Как стать автором
Обновить

Самостоятельная диагностика жестких дисков и восстановление данных

Время на прочтение 22 мин
Количество просмотров 239K
В данной статье описываются методы самостоятельной диагностики различных неисправностей жестких дисков по симптомам их проявления, а также способы относительно безопасного клонирования жестких дисков с незначительными проблемами.

Рассмотрены различные случаи утраты данных и набор оптимальных действий, которые без глубоких знаний устройства файловых систем с помощью программ автоматического восстановления помогут вам вернуть вашу информацию без посторонней помощи.

Но прежде, чем приступить к каким-либо самостоятельным действиям, необходимо внимательно ознакомиться со всеми материалами статьи, и только потом анализировать состояние вашего жесткого диска, чтобы ваши попытки не стали последними в жизни накопителя, и чтобы оными вы не лишили себя последних надежд на восстановление нужных вам данных.




СОДЕРЖАНИЕ


Часть первая: Диагностика


1. Визуальный осмотр
2. Тестовый запуск
3. Подготовка к тестированию
4. Тестирование
5. Посекторная копия

Часть вторая: Восстановление данных.


6. Методы восстановления данных
7. Типовые случаи и рекомендуемые действия
8. Проверка целостности файлов
9. Частые ошибки пользователей

Соглашаясь на следование дальнейшим инструкциями, вы осознаете, что никто кроме вас самих не несет ответственности за возможный выход из строя накопителя и безвозвратную потерю данных. Набор мер направлен на снижение вероятности наступления неблагоприятного исхода, но не страхует от него на 100%.

Диагностика


1. Визуальный осмотр


Осмотрите накопитель на предмет наличия деформаций, отсутствующих или выгоревших элементов на плате контроллера, проверьте целостность разъемов. Если обнаруживаются какие-то серьезные повреждения или выгоревшие элементы, то настоятельно не рекомендуется пытаться подавать питание на такой накопитель, во избежание усугубления проблемы.

Используя отвертки (как правило, это Torx — T5, T6, T9) открутите винты, фиксирующие плату контроллера, и проверьте состояние контактных площадок на плате контроллера.


Рис. 2 на контактных площадках присутствует оксидная пленка

При наличии окислов можно обычным ластиком попытаться убрать их с контактных площадок. Работать с ластиком можно только над плоскими площадками, как на рисунке. В иных случаях подобное действие неприменимо.


Рис. 3 очищенные контактные площадки.

Если обнаружились какие-то повреждения платы, то не стоит в современных жестких дисках пытаться подставлять плату контроллера от аналогичного накопителя, так как в современных устройствах в ПЗУ на плате могут находиться различные адаптивные параметры, которые формируются во время производственного цикла и уникальны для каждого накопителя. В относительно редких случаях чужие параметры могут грозить повреждением жесткого диска.

При наличии паяльной станции нужно осуществить перенос MCU, EEPROM, NV-RAM, NAND (смотря что имеется на борту платы контроллера и что из этого обязательно требуется переносить) и после такой адаптации использовать донорский контроллер. Стоит отметить, что для адаптации многих контроллеров будет достаточно перенести только микросхему EEPROM.

При подборе платы в первую очередь смотрите на вытравленный номер PCB. Дальше оценивайте совпадение маркировок MCU и VCM&SM контроллера. Если на оригинальной плате и плате донора маркировки MCU и VCM&SM контроллера отличаются, то высока вероятность, что плата потенциального донора не является подходящей. В рамках одного семейства могут существовать разные версии плат, и в некоторых случаях они могут быть совместимы с определенным оговорками, но не стоит пытаться выяснять это в домашних условиях.

Попытка подставить неподходящую плату контроллера (с иным номером на PCB) может привести к выгоранию коммутатора-предусилителя.

При наличии мультиметра проверьте цепи 5В и 12В на предмет короткого замыкания. Также проверьте сопротивление обмоток двигателя. Если есть в наличии гарантированно исправный точно такой же накопитель (совпадает производитель, модельный ряд, ревизия платы контроллера), то можно проверить, одинаковое ли количество выводов в колодке коммутатора будет прозваниваться на «землю», а также сравнить сопротивления. При серьезных различиях можно сделать вывод, коммутатор-предусилитель неисправен, и на этом прекратить какие-либо самостоятельные попытки дальнейшего восстановления данных.

2. Тестовый запуск


Удостоверьтесь в исправности вашей тестовой системы, во избежание постановки неверных диагнозов и если не обнаружилось каких-то внешних причин, препятствующих попытке старта, то подключите интерфейсный кабель и кабель питания к соответствующим разъемам и включите БП.

Если вам заведомо известно, что накопитель был ударен или уронен в рабочем состоянии, или до того, как попал к вам, начал издавать стучащие звуки, воздержитесь от попыток включения.

В этих случаях требуется обязательное вскрытие жесткого диска в условиях ламинарного бокса (или чистой комнаты) и скрупулезное обследование с использованием микроскопа.


Рис. 4 подключение кабелей к жестким дискам.

После подачи питания накопитель должен начать вращать вал. В некоторых случаях это может не произойти с совершенно исправными накопителями, если по каким-то причинам в настройки накопителя внесено требование подачи команды spin up.

При вращении вала появляется легкий шум от воздушного потока. В некоторых накопителях он едва слышим поэтому можно вооружиться стетоскопом (или держать накопитель близко у уха с соблюдением всех правил техники безопасности, чтобы не допустить короткого замыкания).
Если вместо шума воздуха слышна серия цикличных жужжаний, тихих писков или звуков, отдаленно похожих на телефонные гудки, то вероятнее всего накопитель не может начать вращение вала двигателя. Причины этому могут быть следующие: залипание БМГ вне парковочной рампы (зоны), заклинивание вала двигателя, неисправность микросхемы VCM&SM контроллера.

При наличии подходящего накопителя-донора можно проверить версию с неисправностью VCM&SM контроллера, если вы готовы выполнить необходимые адаптации донорской платы, описанные в пункте «визуальный осмотр».

В случаях же залипания БМГ вне парковочной рампы самостоятельные действия по мотивам роликов на youtube обычно приводят к образованию дополнительных царапин на поверхностях пластин либо отрыву слайдеров. Даже если вам удастся относительно удачно вывести БМГ на парковочную рампу, то дефекты полимерного покрытия, образовавшиеся в месте залипания слайдеров, микроцарапины от слайдеров, полученные при выводе БМГ, вкупе с процедурами оффлайн сканирования и пылью из неочищенного воздуха вряд ли позволят вам успеть прочитать существенный объем данных в подавляющем большинстве случаев до начала развития дальнейших необратимых деградационных процессов. Как происходит процесс восстановления данных в таких случаях в профильной компании можно ознакомиться в этой статье «Восстановление данных с внешнего жесткого диска Seagate FreeAgent Go»

При заклинивании вала двигателя обычно требуется пересадка пакета дисков в гермоблок накопителя донора. Такое мероприятие в домашних условиях без должной подготовки и отсутствия необходимых инструментов в 99,9% случаев будет обречено на провал.


Если отсутствует какой-либо звук при подаче питания и накопитель не начинает вращать вал, то возможны следующие диагнозы: неисправна плата контроллера, неисправен коммутатор-предусилитель, неисправен БМГ.

После того, как накопитель начал вращение вала, он должен выполнить калибровку, произвести чтение микропрограммы и, проинициализировав систему трансляции, выйти в готовность. Если вместо калибровки раздаются цикличные стучащие звуки, скрежет или какие-то иные звонкие звуки, немедленно отключите накопитель. Причиной подобных явлений может быть: неисправность БМГ или коммутатора-предусилителя, неисправность микросхемы VCM&SM контроллера.

Микропрограммы некоторых накопителей производят опрос коммутатора-предусилителя до раскрутки вала двигателя, и в случаях обнаружения некорректного отклика или зашкаливающего сопротивления по какой-либо из головок производят аварийную остановку процесса начальной инициализации. К сожалению, далеко не все микропрограммы в достаточной степени контролируют исправность самого устройства и допускают попытки старта откровенно проблемного жесткого диска. Пересадки БМГ рекомендовано проводить в условиях ламинарного бокса с чистым воздушным потоком и специализированным инструментом. Кроме этого, необходимо знать, каким образом подбирать донора, чтобы выбрать его с подходящей ревизией коммутатора-предусилителя, картой головок и близкими адаптивными параметрами. Просто совпадение производителя и модели совершенно не гарантирует, что накопитель является подходящим донором. Даже если удастся самостоятельно подобрать донора и произвести процедуру пересадки, вряд ли удастся прочитать серьезный объем данных из-за сопутствующих проблем.

Какие действия можно предпринять при неисправной плате контроллера, указано в разделе «Визуальный осмотр».



Рис. 5 сильно исцарапанная поверхность пластины (множественные запилы).

Важно понимать, что с каждой попыткой включения накопителя с неисправным БМГ существуют риски дальнейшего разрушения поверхностей пластин, что может привести к полной невозможности восстановления данных.

Если никаких подозрительных звуков накопитель не издает, то после выполнения всех процедур инициализации он должен выйти в готовность. С этого момента накопитель должен быть готов к обмену данными через интерфейс, и в случае подключения к порту системной платы ПК он должен ответить на запрос паспорта со стороны BIOS. Если все в полном порядке с подключением и настройками BIOS, но диск остается невидимым для ПК, то вероятнее всего имеют место проблемы в микропрограмме накопителя, которые не позволяют ему выйти в готовность.

Если накопитель отдает некорректные паспортные данные, например только название модели и нулевую емкость, или название модели не совсем такое, как должно быть, отсутствует серийный номер, то это говорит о том, что процедуры инициализации завершились неуспешно и есть неполадки в микропрограмме. В таких случаях самостоятельно решить проблему без использования профессиональных программно-аппаратных комплексов обычно невозможно.

Отдельным исключением можно рассмотреть случай с Seagate 7200.11 (семейства Moose) с которыми некоторые проблемы можно было решить с использованием RS232-TTL адаптера и обычного терминала, но здесь нужно понимать, что без вникания в проблему микрокода есть риски существенно усугубить ситуацию.

Настоятельно не рекомендуется применять методику в отношении других семейств, так как она приведет к пересчету транслятора, который в подавляющем большинстве случаев будет некорректен и доступ к пользовательской зоне будет до первой точки расхождения. Восстановление данных в этом случае существенно усложняется.


Если в отданном накопителем паспорте все поля корректны кроме емкости, то необходимо проверить, не является ли это следствием ошибки BIOS некоторых материнских плат, которые, используя команды управления HPA, вместо отрезания маленького кусочка LBA диапазона для сохранения копии BIOS, отрезают почти 1Тб.


Рис. 6 паспортная емкость диска 1Тб после некорректной отработки BIOS мат. платы Gigabyte

Для решения этой проблемы можно использовать HDAT2 или аналогичное бесплатное диагностическое ПО, с помощью которого можно вернуть оригинальную паспортную емкость накопителя, а также отключить возможность управления HPA в DCO во избежание рецидива проблемы.

3. Подготовка к тестированию


При тестировании дисков вне профессиональных комплексов важно подготовить операционную систему заранее. Необходимо запретить автоматическое монтирование томов диска во избежание самодеятельности операционной системы.

В ОС Windows для этого с правами администратора нужно запустить diskpart и выполнить команду automount disable. Если потенциально проблемный диск ранее подключался к данной ОС, то необходимо удалить параметры монтирования из реестра командой automount scrub. Для вступления данных настроек в силу рекомендована перезагрузка.

Также необходимо приготовить диагностическое ПО. Под Windows можно использовать бесплатный PC3000 DiskAnalyzer в котором, кроме диагностической функции есть возможность создания посекторной копии. Также желательно иметь в наличии загрузочный USB flash накопитель с HDAT2.

Не обязательно для диагностики использовать только это программное обеспечение. Можно использовать любые иные аналоги, за исключением некоторого небесплатного ПО для слишком доверчивых пользователей, в рекламе которого могут звучать подобные слоганы «… unique program for regeneration of physically damaged hard disk drives. It does not hide bad sectors, it really restores them!». При очень громких заявлениях по факту подобное ПО имеет весьма скромные возможности, которые не превышают возможностей бесплатного ПО, а идеология работы с дефектами больше направлена на окончательное убийство накопителя, нежели на помощь в дальнейшем получении данных.

Если при подключенном накопителе время загрузки ОС выросло в несколько раз даже при отключенном автоматическом монтировании томов, то рекомендуется прекратить какую-либо самодеятельность, во избежание усугубления проблемы.

Существенное увеличение времени загрузки ОС при подключении потенциально проблемного жесткого диска — это весьма характерный признак того, что на поверхностях пластин накопителя имеют место дефекты поверхности. Задержки загрузки ОС возникают вследствие обращений к дефектным секторам и попыток микропрограммы выполнять процедуры оффлайн сканирования, которые ей не по зубам.

После успешной загрузки ОС зайдите в диспетчер устройств и удостоверьтесь, что ваш накопитель присутствует в списке устройств. Если его там нет, то удостоверьтесь, установлен ли драйвер для контроллера, к которому он подключен, и не выключен ли сам контроллер в списке устройств. Если с драйвером и настройкой ОС все в порядке, а накопитель так и не появился в ОС или появился и через некоторое время пропал, то обычно это говорит о широком спектре неисправностей. Наиболее вероятные — это неисправности платы контроллера, зависание микропрограммы накопителя, либо переход накопителя в аварийный режим, при котором он перестает нормально реагировать на большинство команд.

Для уточнения диагноза можно попробовать загрузить DOS и с помощью HDAT2 посмотреть параметры S.M.A.R.T. Если обнаружатся признаки дефектообразования (ненулевые значения по 5 и 197(С5) атрибута в полях ненормированных значений), то можно сделать вывод, что без вмешательства в настройки работы микропрограммы в домашних условиях сделать ничего не получится. Если признаков дефектообразования нет, то причина зависаний может крыться в некорректной работе платы контроллера. В этом случае можете попытаться использовать плату контроллера от накопителя донора.

4. Тестирование


Пройдя предыдущие этапы и не заметив веских причин для остановки процесса, можно приступить к дальнейшей оценке состояния накопителя. В большинство накопителей, выпущенных в этом веке, внедрена технология S.M.A.R.T., которая контролирует состояние накопителя и фиксирует различные события за время его работы. Подробнее прочитать о реализации данной технологии в HDD и какие параметры желательно контролировать при эксплуатации дисков можно в нашей статье «Что такое SMART и как его читать».

Используя диагностическое ПО, необходимо запросить параметры S.M.A.R.T.


Рис. 7 атрибуты S.M.A.R.T. исправного жесткого диска

Важно оценить показатели по атрибутам 5 и 197(С5). Если значения в столбце RAW нулевые или показатели проблем единичные, тогда необходимо перейти к дальнейшему тестированию.


Рис. 8 атрибуты S.M.A.R.T. диска с серьезным дефектообразованием

Если количество кандидатов в дефекты трех-четырехзначное число, то в большинстве случаев дальнейшие попытки тестирования поверхности или сканирования утилитами автоматического восстановления данных усугубят проблему вплоть до полной невозможности получения данных.

Для получения данных в таких случаях важно вмешиваться в настройки микропрограмм накопителей и отключать процедуры оффлайн сканирования, ведение журналов S.M.A.R.T., чтобы избавить накопитель от занятий фоновыми процессами, которые могут сильно сократить время жизни проблемного устройства. К сожалению, простыми путями без глубокого знания архитектуры микропрограмм накопителей и без профессиональных комплексов этого сделать не получится. Следующая задача — оценить состояние каждой из головок по отдельности и локализовать основные дефектные зоны. Линейное чтение с многократными повторами на дефектных участках в таких случаях противопоказано, как слишком опасное.

Даже если накопитель на первый взгляд работает корректно и согласно показаниям S.M.A.R.T. на нем не обнаруживается признаков дефектов, это не является гарантией того, что их действительно нет. Поэтому необходимо сделать завершающую стадию тестирования и выполнить верификацию поверхности.

Важно непрерывно контролировать процесс сканирования. При появлении посторонних звуков или обнаружении крупных зон с ошибками чтения немедленно прерывать процесс и отключить накопитель во избежание наступления необратимых последствий.


Рис. 9 график сканирования исправного диска

Если результатом сканирования диска получен монотонно-убывающий по скорости график и не зарегистрировано ошибок чтения, то накопитель можно считать исправным и переходить к следующему разделу.

В дисках с большим медиакэшем и трансляцией, отличающейся от классической (как правило в дисках с черепичной записью (SMR),) график может быть иной формы. Возможны различного рода выпады.


Рис. 10 график сканирования диска с проблемной головкой

Если при верификации диска обнаруживаются цикличные «медленные» зоны, то это характерный признак не совсем исправной головки. Не нужно ждать, когда будут обнаружены дефекты, и немедленно прекратить тестирование.

В такой ситуации не приходится ждать ничего хорошего при самостоятельных попытках извлечения данных. С высокой вероятностью накопитель не переживет попытку создания посекторной копии доступными пользователю средствами.

В случаях, когда в атрибутах S.M.A.R.T. 5 и 197(С5) были обнаружены признаки дефектообразования, или в процессе верификации были обнаружены точечные дефекты, необходимо создать копию диска.

5. Посекторная копия


Если по результатам тестирования накопитель исправен и никаких проблем не обнаруживается, то можно не создавать посекторную копию и работать с оригинальным диском. Но во избежание различного рода случайностей настоятельно рекомендуется не пропускать этот шаг и далее работать только с копией.

При исправном жестком диске или диске с небольшим количеством дефектов нет особой разницы, какой инструмент вы примените, важно, чтобы он создавал полную копию. Также важно не пытаться задействовать опции некоторых программ по созданию сжатого образа, так как потом вы скорее всего сможете работать только в рамках возможностей ПО, создавшей такой образ.

В ОС Windows можно использовать следующие программы: WinHex, DMDE, PC3000 DiskAnalyzer, R-studio и другие.

В ОС Linux хватит возможностей штатной команды dd

Не все ПО бесплатное, но во многом возможностей trial/demo версии будет достаточно для создания копии накопителя.

В качестве примера используем WinHex для клонирования диска.


Рис. 11 опции в меню WinHex для клонирования диска

На вкладке «Инструменты» выбираем опцию «Дисковые инструменты» в выпавшем окне выбираем «Клонировать диск» или просто нажимаем Ctrl+D.


Рис. 12 настройки параметров клонирования

Источником выбираем диск, который необходимо клонировать.

Приемником может выступить диск аналогичного или большего объема, а также возможно клонирование в файл-образ.

Убедитесь, что на диске-приемнике достаточно свободного пространства.
В настройках копирования желательно задействовать опцию «пропускать дефекты, секторов».

Если ваш накопитель с сектором с физическим размером сектора 4096 байт, но в ОС транслируется с виртуальным размером 512 байт, то необходимо установить значение 8, чтобы избежать лишних попыток чтения проблемного сектора.

«Шаблон для замены дефектов источника» — указать удобное для поиска слово или словосочетание, которым будет заполнен сектор в копии на месте непрочитанных секторов из источника. В дальнейшем удобно будет находить поврежденные файлы.

При создании копии обязательно неотрывно контролировать процесс. При появлении посторонних звуков, зависании накопителя или обнаружении большего числа, чем было при первичном тестировании, немедленно прекратить процесс и отключить накопитель во избежание наступления необратимых последствий.

В профессиональных средствах восстановления данных, в таких как DataExtractor, значительно большие возможности по настройке сценария копирования данных, а также присутствует контроль состояния накопителя, что существенно повышает шансы на успешное извлечение при наличии грамотного специалиста.


Рис. 13 настройки реакций профессионального комплекса при проблемах чтения

Восстановление данных


6. Методы восстановления


На сегодняшний день существует масса программ автоматического восстановления данных, которые не требуют от пользователя никаких профильных знаний и подразумевают получение данных чуть ли не в один клик мышкой. Но такой подход во многих случаях не даст максимально возможного результата или он будет теряться в массе мусорных вариантов.

Для эффективной работы программы восстановления данных лучше максимально сузить область поиска. Для этого желательно указать область сканирования и тип искомой файловой системы. Такое уточнение может отбросить массу вариантов предыдущих файловых систем, а также снизит вероятность неверного интерпретирования обнаруженных метаданных файловой системы.


Рис. 14 Пример настройки R-studio для поиска метаданных нужной файловой системы

Метаданные файловой системы — это структуры, описывающие расположение файлов их имена, атрибуты, права доступа к ним, логи и т.п.


Рис. 15 Пример метаданных. Фрагмент записи MFT (Master File Table в NTFS)

Не во всех случаях программы автоматического восстановления точно рассчитывают начальную точку отсчета применительно к найденным метаданным, а также не всегда корректно отсеивают данные разных файловых систем, в связи с чем возможен ошибочный расчет расположения для всех файлов, к тому же различные мусорные интерпретации увеличивают предполагаемый объем данных, порой во много раз больше, чем емкость самого накопителя.

В профессиональных комплексах присутствуют инструменты по созданию виртуальных томов различных файловых систем с заданными вручную параметрами, а также инструменты для поиска метаданных с возможностью отсева лишних объектов вручную.

В случаях, когда нужных метаданных файловой системы уже не существует или они некорректны, необходимо применить метод поиска регулярных выражений характерных для тех или иных типов файлов.


Рис. 16 0xFF 0xD8 0xFF регулярное выражение характерное для JPG файлов

Программы автоматического восстановления, ведущие поиск таким методом в своем большинстве, обладают следующими недостатками: отсутствует структура каталогов и оригинальные имена файлов, не производится анализ структуры файлов и недостаточно контролируется целостность найденного файла, в связи с чем находится множество мусорных данных, которые невозможно использовать, для многих типов файлов не рассчитывается корректный размер.


Рис. 17 Настройки R-Studio для поиска регулярных выражений нужных вам файлов

7. Типовые случаи и рекомендуемые действия


Повреждение файловой системы

В результате сбоев компонентов ПК, некорректной работы ОС, внезапного обесточивания во время записи на диск, неисправностей жесткого диска могут оказаться поврежденными метаданные файловой системы. При многих видах повреждений ОС не сможет монтировать том с поврежденной файловой системой.


Рис. 18 поврежденные метаданные файловой системы (нераспознанная файловая система RAW)

В этих случаях достаточно эффективен метод поиска метаданных файловой системы в границах существующего раздела. При незначительных повреждениях можно получить результат, близкий к 100%. Данная рекомендация актуальна для большинства различных файловых систем.

Разумеется, существуют случаи, когда в результате сбоев оказывается испорченным большой объем метаданных текущей файловой системы. Тогда, если не отработал первый вариант, необходимо воспользоваться методом анализа регулярных выражений для поиска нужных вам файлов.

Работа специалиста отличается тем, что он оценивает характер повреждения метаданных и если они не уничтожены, а пребывают в искаженном виде, то возможны ручные коррекции в шестнадцатеричном редакторе.

Удаление файла или группы файлов.

Ошибочное удаление данных — достаточно частый случай. Последствия этого действия сильно зависят от типа файловой системы, а также в относительно новых дисках от идеологии работы микропрограммы самого устройства.

Если файлы были удалены на разделе с файловой системой NTFS, то оптимальным методом поиска будет экспресс анализ в различных утилитах, при котором быстро сканируются ключевые структуры (MFT, Index, Logfile) без полного сканирования раздела. Если нужные файловые записи и место, занимаемое этими файлами не перезаписаны иными данными, то достаточно оперативно можно получить интересующие файлы.


Рис. 19 после сканирования $MFT фиолетовым выделены записи, числящиеся удаленными

Если при быстром сканировании нужные данные не обнаружены или повреждены, то можно выполнить полное сканирование раздела, но скорее всего серьезным образом результат не изменится и кроме поиска регулярных выражений ничего другого не останется.

В арсенале специалиста доступен инструмент построения карты незанятого пространства и дальнейший анализ исключительно в этих областях, что убирает из результата восстановления существующие данные. Это существенно экономит время пользователя при дальнейшем поиске необходимых файлов во множестве безымянных данных.

Если файлы удалены на разделе с файловой системой FAT16, FAT32, то можно использовать анализ метаданных и получить некоторую часть данных с оригинальными именами. В случае SFN будет отсутствовать первый символ в имени файла, если же файл был с длинным именем, то его полное имя будет в LFN записи. В случае удаления фрагментированных файлов восстановление данных средствами программ автоматического восстановления не будет успешным, так как при удалении в FAT таблице удаляется запись о цепочке кластеров, принадлежащих файлу. Также в FAT32 в некоторых случаях кроме удаления цепочки расположения файла в обеих копиях таблицы, в директории удаляется первый символ SFN и старшие два байта в номере первого кластера, занимаемого файлом. Большинство утилит автоматического восстановления, анализирующих метаданные, не определят правильную позицию файла.

Восстановление фрагментированных файлов, как правило, достаточно сложная работа, которая весьма слабо автоматизирована. Методы автоматизации можно разрабатывать под конкретный тип структур. Чаще всего задача сводится к ручному низкопроизводительному анализу по поиску необходимых фрагментов. Пример подобной работы можно оценить в статье «Восстановление базы 1С Предприятие (DBF) после форматирования»

Если методы анализа метаданных не привели к нахождению нужных данных или нужные файлы не могут быть открыты, то остается метод поиска регулярных выражений. Возможно некоторую часть файлов удастся обнаружить.

Если файлы удалены на разделе с файловой системой HFS+, Ext 2, Ext3, Ext4, то, к сожалению, анализировать метаданные бесполезно. Кроме поиска регулярных выражений ничего другого не остается.

Удаление раздела с данными

Если в оснастке управления дисками был удален один или несколько разделов ошибочно, то для пользователя, желающего восстановить данные, будет рекомендован запуск утилит автоматического восстановления с полным сканированием всего устройства. Также желательно учитывать положение существующих разделов, чтобы исключить заведомо неверные варианты в найденном.


Рис. 20 удаленный раздел

Специалистом подобная работа выполняется относительно быстро, посредством поиска загрузочных секторов, суперблоков в ожидаемых местах. На основании найденного рассчитываются точные позиции начала разделов и их протяженность.

Также можно попытаться использовать DMDE или аналогичные утилиты, которые относительно быстро могут позволить найти признаки начала раздела, и попытаться отобразить файловую систему найденного раздела.


Рис. 21 результат быстрого поиска разделов с помощью DMDE

Отформатирован раздел с данными.

В таких случаях рекомендуемый сценарий действий сильно зависит от типа файловой системы, которая была до форматирования раздела, и какая файловая система стала использоваться после форматирования.

Например, если раздел FAT32 c кластером 8кб, был отформатирован в FAT 32 с кластером 64кб, то размер новых таблиц FAT стал в 8 раз меньше и, следовательно, обе копии новых таблиц испортили только первую копию старых таблиц FAT. В такой ситуации поиск метаданных может дать результат близкий к 100%. Если же раздел был отформатирован в FAT32 с меньшим или равным размером кластера, чем был до форматирования, то новые чистые таблицы полностью перезапишут старые и частично затронут область с пользовательскими данным. В таком случае поиск метаданных даст значительно худший результат.

Если до форматирования на разделе использовалась файловая система FAT32, а раздел был отформатирован в NTFS, то новые структуры ($MFT, $Bitmap, $Logfile), как правило, располагаются не у самого начала раздела, и высока вероятность посредством метода поиска метаданных получить большинство данных с нормальной структурой каталогов и минимальными повреждениями самих данных.

Также высокий процент восстановления будет, когда раздел с файловой системой NTFS отформатирован в FAT32. В этом случае таблицы FAT испортят данные в начале раздела и как правило не затронут ключевые структуры NTFS. Неудовлетворительный результат будет в случае с малым объемом данных, размер которых сопоставим с размерами двух копий таблиц FAT.


Но если пользователь не желает вникать в нюансы расположения метаданных различных файловых систем, то логичным шагом будет запустить утилиту автоматического восстановления данных в режиме поиска метаданных. И в случае, если получен недостаточный объем данных, применить метод поиска регулярных выражений.

Отформатирован раздел с данными и частично перезаписан иными данными.

Как часто бывает, пользователь может отформатировать раздел и начать заполнять его иными данными, а только потом спохватиться, что на старом разделе была важная информации. В таких случаях не может быть однозначной рекомендации. Все очень сильно зависит от того, как много (количественно и по объему) было записано новых данных, а также где расположились эти данные. В зависимости от условий результат может быть от 0 до близкого к 100%. Заочно это непредсказуемо.

Во многих случаях с большим перекрытием области данных имеет смысл начать с метода поиска регулярных выражений для нужных типов файлов, чтобы понять, есть ли еще признаки существования нужных данных, и в случае их обнаружения выполнить поиск метаданных файловой системы.

В условиях лаборатории восстановления данных специалист построит карту незанятого пространства и проведет поиск регулярных выражений только по этим участкам, чтобы исключить в результатах поиска наличие уже существующих данных. Также с помощью инструментов контроля целостности значительно уменьшит количество ложных распознаваний. А в некоторых задачах вроде восстановления jpg файлов (например, чьего-то домашнего фотоальбома) сможет произвести сортировку согласно информации, содержащейся в Exif тегах jpeg файлов, что позволит получить упорядоченный в хронологическом порядке результат и отсортированный по моделям камер.


Рис. 22 результат сортировки JPG файлов, найденных посредством поиска регулярных выражений

Аварийное завершение процедур изменения размера, перемещения или объединения разделов.

В случаях аварийного завершения процедур дисковых менеджеров по изменению размера раздела, его перемещению или слияния нескольких разделов предстоит разобраться, какие именно шаги были совершены и на каком этапе была остановлена операция, чтобы получить максимально возможный результат.

Учитывая сложность и количество возможных вариаций, рассмотрим только универсальный вариант для пользователя, которому нужен результат с минимальным количеством действий. Объектом для анализа нужно выбрать весь накопитель, чтобы гарантированно охватить все места расположения данных. Использовать метод поиска метаданных и копировать все варианты данных по найденным файловым системам. Высока вероятность, что в каждом из вариантов будут корректными разные наборы файлов. Поиск регулярных выражений по заданным типам файлов также важен, так как в таких случаях утраты данных возможна частичная потеря информации об именах и размещении файлов.

8. Проверка целостности восстановленных данных


Важно понимать, что отображение имен файлов в программе восстановления данных или количество найденных регулярных выражение не гарантирует, что все найденное будет годным к использованию. Поэтому не менее важный этап после восстановления данных программой автоматического восстановления — это проверка целостности самих данных.

К сожалению, универсального бесплатного средства для проверки целостности большого количества разных файлов, не существует. Но по отдельности можно отыскать бесплатное ПО, которое может контролировать отдельные типы файлов. Например, многие архиваторы позволят проверить исправность архивов, утилитой MP3Diag можно проверить исправность mp3 файлов, ImageMagick можно использовать для тестирования jpg файлов.

Главный недостаток многих бесплатных утилит проверки целостности файлов в том, что они не гарантируют полной проверки файлов. И возможны массовые ошибки.

Для многих типов файлов у пользователя не остается других вариантов, кроме как визуально оценивать целостность данных посредством поочередного открытия файлов в соответствующих приложениях.

В профессиональных комплексах присутствует набор инструментов, позволяющий частично контролировать исправность файлов, что избавляет результат восстановления данных от большого количества мусорных файлов.

Кроме отсева мусора, необходимо отловить поврежденные дефектами файлы. Если вы создавали посекторную копию с заполнением паттерном непрочитанных секторов, то вопрос нахождения поврежденных файлов легко решить посредством поиска в файлах текстовой строки «BAD!BAD!BAD!BAD!» (в нашем примере был использован заполнитель «BAD!»). После нахождения необходимо проверить степень повреждения, так как некоторые форматы файлов могут не сильно страдать от потери небольшого куска данных, а некоторые могут быть полностью негодны.

9. Частые ошибки пользователей.


Разного рода попытки «лечения» дефектов с использованием популярных диагностических утилит в надежде, что это вернет доступ к данным, являются одной из главных ошибок многих пользователей. Попытки скрыть дефекты на накопителе с поврежденным полимером на поверхности пластин обычно заканчиваются запиливанием пластин, а не получением доступа к данным. По этой причине, не зная характера дефектов на поверхности настоятельно не рекомендуется выполнять какие-либо сервисные операции над диском до получения данных. После успешного восстановления информации можно попытаться обслужить накопитель, и если вдруг повезет, то возможно еще накопитель будет пригоден для дальнейшей эксплуатации в не особо ответственных задачах.

Нередко дефекты приходятся на метаданные файловой системы. В этих случаях ОС при попытке монтировать поврежденный том надолго замирает. При подключенном проблемном накопителе время загрузки ОС может растянуться на десятки минут. Одна из самых неудачных идей по решению этой проблемы – форматировать проблемный раздел. Вновь созданные метаданные могут записаться корректно, и проблема долгой загрузки ОС будет решена, но задача восстановления данных усложнится, а качество результата восстановления может сильно пострадать.

Копирование данных, обнаруженных утилитой, на тот же раздел, с которого пытаются восстановить файлы. В этом случае обычно все заканчивается тем, вместо данных пользователь получит мусор, и следующая попытка восстановления данных уже будет с куда худшим результатом. Если действовать по инструкциям из этой статьи, то от такой ошибки вы будете застрахованы.

Не выполняется проверка целостности восстановленных данных и уничтожается содержимое оригинального накопителя вместе с его копией. В этом случае есть риск остаться с кучей папок, заполненных ошибочным результатом попытки восстановления данных без возможности получить качественный результат.

Неправильный выбор инструмента и методик восстановления данных, в связи с чем получается результат значительно хуже, чем он мог бы быть.



Надеюсь, этот комплекс мер поможет вам принять решение, допускает ли ситуация с вашим накопителем самостоятельные попытки восстановления данных и готовы ли вы выполнить этот набор относительно простых действий, перечисленных в этой статье.

Предыдущая публикация: Хождение по мукам или долгая история одной попытки восстановления данных
Теги:
Хабы:
+97
Комментарии 114
Комментарии Комментарии 114

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн