Восстановление поврежденных разделов NTFS. Восстановление данных жесткого диска HGST (Hitachi) Проблемы с файловой системой

Захожу на свой рабочий диск…
Стоп. Точнее пытаюсь зайти на
свой рабочий диск… а диска Е:
нету:(. Вместо него пустое
неразмеченное пространство

Из воспоминаний Horrific
Xakep v.11.01(35) p.27

Даже с великими гуру случаются
неприятности такого рода. От них не
застрахован никто. Я попытаюсь рассказать,
как можно восстановить данные в подобной
ситуации. Ведь, скорее всего, данные никуда
не делись, как были, так и остались на диске.
Просто повреждена служебная область
раздела. Поэтому попытаемся разобраться,
как она устроена, а поняв, выработаем
алгоритм действий.

Информация о структуре NTFS довольно скудна,
и, вследствии закрытости основных
спецификаций на нее, получена так
называемым методом . Как и другие файловые системы, NTFS
делит поверхность диска на кластеры. Размер
кластеров имеет фиксированный размер,
выбираемый из интервала от 512 байт (1 сектор)
до 64 Кб (128 секторов). Обычно используется
размер кластера в 4 Кб (8 секторов). Каждый
элемент файловой системы, включая
служебные (которые принято называть
метафайлами), представляет из себя файл.
Метафайлы находятся в корневом каталоге NTFS
раздела и начинаются с символа имени "$",
Основной служебный файл — $MFT (Master File Table) —
список абсолютно всех файлов, хранящихся в
разделе, включая MFT. Вновь
отформатированный раздел NTFS выглядит
следующим образом:

Место под MFT файл выделяется сразу и с
большим запасом, обычно 12,5% (но может быть и
25%, 37,5% и 50%) от объема раздела. Оставшееся
место предназначено для хранения
содержимого файлов. Однако ОС, при
необходимости, может сокращать место,
выделенное для MFT файла, когда место под
содержимое файлов заполнено. Для этого, в
текущих версиях NTFS, оставшееся свободное
место, выделенное под MFT файл, уменьшается
вдвое, тем самым, увеличивая место,
отведенное для размещения содержимого
файлов. И когда ОС информирует о свободном
месте, то это сумма свободного места в обеих
частях раздела (зарезервированное под MFT
файл и выделенное под хранение содержимого
файлов). Но файлы не только добавляются в
раздел, но и удаляются из него. И в этом
случае возможно вновь увеличение места,
отводимого под MFT файл. При этом в служебной
области может оказаться содержимое файлов,
которое там и останется. MFT файл начнет
фрагментироваться, хотя это и не есть good.
Еще раз повторюсь, сказанное относится к
вновь отформатированному разделу. Когда я
при помощи программы Partition Magic добавил
неразмеченное пространство перед NTFS
разделом к NTFS разделу (F:), то MFT у меня
начинается с 1731201 кластера, хотя обычное
значение — 4.

Сам MFT поделен на записи фиксированного
размера по 1 Кб (2 сектора) каждая. Первые 24
записи — это служебные файлы, причем первым
в списке идет сам MFT. Ввиду особой важности
MFT файла, копия первых четырех записей
хранится в файле $MFTMirr где-то в районе
середины раздела. Также в последнем секторе
раздела (для Win’2k/XP) хранится резервная копия
boot сектора. Таким образом, для
восстановления раздела необходимо найти и
скопировать в начало раздела 4 первые
записи MFT из резервной копии и, возможно, сам
загрузочный сектор.

Для работы нам потребуется любой дисковый
редактор. Главное, чтоб он мог видеть все
пространство твоего диска. Можно
воспользоваться DiskEdit от дяди Нортона из
пакета Norton Utilities
2002 или штатным дисковым редактором Win’2k —
Disk Probe, для чего нужно с дистрибутива Windows из
папки Support\Tools установить дополнительные
инструменты, в том числе и Disk Probe. Также
потребуется программа PartitionInfo из пакета Partition
Magic . Для начала, выясним физические
границы требуемого NTFS раздела. Это можно
сделать при помощи программы PartitionInfo из
пакета Partition Magic.

В моем случае раздел NTFS начинается с 5060538
сектора диска. (также в нижнем окне доступна
информация в формате C:H:S) Теперь получим
информацию о номере последнего сектора и о
расположении MFT и ее копии, для чего
нажимаем кнопку Boot Record…

Итак, последний сектор раздела это 5060538 +
3341456 = 8401994 (первый сектор раздела + Total NTFS Sectors),
MFT начинается с 8х4=32 сектора (MFT start cluster * Sectors
per cluster), MFT Mirr — c 417682 х 4=1670728 сектора (MFT Mirror start
cluster * Sectors per cluster). Уточним размер отдельной
записи в MFT файле, для чего запустив
программу Partition Magic, выбрав требуемый раздел,
нажав правую кнопку мыши, выберем пункт
Properties В появившемся окне выберем
вкладку NTFS Info. Как и должно быть, размер
записи в MFT файле (File Record Size) составляет 1 Кб (2
сектора).

Запускаем дисковый редактор, например Disk
Probe, и выбираем пункты меню — Volume>. В появившемся окне дважды щелкаем
мышкой по требуемому разделу (в моем случае
это G), нажимаем последовательно кнопки Set
Active и OK. Теперь переходим на сектор,
содержащий копию MFT. Для этого выбираем
пункт меню — и в открывшемся
окне вводим номер сектора 1670728 и число
требуемых секторов (16) и нажимаем кнопку Read.
Теперь перепишем эти сектора по месту
расположения MFT, с 32 сектора. Для этого
выбираем пункт меню — .
Отвечаем утвердительно на вопрос изменения
режима работы с Read Only на Read/Write, в
появившемся окне указываем сектор, с
которого надо осуществить запись (в нашем
случае это 32) и нажимаем кнопку Write it.
Подтверждаем свое желание еще раз и MFT
восстановлена.

Теперь необходимо скопировать на свое
место загрузочный сектор. Для этого
выбираем пункт меню — После чего устанавливаем активным
требуемый физический диск. Это аналогично
тому, что мы осуществили для логического
диска. Теперь надо перейти на последний
сектор восстанавливаемого раздела. Через
меню — вводим значение 8401994
после чего записываем это значение в сектор
5060538. Будьте особенно внимательны,
поскольку вы работаете с целым диском и не
ограничены границами поврежденного
раздела!

Осталось запустить утилиту chkdsk e: /f, которая
найдет и исправит просто огромное
количество ошибок, после чего поздравить
себя со спасенным разделом.

PS: Поскольку все операции потенциально
опасны, не поленись сделать резервную копию
разделов, находящихся на том же физическом
диске, что и восстанавливаемый раздел.

Вопрос: Как обнулить MFT (главную таблицу файлов)?

Ответ: Linoge
Быстрое форматирование (средствами винды) переписывает 32 (ХР) или 256 записей.
Все остальные на месте.
И если бы не это, то восстановление файлов могло бы быть только без имён и иерархии.

Иначе очистка mft бессмысленна.

В случае автора сами файлы уже давно презаписаны мусором - так что "враги" их содержимоеуже не узнают.
Тут, насколько понимаю, автор боится того что из MFT узнают имена файлов - ведь они реально могут дать кое какую информацию.

Кстати, есть два интересных момента.
1. Резидентный файлы
2. Ранее упомянутая фрагментация MFT - точнее случай когда она дефрагментируется. В процессе этого действа старые фрагменты не удаляются, и если поверх них ничего не записалось, то из них можно получить тот самый конфидишен.

qvad

Вы, кроме, как как высмеивания моего ответа

Кровавая пелена накатила на глаза?
А это что?
И только после этого была констатация факта, почему то воспринятое за высмеивание.
Впрочем, доля иронии была, и была в контексте высмеивания в другой теме участника, написавшего о решении проблемы.
ЗЫ: Что мешало сделать предложенное самому? Я отвечаю там, где меня спрашивают.

Вопрос: Как восстановить данные с жесткого диска?

Тип файловой системы: NTFS.
Не удается прочитать первый загрузочный сектор NTFS.
Попытка чтения второго загрузочного сектора NTFS.
Метка тома: SYSTEM.
Повреждена основная таблица файлов. Выполнение CHDSK прервано.

Причем второй компьютер видит этот диск с файловой системой RAW.

Подскажите пожалуйста, как забрать важные файлы с диска?

P.S. При попытке восстановления Windows с загрузочной флешки появляется ошибка, сообщающая что диск заблокирован. Команды bootrec /fixmbr и /fixboot не помогают.

Ответ: Восстановил данные с помощью DMDE, тему можно удалить.

Вопрос: После использования Acronis`a диск недоступен

Скрин из Crystal Disk Info:

P.S. Возможность подключить какую-либо внешнюю память и выкачать данные туда, если они найдутся, увы отсутствует.

Ответ:

Сообщение от qvad

смиритесь и идите за новым хардом

Я б с радостью, да я - обычный студент, и хард потяну разве что в кредит)) пока что попользуюсь этим, подкоплю денег, в будущем хотел бы приобрести ссд, потому как планирую потом пересесть на стационарник.

Добавлено через 1 минуту
кстати, есть вопрос по совету из темы, которую указывал ранее. как проверять на целостность данных? средствами dmde как-то?

Вопрос: Восстановление поврежденной MFT

Ответ: Что то не состыковываются показания чекдиска и тестдиска.
Если диск в винде монтируется, но пустой, то как бы больше веры чекдиску. И если так, то обязательно забери букву у раздела пока винда в него не нагадила.
Надо посмотреть что там в реалии. Но лучше это делать в теме
Нужен дамп бутсектора раздела, желательно начальных записей MFT, можно лог поиска NTFS для проблемного раздела.
Только учти - восстановление по месту не всегда может пройти 100%, так что надо или подстраховываться или посекторкой или вытаскиванием (как минимум самого нужного) на другой источник.

Вопрос: Зависает ноут, CHKDSK не проходит

Добавлено через 2 часа 41 минуту
В общем, проверил HDDScan"ом.

/!\ 196 Reallocation Event Count 100 100 0000000000-001B 000

/!\ 197 Current Pending Errors Count 100 100 0000000000-007E 000

Видимо, придётся менять винт.

Ответ: Здравствуйте,

Какой жесткий вы используете? Есть несколько основных причинах замедления или зависания операционной системы: Вредоносные программы, перегрузка оперативной памяти, перегрев или неисправной жесткий диск. В вашем случае это не должно быть перегрев (надеюсь что проверили), так что поделитесь - какая у вас оперативная память, проверяли ее состояние? Еще можете "очистит" ноут, если какие-либо ненужные программные обеспечения стоят, а также можно провести проверку работоспособности жесткого диска с программного обеспечения от производителя. А если у вас загрузочной диск для Windows - лучше прямо слить важную инфу на другом ПК, отформатировать и установить новая ОС.

Не стесняйтесь задавать еще вопросы, Citizen_WD

Вопрос: Запускается CHKDSK при каждом старте системы

Ответ: Big-Endian ,

А смысл натравливать чекдиск на диск с пендингами? Тормозить при работе диск один чёрт не перестанет.

Смысл в том, что винда добавит проблемные кластера в $BadClus и не будет к ним обращаться.
И особенно это актуально для служебных файлов ФС (типа битмапа тома).

Вопрос: Не запускается Windows 8.1. Код ошибки 0xc0000185

Всё началось с того, что ноутбук стал сильно тормозить и вылетал синий экран смерти с кодом ошибки KERNEL_DATA_INPAGE_ERROR
Много раз пытался исправить данную ошибку, но спустя некоторое время она вновь появлялась.
Вчера (после очередного синего экрана с данным кодом ошибки) очень долго ноутбук пытался запустить Windows, но в итоге мне выдало данное сообщение:

Ошибка внутреннего диска
Система выявила ошибку S.M.A.R.T. на внутреннем жестком диске или твердотельном накопителе.
В случае отказа системы рекомендуется провести резервное копирование данных.
Code: 05

А также выдаёт данный код ошибки: 0xc0000185

При попытке вернуть систему к заводскому состоянию выдаёт ошибку о том, что отсутствует необходимый для этого раздел.
Пытался проверить и исправить ошибки посредством chkdsk /R - на 4-ом этапе (замена поврежденных кластеров) на 65% проверка/исправление остановилась с ошибкой "Возникла неопределенная ошибка <6e74667363686b2e ae7>. Ошибка передачи сообщений о регистрации в журнал событий. Состояние ошибки: 50. "
При попытке исправить ошибки посредством chkdsk /spotfix выдаёт следующее:
"Не удаётся восстановить основную таблицу файлов. Выполнение CHKDSK прервано"

Что можете посоветовать?
Может кто сталкивался с подобным.

Ответ: проверять винт на бэды.

Вопрос: Chkdsk выдает ошибку и не переустанавливается винда

}