Как включить журналирование диска на mac os
В это трудно поверить, но так называемые «непродвинутые» пользователи иногда удаляют важные данные и потом громко о них сожалеют. Расхлебывать их проблемы приходится программистам, поэтому сейчас мы разберемся в том, как Mac OS X хранит данные на носителях, и как эти данные можно восстановить.
Apple Diagnostics
Если описанные выше способы вам не помогли, то проблема почти наверняка очень серьезная. А это значит, что пришло время воспользоваться Apple Diagnostics!
Это специальный тест для компьютеров Mac от компании-производителя. По его итогам вы получите код ошибки и сможете понять, что именно не так с вашим Mac.
Для запуска теста Apple Diagnostics:
1. Выключите ваш Mac;
2. Отключите от него все подключенные устройства, за исключение клавиатуры, мышки, монитора, Ethernet-кабеля (если есть) и кабеля питания. Иными словами, отключите флешки, внешние жесткие диски, принтеры, сканеры и т.п.
4. Сразу же после стартового сигнала нажмите и удерживайте на клавиатуре D.
5. Выберите свой язык
Как уже упоминалось выше, после прохождения теста вы получите в свое распоряжение код ошибки. Расшифровка кодов:
- ADP001: Ошибок не найдено.
- NDD001: Проблема с USB-устройствами. Убедитесь, что вся ненужная USB-техника отключена;
- NNN001: Не найден серийный номер. Вы пользуетесь Hackintosh? За вами уже выехали! (шутка);
- PFR001: Проблема с программным обеспечением;
- PPM001-015: Проблема с памятью компьютера;
- PPR001: Проблема с процессором;
- PPT001: Аккумулятор не найден;
- VFD006: Проблема с видеокартой;
- VFF001: Проблема со звуковой картой.
Как видим, проблемы делятся на две категории — те, которые легко устранит и рядовой пользователь (например, ошибки, связанные с USB), и те, с которыми надо сразу идти в сервис (к примеру, неполадки с видео- и аудиокартами, процессором, памятью и т.д.).
Что умеет Диспетчер задач (Мониторинг системы) для Mac?
Как уже упоминалось, Мониторинг системы предлагает во многом те же данные, что и Диспетчер задач в Windows. Вкладки ЦП, Память, Энергия, Диск, Сеть дают исчерпывающее представление о соответствующих процессах на Mac и их влиянии на работу компьютера.
Зачем вообще открывать эту вкладку среднестатистическому пользователю Mac? Если проблем с вашим компьютером нет (а так чаще всего и бывает) – это и правда не нужно. А вот если что-то пошло не так – Мониторинг системы является отличным средством для диагностики возникшей проблемы. Например, если ваш Mac работает медленно – загляните на вкладку Память. Если Мониторинг показывает, что она чрезмерно загружена – есть смысл закрыть несколько программ или вкладок.
Автору этой статьи Мониторинг системы в свое время помог решить серьезную проблему с замедлением системы – по информации из программы стало понятно, что часть антивирусного ПО Apple под названием JaraScan в результате некоей ошибки бессмысленно «загружает» ресурсы моего Mac работой, и нашел решение (кстати, если у вас та же проблема – необходимо почистить папку Загрузки от «больших» файлов).
Что умеет Диспетчер задач (Мониторинг системы) для Mac?
Как уже упоминалось, Мониторинг системы предлагает во многом те же данные, что и Диспетчер задач в Windows. Вкладки ЦП, Память, Энергия, Диск, Сеть дают исчерпывающее представление о соответствующих процессах на Mac и их влиянии на работу компьютера.
Зачем вообще открывать эту вкладку среднестатистическому пользователю Mac? Если проблем с вашим компьютером нет (а так чаще всего и бывает) – это и правда не нужно. А вот если что-то пошло не так – Мониторинг системы является отличным средством для диагностики возникшей проблемы. Например, если ваш Mac работает медленно – загляните на вкладку Память. Если Мониторинг показывает, что она чрезмерно загружена – есть смысл закрыть несколько программ или вкладок.
Автору этой статьи Мониторинг системы в свое время помог решить серьезную проблему с замедлением системы – по информации из программы стало понятно, что часть антивирусного ПО Apple под названием JaraScan в результате некоей ошибки бессмысленно «загружает» ресурсы моего Mac работой, и нашел решение (кстати, если у вас та же проблема – необходимо почистить папку Загрузки от «больших» файлов).
Каждый пользователь Windows знает, где находится диспетчер задач. А вот где он находится на Mac?
Как говорят ученые, сначала договоримся о терминах. В macOS диспетчер задач имеет название Мониторинг системы. Выполняет он практически те же самые задачи, что и «диспетчер» на Windows.
Обычно Диспетчер задач в Windows используется для закрытия зависших программ, однако в среде Mac функции этого инструмента размещены в разных местах.
В macOS для принудительного закрытия приложения может использоваться утилита «Принудительное завершение программ» (аналог Ctrl+Alt+Del в Windows), так и приложение Мониторинг системы.
Запись fork-а файла
struct HFSPlusForkData
UInt64 logicalSize;
UInt32 clumpSize;
UInt32 totalBlocks;
HFSPlusExtentRecord extents;
>;
Журнал HFS+ — это непрерывный набор блоков транзакций, который никогда не перемещается и его размер не изменяется. Иначе говоря, он представляет собой циклический буфер фиксированного размера, который содержит записи транзакций HFS+. На одну транзакцию может быть выделен один или несколько списков блоков операций. Список состоит из заголовка списка, за которым следуют собственно данные. На этом, пожалуй, мы закончим скучное знакомство с внутренностями HFS+, поскольку ничего секретного тут нет — это открытый формат и более подробное описание ты можешь найти на официальном сайте Apple.
Как открыть окно «Принудительное завершение программ» на Mac
Для открытия окна «Принудительное завершение программ» достаточно нажать на клавиатуре сочетание клавиш ⌘Command + ⌥Option (Alt) + Esc.
Для закрытия «зависшей» программы, выделите ее в списке приложений и нажмите кнопку Завершить в правом нижнем углу.
1. Запуск нового окна Finder
Иной раз при работе с файловой системой возникает необходимость переместить какой-либо документ в новую папку на Mac. В этом случае пригодится возможность открыть второе окно Finder. Сделать это можно, нажав на клавиши Command (⌘) + N — открывает новое окно или Command (⌘) + T — открывает новую вкладку.
HFS+ внутри
HFS делит дисковое пространство на блоки одинакового размера. Для идентификации блока используется 16 бит, стало быть, всего может быть 65536 таких блоков, при этом каждый блок занимает целое число секторов. Очевидно, что такая система приводит к потере большого пространства на больших томах.
В свою очередь HFS+ использует 32 бита для нумерации блоков, что позволяет использовать пространство более рационально.
Для управления размещением данных на диске HFS+ хранит на нем также и служебную информацию — метаданные. Среди них наиболее важны для работы файловой системы и наиболее интересны нам в деле поиска пропавших данных:
- Volume header (заголовок тома).Содержит общую информацию о томе. Например, размер блока данных и информацию о расположении других блоков метаданных на диске.
- Allocation file (файл размещения или карта тома).Bitmap, в котором отмечен статус каждого блока на диске. (1 — занят, 0 — свободен.)
- Catalog file (каталог).В нем хранится большая часть данных о размещении файлов и папок на диске.
- Extents overflow file.Содержит метаданные, которые не разместились в каталоге.
- Attributes file (файл атрибутов).Используются для контроля доступа и т.п.
- Journal file (журнал).Хранит данные о транзакциях, выполненных для данного тома.
Catalog file, extents overflow file и attribute file — представляют собой B-деревья.
Заголовок тома всегда размещается по фиксированному смещению 1024 байта от начала тома. Он содержит общую информацию о томе — в том числе и о размещении других служебных структур HFS+ на диске. Так, например, journalInfoBlock — размещение журнала, если для этой системы ведется журналирование, allocationFile-блок, с которого начинается карта размещения файлов на диске, catalogFile — размещение файла каталога.
Способ 2 – через Launchpad
Если вы по каким-либо причинам не хотите использовать поиск Spotlight (например, вам просто интересно знать, где конкретно находится Мониторинг системы):
1. Нажмите на иконку Launchpad (на ней изображена ракета).
2. Кликните по папке Другие.
3. Запустите Мониторинг системы нажатием по иконке приложения.
Если вы хотите оставить иконку Мониторинга на панели Dock на постоянной основе, кликните по ней правой кнопкой мыши (или двумя пальцами по трекпаду) и выберите Параметры → Оставить в Dock. После этого иконка останется в Dock даже после того, как вы закроете приложение.
2. Создание новой папки
Для того чтобы создать новую папку в окне Finder, можно воспользоваться кнопками Command (⌘) + Shift (⇧) + N на клавиатуре. Далее нужно назвать папку и переместить требуемый контент.
Заголовок тома HFS+
struct HFSPlusVolumeHeader
UInt16 signature;
UInt16 version;
UInt32 attributes;
UInt32 lastMountedVersion;
UInt32 journalInfoBlock;
UInt32 createDate;
UInt32 modifyDate;
UInt32 backupDate;
UInt32 checkedDate;
UInt32 fi leCount;
UInt32 folderCount;
UInt32 blockSize;
UInt32 totalBlocks;
UInt32 freeBlocks;
UInt32 nextAllocation;
UInt32 rsrcClumpSize;
UInt32 dataClumpSize;
HFSCatalogNodeID nextCatalogID;
UInt32 writeCount;
UInt64 encodingsBitmap;
UInt32 fi nderInfo[8];
HFSPlusForkData allocationFile;
HFSPlusForkData extentsFile;
HFSPlusForkData catalogFile;
HFSPlusForkData attributesFile;
HFSPlusForkData startupFile;
>;
Запись catalog file
struct HFSPlusCatalogFile
SInt16 recordType;
UInt16 fl ags;
UInt32 reserved1;
HFSCatalogNodeID fi leID;
UInt32 createDate;
UInt32 contentModDate;
UInt32 attributeModDate;
UInt32 accessDate;
UInt32 backupDate;
HFSPlusPermissions permissions;
FInfo userInfo;
FXInfo fi nderInfo;
UInt32 textEncoding;UInt32 reserved2;
HFSPlusForkData dataFork;
HFSPlusForkData resourceFork;
>;
Catalog file содержит метаданные файлов и папок в виде отдельных записей. Node ID (CNID) — это уникальный номер ноды файловой системы. Самая важная информация в записи catalog file’а — это данные о размещении файла, в которые входят восемь записей из стартового блока и длины в блоках непрерывной части фрагмента файла (fork’а). Если этого недостаточно, остальные данные о форках файла есть в Extent overflow file.
Восстановление файлов с поврежденного диска
Повреждение жесткого диска среди прочего означает и возможную потерю данных (или их части). Для того, чтобы избежать этого, попробуйте создать образ «сломавшегося» диска. Для этого потребуется внешний жесткий диск как минимум того же объема.
1. Подключите его к Mac, перезагрузите компьютер,
2. Войдите в Recovery Mode (⌘Cmd + R),
3. Запустите Дисковую утилиту,
4. В строке меню вверху выберите Файл → Новый образ → Образ «Macintosh HD» и запустите процесс. На создание образа уйдет какое-то время, но в конце вы получите копию старого диска в формате DMG и сможете его смонтировать уже в новой системе.
Если же создание образа по каким-то причинам не получится, файлы можно скопировать и вручную. Для этого вернитесь в режим восстановления (⌘Cmd + R) и запустите приложение Терминал. Для запуска копирования ваших файлов на внешний носитель используйте команду cp -r. Пример:
cp -r /Volumes/Macintosh\ HD/Users/[username]/Documents/Volumes/Backup/
Не забудьте сменить [username] на свое имя пользователя в системе.
Давайте разберем команду: cp — это команда на копирование, —r означает, что эта команда выполняется рекурсивно, т.е. сначала копируются директории внутри указанной вами директории, а затем директории, которые входят в их состав, и так далее.
Первый путь — это указание на местонахождение файлов, которые вы хотите скопировать. Второй путь указывает местоположение внешнего накопителя, он всегда будет в /Volumes/, какое бы название вы ему ни дали.
Единственная сложность этого способа — вы должны вспомнить, где именно находились ваши файлы, и соответствующим образом прописать путь. Также вам остается только надеяться на то, что файлы не находятся на поврежденной части диска.
Когда копирование данных будет завершено, вы можете с чистой совестью отдать Mac в ремонт или переустановить macOS.
… Именно в такие моменты люди начинают понимать важность резервного копирования данных. И действительно — при настроенном копировании Time Machine проблемы с потерей данных не страшны. Настройте копирование данных прямо сейчас — и сэкономьте себе много времени, нервов и денег в будущем!
Так же, как и большинство нативных приложений в macOS, файловый менеджер Finder предлагает значительное количество клавиатурных сочетаний, позволяющих упростить работу. Ниже представлены 10 сочетаний клавиш, которые можно использовать для управления файловой системой.
Проверка fsck
File system consistency check (fsck, «проверка целостности файловой системы») — старый добрый Unix-инструмент для проверки и решения проблем с дисками.
В зависимости от объема жесткого диска, его типа и серьезности проблемы fsck-проверка может занять довольно много времени. Просто наберитесь терпения.
Для запуска fsck необходим переход в однопользовательский режим (Single User Mode). Он позволяет вносить изменения в общие пользовательские ресурсы на компьютере. Single User Mode не запускает macOS; он просто дает доступ к командной строке Unix.
Для перехода в Single User Mode:
1. Выключите Mac;
3. Сразу после стартового сигнала нажмите и удерживайте сочетание клавиш ⌘Cmd + S.
Вскоре вы увидите командную строку. Наберите в ней fsck -fy для запуска процедуры fsck.
Примечание: если ваш диск зашифрован, выберите подходящий пользовательский аккаунт и введите пароль для дешифровки. Если у вас установлен пароль на прошивку Mac, запустить Single User Mode не получится.
** The volume Macintosh HD could not be repaired.
*****The volume was modified *****
Система сообщает, что восстановить жесткий диск не удалось. Ничего страшного — просто запустите fsck еще раз. Команда та же: fsck -fy
** The volume Macintosh HD was repaired successfully.
*****The volume was modified *****
Уже намного лучше… но расслабляться рано. Опять-таки, запустите проверку еще раз.
** The volume Macintosh HD appears to be OK.
А вот это — то, что нам нужно. fsck проверила весь диск и не нашла ничего, что требовало бы исправлений.
Теперь из Single User Mode можно выходить. Команда для выхода: exit.
Как открыть окно «Принудительное завершение программ» на Mac
Для открытия окна «Принудительное завершение программ» достаточно нажать на клавиатуре сочетание клавиш ⌘Command + ⌥Option (Alt) + Esc.
Для закрытия «зависшей» программы, выделите ее в списке приложений и нажмите кнопку Завершить в правом нижнем углу.
5. Быстрый доступ к папке «Утилиты» на Mac
Данная папка содержит ряд используемых время от времени важных приложений, таких как «Терминал» или «Мониторинг системы». Быстро получить к ним доступ можно при помощи клавиш Command (⌘) + Shift (⇧) + U.
9. Конфигурация параметров просмотра файлов для текущего окна
Переместите окно Finder на передний план и нажмите на Command (⌘) + J. Появившийся список параметров позволит изменить порядок сортировки, размер иконок, выбрать фон Finder и пр.
Intro
Для использования в Mac OS, Apple разработала свою собственную файловую систему HFS (Hierarchical File System). В настоящее время ей на смену пришла HFS+, которая используется в Mac OS, начиная с версии 8.1. Структура тома, использующего HFS+, близка к HFS, но в то же время содержит некоторые отличия.
Основные характеристики этих двух систем:
Длина имени файла:
Кодировка имен файлов
Максимальный размер файла
Как видишь, HFS+ была создана, чтобы наиболее эффективно ис пользовать дисковое пространство для томов больших размеров и фрагментированных файлов.
7. Дублирование выбранных объектов
Для дублирования выбранных объектов можно воспользоваться Command (⌘) + D, после чего в окне Finder будут созданы соответствующие копии.
Низкоуровневый доступ к ФС и восстановление данных
По восстановлению информации в MacOS HFS и HFS+ написано гораздо меньше мануалов, чем для других систем, да и выполнить это восстановление сложнее. Трудности появляются из-за того, что HFS+ используются B-деревья для хранения метаданных о размещении файлов. После того как какой-то файл удален, B-дерево тут же обновляется, и информация о размещении удаленного файла теряется. С выпуском Mac OS X 10.2 в августе 2002 года Apple усовершенствовала HFS+, добавив журнал, который хранит все изменения файловой системы в блоках транзакций.
Журналирование может быть разрешено или запрещено пользователем в процессе работы. В Mac OS X версии 10.2 по умолчанию журналирование запрещено. В Mac OS X 10.3 и более поздних оно по умолчанию разрешено. То есть, на всей современной технике с Mac OS X изменения файловой системы журналируются. Однако журнал был добавлен в HFS+ не для восстановления утраченных данных, а для поддержания целостности ФС в случае исключительных ситуаций. Простое действие пользователя порождает множество изменений в файловой системе.
Так, при создании файла, например, происходит следующее:
- В Catalog file добавляется нода нового файла.
- Bitmap тома изменяется, чтобы корректно отразить информацию о занятых блоках.
- Также записи будут добавлены в Extent overflow, если файл сильно фрагментирован.
- Файл атрибутов обновляется.
- Заголовок тома обновляется, чтобы зафиксировать факт изменения файловой системы.
Все эти изменения могут привести к тому, что файловая система будет повреждена, поскольку в процессе этих действий может произойти отключение питания или извлечение съемного носителя. Журналирование как раз и помогает решить эту проблему.
Транзакция в журналируемой HFS+ включает следующие шаги:
- Начать транзакцию копированием всех предполагаемых изменений в файл журнала.
- Записать журнал из буфера на диск.
- Записать факт транзакции в заголовок журнала.
- Провести запланированные изменения.
- Пометить транзакцию завершенной.
При монтировании файловой системы HFS+ система проверяет журнал на предмет незавершенных транзакций. Если таковые есть, то файловая система будет исправлена.
Способ 1 – через Spotlight
Самый простой способ сделать это – ввести поисковый запрос в Spotlight.
1. Кликните на значок с изображением лупы в правом верхнем углу экрана.
2. Начните вводить слово Мониторинг. Spotlight автоматически выдаст подсказку, что вы ищете Мониторинг системы. Нажмите Enter (в macOS называется Return). Через пару мгновений программа откроется.
3. Очистка корзины
Быстро очистить мусорную корзину позволит сочетание Command (⌘) + Shift (⇧) + Delete. Для этого нужно переместить окно Finder на передний план.
10. Изменение отображения файлов в Finder
Изменить вид файлов в Finder позволят следующие клавиатурные комбинации:
- Command (⌘) + 1 – отображение содержимого окна Finder в виде иконок;
- Command (⌘) + 2 – отображение содержимого окна Finder в виде списка;
- Command (⌘) + 3 – отображение содержимого окна Finder в виде колонок;
- Command (⌘) + 4 – отображение содержимого окна Finder в режиме перелистывания Cover Flow.
4. Запуск Spotlight
Для того чтобы открыть Spotlight, нажмите на клавиши Command (⌘) + Пробел. В некоторых случаях может быть настроено как Ctrl + Пробел.
Как открыть Диспетчер задач на Mac
Мониторинг системы на Mac – более сложное приложение, чем Диспетчер задач на «винде». Недоработка разработчиков? Нет, просто нужен он пользователям macOS гораздо реже (потому что у них чаще всего ничего так уж сильно не «виснет»). Вот и спрятали «мониторинг» куда подальше, чтобы не мозолил глаза.
Но раз уж понадобился – давайте открывать.
Загрузка в Безопасном режиме (Safe Mode) на Mac
При активации Safe Mode macOS просканирует жесткий диск и исправит все ошибки, которые найдет.
«Безопасная» загрузка запускает только жизненно необходимые компоненты (т.е. только то, что необходимо для запуска компьютера). В результате не будут запущены сторонние расширения, элементы входа в систему (логины-пароли), а также будет очищен кэш в определенных разделах.
Чтобы запустить Mac в режиме Safe Mode, выключите его, затем включите и одновременно со стартовым звуком зажмите на клавиатуре клавишу ⇧Shift. Если ваш Mac завис при включении, сначала выключите его (для этого удерживайте физическую кнопку питания на корпусе или клавиатуре в течение 10 секунд).
Если Mac загрузил систему, перезагрузите его и включайте уже как обычно. Если же компьютер вновь завис, переведите его в Verbose Mode — для этого необходимо выключить Mac, включить его и после стартового сигнала одновременно нажать и удерживать ⌘Cmd + V. Так вы сможете узнать, какой именно системный компонент приводит к проблеме. Когда источник будет выявлен, можно перезагрузиться в Safe Mode (с зажатой клавишей ⇧Shift) и удалить проблемное расширение, после чего попробовать уже обычную перезагрузку.
Способ 2 – через Launchpad
Если вы по каким-либо причинам не хотите использовать поиск Spotlight (например, вам просто интересно знать, где конкретно находится Мониторинг системы):
1. Нажмите на иконку Launchpad (на ней изображена ракета).
2. Кликните по папке Другие.
3. Запустите Мониторинг системы нажатием по иконке приложения.
Если вы хотите оставить иконку Мониторинга на панели Dock на постоянной основе, кликните по ней правой кнопкой мыши (или двумя пальцами по трекпаду) и выберите Параметры → Оставить в Dock. После этого иконка останется в Dock даже после того, как вы закроете приложение.
2. Режим восстановления и Первая помощь на Mac
Если безопасный режим не решил вашу проблему, переходим к следующей опции под названием Режим восстановления (Recovery Mode). Он «живёт» в отдельной части загрузочного диска и позволяет восстанавливать систему, получать доступ к Терминалу и возможность переустановить операционную систему вашего Mac — macOS.
Для перехода в Режим восстановления:
1. Выключите компьютер;
3. Сразу же после стартового сигнала нажмите и удерживайте сочетание клавиш ⌘Cmd + R.
Если перейти в Recovery Mode не удается (при проблемах с диском такое бывает), можно запустить режим восстановления через интернет. Сочетание клавиш будет уже несколько другим — ⌘Cmd + ⌥Option (Alt) + R. Этот способ требует интернет-подключения и займет гораздо больше времени, т.к. macOS будет загружать из Сети образ системы весом в несколько гигабайт.
Если загрузка в Режим восстановления прошла успешно, вы увидите несколько вариантов действий. Запустите Дисковую утилиту и найдите загрузочный диск, который является источником проблем — скорее всего, он называется Macintosh HD. Выберите его в окне слева, а затем нажмите Первая помощь → Запустить.
Еще 40 полезных сокращений Finder
Command (⌘) + A — выделение всех файлов в активном окне Finder;
Option (⌥) + Command (⌘) + A — отмена выделения;
Command (⌘) + C — копирование выделенного элемента или текста в буфер обмена;
Command (⌘) + V — вставка скопированного элемента;
Command (⌘) + X — вырезать;
Shift (⇧) + Command (⌘) + D — открытие папки рабочего стола;
Command (⌘) + E — извлечение носителя;
Shift (⇧) + Command (⌘) + G — переход к папке;
Shift (⇧) + Command (⌘) + H — открытие личной папки текущего пользователя;
Command (⌘) + I — открытие свойств файла;
Option (⌥) + Command (⌘) + I — открытие окна «Инспектор»;
Control + Command (⌘) + I — открытие общих свойств файла;
Command (⌘) + J — отображение параметров вида;
Shift (⇧) + Command (⌘) + K — открытие окна «Сеть»;
Command (⌘) + L — создание псевдонима выделенного файла;
Command (⌘) + M — сворачивание окна;
Option (⌥) + Command (⌘) + M — сворачивание всех окон;
Option (⌥) + Command (⌘) + N — создание смарт-папки;
Command (⌘) + O — открытие выбранного элемента;
Shift (⇧) + Command (⌘) + Q — выход;
Command (⌘) + R — отображение оригинала файла (для псевдонима);
Command (⌘) + T — добавление в боковое меню Finder;
Shift (⇧) + Command (⌘) + T — добавление в избранное;
Option (⌥) + Command (⌘) + T — скрытие или отображение панели инструментов в окнах Finder;
Command (⌘) + W — закрытие окна;
Option (⌥) + Command (⌘) + W — закрытие всех окон;
Option (⌥) + Command (⌘) + Y — запуск слайд-шоу;
Command (⌘) + Z — отмена последнего действия;
Command + , (запятая) — открытие настроек Finder;
Command (⌘) + Shift (⇧) + ? — открытие справки Mac;
Option (⌥) + Shift (⇧) + Command (⌘) + Esc — принудительное завершение работы программы;
Command (⌘) + стрелка вверх — открытие вложенной папки;
Control + Command (⌘) + стрелка вверх — открытие вложенной папки в новом окне;
Command (⌘) + стрелка вниз — открытие выделенного элемент;
Command (⌘) + Tab — переход к другой программе (вперед);
Shift (⇧) + Command (⌘) + Tab — переход к другой программе (назад);
Command (⌘) + Delete — перемещение в Корзину;
Option (⌥) + Shift (⇧) + Command (⌘) + Delete — очистка Корзины без вывода диалогового окна подтверждения;
Каждый пользователь Windows знает, где находится диспетчер задач. А вот где он находится на Mac?
Как говорят ученые, сначала договоримся о терминах. В macOS диспетчер задач имеет название Мониторинг системы. Выполняет он практически те же самые задачи, что и «диспетчер» на Windows.
Обычно Диспетчер задач в Windows используется для закрытия зависших программ, однако в среде Mac функции этого инструмента размещены в разных местах.
В macOS для принудительного закрытия приложения может использоваться утилита «Принудительное завершение программ» (аналог Ctrl+Alt+Del в Windows), так и приложение Мониторинг системы.
Способ 1 – через Spotlight
Самый простой способ сделать это – ввести поисковый запрос в Spotlight.
1. Кликните на значок с изображением лупы в правом верхнем углу экрана.
2. Начните вводить слово Мониторинг. Spotlight автоматически выдаст подсказку, что вы ищете Мониторинг системы. Нажмите Enter (в macOS называется Return). Через пару мгновений программа откроется.
8. Поиск на Mac
Одной из полезных функций в Finder является возможность поиска контента, хранимого на Mac. После запуска окна приложения нажмите на Command (⌘) + F. Когда на экране отобразится поисковая строка, введите необходимый запрос.
Наконец-то восстанавливаем данные!
Как же использовать журнал для восстановления поврежденных файлов? Необходимо выполнить следующие действия:
- Читаем заголовок тома
- Получаем доступ к Catalog File
- Находим размемещение файла журнала
- Читаем его в память
- Находим там записи об удаленных файлах
- Если блоки, принадлежащие удаленным файлам еще не перезаписаны (проверяем по Bitmap), читаем их и восстанавливаем данные.
Здесь вроде бы все понятно, но есть одна проблема — размер журнала ограничен и периодически его содержимое перекрывается. Журнал загрузочного тома Mac-mini обычно перекрывается за 5-10 минут. Журнал загрузочного тома MacBook'а перекрывается за 30 минут. Если на томе работает Time Machine, то журнал перекрывается каждые 20 секунд. В общем, перезапись идет довольно активно. Поэтому перед восстановлением том лучше смонтировать только для чтения:
mkdir /Volumes/MyVolume
mount -t hfs -r /dev/diskXXXX /Volumes/MyVolume
Так мы сохраним журнал и к тому же предотвратим перезапись блоков удаленных файлов, которые помечены в bitmap'е тома как свободные.
По принципу анализа журнала HFS+ работает множество софтин, которые ты легко можешь найти в Сети, и большого смысла писать под это дело свою — нет.
Посмотрим, что можно сделать руками в консоли. Хорошо разобравшись в структуре HFS+, ты сможешь, используя стандартную утилиту «dd», которая позволяет дампить участки диска в файл, анализировать журнал и карту тома в консоли. Хотя это, конечно, очень утомительно :).
Вот пример чтения одного блока по заданному адресу:
sudo dd if=/dev/disk1 of=./evidence bs=4096 skip=4355500 count=1
Если есть какие-то предположения о содержимом файла и, тем более, если это текстовый файл, можно проделать такой трюк:
sudo cat /dev/disk1 | strings -o | grep -i 'secret code' -C 5
Если блоки удаленного файла еще не были перезаписаны, то этот способ позволит полностью восстановить файл.
Даже если блоки файла перезаписаны, например, с использованием специальных утилит, аналогичных shred, данные файла могут еще остаться в виртуальной памяти — то есть, в файле подкачки. В Mac OS X файл подкачки хранится в /var/vm
$ ls -al /var/vm
total 131072
drwxr-xr-x 4 root wheel 136 Oct 14 10:50 .
drwxr-xr-x 24 root wheel 816 Oct 14 10:52 ..
drwx--x--x 18 root wheel 612 Oct 11 11:20 app_profi le
-rw------T 1 root wheel 67108864 Oct 14 10:50 swapfi le
И тогда, проанализировав своп:
sudo strings -o /var/vm/swapfi le | grep 'secret code' -C 2
ты можешь найти фрагменты файла, которые еще остались висеть в буфере.
Для доступа к служебным структурам файловой системы в своем коде ты можешь использовать файлы raw-устройств. Как правило, на /dev/rdisk0s1 находится EFI раздел, а HFS+ раздел на /dev/rdisk0s2. Кроме того, в hfs/hfs_format.h уже есть готовые описания структур данных HFS+, которые тебе могут пригодиться.
Запускать проги, которые взаимодействуют с raw-устройствами, нужно через sudo, так как делать это может только админ и судоеры.
Как открыть Диспетчер задач на Mac
Мониторинг системы на Mac – более сложное приложение, чем Диспетчер задач на «винде». Недоработка разработчиков? Нет, просто нужен он пользователям macOS гораздо реже (потому что у них чаще всего ничего так уж сильно не «виснет»). Вот и спрятали «мониторинг» куда подальше, чтобы не мозолил глаза.
Но раз уж понадобился – давайте открывать.
Time Machine
Начиная с Mac OS X Leopard, в состав системы входит Time Machine. Эта утилита создает резервные копии файлов, записывая все изменения, происходящие с файловой системой. Перечисленные действия позволяют пользователю восстановить всю систему, несколько файлов или один отдельный файл в том виде, в котором он находился в определенный момент времени.
Для работы Time Machine необходимо выделить отдельный диск. Apple выпускает специальное устройство Apple Time Capsule, которое используется как сетевой диск специально для резервных копий Time Machine. Time Machine может использоваться и с любым USB или eSata-диском. При первом запуске Time Machine создает папку на указанном резервном диске, содержащую все данные.
Потом Time Machine бдует копировать только измененные файлы. В общем, если для диска используется Time Machine, то восстановление утраченных данных не представляет особых проблем.
6. Быстрый доступ к папке «Программы»
В случае, если потребуется запустить, переименовать или удалить какое-либо приложение, получить быстрый доступ к папке «Приложения» можно, нажав на Command (⌘) + Shift (⇧) + A.
Outro
Информация очень редко исчезает бесследно. Хорошо зная работу файловой системы, можно восстановить даже то, что считалось безвозвратно потерянным, ну и вообще — узнать много интересного из личной жизни пользователя.
Ваш Mac не включается? Без паники! Не спешите бросать всё и нести любимый компьютер в ближайший сервис. Вполне возможно, что для «реанимации» хватит и встроенных средств macOS, воспользоваться которыми может каждый желающий.
Читайте также: