[Rozwiązano] Odzyskiwanie danych z dysku HDD po zmianie systemu plików na RAW

Witam, ostatnio przerzuciłem troche plików na dysk HDD ze starego komputera. Niestety coś się stało i system plików zmienił się na RAW, a ja nie mam dostępu do swoich danych. Próbowałem coś zdziałać z programem testdisk, ale bez sukcesu. Potrzebuje pomocy przy odzyskaniu danych.

Zrobiłem plik obrazu (jest na innym, działającym dysku SSD), nie da się go otworzyć winrarem i wyodrębnić potrzebnych plików).
Na dysku są też dwie inne partycje, działają.
Nie wiem co robić.

Pokaż SMART dysku i screen z DMDE z widoku okna partycje, po wybraniu dysku z urządzeń fizycznych.

Kliknij raz na $Volume 03 i pokaż ponownie screen. Wyświetli się okno boot sektora - sektor 478 414 848 z pewnymi informacjami, najważniejsze to : liczba bajtów na sektor, liczba sektorów na klaster i klaster początkowy $MFT. Na tej podstawie trzeba będzie zweryfikować około pierwsze 100 rekordów $MFT (załączyć ich kopie w pliku). 99 % przypadków to 786432 klaster partycji a $MFT mirror 2. W stanie aktualnym nie ma dostępu do partycji, ale będzie po pełnym skanie w tym obszarze. Najpewniej uszkodzone jest pierwsze 4 rekordy $MFT i być może jeszcze klastry 7-9 pliku $MFT (to najczęstsza z awarii jeśli dochodzi do awarii klastra 0 $MFT). Tak się dzieje zazwyczaj w przypadku dysków USB, gdy odłączy się je podczas kopiowania plików. Jeśli uszkodzenia miałoby wtedy powstać to musiałoby znaczyć, że i ten dysk był podłączony przez jakąś stację dokującą lub adapter z zasilaniem w trakcie tej operacji (choć aktualnie jest po SATA), lub wystąpił jakiś problem z zasilaniem dysku podczas zapisu. Niemniej to są tylko spekulacje a resztę poznamy jak zostaną przesłane odpowiednie dane do analizy.

Załącz w pliku sektory od sektora 484 706 304 do 484 706 504. Wykonaj to poprzez zamknięcie okna partycje. Następnie Narzędzia --> Kopiuj sektory. Podaj sektory wskazane przeze mnie: pierwszy jako początkowy, drugi jako końcowy. Jako docelowy wybierz plik i wskaż miejsce zapisu pliku. Plik ten załącz w załączniku na forum.

Przesyłam załącznik.

Uszkodzone rekordy 0,2 i 3 $MFT i z pliku wynika, że tylko tyle. Istnieją 2 metody naprawy:
1. Odbudowa $MFT. O ile rekordy 2 i 3 można dosyć szybko naprawić o tyle z rekordem 0 może być problem. Można szukać go w $LogFile lub jeśli tam go nie ma trzeba znaleźć wszystkie fragmenty $MFT i ręcznie odbudować. Temat między innymi wyszukiwania poruszany tu: https://www.elektroda.pl/rtvforum/topic3390107.html .Tam jednak najważniejszy z rekordów, czyli rekord 0 był poprawny, u Ciebie jest wyzerowany. Można zobaczyć też co jest w $MFT mirror, ale na 99% to samo. Podobny temat, lecz niezakończony: https://www.elektroda.pl/rtvforum/topic3535708.html
2. Wykonanie pełnego skanowania w DMDE w obszarze tej partycji i odzyskanie plików ręcznie w programie DMDE na inny dysk na podstawie znalezionych wyników. Tu wynik skanu będzie bardzo dobry, bo awarii uległy tylko 3 rekordy $MFT, niestety te 6 sektorów jest jednymi z najważniejszych, stąd też tak duże problemy.

Mam wybrać narzędzia -->> wyszukaj ciąg znaków w obiekcie czy edytor -->> Idź do offset... ?
I jakie wartości wpisywać? Takie same co w tym temacie powyżej czy dla mnie będą inne?
Co mam znaleźć, czym jest ten plik $LogFile, czy to po prostu odpowiedni ciąg znaków?
Mam gotowy pusty dysk SSD 223GB, na uszkodzonym HDD jeśli dobrze pamiętam to wszystko co potrzebuje jest w jednym folderze (około 50GB)
A teraz robię pełne skanowanie partycji.

Ok, przeskanowałem i widzę znajome foldery. Działa, teraz zostało mi już tylko odzyskanie plików.

Dodano po 1 [godziny] 47 [minuty]:

Wykonałem pełne skanowanie partycji i ręcznie odzyskałem plik po pliku.

Jak zrobić to tym pierwszym sposobem? Zrobiłbym to, moze w przyszłości ktoś skorzysta.

Narzędzia --> Wyszukaj ciąg znaków w obiekcie . Ciąg pierwszy ten sam: 52 53 54 52 1E 00 09 00 00 00 00 00 00 00 00 00 00 10 00 00 00 10 00 00 i dodatkowo zapisz numer tego sektora, bo będzie potrzebny do odbudowy rekordu 2 $MFT.
Ciąg drugi próbuj wyszukać na partycji 04 03 24 00 4D 00 46 00 54, jak znajdziesz taki ciąg załącz screen z trybu heksadecymalnego, zobaczymy co to jest, sam wpis w katalogu nie jest wystarczający, trzebaby spróbować znaleźć w "miarę" kompletny rekord 0 $MFT. Pamiętaj, że ma to być w zakresie partycji uszkodzonej, a nie całego dysku.

Czy numer sektora to 484 575 216?

Tego drugiego nie znalazłem. Dobrze szukałem?

mati211p napisał:

Pamiętaj, że ma to być w zakresie partycji uszkodzonej, a nie całego dysku.

Gzie wybieram zakres do szukania?

Poprzez Edycja-->idź do offset i podając sektor początkowy partycji przechodzisz do jej początku. Następnie tak jak wyżej szukasz ciągu do przodu od tego sektora. Jak znajdziesz przełącz na tryb hex i wtedy daj screen. Możliwe, że nie ma $MFT rekord 0 w sektorach tej partycji i wtedy ręcznie trzeba znaleźć wszystkie FILE0 z offsetem 0 i na tej podstawie uzupełnić rekord 0. $LogFile chyba prawidłowo został znaleziony, ale przeliczę później.

Szukałem tego ciągu 04 03 24 00 4D 00 46 00 54 i znalazłem to
Zastanawia mnie tylko czemu teraz znalazło a wcześniej nie.

mati211p napisał:

wtedy ręcznie trzeba znaleźć wszystkie FILE0 z offsetem 0

Jak szukać FILE0? Offset 0 to trzeba ustawić Sektor, Sektor Offsetu, czy Offset na 0?

Offset to Offset, czyli przesunięcie ciągu szukanego względem początku sektora, jest taka opcja przy wyszukiwaniu ciągu. Znalazło $MFT ale nie to, tylko informacje z katalogu, a trzeba rekord 0 $MFT, może znajdzie jeszcze, możesz szukać dalej na całej partycji tego ciągu jak raz teraz znalazło.

Zaznaczyłem te opcje i szukam

Źle, $MFT ma być bez offsetu 0.

Nic więcej nie znaleziono. Szukałem bez offsetu 0

Przed szukaniem wszystkich sygnatur FILE0 zobacz jeszcze po pełnym skanie DMDE tej partycji jak wykonałeś to jak program widział plik $MFT. Może wykonał robotę za Ciebie i już wszystko jest znalezione.

Mam zrobić teraz pełny skan partycji? Nie rozumiem tego "jak program widział plik $MFT", jak mam to sprawdzić?

Niestety nie zapisałem.

Po pełnym skanie tej partycji jak wszedłeś w partycję z plikami i widziałeś swoje pliki jest niebieski katalog $MetaData i tam jest między innymi $MFT. Jak niezapisałeś wyników skanu do pliku to musisz skanować raz jeszcze, jak zapisałeś to wystarczy, że je wczytasz.

Takie coś widzę

A jakie dane zawiera $MFT mirror [0] oraz [1]? Kliknij na nie i wybierz odzyskaj plik, zamieść te dwa pliki na forum w załączniku. Jeśli tam jest to samo co w $MFT to tylko ręcznie poprzez znalezienie wszystkich rekordów FILE0 i zapisanie ich położenia będzie można zedytować rekord 0.

Odzyskałem te pliki, ale nie widze ich w folderze. Zamieszczam cały folder, bo raczej tam są, tylko jakoś ukryte. Dodatkowo spakowany w .rar bo nie da sie wrzucić pliku z rozszerzeniem mft czy jakoś tak.

Temat zamknięty - Odłączyłem dysk.