Как восстановить mft жесткого диска
В статье описываются принципы и методы программного восстановления данных для пользователей, не обладающих специальными знаниями.
Если ценность информации очень высока и/или носитель информации имеет физические повреждения — стоит задуматься об обращении к специалистам. В этом случае вероятность полного восстановления данных будет наивысшей.
- Запись на раздел с восстанавливаемой информацией может уменьшить вероятность восстановления данных, так как данные могут быть записаны поверх существующих. Это касается также установки программ для восстановления данных и сохранения восстановленных файлов.
- Все работы с исходным накопителем желательно свести к минимуму для увеличения шансов на восстановление. Хорошая практика — создание посекторной копии накопителя и использование различных методов восстановления на копии.
- Если носитель информации имеет физические повреждения (в первую очередь это касается жестких дисков), то любое воздействие может усугубить ситуацию. Продолжать восстановление самостоятельно следует только в случае, когда стоимость самих данных ниже стоимости их восстановления специалистами.
- Проверка диска на наличие ошибок средствами Windows создаст дополнительные сложности для восстановления данных, вплоть до полной невозможности их восстановления.
Основные понятия
- Жесткие диски состоят из нескольких магнитных блинов, напоминающих CD-диски. Каждый диск может хранить данные на обеих сторонах и имеет головки для чтения и записи. Данные хранятся на концентрических кольцах, так называемых цилиндрах. Цилиндры могут быть разделены на секторы или блоки.
- Наименьшая логическая единица информации, которой оперируют программисты, – 1 бит. Во время работы с жестким диском наименьшая единица – сектор. Это означает, что компьютер читает или пишет 512 байт, даже если вы хотите прочитать или записать 1 байт.
- Перед тем как начать процесс восстановления, вы должны понимать три вещи:
- Master Boot Record (далее MBR). Это то, с чего всё начинается. MBR всегда размещается в первом секторе на диске. Если такая запись есть, то диск является загрузочным, а если нет, то диск не загрузочный. Диск, содержащий операционную систему, должен быть загрузочным.
- Volume Boot Record (далее VBR). Сектор также известен как загрузочный сектор или загрузочная запись раздела. Это понятие разработано IBM и используется для создания разделов на жестком диске (например: «C:\», «D:\», «E:\» и т.д.). Каждый логический диск имеет свой собственный VBR.
- File Systems (файловые системы). Это набор алгоритмов, определяющих способ организации, хранения и именования данных, а также структуру информации. Если вы хотите восстановить файлы, вы должны знать, какой тип файловой системы на вашем диске (NTFS или FAT32).
Структура диска
Для лучшего понимания дальнейших действий расскажем о логической структуре диска и файловых систем. Если вам не интересна теория и требуется быстро восстановить данные — можете пропустить раздел и перейти непосредственно к алгоритму действий.
Master Boot Record — главная загрузочная запись — находится в нулевом секторе диска, содержит часть исполняемого кода, а также данные о четырех разделах и о том, какой раздел является загрузочным.
Если MBR исправен, то после получения управления код, содержащийся в нем, считывает таблицу разделов и передает управление коду, содержащемуся в первом секторе загрузочного раздела (VBR — Volume Boot Record), если тот содержит сигнатуру 55AAh в конце сектора.
Для восстановления поврежденного MBR или загрузочного раздела существуют специализированные утилиты, такие как testdisk (Windows) и gpart (Linux), также можно использовать «Консоль восстановления» с установочного диска Windows. Их применение не всегда даст положительный результат при восстановлении данных, так как кроме повреждения MBR и VBR могут быть и другие неисправности, поэтому данные варианты в статье освещаться не будут. И хотя в сети достаточно инструкций по устранению подобных неисправностей, рекомендуется сначала восстановить важные данные с накопителя, а потом уже пытаться восстановить его правильную работу.
Файловые системы
- Область загрузчика (VBR), которая содержит информацию о структуре раздела, а также исполняемый код.
- Область данных, которая разбивается на равные части, называемые кластерами, при этом каждый кластер имеет уникальный номер. Размер кластера задается при форматировании.
- Область служебных данных файловой системы, в которой может храниться информация о папках, файлах, их именах, атрибутах, а также информация о том, какие цепочки кластеров занимает тот или иной файл.
Местоположения частей, а также копий служебных данных зависят от типа файловой системы.
Рассмотрим подробнее наиболее популярные файловые системы на пользовательских компьютерах: FAT и NTFS.
Структура файловой системы NTFS схематически изображена на рисунке.
Начинается раздел с загрузочной области, которая содержит информацию о разделе, а также исполняемый код. Копия загрузчика чаще всего находится в конце раздела.
Следующая область — главная таблица файлов MFT (Master File Table). Именно в ней хранится информация о каталогах, файлах и их атрибутах. Обычно под MFT резервируется область диска, равная 12,5% размера раздела. Размер зарезервированной области может меняться (как в большую, так и в меньшую сторону), а сама таблица может быть фрагментирована.
Кроме того, в определенной области раздела содержится копия первых 4 служебных записей таблицы.
Область пользовательских данных занимает все оставшееся пространство раздела.
При удалении файла стандартными средствами ОС в файловой записи ставится лишь отметка о том, что файл удален, а занимаемое им место помечается как свободное. Если после удаления файла никакой записи на диск не производилось — файл остался на месте, и его восстановление возможно.
При форматировании раздела происходит создание новой MFT на месте старой. Изначально размер новой таблицы достаточно мал (несколько сотен записей MFT), поэтому некоторые служебные записи предыдущей файловой системы еще можно восстановить. Чем больше было записано файлов на отформатированный раздел — тем меньше вероятность успешного восстановления данных.
В этом случае данные физически остаются на своих местах, также сохраняется часть информации о них, хранившаяся в предыдущей версии MFT. Стандартными средствами ОС эти файлы прочитать невозможно.
Иногда полное форматирование называют низкоуровневым форматированием, что является ошибкой. Низкоуровневое форматирование — технологическая операция, которая производится при изготовлении накопителя, и программными методами ее осуществить невозможно.
На самом деле из операционной системы доступно только высокоуровневое форматирование двух типов: полное и быстрое. Быстрое форматирование просто формирует таблицу раздела, а при полном форматировании сначала происходит проверка всего диска на наличие поврежденных секторов. В Windows XP эта проверка происходит с помощью операции чтения (то есть данные остаются на месте, и значит, в вопросе восстановления эта ситуация не отличается от быстрого форматирования, рассмотренного выше), а в Windows 7 сектора проверяются записью, при этом данные уничтожаются безвозвратно, и никаких способов их восстановить нет.
Структура файловой системы FAT схематически изображена на рисунке.
В начале раздела находится VBR, ее копия обычно через расположена через 6 секторов. Через определенное количество секторов находится сама файловая таблица FAT (File Allocation Table), следом за ней — ее копия.
В файловой таблице хранится информация только о цепочках кластеров, которые занимают файлы. Имена и атрибуты файлов хранятся в директориях, которые располагаются в пользовательской области.
Пользовательская область в FAT начинается с корневого каталога, все остальные каталоги и файлы располагаются в нем. Записи каталога указывают на первую запись в файловой таблице, в которой содержится информация о кластерах файла.
При удалении файла происходит изменение первого символа файловой записи на специальный код, который означает, что файл удален. Также помечаются свободными кластеры и удаляется информация о цепочке кластеров, занимаемых файлом, что усложняет процедуру восстановления фрагментированных файлов. Область данных остается без изменений, то есть файлы все еще возможно восстановить.
При форматировании формируется новая файловая таблица и корневой каталог, размер таблицы указывается в ее начале. Сами данные, в общем случае, остаются на диске. То, что следует на диске после вновь созданной таблицы, остается нетронутым (то есть информация о местоположении файлов, которые были на диске до форматирования). По мере записи новых файлов данные структур каталогов и файлов замещаются новыми, уменьшая вероятность восстановления существовавшей информации.
Удаление файла
Рассмотрим ситуацию, когда файл был удалён штатными средствами системы (т.е. файловая система присутствует в полном объёме и не повреждена). Восстановить удаленный файл в NTFS проще, чем в большинстве файловых систем. Как мы помним, при удалении файла в файловой системе FAT терялась цепочка записей, указывающих на занимаемые файлом кластеры. Такого безобразия в NTFS не происходит.
При удалении файла с HDD, USB-диска, карт памяти CompactFlash, MicroSd его имя исключается из индекса родительского каталога, а соответствующая ему запись MFT и занимаемые им кластеры освобождаются. Происходит пересортировка индекса, в результате которой информация об имени файла может быть утеряна. Соответственно, имя удалённого файла более не будет присутствовать в исходном каталоге.
Впрочем, этот недостаток более чем компенсируется, тем фактом, что MFT хранит все записи в одной таблице. Таким образом, поиск свободных записей сильно упрощается. Каждая запись содержит атрибут с базовым адресом родительского каталога. Соответственно, при нахождении свободной записи становится возможным определить её полный путь.
Для того чтобы восстановить удалённые в NTFS файлы, необходимо просканировать MFT в поиске свободных записей. При обнаружении свободной записи становится возможным определить имя файла – оно хранится в одном из атрибутов. Как было сказано ранее, имя файла удаётся определить не всегда. Зато в отличие от файловой системы FAT указатели на кластеры, занимаемые удалённым файлом, продолжают существовать. Соответственно, удаётся восстановить файл любого размера и любой степени фрагментации – разумеется, при условии, что занимаемые им кластеры не были перезаписаны другими данными.
Как мы ранее говорили, некоторые файлы могут целиком храниться в области MFT в виде атрибута. Такие файлы называют резидентными. Если для хранения резидентного файла было достаточно единственной записи MFT, то такой файл может быть восстановлен вплоть до момента повторного выделения записи MFT.
Особенностью NTFS является алгоритм выделения записей MFT. При выделении записи, Windows использует алгоритм, выделяющий первую по порядковому номеру доступную запись. Соответственно, записи MFT с малыми номерами выделяются чаще, чем записи с большими номерами.
Ранее мы публиковали статью о преимуществах файловых систем FAT и NTFS в нашем блоге.
Алгоритм восстановления данных
Алгоритм мы приведем на примере бесплатной программы R.saver, которая доступна для некоммерческого использования на территории бывшего СНГ. Она компактная, простая в использовании и не требует установки. Использует алгоритмы коммерческого ПО UFS Explorer, дает результаты на уровне профессиональных утилит. Поддерживаются файловые системы NTFS, FAT и exFAT.
Архив с программой необходимо распаковать на раздел, отличный от того, с которого будет вестись восстановление. В случае, если в системе всего один раздел, лучшим решением будет подключение диска с восстанавливаемыми данными к другому компьютеру. Если такой возможности нет, можно распаковать программу на внешний накопитель (если он достаточного объема для сохранения восстанавливаемых данных).
Выбор раздела
После распаковки программы ее необходимо запустить. В левой части главного окна можно увидеть подключенные к системе накопители и разделы на них. Если нужный раздел был автоматически найден и отображен в списке — выбирайте его и переходите к следующему пункту.
В случае, если нужного раздела нет в списке (например, производилось форматирование накопителя или изменение размеров разделов), можно запустить поиск потерянного раздела или задать его самостоятельно (только если вы знаете точные параметры раздела). Выбрать эти функции можно в контекстном меню накопителя либо на тулбаре.
Рассмотрим функцию поиска потерянного раздела подробнее:
После ее запуска откроется новое окно, в котором необходимо нажать на кнопку «Найти сейчас», что запустит поиск на диске известных файловых систем. По мере их нахождения список будет дополняться информацией о найденных разделах. Наиболее вероятные варианты будут иметь иконку синего цвета, что означает хорошее состояние раздела. Если иконка желтого или красного цветов, то найденный раздел либо очень сильно поврежден, либо найден ошибочно (некоторые типы файлов могут давать такой эффект).
Из списка разделов необходимо пометить галочками те, которые наиболее соответствуют параметрам искомого раздела: начало (в секторах), размер (в секторах и мегабайтах), метка, тип файловой системы.
Если значение в колонке «размер» меньше значения в колонке «начало», то, вероятнее всего, данный раздел не является действительным. Обычно этими «неправильными» разделами являются образы дисков, хранящиеся на накопителе.
Результаты сканирования рекомендуется сохранить перед продолжением, чтобы не пришлось сканировать диск заново в случае неправильного выбора.
Для продолжения нажмите кнопку «Использовать выделенные».
Сканирование
Далее откроется окно файлового менеджера, которое покажет текущее состояние файловой системы (то есть файлы и каталоги, видимые средствами ОС). Для запуска сканирования нажмите кнопку «Сканировать».
Если был выбран раздел с файловой системой NTFS, то будет предложен выбор: запустить полное или быстрое сканирование.
Область применения быстрого сканирования — поиск файлов, удаленных стандартными средствами операционной системы. При таком сканировании производится только чтение служебных записей в файловой таблице и их анализ.
Полное сканирование используется в большинстве случаев. При этом производится поиск остатков служебных записей в файловой таблице, виртуальная реконструкция файловой системы и посекторное сканирование с использованием технологии IntelliRAW. Дает отличный результат, но занимает больше времени.
Для файловых систем FAT16/FAT32 и exFAT доступен только режим полного сканирования. Это связано с тем, что из-за особенностей указанных файловых систем во многих случаях быстрого сканирования недостаточно для эффективного восстановления данных.
Сохранение результатов
После завершения сканирования программа покажет результат реконструкции в виде дерева файлов и папок, которые удалось найти.
Синими иконками отображаются элементы, которые видны стандартными средствами операционной системы, красными — те, которые были удалены или утрачены и недоступны стандартными средствами операционной системы.
- [Parent unknown] содержит файлы и папки, местоположение которых не удалось привязать к корневому каталогу
- [IntelliRAW] содержит файлы, отсортированные по типу, найденные с помощью восстановления по сигнатурам (с технологией IntelliRAW)
Для сохранения восстановленных данных либо в контекстном меню элемента выберите пункт «Копировать в…», либо нажмите кнопку «Массовое выделение» на тулбаре, потом отметьте все необходимые элементы и нажмите кнопку «Сохранить выделенное».
Напомним, что сохранять восстановленные данные необходимо только на раздел, отличный от того, с которого ведется восстановление — иначе данные могут быть повреждены.
Рекомендуется сохранить результат сканирования, нажав соответствующую кнопку на тулбаре, чтобы не приходилось повторно сканировать раздел в случае, если в первый раз сохранили не все нужные данные.
Читайте, как происходит восстановление данных с NTFS диска . Какой алгоритм используется программами для восстановления файлов. Вот мы и подошли вплотную к теме восстановления файлов. В отличие от FAT , NTFS – очень удобная для восстановления данных файловая система, позволяющая полностью восстановить все занимаемые удалённым файлом секторы на диске. Но есть у неё и недостаток: при определённых обстоятельствах теряется имя файла. Впрочем, содержимое файла гораздо важнее его названия, так что недостаток этот хоть и неприятный, но не критичный.
В статье « Анализ файловой системы NTFS » мы рассмотрели основные структуры данных файловой системы NTFS, далее мы рассмотрим алгоритм поиска удаленного файла.
Cпасти файлы из файловой системы RAW можно несколькими способами:
1. С помощью программы MiniTool Power Data Recovery
В результате все файлы были скопированы на другой диск, проблемный винчестер был отформатирован, после чего файлы были возвращены на место. Это самый надежный способ, если ты не фей :). Подробно об этом написано тут.
Минус данного метода состоит в том, что необходимо иметь на другом диске достаточное количество свободного места для временного размещения всех файлов с поврежденного диска. Также этот метод занимает довольно много времени.
2. С помощью утилиты Check Disk
Открыть меню Пуск -> Выполнить -> набрать в строке chkdsk E: /f, где вместо буквы E - ваша буква поврежденного диска.
В зависимости от размера диска (флешки) через несколько минут диск будет виден, как нормальный диск с файловой системой NTFS вместо RAW, и все файлы на месте!
Внимание! Данный способ применим только к флешкам и жестким дискам с файловой системой NTFS! Если у вас была файловая система FAT или FAT32, то восстановить RAW-диск данным методом не получится.
Симптомы повреждения
Как и в случае с любой другой ошибкой, повреждения MFT также не проходят бесследно. Они проявляются следующим образом:
The type of the file system is NTFS.
Volume label Work Folder.
Corrupt master file table. Windows will attempt to recover master file table from disk.
Windows cannot recover master file table. CHKDSK aborted.
Причины ошибки
В большинстве случаев, повреждение раздела NTFS смело свидетельствует о наличии сбоя главной таблицы файлов. Причин, способных спровоцировать возникновение неполадки, существует множество, но мы разберем самые основные:
- Сбой в работе операционной системы. Например, BSOD (синий экран смерти).
- Вирус, предназначенный для повреждения MFT.
- Неправильное извлечение диска (вы могли отключить его в момент неполного завершения работы компьютера).
- Сбой приложения.
- Наличие битых секторов.
Вне зависимости от причины возникновения неполадки, всегда есть шанс на восстановление диска и данных на нем. Каждая из приведенных ниже инструкций позволит своей простотой существенно сэкономить ваше личное время с большой долей вероятности вернуть HDD к жизни. Приступим!
Что такое логическое повреждение данных?
Повреждение данных или жесткого диска – это ситуация, при которой ваша операционная система (далее ОС) не может получить информацию о файлах или их свойствах. Это может случиться в результате повреждения элементов файловой системы, MBR или VBR, либо физического повреждения жесткого диска или флеш-накопителя. Вы сможете легко восстановить данные, если повреждённый диск соответствует нескольким требованиям:
- Диск и его секторы распознаются операционной системой.
- ОС имеет доступ к жесткому диску и его секторам.
Основная цель восстановления – собрать остатки данных после случившегося повреждения. Вы должны проанализировать каждый сектор в поисках файлов, так как ваша ОС больше не может этого сделать.
Методы восстановления данных
Существуют как чисто программные методы восстановления данных, так и программно-аппаратные. Для последних необходимо специальное дорогостоящее оборудование, соответствующие опыт и знания, тогда как программное восстановление с помощью автоматизированных утилит доступно практически любому пользователю ПК. Именно этот способ и будет описан далее.
Восстановление удаленных файлов
Для восстановления файлов, удаленных стандартными средствами операционной системы, необходимо прочитать служебные данные, минуя интерфейс файловой системы. При этом можно получить информацию о местоположении файлов, которые отмечены удаленными.
Если последующая запись на диск не производилась, то по этому местоположению получится считать нужный файл.
Реконструкция поврежденной файловой системы
Данный метод применяется в случае, когда файловая система была повреждена или отформатирована. Для реконструкции файловой системы необходимо просканировать весь раздел для поиска остатков служебных данных, на основе которых будет воспроизведена файловая таблица и, в случае успеха, будет получен доступ к файлам и папкам, хранившимся в разделе.
Восстановление после смены структуры разделов диска
Специализированные утилиты сканируют накопитель на наличие структур файловых систем, которые имеются на диске. На основании сканирования строится список возможных файловых систем с предварительной оценкой их состояния. Следующим шагом является проверка найденных систем на наличие нужных данных.
Восстановление по сигнатурам
RAW-recovery — восстановление по сигнатурам, используется в случаях, когда другие методы не дали удовлетворительного результата. В этом случае на накопителях производится посекторное сканирование на наличие известных сигнатур (уникальный набор символов, характерный для определенного типа файлов).
Для найденных файлов неизвестны ни названия, ни логическое расположение, ни атрибуты. В случае, если файлы фрагментированы, данный метод восстановления будет неэффективен.
Если сигнатура начала файла была найдена, то следующей задачей стоит найти конец файла. Обычно для этого используется любая следующая известная сигнатура, что может давать неудовлетворительный результат. Современные программы применяют методы, использующие остатки данных о файловой системе и ее особенности для улучшения результата. В ряде случаев подобные алгоритмы могут помочь восстановить даже фрагментированный файл, что при использовании стандартных алгоритмов невозможно. Например, алгоритм IntelliRAW, использующийся в программах семейства UFS Explorer, работает совместно с алгоритмами реконструкции файловой системы и использует полученные сведения для определения конца файлов. Такая реализация позволяет добиться лучших результатов, чем при использовании простых методов восстановления по сигнатурам.
Хороший результат черновое восстановление может дать в случае, когда файлы на накопителе расположены последовательно, без смещений и фрагментации. Например, при восстановлении файлов с карт памяти фотоаппаратов, видеокамер и т. д.
Архитектура
Рассмотрим, к примеру, компьютер с одним жестким диском и двумя разделами «C:\» и «D:\» на нем. ОС установлена на диске «C:\». MBR всегда находится в первом секторе, эта запись полностью отвечает за загрузку операционной системы компьютера на базе BIOS. Рассмотрим структуру этой записи подробнее:
- Код начальной загрузки . При загрузке компьютера необходимо выполнить код загрузки операционной системы или любого другого программного обеспечения. Такой первичный набор кодов находится в BIOS. Этот код проверяет наличие аппаратного обеспечения и проводит несколько проверочных тестов на возможность загрузки. Затем, в соответствии с указанным порядком загрузки, он начинает загрузку первого сектора дисков. Когда он находит тот, который отмечен как MBR, он начинает его запускать.
Этот код называется код начальной загрузки (обычно 440 байт). Работа кода заключается в просмотре таблицы раздела в поисках активного раздела (например, на каком диске находятся загрузочные файлы операционной системы), чтобы найти начальный сектор активного раздела. Загружает копию загрузочных файлов из раздела в память, контролирует их и то, как загружается ОС. Мы не будем углубляться в этом направлении, так как это не нужно для восстановления файлов. - Таблица разделов . Размер таблицы составляет 64 байта.
Раздел – это часть жесткого диска, которая была логически отделена, чтобы работать как отдельный диск настолько, насколько определит операционная система, и может иметь независимую структуру файловой системы . Независимо от того, какой раздел является активным, т.е. содержит ОС, начальный адрес сектора, включающего VBR раздела, содержит его размер и информацию о том, в какой системе он отформатирован: NTFS или FAT. Для восстановления файлов поиск и интерпретация таблицы разделов играют важную роль. - Подпись диска . MBR и VBR всегда содержат последовательность байт 0x55AA . Эта сигнатура определяет, содержит ли этот сектор MBR или VBR или нет.
Таблица разделов содержит от 1 до 4 записей размером 16 байт каждая. Давайте рассмотрим, как их интерпретировать:
- Индикатор загрузки . Это первый байт в таблице разделов, указывающий на то, активен раздел или нет.
Пример: находится на нём операционная система (файлы и драйвера) или нет. Если это поле содержит 0x80H (это в шестнадцатеричном виде, а в десятичном = 128), то это активный раздел. Для неактивных разделов это поле равняется 0x00h . - Стартовое значение CHS . Игнорируйте его.
- Дескриптор типа раздела. Это однобайтовое поле, но очень важное, так как даёт информацию о том, какой тип файловой системы реализован на диске. Поскольку каждая файловая система имеет свой алгоритм, очень важно знать, какая файловая система реализована на вашем диске. В этом поле вы можете встретить несколько шестнадцатеричных показателей. Они приведены ниже:
ЗначениеОписание0x00h Нет раздела (нет файловой системы); 0x01h DOS FAT-12 (файловая система); 0x04h DOS FAT-16 (нет файловой системы); 0x05h Расширенная DOS 3.3 (файловая система расширенного раздела); 0x06h DOS 3.31 (большая файловая система); 0x06h NTFS; 0x06h FAT32; - Завершающее значение CHS. Игнорируйте его.
- Адрес сектора, содержащего VBR. В первом секторе каждый раздел имеет сектор загрузки. Это поле содержит адреса подобных записей, поэтому это важное поле. Оно содержит адрес в шестнадцатеричном формате и имеет размер в 512 байт.
- Размер раздела . Здесь можно получить размер раздела.
Установив размер раздела и адрес его начала, вы можете приступить к ручному режиму восстановления файлов .
В предыдущих статьях мы неоднократно затрагивали тему повреждений HDD. Но что случится, если эти повреждения приобретут массовый характер во всего лишь одном накопителе? Такое развитие событий приведет к неизбежному сбою главной таблицы файлов диска и ряду других неприятных последствий.
Структура диска
Для лучшего понимания дальнейших действий расскажем о логической структуре диска и файловых систем. Если вам не интересна теория и требуется быстро восстановить данные — можете пропустить раздел и перейти непосредственно к алгоритму действий.
Master Boot Record — главная загрузочная запись — находится в нулевом секторе диска, содержит часть исполняемого кода, а также данные о четырех разделах и о том, какой раздел является загрузочным.
Если MBR исправен, то после получения управления код, содержащийся в нем, считывает таблицу разделов и передает управление коду, содержащемуся в первом секторе загрузочного раздела (VBR — Volume Boot Record), если тот содержит сигнатуру 55AAh в конце сектора.
Для восстановления поврежденного MBR или загрузочного раздела существуют специализированные утилиты, такие как testdisk (Windows) и gpart (Linux), также можно использовать «Консоль восстановления» с установочного диска Windows. Их применение не всегда даст положительный результат при восстановлении данных, так как кроме повреждения MBR и VBR могут быть и другие неисправности, поэтому данные варианты в статье освещаться не будут. И хотя в сети достаточно инструкций по устранению подобных неисправностей, рекомендуется сначала восстановить важные данные с накопителя, а потом уже пытаться восстановить его правильную работу.
Файловые системы
- Область загрузчика (VBR), которая содержит информацию о структуре раздела, а также исполняемый код.
- Область данных, которая разбивается на равные части, называемые кластерами, при этом каждый кластер имеет уникальный номер. Размер кластера задается при форматировании.
- Область служебных данных файловой системы, в которой может храниться информация о папках, файлах, их именах, атрибутах, а также информация о том, какие цепочки кластеров занимает тот или иной файл.
Местоположения частей, а также копий служебных данных зависят от типа файловой системы.
Рассмотрим подробнее наиболее популярные файловые системы на пользовательских компьютерах: FAT и NTFS.
Структура файловой системы NTFS схематически изображена на рисунке.
Начинается раздел с загрузочной области, которая содержит информацию о разделе, а также исполняемый код. Копия загрузчика чаще всего находится в конце раздела.
Следующая область — главная таблица файлов MFT (Master File Table). Именно в ней хранится информация о каталогах, файлах и их атрибутах. Обычно под MFT резервируется область диска, равная 12,5% размера раздела. Размер зарезервированной области может меняться (как в большую, так и в меньшую сторону), а сама таблица может быть фрагментирована.
Кроме того, в определенной области раздела содержится копия первых 4 служебных записей таблицы.
Область пользовательских данных занимает все оставшееся пространство раздела.
При удалении файла стандартными средствами ОС в файловой записи ставится лишь отметка о том, что файл удален, а занимаемое им место помечается как свободное. Если после удаления файла никакой записи на диск не производилось — файл остался на месте, и его восстановление возможно.
При форматировании раздела происходит создание новой MFT на месте старой. Изначально размер новой таблицы достаточно мал (несколько сотен записей MFT), поэтому некоторые служебные записи предыдущей файловой системы еще можно восстановить. Чем больше было записано файлов на отформатированный раздел — тем меньше вероятность успешного восстановления данных.
В этом случае данные физически остаются на своих местах, также сохраняется часть информации о них, хранившаяся в предыдущей версии MFT. Стандартными средствами ОС эти файлы прочитать невозможно.
Иногда полное форматирование называют низкоуровневым форматированием, что является ошибкой. Низкоуровневое форматирование — технологическая операция, которая производится при изготовлении накопителя, и программными методами ее осуществить невозможно.
На самом деле из операционной системы доступно только высокоуровневое форматирование двух типов: полное и быстрое. Быстрое форматирование просто формирует таблицу раздела, а при полном форматировании сначала происходит проверка всего диска на наличие поврежденных секторов. В Windows XP эта проверка происходит с помощью операции чтения (то есть данные остаются на месте, и значит, в вопросе восстановления эта ситуация не отличается от быстрого форматирования, рассмотренного выше), а в Windows 7 сектора проверяются записью, при этом данные уничтожаются безвозвратно, и никаких способов их восстановить нет.
Структура файловой системы FAT схематически изображена на рисунке.
В начале раздела находится VBR, ее копия обычно через расположена через 6 секторов. Через определенное количество секторов находится сама файловая таблица FAT (File Allocation Table), следом за ней — ее копия.
В файловой таблице хранится информация только о цепочках кластеров, которые занимают файлы. Имена и атрибуты файлов хранятся в директориях, которые располагаются в пользовательской области.
Пользовательская область в FAT начинается с корневого каталога, все остальные каталоги и файлы располагаются в нем. Записи каталога указывают на первую запись в файловой таблице, в которой содержится информация о кластерах файла.
При удалении файла происходит изменение первого символа файловой записи на специальный код, который означает, что файл удален. Также помечаются свободными кластеры и удаляется информация о цепочке кластеров, занимаемых файлом, что усложняет процедуру восстановления фрагментированных файлов. Область данных остается без изменений, то есть файлы все еще возможно восстановить.
При форматировании формируется новая файловая таблица и корневой каталог, размер таблицы указывается в ее начале. Сами данные, в общем случае, остаются на диске. То, что следует на диске после вновь созданной таблицы, остается нетронутым (то есть информация о местоположении файлов, которые были на диске до форматирования). По мере записи новых файлов данные структур каталогов и файлов замещаются новыми, уменьшая вероятность восстановления существовавшей информации.
Уровень повреждения
Повреждения жесткого диска можно условно разделить на три уровня. Уровень определяет, насколько повреждения обратимы и информация поддается восстановлению.
- Уровень 1: Это простой уровень, когда повреждена только таблица раздела вашего MBR. В данном случае нужно найти VBR. Как только будет найден VBR, вы сможете восстановить данные.
- Уровень 2: В этом уровне некоторые поля вашего VBR повреждены, из-за чего ОС не в состоянии распознать свою файловую систему. В данном случае вы должны проанализировать VBR, чтобы получить адресное поле вашего корневого каталога в FAT32 и MFT в NTFS. Если это получится, то вы сможете найти и восстановить ваши файлы, в противном случае вам придется осуществить поиск сигнатур файлов по всему диску.
- Уровень 3: В этом случае нет гарантии, что вы сможете восстановить данные, поскольку может иметь место физическое повреждение вашего оборудования : диск повреждён огнём, испорчен в результате падения, или в него попала вода и т.д. Для начала понадобится заменить поврежденные детали диска и восстановить работоспособность устройства.
Что такое главная таблица файлов?
Главная или Общая таблица файлов диска (Master File Table, MFT) — документ, хранящийся исключительно в файловой системе NTFS. Он является важнейшим винтиком в механизме работы данной системы, поскольку хранит в себе такую информацию как размер, дату и время записи, содержимое файлов.
Любой документ, загружаемый в NTFS, будет записан и в MFT. В случае удаления, файловое пространство будет помечено как свободное и находящееся в ожидании дальнейшей перезаписи. Если же главная таблица файлов была повреждена, все документы в разделе NTFS станут недоступными.
Восстановление поврежденной таблицы файлов
Журнал файловой системы
Одним из преимуществ NTFS является особенность организации записи информации в виде транзакций. Все изменения на диске регистрируются в специальном файле – журнале файловой системы. Журнал изменений активен не всегда, но он содержит информацию о времени удаления и последнего редактирования файла.
В NTFS есть функция самовосстановления, и журнал файловой системы – один из её инструментов. Наиболее распространённая причина повреждения файловой системе – сбой во время операции записи. При возникновении сбоя в работе компьютера в процессе операции записи файла на диск операционная система анализирует журнал файловой системы. В журнале хранится информация о предстоящих обновлениях метаданных, а после их успешного обновления создаётся соответствующая запись.
Что происходит, если во время операции записи происходит сбой? В этом случае операционная система сможет проанализировать журнал файловой системы и «откатить» состояние файловой системы к предыдущему состоянию.
Журнал файловой системы не содержит нерезидентных пользовательских данных, но содержит все резидентные атрибуты для возможности отмены изменений. Соответственно, для восстановления больших файлов журнал непригоден.
Нужно отметить, что полезность журнала изменений файловой системы с точки зрения восстановления файлов ограничена; этот журнал приносит гораздо больше пользы в тех случаях, когда необходимо восстановить целостность файловой системы ценой отмены (утраты) последних записанных данных. Соответственно, программы, восстанавливающие диски NTFS , журнал изменений для своей работы не используют.
Читайте, что такое логическое повреждение данных или таблицы разделов диска . Уровни повреждения и прогноз результата восстановления данных. Для восстановление данных с повреждённых жестких дисков нужно разбираться в жестких дисках, файловых системах, их структурах и принципах работы. Кроме того, нужно понимать степень повреждения. От вас потребуются полная концентрация сил и внимания, самоотверженность и навыки программирования. Мы предоставим всю нужную информацию, которая понадобится, чтобы восстановить ценные данные без специального программного обеспечения.
Дефрагментация диска
В некоторых случаях причиной отказа работы MFT и, как следствие, всей системы NTFS является чрезмерное фрагментирование диска. Решить этот вопрос можно следующим образом:
1. Откройте Мой компьютер .
2. Щелкните правой кнопкой по логическому разделу или физическому диску, с которым предстоит работать, и перейдите в Свойства .
Как восстановить раздел диска?
Не важно, какой это диск: винчестер компьютера, переносной USB-жесткий диск или USB-флэшка. Причиной сбоя могут быть чаще всего вирусы. В этом случае при попытке открыть диск виндовс сообщает некую прискорбную информацию, которая никак не может радовать, например: "Диск в устройстве [буква диска] не отформатирован. Произвести его форматирование?"
Если файловая система диска опознаётся как RAW, чтение данных, присвоение метки тома и другие операции с этим разделом (например, дефрагментация или проверка на наличие ошибок) становятся невозможны. При этом операционная система отображает размер раздела и при обращении к нему предлагает его отформатировать:
Если вы столкнулись с подобной ситуацией, то ни в коем случае не нажимайте "Да", если на диске имеются нужные файлы. После форматирования их конечно же тоже можно восстановить с помощью профессионалов или специализированных программ для восстановления файлов, но вероятность успеха может уменьшиться, и все-таки лучше делать это с самого начала.
Если посмотреть свойства данной флешки, то можно увидеть ее нулевой размер и файловую систему RAW:
RAW — обозначение для неопределённой файловой системы, в операционных системах линейки Microsoft Windows NT. Фактически RAW файловой системой не является, и определение файловой системы раздела как RAW означает то, что раздел не был распознан ни одним из установленных в системе драйверов файловых систем (например, FAT или NTFS). Обычно это означает, что раздел не отформатирован или структура файловой системы повреждена.
Файловая система RAW – тип файловой системы логического диска определяемый операционной системой (и другими программами) при частичных разрушениях в структуре файловой системы, например, таких как FAT или NTFS.
Возможные причины определения файловой системы как RAW:
Повреждения структуры файловой системы происходят в результате сбоев в работе компьютера или программ, а также вследствие деятельности различного рода вредоносных программ. Можно выделить следующие повреждения:
- неправильные значения для раздела в таблице разделов (например, в MBR);
- частичные разрушения в загрузочном секторе файловой системы;
- разрушения в области главной файловой таблицы MFT (для файловой системы NTFS);
- во время форматирования раздела фаиловая система может отображатся как RAW.
Одной из возможных причин является запись в загрузочный сектор или в MFT ошибочных данных. В случае, если большая часть структур файловой системы осталась нетронутой, велика вероятность восстановления файловой системы.
Если посмотреть нулевой (загрузочный) сектор диска, то можно увидеть, что не все хорошо:
Читайте также: