Восстановление таблицы файлов ntfs. Восстановление данных с переформатированного диска NTFS

Вообще говоря, никакой файловой системы RAW не существует. В операционной системе Windows под RAW подразумевается то, что тип файловой системы просто не был определен корректно. Это произойти может по разным причинам:

• потому что диск не отформатирован;
• диск неисправен или имеются повреждения его файловой системы;
• не определен корректный доступ к диску.

При этом операционная система заявляет о соответствующей ошибке и предлагает переформатировать диск заново. Само собой, при этом потеряются все данные на нем.

Естественно, что при этом возникает вопрос: если на флешке файловая система raw как исправить положение? И сделать это можно как штатными средствами самой ОС Windows, так и при помощи сторонних утилит.

Восстановление файловой системы средствами Windows

• вызвать командную строку сочетанием клавиш - ;
• в открывшемся окне набрать команду: cmd;
• откроется консоль управления, где потребуется набрать команду: CHKDSK /F. Название диска при этом может быть другим. Например: /C, /A, /I и т.д.

Запустится специальная сервисная программа, которая не только проверит разделы диска на предмет ошибок, но и попытается устранить их.

Возможно, что перед проверкой потребуется также перезагрузить компьютер.

После того, как программа завершила свою работу, нужно будет вызвать еще одну – для сканирования ошибок в реальном времени:

• вызывается консоль управления так, как было описано выше;
• вводится команда: sfc /scannow.

Таким образом, можно решить проблему: если жесткий диск raw как исправить это?

Восстановление файловой системы при помощи утилит

Восстановление файловой системы флешки без потери данных возможно и при помощи сторонних утилит. Они имеют различный дополнительный функционал и отличаются организацией интерфейса, однако общее их назначение одно: восстановить поврежденную файловую систему диска, но при этом не потерять, ни бита данных.

Вот только некоторые из таких программ:

• RS Partition Recovery;
• Mini Tool Power Data Recovery;
• Test Disk (данная утилита не работает с названиями файлов, написанными кириллицей);
• Win Hex;
• Get Data Back for FAT/NTFS (только для систем FAT и NTFS).

Файловая система raw и как вернуть ntfs

Сегодня рассмотрим, как появляется raw формат hdd дисков, что такое файловая система RAW, зачем она нужна и что делать, если один из ваших дисков определился, как недопустимый, не размеченный, не отформатированный, поврежденный. Также рассмотрим, как поступить в случае, если пишется, что «chkdsk недопустим для дисков RAW» при попытке исправить ситуацию средствами операционной системы.

Файловая система RAW в неявном виде присутствует в операционных системах NT от корпорации Windows. Она создана с единой целью – предоставлять приложениям и операционным системам данные об объеме текущего тома и названии используемой на нем файловой системы (ФС). Если получили RAW раздел на жестком или твердотельном накопителе (флешке, SSD), это значит, что файловая система этого тома или накопителя не была распознана ни одним драйвером файловых систем, инсталлированным в среде, используемой Windows. То есть, структура размещения файлов явно отличается от НТФС и FAT/FAT32. Следствием этого являются такие ошибки, как:

• сообщение, что накопитель/раздел не отформатирован в известной файловой системе;
• отсутствует возможность осуществить нормальный доступ к устройству/разделу;
• файловая система диска была повреждена.

При появлении одного из вышеописанных оповещений дальнейшая работа с томом невозможна ни в режиме чтения, ни, тем более, в режиме записи.

Источники появления проблемы

Чаще всего подобная ошибка появляется на флешке в виду неправильного обращения или износа устройства, но и для жестких дисков, особенно съёмных, проблема очень актуальна. Ее источниками в большинстве случаев становятся:

• вредоносные приложения, вмешивающиеся в файловую таблицу или структуру тома;
• частичные повреждения загрузочного сектора или файловой таблицы тома;
• повреждения файловой таблицы, которая содержит информацию обо всех хранимых данных;
• физические повреждения секторов тома способствуют тому, что появляется тип файловой системы, называемый RAW;
• неправильное извлечение флешки или нештатные режимы работы устройства (скачки напряжения, исчезновение электроэнергии или неправильное выключение ПК).

Варианты лечения диска или раздела

В зависимости от причин по которым вместо FAT/NTFS появился формат RAW, существует масса методов получить доступ к хранимой на устройстве информации.

Проверка тома на поврежденные секторы и ошибки

Первый шаг, который следует предпринять если файловая система диска или флешки определяется как RAW, это проверка повреждений на накопителе или его логическом разделе. Для случая, когда не определяется системный том, данная рекомендация не подойдет, но в других ситуациях следует начать с нее.
Вызываем командную строку от имени учетной записи, имеющей привилегии администратора системы через WinX или поисковую строку.

В черном окне выполняем команду вида: «chkdsk x: /f /r».
В этом случае:
x: — целевой том;
/f – флаг, отвечающий за исправление ошибок;
/r – аргумент позволит найти и исправить неработающие секторы.

Дожидаемся завершения операции и пытаемся открыть проблемный том.
Если появилась ошибка «chkdsk недопустим для дисков RAW» как на скриншоте, значит, целевым томом является системный, и для его проверки делаем следующее.
Запускам ПК с установочного носителя Windows той же редакции и разрядности.
На экране выбора языка кликаем «Далее».

Переходим в раздел диагностики и открываем список расширенных параметров.

Запускаем командную строку.

Выпоняем «diskpart».
Командой «listvolume» узнаем букву проблемного тома.
Выходим с diskpart, введя «exit» и подтвердив ее выполнение кнопкой «Ввод».
Выполняем команду вида «chkdsk x: /f /r».

Таким образом, можно вернуть контроль над диском без потери каких-либо данных.

В этом случае надпись «chkdsk недопустим для дисков RAW» появиться не должна, если такое опять случилось – переходим к следующему подразделу статьи.

Проверка целостности файлов самой ОС

Нередко, чтобы конвертировать RAW в NTFS, нужно всего лишь провести реанимацию системных файлов. Делается это не сложнее, чем поиск поврежденных разделов накопителя.
Вызываем окно «Выполнить» комбинацией Win+R.
Выполняем «cmd» для запуска командной строки.
Выполняем «sfc /scannow» для запуска утилиты, которая отыщет и исправит ошибки в операционной системе.

Форматируем раздел в случае отсутствия на нем важной информации

Диск или флешка RAW, на которых нет никаких файлов (допустим, только приобрели устройство), отсутствуют важные данные или они продублированы, легко конвертируется с RAW на NTFS средствами Windows.
Вызываем окно «Выполнить» посредством сочетания клавиш Win+R.
Выполняем строку «diskmgmt.msc», чтобы вызвать утилиту для управления дисками.
Через контекстное меню проблемного раздела вызываем команду «Форматировать».

Задаем желаемую метку и определяемся с файловой системой (лучше выбрать NTFS), после чего жмем «ОК».
Если съёмный жесткий диск (его раздел или флэшка) не форматируется, попробуйте отсоединить съемное устройство, если оно таким является, а затем подключить и повторить попытку. В случае с HDD перезагрузите ПК, и обязательно завершите все программы, которые могут использовать проблемный том.
Теперь вы знаете, как исправить RAW формат HDD и флеш-дисков, но отформатированный носитель информации не будет содержать исходных данных. Если вариант форматнуть накопитель или диск не подходит, идем дальше.

HDD RAW Copy Tool

Утилита HDD RAW Copy Tool предназначена для посекторного копирования носителей и позволяет извлечь все данные из проблемного устройства без потери данных.
Скачиваем утилиту с официального ресурса поддержки приложения.
Устанавливаем и запускаем HDD RAW Copy Tool и ждем, пока в главном фрейме появятся обнаруженные на ПК разделы.
Выбираем проблемное устройство, из которого впоследствии будем восстанавливать информацию (на нем появилась файловая система, определяемая как RAW).

Жмем «Continue».
Указываем тип файла как *.img, чтобы сделать образ восстанавливаемого диска.
Здесь следует учитывать, что при указании пути хранения образа, куда поместятся все файлы с RAW диска, должно быть больше свободного места, чем сам том/накопитель, который будем копировать.

Возвращаемся к интерфейсу HDD RAW Copy Tool, где снова жмем «Continue».

После этого можно смело открывать сформированный образ через программу для реанимации данных, поддерживающую работу с образами, например, R-Studio, и приступать к восстановлению нужных данных, а только что скопированный носитель отформатировать в NTFS.
Как восстановить данные с образа, расписывать не станем в виду большого объема информации, которой хватит на еще одну подобную статью.
На этом HDD RAW Copy Tool можно закрывать.

DMDE

Предыдущий метод хоть и отличается высокой надежностью, все же работать с первоисточником куда более безопасно и надежней. Рассмотрим как реанимировать важные файлы, если для одного из HDD дисков появился RAW формат. Здесь обойдемся без форматирования, поэтому если какой-то диск стал RAW, при помощи ниже описанного метода можно легко получить доступ ко всем его файлам.
Переходим на dmde.ru и загружаем утилиту DMDE, позволяющую прочитать диск в таком формате как RAW и восстановить его.
Работа с программой состоит из такой последовательности шагов.
Выбираем физический диск, где находится раздел с файловой системой raw, отметив флажком опцию «Физ. устройства».

При обнаружении нужного раздела выбираем его и жмем «Открыть том».
Если этого не случилось, проводим сканирование носителя, файловая система одного из разделов которого стала определяться как RAW.

Открываем том и смотрим по его содержимому — те ли файлы на нем находятся.

Если все верно, кликаем «Восстановить» и подтверждаем восстановление загрузочного сектора.

Если все произойдет должным образом, через короткое время программа DMDE восстановит потерянный раздел, не привнося изменение, и вернет ему прежнюю файловую систему.

Внимание! Если проблемным был системный том и восстановление производилось путем загрузки с другого диска или после установки носителя на иной компьютер, дополнительно придется выполнить реанимацию загрузчика.

TestDisk

Программа TestDisk наиболее сложная в эксплуатации, но и проводит наилучшее восстановление томов с ФС RAW. Запустив установленное приложение, выполняем следующие действия:

Жмем «Create», затем выбираем целевой раздел.

Определяемся с типом разделов, если этого не произошло автоматически (MBR или прогрессивный GPT).
Кликаем по «Analyze» и жмем «Ввод».
На следующем экране снова жмем «Enter», выбрав пункт «Quick Search».
Находим раздел для восстановления данных с диска с файловой системой RAW.
Для просмотра хранимых на нем файлов нажмите латинскую «P», выход из режима препросмотра – кнопка «Q». Если раздел имеет пометку Р, его можно реанимировать, тома с пометкой D восстановлены не будут.

Убедитесь, что приведенная на экране таблица, которой она будет после реанимации, правильна.
Здесь следует быть уверенным в правильности выбора, но и становиться трусом и ничего не делать также не стоит.
Выбираем «Write» и подтверждаем осуществление действия, кликнув «Y», дабы выполнить RAW recovery.

Изменение вступит в силу после перезапуска Windows.

На этом тему «как изменить файловую систему, если диск имеет RAW формат» можно считать полностью освещенной. Сложностей в решении проблемы, как видите, абсолютно нет.

Е сли бы компьютер можно было выключать как карманный калькулятор, умные головы инженеров и разработчиков ПО реализовали такую возможность уже давно. Возможно, в будущем так и будет, ну а пока завершать работу ПК необходимо соответствующими средствами операционной системы, иначе беды не миновать. Изменение файловой системы NTFS в RAW - лишь одна из неприятностей, к которым может привести внезапное отключение компьютера.

Как правило, раздел с такой файловой системой определяется Windows, но каких-либо сведений о записанных на него данных не предоставляется, как будто их и нет, прогресс-бар заполнения в Проводнике не отображается. При попытке открыть раздел выдаётся характерная ошибка «Нет доступа к X:/. Чтение невозможно, диск не отформатирован» или что-то вроде этого.

Изменение буквы раздела, запуск утилиты для проверки диска из его свойств также невозможны. Возможно только форматирование, но не спешите этого делать, иначе все ваши файлы будут удалены.

Если же NTFS «превращается» в RAW на системном разделе, при включении компьютера выдаётся ошибка загрузки, чаще всего «Operating System not found» или «Reboot and selеct proper boot device» .

Что такое файловая система RAW

Как бы это странно не звучало, но RAW как раз означает отсутствие файловой системы как таковой. Более точным определением RAW является хаос, неупорядоченность данных на диске. Ошибка возникает, когда драйверу файловой системы Windows не удаётся определить её тип. Причин тому может быть несколько, но наиболее вероятными являются повреждения в области главной файловой таблицы MFT , загрузочном секторе , а также неверные значения геометрии логического раздела в таблице разделов. Тип RAW также могут иметь неотформатированные тома.

Восстановление томов RAW

Успех лечения ошибки зависит от характера и степени повреждения данных, отвечающих за определение Windows типа файловой системы. Универсального способа решения проблемы не существует, но в большинстве случаев восстановить нормальное чтение NTFS помогает встроенная утилита , запущенная с параметром /f из командной строки. В других случаях помогают специализированные программы для восстановления томов, например, TestDisk .

Если нечитабельным по причине появления RAW у вас стал пользовательский раздел с данными, реконструировать его из RAW в NTFS можно из-под работающей операционной системы.

Для этого в запущенной от имени администратора командной строке необходимо выполнить команду chkdsk D: /f и дождаться полной проверки диска.

В случае повреждения системного раздела жёсткий диск желательно подключить к другому компьютеру и проверить его , но также для проверки и исправления ошибок можно воспользоваться любым загрузочным диском с Windows, не забывая, однако, что буквы разделов в среде восстановления будут отличаться. Например, логический диск C будет иметь букву D .

Если причиной появления RAW стали незначительные повреждения файловой таблицы MFT , вероятнее всего, что систему удастся восстановить и после исправления ошибок утилитой она загрузится в обычном режиме. Если к неверным записям MFT добавятся повреждения загрузчика, стоит также в консоли выполнить следующие команды восстановления:

bootrec.exe /FixMbr
bootrec.exe /FixBoot

П римечание: данный способ восстановления загрузки может оказаться нерабочим для компьютеров, работающих в режиме UEFI .

В отдельных случаях может потребоваться переустановка операционной системы или её восстановление из резервной копии. Что касается пользовательских файлов на несистемных томах RAW, то они обычно остаются целыми и после реконструкции в NTFS прекрасно читаются. Тем не менее, риск случайного повреждения данных при реконструкции RAW утилитой

RAW - формат, который жесткий диск получает, если система не может определить тип его файловой системы. Такая ситуация может произойти по разным причинам, но итог один: винчестером невозможно воспользоваться. Несмотря на то, что он будет отображаться, как подключенный, любые действия будут недоступны.

Решением является восстановление прежней файловой системы, и сделать это можно несколькими способами.

Наши жесткие диски имеют файловую систему NTFS или FAT. В результате определенных событий она может измениться на RAW, это означает, что системе не удается определить, в какой файловой системе работает винчестер. По сути, это выглядит, как отсутствие файловой системы.

Это может произойти в следующих случаях:

• Повреждение структуры файловой системы;
• Пользователь не провел форматирование раздела;
• Невозможно получить доступ к содержимому тома.

Такие проблемы появляются вследствие системных сбоев, неправильного выключения компьютера, нестабильного электропитания или даже из-за вирусов. Кроме того, с этой ошибкой могут столкнуться владельцы новых дисков, не отформатированных перед использованием.

Если повреждается том с операционной системой, то вместо ее запуска можно будет увидеть надпись «Operating System not found» , либо другое, похожее уведомление. В остальных случаях при попытке осуществить какое-либо действие с диском можно увидеть следующее сообщение: «Файловая система тома не опознана» либо «Чтобы использовать диск сначала отформатируйте его» .

Восстановление файловой системы из RAW

Сама процедура восстановления не очень сложная, однако многие пользователи боятся потерять информацию, которая записана на HDD. Поэтому мы рассмотрим несколько способов изменения формата RAW — с удалением всей существующей информации на диске и с сохранением пользовательских файлов и данных.

В некоторых случаях накопитель может получить формат RAW ошибочно. Прежде чем предпринимать дальнейшие действия, попробуйте выполнить следующее: перезагрузите компьютер, и, если это не помогло, выполните подключение HDD в другой разъем на материнской плате. Для этого:

Способ 2: Проверка диска на ошибки

Данный способ - то, с чего стоит начать изменение формата в случае, если предыдущие действия не увенчались успехом. Сразу же стоит оговориться - помогает он не во всех случаях, зато прост и универсален. Его можно запустить при работающей операционной системе, или же используя загрузочную флешку.

Если у вас новый пустой диск в формате RAW или же появившийся раздел с RAW не содержит файлов (либо важных файлов), то лучше сразу переходите к способу 2.

Запуск проверки диска в Windows

Если операционная система работает, то выполните следующие действия:

Проверка диска при помощи загрузочной флешки

Если «полетел» диск с операционной системой, необходимо воспользоваться загрузочной флешкой для запуска инструмента сканирования chkdsk .

Способ 3: Восстановление файловой системы на пустом диске

Если с этой проблемой довелось столкнуться при подключении нового диска, то это нормально. Только что приобретенный диск обычно не имеет файловой системы и перед первым использованием его следует отформатировать.

На нашем сайте уже есть статья, посвященная первому подключению жесткого диска к компьютеру.

Способ 4: Восстановление файловой системы с сохранением файлов

Если на проблемном диске имеются какие-либо важные данные, то способ с форматированием не подойдет, и придется воспользоваться сторонними программами, которые помогут вернуть файловую систему.

Программа DMDE бесплатная и эффективная в восстановлении HDD при разных проблемах, в том числе и ошибкой RAW. Она не требует установки и может быть запущена после распаковки дистрибутива.

Важно: сразу после проведения восстановления вы можете получить уведомления об ошибках диска и предложение о перезагрузке. Выполните эту рекомендацию, чтобы устранить возможные неполадки, и со следующим запуском компьютера диск должен работать исправно.

Если вы решили восстановить этой программой диск с установленной операционной системой, подключив его к другому ПК, то может появиться небольшая сложность. После успешного восстановления при подключении диска обратно ОС может не загрузиться. Если это произошло, вам необходимо выполнить восстановление загрузчика Windows 7/10.

Мы рассмотрели различные варианты исправления файловой системы HDD из формата RAW в NTFS или FAT. Надеемся, что это руководство помогло вам исправить проблему с жестким диском.

Опишем процесс ручного восстановления данных в случае удаленных файлов или файлов из поврежденных разделов системы NTFS при работе в ОС Windows NT. Проблема заключается в том, что в составе этой ОС нет соответствующих программных средств. Программы же восстановления данных NTFS от сторонних производителей, к сожалению, не всегда используют все возможности восстановления. Ситуация усугубляется отсутствием полной документации по низкоуровневой структуре управляющих блоков NTFS.

Что же делать, если в один прекрасный момент обнаруживается, что компьютер с ОС Windows NT больше не загружается или некоторые логические разделы NTFS стали вдруг недоступны?

Сначала нужно уточнить, с чем связана неисправность: физическим повреждением диска, выходом из строя контроллера или разрушением файловой системы NTFS.

Проблемы с диском

Жесткие диски имеют ограниченный срок службы, обычно - несколько лет. Выход устройства из строя иногда можно определить по характерным щелчкам в момент инициализации. Диск может несколько раз щелкнуть и затихнуть, так и не раскрутившись. При инициализации BIOS сообщит вам об этой неисправности. В такой ситуации следует произвести ремонт жесткого диска. Если стоимость потерянной информации заметно превышает стоимость самого диска, следует обратиться к специалистам, что, впрочем, недешево.

Ремонт выполняется следующим образом. Если из строя вышла электроника, расположенная вне герметичного пространства диска, то заменяется или ремонтируется соответствующая плата. Для этого часто приходится разбирать другой диск точно такого же типа.

В том случае, когда повреждены детали, расположенные внутри корпуса диска, проблем будет больше. Прежде всего, разбирать сломанный диск нужно в так называемой «чистой комнате», где гарантируется отсутствие пыли. Затем следует заменить плату с электроникой, сняв ее с другого диска. Отремонтированный диск закрывается, после чего остается только скопировать информацию на третий диск по секторам.

Поэтому если сломался жесткий диск с ценной информацией, приготовьтесь пожертвовать еще одним для ремонта и найдите третий для копирования восстановленных данных.

Если есть подозрение на неисправность контроллера диска, попробуйте его заменить. Проверьте также соединительный кабель.

Проблемы с файловой системой

Убедившись, что диск, контроллер и соединительный кабель исправны, не торопитесь использовать дискету NT Repair Disk, созданную при установке ОС, или запускать программу восстановления файловой системы chkdsk - результат может оказаться плачевным. Не пытайтесь также найти «волшебную» программу восстановления NTFS в комплекте Norton Utilities для Windows NT - пока ее там нет. Если информация, записанная на диске, имеет особую ценность, нужно вначале проанализировать состояние управляющих блоков файловой системы NTFS с помощью редактора диска.

Такая работа требует достаточно высокой квалификации. В частности, нужно разбираться в форматах управляющих блоков файловой системы. Если вы не в состоянии выполнить ее самостоятельно, лучше вызвать специалиста и не предпринимать попыток самому отремонтировать NTFS.

Чтобы проверить управляющие блоки, нужно подключить к компьютеру два диска: первый, исправный загрузочный, и второй - тот, информацию с которого необходимо восстановить.

Сначала подключается только первый диск и инсталлируется ОС Windows NT. Этот диск будет использован для сохранения файлов, восстановленных из разделов поврежденного. Далее устанавливается редактор Disk Probe, входящий в состав Windows NT Resource Kit. Хотя этот редактор далек от совершенства, именно он позволит выполнить всю работу по восстановлению потерянных файлов.

Убедившись, что с первым диском все в порядке, выключите компьютер и подключите к нему второй, поврежденный диск.

Определение геометрии логического устройства

Для успешного восстановления информации следует определить размер кластера и адрес загрузочного сектора. Первое значение можно получить из загрузочного сектора раздела NTFS (если, конечно, его содержимое сохранилось).

Запустите программу Disk Probe. Выберите в меню Drive позицию Physical Drive. В панели Open Physical Drive, появившейся на экране, укажите устройство PhysicalDrive1, дважды щелкнув левой клавишей мыши по соответствующей строке списка Available Physical Drives. Затем нажмите кнопку Set Active, оставив включенным переключатель Read Only, и закройте панель кнопкой OK.

В результате программа Disk Probe получит доступ на чтение поврежденного диска. После этого попытайтесь прочитать содержимое главной загрузочной записи диска, расположенной в первом секторе на нулевой дорожке нулевого цилиндра. Для этого в меню Sectors выберите строку Read. Появится панель Read Sector. В поле Starting Sector укажите номер первого сектора, равный нулю, а в поле Numbers of Sectors установите значение 1. Затем нажмите кнопку Read.

Программа считает в оперативную память содержимое первого сектора и покажет его в шестнадцатеричном виде. Выберите из меню View строку Partition Table для форматного просмотра таблицы разделов диска, а затем перейдите на нужный раздел с помощью кнопки Go. Если необходимо (когда восстанавливаются файлы из расширенного раздела), повторите эту процедуру несколько раз.

Добравшись до загрузочной записи нужного вам раздела, выберите из меню View строку NTFS Bootsector.

А что делать, если главная загрузочная запись или загрузочная запись нужного раздела уничтожены?

Эта ситуация тяжелая, но не фатальная. Подробную таблицу соответствия емкости логического устройства NTFS и числа кластеров можно найти в MSDN. Например, если емкость находится в интервале 1025 - 2048 Мбайт, размер кластера будет равен 4 секторам, а если в диапазоне от 8193 до 16 384 Мбайт - то в одном кластере будет 32 сектора. Заметим, однако, что, позаботившись заранее о возможности последующего восстановления диска в случае его повреждения, можно облегчить такую работу, когда в ней возникнет необходимость. Нужно определить и записать размер кластера сразу после установки ОС, пока загрузочный сектор NTFS еще цел.

В том случае, если размер кластера так и остался неизвестным, его придется определять косвенными способами или методом подбора.

Таблица MFT

Внутренняя структура файловой системы NTFS принципиально отличается от хорошо знакомой большинству FAT. Не вдаваясь в подробности, изложим лишь те сведения, которые необходимы для выполнения в ней восстановительных работ.

Файловая система FAT (и ее разновидность FAT32) хранит информацию о файлах в нескольких местах логического устройства. Дескриптор файла, содержащий его имя, размер, дату создания и номер первого выделенного для него кластера, находится в каталоге. Таблица размещения файлов File Allocation Table, от которой и произошло название файловой системы FAT, хранит связанный список всех кластеров, выделенных файлу. И наконец, сам файл может быть распылен по кластерам.

Такая организация в значительной мере затрудняет восстановление файлов в случае каких-либо сбоев. Особенно критичной является целостность таблицы FAT: если эта таблица пропала или ее содержимое оказалось частично разрушено, исчезает информация о кластерах, выделенных файлу. В результате файл можно с очень большим трудом собрать из отдельных кластеров, лишь зная его содержимое. К тому же эта работа требует очень много времени. Поэтому на практике исчезновение таблицы FAT и ее копии означает полную потерю файлов.

Потеря каталогов приводит к невозможности определения номера первого кластера, выделенного файлу, его имени и точного размера. В этом случае последствия не столь катастрофичны, так как в таблице FAT остались «бесхозные» цепочки кластеров, которые нетрудно превратить в файлы. Имена полученных таким образом файлов обычно состоят из цифр. Заметим, что при крушении каталогов, содержащих тысячи файлов, после восстановления будет трудно найти нужный файл, если хотя бы приблизительно не известно его содержимое.

В файловой системе NTFS вся информация о файлах хранится в так называемой главной таблице файлов Master File Table (MFT). Записи таблицы MFT содержат наборы дескрипторов с такой информацией о файлах, как имя, даты создания и модификации, атрибуты безопасности, и, что самое главное, списки кластеров, выделенных файлам. Если файл имеет небольшой размер, то он может храниться непосредственно в записи таблицы MFT.

Следовательно, возможность восстановления файлов из поврежденных разделов NTFS во многом определяется целостностью таблицы MFT и ее копии.

Как найти таблицу MFT?

Найти таблицу MFT достаточно просто, если сохранился загрузочный сектор раздела NTFS. Нажмите кнопку Go около поля Clusters to MFT или Clusters to MFT mirr в панели, показанной на рис. 2. Для просмотра содержимого первого сектора таблицы выберите из меню View программы Disk Probe строку Bytes.

Обратите внимание на строку FILE, расположенную в самом начале сектора. С нее начинаются записи таблицы, описывающие файлы. Существуют еще записи для каталогов, элементов индекса и другие, которые мы не будем рассматривать.

Строка $.M.F.T. находится со смещением D2. Это имя системного файла, содержащего таблицу MFT, в кодировке Unicode. Таким образом, первая запись файла $MFT описывает сам этот файл. Просматривая таблицу, можно обнаружить записи для других системных файлов, таких как $MFTMirror, $LogFile, $Volume, $AttrDef и др.

Если загрузочный сектор разрушен, начало таблицы MFT нетрудно найти с помощью программы Disk Probe. Для этого выберите в меню Tools строку Search Sector, установите переключатели в положение, показанное на рис. 4, и, заполнив поле Enter characters to search for, нажмите кнопку Search. Следует запастись терпением, поскольку процесс поиска может отнять немало времени.

Заметим, что подобным образом можно найти в таблице MFT записи для тех файлов, которые нужно восстановить. Так как имена файлов хранятся в кодировке Unicode, при поиске следует установить переключатель в положение Unicode characters. Кроме того, необходимо включить режим поиска Exhaustive search и Ignore case.

Анализ записей MFT

К сожалению, программа Disk Probe не содержит никаких средств для форматного просмотра содержимого записей MFT. Более того, точный формат этой записи отсутствует в открытой документации Microsoft. Однако многое можно обнаружить в Internet, сделав запрос по ключевым словам «NTFS Documentation». Нам, например, удалось найти информацию, собранную разработчиками модулей для операционной системы Linux. Анализируя исходные тексты модуля для монтирования в Linux файловой системы NTFS, можно понять назначение отдельных полей записей MFT (авторы приносят благодарность Максиму Синеву за помощь в «расшифровке» записей MFT).

Запись MFT состоит из начального фрагмента фиксированного размера и набора атрибутов, имеющих в общем случае переменный размер. Для восстановления файлов нужно знать точный формат только атрибута данных. Что же касается других атрибутов, достаточно уметь определять их расположение и размер.

Первые четыре байта в записи, описывающей файл, образуют слово FILE. На рис. 3 они выделены красным цветом. Следующие два байта (выделенные синим цветом) - смещение так называемой области Fixup. В рассматриваемом случае значение смещения равно 002A (с учетом обратного порядка расположения байтов в слове). Здесь и далее будем пользоваться шестнадцатеричными числами.

Область Fixup используется в процессе обнаружения ошибок чтения или записи. Она состоит из слов размером два байта. Количество слов хранится в записи MFT со смещением 0006. На рис. 3 поле размера области Fixup выделено фиолетовым цветом. Там хранится значение 0003, следовательно, область Fixup начинается со смещения 002A и простирается до 002A+(2*0003)=002F.

Сразу за областью Fixup начинаются поля атрибутов. Смещение первого атрибута равно 0030.

Первые четыре байта области атрибутов определяют тип, а следующие четыре - размер в байтах. Например, вслед за областью Fixup со смещением 0030 следует атрибут с типом 10. На рис. 3 тип этого и следующего за ним атрибутов выделен красным цветом (размер атрибута выделен синим). Атрибут занимает 48 байт, следовательно, следующий атрибут (с типом 30) начнется со смещением 0078.

Таким образом можно выделить в записи MFT все атрибуты. В конце самого последнего записано значение FFFFFFFF - признак конца цепочки атрибутов.

Для восстановления файлов наибольший интерес представляют атрибуты типа 30 и 80. Первый из них хранит имя файла. По нему следует искать запись MFT, описывающую восстанавливаемый файл. Второй атрибут с типом 80 хранит список кластеров, выделенных файлу, или сам файл. Про него мы расскажем подробнее.

Как видно из рисунка, тип атрибута, равный 80, хранится в записи MFT со смещением 0160. Всего атрибут данных занимает D8 байт, так как именно это значение находится в четырехбайтовом поле со смещением 4 относительно начала атрибута.

Байт со смещением 8 относительно начала атрибута данных - это признак резидентного размещения файла. Если его значение равно 1, запись MFT хранит только список кластеров, выделенных файлу (как в описываемом случае), а если 0 - файл находится внутри самой записи MFT. Как правило, записи содержат только файлы небольших размеров.

Сначала рассмотрим случай нерезидентного размещения файла. При этом четыре байта со смещением 30 хранят длину файла, расположенного где-то на диске. В данном примере длина файла $MFT составляет B7B000 байт.

Для того чтобы определить точное расположение нерезидентного файла на диске, нужно проследить цепочку так называемых блоков виртуальных номеров кластеров Virtual Cluster Number (VCN), или просто блоков VCN. Показатель смещения начала этой цепочки хранится в двухбайтовом поле, имеющем смещение 20 байт относительно начала атрибута данных. В описываемом случае этот показатель равен 40, а смещение области блоков VCN относительно начала записи MFT равно 01A0. На рис. 5 эта область выделена жирной вертикальной линией зеленого цвета.

Анализ области блоков VCN

Файл, записанный в разделе NTFS, может быть сегментирован. Он состоит из одного или нескольких фрагментов, называемых экстентами. Размер и расположение каждого экстента описывается в блоке VCN. В зависимости от того, фрагментирован файл или нет, область VCN может содержать один блок или их набор. Блоки VCN имеют переменный размер, определяемый первым байтом.

Формат блока стоит показать на конкретном примере. Возьмем первый блок VCN, имеющий в рассматриваемом примере смещение 01A0 относительно начала записи MFT:

Тетрады первого байта со значением 31 определяют размеры двух полей блока VCN. Первое поле, имеющее длину один байт, хранит количество кластеров, выделенных экстенту файла. Второе поле размером три байта содержит номер первого кластера. В данном случае первому экстенту файла $MFT выделено 20 кластеров, а номер первого кластера для первого экстента равен 0286D9. Таким образом определяем размер и расположение первого экстента файла.

Второй блок VCN расположен сразу вслед за первым:

Для того чтобы определить первый кластер второго экстента, необходимо прибавить к адресу первого экстента смещение, указанное во втором блоке VCN (с учетом знака). В данном случае второй экстент размещен в кластере с номером 0286D9+21=286FA. Длина второго экстента составляет 0824 кластера.

Анализируя остальные блоки VCN, можно определить размеры и расположение всех экстентов файла. Список блоков VCN закрывается байтом с нулевым значением.

Резидентные файлы

Файлы небольшого размера размещаются непосредственно в записи MFT, описывающей этот файл, для сокращения времени доступа. Если в байте со смещением 8 относительно начала атрибута данных находится нулевое значение, то не нужно прослеживать цепочки блоков VCN. Это означает, что файл находится внутри атрибута данных.

При этом смещение резидентных данных, т. е. файла, записано в двухбайтовом слове со смещением 14 относительно начала атрибута данных, а размер - в двухбайтовом слове со смещением 10.

Приведем небольшой пример. Для иллюстрации формата записи MFT, содержащей резидентный атрибут данных, мы подготовили маленький файл с именем Small.txt, содержащий текстовую строку «This is a small text file.». Затем с помощью программы Disk Probe мы обнаружили запись таблицы MFT, созданную для этого файла (рис. 6).

Как видно из рис. 6, байты файла Small.txt (выделенные желтым цветом) находятся внутри записи MFT со смещением 18 относительно начала атрибута данных, а размер файла составляет 1A байт.

Как же восстановить файлы?

Теперь, вооружившись приведенными выше знаниями о внутренней структуре системных блоков NTFS, можно приступить к восстановлению файлов из поврежденного раздела этой файловой системы.

Когда известны имена файлов, подлежащих восстановлению, нужно найти соответствующие им записи в таблице MFT. Это можно сделать с помощью программы Disk Probe, воспользовавшись строкой Search Sector из меню Tools. Далее следует обнаружить в этой записи атрибут данных и определить, резидентный он или нет.

Если атрибут данных резидентный, то нужно сохранить сектор, содержащий запись MFT, в виде файла на исправном жестком диске или на дискете. Это можно сделать, используя строку Save as меню File программы Disk Probe. После этого следует вырезать нужную часть данных и сохранить результат в новом файле. Такую операцию нетрудно выполнить, например, в редакторе Norton Disk Editor для MS-DOS.

В случае нерезидентного атрибута работы будет намного больше.

Прослеживая цепочку блоков VCN, нужно определить расположение и размер экстентов восстанавливаемого файла. Далее с помощью приложения Disk Probe следует прочитать данные экстента, а затем сохранить их в файле на исправном диске. Не забудьте также, что в программе Disk Probe указывается количество секторов, которые нужно прочитать или записать, а в блоке VCN установлено количество кластеров, выделенных экстенту. Поэтому нужно выполнить соответствующий пересчет.

Восстановив все экстенты, объедините их в один файл (например, командой COPY с параметром /B). Затем установите правильную длину файла, полученную из поля со смещением 30 атрибута данных. В разделе FAT такая операция может быть выполнена с помощью все той же программы Norton Disk Editor.

К сожалению, на практике восстановление большого количества файлов требует много времени. Тяжелее всего дается ручная обработка цепочек блоков VCN, которые могут быть очень длинными. Приходится часами работать с калькулятором, переводя десятичные числа в шестнадцатеричные и обратно, а также производя различные арифметические действия, необходимые для определения размеров и расположения экстентов восстанавливаемых файлов. Поэтому обычно мы пользуемся небольшой самодельной программой NTFS Explorer, выполняющей наиболее трудоемкие операции в полуавтоматическом режиме.