Реферат: Відновлення даних на ntfs розділах

відновлення даних на NTFS розділах

ця стаття відкриває цикл публікацій, присвячений ручному відновленню даних на NTFS-дисках без використання автоматизованих "докторів", що найчастіше тільки добивають "пацієнта" замість його лікування. ми торкнемося всіх аспектів проблеми – логічні й фізичні дефекти, жорсткі диски й знімні носії (CD-ROM, ZIP, магнітооптика, FLASH…),програмні й апаратні RAID-масиви й т.д.  сьогодні ми розглянемо основні концепції зберігання й організації даних на жорстких дисках і поговоримо про відновлення завантажувальних областей (таблиці розділів, boot-секторів) на звичайних і динамічних розділах.
введення
Довгий час головним козирем супротивників NTFS був наступний аргумент – чим ви будете неї відновлювати, якщо вона вмре? А мре вона, як показує практика, досить часто. При всій своїй надійності, NTFS не застрахована від потрясінь. Помилки оператора, віруси, збої живлення, зависання ОС, дефекти поверхні, відмова електроніки... З кожним днем людство усе сильніше й сильніше стає залежно від комп'ютерів, обсяги жорстких дисків стрімко ростуть, а разом з тим росте й цінність даних, втрата, що втримуються на них, яких найчастіше непоправна.

Попит народжує пропозиція й на ринку як гриби після дощу лупляться фірми, що спеціалізуються на відновленні даних, однак, по-справжньому гарних фахівців можна зустріти тільки у двох, ну від сили в трьох з них, а всі інші лише створюють видимість кипучої діяльності, виставляючи астрономічні рахунки при досить посередній якості відновлення. Але час кустарів уже пішло. Робоча атмосфера змінилася. Хакеры розібралися з будовою NTFS і документували її ключові структури. Почав формуватися гідний інструментарій для ручного відновлення. Нарешті, за минулий час нагромадився величезний досвід по боротьбі за порятунок даних, частиною якого автор і хоче поділитися із читачами.
^ якщо раптом трапився збій і дані виявилися загублені...
Насамперед – не паникуйте! Займатися відновленням можна тільки на тверезу голову. Непродумані, пропасні дії тільки збільшують ваше й без того незавидне положення!

Не використайте ніяких автоматизованих "лечилок", якщо повністю в них не уверенны. Наслідку такого лікування можуть бути катастрофічними, а результати "відновлення" – необоротними. Те ж саме ставиться й до "фахівців", що живуть у фірмах незрозумілого походження й усЪе, що орудують, тими ж автоматизованими утилітами, якими ви можете скористатися й без них. Деякі намагаються створювати необхідний інструментарій самостійно. Найчастіше він виявляється непрацездатним ще з народження, але зате яка гордість для фірми! Який вражаючий засіб демонстрації власної крутості! Повірте, утиліти типу Easy Recovery і Get Data Back далеко не дурні писали (так ще й при участі безпосередніх розроблювачів оригінального драйвера NTFS, добре знаючі всі його тонкості й особливості поводження). Це краще з того, що є на ринку й поки ще нікому не вдалося їх перевершити! (зрозуміло, мова йде лише про автоматизоване відновлення).

Ничего не записуйте на відновлюваний диск і не дозволяйте цього робити іншим додаткам! Якщо ви випадково видалили файл із системного диска, у жодному разі не виходите з Windows "культурним" способом. Краще натисніть RESET (при штатом завершенні сеансу, система зберігає на диску поточну конфігурацію, істотно збільшуючи ризик необоротного затирання вилученого файлу).

Не намагайтеся "насилувати" збійні сектори багаторазовими читаннями – це лише розширює дефектну область на сусідні сектори й здорово спотворює магнітну головку, після чого здорові сектори не зможуть читатися теж. Краще виконаєте довге (long) читання з диска з відключеними контролюючими кодами, тоді контролер поверне все, що залишилося від сектора (найчастіше збій зачіпає тільки трохи байт).

Якщо вінчестер видає підозрілі звуки типу постукування або скреготу, негайно виключите живлення комп'ютера (знов-таки, не дозволяючи системі нічого писати на диск ), оскільки в будь-який момент вінчестер може доламатися остаточно й тоді йому вже ніякий электронщик не допоможе.

Відновлюйте SCSI (і, особливо, RAID!) диски тільки на "рідному" контролері (різні контролери використають різні схеми трансляції адрес). Якщо ж контролер здох, то або ремонтуйте його, або шукайте точно такий же. З IDE-дисками в цьому плані набагато простіше, – їхні контролери більш-менш стандартизовані, однак, з дисками великого обсягу (понад 528 Мбайт) уже починається плутанина й плутанина, що ставить їх у залежність від конкретної BIOS і обраного режиму роботи (NORMAL, LBA або LARGE). Якщо відновлюваний диск працює під керуванням нестандартних драйверів типу Rocket, OnDisk і т.д., вони повинні бути присутнім і на завантажувальної диску (завантажувальному CD), з якого виробляється відновлення.

Наконец, якщо дані відновити так і не вдалося – не розбудовуйтеся. У всьому в житті треба бачити й гарні сторони, навіть коли нічого гарного немає.
^ структура диска – базові концепції
Фізично жорсткий диск являє собою запечатану банку з однієї або декількома одне або двосторонніми пластинами, насажанными на шпиндель. Читання/запис даних здійснюється блоком магнітних головок, кожна їх яких обслуговує одну з поверхонь пластини. Інформація зберігається у формі концентричних кілець, називаних треками (track) або доріжками. Треки, розташовані на рівній відстані від центра всіх пластин, утворять циліндр (cylinder). Фрагмент треку, утворений радіальним розподілом, називається сектором (sector). У сучасних вінчестерах кількість секторів на трек не залишається постійним і дискретно росте в міру видалення від центра пластини, підтримуючи більш-менш постійні лінійні розміри сектора. Треки й головки нумеруються починаючи з нуля, сектора – починаючи з одиниці. Розмір сектора для жорстких дисків – 512 байт.

Первой схемою адресації секторів, що дісталася жорстким дискам у спадщину від дискет, стала так звана CHS-адресація, що представляє собою скорочення від Cylinder/Head/Sector (Циліндр/Головка/Сектор) і виникла під тиском економічних причин. Колись, координати адресуемого сектора прямо відповідали фізичній дійсності, що спрощувало (а, виходить, і удешевляло!) дисковий контролер, не жадаючи від його ніякої інтелектуальності. Крім того, що така схема адресації дивовижна незручна для програмістів (послідовне читання диска розтягується на три вкладених цикли!), вона ще й до непристойності відстала! Кількість секторів у треку повинне бути постійним для всього диска, а в нових вінчестерах це не так. Тому, для збереження сумісності з існуючим програмним забезпеченням, дисковий контролер виртуализует геометрію вінчестера, що ставить нас у залежність від обраної схеми трансляції (а схема трансляції – справа сугубо внутрішнє й тому не стандартизоване). Параметри диска, повідомлювані пристроєм і надруковані на етикетці, завжди віртуальні й ніякої можливості довідатися реальне положення справ у нас немає.

IDE-диски завдяки наявності інтегрованого контролером усередині, у найменшому ступені залежні від зовнішнього миру й можуть вільно мігрувати від однієї машини до іншої (за умови коректного поводження BIOS'а, але про це трохи пізніше). Деякі вінчестери підтримують спеціальну ATA-команду "Initialize device parameters", що встановлює поточну віртуальну геометрію диска, а точніше обрана кількість головок і число секторів на доріжку. Кількість циліндрів обчислюється контролером самостійно, на підставі загального обсягу диска, що до речі кажучи, також можна змінювати програмними засобами (за це відповідає ATA-команда SET MAX ADDRESS). Деякі драйвера (і BIOS'ы) змінюють геометрію диска, прив'язуючи вінчестер до себе міцними шлюбними узами й в іншім оточенні такий диск працювати вже не буде, ну у всякому разі до установки правильної геометрії.

З SCSI-пристроями ситуація обстоит набагато гірше й диск погоджується працювати тільки з тим контролером, під яким він був відформатований. Різні контролери використають різні схеми трансляції й тому підключення диска до несумісного контролера довільним образом "перемішує" сектора. Редактор диска з таким вінчестером працювати ще буде, а от штатні засоби операційної системи (і більшість "докторів") немає.

Просунуті контролери автоматично заміщають погані сектори, або зберігаючи цю інформацію у свій енергонезалежній пам'яті, або в записуючи її в інженерні сектори самого диска. Це ще сильніше прив'язує накопичувач до його контролера (правда, деякі SCSI-диски виконують перепризначення секторів власними засобами). Таким чином, вихід SCSI-контролера з ладу фактично прирівнюється до відмови самого диска. Ніколи не здобувайте SCSI-контролери no-name виробників – у будь-який момент вони можуть канути в лету й тоді поставки нових контролерів припиняться. Контролери, інтегровані в материнські плати, це взагалі пісня. Ненадійні, ні із чим не сумісні... а що ви ще хотіли за таку ціну?

Складніше всього доводиться RAID-масивам, схема трансляції адрес яких повністю визначається контролером. Масиви рівня 1 (mirroring або дзеркала) найчастіше транслюються всквозную й без особливих проблем можуть бути перенесені на будь-який інший контролер або навіть підключені в обхід його. Масиви інших рівнів (і в особливостей RAID 3/RAID 5) на інших типах контролерів як звичайно непрацездатні. Програмні RAID'ы, монтируемые Windows NT, містять інформацію про свою геометрію в системному реєстрі й не можуть бути безпосередньо перенесені на інші системи. Переустановка Windows NT (так само як і крах оной) знищує програмний RAID. На щастя, ця втрата оборотна й у наступних статтях цього циклу ми розкриємо секрети техніки відновлення.

Несмотря на те, що CHS-трансляція в цей час визнанаі застарілої (пристрої, що дотримуються специфікації ATA/ATAPI-6, прийнятої в червні 2001 року, уже не зобов'язані її підтримувати), вона дотепер зустрічається в багатьох службових структурах операційної системи (зокрема в таблиці розділів і завантажувальному секторі), тому має сенс зупинитися на цьому питанні детальніше, тим більше, що тут є про що поговорити.

На интерфейсном рівні, адреса сектора передається в такий спосіб (див. листинг 1)


порт значення

0172/01F2 у секторів

0173/01F3 номер сектора (біти 0-7)

0174/01F4 номер циліндра (біти 0-7)

0175/01F5 номер циліндра (біти 8-15)

0176/01F6 номер головки (біти 0-3), привод на шині (біт 4), режим CHS/LBA (біт 6)

^ Листинг 1 інтерфейс із IDE-диском у режимі CHS


Сервісні функції BIOS'а, навпроти, адресують диск злегка по своєму:


регістр значення

AL у секторів для обробки

CH номер циліндра (біти 0-7)

CL номер циліндра (біти 6-7), номер сектора (біти 0-5)

DH номер головки

DL привод на шині | 80h

^ Листинг 2 інтерфейс із перериванням INT13h BIOS

Таким чином, на адресацію циліндрів BIOS відводить усього 10 біт і тому максимальна кількість циліндрів на диску обмежене всього 1024, що при чотирьох бітній адресації головок, дає гранично досяжний обсяг диска в 512 * 210 * 26 * 24 == 536870912 байт або 512 Мб. Ха! Виробники вінчестерів переступили цей бар'єр уже багато років тому й з тієї пори, до речі кажучи, дуже багато чого змінилося. MS-DOS пішло небуття, а пришедшая їй на зміну Windows працює з диском через власний драйвер і обмеження BIOS її ніяк не стосуються. Ну майже не стосуються…Адже первинне завантаження операційної системи здійснює ніхто інший як BIOS і якщо системні компоненти розташовані в секторах, що перебувають за межами 1024 сектора, операційна система попросту не буде завантажена! Причому, це ставитися до всіх операційних систем, а не тільки до критикуемой Windows!

Для подолання цього обмеження BIOS уводить додатковий рівень трансляції (режим LARGE), збільшуючи кількість головок (благо, BIOS виділяє для їхньої адресації аж 8 біт, проти 4 біт, виділюваних контролером диска). До наслідок, гранично припустимий обсяг диска тепер становить 512 210 26 * 28 == 8.589. 934. 592 байт або 8 Гбайт. Це в теорії. На практиці ж більшість BIOS'ов містили грубі помилки й при роботі з дисками понад 2 Гб вони або банально зависали, або втрачали старші розряди циліндра, звертаючись до початку диска й необратимо гроблячи всі службові структури. Дотепер багато хто цілком сучасні BIOS'ы не дозволяють адресувати більше 64 головок (віртуальних), що обмежує гранично припустимий обсяг диска всі тим же 2 Гбайтами. Тому, при переустановці Windows поверх старої версії на логічний диск ємністю понад 2 Гбайт, вона може перестати завантажуватися. Всі дуже просто! Коли система ставиться на тільки що відформатований диск, вона розташовує всі свої файли на самому початку, але в міру ж заповнення диска, область вільного простору відсувається усе далі до кінця…До речі кажучи, відсунути файли первинного завантаження може й дефрагментатор (або установка пакета відновлення). Коротше кажучи, власником більших вінчестерів настійно рекомендується розбити своє господарство на кілька дисків, установивши розмір першого (завантажувального) роздягнула не більш, ніж в 8 Гбайт, а краще навіть в 2 Гбайта.

SCSI-пристрою від народження підтримують прозорий механізм логічної адресації, або скорочено LBA (Linear Block Address), що послідовно нумерує всі сектори від 0 до останнього сектора диска. В IDE-накопичувачах LBA-адресація з'явилася тільки починаючи з ATA-3, але швидко завоювала загальне визнання. Розрядність адресації визначається пристроєм. В SCSI вона від народження 32-бітна, а IDE-пристрою аж до прийняття специфікації ATA-6 були обмежені 28 бітами, які розподілялися в такий спосіб:


порт значення

0172/01F2 у секторів

0173/01F3 номер сектора (біти 0-7)

0174/01F4 номер сектора (біти 8-15)

0175/01F5 номер сектора (біти 16-24)

0176/01F6 номер сектора (біти 24-28), привод на шині (біт 4), режим CHS/LBA (біт 6)

^ Листинг 3 інтерфейс із IDE-диском у режимі LBA

Як можна бачити, 28 бітна адресація забезпечує підтримку дисків з обсягом аж до 128 Гбайт, однак, включення в BIOS підтримки LBA ще не скасовує 8 Гбайтного обмеження й номер останнього адресуемого циліндра по колишньому залишається рівним 1024 з усіма наслідками, що випливають звідси. SCSI-дискам з їх справді 32 бітною адресацією трохи простіше й вони підтримують законні 2 Тбайта, а всі тому що управляються своїм власним BIOS'ом, на яких не накладене ніяких дурних пережитків старовини.

Утвержденная ATA-6 48 бітна адресація розширює гранично припустимі розміри IDE-дисків до астрономічних величин (конкретно – до 131.072 Тбайт), принаймні в теорії. На практиці ж, в Windows 2000 з пакетом відновлення SP2 або більше раннім, відсутня підтримка 48 розрядної LBA і для роботи з більшими дисками необхідно обновити драйвер Atapi.sys і додати до наступного ключа реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters параметр EnableBigLba типу DWORD зі значенням 1. (за подробицями звертайтеся до Microsoft Knowledge Base: 260910).

Один фізичний диск може бути розбитий на трохи логічних, кожний з яких послідовно нумерується від першого до останнього сектора або "наскрізною" адресацією, або по CHS-схемі. В одних випадках Windows вимагає завдання абсолютного номера сектора (який насправді ніякий не абсолютний, а відносний, що відлічується від стартового сектора роздягнула), в інші – очікує побачити "святу трійцю" (циліндр, головку, сектор), знов-таки, що відлічуються від стартового сектора. Так, якщо розділ починається з адреси 123/15/62, те першою його головкою однаково буде головка 0!

На рівні файлової системи операційна система адресує диск кластерами (cluster). Кожний кластер утворений безперервною послідовністю секторів, кількість яких дорівнює ступеня двійки (1, 2, 4, 8…)...Розмір кластера задається на етапі форматування диска й надалі вужі не міняється. Основне призначення кластерів – зменшення фрагментації файлів і зменшення розрядності службових файлових структур. Зокрема, FAT16 нумерують кластери подвійними словами й тому може адресувати не більше 10000h*sizeof(cluster) дискового простору. Легко бачити, що вже на 80 Гбайтовом диску розмір кластера становить 1 Мбайт і десяток файлів по одному байті кожного зжеруть 10 Мбайт! Вражає, не чи правда? NTFS, що оперує 64 бітними величинами, не страждає подібними обмеженнями й типовою величиною кластера, обирана за замовчуванням, становить усього 4 сектора. У відмінності від секторів, кластери нумеруються починаючи з нуля.
^ >>>> урізання первинна діагностика аварії
симптом

діагноз

ліки

жорсткий диск не зорієнтується BIOS'ом

відмова електроніки жорсткого диска

–

операційна система не завантажується, BIOS видає напис "non system disk", missing operation system або щось у цьому роді

при завантаження з дискети логічні диски не видні (команда C: дає помилку)

ушкоджено таблицю розділів або сигнатура 55h AAh

відновите MBR вручну або за допомогою GetDataBack

логічні розділи видні й справні (команди C: і dir C: працюють)

злетів boot і/або MBR завантажник

запустите консоль відновлення й дайте команди FIXBMR і FIXBOOT

логічні розділи видні, але команда dir C: дає помилку

ушкоджено boot-сектор або MTF

відновите boot-сектор вручну або резервної копії, відновите MFT з MFTMirr

операційна система починає закружаться, але потім висне або переривається з повідомленням про помилку

команда dir C: виконується нормально, chkdsk не знаходить помилок

навернулася сама операційна система

переустановите операційну систему, попередньо скопіювавши всі коштовні файли на інший носій

команда dir в одному або декількох підкаталогах виводить сміття або показує не всі файли

ушкоджена MTF або одна з її дочірніх структур

запустите Disk Explorer і прочитайте файли з MFT прямо в обхід індексів

деякі файли не читаються, при цьому вінчестер видає ритмічні що скребуть звуи

фізичні ушкодження поверхні диска

запустите утиліту відновлення жорсткого диска від його виробника

деякі файли містять у собі фрагменти інших файлів

на диску утворилися пересічні кластери

запустите chkdsk

вільне місце на диску планомірно зменшується без видимих причин

деякі кластери виявилися загубленими

запустите chkdsk

^ Таблиця 1 симптоми основних захворювань жорстких дисків
інструменти
Навіть якщо у вас золоті руки й світла голова, при відновленні даних нізащо не обійтися без інструментів. В ідеалі ви повинні бути готовими розробити все необхідне для роботи самостійно. Відновлення даних – досить кропітка й рутинна робота й при реанімації 80 – 120 Гбайтного диска без автоматизації нікуди. Недолік всіх відомих дискових докторів – відсутність убудованої мови або хоча б розвитий системи макрокоманд. Природно, перш ніж щось автоматизувати необхідно розібратися в ситуації й виконати цю роботу може тільки людина. Комп'ютеру довіряти її в жодному разі не можна – для цього він недостатньо інтелектуальний. Тільки людина може надійно відрізняти де лежать актуальні дані, а де сміття.

Однако, не варто впадати й в іншу крайність, у черговий раз винаходячи велосипед. Серед представлених на ринку утиліт, є практично все необхідне. Природно, більшість поширюються за комерційною схемою й за них доводиться платити. На жаль, багато хто з дорогих інструментів не виправдують своїх очікувань і до викинутого на вітер грошам домішується гіркота втрати по безповоротно загубленим даним. Автор протестував велику кількість різноманітних програмних продуктів і нижче описує найбільш кращі з них, перевірені ентропією й часом.
^ завантажувальна дискета
Засоби відновлення й діагностики, розташовані на основному жорсткому диску, годяться хіба що для навчання, а для реальної роботи вони марні. Навіть якщо збій виявиться не настольно серйозним, щоб перешкодити завантаженню Windows, спроба "лікування" диска в многозадачной середовищу носить досить непередбачений характер. Записуючи що-небудь на диск в обхід драйвера файлової системи ви здорово ризикуєте. Допустимо, ви відновлюєте вилучений файл, обновляючи MFT (Master File Table – свята святих файлової системи NTFS), а в цей час система створює/видаляє інший файл, звертаючись до того ж самого сектора, що й ви. Ну й що відбудеться в результаті? Правильно – файл, а, можливо, і вес дисковий тім, умре остаточно. До того ж система блокує активні виконува файлы, що, і файли даних, що унеможливлює їхнє відновлення навіть при наявності архівної копії. Про боротьбу з вірусами краще взагалі не говорити. Багато вірусів, улаштувавшись у системі, блокують запуск антивірусних програм або вміло ховаються від них, не даючи себе видалити або виявити. Якщо ж у результаті збоїти перестала завантажуватися Windows, ви взагалі залишаєтеся ні із чим...

Головна перевага FAT16/32 у порівнянні з NTFS це, безперечно, можливість завантаження із системної дискети. MS-DOS 7.0 підтримує довгі імена, дозволяючи скопіювати з відновлюваного диска всі файли, які тільки доступні штатному драйверу операційної системи. Але з NTFS такий номер уже не пройде! Однак, ніхто не забороняє нам підключити відновлюваний диск "другим" до системи із працездатної NT. Для цього навіть не обов'язково мати два комп'ютери. Просто підключите до свого комп'ютера ще один вінчестер, установите на нього NT і насолоджуйтеся життям. При цьому варто враховувати, що інформація про програмний RAID'ах, створених Windows NT 4.0 або більше ранніми версіями, утримується в реєстрі й тому при переносі диска на іншу систему виявляється недоступна. Динамічні диски, що з'явилися в Windows 2000, зберігають свою атрибути у фіксованих місцях диска й тому не прив'язані до своєї рідної системи. Із шифрованими файлами справи йдуть не в приклад гірше. Ключ шифровки зберігається в надрах користувальницького профілю й на іншій системі добування файлів виявляється неможливим. Причому, створення користувача з таким же ім'ям/паролем не вирішує проблеми, тому що  ключ генерується системою випадковим образом і не може бути відтворений. Нічого не залишається, як діяти тупим перебором.

Деякі типи руйнувань файлової системи способи завішувати оригінальний NTFS-драйвер або викидати синій екран смерті, що створює серйозні проблеми (щоб відновити диск, ми повинні запустити певний інструментарій, а щоб запустити інструментарій, нам треба завантажити Windows, а от це ми саме зробити й не можемо!). Спробуйте підключити такий диск до системи, не підтримуючий NTFS (наприклад, Windows 98 або MS-DOS), природно обрані вами утиліти відновлення повинні бути сумісні з нею. Або – як варіант – нацькуєте на такий диск LINUIX. Драйвер LINIX'а ігнорує допоміжні структури файлової системи (такі, наприклад, як файл транзакцій) і тому успішно монтує диск навіть коли в них утримується суцільне сміття.

Благодаря зусиллям Марка Руссиновича, що створило чудову утиліту NTFSDOS Professional, ми може працювати з NTFS-розділами в середовищі Windows 9x/MS-DOS. Однак, це аж ніяк не самостійний драйвер, а всього лише обгортка навколо штатного NTFS.SYS, эмулирующая необхідне оточення й диспетчеризующая файлові запити. З однієї сторони це добре тим, що ми маємо повноцінну підтримку NTFS, на 100% сумісну з нашою версією операційної системи (NTFS.SYS витягає саме відтіля), у той час як драйвера сторонніх виробників (і зокрема драйвер LINIX'а) реально працюють лише на читання, та й то абияк (потоки та інші "вкусности" NTFS начисто ігноруються). З іншого боку, якщо порушенный диск завішує NTFS.SYS, він завісить і Руссиновича! Однак, з такими проблемами доводиться зіштовхуватися не так вуж і часто, тому корисність цієї утиліти воістину неоціненна. Демонстраційна копія NTFSDOS Profrssional, доступна для безкоштовного скачивания (http://www.sysinternals.com/files/NTFSPro.exe), підтримує лише читання NTFS-дисків, а за можливість запису доводиться платити (несіть свої грошики на http://www.winternals.com – платний варіант www.sysitnernals.com).. Втім, оскільки NTSFDOS Professional усього лише обгортка, після невеликої доробки напилком вона охоче погоджується й читати, і писати. (Увага! Ніхто не говорить про злом! Ми нічого не ламаємо! Навпроти, ми створюємо, нарощуючи функціональність програми!). Коротко про установку й супутні проблеми. Для початку вам буде потрібно створити системну дискету, що легше всього здійснити засобами Windows 98. Російська версія MS-DOS навіть у мінімальному комплекті поставки (io.sys + command.com) займає набагато більше місця, чим розраховував Руссинович і NTFSDOS Professional на стандартну 3" дискету вже не вміщається. Тому, доводиться встановлювати NTFSDOS Professional на чисту диску (точніше кажучи, інсталятор створює таких дисків два – на перший поміщає NTFS-драйвер, а на другий – chkdsk.exe). Завантажившись із системної дискети, вийміть її з дисководу (природно, command.com повинен бути попередньо скопійований на віртуальний диск), вставте перший диск, сформований інсталятором і наберіть у командному рядку NTFSPRO.EXE.

Кадо варіант можна скористатися завантажувальним диском від компанії ^ Active@Data Recovery Software (http://download2.lsoft.net/NtfsFloppySetup.exe) або завантажувальним CD-ROM диском від її ж (http://download2.lsoft.net/boot-cd-iso.zip). Центральною ланкою кожного з них є незалежний NTFS-драйвер, що працює з під MS-DOS і монтує NTFS тому навіть при повнім руйнуванні допоміжних файлових структур і серйозному ушкодженні таблиці MFT і повнім руйнуванні кореневого каталогу. Драйвер самостійно сканує диск у пошуках уцілілих записів в MFT, показуючи в тому числі й вилучені файли, пропонуючи їх відновити. Природно, можливість запису на диск реалізована тільки в комерційній версії, а демонстраційна дозволяє лише скопіювати файли на зовнішній носій (жорсткий диск, розмічений під FAT, або дискету). Динамічні диски, на жаль, не підтримуються. Крім цього в комплект входить утиліта для створення/відновлення образом диска, засіб рятування диска від даних (корисно коли ви здаєте диск із конфіденційними даними назад продавцеві), програму для роботи з патриціями1 (відновлення зруйнованих таблиць розділів і їхня завчасна архівація), і автономний энурез – утиліту unerase для NTFS.

Якщо придбання другого жорсткого диска вам не по кишені, а можливості MS-DOS завантажників вас не устоюють, скористайтеся іншою утилітою Марка Руссиновичка – ERD Commander'ом, що дозволяє запускати усічену версію Windows з дискет (5 штук) або CD-диска. У цей час ERD Commander поширюється тільки на комерційній підставі, хоча в мережі дотепер можна знайти попередні, безкоштовні версії, хоча їхні функціональні можливості досить обмежені. Зокрема, випробуваний мною EDR Commander 2000 викликав суміш розчарування з подивом. По-перше, він закинув на дискету многопроцессорное ядро (а в мене однопроцесорна машина!). Як наслідок, при завантаженні з дискети Windows не знайшла потрібного ядра й умерла ще в зачатье. Довелося міняти ядро вручну. Потім спливли й інші помилки інсталятора й довелося чимало попотеть, перш ніж Windows все-таки завантажилася. Підготовлений інсталятором образ CD-ROM'а так само був у сильно розібраному стоянні – просто папка з файлами й bootsector.bin, що ще не кожною утилітою пропалиш (я користувався CDRTOOLS, так само підходить і CDRWIN, а от популярний Нерон, що спалює Рим, для цієї мети на жаль, не придатний). Проте, ERD Commander коштує всіх мучень! З його допомогою ви можете: міняти адміністраторський пароль у системі, редагувати реєстр упалої системи, управляти сервісами й драйверами, відновлювати вилучені файли, копіювати й модифікувати будь-які системні й користувальницькі файли (у тому числі й по мережі), редагувати таблицю розділів і управляти динамічними дисками, порівнювати файли упалої й робочої системи, робити відкіт системи в робочий стан і багато чого іншого. На жаль, безпосередніми засобами для відновлення зруйнованого диска ERD Commander не розташовує й в основному він застосовний для реанімації операційної системи (правда, з під ERD Commander'а ви можете викликати дискового доктора або будь-яку іншу Windows-утиліту, у такому випадку ніякого змісту в його придбанні немає – другий вінчестер буде дешевше).

Начиная з Windows 2000, Microsoft нарешті-те включила в операційну систему деяку пародію на завантажник, здатну стартувати з CD-ROM і підтримуючу NTFS. Називається ця штука Консоль Відновлення або по-англійському Recovery Console. Це дійсно консоль, нічого не знаюча про GUI і здатну запускати тільки консольні додатки (типу chkdsk.exe і подібних їм). Для її активації завантажитеся з дистрибутивного CD-ROM і зробіть вигляд, що хочете переустановити систему, але на певному етапі установки натисніть для виклику консолі відновлення. Вас запросять пароль адміністратора (якщо ви його забули або системний реєстр ушкоджений увійти в консоль не вдасться!), при успішній реєстрації запуститися командний інтерпретатор, що дозволяє (теоретично!) скопіювати вцілілі файли на інший диск. Практично ж за замовчуванням доступу тільки папка WINNT, причому копіювання на знімні носії заборонено. Гарненький початок! Вам потрібна WINNT? Особисті документи набагато потрібніше! На щастя, доступ можна розблокувати. Для цього необхідно привласнити системним змінним AllowAllPaths і AllowRemovableMedia значення true ("SET AllowAllPaths = true", "SET AllowRemovableMedia = true"), або локальних параметрах безпеки" (папка Адміністрування в Панелі Керування) завчасно знайти пункт "Консоль відновлення: дозволити копіювання дискет і доступ до всіх папок" і перевести рубильник у включений стан. Зміст цього захисту не зовсім зрозумілий. Прості користувачі до консолі відновлення однаково не дотягтися, а професіоналів подібні маніпуляції жахливо дратують. Перебуваючи в консолі відновлення ви можете: запускати chkdsk2 , створювати й видаляти розділи на жорсткому диску, перезаписувати головний запис і boot-record, форматувати логічні диски, управляти службами й драйверами, видаляти/копіювати/перейменовувати/змінювати атрибути файлів (включаючи тих, що блокуються при запуску системи), а так само виконувати інші сервісні операції. При бажанні ви можете запускати й свої власні консольні додатки, за умови, що вони не використають ніяких динамічних бібліотек за винятком NTDLL.DLL, однак, техніку їхнього створення ми обговоримо як не будь іншим разом, тому що  це дуже велике питання.

В Windows XP ідея консолі відновлення одержала подальший розвиток, що зрештою вилився в Windows PE. Це – злегка усічена версія Windows XP, здатна вантажитися з CD-ROM і запускати GUI-додатка. Фактично вона повністю замінять собою "другий" жорсткий диск і для відновлення системи тепер не потрібно ніякого додаткового встаткування! Незважаючи на те, що легальна версія Windows PE у широкий продаж так і не надходила (Microsoft надає її тільки розроблювачам устаткування, сервісним фахівцям і прочим своїм корешам), у Росії копію оригінального диска Windows PE можна знайти в кожному ларьку. Піратство піратством, але те, що попит народжує пропозицію – факт, а завантажувати Windows з диска потрібно многим. Якщо ж ви зв'язані ліцензійними обмеженнями, диктуемыми уставом вашої фірми, скористайтеся Bart's PE Builder'ом. Ця безкоштовно розповсюджувана утиліта (http://www.danilpremgi.com/nu2/pebuilder3032.zip) витягнеться з дистрьбютивного диска звичайної Windows всі необхідні файли й автоматично сформує iso-образ завантажувального CD. Пропалюєте його на болванку й всі! При бажанні ви можете поміщати на CD і свої власні утиліти, формуючи пристойну аптечку для відновлення померлих дисків і розміщається на 3" CR-R/RW, що вільно вміщається в нагрудній кишені. І не навіщо тягати ці моторошні стопки дискет або страшно сказати – окремий вінчестер. До речі кажучи, до Bart's PE Builder'у випущена безліч плагинов, що представляють собою програми, адоптовані для запуску з CD. Серед них є й утиліти відновлення даних, і дискові редактори, і навіть Nero Brining Rom. Більшу колекцію плагинов можна знайти на домашній сторінці Bart'а – http://www.nu2.nu/pebuilder/ тут же ви знайдете й короткий посібник з роботи з PE Builder'ом. Офіційно PE Builder підтримує Windows 2000, Windows XP і Windows 2003, однак, при ближчому розгляді з'ясовується що йому як мінімум потрібний Windows 2000 з інтегрованим SP1, зате створення диска на базі Windows 2003 пройшло успішно (використався CD-ROM з 180-денною версією Windows 200 Server, безкоштовно розповсюджуваний компаній Microsoft).




Малюнок 1 логотип диска Bart's PE
^ вибір носіїв для копіювання
Часи, коли відновлюваний вінчестер було можна скопіювати на парі пачок дискет, давно пройшли й тепер процедура порятунку даних значно ускладнилася. Пишучі приводи (особливо DVD) – гарний вибір і пара пачок болванок уміщає в себе жорсткий диск будь-якої розумної ємності, однак гідних програм прожига під MS-DOS немає й очевидно вже й не буде. Існуючі утиліти (включаючи їхні консольні різновиди!) вимагають для свого запуску Windows PE/Bart PE, що не в змозі монтувати зруйновані NTFS-диски (на деяких з них NTFS-драйвер просто висне або йде в блакитний екран).

Штатна ж консоль відновлення, NTFSDOS Proffessional і Active@ Data Recovery Boot Disk підтримують тільки дискети й IDE-накопичувачі, причому демонстраційні версії двох останніх вимагають, щоб диск-приймач був розмічений під FAT16/32, а його максимальний обсяг не перевищував 8 Гбайт. Якщо ж вам необхідно відновити диск більшого обсягу – послідовно копіюйте його на кілька твердих дисків. Згодний, це досить дороге задоволення, але дешевих рішень у справі відновлення даних не буває.
^ редактор диска
Дійсні професіонали відновлюють зруйновані логічні структури безпосередньо в дисковому редакторі, не довіряючи ніяким автоматизованим утилітам (крім своїх власних), оскільки ніколи не відомо наперед, якої підлості від них варто чекати. Так будемо надходити й ми, роблячи основний упор саме на ручному відновленні. Як тільки дисковий редактор стане нашим головним інструментом, це повинен бути гарний і комфортний редактор, у противному випадку, відновлення із захоплюючої роботи перетвориться в катування.

Кращим, і до речі кажучи дотепер ніким не перевершеним, дисковим редактором, коли-небудь, створеним за всю історію існування IBM PC, був і залишається знаменитий Norton DiskEditor від компанії Symantec. Зручна навігація по диску, перегляд більшості службових структур у природному виді, потужний контекстний пошук до межі спростили процедуру відновлення, взявши всю рутинну роботу на себе. Дідок і понині залишається в ладі. Природно, під Windows NT він не запускається, однак, працює під MS-DOS і Windows 9x, успадковуючи всі обмеження, що накладають BIOS'ом на гранично припустимий обсяг диска в 8 Гбайт (правда, спроба відновлення диска із многозадачной середовища, якої і є Winnows 9x, можуть носити діаметрально протилежний характер, втім, на NTFS-розділи ця умова не поширюється. Windows 9x не підтримує NTFS і нічого не пише на її розділи). На жаль, DiskEdit нічого не знає про NTFS і тому розбирати всі структури доводиться вручну. Але ще пів-лиха. DiskEdit'or не вміє працювати з UNICODE, а це вже гірше. Тому, краще вибрати інший редактор.




^ Малюнок 2 Disk Editor відображає FAT




Малюнок 3 Disk Editor відображає кореневу директорію

Microsoft DiskProbe, що входить до складу безкоштовно розповсюджуваного пакета Support Tools, це невигадливий і досить незручний у використанні дисковий редактор. Якщо все, що вам потрібно – це підправити пари байт у потрібних секторах, Disk Probe цілком підійде, але для відновлення серйозних руйнувань він непридатний. Тим менш, базові функції редагування їм підтримуються – читання (запис) логічних/фізичних секторів і груп, перегляд Partition Table, FAT16 і NTFS boot-секторів у природному виді, підтримка UNICODE, глобальний пошук по фіксованому/довільному зсувуу рядка від початку сектора, запис/відновлення секторів в/из файлу й т.д.  Основна претензія – відсутність гарячих клавіш і неможливість переходу до наступного сектора по PagePown (для кожного сектора доводиться лізти в меню, що жахливо напружує).




^ Малюнок 4 Disk Probe за пошуком сектора




Малюнок 5 Disk Probe відображає Partition Table

Acronis DiskEditor – злегка поліпшений клон Disk Probe. Оздоблено інтерфейс, істотно спрощена процедура вибору дисків, по PageDown/PageUp переходить до наступного/попередньому сектору. У пошуку з'явилася підтримка великої кількості різних кодувань (DiskProbe розуміє тільки Cyrillic Windows-1251), і Шуканн-HEX-пошук. Але є й недогляду. При масштабуванні вікна міняється й кількість байт у рядку, що робить навігацію по секторі досить суперечлива й скрутної, до того ж поточна позиція курсору відображається тільки в десятковому виді (в DiskProbe – у шестнадцатеричном), що так само не додає захвату.




^ Малюнок 6 Acronis DiskEditor за пошуком рядка




Малюнок 7 Acronis DiskEditor відображає NTFS boot-сектор


DiskExplorer від Runtime Software – чудовий дисковий редактор, найкращий з усіх з якими мені тільки доводило працювати. Фактично це клон Norton DiskEditor під Windows NT/9x з повною підтримкою NTFS. Ви можете переглядати всі основні NTFS-структури в приро