Владислав Кабак | Omegicus CIO

NebKa

Вязание амигуруми. Милый мишка крючком. Как вязать

Описание вязания мишки амигуруми от Nelly Handmade. Отличная игрушка для ребенка своими руками. Экологически чистая и сделанная с любовью.             Источник: http://petelki.com.ua/1790-milyy-mishka-kryuchkom.html



читать далее »

Взлом телевизоров вблизи и на расстоянии

Взлом телевизоров вблизи и на расстоянии Автор: (c)Крис Касперски ака мыщъх Все мы используем пульты дистанционного управления на ИК-основе, но далеко не каждый из нас знает, какие возможности и опасности они предоставляют. Помимо "несанкционированного" переключения каналов у соседа, хакер может


читать далее »

Подвеска "Яблоко" - wire wrap - МК

Автор работы и мастер класса - Ольга Мельникова ...   Мастер-класс довольно простой, поэтому подойдет новичкам.Сегодня будем делать подвеску "Яблочко" из медной проволоки. Для этого нам понадобится: медная проволока 1,0 мм - 70-72 см. медная проволока 0,4 или 0,5 мм (я использовала



читать далее »

Анекдот

Лев собрaл всех зверей и говорит: - Сегодня будем есть сaмого трусливого. Зaяц выбегaет и орет: - Кaбaнa в обиду не дaм!


читать далее »

Анекдот

Автобус отъезжает от остановки, мужчина в возрасте долго бежит за автобусом, машет руками, тут водитель сжалился, останавливается и открывает заднюю дверь. Мужчина запрыгивает на заднюю площадку, от пыли поднятой автобусом, резко чихает и от неожиданности


читать далее »

Корзинка из бумажного пакета. Гиф анимационный мастер-класс

Отличный гиф анимационный мастер-класс от Ellinée. Посмотрите как из бумажного пакета можно сплести корзинку. По материалам сайта http://www.ellinee.com/blog/seventh-generation-holiday-gif-guide-featuring-ellinee/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+Ellinee+%28Ellin%C3%A9e+Blog%29



читать далее »

Ангорские пушистые кролики

Ангорские пушистые кролики Этих милых кроликов разводят ради их длинной и мягкой шерсти в области Ангора в Турции.Изделия из ангорской шерсти во все времена очень ценились. Так же это порода пользуется популярностью у заводчиков домашних животных.              



читать далее »

Текстильные бусы и браслеты. Мастер-класс

Очень понравилась идея Дарьи Унгурян! Собираюсь на днях сшить блузку из шифона и к ней как раз подойдут такие бусики с браслетом. Спасибо автору за мастер-класс!   Нам понадобится:ткань,бисер,нитки,иголка,ножницы. Нарезаем ткань на квадратики размером 7смх7см(12-14 квадратиков). Сметочным швом собрать



читать далее »

География

В казино Лас-Вегаса нет часов.


читать далее »

Разное

Самая толстая когда-либо выпущенная газета - The New York Times 17 октября 1965 года. В ней было 946 страниц и весила она 3.5 килограмма.


читать далее »

Природа

Самая многочисленная форма жизни на Земле - вирусы.


читать далее »

Анекдот

Симпатичная девушка, купаясь в бассейне, потеряла свои плавки. Схватив какую-то табличку и прикрыв спереди свои прелести, она побежала в отель. Вдруг разразился громкий хохот.- Hечего надо мной смеяться, - рассердилась она.Hо, посмотрев на себя в


читать далее »

Тапочки

Megztos slepetes be siuliu                                 http://bbs.bianzhirensheng.com/thread-1294877-1-1.html



читать далее »

Космос

Около 25% Вселенной состоит из "темной материи", а около 70% состоит из "темной энергии", оставив лишь около 5% Вселенной видимой для нас.


читать далее »

Профессиональное сжатие видео

Автор: (c)Крис Касперски ака мыщъх Эта публикация открывает цикл статей, посвященных вопросам обработки видеоинформации в домашних условиях и в первую очередь - осмысленной настройке MPEG2/MPEG4-кодеков, увеличивающей степень сжатия (без видимой потери качества) в несколько раз по сравнению с "сертифицированными профилями", установленными


читать далее »

Очень красивая салфетка из лоскутов. Мастер класс и шаблон

Давненько я не радовала тех, кто любит лоскутное шитьё. Посмотрите как сшить очень красивую салфетку из лоскутов. Есть шаблон для Вас в помощьhttp://img1.liveinternet.ru/images/attach/c/9//4079/4079079_27.pdf Ваша santa3 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26.



читать далее »

Анекдот

У Джеймса Бонда спрашивают - Сколько время? - Пятнадцать. Семь пятнадцать.


читать далее »

Как сделать помпоны из остатков ткани

Что только не идет в шитье и рукоделие: остатки ниток  -- можно шить картины или набивать подушки, из остатков пряжи – предметы быта или носки и тапочки, из лоскутков ткани можно шить наволочки, одеяла и даже одежду,



читать далее »

Мой совет:

Если протереть иголку с ниткой влажной салфеткой, вероятность того, что нитка запутается станет намного меньше.


читать далее »

Простые выкройки кошечек. Шьем сами

Если вы хотите сшить кошечку, предлагаю воспользоваться самой простой выкройкой для пошива игрушки



читать далее »

Космос

Астрономии используют три основные единицы измерения. Внутри Солнечной системы обычно пользуются «астрономической единицей» (а. е.), равной среднему расстоянию от Земли до Солнца - 149 600 000 километров. По этой измерительной шкале Марс находится на расстоянии


читать далее »

Разное

Молния может «оббежать» Землю 8 раз за секунду.


читать далее »

Мыльце с шампанским! От Katte Laplander

Моя подруга,очень любит эксперементировать с мыловарением)) У неё очень оригинално и красиво это получается)) Хотя сама она редко когда восхищается своими работами,а они у неё очень чудесные и единственные в своем роде!) И вот даже



читать далее »

География

Крупнейшие порты мира: Роттердам, Сингапур, Кобе, Нью-Йорк, Новый Орлеан.


читать далее »

Как вязать шишечки спицами? МК

  Шишечки - красивый выпуклый элемент вязания спицами. Они бывают разных видов и вяжут их по-разному. В схемах шишечки тоже обозначают по-разному, например ромбиками или кружочками. В своих схемах я просто помечаю клеточки с шишечками другим цветом.



читать далее »

География

Персия изменила свое название на Иран в 1935 году.


читать далее »

Большая подборка мебели из картона + видео

Представленные здесь фото собраны в Интернете, но это не помешает вам использовать идеи мебели из картона в своих работах. Для начала посмотрите несколько видеороликов о мебели из картона.   Странно, но у нас до сих пор никто и



читать далее »

Мой совет:

Винные пятна на платье из хлопчатобумажной ткани можно вывести кипящим молоком.


читать далее »

Мой совет:

Пятна от рыбьего жира можно удалить слабым раствором уксуса.


читать далее »

Природа

Вода в Мертвом море в 7-8 раз соление, чем в океанах.


читать далее »

Анекдот

Тараканьи бега закончились массовой гибелью всех участников. Спонсор финишной линии - "Мелок Машенька"!


читать далее »

Природа

Энергия Солнца ежегодно поднимает с поверхности всего земного шара в атмосферу 511 тыс. км3 воды, из них 411 тыс. км3 с океана.


читать далее »

Выкройка чердачной куклы



читать далее »

Большая подборка Бохо или богемские выкройки, эскизы одежды

  Юбка в стиле Бохо Нужно подготовить натуральную ткань, хлопок или лен, 2 метра и ширина полтора. Для подкладки можно взять ситец, батист или обычную марлевку – полтора метра на метр. Переднюю часть юбки сшиваем с их верхней



читать далее »

КОЛЬЕ ИЗ КРУЖЕВА И БИСЕРА

В этом обучающем уроке вы узнаете, как легко и просто сделать классное украшение из бисера. Сказочное колье станет настоящим украшением вашего образа. Это идеальный вариант украшения, которое дополнит любое вечернее платье. 90-е возвращаются… Приступаем к работе! Материал: кружево



читать далее »

Астероидный грунт преподнёс исследователям сюрпризы

Впервые попавшие в руки людей частицы астероида позволили подтвердить гипотезу о происхождении большинства метеоритов на Земле. В то же время в ходе «расследования» проявились странности и загадки, над которыми специалисты ещё долго будут ломать голову.Завершён крупный этап изучения крупинок с астероида Итокава,


читать далее »

Мой совет:

УХОД ЗА БЕЛЬЕМ, ОДЕЖДОЙ И ОБУВЬЮ Краткие сведения о текстильных волокнах В зависимости от происхождения текстильные волокна подразделяются на натуральные и химические. Натуральные волокна в свою очередь делятся на растительные (целлюлозные), животные (белковые) и минеральные. К растительным волокнам относятся


читать далее »

Животные

Осел утонет в зыбучих песках, а мул - нет.


читать далее »

Мыло с сердечком

На кануне дня Св. Валентина хочу показать как можно сделать мыло с сердечком внутри. Для изготовления мыла возьмем:прозрачную основу для мыла (около 70 гр, в зависимости от размера основной формы), белую основу для мыла (около 30


читать далее »

Анекдот

Отец отжог... Подруга моей маме рассказала жалостливую историю, о том как её шпицу(собачке) вырвали глаз дворовые коты. Операция стоила 40000, глаз восстановили, но он ничего не видит. отец послушал и выдал:"лучше б пуговицу пришили"


читать далее »

Очаровательное платье-трансформер.

http://blog.henkaa.com



читать далее »

Рельефные узоры

  Источник: http://www.myknitting.narod.ru/ornaments/ornaments-r.htm



читать далее »

Мой совет:

Пятна от ржавчины с белых тканей можно удалить раствором гидросульфита(1 чайная ложна на стакан воды). Для этого раствор надо подогреть до 60-70 градусов, опустить в него ткань с пятном на несколько минут, а затем сполоснуть


читать далее »

Анекдот

Настоящий талант - это, проснувшись утром от телефонного звонка, ответить на него таким голосом, как будто ты уже давно встала!


читать далее »

Анекдот

Занятия на военной кафедре. Майор объясняет студентам:- Угол подъема пулемета на БТР составляет не более 30 градусов.Вопрос из аудитории:- Товарищ майор, а каких градусов - по Фаренгейту или по Цельсию?Майор, после некоторых раздумий:- По Фаренгейту.Дружный


читать далее »

География

Стамбул, Турция, является единственным городом в мире, который расположен в двух частях света.


читать далее »

8 ароматов против комаров

1. Сто граммов камфары или валерьянки, испаряемые над горелкой, избавят от мух и комаров даже очень большие помещения. 2. Мелко нарезать свежие листья черемухи или рябины и натереть открытые участки кожи. 3. Эфирные масла гвоздики, базилика, аниса,



читать далее »

Человек

99,9 процента всей наследственной информации у всех людей одинаковы. Такие сугубо индивидуальные признаки, как цвет кожи, глаз и волос, черты лица, отпечатки пальцев, темперамент, способности и таланты, а также наследственные болезни укладываются в 0,1 процента


читать далее »

Цветы из фоамирана. Лилия

  Для работы потребуется: фоамиран (белый или бледно-розовый); утюг или фен для разогрева материала; ножницы; тупой нож или стек для нанесения прожилок на лепесток; поролоновый коврик или сложенное вчетверо полотенце для работы с лепестком секундный клей или термоклей; проволока 0.35 мм в диаметре



читать далее »

Анекдот

Уходите по-английски, пока вас не послали по-русски.


читать далее »

Анекдот

Открытие МВД: Если перестать внедрять в ряды организованной преступности своих сотрудников - можно сократить ряды организованной преступности вдвое!


читать далее »

Отливка. СКУЛЬПТУРА-РЕЛЬЕФ. МК

КАК ЭТО ДЕЛАЕТСЯ или для тех,кому интересно Доброго дня, уважаемые леди и джентельмены! В этом топике вы не увидете СТИМПАНКА, не будет ни пара, ни шестиренок… НЕ порадую бронзовыми котами и жабами на велосипедах! Я хочу



читать далее »

Мой совет:

Пятна от шоколада снимаются кипящей мыльной водой.


читать далее »

Фоамиран мастер класс по созданию венка из роз

Доброго вам времени суток , дорогие наши мастерицы, рукодельницы! Сегодняшняя наша творческая работа посвящена новому материалу, который недавно появился на страницах нашего магазина.Фoaмиран.Этим мастер классом мы немного приоткроем вам  возможности этого современного материала.Лёгкого,нежного очень приятного на



читать далее »

Натуральные освежители воздуха, сделанные своими руками

Летняя пора всегда знаменуется духотой и недостатком свежего воздуха. Если находясь в душной квартире или офисе вам начинает казаться, что от жары всё вокруг начинает плавиться и вам просто необходим глоток свежего воздуха, то вам



читать далее »

Анекдот

- А правда, что минута смеха продлевает жизнь на 5 минут?- Ну это смотря над кем вы смеётесь... может и сократить...


читать далее »

Нежная ажурная шкатулка из газет. Фото мастер-класс



читать далее »

Анекдот

Если бы деревья раздавали бесплатный Wi-Fi, мы засадили бы ими всю планету, но они всего лишь производят кислород, которым мы дышим.


читать далее »

Переделка рубашек. Подборка идей

Девушка из французского Гренобля построила своий бизнес на переработке мужских рубашек в женскую одежду. Иногда — вместе с галстуками. Каждую модель она называет женским именем:  Источник  : http://secondstreet.ru/blog/rubashki/peredelka-rubashek-bolshoj-trafik.html



читать далее »

Животные

Взрослый кит за 2 секунды вдыхает 2400 литров воздуха.


читать далее »

Мой совет:

Ржавые пятна и копоть на штукатурке перед ремонтом смывают 3-процентным раствором соляной кислоты, а жирные пятна — 2-процентным содовым раствором. Ржавые пятна удаляют также раствором медного купороса (от 50 до 100 г купороса на 1


читать далее »

Самые нежные воздушные пасхальные яйца из ниток

  Итак, смотрим фото мастер-класс по созданию декоративного пасхального украшения.  Для работы понадобится: пенопластовое яйцо, полиэтиленовая пленка, иголочки, нитки (хлопчатобумажные или шелковые), клей или жидкое стекло и кисточка Покрываем пенопластовую заготовку полиэтиленом, так как нитки могут приклеиться к пенопласту,



читать далее »

Разное

Давление в центре Земли в 3 миллиона раз выше, чем давление в земной атмосфере.


читать далее »

ЗВЕЗДА ИЗ СПИЧЕК

После знакомства с Иосифом Осташинским я загорелся сделать своими руками звезду из спичек, вот прошло наверное уже пять месяцев, наконец я её сделал :) Всё началось ещё в мае-июне, когда я вырезал заготовку для звезды. По сути звезду



читать далее »
Здесь пока пусто

Unauthorized.

Unformat для NTFS

2011.10.08

Unformat для NTFS

Автор: (c)Крис Касперски ака мыщъх

- Я у вас тут винчестер недавно купил. Так вот, он сдох!
- Гарантия какая?
- Пожизненная.
- Раз сдох, значит гарантия кончилась.
(разговор продавца с покупателем)

Случилось самое страшное: вы потеряли весь NTFS-раздел целиком, случайно отформатировали или пережили разрушительный дисковый сбой. Где-то там остались миллиарды байт бесценных данных, теперь уже недоступных операционной системе. Как вернуть информацию к жизни? В этой статье автор делится советами ручного и автоматического восстановления.

Введение

До сих пор мы рассматривали лишь незначительные дисковые сбои и легкие разрушения данных типа ошибочно удаленных файлов. Теперь настал черед тяжелых повреждений, при которых прежнее содержимое тома становится недоступно операционной системе. Причиной может быть и непредумышленное форматирование, и искажение главной файловой таблицы, и... Но вы не падайте духом! Из любых переделок NTFS выходит с минимальными потерями (легендарная надежность, как-никак, на то она и NTFS, а не FAT) и во всех этих случаях возможно полное, стопроцентное восстановление данных, если к делу подойти с головой и прямыми руками.

Проще всего начать с форматирования. Для экспериментов нам потребуется format.com, входящий в комплект штатной поставки Windows NT/2000/XP и дисковый раздел, не содержащий ничего полезного. Хорошо бы обзавестись виртуальной машиной - Virtual PC или VMWare, эмулирующей жесткий диск и ускоряющей процедуру форматирования в сотни (!) раз. А ведь время - не только деньги, но и бесцельно прожитые годы, проведенные за созерцанием индикатора прогресса...

"Живой" винчестер лучше не трогать (во всяком случае до тех пор, пока вы не научитесь его восстанавливать). Если нет виртуальной машины (до сих пор не поставили Осла? не пользуетесь IRC?), попробуйте приобрести ZIP-привод (который, кстати говоря, намного надежнее оптических накопителей) и форматируйте дискеты под NTFS - благо штатный форматер это позволяет. С гибкими дисками (флопами) дело обстоит сложнее. По мнению Microsoft, их емкости недостаточно для размещения всех структур данных, хотя простейший расчет разбивает это утверждение в пух и прах, что утилита NTFSflp от Марка Руссиновича (mark@sysinternals.com), собственно говоря, и демонстрирует. Статья "NTFS Support for Floppy Disks" (http://www.sysinternals.com/ntw2k/freeware/ntfsfloppy.shtml) подробно описывает, как обхитрить систему, заставив ее отформатировать гибкий диск под NTFS (для этого вам потребуется soft-ice).

Форматирование виртуального диска

Рисунок 1. Форматирование виртуального диска в среде VMWare.

Что происходит при форматировании

Форматирование диска - это сложная многостадийная операция, намного более сложная и намного более многостадийная, чем это может показаться на первый взгляд. Кто писал свой собственный форматер дискет (а в конце восьмидесятых-начале девяностых его писали практически все), тот поймет. Свои исследования мы начнем с изучения NTFS-тома, отформатированного под NTFS (техника восстановления NTFS-томов, отформатированных под FAT16/32 дана ниже).

При выполнении команды "format X: /U /FS:NTFS" в файловой системе диска X: происходят следующие изменения (форматирование диска GUI-утилитой, вызываемой из контекстного меню "Проводника" осуществляется по аналогичной схеме):

  • Формируется boot-сектор в формате NTFS;

  • Генерируется новый серийный номер диска и записывается в boot-сектор по смещению 48h байт от его начала;

  • Рассчитывается новая контрольная сумма boot-сектора и записывается по смещению 50h от его начала (подробнее см. первую статью этого цикла: "Загрузочный сектор - базовые концепции");

  • Создается новый $MFT-файл, содержащий сведения обо всех файлах на диске и, как правило, размещаемый поверх старого $MFT-файла; исключения здесь крайне редки - разве что прежний $MFT был заблаговременно перемещен дефрагментатором или при форматировании назначен новый размер кластера. Во всех остальных случаях первые ~24 файловых записи (FILE Record) мрут безвозвратно. В них находится непосредственно сам $MFT, $MFTMirr, корневой каталог, /$LogFile - файл транзакций, /$BITMAP - карта свободного пространства, /$Secure - дескрипторы безопасности и другие служебные файлы;

  • Инициируется $MFT:$DATA - назначается новая длина ($MFT:$30.AllocatedSize, $MFT:$30.RealSize, $MFT:$80.AllocatedSize, $MFT:$80.RealSize, $MFT:$80.CompressionSize, $MFT:$80.InitializedSize, $MFT:$80.LastVCN), дата/время создания/последней модификации ($MFT:$10.FileCreationTime, $MFT:$10.FileAlertedTime, $MFT:$10.FileReadTime, $MFT:$30.FileCreationTime, $MFT:$30.FileAlertedTime, $MFT:$30.MFTChangeTime, $MFT:$30.FileReadTime) и, самое главное, создается новый список отрезков (data-runs), необратимо затирающий старый, а это значит, что собирать фрагментированный $MFT нам придется по частям (эк, как тебя разворотило - укорял Василий Иванович Анку, в которую угодил артиллеристский снаряд);

  • Создается новый /$MFT:$BITMAP, отвечающий за занятость файловых записей в MFT - все старые записи помечаются как свободные, однако их фактического удаления при этом не происходит (поле FileRecord.flags остается нетронутым), благодаря чему процедура восстановления заметно упрощается. Чаще всего $MFT:$BITMAP располагается на том же самом месте, что и старый (т.е. между boot-сектором и MFT), забивая прежнее содержимое нулями, однако с помощью утилиты chkdsk его можно восстановить;

  • Создается новый /$BITMAP-файл, отвечающий за распределение дискового пространства (свободные и занятые кластера), опять-таки затирающий старый, но восстанавливаемый chkdsk'ом;

  • Создается новый файл журнала транзакций - /$LogFile, в структуру которого мы углубляться все равно не будем, хотя в NTFS LINUX Project она описана достаточно подробно, но восстанавливать транзакции - это уж слишком; за восстановление транзакций нам никто не заплатит, так что нехай они идут лесом;

  • В заголовок файловой записи $MFT заносится новый LogFile Sequence Number или, сокращенно, LSN;

  • $MFT назначается новый номер последовательности обновления (Update Sequence Number);

  • Создается новое зеркало $MFTMirr, необратимое затирающее старое (в текущих системах оно расположено посередине NTFS-раздела), в результате чего возникает резонный вопрос - на хрена нам зеркало, которое ничего не отражает?;

  • Создаются новые /$Volume, /$AttrDef и другие служебные файлы, играющие сугубо вспомогательную роль и легко восстанавливаемые chkdsk'ом (хотя /$Volume и присутствует в зеркальной копии MFT, его ценность явно преувеличена);

  • Осуществляется проверка целостности поверхности и все обнаруженные плохие кластеры заносятся в файл /$BadClus;

  • Формируется новый корневой каталог;

  • Если до форматирования тома на нем присутствовал /System Volume Information-файл, то он обновляется, в противном случае новый /System Volume Information создается только после перезагрузки;

На самом деле процесс форматирования протекает намного сложнее, но не будем в него углубляться - мы же не форматер пишем! Интересующееся могут взять в руки IDA Pro и расковырять format.com самостоятельно. Подсказка - format.com содержит лишь высокоуровневую надстройку, опирающуюся на библиотеки ifsutil.dll, untfs.dll и... непосредственно сам драйвер файловой системы. Так что, дизассемблировать придется много. Чтобы упростить себе работу, можно пронаблюдать за процессом форматирования с помощью шпионских средств - утилит Марка Руссиновича FileMon и DiskMon, бесплатные копии которых можно скачать с www.sysinternals.com. Также не забывайте о точках останова на основные native-API функции такие как NtFsControlFile, NtDeviceIoControlFile и т.д. Да будет soft-ice вам в помощь!

Исследование процесса форматирования

Рисунок 2. Исследование процесса форматирования с помощью шпионских средств.

Автоматическое восстановление отформатированного диска

Форматирование не уничтожает файловые записи пользовательских файлов и они могут быть полностью восстановлены. Спасением данных занимается множество утилит (R-Studio, EasyRecovery, GetDataBack и т.д.), однако прямых наследников unformat'а среди них как-то не наблюдается. Unformat восстанавливал весь том целиком, а эти - всего лишь "вытягивают" отдельные уцелевшие файлы/каталоги, переписывая их на новый носитель. Да где же нам его взять?! Запись на оптические накопители отпадает сразу - во-первых, для сохранения 80 - 120 Гбайтного жесткого диска в лучшем случае потребуется грузовик (на чем еще вы перевезете такое количество болванок?), во-вторых, непосредственная запись CD-R/RW не всегда возможна, ведь при крахе системы восстанавливающие утилиты приходится загружать с CD-ROM, а в большинстве компьютеров установлен только один оптический привод, и, в-третьих, ни одна известная мне утилита не позволяет "разрезать" большие файлы на несколько маленьких. Можно, конечно, перегнать данные по локальной сети (а она есть?) или установить дополнительный винчестер (корпус компьютера не опечатан, имеется свободные каналы контроллера и лишняя наличность в кармане). Но не слишком ли это хлопотно? Тем не менее, для "вытягивая" пары сотен особо ценных файлов такая методика вполне подходит.

Продемонстрируем технику автоматического восстановления данных на примере утилиты R-Studio от компании R-TT Inc (www.r-tt.com). Это довольно мощный и в тоже время простой в управлении инструмент, на который можно положиться. После запуска утилиты мы сразу попадаем в окно "Drive View", где перечислены все физические устройства и логические разделы. Находим среди них "свой" и, нажав правую клавишу мыши, говорим - "Scan".

Нас спрашивают про начальный сектор для сканирования (start), по умолчанию равный 0 - оставляем его без изменений. Размер сканируемой области (size) по умолчанию развертывается на весь раздел. Это гарантирует, что сканер обнаружит все уцелевшие файловые записи, хотя сам поиск займет значительное время. Можно ли ускорить этот процесс? Давайте возьмем ручку и подсчитаем. Допустим, восстанавливаемый раздел содержит сто тысяч файлов. Типичный размер файловой записи составляет 1 Кбайт. При условии, что $MFT не фрагментирован, достаточно просканировать всего ~100 Мбайт от начала раздела. Если эта величина не превышает 10% полной емкости тома (размер пространства, зарезервированного под MFT) и диск никогда не заполнялся более чем на 90%, то, скорее всего, все так и есть. В противном случае $MFT наверняка фрагментирован и живописно разбросан по всему диску. Впрочем, в случае ошибки мы ничем не рискуем. Вводим N Кбайт, где N - предполагаемое кол-во файлов (каталог также считается файлом) и выполняем сканирование - если один или несколько файлов останутся необнаруженными, возвращаемся к настройкам по умолчанию и повторяем процедуру сканирования вновь (если количество имеющихся файлов заранее неизвестно, вводим 10% от емкости тома). В поле File System выбираем файловую систему NTFS, сбрасывая галочки напротив двух остальных (FAT и Ext2FS), т.к. они нам ни к чему, и нажимам "Scan".

R-Studio

Рисунок 3. R-Studio осуществляет поиск уцелевших файловых записей.

В процессе сканирования будут найдены все уцелевшие файлы (как удаленные, так и нет) и восстановлена структура директорий по корневой каталог включительно. Постойте! Как же так?! Ведь при форматировании он был уничтожен и сформирован заново! Хе-хе. Файловую систему NTFS можно уничтожить только динамитом. Как уже отмечалось, в отличии от FAT, в NTFS каталоги являются лишь вспомогательной структурой данных, проиндексированной для ускорения отображения их содержимого. Всякая файловая запись, независимо от своего происхождения, содержит ссылку на материнский каталог, представляющую собой номер записи в MFT. А запись корневого каталога всегда располагается по одному и тому же месту!

Удаленные файловые записи могут ссылаться на уже уничтоженные каталоги. R-Studio складывает их в $$$FolderXXX, где XXX - порядковый номер директории. Иерархия подкаталогов в большинстве случаев успешно восстанавливается.

Просмотр виртуального дерева обнаруженных файлов осуществляется нажатием кнопки или через одноименный пункт контекстного меню. Выбрав файл (или даже целый каталог с кучей подкаталогов) жмем или залезаем в предварительный просмотр/редактирование (пункт edit/view контекстного меню). Это достаточно мощный инструмент, отображающий внутреннее содержимое восстанавливаемого файла со всеми его атрибутами, списками отрезков и т.д. в "очеловеченном" формате, хотя до NT Exploder'а ему ох как далеко. При желании можно восстановить все файлы "за раз" ("Recovery All"), или выбрать восстановление по маске (Mask).

Восстановленная структура директорий

Рисунок 4. Восстановленная структура директорий.

Хваленный Easy Recovery от Data Recovery Software вопреки своему названию простотой управления отнюдь не отличается и имеет довольно специфические особенности поведения. С настройками по умолчанию никаких файлов на отформатированном разделе он не увидит и чтобы заставить этого зверюгу заработать в Advanced Options (дополнительные опции), необходимо указать Ignore MFT (игнорировать MFT), но и в этом случае качество восстановления будет оставлять желать лучшего.

Красивый интерфейс Easy Recovery

Рисунок 5. Красивый интерфейс Easy Recovery - компенсация за низкое качество восстановления.

Ручное восстановление отформатированного диска

Нашей целью будет ручное восстановление всего отформатированного раздела без использования дополнительных носителей информации и дорогостоящих утилит от сторонних производителей. Все, что потребуется - это любой редактор диска (предпочтительнее всего, конечно же, NT Explorer от Runtime Software, но на худой конец сойдет и бесплатный Disk Probe/Sector Inspector от Microsoft) и chkdsk.

Очевидно, что в процессе форматирования происходит необратимое разрушение большого количества ключевых структур данных, восстанавливать которые вручную было бы слишком затруднительно. Да это, собственно, и не нужно! Идея состоит в том, чтобы вернуть разделу потерянные файловые записи, а все остальные ремонтные работы поручить chkdsk'у - пусть старается.

Дизассемблирование показывает, что единственной структурой данных, без которой не может работать chkdsk, является атрибут $DATA файла $MFT. А раз так, все, что нам надо -воссоздать прежний $MFT:$DATA, разместив его поверх старых файловых записей. В простейшем случае (если $MFT:$DATA не фрагментирован) это достигается спекулятивным увеличением его длины. А как ее увеличить?

Запускаем NT Explorer, переходим в начало MFT (Goto -> Mft), щелкаем по $MFT файлу, находим атрибут $DATA (80h) и увеличиваем поля Allocated Size/Real Size/Compressed Size на требуемую величину, параллельно с этим корректируя список отрезков (он же run-list). Поле Last VCN трогать не нужно - chkdsk исправит его и сам. Как определить длину нефрагментированного MFT-файла? Она равна разнице номеров первого и последнего секторов, в начале которых присутствует сигнатура "FILE", умноженная на 512 байт (исключая сектора, принадлежащие $MFTMirr) Известные мне дисковые редакторы не поддерживают поиска последнего вхождения, поэтому соответствующую утилиту приходится писать самостоятельно. Впрочем, точную длину MFT определять совершенно необязательно и вполне допустимо взять ее с запасом - лишнее все равно отсеет chkdsk. Действуйте по принципу - лучше перебрать, чем недобрать.

Ручное восстановление MFT

Рисунок 6. Ручное восстановление MFT. Подчеркнуты поля, подлежащие изменению.

Коварный NT Explorer не позволяет редактировать поля в естественном режиме отображения, заставляя нас переключаться в HEX-mode и искать смещения всех значений самостоятельно. Найти заголовок атрибута $DATA очень просто - в его начале расположена последовательность 80 00 00 00 xx 00 00 00 01. В NTFS версии 3.0 она находится по смещению F8h от начала сектора. Поле Real Size во всех версиях NTFS располагается по смещению 30h относительно заголовка, а поля Allocated Size и Initialized Size, соответственно, по смещениям 28h/38h байт, причем значение Allocates Size должно быть кратно размеру кластера. Кстати, о кластерах. Убедитесь, что при переформатировании диска размер кластера не изменился, в противном случае у вас ничего не получится. Как восстановить исходный размер кластера? Да очень просто - набраться мужества и переформатировать восстанавливаемый диск с ключом /A:x, где x - размер кластера. А как его определить? Возьмем любой файл с известным содержимым и проанализируем его run-list. Пускаем контекстный поиск по всему диску, находим файл, запоминаем (записываем на бумажке) его стартовый сектор, после чего открываем закрепленный за ним FILE Record, декодируем run-list и вычисляем номер первого кластера. Делим номер сектора на номер кластера и получаем искомую величину.

Теперь необходимо сгенерировать новый run-list. В общем случае он будет выглядеть так: 13 XX XX XX YY 00, где XX XX XX - трехбайтовый размер $MFT в кластерах, а YY - стартовый кластер. Стартовый кластер обязательно должен указывать на первый кластер MFT, в противном случае chkdsk не сможет работать. Если новый run-list длиннее нынешнего (а именно так, скорее всего, и будет) необходимо скорректировать длину атрибутного заголовка (она расположена по смещению 04h от его начала). Проделав эту нехитрую операцию, запустим chkdsk с ключом /F и блаженно откинемся на спинку кресла, созерцая как возрождаются наши милые папки и файлы. Единственное, что не восстанавливается - так это дескрипторы безопасности: всем файлам/папкам назначаются права доступа по умолчанию. В остальном же с отремонтированным диском вполне можно работать, не опасаясь, что он рухнет окончательно. Файлы, ссылающиеся на несуществующие каталоги складываются в папку Found.xxx. Это "долгожители", пережившие несколько циклов переформатирования, в буквальном смысле вытащенные с потустороннего света.

Сложнее восстановить том, чей MFT сильно фрагментирован. Прежний run-list при форматировании был уничтожен, зеркальная копия также пострадала. Ничего другого не остается, как собирать все фрагменты руками. Звучит намного страшнее, чем выглядит. В отличии от всех остальных файлов диска, $MFT-файл имеет замечательную сигнатуру FILE, присутствующую в начале каждой файловой записи. Все, что нам нужно - последовательно сканируя раздел от первого кластера до последнего, выписать начало и конец каждого из фрагментов, принадлежащих MFT. Затем из этой цепочки необходимо исключить $MFTMirr. Его легко узнать - он расположен в середине раздела и содержит копии файловых записей $MFT, $MFTMirr, $LogFile и $Volume, причем $MFTMirr ссылается сам на себя. Допустим, наш список выглядит так: 08h - 333h, 669h - 966h, 1013 - 3210h. В грубом приближении ему будет соответствовать следующий run-list: 12 2B 03 08 22 23 03 69 96 22 FD 21 13 10 00. (Подробнее о кодировании/декодировании run-list'ов см. "Списки отрезков" в прошлой статье этого цикла).

"В грубом", потому что мы не знаем, в какой последовательности располагались эти отрезки в файле (порядок расположения фрагментов на диске далеко не всегда совпадает с порядком отрезков в run-list'е). Что произойдет, если порядок сборки $MFT-файла окажется нарушен? А вот что - внутри MFT все файловые записи ссылаются друг на друга по своему порядковому номеру, представляющим индекс массива. Эти ссылки необходимы для восстановления структуры директорий, организации hard link'ов и еще кое-чего. Ссылки на материнский каталог дублируются в индексах и восстанавливаются элементарно. Hard link'и мрут безвозвратно (ну, разве что попробовать пересобрать $MFT-файл в другом порядке), но они практически нигде и никем не используются - как говорится, было бы что терять. По-настоящему туго приходится сильно фрагментированным файлам, занимающим несколько файловых записей, раскиданных по разным $MFT-фрагментам. Здесь выручает только перестановка фрагментов. К счастью, количество комбинаций обычно бывает невелико и процедура восстановления занимает совсем немного времени. Хорошая новость - начиная с NTFS версии 3.1 (соответствующей Windows XP) в MFT номера файловых записей хранятся в явном виде (четырехбайтовое поле, расположенное по смещению 2Ch от начала FILE Record), что делает задачу восстановления тривиальной.

Восстановление после тяжелых разрушений

В результате сбоя содержимое дискового тома может стать недоступно операционной системе и при попытке чтения его оглавления будет выдаваться сообщения в стиле "Файл или папка повреждены. Чтение невозможно", "Нет доступа к диску", "Системе не удается найти логическое устройство" и т.д. Chkdsk говорит, что "Повреждена основная таблица файлов" и прекращает работу. Караул! Верните мой том! Пиво, водка и вобла гарантируется!

Не паникуйте! Попробуйте запустить NT Explorer и посмотрите, что он покажет. Маловероятно, чтобы содержимое всего тома было утеряно целиком (это же что такое с ним нужно было сделать?!). Если хотя бы часть файловых записей уцелела, R-Studio/GetDataBack/EasyRecovery их обязательно восстановят!

Анализ показывает, что основной причиной, по которой chkdsk отказывается проверять том, обычно становится порча файловой записи, описывающей $MFT. Если в процессе обновления $MFT внезапно отключить питание - такой исход событий вполне вероятен, особенно на жестких дисках с емким аппаратным кэшем - они не успевают завершить сохранение секторов на энергии, накопленной в конденсаторах, а вот их младшие собраться с этим справляются. То же самое происходит при неудачном перемещении $MFT файла или физическом разрушении первого MFT-сектора. Зеркальная копия $MFT во всех этих случаях остается цела, однако chkdsk по каким-то таинственным причинам не хочет ей пользоваться и вы должны восстановить ее самостоятельно. Просто скопируйте первый сектор $MFTMirr в первый сектор $MFT и громко скажите "ниндзя"! Поклонники Sector Inspector'а могут воспользоваться командным файлов следующего содержания.

SECINSPECT.EXE -backup      d:      backup.dsk      XXX      1
SECINSPECT.EXE -restore     d:      backup.dsk      YYY      CONFIRM

Листинг 1. Командный файл для ручного восстановления $MFT из $MFTMirr, XXX - номер сектора $MFTMirr, YYY - номер сектора $MFT.

Теперь можно смело пускать chkdsk. Если же он по-прежнему не работает, значит либо поврежден загрузочный сектор (а методику его восстановления мы уже обсуждали), либо run-list файла $MFT:$DATA не совпадает с истинным началом MFT (найдите сектор с файловой записью $MFT внутри и исправьте run-list), либо размер кластера, прописанный в boot-секторе отличается от его фактического размера (о том, как определять истинный размер кластера, мы уже только что говорили).

Если же сбой был настолько серьезен, что вместе с $MFT пострадало и зеркало, задача сводится к восстановлению отформатированного диска. Кстати говоря, при тяжелых разрушениях файловой структуры, когда на диске образуется настоящий кавардак, восстановление тома полезно начинать с... его форматирования. Нет, это не первоапрельская шутка! Утилита format формирует заведомо исправные ключевые структуры, ну а подключение файловых записей - не проблема. Главное - сохраните run-list файла $MFT:$DATA, если, конечно, он еще уцелел. Все остальное - дело техники!

Безуспешная попытка прочитать поврежденный том

Рисунок 7 Безуспешная попытка прочитать поврежденный том.

Восстановление NTFS-тома, отформатированного под FAT16/32

При переформатировании диска, операционные системы семейства NT никогда не изменяют тип файловой системы (разве что попросить их это сделать явно), поэтому непреднамеренное форматирование NTFS раздела в FAT16/32 крайне маловероятно. Windows 9x/MS-DOS, напротив, любой диск стремятся отформатировать под FAT16/32, не замечая, что на нем что-то уже находится. Непреднамеренная порча NTFS-разделов при установке Windows 9x/MS-DOS поверх Windows NT - обычное дело, через которое проходит уже второе поколение пользователей.

Стратегия спасения данных во всем похожа на восстановление NTFS-тома, отформатированного под NTFS, с той лишь разницей, что при создании таблицы размещения файлов (file allocation table) первые несколько тысяч файловых записей в MFT затираются безвозвратно (впрочем, их еще можно собрать руками, действуя по методике описанной в разделе "Разгребая кластерные обломки" предыдущей статьи этого цикла).

Файлы с уцелевшей FILE RECORD легко восстанавливаются R-Studio/GetDataBack/EasyRecovery. Для ручного восстановления всего тома его необходимо заново отформатировать под NTFS, предварительно определив количество секторов в кластере. Далее действуем по плану - увеличиваем размер $MFT, пускаем chkdsk и собираем все, что только можно собрать. Поскольку количество файлов, хранящихся на современных дисках, зачастую исчисляется многими миллионами, потеря первой тысячи из них не так уж и страшна (если только по закону подлости это не будут самые ценные файлы).

Источники угрозы

Почему погибают дисковые разделы? Ниже приводится список наиболее распространенных причини, отсортированный в порядке убывания их "популярности":

  • Ошибки оператора, вирусы, троянские программы;

  • Отключение питания/зависание системы во время интенсивных дисковых операций, сопровождаемых обновлением MFT (например, удаление/добавление файлов или каталогов);

  • Некорректное поведение различных дисковых утилит (Partition Magic, Ahead Nero, Norton Disk Doctor и т.д.);

  • Физические дефекты оперативной памяти, приводящие к нарушению целостности дискового кэша и как следствие - порче самого диска;

  • Некорректное поведение привилегированных драйверов, случайно или преднамеренно "залетающих" внутрь служебных структур NTFS-драйвера;
Полезные советы - план превентивных действий по спасению данных

Чтобы предотвратить разрушение тома и упростить задачу восстановления данных, рекомендуется заблаговременно выполнить следующий комплекс мероприятий:

  • Переместите $MFT подальше от начала раздела. Первые секторы раздела, как показывает практика, самое небезопасное место. Во-первых, сюда стремятся вирусы (миф о невозможности прямого доступа к диску под NT всего лишь миф - читайте описание функции CreateFile и инструкцию на ASPI32-драйвер), во-вторых, некоторые утилиты (и, в частности, Ahead Nero) при некоторых обстоятельствах путают жесткий диск с оптическим накопителем, записывая образ не "туда", а, значит, в первых ~700 Мбайтах физического диска (не логического тома!) не должно быть ничего ценного, в-третьих, если вы вдруг запустите WipeDisk или любую другую затирающую утилиту, первым погибнет именно $MFT, без которого весь дисковый том - просто груда мусора, в четвертых... да много разных причин можно найти. Просто переместите $MFT, вам что - трудно? Достаточно взять любой дефрагментатор, распространяющийся в исходных текстах (энтузиасты! ау! присоединяйтесь к проекту http://sourceforge.net/projects/opendefrag/) и слегка доработать его "напильником" под наши нужды. Естественно, валерьянка и резервная копия обязательно должны быть под рукой!

  • Не допускайте фрагментации $MFT-файла! Не создавайте на диске огромного количества мелких файлов и не заполняйте его более чем на 90%. Стандартный дефрагментатор, входящий в комплект штатной поставки Windows 2000/XP, не позволяет дефрагментировать $MFT и приходится прибегать к сторонним средствам, лучшим из которых на мой взгляд является O&O Defrag Pro от одноименной компании (www.oo-software.com). Это действительно профессиональный дефрагментатор, к тому же поддерживающий командную строку;

  • Периодически создавайте резервную копию файловой записи $MFT - для этого достаточно сохранить один-единственный (!) сектор - первый сектор MFT, номер которого содержится в boot, только не забывайте его периодически обновлять, ведь при добавлении новых файлов/каталогов MFT планомерно расширяется и старые списки отрезков становятся все менее и менее актуальны;

Нормальный дисковый том

Рисунок 8. Нормальный дисковый том (MFT, выделенный желтым цветом, расположен в начале раздела).

Иммунизированный дисковый том

Рисунок 9. "Иммунизированный" дисковый том (MFT расположен в середине).

Заключение

Наш затянувшийся разговор о восстановлении данных подходит к своему логическому концу, однако NTFS не стоит на месте, а интенсивно развирается. И хотя до сих пор эти изменения носили чисто косметический характер, в Windows Longhorn все обещает кардинальным образом измениться. Microsoft активно работает над новой файловой системой - Windows File System или сокращенно WinFS, сроки выхода которой, кстати говоря, постоянно переносятся (разработка файловой системы - это не шутка!).

По словам вице-президента Microsoft Боба Маглиа, WinFS - это все та же NTFS, с прикрученным SQL и XML. Насколько изменятся базовые структуры файловой системы, общественности до сих пор неясно. И уж совсем непонятно, зачем NTFS понадобился реляционный SQL, когда эти возможности в нее закладывались изначально, просто их не успели доделать. Любой системный программист запросто напишет драйвер, принимающий SQL/XML запросы и транслирующий их в обращения к драйверу текущей файловой системы! Что-либо менять внутри NTFS совсем необязательно. Сдается мне, что это всего лишь очередной маркетинговый трюк, подталкивающих пользователей к переходу на ненавистный мне Longhorn!

С другой стороны, развитие NTFS можно только приветствовать, поскольку оно дает пищу всем специалистам по восстановлению данных, ведь старые утилиты с новой файловой системой, скорей всего, окажутся несовместимы.

https://nebka.ru/?uid=1&post=20949