Odzyskanie dwóch partycji (teraz widoczne jako RAW).

Cześć.
Dysk 320GB. Podzielony na 3 partycje.
Po twardym restarcie laptopa (podłączony jako zewnętrzny) 2 partycje widoczne jako RAW. Trzecia czytelna i widoczna.
Zrobiłem kopię posektorową na dysk 500GB. W DMDE widoczny jak poniżej. Jest szansa na przywrócenie partycji? Odzyskiwanie pojedynczych folderów jest trochę kłopotliwe ze względu na ich ilość.

Niewiele z tego można się dowiedzieć. Nieco więcej informacji daje 'file' pod Linux-em (nie znam Windows-owego odpowiednika) - np. coś takiego:po poleceniu "file -s /dev/sda?". Dla partycji NTFS bardzo ważna jest $MFT (Master File Table) - w niej jest prawie wszystko (oprócz tego, co duże).

Masz uszkodzone $MFT i $MFTmirror obu partycji, więc z poziomu DMDE bez skanowania dostępu nie uzyskasz. Załącz początkowe - powiedzmy po 1000 sektorów w pliku obu początków $MFT (tzn. z początków plików $MFT obu nieczytelnych partycji), celem analizy uszkodzeń.
Podobny temat tu:
https://www.elektroda.pl/rtvforum/topic3534460.html

Dziękuję za zainteresowanie.
Na podstawie wskazanego wątku zrobiłem i dołączam kopię sektorów od 0-1000 i od 420340725 do 420341725.

Nie te pliki, dałeś początki partycji a nie początki $MFT.
Dla pierwszej partycji są to sektory od 6291500 do 6292500 urządzenia fizycznego ($MFT początek od 6291456 sektora partycji, 6291519 sektor urządzenia fizycznego), natomiast dla drugiej sektory od 426632000 do 426633000 urządzenia fizycznego ($MFT początek od 6291456 sektora partycji, 426632181 sektor urządzenia fizycznego).

To pewnie była partycja 1? Może po 96 sektorów zaczynając od sektorów 6291456 (0x00600000) i 102398272. To powinien być początek $MFT i $MFTMirror.

$MFT mirror jest w sektorach dysku 102398335 - 102398342 dla partycji 1, jednakże będzie zgodne z $MFT klas.0 na 99%. W załączonych plikach jest informacja odnośnie początków $MFT i $MFT mirror dla każdej z uszkodzonych partycji.

Ja podałem sektory od początku partycji. Na drugiej partycji $MFT jest w tym samym miejscu, $MFTMirror o 32 sektory dalej (czyli od sektora 102398304).

Pytanie, czy dysk był kiedykolwiek mocno zapchany - $MFT jest tworzona ciągła i na tyle duża, że raczej nie potrzebuje powiększania, ale przy dużym zapchaniu dysku system ją skraca, by uzyskać miejsce na pliki, a jak potem powiększa, to zwykle już nie jest ciągła.

Rekordy $MFS zaczynają się od "FILE0" - jeśli początek $MFT i $MFTMirror będzie zamazany, to można spróbować przeskanować cały dysk i poszukać bloków z takim początkiem.

W załączeniu sektory od 6291500 do 6292500 i od 426632000 do 426633000.

Uszkodzone $MFT klas.0 sek 0-1, 2-3 i 4-5, tzn. 3 początkowe rekordy $MFT dla partycji 1. Znajdują się w nich 3 rekordy z $MFT dot. zdjęć *.jpg, jeszcze przesunięte o 1 sektor. Możesz jeszcze zamieścić $MFT mirror tej partycji. Jeśli będzie tam to samo, to trzeba będzie ręcznie odtworzyć $MFT klas.0 sek 0-1 przede wszystkim, jeśli chcesz odzyskać całość bezpośrednio. Z rekordami 1 i 2 $MFT problemu nie będzie. Najbardziej czasochłonne będzie pozbieranie wszystkich rekordów $MFT.
Co do drugiej partycji to identyczna sytuacja, tylko tu w $MFT jest 6 bad sektorów logicznych dot. 3 początkowych rekordów $MFT. Czasem przy takim bad sektorze całość jest po prostu przesunięta o 16 bajtów, natomiast w Twoim przypadku niestety dalej są losowe dane.
P.S. Zawsze można na danej partycji w DMDE spróbować wyszukać ciąg:
04 03 24 00 4D 00 46 00 54 i może akurat gdzieś jest ta informacja zachowana, np. w $LogFile.
Tutaj też może być nieco pomocny temat.
https://www.elektroda.pl/rtvforum/topic3390107.html

Przeczytałem ten wątek... uff
Rozumiem, że dla $MFT mirror 1 partycji potrzebne są sektory 102398335 - 102398342. A dla drugiej, które to będą?
Wyszukuję teraz 04 03 24 00 4D 00 46 00 54. Dla pierwszej partycji:

Tylko tego ciągu szukaj jedynie na partycji 1 lub 3 - tych utraconych, ponieważ znajdzie ten ciąg na partycji 2 i 4 (nie wstawionej). Właściwy wpis będzie poprzedzony sygnaturą FILE0 na początku.

Teraz szukam od 420340000

Dla pierwszej partycji wpis znalazłeś tylko w katalogu NTFS jeśli już, nie jest to niestety $MFT klas.0 sek 0 -1. Musi być poprzedzony sygnaturą FILE0 jak wyżej napisałem.

Mam problem z takim widokiem gdzie będzie widać FILE0

Zgadza się to jest rekord 0 pliku $MFT, tylko teraz ciekawe, czego dotyczy. Sygnatura FILE0 jest powyżej w sektorze poprzednim, gdyż to jest część jakiegoś pliku, być może $Logfile. Może też nie należeć do tej partycji. Załącz 10 kolejnych sektorów począwszy od 181 094 022 181 094 422.

W pierwszym kawałku z #9 znalazłem 484 sygnatury FILE0 (w tym 3 w parzystych sektorach), w drugim 399 (0 w parzystych).

Znalazłeś w parzystych, bo są przesunięte o 1 sektor, ale nie są to rekordy 0-2 $MFT.

sektory od 181094022

wyniki wyszukiwania 04 03 24 00 4D 00 46 00 54 dla 3 partycji:

Bez bajtów 46 49 4C 45 30 00 ("FILE0\0") na początku rekordu to nic nie znaczy.

Ten rekord ma swoją strukturę, 04 03 24 00 4D 00 46 00 54 00 to tylko jeden z atrybutów, zawierający nazwę pliku "$MFT" - ale potrzebne są pozostałe i to od początku. Chyba, że uda się rozpoznać atrybut zawierający informację o umiejscowieniu danych tego pliku - ale ja nie pamiętam, jak on wygląda.

Przepraszam za literówkę wieczorem, pisałem na smartfonie, chodziło o 10 sektorów począwszy od 181 094 422. Dla 3 partycji znalazłeś katalog główny NTFS, nie jest to rekord 0 $MFT.
To właśnie w atrybucie $DATA rekordu pliku $MFT (rekord 0 $MFT) jest informacja o położeniu na partycji pliku $MFT.

To w #20 wygląda mi na zawartość jakiegoś bufora, do którego system wczytał informacje z początku $MFT, ale to nie jest cała informacja, a tylko to, co system wybrał - przy odrobinie szczęścia może się okazać, że wybrał to, co jest najbardziej potrzebne.

Zauważ, że są tam powtórzenia po 4 razy identycznych sekwencji 8 bajtów - najpierw pod adresem 3e50cc4c00, potem 3e50cc4c60, 3e50cc4cc8, 3e50cc4d28, 3e50cc4d90, 3e50cc4df0 (w tym 2 bajty są inne - to taki sposób zapisywania numeru sekwencyjnego w 2 końcowych bajtach sektora). 56 bajtów od początku każdej z tych sekwencji (3e50cc4c38,...) jest atrybut nazwy: bajt podający ilość znaków, bajt 03, nazwa w Unicode. Po nazwie mogą być bajty 00 do adresu podzielnego przez 8. I to jest przekładane danymi po 24 bajty: po tej sekwencji 4x8 jest 2-krotne powtórzenie sekwencji 8-bajtowej (rozmiar pliku?), potem 8 bajtów, nazwa (i po niej może być uzupełnienie 00-mi), 16 bajtów (różne), 8 bajtów (zawsze 05 00 00 00 00 00 05 00), i zaczyna się następna sekwencja 4x8.

Niepokoi mnie ten numer sekwencyjny na końcu sektora, bo to wygląda na $MFT - tak jakby dane "inline" zawierające "katalog" (directory) - obawiam się, że to nie zawiera najważniejszej informacji: gdzie na dysku znajdują się dane należące do poszczególnych plików.

Nie ma tam data runs pliku $MFT. Ten powtarzający się ciąg to data utworzenia. To o czym piszesz to zawartość katalogu głównego.
Tu w poście 15 mamy prawidłowy $MFT klas.0 sek.0-1 (rekord 0 $MFT), ale nie wiemy z jakiego okresu.

Poniżej odtworzony rekord 0 na podstawie screena z postu 15.