RU || EN 

 

SEARCH  

www.mikelab.kiev.ua

сайт Черкеса Михаила

Обо мне Программы UR4UEM Статьи Резюме
  
 
Это я
Misha Cherkes - ВОССТАНАВЛИВАЕМ ЖЕСТКИЙ ДИСК

>>

  Восстанавливаем жесткий диск

 
Статья в журнал "Мой компьютер" об теории и практике восстановления информации на жестком диске.

Двадцать первый век на дворе, вычислительная техника прошла большой путь от громадных монстровидных ламповых ЭВМ до того персонального компьютера, который стоит о тебя на столе, о пользователь. С тех пор улучшилось абсолютно все, от внешнего вида до технических характеристик. Однако несмотря на кажущуюся “крутизну” современных компьютеров, они унаследовали от своих ламповых прадедов большинство их недостатков.

Один из самых часто встречающихся и при этом самый коварный – малая надежность хранения данных на дисковых накопителях. Несмотря на то, что объем жесткого диска с момента его появления увеличился более чем в пять тысяч раз (!), его надежность осталась очень и очень низкой. Причем если надежность винчестеров сначала с совершенствованием технологии их производства повышалась, то сегодня мы видим, что время пошло вспять: доверять важные данные современным высокоемким накопителям становится все страшнее. Эту ситуацию усугубляет также все более высокая емкость современных накопителей.

Все причины такого удручающего положения дел сводятся к двум основным: физическая ненадежность накопителей и логическая уязвимость служебных структур. И если при физической поломке рядовому пользователю остается уповать разве что на гарантийное обслуживание (о бесплатном восстановлении файлов обычно даже речи быть не может), то при логическом разрушении данных вследствие действия вредоносных программ (вирусов, “троянских коней” и т.д.) или неосторожности самого пользователя вполне можно “отделаться легким испугом” J.

Для начала немного теории. Любой жесткий диск хранит данные не побайтно, а группами по 512 байт – секторами. То есть для того, чтобы записать или прочитать один байт, диску приходится читать или писать целый сектор. С аппаратной точки зрения, все секторы диска одинаковы, однако при практическом использовании накопителя в персональном компьютере разным секторам отводится разные роли. Так, самый первый сектор диска  называется главным загрузочным сектором (MBR) содержит в себе т.н. таблицу разделов – специальную структуру, содержащую в себе всю информацию о разделах (логических дисках): номера начального и конечного сектора раздела, тип файловой системы, признаки активности и видимости, а также некоторую другую информацию. Кроме этого в первом секторе расположена программа начальной загрузки, которая определяет из таблицы активный раздел, и передает эстафету его первому сектору. Первый сектор каждого из разделов содержит программу загрузки операционной системы (при условии, что она установлена) а также информацию о файловой системе. В виду ограниченности размера главного загрузочного сектора, таблица разделов содержит всего четыре ячейки, то есть количество основных разделов не может быть более четырех. Для обхода этого ограничения применяется технология расширенных разделов. Суть ее такова: в таблицу разделов заносится информация о т.н. расширенном разделе. Он представляет собой специальную структуру, которая в свою очередь может содержать в себе описания неограниченного количества дополнительных разделов. Главным отличием дополнительного раздела от основного является невозможность загрузки с него операционной системы (некоторые системы, например Linux, могут загружаться с дополнительных разделов при помощи загрузчика, установленного в главный загрузочный сектор).

По той причине, что полное уничтожение данных на диске требует полной перезаписи всей его поверхности (а это порой не один десяток минут), большинство вредоносных программ (а также системных дисковых утилит в неумелых руках J) ограничиваются разрушением именно этих служебных областей, которые составляют не более нескольких процентов от общего объема диска. Другими словами, для того, чтобы сделать недоступными для пользователя все без исключения разделы жесткого диска, вирусу нужно перезаписать только один сектор! Занесение ложных данных в первый сектор раздела, или его физическое разрушение также сделает недоступными операционной системе все данные на логическом диске, а разрушение структуры расширенного раздела лишит пользователя всех дополнительных разделов.

Большинство пользователей в нашей стране используют операционные системы DOS и Windows компании Microsoft, поэтому их разделы отформатированы в файловых системах FAT и FAT32. Эти файловые системы также формируют на своем разделе структуры, содержащие информацию о файлах – таблицы размещения файлов (FAT). В них указываются позиции файлов и их фрагментов на диске. Для повышения надежности, обычно раздел содержит две строго идентичных копии FAT, однако это страхует только от случайных повреждений, вирус же очень быстро и без особого труда может уничтожить обе копии, тем более, что физически они расположены одна за другой и занимают от силы несколько мегабайт (размер FAT зависит от объема раздела). Файловая система NTFS, используемая в Windows NT (она же 2000 и XP) намного более устойчива к разрушению и содержит средства самовосстановления, так что с точки зрения пользователя она наиболее надежна.

Ну что ж, вернемся к нашим баранам, то есть данным. Итак, что мы имеем в результате действия вируса или неудачной переразметки винчестера? В этом случае обычно все пользовательские файлы остаются целыми и невредимыми, вот только информация об их размещении утеряна. Это можно сравнить с перетасованной рукописью, на которой рассеянный автор забыл проставить номера страниц: вся информация цела, но ее использование в таком виде совершенно невозможно. Конечно, путем скурпулезного перечитывания и сопоставления опытный человек может с большой вероятностью восстановить исходный порядок следования, вот только что делать, если это была не рукопись, а раздел на жеском диске обычного “чайника” с объемом текста более миллиона страниц? Главное – без паники, не нужно сразу форматировать диск или запускать программу прямого редактирования. Именно для такого случая существуют специальные средства восстановления данных с разрушенных разделов, о них и пойдет речь далее.

Для начала об организации самих программ. Все они предназначены для копирования файлов и каталогов с поврежденного раздела, т.е. никаких исправлений на диск они не вносят. Для работы с такими программами обязательно нужен какой-либо исправный носитель, будь то дискета, второй жесткий диск, или даже другой раздел поврежденного диска. Главное – ни в коем случае не пытаться записать восстановленные файлы туда же, откуда они восстанавливаются. После восстановления дерева каталогов стандартной процедурой будет удаление поврежденного раздела, его повторное создание и форматирование.

Рассмотрим номинантов на звание лучшего подробнее.

Программа PowerQuest Lost&Found. Интерфейс оконный псевдографический, однако работает не на всех видеокартах, поэтому стоит запускать программу с ключем –T. Максимально простая и многофункциональная, каждое действие сопровождается исчерпывающим комментарием и запросом на согласие. Работает довольно быстро.

Ontrack Easy Recovery – пример удачного интерфейса (для редакции – получить скриншот не удалось, использует больно хитрый видеорежим, а под Windows запускаться отказалась). Все наглядно и понятно, однако изобилует дополнительными настройками, в которые обычно лезть не приходится. Примечательная особенность – выбор пользователем типа файловой системы для поиска. Совет: если программа отказалась находить раздел с указанной системой, поробуйте выбрать тип RAW, это наверняка позволит восстановить данные, однако имена файлов и структура дерева каталогов будут утеряны.

Ontrack Tiramisu Easy Recovery (ранее называлась просто Tiramisu) – ничего лишнего. Выбрать диск, подождать, сохранить файлы. Для работы требует наличия драйвера EMS (возможен своп на исапрвный раздел, но при этом иногда зависает). Представляет собой не единую программу, а пакет, состоящий из трех независимых программ для файловых систем FAT, FAT32 и NTFS. Последняя, субъективно, наиболее удачная.

Технические возможности программ приведены в таблице 1. Все они оснащены достаточно дружественными интерфейсами и управляются мышкой или клавишами со стрелками.

Таблица 1.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Поддержка дисков SCSI

Да

Да

Да

Восстановление с дискеты

Да

Да

Нет

Работа с дисковым пространством выше 8.4GB.

Да

Да

Да

Поддержка кирилицы в именах файлов

Да*

Да*

Нет

Поддержка длинных имен файлов

Да**

Да**

Нет

Однопроходное восстановление нескольких разделов

Да

Нет

Да

Операционные системы

DOS

DOS

DOS

Windows

Интерфейс

Текстовый оконный

Графический

Текстовый оконный

*- кроме длинных имен

**- кроме имен с символами кирилицы

Те программы, которые поддерживают длинные имена файлов, при восстановлении генерируют специальный BAT-файл, в котором прописывают команды на переименование коротких имен. Этот файл нужно запускать только из системы Windows, но если на диске были файлы с русскими именами, предварительно удалите из этого файла команды на их переименование.

 Немного о методике испытания программ. Вся работа производилась на отдельном жестком диске, очищенном от прежних данных при помощи “лапшерезки”. Изначально, при помощи Partition Magic v6.0 было создано два одинаковых по размеру FAT-раздела, основной и расширенный. На каждый из них было скопировано файлов на 10% от свободного объема, несколько текстовых файлов были принудительно фрагментированны. Для проверки совместимости на разделы были помещены файлы с длинными английскими и русскими именами. Полученная картина на диске была сохранена в виде файла-образа при помощи программы Drive Image Pro v4.0. Затем при помощи Partition Magic оба раздела были переконвертированны в FAT32 и тоже сохранены в виде образа. Для проверки совместимости программ восттановления с системой NTFS, оба FAT-раздела также были переконвертированны в NTFS утилитой CONVERT из комплекта Windows NT. В результате такой последовательности действий у меня получилось три файла-образа диска с разными файловыми системами и совершенно одинаковой фрагментацией (фрагментация проверялась программой Norton Speed Disk). Перед тестированием, при помощи программы Norton Disk Editor в те или иные служебные области заносилась случайная информация соответствующего объема. Для чистоты эксперимента операция восстановления разделов из образа с последующим затиранием служебных областей производилась перед тестированием каждой программы.

Испытания производились в следующих номинациях:

1.      разделы FAT с запорченным главным загрузочным сектором;

2.      разделы FAT с запорченными загрузочными секторами и главным загрузочным сектором;

3.      разделы FAT с запорченными загрузочными секторами, в том числе с мусором в области расширенного раздела;

4.      разделы FAT с запорченными таблицами размещения файлов и корневыми каталогами (эти структуры расположены физически одна за другой, поэтому вероятность их совместного повреждения достаточно высока);

5.      то же самое, что предыдущий, только разделы отформатированы в FAT32;

6.      разделы NTFS с мусором в области MBR;

7.      разделы NTFS с запорченными загрузочными секторами;

8.      разделы NTFS с мусором во всех загрузочных секторах, включая MBR.

Итак первое испытание, после разрушения MBR картина диска стала такой, как на рисунке (аж сердце вздрогнуло J). Результаты работы программ приведены в таблице 2.

Таблица 2.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Время работы, мин.

13

5

4

Процент восстановленных файлов

Около 100

50*

50*

Фрагментированные файлы

Да

Да

Да

Удаленные файлы

Да

Да

Нет

*- только первичный раздел

Как видим, программа от PowerQuest справилась с заданием на отлично, восстановив практически полное дерево каталогов, на обеих разделах. Этого не скажешь о двух других подопытных – примерно с одинаковым успехом был восстановлен первичный раздел, а вот вторичный остался без их внимания, несмотря на то, что все его описатали повреждены не были. Стандартный SCANDISK в этой ситуации оказался совершенно безпомощьным – он даже не в состоянии обнаружить диск с поврежеденным MBR. Программа Norton Disk Doctor заметила непорядок на диске, но после десятиминутного поиска найти разделы так и не смогла.

 Второе и третье испытание принесли одинаковые результаты, показанные в таблице 3.

Таблица 3.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Время работы, мин.

13

30x2

4

Процент восстановленных файлов

Около 100**

Около 80

50*

Фрагментированные файлы

Да**

Нет

Да

Удаленные файлы

Да

Да

Да

*- только первичный раздел

**- за исключением фрагментированных на вторичном разделе

А вот в этом тестировании открылись возможности поиска файлов на разделах, чья геометрия известна (MBR поврежден не был). Программа от PowerQuest  опять отличилась, хоть и не смогла корректно идентифицировать таблицу размещения файлов на вторичном разделе, поэтому от фрагментированных файлов остались только начала. Первая программа от Ontrack на этот раз после 60-минутного (по 30 минут на раздел) позволила восстановить большинство файлов на обоих разделах, однако полностью спасовала перед фрагментированными файлами. Tiramisu по-прежнему хочет видеть только первичные разделы. SCANDISK хоть и увидел сбойные разделы, но опять же не пожелал что-либо исправлять.

 А вот NDD буквально за несколько секунд нашел и восстановил первичный раздел, единственное, что нужно для удачного восстановления – отказаться от всех остальных исправлений, иначе он удалит все файлы как испорченные! 

Испытание четвертое. В результате разрушения таблиц размещения файлов, о полном восстановлении фрагментированных файлов лучше и не думать, посмотрим что удалось спасти в этом случае (таблица 4).

Таблица 4.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Время работы, мин.

13

30x2

4

Процент восстановленных файлов

Около 100*

Менее 10

50**

Удаленные файлы

Да

Да

Да

*- оба раздела в виде одного дерева

**- только первичный раздел

Ситуация мало изменилась, за исключением того, что первая программа от Ontrack после 60-минутного сканирования вернула не более десяти процентов драгоценных файлов, маловато. SCANDISK после прохода по горам мусора на месте FAT “навосстанавливал” ТАКОЕ, что лучше им даже не пытыться исправить сложившуюся ситуацию. NDD около трех минут исправлял ошибки и в результате предоставил мне девственно чистые разделы, которые действительно уже не содержали никаких ошибок J.

Как видно из таблицы 5, аналогичное испытание, но с FAT32-разделами, немного порадовало: теперь уже две программки восстановили около 100% файлов (кроме фрагментированных, разумеется).

Таблица 5.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Время работы, мин.

13

20x2

4

Процент восстановленных файлов

Около 100*

Около 100*

50**

Удаленные файлы

Да

Да

Нет

*- оба раздела в виде одного дерева

**- только первичный раздел

Результаты работы первой и второй программ  совпали абсолютно, за тем лиш исключением, что Lost&Found справилась с работой ровно в три раза быстрее. Результаты, показанные SCANDISK и NDD полностью идентичны предыдущим.

Шестое испытание аналогично первому за тем лиш исключением, что оба раздела были отформатированы в системе NTFS. Вопреки ожиданиям, результаты из таблицы 6 мало напоминают результаты из таблицы 2.

Таблица 6.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Время работы, мин.

13

1

10x2

Процент восстановленных файлов

Около 60**

Около 50*/***

Около 100

Фрагментированные

Файлы

Нет

Да

Да

Удаленные файлы

Да

Нет

Нет

*- оба раздела в виде одного дерева

**- утеряны имена файлов корневого каталога

***- имена всех файлов и дерево потеряны, рассортированы по расширениям.

Из этой таблицы видно, что Tiramisu наконец-то развернулась и показала нам настоящий обазец аккуратности. Особого внимания заслуживает работа этой программы: после сканирования всей поверхности, она составляет рейтинг из десяти претендентов на статус раздела и выводит его в виде таблицы, тут очень важно выбрать именно то, что является правдой. Основным ориентиром в этом вопросе должен быть размер кластера и наличие загрузочного сектора (третья и четвертая колонки). Номер стартового сектора может подсказать правду тем, кто знает какой примерно он должен быть.

Ontrack тоже нашла чем выделиться: пусть и собрала только половину файлов с разделов, но только посмотрите на время! Вот только эта программа полностью потеряла имена файлов и структуру дерева каталогов, вместо них теперь только цифро-буквенные номера и расширения. Это стало следствием выбора типа файловой системы “RAW”, положенную NTFS ей найти не удалось ни на одном разделе.

А вот Lost&Found по совершенно непонятным причинам “потеряла” корневой каталог, в результате вместо имен подкаталогов получили чисельные номера и обрывки вместо фрагментированных файлов.

Результаты испытаний 7 и 8 оказались одинаковыми и никаких сюрпризов на преподнесли (Таблица 7).

Таблица 7.

PowerQuest

Lost&Found

v1.01

Ontrack

Easy Recovery

v5.0

Ontrack Tiramisu

Easy Recovery

v4.10

Время работы, мин.

13

40

10

Процент восстановленных файлов

Около 60**

Около 50*/***

Около 100

Фрагментированные

Файлы

Нет

Да

Нет

Удаленные файлы

Да

Нет

Нет

*- оба раздела в виде одного дерева

**- утеряны имена файлов корневого каталога

Здесь рекордсмен опять Tiramisu, но зато только Ontrack осилил часть фрагментированных файлов, а Lost&Found в который позволил восстановить удаленные файлы с NTFS-диска, что по заверениям Microsoft невозможно J.

 Итак, что же мы имеем? Субьективно я могу охарактеризовать рассмотренные программы примерно так.

-  PowerQuest Lost&Found – идеальна для FAT и FAT32, наиболее интуитивна и расчитана на “чайника” при этом быстрая.

-  Ontrack Easy Recovery – довольно медленная, но имеющая режим расширенного сканирования и может работать полностью игнорируя информацию системних областей. Требует от пользователя некоторых телодвижений. Имеет отличный графический интерфейс и полностью управляется мышкой.

-  Tiramisu наиболее автоматизирована, наиболее быстра, требует от пользователя мимнимум раздумий и телодвижений.

           
 

>>

  ссылки
vmt chkflsh

  E-mail:

mike@mikelab.kiev.ua

.

  ICQ:

315996568

.
.Обо мне .Программы .UR4UEM .Статьи .Резюме