Відновлення даних на ntfs-розділах
Відновлення даних на NTFS-розділах
Довгий час головним козирем противників NTFS був наступний аргумент - чим ви будете її відновлювати, якщо вона помре? А мре вона, як показує практика, досить часто. При всій своїй надійності NTFS не застрахована від потрясінь. Помилки оператора, віруси, збої харчування, зависання ОС, дефекти поверхні, відмова електроніки ... З кожним днем людство все сильніше і сильніше стає залежно від комп'ютерів, обсяги жорстких дисків стрімко ростуть, а разом з тим зростає і цінність містяться на них даних, втрата яких найчастіше непоправна.
Якщо раптом трапився збій і дані виявилися загублені ...
Перш за все - не панікуйте! Займатися відновленням можна тільки на тверезу голову. Непродумані, гарячкові дії тільки погіршують ваше і без того незавидне становище!
Не використовуйте ніяких автоматизованих «лечилок», якщо повністю в них не впевнені. Наслідки такого лікування можуть бути катастрофічними, а результати «відновлення» - незворотними. Те ж саме відноситься і до «фахівцям», що живуть у фірмах незрозумілого походження і орудують все тими ж автоматизованими утилітами, якими ви можете скористатися і без них. Деякі намагаються створювати необхідний інструментарій самостійно. Найчастіше він виявляється непрацездатним ще з народження, але зате яка гордість для фірми! Який вражаючий засіб демонстрації власної крутості! Повірте, утиліти типу Easy Recovery і Get Data Back далеко не дурні писали (та ще й за участю безпосередніх розробників оригінального драйвера NTFS, які добре знають всі його тонкощі і особливості поведінки). Це найкраще з того, що є на ринку, і поки ще нікому не вдалося їх перевершити! (Зрозуміло, мова йде лише про автоматизоване відновлення.)
Нічого не записуйте на відновлюваний диск і не дозволяйте цього робити іншим додаткам! Якщо ви випадково видалили файл з системного диска, ні в якому разі не виходьте з Windows «культурним» способом. Краще натисніть RESET (при штатному завершенні сеансу система зберігає на диску поточну конфігурацію, істотно збільшуючи ризик необоротного затирання вилученого файлу).
Якщо вінчестер видає підозрілі звуки типу постукування або скреготу, негайно вимкніть живлення комп'ютера (знову-таки, не дозволяючи системі нічого писати на диск), оскільки в будь-який момент вінчестер може доламатися остаточно, і тоді йому вже ніякої електронщик не допоможе.
Нарешті, якщо дані відновити так і не вдалося - не засмучуйтесь. У всьому в житті треба бачити і хороші сторони, навіть коли нічого хорошого немає.
Структура диска. базові концепції
Фізично жорсткий диск являє собою запечатану банку з однієї або декількома одно- або двосторонніми пластинами, насадженими на шпиндель. Читання / запис даних здійснюється блоком магнітних головок, кожна з яких обслуговує одну з поверхонь пластини. Інформація зберігається в формі концентричних кілець, які називаються треками (track) або доріжками. Треки, розташовані на рівній відстані від центру всіх пластин, утворюють циліндр (cylinder). Фрагмент треку, утворений радіальним розподілом, називається сектором (sector). У сучасних вінчестерах кількість секторів на трек не залишається постійним і дискретно зростає в міру віддалення від центру пластини, підтримуючи більш-менш постійні лінійні розміри сектора. Треки і головки нумеруються починаючи з нуля, сектора - починаючи з одиниці. Розмір сектора для жорстких дисків - 512 байт.
IDE-диски завдяки наявності інтегрованого контролера всередині в найменшій мірі залежні від зовнішнього світу і можуть вільно мігрувати від однієї машини до іншої (за умови коректного поведінки BIOS, але про це трохи пізніше). Деякі вінчестери підтримують спеціальну ATA-команду «Initialize device parameters», яка встановлює поточну віртуальну геометрію диска, а точніше обрана кількість головок і число секторів на доріжку. Кількість циліндрів обчислюється контролером самостійно, на підставі загального обсягу диска, який, до речі кажучи, також можна змінювати програмними засобами (за це відповідає ATA-команда SET MAX ADDRESS). Деякі драйвера (і BIOS) змінюють геометрію диска, прив'язуючи вінчестер до себе міцними шлюбними узами, і в іншому оточенні такий диск працювати вже не буде, ну у всякому разі до установки правильної геометрії.
Просунуті контролери автоматично заміщають погані сектори, або зберігаючи цю інформацію в свій незалежній пам'яті, або записуючи її в інженерні сектора самого диска. Це ще сильніше прив'язує накопичувач до його контролера (правда, деякі SCSI-диски виконують перепризначення секторів власними засобами). Таким чином, вихід SCSI-контролера з ладу фактично прирівнюється до відмови самого диска. Ніколи не купуйте SCSI-контролери невідомих виробників - в будь-який момент вони можуть канути в Лету, і тоді поставки нових контролерів припиняться. Контролери, інтегровані в материнські плати, - це взагалі пісня. Ненадійні, ні з чим не сумісні ... а що ви ще хотіли за таку ціну?
Лістинг 1. Інтерфейс з IDE-диском в режимі CHS
0172 / 01F2 кількість секторів
0173 / 01F3 номер сектора (біти 0-7)
0174 / 01F4 номер циліндра (біти 0-7)
0175 / 01F5 номер циліндра (біти 8-15)
0176 / 01F6 номер головки (біти 0-3), привід на шині (біт 4), режим CHS / LBA (біт 6)
Лістинг 2. Інтерфейс з перериванням INT13h BIOS
AL кількість секторів для обробки
CH номер циліндра (біти 0-7)
CL номер циліндра (біти 6-7), номер сектора (біти 0-5)
DH номер головки
DL привід на шині | 80h
Лістинг 3. Інтерфейс з IDE-диском в режимі LBA
0172 / 01F2 кількість секторів
0173 / 01F3 номер сектора (біти 0-7)
0174 / 01F4 номер сектора (біти 8-15)
0175 / 01F5 номер сектора (біти 16-24)
0176 / 01F6 номер сектора (біти 24-28), привід на шині (біт 4), режим CHS / LBA (біт 6)
Навіть якщо у вас золоті руки і світла голова, при відновленні даних нізащо не обійтися без інструментів. В ідеалі ви повинні бути готовими розробити все необхідне самостійно. Відновлення даних - досить копітка і рутинна робота, і при реанімації 80 - 120 Гб диска без автоматизації нікуди. Недолік всіх відомих дискових докторів - відсутність вбудованого мови або хоча б розвиненою системи макрокоманд. Природно, перш ніж щось автоматизувати, необхідно розібратися в ситуації, і виконати цю роботу може тільки людина. Комп'ютеру довіряти її в жодному разі не можна - для цього він недостатньо інтелектуальний. Тільки людина може надійно відрізняти, де лежать актуальні дані, а де сміття.
Засоби відновлення і діагностики, розташовані на основному жорсткому диску, годяться хіба що для навчання, а для реальної роботи вони не приносять користі. Навіть якщо збій виявиться не настольно серйозним, щоб перешкодити запуску Windows, спроба «лікування» диска в багатозадачному середовищі носить досить непередбачуваний характер. Записуючи що-небудь на диск в обхід драйвера файлової системи, ви здорово ризикуєте. Припустимо, ви відновлюєте вилучений файл, оновлюючи MFT (Master File Table - святая святих файлової системи NTFS), а в цей час система створює / видаляє інший файл, звертаючись до того ж самого сектора, що і ви. Ну і що станеться в результаті? Правильно - файл, а, можливо, і весь дисковий тім, помре остаточно. До того ж система блокує активні виконувані файли і файли даних, що унеможливлює їх відновлення навіть при наявності архівної копії. Про боротьбу з вірусами краще взагалі не говорити. Багато віруси, влаштувавшись в системі, блокують запуск антивірусних програм або вміло ховаються від них, не даючи себе видалити або виявити. Якщо ж в результаті збою перестала завантажуватися Windows, ви взагалі залишаєтеся ні з чим ...
Деякі типи руйнувань файлової системи здатні завішувати оригінальний NTFS-драйвер або викидати синій екран смерті, що створює серйозні проблеми (щоб відновити диск, ми повинні запустити певний інструментарій, а щоб запустити інструментарій, нам треба завантажити Windows, а ось це ми якраз зробити і не можемо!). Спробуйте підключити такий диск до системи, який не підтримує NTFS (наприклад, Windows 98 або MS-DOS), природно, вибрані вами утиліти відновлення повинні бути сумісні з нею. Або - як варіант - нацькувати на такий диск Linux. Драйвер Linux ігнорує допоміжні структури файлової системи (такі, наприклад, як файл транзакцій) і тому успішно монтує диск, навіть коли в них міститься суцільний сміття.
У Windows XP ідея консолі відновлення одержала подальший розвиток, в кінці кінців вилилося в Windows PE. Це злегка усічена версія Windows XP, здатна завантажуватися з CD-ROM і запускати GUI-додатки. Фактично вона повністю замінить собою «другий» жорсткий диск, і для відновлення системи тепер не потрібно ніякого додаткового обладнання! Незважаючи на те, що легальна версія Windows PE в широкий продаж так і не надходила (Microsoft надає її тільки розробникам обладнання, сервісним фахівцям і іншим своїм партнерам), вУкаіни копію оригінального диска Windows PE можна знайти в кожному кіоску. Піратство піратством, але те, що попит народжує пропозицію, - факт, а завантажувати Windows з диска потрібно багатьом.
Малюнок 1. Логотип диска Bart's PE
Вибір носіїв для копіювання
Часи, коли відновлюваний вінчестер можна було скопіювати на пару пачок дискет, давно пройшли, і тепер процедура порятунку даних значно ускладнилася. Пишучі приводи (особливо DVD) - хороший вибір, і пара пачок болванок вміщує в себе жорсткий диск будь-якої розумної ємності, однак гідних програм запису під MS-DOS немає і, мабуть, вже й не буде. Існуючі утиліти (включаючи їх консольні різновиди!) Вимагають для свого запуску Windows PE / Bart PE, який не в змозі монтувати зруйновані NTFS-диски (на деяких з них NTFS-драйвер просто висне або йде в блакитний екран).
Штатна ж консоль відновлення, NTFSDOS Proffessional і Active @ Data Recovery Boot Disk підтримують тільки дискети і IDE-накопичувачі, причому демонстраційні версії двох останніх вимагають, щоб диск-приймач був розмічений під FAT16 / 32, а його максимальний обсяг не перевищував 8 Гб. Якщо ж вам необхідно відновити диск більшого об'єму - послідовно копіюйте його на кілька жорстких дисків. Згоден, це досить дороге задоволення, але дешевих рішень в справі відновлення даних не буває.
Малюнок 2. Disk Editor відображає FAT
Малюнок 3. Disk Editor відображає кореневу директорію
Основна претензія - відсутність гарячих клавіш і неможливість переходу до наступного сектору по PagePown (для кожного сектора доводиться лізти в меню, що жахливо напружує).
Acronis DiskEditor - злегка поліпшений клон Disk Probe. Оздоблений інтерфейс, істотно спрощено процедуру вибору дисків, по PageDown / PageUp переходить до наступного / попереднього сектору. У пошуку з'явилася підтримка великої кількості різних кодувань (DiskProbe розуміє тільки Cyrillic Windows-1251), і HEX-пошук. Але є і упущення. При масштабуванні вікна змінюється і кількість байт в рядку, що робить навігацію по сектору досить суперечливою і скрутній, до того ж поточна позиція курсора відображається тільки в десятковому вигляді (у DiskProbe - в шістнадцятковому), що також не додає захвату.
Малюнок 4. Disk Probe за пошуком сектора
Малюнок 5. Disk Probe відображає Partition Table
Малюнок 6. Acronis DiskEditor за пошуком рядки
Малюнок 7. Acronis DiskEditor відображає NTFS boot-сектор
Малюнок 8. DiskExplorer відображає MFT у скороченому вигляді
Малюнок 9. DiskExplorer відображає MFT у розширеному вигляді
Малюнок 10. SectorInspector за роботою
Більш убогій утиліти, ніж ChkDsk - стандартний дисковий «доктор», що входить в штатний комплект поставки Windows, - мабуть, не придумати навіть сценаристам з Голлівуду. Система діагностики помилок спрощена до мінімуму - доктор лише інформує про факт їх наявності, але відмовляється говорити, що саме, на його думку, пошкоджено та що він збирається лікувати, тому наслідки такого «лікування» можуть носити фатальний характер.
Малюнок 11. ChkDsk за роботою
Відомо багато випадків, коли ChkDsk заліковував до смерті повністю справні розділи. З іншого боку, успішно проведених операцій відновлення на його рахунку набагато більше. Зазвичай він використовується некваліфікованими користувачами (і адміністраторами) для періодичної перевірки розділів і виправлення дрібних перекручувань файлової системи.
Малюнок 12. Зовнішній вигляд GetDataBack
DIY Recover від нідерландської фірми з неоригінальним назвою Data Recovery - чудовий напівавтоматичний доктор з купою налаштувань. Підтримує динамічні диски, дозволяє задавати всі параметри сканування вручну. Надійний. Чи не зависає навіть на сильно пошкоджених томах. Правда, навігація по відновлюваному диску виконана вкрай незручно (якщо не сказати - недбало), що особливо добре помітно на великих дисках, що містять мільйони файлів. Як і його суперник - GetDataBack - він нічого не лікує, а лише витягує вцілілі дані з небуття. Проте, я відношу DIY Recover до кращих автоматизованих засобів відновлення з усіх наявних в моєму арсеналі (не рахуючи своїх власних утиліт, які пишуться на швидку руку для відновлення конкретного диска, після чого йдуть в / dev / null, як і всякий фаст фуд ).
Малюнок 13. Повзуча змійка DIY Recover
EasyRecovery Professional від OnTrack Data Recovery (www.ontrack.com) - симпатичний, але на перевірку досить безглуздий інструмент, до того ж працює повністю в автоматичному режимі, інтелектуальність якого перебуває на зародковому рівні. Не рекомендується для використання (ну хіба що ви хочете відновити тільки що відформатований тому, на який ще нічого суттєвого не писалося).
Малюнок 14. EasyRecovery і півтораста мегабайт косметики
Додаток. Первинна діагностика аварії
Таблиця 1. Симптоми основних захворювань жорстких дисків