFS/NTFS
/dev/sda2 * 120005550 120101939 48195 83 Linux
/dev/sda3 120101940 594196155 237047108 5 Extended
/dev/sda4 594260415 625008815 15374200+ 7 HPFS/NTFS
/dev/sda5 120262590 211624244 45680827+ 83 Linux
/dev/sda6 211624308 220010174 4192933+ 82 Linux swap / Solaris
/dev/sda7 220010238 350008154 64998958+ 83 Linux
/dev/sda8 350008218 532988504 91490143+ 83 Linux
/dev/sda9 532988568 594196154 30603793+ 7 HPFS/NTFS
Problematyczna partycja to partycja NTFS na końcu dysku - /dev/sda4
Straciłem tablice partycji a to co jest wyżej to odbudowana tablica. Wszytkie partycje poza tą jedną dają się normalnie odczytać, po 2 dniach różnych prób i używania różnych narzedzi(głownie testdisk, parted, gparted, fdisk i cfdisk coś się w jej strukturze uszkodziło. Na początku był problem żeby testdisk w ogóle ja wykrył - nie dał rady bo partycja była między innymi przesuwana w prawo - testdisk przy skanowaniu wykrywał starą kopię.
Stworzyłem więc fdiskiem partycję zjmującą cały obszar - od partycji extended(sda) do końca dysku. Ten obszar wczytałem do hexedytora i wyszukałem wszytkie wystąpienia bootsectora NTFS (ciągu EB 52 90 'N' 'T' F' 'S').
Znalazłem dokładnie 10 wystąpień - 5 blisko początku , 5 blisko końca więc zakładam że połowa była boot sectorem a druga jego kopiami.
Spisałem sobie pierwsze 5 adresów i po kolei tworzyłem partycje o takim początku i końcu na końcu dysku. Za każdym razem sprawdzałem testdiskiem rezultat.
pierwszy adres: uszkodzny boot sector
drugi adres: testdisk wyświetlił zawartość - pustą partycje z system volume infortation
trzeci adres test disk wyświetlił wszystkie moje pliki
Wiedząc że 3 boot sector jest tym właściwym policzyłem na podstawie NTFS FAQ końcowy sektor partycji i zapisałem ponownie fdiskiem. Potem na tej partycji uruchomiłem testdisk i wybrałem opcje stworzenia backup bootsectora na podstawie głównego. Wszystko ok, testdisk dalej wyświetlał pliki razem z pełnym drzewem katalogów ale również informacje że zarówno MFT jak i MFT mirror są uszkodzone.
Obraz w pliku: offset_594260415_sector0-9.bin
Próbowałem policzyć położenie $MFT, jednak wychodzi mi poza pojemnością dysku(mogę się mylić), a wyszukjąc hexedytorem ciąg "FILE" znajduję go dopiero kilkadziesiąt tysięcy sektorów dalej od przyjętego początku partycji, a chwile przed nimi kolejny boot sector NTFS. Przyjmując ten bootsector za początek partycji testdisk znowu widzi tylko System Volume Information dodatkowo raportując:
Disk /dev/sda - 320 GB / 298 GiB - CHS 38914 255 63
Partition Start End Size in sectors
4 P HPFS - NTFS 36994 39 53 38913 80 63 30831329 [Boot]
Boot sector
Warning: Incorrect number of heads/cylinder 16 (NTFS) != 255 (HD)
Warning: Incorrect number of sectors per track 2 (NTFS) != 63 (HD)
Status: OK
Backup boot sector
Status: OK
Oprócz tego sam rozmiar partycji wg tego bootsectora jest znacznie mniejszy wykorzystane tylko 2 bajty - maks ~32MB przy 512 bajtowym sektorze a partycja ma ~15GB
obraz z tego punktu w pliku offset_594311119_sector0-49.bin
Skąd testdisk bierze informacje o nazwach plikow itp skoro sam wyświetla komunikat że obie MFT są uszkodzone ? I jak to naprawić bez kopiowania plików?
Nie wiem czy to ma jakieś znaczenie ale ta partycja to partycja recovery laptopa, wcześniej miała zmieniony typ partycji z NTFS na Compaq Diagnostics, gdy dzialała po zamianie typu stawała się widoczona i można było do niej zapisywać i odczytywać.
