Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przepadł dysk z WinXP (system i dane)

Nemo 03 Sie 2007 08:40 15345 71
  • #31
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #32
    Nemo
    Poziom 31  
    Przepraszam, że dawno nie odpisywałem - nie było mnie.

    Co chcę odzyskać? Najlepiej wszystkie pliki. Bądź zawartość kilku katalogów (2-3) będących w katalogu głównym.

    Tablica partycji jest (chyba...) cała. Przynajmniej dostaję raport, że podstawowa i zapasowa są takie same. O ile dobrze patrzę.

    Pozdrawiam.
  • #33
    Prot
    Poziom 35  
    Zakończyłem właśnie rekonstrukcje systemów w swoim kompie (2 dyski fizyczne, W98 i 2x WXP, 4 partycje FAT32 i 4 partycje NTFS). Awarie logiczną spowodowałem niestety sam poprzez próbę uaktywnienia drugiej partycji w kompie (niedoczytałem :cry: że w kompie może być tylko jedna partycja aktywna :!: - myślałem że dotyczy ten warunek tylko dysku fizycznego :D).

    Pierwszą rzecz :!: :idea: którą zrobiłem po awarii to za pomocą Norton GHosta zabezpieczyłem obraz partycji systemowych na których też znajdowały się najcenniejsze dla mnie pliki w postaci 3 baz danych accessa, kilkanaście arkuszy kalkulacyjnych i kilkanaście plików tekstowych, które w zasadzie nigdy nie backupowałem.

    Dzięki temu obrazowi odzyskałem wszystkie potrzebne pliki, albowiem w trakcie odzyskiwania systemów - pierwszy odtworzyłem niestety W98 :cry: - poprzez spreparowany przez jakiś świrusów instalator firewalla Outpost 4.0 ściągnołem sobie na kompa rootkita Sandbox. To ścierwo potrafi wyłączać wiele firewalli, oszukiwać najpopularniejsze antywirusy i programy bezpieczeństwa. Wpuszcza wszelkich wirusowych kolesiów, rozsyła je po wszystkich dyskach i partycjach i tworzy dla nich osłonę przed wykryciem. O możliwościach tego shitu przekonałem się w momencie gdy po kolejnym restarcie (oczyszczającym kompa przy użyciu softu anty-rootkitowego) mój komputer przestał widzieć oba dyski fizyczne :| . Pomyślałem przestawił mi bios, jeszcze jeden restart wchodzę do biosu, ustawiam automatyczne wyszukiwanie dysków - ... nic bios nie wykrywa !!! "Mrozik" na plecach - czyżby ten shit potrafił złośliwie zfleshować bios ? Wyłączam kompa uruchamiam Live Knoppixa i szukam w necie wieści czy te robale mają takie możliwości ? Niestety TAK :cry:

    Na szczęście czytam dalej, że rootkity potrafią również w pamięci RAM utworzyć wirtualną maszynę i przechwycić kontrolę nad całym kompem - no to skurczybyku zginiesz jak ci odetnę zasilanie :idea: pomyślałem, wyłączyłem kompa na 15 minut i ... bingo :D .

    Ale ad rem: moim zdaniem masz 100% szanse na odzyskanie najważniejszych danych jeśli zabezpieczysz je w stanie niezmienionym na tym uszkodzonym logicznie dysku lub zrobisz jakiś precyzyjny obraz tej partycji (napotkałem problem niemożliwości odzyskiwania danych ze skompresowanego obrazu inną wersją Ghosta :!:). Musisz tylko hardwareowo zapewnić dostęp do uszkodzonego dysku (lub obrazu) ze zdrowego i "oprzyrządowanego softwarowo" systemu (W tym zakresie ja nie miałem kłopotów bo jeden dysk ATA mam podłaczony jako master przez kontroler ATAPI, a drugi ATA też jako master poprzez kontroler RAID).

    W Twoim wypadku proponowałbym ukryć partycje uszkodzonego systemu (zabezpieczy Cię to przed atakami wirusów na tą partycję, które mogą próbować ją nadpisywać) i z drugiego dysku systemowego próbować odzyskać wszystko co się da - o systemie to raczej zapomnij :|- nie może być uszkodzeń logicznych na dysku bez żadnej przyczyny, jeśli wykonanymi testami wykluczyłeś błędy hardwarowe, "rachunek sumienia" użytkownika wyklucza możliwość mimowolnego uszkodzenia struktury logicznej dysku - to pozostaje tylko jedna przyczyna : jakiś zasrany robal.

    W sytuacji ukrycia partycji będziesz miał do niej dostęp jedynie "fizyczny" i będziesz mógł wykorzystywać do odzyskiwania danych tylko takie programy, które odzyskują dane w trybie RAW. Przetestowałem wiele takich programów i największe moje nadzieje wzbudził GetDataBack - wersja trialowa wskazywała tak sugestywnie, że z moich obrazów dysku mogę odzyskać ok. 50 000 plików, że skusiłem się nawet na zakup pełnej wersji. Spróbowałem i ... d... :cry:. Wprawdzie w helpie i innych opisach programu byłem uprzedzany, że odzyskiwanie w trybie RAW jest możliwe jedynie w przypadku nie pofragmentowanych plików ale miałem nadzieję że jak mi system wskazywał tylko 3% fragmentację na dysku to powinienem 97% odzyskać - "ależ skąd, ależ gdzie tam" :D. Wszystkie moje najcenniejsze pliki miały "słuszne" rozmiary i rozrzucone były po całej partycji.

    Szukałem zatem innych programów, które mogłyby trochę inteligentniej odzyskiwać pliki (niż mówiąc w uproszczeniu: odszukać nagłówek pliku, odmierzyć ilość klastrów dla określonej długości pliku i twierdzić że to jest odzyskany plik) - niestety nic nie znalazłem.

    Zrozumiałem że w sytuacji kiedy pliki są pofragmentowane konieczna jest "ręczna robótka" :idea:. Znalazłem jednak, moim zdaniem, najlepszy program :idea: do takich robótek: edytor hexadecymalny WinHex nawet w wersji trialowej ma on taką funkcjonalność, że bije wszystkich konkurentów. Po przebrnięciu przez obszerny help w języku angielskim :cry: i drobnym "oskryptowaniu" program ten wyszukał mi wszystkie potrzebne "puzzle" z 4 000 000 elementowej układanki klastrów :D.
    Za pomocą tego "kombajnu" softwarowego możesz obejrzeć strukture fizyczną i logiczną swoich dysków bez względu na posiadane systemy plików, możesz robić obrazy danych i je odtwarzać, możesz klonować dyski, możesz stosować jednoczesne wyszukiwanie wielu stringów tekstowych, możesz odzyskiwać pliki w trybie RAW wg określonych typów, możesz automatyzować prace programu poprzez dość proste skrypty i wiele, wiele innych rzeczy możesz. Jestem pod wielkim wrażeniem tym bardziej, że dopiero ten program pozwolił mi ostatecznie rozprawić się z pozostałościami po tym perfidnym rootkicie :D. Program na bieżąco analizuje "logikę" systemu plików i wskazuje na wszelkie nieprawidłowości, które po ocenie można usunąć. Wykrył utworzone przez robala pliki ukryte w fałszywych śmietnikach i folderach odzyskiwania systemu, zakamuflowane nie tylko w plikach wykonywalnych :idea:.
    "Naprawdę warto" spróbować :D.
  • #34
    pidar
    Spec od pamięci masowych
  • #36
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #37
    Nemo
    Poziom 31  
    No to mam spory problem...

    Dane (co gorsze binarne) z pewnością są poszatkowane po całym dysku. Istotne pliki zaś mają rozmiary od około 500 - 900MB każdy. Zatem jakakolwiek metoda odtwarzania sektor-za-sektorem nie ma sensu (moim zdaniem). Zwłaszcza, że był to dysk systemowy razem z plikiem wymiany i całą resztą Windowego badziewia. To nie wszystko. Nie pamiętam też, gdzie siedzą poszczególne pliki - tzn. w którym były katalogu. Na pewno jeden tu, drugi tam. Część w zagnieżdżonych podkatalogach.

    Obraz partycji będzie bardzo trudno zrobić. Może nie tyle "zrobić", co zmieścić. O ile mogę się domyślać, danych było tam około 50GB. Przerzucenie takiej ilości danych na dysk FAT32 może być poważnym problemem. Pomijam, że nie ma do dyspozycji nawet 20GB wolnego miejsca na drugim dysku. Nie ma obecnie do dyspozycji żadnej partycji NTFS.

    Również skłaniam się do wniosku, że dysk NTFS poleciał na skutek jakiegoś robaka. Tylko jak określić jego rodzaj? Chwilowo przełożenie do innego komputera jest niemożliwe. I długo nie będzie.

    :arrow: okzo: Na szybko przejrzałem podane przez Ciebie linki. Wielkie dzięki! Całe szczęście, że znam jeszcze rosyjski. Jednak na razie jestem totalnie zagubiony. Nie wiem co, jak i gdzie. Czy mógłbyś napisać (najlepiej w punktach) co, czym i w jakiej kolejności powinienem zrobić? Przepraszam, że o tym piszę w ten sposób, ale jakakolwiek praca na tamtym dysku powoduje odcięcie od internetu. Załóżmy, że dane są całe i w dobrym stanie, tylko przepadła możliwość kontaktu z nimi. Robienie zatem kopii partycji na innym dysku uważam za zbyteczne. Jak odzyskać plik po pliku i przerzucić je pojedynczo na drugi dysk?

    Pozdrawiam.
  • #38
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #39
    pidar
    Spec od pamięci masowych
    Po odzyskaniu danych polecam później program Partition Table Doctor V3.5(demo): http://www.ptdd.com/
    Pomógł mi w wielu przypadkach utraty partycji systemowej!
  • Pomocny post
    #40
    Prot
    Poziom 35  
    Nemo:
    Cytat:
    Przerzucenie takiej ilości danych na dysk FAT32 może być poważnym problemem. Pomijam, że nie ma do dyspozycji nawet 20GB wolnego miejsca na drugim dysku. Nie ma obecnie do dyspozycji żadnej partycji NTFS.


    Jak Ci już radziłem jeśli "ukryjesz" aktywną partycję z XP (przestawisz tylko status partycji na hiden :D) to będziesz mógł podpiąć oba dyski jednocześnie do kontrolera ATAPI (oczywiście wówczas jeden jako master, a drugi slave ) - i w ten sposób wchodząc przez W98 będziesz mógł działać na drugim dysku - nie naruszając (najważniejsze -nienadpisując :!: ) strukturę uszkodzonego dysku.

    Nie wiem jak wówczas będzie u Ciebie z "widocznością" logicznej struktury partycji NTFS, ale w takiej sytuacji zawsze możesz analizować zapisy fizyczne. U mnie z WinHex spod W98 dysk 2 widać dokładnie:
    Przepadł dysk z WinXP (system i dane)
    Widać i partycję 1 (ukrytą) jak i następne partycje NTFS :!:
  • #41
    Nemo
    Poziom 31  
    :arrow: prot: Dzięki za cenną uwagę! Jeśli ukrycie partycji zadziała i system się podniesie z dwoma dyskami naraz, problem pracy "odzyskiwacza" będzie rozwiązany. Żaden z plików, które chcę odzyskać, nie ma więcej niż 1GB. Zatem FAT32 powinien sobie poradzić.

    :arrow: Nirvanowiec: Nie to miałem na myśli. Chodziło mi, że zgrywałbym dane bezpośrednio z dysku NTFS na drugi dysk z FAT32, bez tworzenia dodatkowego obrazu. Pod warunkiem, że "odzyskiwacz" nie zapisywałby nigdzie danych na dysku NTFS. Zakładam, że jest on dobry.

    Czekam cierpliwie na wiadomość od Okzo.

    Pozdrawiam.
  • #42
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #43
    Nemo
    Poziom 31  
    Użyłem MHDD i wyłączyłem MBR komendą SWITCHMBR. Dzięki temu udało się zrobić tak, że w Panelu Sterowania Win98 dysk jest widoczny i system się uruchamia. Tyle na początek.

    Korzystają z MHDD wykonałem kopię pierwszych 100 sektorów dysku NTFS komendą TOF (od 0 - 100). Dołączam ją do tego postu.

    Czekam teraz na Wasze sugestie, czym wydłubać te pliki z dysku NTFS na FAT32 przy pomocy co najwyżej Windy 98. Jakim programem?

    Dziękuję za wstępną pomoc!

    Pozdrawiam.
  • #44
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #45
    Nemo
    Poziom 31  
    Mam tego darmowego PC Inspectora File Recovery, ale chyba nie potrafię go obsługiwać, albo robię coś nie tak, jak trzeba.

    1. Uruchamiam program.
    2. Wybieram jezyk na angielski.
    3. Wybieram "Find lost drive". Pojawiają się dwa dyski C: i D: (które są w porządku) oraz dysk "NONAME on fixed disk #3". Po kliknięciu "Preview" nie ma na nim nic. Zaznaczam go jednak.
    4. Wciskam "zielonego ptaszka" (czyli OK).
    5. W żadnym katalogu nie ma plików.
    6. Klikam "Find lost data".
    7. Ustawiam zakres poszukiwania na cały dysk.
    8. Klikam na zielonego ptaszka po lewo.
    9. Skanuje klastry i odnajduje pliki...

    ...tyle, że wszystkie "odnalezione" pliki mają 1474560 bajtów i nazywają się podobnie w stylu: "cluster 1024.xxx". Bzdura totalna! Czyli co? Mam wydłubywać z tych plików dane bajt po bajcie? A skąd będę wiedział, który do czego?

    Proszę o wytłumaczenie, co robię nie tak i jak mam zrobić, aby wreszcie cokolwiek odzyskać.

    Pozdrawiam.
  • #46
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #47
    Nemo
    Poziom 31  
    No i w tym miejscu jestem całkowicie zagubiony, bo tę instrukcję znalazłem wczoraj. Niestety, nic mi ona nie dała. Przy jej pomocy mogę jedynie odzyskać te poszatkowane fragmenty po 1,38MB bez faktycznej wiedzy, co w nich jest i jaka jest ich długość.

    No, mogę w opcjach programu zmienić rozmiar tego poszatkowania z 1,38MB np. na 2MB, albo 100kB - co mi wpadnie do głowy. Tyle, że po co? Co mi to da?

    Program nie potrafi (albo ja nie umiem go ustawić) odzyskać jakiegokolwiek pliku w jego prawdziwych rozmiarach. Jak to zrobić?

    Pozdrawiam.

    PS. Program znajduje jakąś partycję FAT12 o nazwie BOOTTEST z DRDOS 7, IBMDOS i różnymi innymi plikami (np. WWBMU.EXE, DCONFIG.SYS i inne). Jak rany... NIGDY nie było tam nic takiego zainstalowane!
    Co więcej, jest kolejna DRIVE (without BootSec) typu FAT32 zawierająca takie pliki jak m.in.: CHOICE.COM, COUNTRY.SYS, EDIT.COM, FAT32.EXE, MEM.EXE, NTFSREAD.EXE, NWCACHE.OV2, NWCDEX.EXE, SCDD.SYS, USBD.SYS.
    Jednak na partycji NONAME typu nieznanego (FAT type detected jest szare), o nazwie OEM Name: NTFS, program nie znajduje nic. Po skanowaniu wychodzą właśnie te poszatkowane pliki po 1,38MB.
    Co z tym fantem zrobić???
  • #48
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #49
    pidar
    Spec od pamięci masowych
    Czy próbowałeś Active@ File Recovery z funkcją superscan?Przypuszczam, że może on odzyskać o wiele więcej niż inne programy tego typu.
  • #50
    radek68
    Poziom 20  
    Prot napisał:
    (niedoczytałem :cry: że w kompie może być tylko jedna partycja aktywna :!: - myślałem że dotyczy ten warunek tylko dysku fizycznego :D).


    A skąd pomysł, że w komputerze może być tylko jeden dysk z partycją "aktywną"?
    Oczywiście każdy z dysków podpiętych może takową posiadać.
  • #52
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #53
    Nemo
    Poziom 31  
    :arrow: okzo: Te pliki były z całego dysku od 0 do 156 mln sektora. Zdziwiło mnie to, że nic normalnego nie znalazł. A może ja coś źle robię?

    :arrow: Nirvanowiec: Ściągnąłem tego Get Data Back 3.03.17 w wersji Demo i puściłem skanowanie. Po jakimś czasie wyświetlił mi starą zawartość dysku! Super! Szkoda, że nie zapisuje tych plików na dysku. Jest tylko opcja podglądu pliku i przy odpowiednim kombinowaniu można jakoś zapisać to, co zostało podejrzane. Oczywiście całego dysku w ten sposób nie odzyskam, ale choć parę istotnych plików. Szkoda, że ten program taki drogi i nie można go normalnie kupić w Polsce. Cóż poradzić...
    A ten Partition Table Doctor - jak tego użyć? Włączyło mi się jakieś skanowanie, ale szukał dysku FAT, zamiast NTFS. Długo to trwało i nic nie znalazł. Jak tego użyć?

    Pozdrawiam.
  • #54
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #56
    pidar
    Spec od pamięci masowych
    Przecież kolega Nirvanowiec podał ci najlepsze rozwiązanie to program Partition Table Doctor, który odzyska partycję .
  • #57
    Nemo
    Poziom 31  
    To prawda, Nirvanowiec podał linka do PTD, ale ja jeszcze nie potrafię z niego korzystać. W obecnej sytuacji jest tak, że dysk NTFS który ma problem, stoi jako master, zaś PTD nie potrafi pracować na masterze tylko na slave. Doczytałem to przed chwilą. Głupia sprawa, bo przełączenie dysków na odwrót to w tym komputerze masakra. Jednak kiedyś to zostanie zrobione (przy większej ilości czasu).

    Być może właśnie stąd wynikają błędy poprzedniej sesji PTD, który wskazał dysk FAT32. Istotnie, slave na tym kanale jest jako FAT32. Dlatego nie ruszałem, aby coś się nie zwaliło.

    Pozdrawiam.
  • #58
    Użytkownik usunął konto
    Użytkownik usunął konto  
  • #59
    Nemo
    Poziom 31  
    Wbrew pozorom, bez kłopotów odzyskałem wszystkie najważniejsze dane. Trochę to czasu zajęło, ale byłem na to przygotowany, dlatego robiłem na raty. Na szczęście plików było tylko kilkanaście. Sprawdziłem, działają. Gdy przeglądam odzyskany dysk, widzę oryginalną strukturę katalogów i wszystkie pliki. Wygląda, że dane są nienaruszone. Czyli gdyby coś pokombinować, byłaby szansa nadal odpalać z tego dysku system.

    Jak użyć tego PTD? Jakie opcje i w jakiej kolejności wykorzystać? Proszę o pomoc.

    Czy naprawdę dysk naprawiany musi być na slave?

    Pozdrawiam.
  • Pomocny post
    #60
    Użytkownik usunął konto
    Użytkownik usunął konto