Восстановление MBR жёсткого диска. Восстановление загрузочной записи MBR Автоматическое восстановление mbr

MBR , который также определяется как или Главная загрузочная запись , является сектором жесткого диска, содержащим информацию о его разделах и служащим загрузчиком операционной системы.

Главная загрузочная запись представляет собой первые 512 байт (4096 бит) вашего HDD и создается в момент первой установки Windows. Если MBR повреждается, вы больше не сможете запустить операционную систему и продолжить работу в ней привычным образом. Данный факт касается следующих версий Windows: XP, Vista, 7 и 8.

Симптомы повреждения MBR:

1. Operating System not found (Операционная система не найдена).

2. Error loading operating system (Ошибка при загрузке операционной системы).

3. Invalid partition table (Неверная таблица разделов).

4. FATAL: No bootable medium found (Загрузочный носитель не найден).

5. Reboot and Select proper Boot device (Перезапустите систему и выберите подходящее загрузочное устройство.

Мы привели лишь основные ошибки, сообщения о которых могут возникнуть при запуске операционной системы. На самом деле их существует большое множество и разбирать каждую не имеет смысла, поскольку путей решения всего несколько на необъятное число возможных сбоев.

Причины повреждения MBR:

  • Вредоносное программное обеспечение, вирусы.
    После восстановления загрузочного сектора не забудьте проверить жесткий диск на наличие возможных вирусов. Некоторые из них способны заменить код MBR своим собственным, что неизбежно приведет к его повреждению.
  • Наличие двойной загрузки.
    Предположим, что на условном ПК установлены операционные системы Windows и Linux. В этом случае возможно возникновение непреднамеренной ошибки и повреждения MBR.
  • Сторонний софт.
    Не всегда причиной сбоя в загрузочном секторе являются вирусы или ошибки в работе двух одновременно установленных операционных систем. Иногда повреждение MBR может вызвать даже популярный софт. Например, Acronis заменяет драйвера загрузки дисков своими, что вполне может испортить исходную запись MBR.

Итак, разобравшись с тем что же собой представляет MBR, узнав возможные причины возникновения сбоев и их симптомы мы, наконец, готовы приступить к непосредственному восстановлению Главной загрузочной записи.

1. Резервное копирование MBR.

Перед тем как приступать к ремонту главной загрузочной записи, настоятельно рекомендуем совершить ее резервное копирование. Чтобы это сделать, воспользуйтесь следующей командой:

dd if=/dev/sda of=/path-to-save/mbr-backup bs=512 count=1

Замените фрагмент /path-to-save/ на путь, по которому сохранится старая версия загрузочного сектора.

2. Восстановление MBR командой bootrec.

Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows 10.

Краткая инструкция:

  • Восстановление системы .
  • 3. Перейдите в раздел .
  • 4. Откройте утилиту Командная строка .
  • Enter .
    По завершению, командную строку не закрывайте.

    bootrec /FixMbr
    bootrec /FixBoot
    bootrec /ScanOs
    bootrec /RebuildBcd

  • 7. Введите exit и нажмите Enter .
  • 8. Перезапустите компьютер.
  • 1. Совершите запуск компьютера при помощи загрузочного носителя.
  • 2. На приветственном экране кликните по параметру Восстановление системы .
  • 3. Перейдите в раздел Поиск и устранение неисправностей .
  • 4. Откройте утилиту Командная строка .
  • 5. Введите в ней приведенные ниже команды, подтверждая выполнение каждой нажатием клавиши Enter .

    diskpart
    sel disk 0
    list vol

  • Fs FAT32 . Раздел EFI FAT32 2 , введите следующую команду:

    Если номер тома не равен 2

  • 7. Присвойте разделу новую r:\

    assign letter-r:

  • 9. Введите exit , чтобы покинуть утилиту DiskPart .
  • r:\ EFI :

    cd /d r:\EFI\Microsoft\Boot\

  • bootrec /fixboot

  • ren BCD BCD.backup

  • BCD и замените r:\ назначенной ранее буквой:
  • c:\
  • 16. Введите exit .
  • 17. Перезапустите компьютер.

Восстановление MBR в Windows 8 и 8.1

Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows 8.

Краткая инструкция:

  • 1. Совершите запуск компьютера при помощи загрузочного носителя.
  • 2. На приветственном экране кликните по параметру Восстановление системы .
  • 3. Перейдите в раздел Поиск и устранение неисправностей .
  • 4. Откройте утилиту Командная строка .
  • 5. Введите в ней приведенные ниже команды, подтверждая выполнение каждой нажатием клавиши Enter . По завершению, командную строку не закрывайте.

    bootrec /FixMbr
    bootrec /FixBoot
    bootrec /ScanOs
    bootrec /RebuildBcd

  • 6. Извлеките загрузочное устройство.
  • 7. Введите exit и нажмите Enter .
  • 8. Перезапустите компьютер.

Если данная инструкция по восстановлению главной загрузочной записи оказалась бессильна, воспользуйтесь следующей:

  • 1. Совершите запуск компьютера при помощи загрузочного носителя.
  • 2. На приветственном экране кликните по параметру Восстановление системы .
  • 3. Перейдите в раздел Поиск и устранение неисправностей .
  • 4. Откройте утилиту Командная строка .
  • 5. Введите в ней приведенные ниже команды, подтверждая выполнение каждой нажатием клавиши Enter .

    diskpart
    sel disk 0
    list vol

    Эти команды позволят выбрать для работы первый диск компьютера и отобразят список его логических разделов.

  • 6. Найдите элемент тома со столбцом Fs FAT32 . Раздел EFI должен быть строго с форматом FAT32 . Если раздел тома обозначен цифрой 2 , введите следующую команду:

    Если номер тома не равен 2 , замените 2 на любую другую доступную цифру.

  • 7. Присвойте разделу новую букву, букву которая отличается от той, которая уже доступна на вашем компьютере. Например r:\ . Для выполнения этой задачи, воспользуйтесь следующей командой:

    assign letter-r:

  • 8. Дождитесь появления приведенного ниже сообщения:

    Diskpart successfully assigned the drive letter or amount point.

  • 9. Введите exit , чтобы покинуть утилиту DiskPart .
  • 10. Следующая команда понадобится для того, чтобы заменить r:\ буквой, которая ранее была присвоена разделу EFI :

    cd /d r:\EFI\Microsoft\Boot\

  • 11. Введите приведенную ниже команду, чтобы восстановить том диска:

    bootrec /fixboot

  • 12. Теперь необходимо сделать резервную копию старого BCD:

    ren BCD BCD.backup

  • 13. Введите следующую команду, чтобы создать новый BCD и замените r:\ назначенной ранее буквой:

    bcdboot c:\Windows /l ru-ru /s r: /f ALL

  • 14. В приведенной выше команде мы указали букву операционной системы — c:\ . Если вы устанавливали Windows на диск с другим путем, укажите корректную букву.
  • 15. Извлеките загрузочное устройство.
  • 16. Введите exit .
  • 17. Перезапустите компьютер.

Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows 7.

  • 1. Совершите запуск компьютера при помощи загрузочного носителя.
  • 2. Укажите язык операционной системы.
  • 3. Выберите раскладку клавиатуры.
  • 4. Нажмите Далее .
  • 5. Выберите операционную систему и еще раз нажмите Далее .
  • 6. На экране Параметры восстановления системы выберите утилиту Командная строка .
  • 7. Как только командная строка будет запущена, введите следующую команду:

    bootrec /rebuildbcd

  • 8. Нажмите Enter .
  • 9. Далее введите:

    bootrec /rebuildbcd

  • 10. Нажмите Enter .
  • 11. Извлеките загрузочный носитель и перезапустите компьютер.

Если данные команды по восстановлению главной загрузочной записи оказались бессильны, воспользуйтесь приведенной ниже инструкцией:

  • 1. Определите букву вашего загрузочного устройства, последовательно введя следующие команды:

    diskpart
    select disk 0
    list volume

  • 2. Теперь введите:

    exit
    F:
    cd boot
    dir

    Букву F: замените на букву под которой определяется загрузочный носитель.

  • 3. Введите команду:

    bootsect /nt60 SYS /mbr

  • 4. Подтвердите операцию, нажав Enter .
  • 5. Извлеките загрузочное устройство.
  • 6. Введите команду exit .
  • 7. Теперь нажмите Enter

Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows Vista.

  • 1. Совершите запуск компьютера при помощи загрузочного носителя.
  • 2. Выберите язык и раскладку клавиатуры.
  • 3. На приветственном экране выберите параметр Восстановление системы .
  • 4. Выберите операционную систему и нажмите Далее .
  • 5. Откройте утилиту Командная строка .
  • 6. Как только приложение запустится, последовательно введите следующие команды:

    bootrec /FixMbr
    bootrec /FixBoot
    bootrec /RebuildBcd

  • 7. Дождитесь завершения каждой операции.
  • 9. Введите exit.

Альтернативно команде bootrec, вы можете попробовать восстановить MBR автоматически:

  • 1. Совершите запуск компьютера при помощи загрузочного носителя.
  • 2. На приветственном экране выберите параметр Восстановление системы .
  • 3. Выберите параметр Восстановление запуска .
  • 4. Дождитесь завершения процесса и перезапустите компьютер.

Существует еще одна, более сложная, альтернатива восстановления MBR. Ее концепция вращается вокруг непосредственного ремонта BCD. Запустив Windows при помощи CD/DVD, откройте командную строку и введите в следующие команды:

bcdedit /export C:\bcdbackup
C:
cd boot
attrib bcd -s -h -r
ren c:\boot\bcd bcd.backup
bootrec /rebuildbcd

Подтвердите выполнение каждой команды нажатием клавиши Enter .

Восстановление MBR в Windows XP

Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows XP.

  • 1. Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows Vista.
  • 2. В момент появления приветственного экрана нажмите клавишу R, чтобы открыть Консоль Восстановления
  • 3. На вопрос о дальнейших действиях, ответьте системе, введя цифру 1 и подтвердите операцию нажатием клавиши Enter .
  • 4. При необходимости введите пароль администратора.
  • 5. Введите команду fixmbr .
  • 6. Когда появится запрос системы о подтверждении ваших действий, нажмите клавишу Y и Enter .
  • 7. Дождитесь завершения операции.
  • 8. Извлеките загрузочный накопитель.
  • 9. Введите команду exit .
  • 10. Нажмите Enter , чтобы перезапустить компьютер.

Надеемся статья оказалась для вас полезной и помогла восстановить загрузочный сектор вашего диска.

MBR (по-русски – главная загрузочная запись) – определенный набор данных, строчек кода, таблица разделов и сигнатуры. Необходим он для загрузки операционной системы Windows после включение компьютера. Бывают случаи, когда в результате различных аппаратных и системных сбоев, МБР повреждается или стирается, что приводит к невозможности запуска Windows. Подобные проблемы решает восстановление загрузочной записи MBR Windows 7. В данной статье рассмотрено несколько несложных способов, которыми можно восстановить записи.

Немного теории

После включение компьютера BIOS выбирает носитель информации, с которого будет осуществляться загрузка. На этом этапе устройству необходимо знать, какой именно раздел жесткого диска содержит системные файлы Windows. MBR – небольшая программка, которая хранится в первом секторе HDD и указывает компьютеру на правильный раздел для запуска системы.

Если вы некорректно установите вторую операционную систему, таблица разделов может повредиться и старт первой Windows будет невозможен. То же самое иногда происходит при внезапном отключении электроэнергии. Если это произошло – не стоит отчаиваться, поврежденные данные можно полностью восстановить.

Восстановление загрузочной записи

Для того чтобы восстановить MBR, вам понадобится инсталляционный диск, с которого вы устанавливали Windows (либо любой другой). Если же диска нет, можно создать загрузочную флешку с Win7. Алгоритм действия:

Автоматическое восстановление

Для начала стоит предоставить починку MBR стандартным средствам от Microsoft. Выберите пункт «Восстановление запуска». Больше ничего делать не требуется, пройдет некоторое время, и компьютер сообщит о завершении процесса. Попробуйте запустить Windows. Если ничего не получилось – значит, необходимо восстановить МБР вручную.

Командная строка

Этот путь требует ввода нескольких команд в командную строку Windows.

  • В меню восстановления системы выберите пункт «Командная строка».
  • Теперь необходимо ввести «bottrec/fixmbr ». Данная команда служит для записи новой MBR совместимой с Win 7. Команда удалит нестандартные части кода, исправит повреждения, но не будет затрагивать существующую таблицу разделов.
  • Следом введите «bootrec/fixboot ». Эта команда служит для создания нового загрузочного сектора для Windows.
  • Далее «bootrec/nt60 sys ». Эта команда обновит загрузочный код MBR.
  • Закройте консоль, перезагрузите компьютер и попробуйте запустить систему. Если проблема все еще не решена, необходимо ввести еще несколько команд.
  • Снова запустите консоль и введите «bootrec/Scanos » и «bootrec/rebuildbcd ». С помощью этих утилит компьютер просканирует жесткий диск на наличие операционных систем, а затем внесет их в меню загрузки.
  • Следом опять введите «bootrec/nt60 sys » и перезагрузите компьютер.

Утилита TestDisk

Если у вас нет загрузочной флешки или диска, можно восстановить поврежденную запись с помощью сторонней программы. Для этого необходимо запустить другую (рабочую) ОС. Если на вашей машине была всего одна Windows, придется подключить жесткий диск к другому компьютеру. Работа с TestDisk достаточно сложна, поэтому рекомендуется ознакомиться с руководствами, посвященными конкретно этой программе.

Данная инструкция хоть и не имеет прямого отношения к методам борьбы с заразой под общим кодовым названием «WinLocker» , но находится она здесь потому что есть оказывается совершенно примитивные блокираторы Microsoft Windows которые «ограничиваются» подменой загрузчика. По-видимому, какие-то школьники развлекались (их бы энергию, да в мирное русло).

Если Вы видите текст с вымогательством просто сразу до загрузки операционной системы в виде обычного текстового режима, довольно часто с ошибками или «артефактами» на экране, то попытайтесь просто восстановить главную загрузочную запись MBR .

Если Вы планируете разработку сайта и заказать сайт в Казани – стоит обращаться только к профессионалам. Веб-студия RafMedia сделает все быстро и качественно.

И так сам процесс. Сначала пройдемся по «старушке» Windows XP или в простонародии «хрюше». Для восстановления MBR здесь нам понадобится установочный диск с дистрибутивом системы. Грузимся с него и в самом начале выбираем режим восстановления, нажимая клавишу «r» . В открывшемся окне терминала наблюдаем список возможных систем для загрузки. В нормальной ситуации там только одна. Вводим необходимый номер и жмем «Enter» .

На следующем этапе необходимо восстановить поврежденную главную загрузочную запись . Это выполняется командой FIXMBR . На запрос о нашей уверенности в своих действиях конечно отвечаем «y» .

Теперь запишем новый загрузчик в восстановленный MBR . Это делается командой FIXBOOT . И, как и в предыдущем случае соглашаемся на внесение изменений, вводя «y» .

Ну вот, почти и все. Осталось скопировать ntldr и NTDETECT.COM . И «реанимировать» boot.ini .

Для копирования поможет команда «MAP» , которая показывает список всех подключенных(смонтированных) дисков. Находим наш привод с дистрибутивом. Как правило это будет диск «D:» . Копируем тогда следующими командами:

copy D:\i386\NTLDR C:\
copy D:\i386\NTDETECT.COM C:\

В случае возникновения вопроса на перезапись, отвечаем утвердительно.

Остался только boot.ini . Команда «Bootcfg /add» вновь выведет на экран список доступных для загрузки систем.

  • Вводим номер добавляемой системы, обычно «1» .
  • Жмем «Enter» .
  • Вводим имя добавляемой системы, пусть будет «Windows XP Professional» .
  • Жмем «Enter» .
  • Можем ввести, и лучше это сделать, ключ «/fastdetect» . Это спрячет при загрузке запрос на выбор системы для запуска.

Все готово, можно перегружаться и работать.
А вариант для операционной системы «Windows 7» будет рассмотрен .

Страница 8 из 8

Глава 7
Восстановление данных на жестких дисках

Вот, наконец, мы и подошли к описанию ситуации, при возникновении которой даже опытные пользователи начинают слегка волноваться.

Восстановление логической структуры диска

К повреждениям логической структуры жесткого диска относятся:
повреждение или удаление главной загрузочной записи;
повреждение или удаление таблицы разделов;
повреждение или удаление одной либо нескольких загрузочных записей основных разделов;
повреждение таблиц разделов на дополнительном разделе;
ошибочное изменение размера либо удаление раздела или логического диска.
Для успешного устранения перечисленных проблем полезно знать причины их возникновения, а также иметь определенный запас терпения и хладнокровия.

ПРИМЕЧАНИЕ
Вам потребуется значительно меньше времени и терпения, если высумеете вспомнить хотя бы самые основные параметры диска: количество, порядок следования и размеры разделов, а также тип файловой системы на каждом из них.

Восстановление главной загрузочной записи

Прежде всего необходимо определить причину повреждения загрузочных секторов. Если оно вызвано оплошностью пользователя или сбоем в работе программ или оборудования, можно переходить непосредственно к процедуре восстановления. Если же повреждение загрузочных секторов произошло вследствие деятельности вируса или другой вредоносной программы, предварительно необходимо «найти и уничтожить» злоумышленника.


«Лечение» секторов необходимо производить только при условии отсутствия вируса в оперативной памяти. Если копия вируса в памяти не обезврежена, то вполне вероятно, что вирус повторно заразит гибкий диск или винчестер после удаления кода вируса.
Теперь собственно о процедуре восстановления. Как вы знаете, главная загрузочная запись (MBR) присутствует на любом сконфигурированном физическом диске. Однако код программы начальной загрузки в MBR зависит от того, какой ОС создавалась главная загрузочная запись. То есть MBR, созданная при инсталляции Windows 98, отличается от MBR, созданной при инсталляции Windows XP или Linux (подробнее об этом см. главу 5, раздел «Устранение проблем с загрузкой системы»). Содержимое загрузочной записи раздела зависит, кроме того, от типа созданной на этом разделе файловой системы. При выборе средств для восстановления MBR и BR разделов обязательно следует учитывать указанные факторы. Поэтому процедуры восстановления MBR и BR рассмотрены ниже раздельно для Windows 98 и Windows XP.
Восстановление MBR для Windows 98
Прежде чем пытаться восстановить MBR, следует убедиться в необходимости этой процедуры. Для проверки состояния MBR целесообразно использовать утилиту Norton DiskEdit.
ПРИМЕЧАНИЕ
Несмотря на появление все новых программных инструментов для «лечения» файловых систем, многие опытные пользователи предпочитают применять для исправления серьезных ошибок программу Norton DiskEdit. Объясняется это тем, что DiskEdit предоставляет удобные средства просмотра всех элементов структурыфайловой системыи, кроме того, способна предотвратить некорректные изменения этих элементов в процессе восстановления. По указанной причине мыбудем использовать в качестве иллюстраций к излагаемому материалу «снимки» структуры файловой системы, полученные с помощью DiskEdit. Это поможет вам одновременно осваивать возможности DiskEdit.
Чтобы получить доступ ко всем функциям DiskEdit, требуется запустить программу в режиме DOS. Поэтому предварительно необходимо подготовить загрузочный гибкий диск.
СОВЕТ ____________________
Если имеющаяся в вашем распоряжении версия DiskEdit записана на компакт-диске, следует иметь «стандартный» вариант загрузочного гибкого диска, обеспечивающий поддержку CD-привода. Если же предполагается запускать DiskEdit с гибкого диска, можно либо создать «усеченный» вариант загрузочного диска и записать на него файл DiskEdit.exe (он занимает около 700 Кбайт), либо подготовить отдельный гибкий диск с DiskEdit.
Чтобы выбрать с помощью DiskEdit жесткий диск, подлежащий проверке, выполните следующие действия.
1. Загрузите компьютер с гибкого диска в режиме DOS и запустите программу DiskEdit; программа предупредит вас, что она работает в режиме Read Only (Только чтение) с целью защиты данных от случайного редактирования (как изменить режим работы, сказано далее).
2. Щелкните на кнопке Continue (Продолжить), чтобы продолжить работу. Disk-Edit выполнит сканирование дисков с целью определения структуры файловой системы.
3. После завершения сканирования DiskEdit выведет на экран список обнаруженных устройств (рис. 7.1). По умолчанию DiskEdit отображает список логических дисков. Если же таблица разделов повреждена настолько, что ни один из логических дисков не опознан, выводится список обнаруженных физических дисков.
4. В списке Type (Тип) поставьте переключатель в положение Physical Disk (Физический диск).
5. В списке устройств выберите физический диск, который требуется исследовать.

Рис. 7.1.Список устройств, обнаруженных DiskEdit
Физически MBR занимает самый первый сектор жесткого диска (цилиндр 0, головка 0, сектор 1).

ПРИМЕЧАНИЕ
В дальнейшем для краткости будем использовать следующие обозначения: C номер цилиндра, Н – номер головки, S – номер сектора.
Чтобы перейти к нужному сектору, выполните следующие действия.
1. В меню Object (Объект) выберите пункт Physical Sector (Физический сектор).
2. В дополнительном окне (рис. 7.2) введите номер сектора и щелкните на кнопке OK.

Рис. 7.2.Выбор физического сектора
По умолчанию DiskEdit отображает содержимое сектора в шестнадцатеричном коде (режим as Hex) (рис. 7.3).


Рис. 7.3. Представление MBR в шестнадцатеричном коде
В этом представлении каждая пара шестнадцатеричных цифр соответствует одному байту.
ВНИМАНИЕ
Если значение некоторого параметра занимает более одного байта, то в шестнадцате-ричном представлении параметра его старший байт расположен справа, а младший – слева. Например, сигнатура завершения таблицыразделов, АА55, в шестнадцатеричном представлении выглядит как 55 АА.
Первые байты сектора должна занимать программа начальной загрузки. Визуально отличить «нормальную» программу от поврежденной весьма сложно (особенно в том случае, если вы ее вообще первый раз видите). В качестве косвенного признака исправного состояния программы начальной загрузки может служить наличие в ней текстовых диагностических сообщений (типа Geom. Hard. Disk). Их можно увидеть в крайнем правом столбце окна, который содержит символьное (текстовое) представление данных. Еще один косвенный признак – это размер программы. Она должна занимать приблизительно три четверти сектора (446 байт, или 1BE байт в шестнадцатеричной системе) и отделяться от таблицы разделов нулевыми байтами.
Распределение пространства первого сектора жесткого диска представлено в табл. 7.1.
Наконец, наличие корректной таблицы разделов может говорить о том, что первый сектор (сектор 0) в целом не поврежден (или поврежден незначительно). О том, как оценить состояние PT, сказано далее.

Если вы считаете, что программа начальной загрузки требует «лечения», можно использовать следующие методы:
если имеется электронная копия MBR («снятая», например, с аналогичного жесткого диска), можно заменить ею испорченную MBR;
выйти из DiskEdit и в командной строке ввести инструкцию FDISK /MBR; это
приведет к обновлению MBR, но таблица разделов останется в прежнем виде;
при наличии «эталонного» варианта программы, записанного, например, на листе бумаги, и незначительных искажениях можно отредактировать MBR вручную.
В большинстве случаев для восстановления MBR достаточно обновить ее командой FDISK /MBR. Процедура состоит из следующих действий.
1. С помощью программы BIOS Setup убедитесь, что в качестве первого загрузочного устройства указан дисковод FDD.
2. Загрузите компьютер с помощью загрузочного гибкого диска.
3. В командной строке введите FDISK /MBR.
4. Извлеките гибкий диск и выполните перезагрузку системы.

ВНИМАНИЕ
Будьте осторожныпри использовании FDISK /MBR, если повреждение MBR обусловлено воздействием вируса. Дело в том, что эта команда заново переписывает код программы-загрузчика системы и не изменяет таблицу разделов (Partition Table). Если вирус шифрует Partition Table или использует нестандартные способы заражения, FDISK /MBR может привести к полной потере информации на диске. Поэтому перед запуском FDISK /MBR убедитесь в корректности Partition Table. Для этого требуется загрузиться с незара-женного гибкого DOS-диска и проверить корректность этой таблицы(процедура проверки и восстановления PT описана в подразделе «Восстановление таблицыразделов»).
При использовании FDISK необходимо учитывать, что данная утилита не может работать с дисками объемом больше 64 Гбайт.
Чтобы произвести «ручную» правку MBR, необходимо перевести DiskEdit в режим редактирования. Для этого выполните следующие действия.
1. В меню Tools (Сервис) основного окна выберите пункт Configuration (Конфигурация).
2. В открывшейся панели настроек снимите флажок возле пункта Read Only (Только чтение) и щелкните на кнопке OK.
ПРИМЕЧАНИЕ
Для изменения состояния флажков и переключателей в DiskEdit следует использовать клавишу <Пробел>.
После дополнительного подтверждения о смене режима DiskEdit сохранит новые параметры и выполнит повторное сканирование диска. Чтобы вернуться к первому сектору, выполните еще раз описанную выше последовательность действий.
Восстановление MBR для Windows XP
С помощью DOS-команды FDISK /MBR невозможно восстановить MBR, созданную при инсталляции Windows XP.
Для решения этой задачи следует использовать команду fixmbr, которая доступна из консоли восстановления Windows XP. Команда имеет следующий формат:
fixmbr [имя_диска], где имя_диска – это обозначение диска, на который требуется записать новую MBR. Имя диска может выглядеть следующим образом: \Device\HardDisk0.
Так новая MBR записывается на указанный диск: fixmbr \Device\HardDisk0.
ПРИМЕЧАНИЕ
Для получения имени диска можно воспользоваться командой map, которая также доступна в среде Консоли восстановления (рис. 7.4).

Рис. 7.4. Представление имен дисков командой map

ВНИМАНИЕ
Если параметр имя_устройства не указан, новая MBR будет записана на диск, с которого загружается основная ОС.
Если при выполнении команды fixmbr будет обнаружена неправильная или нестандартная подпись таблицы разделов, то на экран выводится запрос подтверждения продолжения работы. Если доступ к дискам осуществляется без сбоев, то на запрос следует ответить отрицательно.
ВНИМАНИЕ
Запись новой MBR на диск с системным разделом может привести к повреждению таблиц разделов, в результате чего разделы могут стать недоступными.
Проверка и восстановление таблицы разделов
Чтобы оценить состояние таблицы разделов (PT), выполните следующие действия.
1. С помощью DiskEdit откройте первый сектор диска, как было описано ранее.
2. В меню View (Вид) выберите пункт as Partition Table (в виде таблицы разделов).
Информация, которая появится на экране, существенно зависит от состояния PT. В любом случае DiskEdit попытается представить данные, расположенные там, где должна находиться PT, в виде таблицы. Если PT более или менее корректна, то она должна выглядеть приблизительно так, как показано на рис. 7.5.

Рис. 7.5. Представление таблицы разделов в текстовой форме

Столбцы таблицы, выводимой DiskEdit, означают следующее:
System (Система) – тип файловой системы или раздела; расширенный (дополнительный) раздел обозначается как EXTNDx; элемент дополнительной таблицы разделов, ссылающийся на следующий логический диск, имеет метку EXTEND;
Boot (Загрузка) – признак загрузочного раздела; если раздел является загрузочным, для него выводится значение Yes, в противном случае – No;
Starting Location (Начальное положение) – адрес первого сектора раздела, заданный номером головки, цилиндра и сектора;
Ending Location (Конечное положение) – адрес последнего сектора раздела, заданный номером головки, цилиндра и сектора;
Relative Sectors (Относительный сектор) – номер первого сектора раздела в соответствии с адресацией LBA (то есть при «сквозной» нумерации по головкам, цилиндрам и секторам);
Number of Sectors (Количество секторов) – размер раздела, измеренный в секторах (напомним, сектор имеет размер 512 байт).

Чтобы просмотреть цепочку ссылок на логические диски, размещенные внутри расширенного раздела, выполните следующие действия.
1. Переместите курсор в строку, соответствующую расширенному разделу.
2. В меню Link (Ссылка) выберите пункт Partition (Раздел).
3. Если в столбце System появился элемент-ссылка (с меткой EXTEND), повторите для него шаги1и2, чтобы перейти к следующему логическому диску (рис. 7.6).

Рис. 7.6. Просмотр дополнительныхтаблиц разделов в текстовой форме

Если отображаемые DiskEdit параметры PT говорят о наличии ошибок в ней и вам известна геометрия разделов жесткого диска, то можете отредактировать записи PT «вручную» (то есть с помощью DiskEdit), прямо в таблице.
Если же повреждения PT столь велики, что представленная в таблице информация вообще не поддается разумной интерпретации, можно попробовать другой метод анализа. Откройте PT в виде шестнадцатеричного кода (для этого выберите команду View as Hex) и сравните содержащиеся в PT данные с приведенными в табл. 7.2.

Из всех перечисленных полей некое предопределенное значение может иметь лишь байт, содержащий код типа раздела. Например, для первичного раздела с файловой системой FAT32 этот код должен быть равен 0Ch, для логического диска с FAT32 в расширенном разделе он равен 0Bh, а для NTFS – 07h.

СОВЕТ
Достаточно обширный список наиболее распространенных кодов вы можете получить, если в программе ParagonPartitionManager вы берете для какого-либо раздела команду Изменить partition id (рис. 7.7).

Сектор таблицы логических дисков, в отличие от сектора главной загрузочной записи, практически пуст. Все байты в нем от начала и до байта со смещением 1BDh включительно должны содержать нулевое значение. Начиная со следующего байта (со смещением 1BEh) располагается дополнительная таблица разделов (Extended PT), состоящая из двух элементов. В конце сектора располагается уже знакомая вам сигнатура – значение AA55h. Структура элементов Extended PT полностью аналогична структуре элементов основной таблицы разделов.
В некоторых (особо тяжелых) случаях можно использовать следующий довольно экстремальный метод, который, впрочем, часто дает положительные результаты.
1. С помощью DiskEdit скопируйте в загрузочный сектор восстанавливаемого диска содержимое MBR и Partition Table с любого исправного диска. Затем, очистив (прописав нулями) все записи PT, кроме первой, отредактируйте ее, внеся заведомо искаженную информацию о конечном размещении раздела (например, 9999-й цилиндр) и общем количестве секторов (например, 99999999).
2. После этого запустите утилиту DiskDoctor, которая, как и DiskEdit, входит в набор Norton Utilities.
3. Начните проверку восстанавливаемого диска, щелкнув последовательно в двух окнах на кнопках Diagnose Disk и Diagnose (рис. 7.8).

Рис. 7.8. Стартовые окнаутилиты DiskDoctor

4. На запрос об устранении найденных в Partition Table ошибок ответьте согласием, щелкнув на кнопке Yes (рис. 7.9).

Рис. 7.9. Несмотря на грозное предупреждение DiskDoctor, соглашайтесь на все

5. После внесения исправлений в искусственно созданную вами таблицу разделов DiskDoctor предложит поиск возможных дополнительных DOS-разделов (то есть разделов с файловой системой семейства FAT). Дайте согласие на это, и если данные на диске не повреждены, дополнительный раздел будет найден и после вашего подтверждения восстановлен.
Как правило, после перезагрузки компьютера данные дополнительного раздела становятся доступны без дополнительных восстановительных операций.

Восстановление удаленных и «потерянных» разделов

Разделы и логические диски могут быть «потеряны» в результате повреждения таблицы разделов (PT). Поэтому зачастую процедуры «ремонта» PT и восстановления «потерянных» разделов являются звеньями одной цепи: восстановив одну из записей PT, можно отыскать на диске следующий раздел, внести его данные в соответствующую запись PT и так далее.
Ситуация несколько усложняется в том случае, если были удалены сами разделы (например, с помощью программ типа Paragon Partition Manager) либо если был отформатирован весь жесткий диск.
Особый случай – это потеря разделов в результате преобразования динамических томов в базовые.
Однако технология восстановления удаленных и «потерянных» разделов зависит не столько от причины утраты, сколько от того, является (являлся) ли удаленный раздел системным. Если нет, то все операции по восстановлению раздела можно производить непосредственно в среде ОС Windows. Причем если это Windows ХР, то в качестве основного инструмента можно использовать утилиту Управление дисками. Для Windows 98 потребуется программа, способная создавать разделы и логические диски без изменения области данных раздела. Таковыми являются, в частности, Norton Partition Magic и упоминавшийся Paragon Partition Manager (но не утилита FDISK, которая при сканировании доступного дискового пространства прописывает в первый сектор на каждом треке код F6, что приводит к потере информации в этих секторах).
Кроме того, необходимо будет вспомнить (и чем точнее, тем лучше) размер восстанавливаемого раздела.
Итак, для восстановления утраченного несистемного раздела без потери хранящихся на нем данных выполните следующие действия.
1. Создайте заново на его месте раздел такого же точно размера, не выполняя форматирование нового раздела.
2. В нулевой сектор раздела поместите копию загрузочной записи (BR) «бывшего» раздела (как ее найти и что собой представляет BR, рассказано в следующем подразделе).
Кроме того, весьма мощными средствами по отысканию и восстановлению «пропавших» разделов обладают программы Drive Rescue и EasyRecovery, рассмотренные в главе 6.

Восстановление данных в файловой системе FAT32

Порядок проверки состояния файловой системы в общем случае зависит от характера повреждения. Например, нет необходимости разбираться с MBR, если поврежден корневой каталог логического диска или таблица FAT. Тем не менее, если вы не можете определить причину неработоспособности системы или по общему характеру ситуации создалось впечатление, что «все пропало», лучше начинать диагностику с «самого верха».
Будем считать, что с помощью материала предыдущего раздела все проблемы с MBR успешно преодолены. В таком случае порядок проверки состояния разделов, представленных в таблице разделов, должен быть следующим.
1. Проверка загрузочной записи (Boot Record) раздела (логического диска).
2. Проверка состояния корневого каталога.
3. Исследование таблицы размещения файлов (FAT).
4. Проверка состояния вложенных папок и файлов.

Проверка и восстановление Boot Record

Загрузочная запись раздела (как и логического диска в дополнительном разделе) располагается в первом секторе этого раздела (в пределах раздела этот сектор имеет относительный номер 0).
Как уже было сказано, содержимое загрузочной записи зависит от типа операци– онной системы, которая должна загружаться с этого диска (если он является системным), и от типа файловой системы, под которую отформатирован раздел.
Тем не менее в любом случае BR содержит две области данных: программу на– чальной загрузки операционной системы и блок параметров BIOS (BIOS Para– meter Block, BPB).
С помощью программы DiskEdit можно перейти на интересующий вас сектор загрузочной записи двумя способами.
Первый способ доступен, если в PT все сведения корректны. В этом случае можнопросто выбрать в таблице нужный диск, а затем в меню Link выбрать ко манду Partition.DiskEdit выведет на экран содержимое всего сектора BR в текстовом виде (рис. 7.10).


Второй способ предполагает использование сведений, полученных при просмотре таблицы разделов, а точнее – абсолютного адреса первого сектора.
Выполните следующие действия.
1. Используя текстовое представление таблицы разделов, доберитесь по ссылкам до нужного диска.
2. Чтобы получить абсолютный адрес первого сектора диска, сложите относительный номер первого сектора диска, представленный в столбце Relative Sectors (в строке ссылки EXTEND), с абсолютным номером первого сектора предшествующего диска; например, для цепочки дисков, показанной на рис. 7.6, адрес первого сектора логического диска с FAT32 будет равен: 8 193 150 + 63 = = 8 193 213; для следующего диска с FAT32: 24 579 450 + 8 193 213 = 32 772 663.
3. В меню Object выберите пункт Physical Sector.
4. В дополнительном окне введите номер первого сектора диска и щелкните на кнопке OK.
ПРИМЕЧАНИЕ ____________________
В действительности число, указанное в столбце Relative Sectors, – это размер (в секторах) предшествующего диска (раздела), и называть его относительным номером первого сектора следующего диска вынуждает лишь наименование этого столбца таблицы.
DiskEdit выведет на экран содержимое всего сектора BR в шестнадцатеричном коде (рис. 7.11).


Рис. 7.11. Представление первого сектора логического диска в шестнадцатеричном коде

Чтобы получить текстовое представление только блока BPB, выполните следующие действия.
1. Выделите четвертый байт от начала сектора (первые три байта сектора занимает команда перехода на начало программы загрузки), как показано на рис. 7.11.
2. В меню View выберите пункт as Boot Record(32) (в виде загрузочной записи для FAT32).
Распределение пространства первого сектора логического диска представлено в табл. 7.3.

ПРИМЕЧАНИЕ
Поля BPB со смещением от начала сектора 44 байта и более на первом экране утилиты DiskEdit не умещаются. Чтобы ихувидеть, воспользуйтесь полосой прокрутки.



Восстановление BR системного и/или загрузочного раздела для Windows 98 может быть выполнено в «ручном» либо в «автоматическом» режиме.
ПРИМЕЧАНИЕ ____________________
Восстановление загрузочной записи системного раздела необходимо производить, загрузив систему с помощью загрузочного гибкого диска. Для других разделов соблюдение этого требования не обязательно, но желательно.
Для «автоматического» решения проблемы можно воспользоваться одной из двух команд:
SYS <букеа диска> – обеспечивает запись BR в загрузочный сектор раздела, а также копирование в корневой каталог трех системных файлов: Msdos.sys, Io.sys и Command.com;
FORMAT <букеа диска> – обеспечивает формирование файловой структуры указанного раздела диска с воссозданием BR, чистых таблиц FAT и корневого каталога (Root Directory); область данных при этом не затрагивается.
Если же восстановление загрузочной записи при помощи команд SYS и FDISK невозможно, следует попробовать заменить загрузочный сектор либо его резервной копией, взятой из сектора 6 этого же раздела, либо (в крайнем случае) копией загрузочной записи другого раздела, имеющего идентичную геометрию.
Для выполнения процедуры замены целесообразно использовать утилиту Norton DiskEdit. С ее помощью выполните следующие действия.
1. После того как DiskEdit завершит сканирование и выведет на экран список обнаруженных устройств, в списке Type (Тип) поставьте переключатель в положение Physical Disk (Физический диск).
2. В списке устройств выберите физический диск, который требуется исследовать.
3. В меню View (Вид) выберите пункт as Partition Table (в виде таблицы разделов).
4. В строке таблицы разделов, соответствующей восстанавливаемому разделу, посмотрите и запишите номер первого сектора раздела (значение в столбце Relative Sectors). Если вас интересует логический диск на дополнительном разделе, доберитесь до нужной записи в соответствующей дополнительной таблице разделов, как было описано выше.
5. К зафиксированному номеру сектора прибавьте 6, чтобы получить абсолютный номер сектора с резервной копией BR.
6. В меню Object выберите пункт Physical sector.
7. В дополнительном окне (рис. 7.12) введите в поле Starting Sector (Начальный сектор) вычисленный номер резервного загрузочного сектора, а в поле Number of Sectors (Количество секторов) – значение 1 и щелкните на кнопке OK^u получите шестнадцатеричное представление резервного загрузочного сектора.

Рис. 7.12. Переход к резервной копии загрузочного сектора

8. Чтобы убедиться в целостности резервного сектора, переключитесь в текстовый режим просмотра, и затем вернитесь к шестнадцатеричному представлению.
9. В меню Tools с помощью команды Configuration переведите DiskEdit в режим редактирования.
10. В меню Edit выберите команду Mark (Пометить) и затем с помощью клавиш управления курсором выделите содержимое всего сектора (если сектор был открыт правильно, DiskEdit не пустит вас за его пределы).

Рис. 7.13. Выбор типа заменяемого объекта
11. В меню Tools выберите команду Write Object To… (Записать объект в…)ивдо-полнительном окне (рис. 7.13) переведите переключатель в положение To Sectors… (В секторы…). Обратите внимание, что если вы выберите здесь вариант To Physical sectors. (В физические секторы.), то в следующем окне вам придется указывать адрес восстанавливаемого загрузочного сектора в адресации CHS.
12. В следующем окне (рис. 7.14) введите в поле Starting Sector (Начальный сектор) относительный адрес восстанавливаемого загрузочного сектора (он равен 0) и в ответ на запрос DiskEdit подтвердите свои намерения. Загрузочный сектор будет заменен его копией.

Рис. 7.14. Последний шаг в замене загрузочного сектора

Чтобы убедиться в успешности выполненной процедуры, откройте восстановленный загрузочный сектор в текстовом режиме и проверьте значения полей в соответствии с табл. 7.3.

Исследование корневого каталога

Вслед за загрузочной записью находятся две копии таблицы размещения файлов FAT и корневой каталог. Переходить к исследованию FAT имеет смысл лишь в том случае, когда соответствующий раздел (или логический диск) корректно опознается системой, то есть и в таблице разделов для него представлены корректные сведения, и загрузочная запись диска корректна.
Поэтому для исследования внутренней структуры раздела целесообразно использовать другой режим DiskEdit – работу с логическими устройствами (Logical disk).
Для перехода в новый режим выберите в меню Object пункт Drive (Устройство). После того как DiskEdit завершит сканирование, установите переключатель режимов в положение Logical disks и затем выберите в списке логических дисков тот, с которым вы собираетесь работать (рис. 7.15).

Рис. 7.15. Список логических дисков
После этого DiskEdit начнет сканирование диска с целью определения структуры файловой системы и построения полного дерева папок и файлов. Чтобы получить сведения о FAT и корневом каталоге, не обязательно дожидаться полного завершения сканирования, можно его прервать через несколько секунд после начала, нажав клавишу Esc. После получения от вас подтверждения о прекращении сканирования DiskEdit выведет на экран содержимое корневого каталога в текстовой форме (рис. 7.16).


Рис. 7.16. Корневой каталог

Если DiskEdit по какой-то причине не смог самостоятельно обнаружить корневой каталог, попробуйте перейти к нему по относительному адресу его первого сектора. Номер этого сектора можно определить по значению поля First cluster of Root блока BPB. Кроме того, при поиске корневого каталога необходимо учитывать следующее.
Корневой каталог (как и любой другой каталог в FAT32) содержит 32-байтовые элементы – дескрипторы, описывающие файлы и вложенные каталоги.
Первый дескриптор корневого каталога содержит сведения о логическом диске (точнее говоря, о самом корневом каталоге), в том числе: метку тома, дату и время создания, атрибуты каталога как элемента файловой системы. Остальные дескрипторы, хранящиеся в корневом каталоге, содержат большее количество сведений о связанных с ними элементах данных. Все они не умещаются на одном экране DiskEdit. Для их пролистывания следует использовать команду More (Еще), расположенную в строке меню окна.
Мы ограничимся описанием лишь наиболее важных полей дескриптора, которые представлены на первом экране:
Name – имя элемента данных (файла или папки); если элемент данных отмечен как удаленный, то в качестве первого символа имени используется байт E5 (в текстовом формате DiskEdit заменяет его буквой х);
Ext – расширение файла (для папок это поле пусто);
ID – тип элемента данных; возможные значения:
Vol – том;
Dir – каталог;
LFN – аббревиатура от Long File Name, длинное имя файла (об LFN см. главу 3, раздел «Выбор имен папок и файлов»);
File – файл;
Erased – удален (указывается только для файлов);
Del LFN – удаленное длинное имя (признак устанавливается после переименования файла или папки);
Size – размер (в байтах);
Date – дата создания или изменения;
Time – время создания или изменения;
Cluster – номер первого кластера;
A, R, S, H, D, V – атрибуты элемента данных (архивный, только чтение, системный, скрытый, каталог, том); значения всех атрибутов хранятся в одном байте дескриптора.
Чтобы просмотреть содержимое какого-либо вложенного каталога, переместите курсор в соответствующую строку и нажмите клавишу Enter.
Если сведения о корневом (или вложенном) каталоге, представленные DiskEdit, кажутся вам «подозрительными», можно попробовать интерпретировать записанные в нем данные самостоятельно, переключившись в режим просмотра шестна-дцатеричного кода. Для этого в меню View выберите пункт as Hex. Формат дескриптора каталога представлен в табл. 7.4.
Анализируя полученную информацию, вы можете обнаружить подозрительные изменения в полях размера файла, даты и времени. При необходимости их можно исправить «вручную».

Кроме того, для каждого файла в столбце Cluster отображается номер распределенного ему первого кластера. Следует просмотреть весь каталог до конца: необходимо проверить, что в каталоге отсутствуют посторонние данные. Они могут быть записаны туда вирусом.
Если перейти в режим неформатированного просмотра, можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы).
В том случае, когда каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если вы найдете тем или иным способом секторы, содержащие нужный вам файл с разрушенным дескриптором, то, пользуясь описанной ниже методикой, сможете восстановить дескриптор и получить доступ к файлу.
Процедура основана на использовании функций DiskEdit по поиску различных элементов файловой системы FAT.
Например, чтобы найти потерянные каталоги (такие, на которые нет ссылок из других каталогов, в том числе из корневого), требуется выполнить следующее.
1. В меню Tools выберите команду Find Object (Найти объект), а в дополнительном меню выберите вариант Subdirectory (Подкаталог).
2. Программа DiskEdit просматривает секторы диска в поисках такого, в начале которого находится последовательность байтов 2Е 20 20 20 20 20 20 20 20 20 20. Эта последовательность соответствует дескриптору, содержащему ссылку каталога на себя самого.
3. Нажимая комбинацию клавиш Ctrl+G, вы можете продолжить поиск нужного каталога, пока не найдете тот, который содержит интересующие вас файлы.
4. Как только нужный каталог найден, необходимо записать физический адрес сектора диска, содержащего каталог, а затем найти либо вычислить номер кластера, соответствующего каталогу.
Для поиска номера кластера, в котором располагается найденный каталог, перейдите в режим текстового просмотра каталога, выбрав в меню View пункт as Directory. Затем в меню Link выберите команду Cluster chain (fat) (Цепочка кластеров (fat)). На экране появится содержимое таблицы FAT в текстовом режиме просмотра, при этом искомый номер кластера будет выделен.
Зная номер кластера потерянного каталога, можно создать новый дескриптор каталога, например, в корневом каталоге диска, и сделать в этом дескрипторе ссылку на найденный каталог. После этого потерянный каталог вновь станет доступным.

Исследование FAT

Между загрузочным сектором и таблицей размещения файлов FAT могут находиться зарезервированные секторы, которые являются служебными для файловой системы или не используются.
Количество секторов, зарезервированных на логическом диске, можно узнать из блока параметров BIOS (BPB или Extended BPB, в зависимости от версии операционной системы). Искомое значение находится в поле Reserved sectors at beginning этого блока (смещение 3 байта).
Если зарезервирован только один сектор, то первая копия таблицы размещения файлов FAT располагается сразу вслед за загрузочным сектором. Именно загрузочный сектор в данном случае и является зарезервированным.
Когда зарезервировано несколько секторов, между загрузочным сектором и первой копией таблицы FAT может находиться еще несколько секторов, содержащих нулевые значения. Если компьютер заражен вирусом, в этих секторах может быть спрятано тело вируса или копия оригинальной загрузочной записи, замещенной вирусом.
Информация, представленная в корневом каталоге, должна соответствовать сведениям о распределении кластеров области данных, хранящимся в обеих копиях FAT.
Чтобы сравнить значения полей Cluster и Size дескриптора некоторого элемента данных с информацией в FAT, выполните следующие действия.
1. Откройте в текстовом режиме корневой каталог интересующего вас логического диска и переместите курсор в соответствующую строку.
2. В меню Link выберите команду Cluster chain (Цепочка кластеров).
DiskEdit откроет первую копию FAT и выделит в ней черным прямоугольником номер первого кластера объекта, а также подсветит красным все остальные распределенные объекту кластеры (рис. 7.17).
Визуально таблица размещения файлов должна содержать в основном монотонно изменяющиеся последовательности номеров кластеров, нулевые значения, соответствующие свободным кластерам, а также значение 0xFFFF (0xFFF для FAT12 или 0xFFFFFFFF для FAT32), которое является признаком конца цепочки кластеров.
В результате программной ошибки или работы вируса таблица FAT может быть либо полностью разрушена, либо изменена (например, зашифрована или прописана нулями). Если цепочка кластеров для нужного вам файла разрушена частично или полностью, восстановление такого файла может стать непростой задачей. В этом случае можно попробовать воспользоваться инструментами восстановления данных, рассмотренными в четвертой главе книги.

Рис. 7.17. Просмотр FAT

Если они не помогут, вновь вернитесь к работе с DiskEdit. Чтобы найти таблицу FAT не по адресу, а по ее содержимому, выполните следующее.
Выберите в меню Tools команду Find Object и затем строку FAT. Программа DiskEdit выполнит поиск первой копии таблицы FAT и отобразит ее дамп, выделив в нем первые три байта.
Если теперь сместить текстовый курсор вниз или нажать клавишу PgDn, а затем выбрать повторно в меню Tools команду Find Object FAT еще раз, будет найдена вторая копия таблицы FAT.
Если любая из копий таблицы FAT корректна, то для быстрого перехода к одной из них можно использовать имеющиеся в меню Object команды 1st FAT и 2nd FAT.

Восстановление данных в файловой системе NTFS

Как вы уже знаете из материала главы 3, файловая система NTFS содержит целый ряд механизмов, призванных повысить надежность хранения данных. Это, в свою очередь, ведет к существенному усложнению структуры NTFS по сравнению с FAT32. Даже детальное изучение структуры записей, хранящихся в MFT (главной таблице файлов), не гарантирует возможность восстановления данных «вручную».
Ситуация усугубляется тем, что на сегодняшний день практически отсутствуют инструменты, обеспечивающие удобные средства просмотра и редактирования MFT.
По указанной причине мы ограничим круг рассматриваемых вопросов следующими ситуациями:
восстановление элемента таблицы разделов, содержащего сведения об NTFS-разделе;
восстановление загрузочного сектора логического диска с NTFS;
восстановление служебной информации в MFT.
Перечисленные задачи можно решить посредством совместного использования уже знакомых вам инструментов: Norton DiskEdit и Paragon Partition Manager, а также утилиты Partition Table Editor, входящей в состав пакета Norton PartitionMagic.

Восстановление элемента таблицы разделов

Имеется в виду ситуация, когда операционной системе Windows XP при загрузке не удается опознать логический диск с NTFS вследствие повреждения описывающего его (диск) элемента таблицы разделов. Чтобы получить более полное представление о возникшей ситуации, целесообразно запустить утилиту Norton Partition Table Editor.

ПРИМЕЧАНИЕ
Утилита Norton Partition Table Editor (в дальнейшем для краткости будем называть ее PTEdit) состоит из единственного исполняемого файла – PTEDIT.exe. Ее особенность состоит в том, что она при запуске обеспечивает перевод системыв однозадачный режим (за счет загрузки собственной DOS). Однако для работыс NTFS-разделами ее лучше запускать либо из средыWindows 98, либо из среды «настоящей» MS DOS, например, с гибкого диска. Размер файла PTEDIT.exe – около 500 Кбайт.
После запуска PTEdit на экране появится диалоговое окно, с помощью которого можно просмотреть и отредактировать основные параметры любого элемента таблицы разделов выбранного физического диска (рис. 7.18).
Выбор физического диска выполняется с помощью раскрывающегося списка Hard Disk (Жесткий диск).
Строки расположенной ниже таблицы соответствуют четырем элементам основной таблицы разделов. В столбцах выводятся следующие сведения:
Type (Тип) – тип файловой системы или раздела; отображается в виде шест-надцатеричного кода;
Boot (Загрузка) – признак загрузочного раздела; для загрузочного активного раздела, как вы знаете, должно быть указано значение 80;
Starting (Начальное положение) – адрес первого сектора раздела, заданный
номером цилиндра (Cyl), головки (Head) и сектора (Sector);
Ending (Конечное положение) – адрес последнего сектора раздела, также заданный номером цилиндра, головки и сектора;
Sectors Before (Предшествует секторов) – количество секторов жесткого диска, предшествующих первому сектору раздела в соответствии с адресацией LBA (то есть при «сквозной» нумерации по головкам и цилиндрам);
Sectors (Секторов) – размер раздела, измеренный в секторах.

Рис. 7.18. Стартовое окно утилиты Partition Table Editor

Чтобы просмотреть цепочку дополнительных таблиц расширенного раздела (EPBR), выполните следующие действия.
1. Переместите курсор в строку, соответствующую расширенному разделу (его код равен 0Fh).
2. Щелкните на кнопке Goto EPBR (Перейти на EPBR), расположенной под таблицей.
Если вы знаете, что восстанавливаемый NTFS-раздел находится на прежнем месте, но в соответствующей ему строке указан неверный тип раздела, вы можете попробовать установить корректное значение принудительно. Для этого щелкните на кнопке Set Type (установить тип) и в открывшемся окне выберите требуемое значение (рис. 7.19). Для раздела NTFS оно равно 07h.
Если вам известны корректные значения других параметров раздела и они отличаются от представленных в таблице, вы можете (предварительно запомнив или записав на бумаге текущие значения) ввести их в поля таблицы. Чтобы внесенные изменения были записаны на диск, щелкните на кнопке Save Change (Сохранить изменения).

Рис. 7.19.Можно принудительно установить требуемый тип раздела

СОВЕТ
Если восстанавливаемый раздел вообще опознается как пустой, можно попробовать создать на его месте новый, такого же типа, как у восстанавливаемого раздела, и (обязательно!) точно такого же размера. Для выполнения этой процедуры можно использовать либо Paragon Partition Manager, либо Norton PartitionMagic (о работе с ними рассказано в третьей главе).

Восстановление загрузочного сектора раздела NTFS

Состав информации, содержащейся в загрузочном секторе раздела NTFS, во многом аналогичен составу информации в загрузочном секторе раздела FAT32: в его первых трех байтах записана команда перехода на программу начальной загрузки ОС, затем идет код файловой системы, а вслед за ним – поля блока параметров BIOS (BPB). Чтобы оценить корректность содержимого загрузочного сектора раздела NTFS, переместите курсор в строку соответствующего раздела и щелкните на кнопке Boot Record (Загрузочная запись), расположенной под таблицей (см. рис. 7.18). В дополнительном окне будет представлено содержимое BPB в текстовом формате (рис. 7.20).
По сравнению с BPB раздела FAT32 здесь присутствуют следующие специфические поля:
Total NTFS Sectors (Всего секторов в NTFS) – общее число секторов в разделе;
MFT Start Cluster (Начальный кластер MFT) – номер первого кластера таблицы MFT;
MFT Mirror Start Cluster (Начальный кластер зеркала MFT) – номер первого кластера копии таблицы MFT;
Clusters per FRS (Кластеров в FRS) – размер одной записи таблицы MFT (в кластерах);
Clusters per Index Block (Кластеров в индексном блоке) – размер индексного блока (в кластерах).

Рис. 7.20. Диалоговое окно NTFS Boot Record

Если повреждения незначительны, можно отредактировать значения полей непосредственно в окне NTFS Boot Record. После внесения изменений щелкните на кнопке Write (Записать), чтобы перенести их на диск.
Если загрузочный сектор поврежден существенно или вам неизвестны корректные значения полей, следует заменить загрузочный сектор его резервной копией. Для версии NTFS, используемой в Windows XP, копия загрузочного сектора хранится в самом последнем секторе логического диска.
Операцию копирования сектора можно выполнить либо с помощью Norton Disk-Edit, либо с помощью Paragon Partition Manager (точнее, с помощью входящей в него утилиты Просмотр секторов). Следует отметить, что в данном случае второй вариант даже предпочтительнее, поскольку Partition Manager «знаком» с NTFS лучше, чем Norton DiskEdit.
Итак, чтобы заменить загрузочный сектор NTFS его резервной копией с помощью утилиты Просмотр секторов, выполните следующие действия.
1. После загрузки Paragon Partition Manager щелкните правой клавишей мыши на изображении восстанавливаемого раздела и выберите в контекстном меню пункт Посмотреть сектора.
2. В окне утилиты Просмотр секторов (рис. 7.21) введите в редактируемом поле Абсолютный сектор|Наберите выражение для оценки: номер последнего сектора раздела (он отображается справа от раскрывающегося списка) и нажмите клавишу Enter.
3. Щелкните на кнопке Сохранить, расположенной в правой части окна утилиты, и в дополнительном окне укажите адрес и имя двоичного (.bin) файла, в который следует записать содержимое сектора.
4. Вернитесь к нулевому (загрузочному) сектору раздела, введя 0 в поле Абсолютный сектор|Наберите выражение для оценки:.
5. Щелкните на кнопке Настройки и в дополнительном окне установите флажок Разрешить запись. После того как вы закроете окно, станет доступна кнопка Восстановить.
6. Щелкните на кнопке Восстановить и в открывшемся окне укажите bin-файл, из которого следует считать содержимое сектора.

Рис. 7.21. Представление загрузочного сектора в окне утилиты Просмотр секторов

После двух подтверждений с вашей стороны о корректности замены будет выполнена запись на диск.
В том случае, если повреждена и резервная копия загрузочного сектора, остается только один выход: отредактировать содержимое загрузочного сектора вручную. Для выполнения этой операции также пригодна утилита Просмотр секторов, но можно использовать и Norton DiskEdit. Распределение пространства загрузочного сектора логического диска NTFS представлено в табл. 7.5.


Для успешного проведения восстановительных работ в разделе NTFS необходимо определить его геометрию, которая характеризуется набором следующих параметров:
размер сектора (в байтах);
размер кластера (в секторах);
номера начального кластера таблицы MFT и ее копии;
размер записи таблицы MFT (в кластерах).
Первый из названных параметров полностью аналогичен одноименному параметру для раздела FAT32.
Что касается размера кластера, то, как и для FAT32, он зависит от объема раздела, но может быть изменен пользователем при форматировании раздела (либо с помощью соответствующих функций таких инструментов, как Norton PartitionMagic или Paragon Partition Manager, рассмотренных в главе 3).

Восстановление служебной информации в MFT

Как вы уже знаете, таблица MFT представляет собой метафайл с именем $MFT, в котором хранятся записи с атрибутами других метафайлов и записи с атрибутами файлов пользователя (подробнее о логической структуре MFT см. главу 3).
Для разделов объемом в несколько гигабайт и при большом количестве файлов данных размеры MFT могут достигать десятков мегабайт. При этом граница MFT может изменяться динамически в зависимости от объема записанных на диск данных и наличия свободного пространства.
Кроме того, каждый файл в NTFS может иметь собственный набор атрибутов (об этом также достаточно подробно говорилось в главе 3); некоторые из них задаются самим пользователем.
Все это существенно затрудняет анализ и восстановление MFT на уровне отдельных записей.
Тем не менее в случае повреждения MFT вы можете попытаться восстановить записи, относящиеся к метафайлам, а затем поручить восстановление файлов и папок одному из программных инструментов, рассмотренных в четвертой главе.
Поиск таблицы MFT
Номер первого кластера таблицы MFT содержится в поле Clusters to MFT загрузочного сектора. Если вам удалось его восстановить, то с помощью утилиты Просмотр секторов можно перейти на этот кластер и проверить корректность записей, относящихся к метафайлам.
Для перехода по номеру кластера выполните следующие действия.
1. Откройте первый (загрузочный) сектор диска.
2. В разделе Абсолютный сектор, в поле Наберите выражение для оценки введите формулу для вычисления номера первого сектора MFT: x, где – это размер кластера, записанный в поле Sectors per Cluster (например: 40 000 х 8, рис. 7.22)
3. Нажмите клавишу Enter.
Характерные признаки «исправной» MFT:
каждая запись начинается со слова FILE0, размещенного в первых пяти байтах сектора;
для большинства записей метафайлов в байтах со смещением F2h хранится имя метафайла, которое всегда начинается с символа $;
первая запись описывает сам метафайл $MFT.

Последовательность размещения записей других метафайлов приведена в табл. 7.6.


Далее в файле $MFT следуют записи с информацией обо всех остальных файлах и каталогах.
В том случае, если поле Clusters to MFT загрузочного сектора повреждено или переход по номеру кластера привел «неизвестно куда», можно попробовать доверить поиск MFT самой утилите Просмотр секторов.
Для этого щелкните на кнопке Перейти и в открывшемся меню (рис. 7.23) выберите команду NTFS4MFT. Обратите внимание, что здесь же указан номер сектора (относительно начала раздела), с которого начинается MFT.

Рис. 7.23.Поиск таблицы MFT с помощью утилиты Просмотр секторов
Если и этот прием не даст результата, остается последний выход: вернуться к работе с программой Norton DiskEdit и попытаться найти таблицу MFT с помощью полнотекстового поиска по разделу. В качестве ключа поиска можно использовать имя метафайла – $MFT. Однако при этом следует учитывать, что имена файлов в NTFS представлены в двухбайтовой кодировке UNICODE, а Norton DiskEdit работает с однобайтовым кодом ASCII.
Если основная таблица MFT повреждена, следует проверить состояние ее копии. Напомним, что в NTFS не предусмотрено создание полной копии MFT. Сокращенная копия, MFT Mirror, содержит лишь первые четыре записи из основной таблицы, относящиеся к метафайлам $MFT, $MFTMirr, $LogFile и $Volume.
Напомним также, что копия MFT в версии NTFS для Windows XP всегда расположена в середине раздела. Поэтому если в загрузочной записи адрес ее начала отсутствует, несложно его вычислить исходя из числа секторов раздела.
Можно также попробовать перейти к сектору с копией MFT с помощью утилиты Просмотр секторов, воспользовавшись командой NTFS MFT зеркальный из меню Перейти (см. рис. 7.23).
Если копия уцелела, необходимо отыскать ее последний сектор и затем перенести содержимое «зеркала» в соответствующие секторы, отведенные под основную MFT.
С помощью утилиты Просмотр секторов эта операция выполняется таким же образом, как и перенос копии загрузочного сектора.
Размер и структура записи таблицы MFT
С учетом сказанного выше большое значение имеет правильное определение размера записи таблицы MFT. Его значение хранится в поле Clusters per FRS загрузочного сектора.
Многие дисковые утилиты, в том числе PTEdit, отображают это значение как десятичное целое положительное число в диапазоне 0-255 (обычно равное 246, см. рис. 7.20). В действительности это значение следует рассматривать как шест-надцатеричное целое со знаком, в котором старший разряд отводится для представления знака. Если число положительно (то есть в десятичном представлении меньше 128), то оно означает количество кластеров, занимаемых одной записью таблицы MFT. Если же число отрицательное (больше десятичного 127), то для определения размера записи MFT нужно использовать следующую формулу:
FRS= 2(256 – Clusters_Per_FRS)
Здесь FRS – количество байтов, занимаемых записью MFT, а Clusters_Per_FRS – значение поля Clusters per FRS.
Например, если в поле Clusters per FRS представлено значение 246 (то есть шест-надцатеричное F6), то в приведенной выше формуле показатель степени 2 будет равен 10, а для FRS получим значение 1024, то есть размер записи MFT составляет 1 Кбайт. Аналогично значение поля Clusters per FRS, равное 245 (F5h), соответствует размеру записи MFT, равному 2 11 = 2048 байт, или 2 Кбайт.
Запись MFT содержит список областей переменной длины, каждая из которых соответствует одному из атрибутов файла. Размер этого списка и состав хранящихся в нем атрибутов для каждого файла может быть своим.
Если все атрибуты файла или каталога не помещаются в базовой записи, создается одна или несколько дополнительных записей. При этом базовая запись содержит атрибут, в котором перечислены все атрибуты данного файла и каталога, а также указание, в каких именно записях (базовой или дополнительных) хранятся те или иные атрибуты.
Каждая запись MFT состоит из заголовка фиксированного формата, вслед за которым идет список атрибутов переменной длины. Приступая к исследованию записи MFT, сначала нужно проанализировать ее заголовок. Формат заголовка записи MFT представлен в табл. 7.7.

Несколько слов по поводу так называемого массива корректировки. Перед сохранением записи MFT операционная система заменяет последние два байта каждого сектора специальным значением – шаблоном корректировки, который должен быть одинаковым для всех секторов одной записи MFT, но различаться для разных записей MFT. Оригинальное содержимое последних байтов секторов записи MFT сохраняется во второй и последующих ячейках (два байта) массива корректировки. В первую ячейку массива при этом записывается значение шаблона корректировки.
Процедура «ручного» побайтного восстановления записей MFT может потребовать кропотливого труда в течение нескольких часов (если не больше). Решиться на такой шаг можно лишь в случае потери действительно «жизненно важных» данных. Альтернативный способ – обратиться к услугам специальных служб восстановления. Их адреса можно найти в Интернете. Разумеется, доверить свои данные можно далеко не всем. К числу служб восстановления, имеющих достаточно высокий авторитет, можно отнести, в частности, службу компании Ontrack, создателя описанного в книге пакета для восстановления данных EasyRecovery.

Перезапись основной загрузочной записи (Master Boot Record ) позволяет не только восстановить её (при необходимости), но и расправиться с .

Восстановление (перезапись) основной загрузочной записи (Master Boot Record ) в автоматическом режиме

– установите в лоток привода загрузочный диск (или );

– нажмите Ctrl+Alt+Del ;

Delete для входа в CMOS Setup Utility ;

– установите загрузку с CD /DVD-ROM , нажмите F10 , санкционируйте сделанные изменения, начнется перезагрузка;

, нажмите любую клавишу;

– в окне Windows Boot Manager выберите Windows Setup /Установка Windows –> нажмите Enter ;

US ), нажмите Next ;

их установлено 2 или более);

– установите переключатель Use recovery tools that can help fix problems starting Windows –> Next ;

– в следующем окне – System Recovery Options (Параметры восстановления системы ) – доступны опции:

· Startup Repair (Automatically fix problems that are preventing Windows from starting );

· System Restore (Restore Windows to an earlier point in time );

· System Image Recovery (Recover your computer using a system image you created earlier );

· Windows Memory Diagnostic (Check your computer for memory hardware errors );

· Command Prompt (Open a command prompt window );

– выберите Startup Repair ;

– средство восстановления запуска Startup Repair проведёт диагностику и устранение неполадок;

– (если проблемы не будут выявлены, появится сообщение «Startup Repair could not detect a problem» );

– нажмите Finish –> Restart ;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility ;

– установите загрузку с жёсткого диска, нажмите F10 ;

Восстановление (перезапись) основной загрузочной записи (Master Boot Record ) с помощью

установите в лоток привода загрузочный диск (или );

– нажмите Ctrl+Alt+Del ;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility ;

– установите загрузку с CD /DVD-ROM , нажмите F10 , санкционируйте сделанные изменения, начнётся перезагрузка;

– после перезагрузки, если появится сообщение «Press any key to boot from CD or DVD…» , нажмите любую клавишу;

– в окне Windows Boot Manager выберите Windows Setup /Установка Windows –> нажмите Enter ;

– когда программа установки загрузит установочные файлы в оперативную память, появится окно выбора раскладки клавиатуры (можете выбрать русскую, а можете оставить US ), нажмите Next ;

– в следующем окне выберите операционную систему (если на вашем их установлено 2 или более);

– установите переключатель Use recovery tools that can help fix problems starting Windows –> Next ;

– в окне System Recovery Options (Параметры восстановления системы ) выберите Command Prompt ;

Публикации по теме