Хабрахабр

Самостоятельная диагностика жестких дисков и восстановление данных

В данной статье описываются методы самостоятельной диагностики различных неисправностей жестких дисков по симптомам их проявления, а также способы относительно безопасного клонирования жестких дисков с незначительными проблемами.

Рассмотрены различные случаи утраты данных и набор оптимальных действий, которые без глубоких знаний устройства файловых систем с помощью программ автоматического восстановления помогут вам вернуть вашу информацию без посторонней помощи.

Но прежде, чем приступить к каким-либо самостоятельным действиям, необходимо внимательно ознакомиться со всеми материалами статьи, и только потом анализировать состояние вашего жесткого диска, чтобы ваши попытки не стали последними в жизни накопителя, и чтобы оными вы не лишили себя последних надежд на восстановление нужных вам данных.

СОДЕРЖАНИЕ

Часть первая: Диагностика

1. Визуальный осмотр
2. Тестовый запуск
3. Подготовка к тестированию
4. Тестирование
5. Посекторная копия

Часть вторая: Восстановление данных.

6. Методы восстановления данных
7. Типовые случаи и рекомендуемые действия
8. Проверка целостности файлов
9. Частые ошибки пользователей

Набор мер направлен на снижение вероятности наступления неблагоприятного исхода, но не страхует от него на 100%. Соглашаясь на следование дальнейшим инструкциями, вы осознаете, что никто кроме вас самих не несет ответственности за возможный выход из строя накопителя и безвозвратную потерю данных.

Диагностика

1. Визуальный осмотр

Осмотрите накопитель на предмет наличия деформаций, отсутствующих или выгоревших элементов на плате контроллера, проверьте целостность разъемов. Если обнаруживаются какие-то серьезные повреждения или выгоревшие элементы, то настоятельно не рекомендуется пытаться подавать питание на такой накопитель, во избежание усугубления проблемы.

Используя отвертки (как правило, это Torx — T5, T6, T9) открутите винты, фиксирующие плату контроллера, и проверьте состояние контактных площадок на плате контроллера.

Рис. 2 на контактных площадках присутствует оксидная пленка

Работать с ластиком можно только над плоскими площадками, как на рисунке. При наличии окислов можно обычным ластиком попытаться убрать их с контактных площадок. В иных случаях подобное действие неприменимо.

Рис. 3 очищенные контактные площадки.

В относительно редких случаях чужие параметры могут грозить повреждением жесткого диска. Если обнаружились какие-то повреждения платы, то не стоит в современных жестких дисках пытаться подставлять плату контроллера от аналогичного накопителя, так как в современных устройствах в ПЗУ на плате могут находиться различные адаптивные параметры, которые формируются во время производственного цикла и уникальны для каждого накопителя.

Стоит отметить, что для адаптации многих контроллеров будет достаточно перенести только микросхему EEPROM. При наличии паяльной станции нужно осуществить перенос MCU, EEPROM, NV-RAM, NAND (смотря что имеется на борту платы контроллера и что из этого обязательно требуется переносить) и после такой адаптации использовать донорский контроллер.

Дальше оценивайте совпадение маркировок MCU и VCM&SM контроллера. При подборе платы в первую очередь смотрите на вытравленный номер PCB. В рамках одного семейства могут существовать разные версии плат, и в некоторых случаях они могут быть совместимы с определенным оговорками, но не стоит пытаться выяснять это в домашних условиях. Если на оригинальной плате и плате донора маркировки MCU и VCM&SM контроллера отличаются, то высока вероятность, что плата потенциального донора не является подходящей.

Попытка подставить неподходящую плату контроллера (с иным номером на PCB) может привести к выгоранию коммутатора-предусилителя.

Также проверьте сопротивление обмоток двигателя. При наличии мультиметра проверьте цепи 5В и 12В на предмет короткого замыкания. При серьезных различиях можно сделать вывод, коммутатор-предусилитель неисправен, и на этом прекратить какие-либо самостоятельные попытки дальнейшего восстановления данных. Если есть в наличии гарантированно исправный точно такой же накопитель (совпадает производитель, модельный ряд, ревизия платы контроллера), то можно проверить, одинаковое ли количество выводов в колодке коммутатора будет прозваниваться на «землю», а также сравнить сопротивления.

2. Тестовый запуск

Удостоверьтесь в исправности вашей тестовой системы, во избежание постановки неверных диагнозов и если не обнаружилось каких-то внешних причин, препятствующих попытке старта, то подключите интерфейсный кабель и кабель питания к соответствующим разъемам и включите БП.

Если вам заведомо известно, что накопитель был ударен или уронен в рабочем состоянии, или до того, как попал к вам, начал издавать стучащие звуки, воздержитесь от попыток включения.

В этих случаях требуется обязательное вскрытие жесткого диска в условиях ламинарного бокса (или чистой комнаты) и скрупулезное обследование с использованием микроскопа.

Рис. 4 подключение кабелей к жестким дискам.

В некоторых случаях это может не произойти с совершенно исправными накопителями, если по каким-то причинам в настройки накопителя внесено требование подачи команды spin up. После подачи питания накопитель должен начать вращать вал.

В некоторых накопителях он едва слышим поэтому можно вооружиться стетоскопом (или держать накопитель близко у уха с соблюдением всех правил техники безопасности, чтобы не допустить короткого замыкания).
Если вместо шума воздуха слышна серия цикличных жужжаний, тихих писков или звуков, отдаленно похожих на телефонные гудки, то вероятнее всего накопитель не может начать вращение вала двигателя. При вращении вала появляется легкий шум от воздушного потока. Причины этому могут быть следующие: залипание БМГ вне парковочной рампы (зоны), заклинивание вала двигателя, неисправность микросхемы VCM&SM контроллера.

При наличии подходящего накопителя-донора можно проверить версию с неисправностью VCM&SM контроллера, если вы готовы выполнить необходимые адаптации донорской платы, описанные в пункте «визуальный осмотр».

Даже если вам удастся относительно удачно вывести БМГ на парковочную рампу, то дефекты полимерного покрытия, образовавшиеся в месте залипания слайдеров, микроцарапины от слайдеров, полученные при выводе БМГ, вкупе с процедурами оффлайн сканирования и пылью из неочищенного воздуха вряд ли позволят вам успеть прочитать существенный объем данных в подавляющем большинстве случаев до начала развития дальнейших необратимых деградационных процессов. В случаях же залипания БМГ вне парковочной рампы самостоятельные действия по мотивам роликов на youtube обычно приводят к образованию дополнительных царапин на поверхностях пластин либо отрыву слайдеров. Как происходит процесс восстановления данных в таких случаях в профильной компании можно ознакомиться в этой статье «Восстановление данных с внешнего жесткого диска Seagate FreeAgent Go»

Такое мероприятие в домашних условиях без должной подготовки и отсутствия необходимых инструментов в 99,9% случаев будет обречено на провал. При заклинивании вала двигателя обычно требуется пересадка пакета дисков в гермоблок накопителя донора.

Если отсутствует какой-либо звук при подаче питания и накопитель не начинает вращать вал, то возможны следующие диагнозы: неисправна плата контроллера, неисправен коммутатор-предусилитель, неисправен БМГ.

Если вместо калибровки раздаются цикличные стучащие звуки, скрежет или какие-то иные звонкие звуки, немедленно отключите накопитель. После того, как накопитель начал вращение вала, он должен выполнить калибровку, произвести чтение микропрограммы и, проинициализировав систему трансляции, выйти в готовность. Причиной подобных явлений может быть: неисправность БМГ или коммутатора-предусилителя, неисправность микросхемы VCM&SM контроллера.

К сожалению, далеко не все микропрограммы в достаточной степени контролируют исправность самого устройства и допускают попытки старта откровенно проблемного жесткого диска. Микропрограммы некоторых накопителей производят опрос коммутатора-предусилителя до раскрутки вала двигателя, и в случаях обнаружения некорректного отклика или зашкаливающего сопротивления по какой-либо из головок производят аварийную остановку процесса начальной инициализации. Кроме этого, необходимо знать, каким образом подбирать донора, чтобы выбрать его с подходящей ревизией коммутатора-предусилителя, картой головок и близкими адаптивными параметрами. Пересадки БМГ рекомендовано проводить в условиях ламинарного бокса с чистым воздушным потоком и специализированным инструментом. Даже если удастся самостоятельно подобрать донора и произвести процедуру пересадки, вряд ли удастся прочитать серьезный объем данных из-за сопутствующих проблем. Просто совпадение производителя и модели совершенно не гарантирует, что накопитель является подходящим донором.

Какие действия можно предпринять при неисправной плате контроллера, указано в разделе «Визуальный осмотр».

Рис. 5 сильно исцарапанная поверхность пластины (множественные запилы).

Важно понимать, что с каждой попыткой включения накопителя с неисправным БМГ существуют риски дальнейшего разрушения поверхностей пластин, что может привести к полной невозможности восстановления данных.

С этого момента накопитель должен быть готов к обмену данными через интерфейс, и в случае подключения к порту системной платы ПК он должен ответить на запрос паспорта со стороны BIOS. Если никаких подозрительных звуков накопитель не издает, то после выполнения всех процедур инициализации он должен выйти в готовность. Если все в полном порядке с подключением и настройками BIOS, но диск остается невидимым для ПК, то вероятнее всего имеют место проблемы в микропрограмме накопителя, которые не позволяют ему выйти в готовность.

В таких случаях самостоятельно решить проблему без использования профессиональных программно-аппаратных комплексов обычно невозможно. Если накопитель отдает некорректные паспортные данные, например только название модели и нулевую емкость, или название модели не совсем такое, как должно быть, отсутствует серийный номер, то это говорит о том, что процедуры инициализации завершились неуспешно и есть неполадки в микропрограмме.

11 (семейства Moose) с которыми некоторые проблемы можно было решить с использованием RS232-TTL адаптера и обычного терминала, но здесь нужно понимать, что без вникания в проблему микрокода есть риски существенно усугубить ситуацию. Отдельным исключением можно рассмотреть случай с Seagate 7200.

Восстановление данных в этом случае существенно усложняется. Настоятельно не рекомендуется применять методику в отношении других семейств, так как она приведет к пересчету транслятора, который в подавляющем большинстве случаев будет некорректен и доступ к пользовательской зоне будет до первой точки расхождения.

Если в отданном накопителем паспорте все поля корректны кроме емкости, то необходимо проверить, не является ли это следствием ошибки BIOS некоторых материнских плат, которые, используя команды управления HPA, вместо отрезания маленького кусочка LBA диапазона для сохранения копии BIOS, отрезают почти 1Тб.

Рис. 6 паспортная емкость диска 1Тб после некорректной отработки BIOS мат. платы Gigabyte

Для решения этой проблемы можно использовать HDAT2 или аналогичное бесплатное диагностическое ПО, с помощью которого можно вернуть оригинальную паспортную емкость накопителя, а также отключить возможность управления HPA в DCO во избежание рецидива проблемы.

3. Подготовка к тестированию

При тестировании дисков вне профессиональных комплексов важно подготовить операционную систему заранее. Необходимо запретить автоматическое монтирование томов диска во избежание самодеятельности операционной системы.

Если потенциально проблемный диск ранее подключался к данной ОС, то необходимо удалить параметры монтирования из реестра командой automount scrub. В ОС Windows для этого с правами администратора нужно запустить diskpart и выполнить команду automount disable. Для вступления данных настроек в силу рекомендована перезагрузка.

Под Windows можно использовать бесплатный PC3000 DiskAnalyzer в котором, кроме диагностической функции есть возможность создания посекторной копии. Также необходимо приготовить диагностическое ПО. Также желательно иметь в наличии загрузочный USB flash накопитель с HDAT2.

Можно использовать любые иные аналоги, за исключением некоторого небесплатного ПО для слишком доверчивых пользователей, в рекламе которого могут звучать подобные слоганы «… unique program for regeneration of physically damaged hard disk drives. Не обязательно для диагностики использовать только это программное обеспечение. При очень громких заявлениях по факту подобное ПО имеет весьма скромные возможности, которые не превышают возможностей бесплатного ПО, а идеология работы с дефектами больше направлена на окончательное убийство накопителя, нежели на помощь в дальнейшем получении данных. It does not hide bad sectors, it really restores them!».

Если при подключенном накопителе время загрузки ОС выросло в несколько раз даже при отключенном автоматическом монтировании томов, то рекомендуется прекратить какую-либо самодеятельность, во избежание усугубления проблемы.

Задержки загрузки ОС возникают вследствие обращений к дефектным секторам и попыток микропрограммы выполнять процедуры оффлайн сканирования, которые ей не по зубам. Существенное увеличение времени загрузки ОС при подключении потенциально проблемного жесткого диска — это весьма характерный признак того, что на поверхностях пластин накопителя имеют место дефекты поверхности.

Если его там нет, то удостоверьтесь, установлен ли драйвер для контроллера, к которому он подключен, и не выключен ли сам контроллер в списке устройств. После успешной загрузки ОС зайдите в диспетчер устройств и удостоверьтесь, что ваш накопитель присутствует в списке устройств. Наиболее вероятные — это неисправности платы контроллера, зависание микропрограммы накопителя, либо переход накопителя в аварийный режим, при котором он перестает нормально реагировать на большинство команд. Если с драйвером и настройкой ОС все в порядке, а накопитель так и не появился в ОС или появился и через некоторое время пропал, то обычно это говорит о широком спектре неисправностей.

Если обнаружатся признаки дефектообразования (ненулевые значения по 5 и 197(С5) атрибута в полях ненормированных значений), то можно сделать вывод, что без вмешательства в настройки работы микропрограммы в домашних условиях сделать ничего не получится. Для уточнения диагноза можно попробовать загрузить DOS и с помощью HDAT2 посмотреть параметры SMART. В этом случае можете попытаться использовать плату контроллера от накопителя донора. Если признаков дефектообразования нет, то причина зависаний может крыться в некорректной работе платы контроллера.

4. Тестирование

Пройдя предыдущие этапы и не заметив веских причин для остановки процесса, можно приступить к дальнейшей оценке состояния накопителя. В большинство накопителей, выпущенных в этом веке, внедрена технология S.M.A.R.T., которая контролирует состояние накопителя и фиксирует различные события за время его работы. Подробнее прочитать о реализации данной технологии в HDD и какие параметры желательно контролировать при эксплуатации дисков можно в нашей статье «Что такое SMART и как его читать».

M. Используя диагностическое ПО, необходимо запросить параметры S. R. A. T.

Рис. 7 атрибуты SMART исправного жесткого диска

Если значения в столбце RAW нулевые или показатели проблем единичные, тогда необходимо перейти к дальнейшему тестированию. Важно оценить показатели по атрибутам 5 и 197(С5).

Рис. 8 атрибуты SMART диска с серьезным дефектообразованием

Если количество кандидатов в дефекты трех-четырехзначное число, то в большинстве случаев дальнейшие попытки тестирования поверхности или сканирования утилитами автоматического восстановления данных усугубят проблему вплоть до полной невозможности получения данных.

M. Для получения данных в таких случаях важно вмешиваться в настройки микропрограмм накопителей и отключать процедуры оффлайн сканирования, ведение журналов S. R. A. К сожалению, простыми путями без глубокого знания архитектуры микропрограмм накопителей и без профессиональных комплексов этого сделать не получится. T., чтобы избавить накопитель от занятий фоновыми процессами, которые могут сильно сократить время жизни проблемного устройства. Линейное чтение с многократными повторами на дефектных участках в таких случаях противопоказано, как слишком опасное. Следующая задача — оценить состояние каждой из головок по отдельности и локализовать основные дефектные зоны.

M. Даже если накопитель на первый взгляд работает корректно и согласно показаниям S. R. A. на нем не обнаруживается признаков дефектов, это не является гарантией того, что их действительно нет. T. Поэтому необходимо сделать завершающую стадию тестирования и выполнить верификацию поверхности.

При появлении посторонних звуков или обнаружении крупных зон с ошибками чтения немедленно прерывать процесс и отключить накопитель во избежание наступления необратимых последствий. Важно непрерывно контролировать процесс сканирования.

Рис. 9 график сканирования исправного диска

Если результатом сканирования диска получен монотонно-убывающий по скорости график и не зарегистрировано ошибок чтения, то накопитель можно считать исправным и переходить к следующему разделу.

Возможны различного рода выпады. В дисках с большим медиакэшем и трансляцией, отличающейся от классической (как правило в дисках с черепичной записью (SMR),) график может быть иной формы.

Рис. 10 график сканирования диска с проблемной головкой

Не нужно ждать, когда будут обнаружены дефекты, и немедленно прекратить тестирование. Если при верификации диска обнаруживаются цикличные «медленные» зоны, то это характерный признак не совсем исправной головки.

С высокой вероятностью накопитель не переживет попытку создания посекторной копии доступными пользователю средствами. В такой ситуации не приходится ждать ничего хорошего при самостоятельных попытках извлечения данных.

M. В случаях, когда в атрибутах S. R. A. 5 и 197(С5) были обнаружены признаки дефектообразования, или в процессе верификации были обнаружены точечные дефекты, необходимо создать копию диска T.

5. Посекторная копия

Если по результатам тестирования накопитель исправен и никаких проблем не обнаруживается, то можно не создавать посекторную копию и работать с оригинальным диском. Но во избежание различного рода случайностей настоятельно рекомендуется не пропускать этот шаг и далее работать только с копией.

Также важно не пытаться задействовать опции некоторых программ по созданию сжатого образа, так как потом вы скорее всего сможете работать только в рамках возможностей ПО, создавшей такой образ. При исправном жестком диске или диске с небольшим количеством дефектов нет особой разницы, какой инструмент вы примените, важно, чтобы он создавал полную копию.

В ОС Windows можно использовать следующие программы: WinHex, DMDE, PC3000 DiskAnalyzer, R-studio и другие.

В ОС Linux хватит возможностей штатной команды dd

Не все ПО бесплатное, но во многом возможностей trial/demo версии будет достаточно для создания копии накопителя.

В качестве примера используем WinHex для клонирования диска.

Рис. 11 опции в меню WinHex для клонирования диска

На вкладке «Инструменты» выбираем опцию «Дисковые инструменты» в выпавшем окне выбираем «Клонировать диск» или просто нажимаем Ctrl+D.

Рис. 12 настройки параметров клонирования

Источником выбираем диск, который необходимо клонировать.

Приемником может выступить диск аналогичного или большего объема, а также возможно клонирование в файл-образ.

Убедитесь, что на диске-приемнике достаточно свободного пространства.
В настройках копирования желательно задействовать опцию «пропускать дефекты, секторов».

Если ваш накопитель с сектором с физическим размером сектора 4096 байт, но в ОС транслируется с виртуальным размером 512 байт, то необходимо установить значение 8, чтобы избежать лишних попыток чтения проблемного сектора.

В дальнейшем удобно будет находить поврежденные файлы. «Шаблон для замены дефектов источника» — указать удобное для поиска слово или словосочетание, которым будет заполнен сектор в копии на месте непрочитанных секторов из источника.

При появлении посторонних звуков, зависании накопителя или обнаружении большего числа, чем было при первичном тестировании, немедленно прекратить процесс и отключить накопитель во избежание наступления необратимых последствий. При создании копии обязательно неотрывно контролировать процесс.

В профессиональных средствах восстановления данных, в таких как DataExtractor, значительно большие возможности по настройке сценария копирования данных, а также присутствует контроль состояния накопителя, что существенно повышает шансы на успешное извлечение при наличии грамотного специалиста.

Рис. 13 настройки реакций профессионального комплекса при проблемах чтения

Восстановление данных

6. Методы восстановления

На сегодняшний день существует масса программ автоматического восстановления данных, которые не требуют от пользователя никаких профильных знаний и подразумевают получение данных чуть ли не в один клик мышкой. Но такой подход во многих случаях не даст максимально возможного результата или он будет теряться в массе мусорных вариантов.

Для этого желательно указать область сканирования и тип искомой файловой системы. Для эффективной работы программы восстановления данных лучше максимально сузить область поиска. Такое уточнение может отбросить массу вариантов предыдущих файловых систем, а также снизит вероятность неверного интерпретирования обнаруженных метаданных файловой системы.

Рис. 14 Пример настройки R-studio для поиска метаданных нужной файловой системы

Метаданные файловой системы — это структуры, описывающие расположение файлов их имена, атрибуты, права доступа к ним, логи и т.п.

Рис. 15 Пример метаданных. Фрагмент записи MFT (Master File Table в NTFS)

Не во всех случаях программы автоматического восстановления точно рассчитывают начальную точку отсчета применительно к найденным метаданным, а также не всегда корректно отсеивают данные разных файловых систем, в связи с чем возможен ошибочный расчет расположения для всех файлов, к тому же различные мусорные интерпретации увеличивают предполагаемый объем данных, порой во много раз больше, чем емкость самого накопителя.

В профессиональных комплексах присутствуют инструменты по созданию виртуальных томов различных файловых систем с заданными вручную параметрами, а также инструменты для поиска метаданных с возможностью отсева лишних объектов вручную.

В случаях, когда нужных метаданных файловой системы уже не существует или они некорректны, необходимо применить метод поиска регулярных выражений характерных для тех или иных типов файлов.

Рис. 16 0xFF 0xD8 0xFF регулярное выражение характерное для JPG файлов

Программы автоматического восстановления, ведущие поиск таким методом в своем большинстве, обладают следующими недостатками: отсутствует структура каталогов и оригинальные имена файлов, не производится анализ структуры файлов и недостаточно контролируется целостность найденного файла, в связи с чем находится множество мусорных данных, которые невозможно использовать, для многих типов файлов не рассчитывается корректный размер.

Рис. 17 Настройки R-Studio для поиска регулярных выражений нужных вам файлов

7. Типовые случаи и рекомендуемые действия

Повреждение файловой системы

При многих видах повреждений ОС не сможет монтировать том с поврежденной файловой системой. В результате сбоев компонентов ПК, некорректной работы ОС, внезапного обесточивания во время записи на диск, неисправностей жесткого диска могут оказаться поврежденными метаданные файловой системы.

Рис. 18 поврежденные метаданные файловой системы (нераспознанная файловая система RAW)

При незначительных повреждениях можно получить результат, близкий к 100%. В этих случаях достаточно эффективен метод поиска метаданных файловой системы в границах существующего раздела. Данная рекомендация актуальна для большинства различных файловых систем.

Тогда, если не отработал первый вариант, необходимо воспользоваться методом анализа регулярных выражений для поиска нужных вам файлов. Разумеется, существуют случаи, когда в результате сбоев оказывается испорченным большой объем метаданных текущей файловой системы.

Работа специалиста отличается тем, что он оценивает характер повреждения метаданных и если они не уничтожены, а пребывают в искаженном виде, то возможны ручные коррекции в шестнадцатеричном редакторе.

Удаление файла или группы файлов.

Последствия этого действия сильно зависят от типа файловой системы, а также в относительно новых дисках от идеологии работы микропрограммы самого устройства. Ошибочное удаление данных — достаточно частый случай.

Если нужные файловые записи и место, занимаемое этими файлами не перезаписаны иными данными, то достаточно оперативно можно получить интересующие файлы. Если файлы были удалены на разделе с файловой системой NTFS, то оптимальным методом поиска будет экспресс анализ в различных утилитах, при котором быстро сканируются ключевые структуры (MFT, Index, Logfile) без полного сканирования раздела.

Рис. 19 после сканирования $MFT фиолетовым выделены записи, числящиеся удаленными

Если при быстром сканировании нужные данные не обнаружены или повреждены, то можно выполнить полное сканирование раздела, но скорее всего серьезным образом результат не изменится и кроме поиска регулярных выражений ничего другого не останется.

Это существенно экономит время пользователя при дальнейшем поиске необходимых файлов во множестве безымянных данных. В арсенале специалиста доступен инструмент построения карты незанятого пространства и дальнейший анализ исключительно в этих областях, что убирает из результата восстановления существующие данные.

В случае SFN будет отсутствовать первый символ в имени файла, если же файл был с длинным именем, то его полное имя будет в LFN записи. Если файлы удалены на разделе с файловой системой FAT16, FAT32, то можно использовать анализ метаданных и получить некоторую часть данных с оригинальными именами. Также в FAT32 в некоторых случаях кроме удаления цепочки расположения файла в обеих копиях таблицы, в директории удаляется первый символ SFN и старшие два байта в номере первого кластера, занимаемого файлом. В случае удаления фрагментированных файлов восстановление данных средствами программ автоматического восстановления не будет успешным, так как при удалении в FAT таблице удаляется запись о цепочке кластеров, принадлежащих файлу. Большинство утилит автоматического восстановления, анализирующих метаданные, не определят правильную позицию файла.

Методы автоматизации можно разрабатывать под конкретный тип структур. Восстановление фрагментированных файлов, как правило, достаточно сложная работа, которая весьма слабо автоматизирована. Пример подобной работы можно оценить в статье «Восстановление базы 1С Предприятие (DBF) после форматирования» Чаще всего задача сводится к ручному низкопроизводительному анализу по поиску необходимых фрагментов.

Возможно некоторую часть файлов удастся обнаружить. Если методы анализа метаданных не привели к нахождению нужных данных или нужные файлы не могут быть открыты, то остается метод поиска регулярных выражений.

Кроме поиска регулярных выражений ничего другого не остается. Если файлы удалены на разделе с файловой системой HFS+, Ext 2, Ext3, Ext4, то, к сожалению, анализировать метаданные бесполезно.

Удаление раздела с данными

Также желательно учитывать положение существующих разделов, чтобы исключить заведомо неверные варианты в найденном. Если в оснастке управления дисками был удален один или несколько разделов ошибочно, то для пользователя, желающего восстановить данные, будет рекомендован запуск утилит автоматического восстановления с полным сканированием всего устройства.

Рис. 20 удаленный раздел

На основании найденного рассчитываются точные позиции начала разделов и их протяженность. Специалистом подобная работа выполняется относительно быстро, посредством поиска загрузочных секторов, суперблоков в ожидаемых местах.

Также можно попытаться использовать DMDE или аналогичные утилиты, которые относительно быстро могут позволить найти признаки начала раздела, и попытаться отобразить файловую систему найденного раздела.

Рис. 21 результат быстрого поиска разделов с помощью DMDE

Отформатирован раздел с данными.

В таких случаях рекомендуемый сценарий действий сильно зависит от типа файловой системы, которая была до форматирования раздела, и какая файловая система стала использоваться после форматирования.

В такой ситуации поиск метаданных может дать результат близкий к 100%. Например, если раздел FAT32 c кластером 8кб, был отформатирован в FAT 32 с кластером 64кб, то размер новых таблиц FAT стал в 8 раз меньше и, следовательно, обе копии новых таблиц испортили только первую копию старых таблиц FAT. В таком случае поиск метаданных даст значительно худший результат. Если же раздел был отформатирован в FAT32 с меньшим или равным размером кластера, чем был до форматирования, то новые чистые таблицы полностью перезапишут старые и частично затронут область с пользовательскими данным.

Если до форматирования на разделе использовалась файловая система FAT32, а раздел был отформатирован в NTFS, то новые структуры ($MFT, $Bitmap, $Logfile), как правило, располагаются не у самого начала раздела, и высока вероятность посредством метода поиска метаданных получить большинство данных с нормальной структурой каталогов и минимальными повреждениями самих данных.

В этом случае таблицы FAT испортят данные в начале раздела и как правило не затронут ключевые структуры NTFS. Также высокий процент восстановления будет, когда раздел с файловой системой NTFS отформатирован в FAT32. Неудовлетворительный результат будет в случае с малым объемом данных, размер которых сопоставим с размерами двух копий таблиц FAT.

И в случае, если получен недостаточный объем данных, применить метод поиска регулярных выражений. Но если пользователь не желает вникать в нюансы расположения метаданных различных файловых систем, то логичным шагом будет запустить утилиту автоматического восстановления данных в режиме поиска метаданных.

Отформатирован раздел с данными и частично перезаписан иными данными.

В таких случаях не может быть однозначной рекомендации. Как часто бывает, пользователь может отформатировать раздел и начать заполнять его иными данными, а только потом спохватиться, что на старом разделе была важная информации. В зависимости от условий результат может быть от 0 до близкого к 100%. Все очень сильно зависит от того, как много (количественно и по объему) было записано новых данных, а также где расположились эти данные. Заочно это непредсказуемо.

Во многих случаях с большим перекрытием области данных имеет смысл начать с метода поиска регулярных выражений для нужных типов файлов, чтобы понять, есть ли еще признаки существования нужных данных, и в случае их обнаружения выполнить поиск метаданных файловой системы.

Также с помощью инструментов контроля целостности значительно уменьшит количество ложных распознаваний. В условиях лаборатории восстановления данных специалист построит карту незанятого пространства и проведет поиск регулярных выражений только по этим участкам, чтобы исключить в результатах поиска наличие уже существующих данных. А в некоторых задачах вроде восстановления jpg файлов (например, чьего-то домашнего фотоальбома) сможет произвести сортировку согласно информации, содержащейся в Exif тегах jpeg файлов, что позволит получить упорядоченный в хронологическом порядке результат и отсортированный по моделям камер.

Рис. 22 результат сортировки JPG файлов, найденных посредством поиска регулярных выражений

Аварийное завершение процедур изменения размера, перемещения или объединения разделов.

В случаях аварийного завершения процедур дисковых менеджеров по изменению размера раздела, его перемещению или слияния нескольких разделов предстоит разобраться, какие именно шаги были совершены и на каком этапе была остановлена операция, чтобы получить максимально возможный результат.

Объектом для анализа нужно выбрать весь накопитель, чтобы гарантированно охватить все места расположения данных. Учитывая сложность и количество возможных вариаций, рассмотрим только универсальный вариант для пользователя, которому нужен результат с минимальным количеством действий. Высока вероятность, что в каждом из вариантов будут корректными разные наборы файлов. Использовать метод поиска метаданных и копировать все варианты данных по найденным файловым системам. Поиск регулярных выражений по заданным типам файлов также важен, так как в таких случаях утраты данных возможна частичная потеря информации об именах и размещении файлов.

8. Проверка целостности восстановленных данных

Важно понимать, что отображение имен файлов в программе восстановления данных или количество найденных регулярных выражение не гарантирует, что все найденное будет годным к использованию. Поэтому не менее важный этап после восстановления данных программой автоматического восстановления — это проверка целостности самих данных.

Но по отдельности можно отыскать бесплатное ПО, которое может контролировать отдельные типы файлов. К сожалению, универсального бесплатного средства для проверки целостности большого количества разных файлов, не существует. Например, многие архиваторы позволят проверить исправность архивов, утилитой MP3Diag можно проверить исправность mp3 файлов, ImageMagick можно использовать для тестирования jpg файлов.

И возможны массовые ошибки. Главный недостаток многих бесплатных утилит проверки целостности файлов в том, что они не гарантируют полной проверки файлов.

Для многих типов файлов у пользователя не остается других вариантов, кроме как визуально оценивать целостность данных посредством поочередного открытия файлов в соответствующих приложениях.

В профессиональных комплексах присутствует набор инструментов, позволяющий частично контролировать исправность файлов, что избавляет результат восстановления данных от большого количества мусорных файлов.

Если вы создавали посекторную копию с заполнением паттерном непрочитанных секторов, то вопрос нахождения поврежденных файлов легко решить посредством поиска в файлах текстовой строки «BAD! Кроме отсева мусора, необходимо отловить поврежденные дефектами файлы. BAD! BAD! После нахождения необходимо проверить степень повреждения, так как некоторые форматы файлов могут не сильно страдать от потери небольшого куска данных, а некоторые могут быть полностью негодны. BAD!» (в нашем примере был использован заполнитель «BAD!»).

9. Частые ошибки пользователей.

Разного рода попытки «лечения» дефектов с использованием популярных диагностических утилит в надежде, что это вернет доступ к данным, являются одной из главных ошибок многих пользователей. Попытки скрыть дефекты на накопителе с поврежденным полимером на поверхности пластин обычно заканчиваются запиливанием пластин, а не получением доступа к данным. По этой причине, не зная характера дефектов на поверхности настоятельно не рекомендуется выполнять какие-либо сервисные операции над диском до получения данных. После успешного восстановления информации можно попытаться обслужить накопитель, и если вдруг повезет, то возможно еще накопитель будет пригоден для дальнейшей эксплуатации в не особо ответственных задачах.

В этих случаях ОС при попытке монтировать поврежденный том надолго замирает. Нередко дефекты приходятся на метаданные файловой системы. Одна из самых неудачных идей по решению этой проблемы – форматировать проблемный раздел. При подключенном проблемном накопителе время загрузки ОС может растянуться на десятки минут. Вновь созданные метаданные могут записаться корректно, и проблема долгой загрузки ОС будет решена, но задача восстановления данных усложнится, а качество результата восстановления может сильно пострадать.

В этом случае обычно все заканчивается тем, вместо данных пользователь получит мусор, и следующая попытка восстановления данных уже будет с куда худшим результатом. Копирование данных, обнаруженных утилитой, на тот же раздел, с которого пытаются восстановить файлы. Если действовать по инструкциям из этой статьи, то от такой ошибки вы будете застрахованы.

В этом случае есть риск остаться с кучей папок, заполненных ошибочным результатом попытки восстановления данных без возможности получить качественный результат. Не выполняется проверка целостности восстановленных данных и уничтожается содержимое оригинального накопителя вместе с его копией.

Неправильный выбор инструмента и методик восстановления данных, в связи с чем получается результат значительно хуже, чем он мог бы быть.

Надеюсь, этот комплекс мер поможет вам принять решение, допускает ли ситуация с вашим накопителем самостоятельные попытки восстановления данных и готовы ли вы выполнить этот набор относительно простых действий, перечисленных в этой статье.

Предыдущая публикация: Хождение по мукам или долгая история одной попытки восстановления данных

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Проверьте также

Закрыть
Кнопка «Наверх»
Закрыть