Przywracanie partycji NTFS z RAW w dysku zewnętrznym USB po odłączeniu zasilania

Z góry przepraszam za nowy post o podobnej tematyce, ale przeglądając pozostałe nie bardzo mogę znaleźć rozwiązania dla siebie.
Dysk utracił tablice partycji prawdopodobnie przy wyjęciu przewodu USB z gniazda bez bezpiecznego usunięcia sprzętu.
Jest to dysk wyjęty z laptopa i użytkowany teraz jako zewnętrzny. Posiadał dwie partycje z plikami "I" i "J".
Po otworzeniu vol01 i vol02 struktura plików jest poprawna i możliwa do odzyskania (poszczególne pliki).
Moje pytanie i prośba o pomoc w przywróceniu struktury partycji, jeśli taka możliwość istnieje po analizie poniższych danych.
Z góry dziękuję i jednocześnie prośba do Admina o stworzenie może tutoriala w FAQ dla potomności.


Skany z DMDE:

Załącz w pliku te uszkodzone sektory - fragmenty $MFT (3 pliki : 1 - sektory 7010304 - 7010313, 2 - sektory 7015370 - 7015377, 3 - sektory 775116800 - 775116809). Powinny być do naprawienia. Dysk nie utracił tablicy partycji a uszkodzone jest $MFT.

EDIT: Nie ma tutoriala. Trzeba wiedzieć co jest uszkodzone i co zmienić. Nie każdy przypadek jest taki sam. U Ciebie uszkodzone są 3 z 4 rekordów klastra 0 $MFT w obu przypadkach i jeszcze dwa rekordy. Nie wiadomo, czy uszkodzeń nie jest więcej.

[/url]

mati211p napisał:

Załącz w pliku te uszkodzone sektory - fragmenty $MFT (3 pliki : 1 - sektory 7010304 - 7010313, 2 - sektory 7015370 - 7015377, 3 - sektory 775116800 - 775116809). Powinny być do naprawienia. Dysk nie utracił tablicy partycji a uszkodzone jest $MFT.

EDIT: Nie ma tutoriala. Trzeba wiedzieć co jest uszkodzone i co zmienić. Nie każdy przypadek jest taki sam. U Ciebie uszkodzone są 3 z 4 rekordów klastra 0 $MFT w obu przypadkach i jeszcze dwa rekordy. Nie wiadomo, czy uszkodzeń nie jest więcej.

Która operacja w DMDE - kopiuj sektory? (konkretne)
Dziękuję bardzo, za Supeeer Express w odpowiedzi!

Na marginesie.
Przyglądając się oknu z partycjami skąd ich aż tyle! A w dodatku jeszcze te nie przydzielone miejsca 368MB i 529MB czy to pozostałości po użytkowaniu w laptopie? Czy można wykorzystać je w przyszłości?

Edit: Czy to jest $MFT mirror?

MTF Record:

Kopiuj sektory. Tylko wykonaj poprawnie tak jak dałeś 0-2048. Tylko teraz zamiast 0 i 2048 będziesz miał inne podane przeze mnie zakresy.

Dodano po 34 [minuty]:

Pokaż jeszcze $MFT mirror dla tych partycji. Uszkodzenie jest takiego typu, że jednak całość tych sektorów przepadła prawdopodobnie. Pierwsza z partycji wygląda praktycznie na pustą, na drugiej jest za to miliony plików. Dla pierwszej partycji na pewno szybciej wyjdzie zgranie danych. Dla drugiej ewentualnie można spróbować odbudować te 6 sektorów o ile $MFT mirror też zawiera błędne dane. Danych jest na tej drugiej partycji jakieś 5 800 000 plików?
EDIT: Wygląda na to, że tak jak można było przypuszczać jest to samo. $MFT mirror start cluster 2 - ok zapisałem.
EDIT2: Do znalezienia masz plik $LogFile, podaj jego klaster początkowy lub sektor dysku, gdzie się zaczyna wyszukując od początku tej partycji następujący ciąg hex w DMDE: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00

mati211p napisał:

EDIT2: Do znalezienia masz plik $LogFile, podaj jego klaster początkowy lub sektor dysku, gdzie się zaczyna wyszukując od początku tej partycji następujący ciąg hex w DMDE: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00

Przepraszam za swoją ignorancję ale nie wiem czy o to chodziło:

Jeśli coś skopałem to proszę o podpowiedź.
Otworzyłem druga partycję i "obiektu nie znaleziono"

edit: No teraz to mnie zakręciłeś!
Przepraszam ale tak "łopatologicznie" można o instrukcje poprosić - step by step pliiiis!

Dobrze wyszukałeś, ale miałeś szukać od sektora początkowego partycji drugiej, a nie od początku dysku. W taki sposób znalazłeś właściwy plik, ale nie należący do tej partycji Jak go znajdziesz, to dodatkowo w nim są ostatnio zapisywane zmiany , więc nie dość że na wypadek nie znalezienia kopii $MFT klas. 0 mamy kalster początkowy $LogFile, to może dodatkowo tam da się też odnaleźć $MFT klas. 0. Jeśli nie to trzeba będzie próbować ręcznie. W tym pliku jak znajdziesz spróbuj wyszukać ciągu: 46 49 4C 45 30 00 03 00 E2 5C 10 27 07 00 00 00 01 00 01 00 38 00 01 00 10 02 00 00 00 04 00 00
EDIT: Nie szukaj w partycji tylko na dysku.
EDIT2: Ponadto trzeba też znaleźć $Object ID

jusznw napisał:

Przepraszam ale tak "łopatologicznie" można o instrukcje poprosić - step by step pliiiis!

EDIT3: Wybierasz dysk. Zapisujesz sobie sektor początkowy lub w przybliżeniu, u Ciebie wystarczy jak zapamiętasz 768 000 000. Zamykasz okno Partycje. Przechodzisz do Edytor -->Idź do offset i wpisujesz tą wartość. Po tym Ctrl+F i wpisujesz: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00 . Jak znajdziesz zapisujesz wartość LBA lub wklej screen. Po tym Ctrl+F i tym razem spróbuj wyszukać: 46 49 4C 45 30 00 03 00 E2 5C 10 27 07 00 00 00 01 00 01 00 38 00 01 00 10 02 00 00 00 04 00 00, choć może lepiej tylko tyle: 46 49 4C 45 30 00 03, bo za dużo chyba napisałem, tzn. z częścią modyfikowaną. Jak nie znajdzie szybko tego ciągu to można pominąć, bo powyżej 5 000 000 LBA od tego miejsca to nawet nie masz co szukać, gdyż znajdzie wtedy fragmenty $MFT a nie $MFT klas. 0 w $LogFile. Powiem tak, to ciężki temat, ale perspektywa ręcznego odzyskiwania 5 000 000 plików chyba nie jest ciekawa.

mati211p napisał:

Dobrze wyszukałeś, ale miałeś szukać od sektora początkowego partycji drugiej, a nie od początku dysku. W taki sposób znalazłeś właściwy plik, ale nie należący do tej partycji Jak go znajdziesz, to dodatkowo w nim są ostatnio zapisywane zmiany , więc nie dość że na wypadek nie znalezienia kopii $MFT klas. 0 mamy kalster początkowy $LogFile, to może dodatkowo tam da się też odnaleźć $MFT klas. 0. Jeśli nie to trzeba będzie próbować ręcznie. W tym pliku jak znajdziesz spróbuj wyszukać ciągu: 46 49 4C 45 30 00 03 00 E2 5C 10 27 07 00 00 00 01 00 01 00 38 00 01 00 10 02 00 00 00 04 00 00
EDIT: Nie szukaj w partycji tylko na dysku.
EDIT2: Ponadto trzeba też znaleźć $Object ID

jusznw napisał:

Przepraszam ale tak "łopatologicznie" można o instrukcje poprosić - step by step pliiiis!

EDIT3: Wybierasz dysk. Zapisujesz sobie sektor początkowy lub w przybliżeniu, u Ciebie wystarczy jak zapamiętasz 768 000 000. Zamykasz okno Partycje. Przechodzisz do Edytor -->Idź do offset i wpisujesz tą wartość. Po tym Ctrl+F i wpisujesz: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00 . Jak znajdziesz zapisujesz wartość LBA lub wklej screen. Po tym Ctrl+F i tym razem spróbuj wyszukać: 46 49 4C 45 30 00 03 00 E2 5C 10 27 07 00 00 00 01 00 01 00 38 00 01 00 10 02 00 00 00 04 00 00, choć może lepiej tylko tyle: 46 49 4C 45 30 00 03

Po kolei:
1. Uruchamiam DMDE (jako administrator)
2. Wybieram dysk fizyczny

3. Następuje przeszukanie w poszukiwaniu partycji

4. Wyświetla się wynik

5. Wybieram dysk - Zapisuję sobie sektor początkowy lub w przybliżeniu, u mnie wystarczy jak zapam 768 000 000.
6. Zamykam okno "Partycje".
7. Przechodzę do Edytor --> Idź do offset

8. Wpisuję wartość - 768 000 000.

9. Po tym Ctrl+F i wpisuję: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00

wynik:


10. Jak znajdziesz zapisujesz wartość LBA lub wklej screen.
11. Po tym Ctrl+F i tym razem spróbuj wyszukać: 46 49 4C 45 30 00 03 00 E2 5C 10 27 07 00 00 00 01 00 01 00 38 00 01 00 10 02 00 00 00 04 00 00, choć może lepiej tylko tyle: 46 49 4C 45 30 00 03

file0 -hex

768 000 000 - hex

I....
Zapisujesz sobie sektor początkowy lub w przybliżeniu, u Ciebie wystarczy jak zapamiętasz 768 000 000. Zamykasz okno Partycje. Przechodzisz do Edytor -->Idź do offset i wpisujesz tą wartość. Po tym Ctrl+F i wpisujesz: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00 . Jak znajdziesz zapisujesz wartość LBA lub wklej screen. Po tym Ctrl+F i tym razem spróbuj wyszukać: 46 49 4C 45 30 00 03. Jak nie znajdzie szybko tego ciągu to można pominąć dalsze wyszukiwanie, bo powyżej 5 000 000 LBA od tego miejsca to nawet nie masz co szukać, gdyż znajdzie wtedy fragmenty $MFT a nie $MFT klas. 0 w $LogFile.

Można też zaznaczyć offset i podać 0, bo tak może znaleźć nie tylko $MFT klas. 0 w $LogFile.

EDIT: Miało być od sektora 768 000 000 a nie 1 500 000, bo tak to bez sensu będziemy czekać godzinę, a ja mam dziś już niewiele czasu maks 30 min. Kolega wpisał w offset a nie sektor wartość 768 000 000, stąd pomyłka początku obszaru wyszukiwania (numer sektora = offset/512 - stąd wyszło nam 768 000 000/512 = 1 500 000 sektor)

EDIT2: Przejdź na widok hex, bo nie wiem co jest w załączonych screenach. Ewentualnie jutro po 15 poprzez TeamViewer, bo coś powoli to idzie.

EDIT3: Zgodnie z poprzednią informacją, być może wszystko jest ok (choć ostatni nie wygląda na kopię $MFT klas. 0, ale się zobaczy, tylko zamieść to w widoku hex a nie tablicy partycji.

mati211p napisał:

EDIT2: Przejdź na widok hex, bo nie wiem co jest w załączonych screenach. Ewentualnie jutro po 15 poprzez TeamViewer, bo coś powoli to idzie.

nieśmiałbym prosić ależ oczywiście może być - która wersja teamviewera (ostatnia dostępna? - bo o ile pamiętam muszą być kompatybilne)

Prościej będzie chyba jak wrzucisz aktualnie te konkretne sektory w pliku: daj zakres 768 072 000 do 768 073 000, choć to nie te pliki na 100% bo są poza partycją. Ponów operacje dla początkowego sektora od 768 800 000.

jusznw napisał:

mati211p napisał:

EDIT2: Przejdź na widok hex, bo nie wiem co jest w załączonych screenach. Ewentualnie jutro po 15 poprzez TeamViewer, bo coś powoli to idzie.

nieśmiałbym prosić ależ oczywiście może być - która wersja teamviewera (ostatnia dostępna? - bo o ile pamiętam muszą być kompatybilne)

Chyba 12 o ile pamiętam. Hasło i ID wyślij w PW.

jak ten zakres zawęzić (768 072 000 do 768 073 000) i jak go pokazać? sorrry to chyba godzina ... doszedłem ...

Dobra, to jest pewnie $LogFile partycji 527 MB i jest i tak niewłaściwy. Daj ID i hasło na TeamViewer w PW, bo muszę jutro o 4 wstać i już nieco się zasiedziałem, ale w 15 min rzucę okiem jeszcze. Zobaczę, czy jest sens, czy trzeba będzie znaleźć $Object ID i spróbować po wykonaniu kopii danych (dla bezpieczeństwa) rekonstrukcji tych sektorów. Potrzebne jest w tym przypadku tymczasowo 360GB miejsca na innym dysku.

EDIT: Obie partycje odzyskane, bez problemu po odbudowie $MFT klas.0 sek. 2-7 oraz rekordów 2534 i 2535 partycji 1 system odczytał je prawidłowo. Szczęściem w nieszczęściu zachował się $MFT klas.0 sek. 0 obu partycji, stąd naprawa o wiele prostsza.

Wszystkim potomnym, czytającym Pan MATI211P jest super gościem - proście a będzie wam dane!
Dziękuję bardzo za poświęcony czas przy moim problemie oczywiście rozwiązanym!
Jestem wdzięczny i zobowiązany.
Jeszcze raz bardzo dziękuję