Сегодня иногда встречаются ситуации, когда пользователь включает ноутбук или компьютер, а вместо какого-то логического раздела отображается диск с непонятным форматом RAW. Попробуем выяснить, что это такое.

Также в данном обзоре мы рассмотрим простейшие способы преобразования данного формата в нормальный вид.

Что такое формат RAW?

Если речь идет о формате данного типа, то необходимо четко представлять себе это в обычном понимании это даже не формат. RAW – это измененный тип файловой системы. При попытке доступа к такому разделу могут возникнуть проблемы двух типов. Во-первых, том может вообще не отображаться в файловом менеджере. Во-вторых, даже если том будет виден, то в нем нет никаких файлов, поэтому система предложит осуществить немедленное форматирование, так как файловая система не совместима с ОС. Как исправить ситуацию в данном случае? Необходимо выбрать правильный подход. Форматирование раздела с уничтожением всей отображаемой информации ни к чему хорошему не приведет. Почему же могут меняться форматы дисков HDD?

Причины изменения формата диска

Прежде, чем приступать к решению непосредственно самой проблемы, необходимо сделать уточнение по поводу возможных причин изменения структуры раздела. Специалисты считают, что формат RAW жестких дисков может появиться в следствие воздействия некоторых вирусов, которые целенаправленно изменяют файловую систему. Это может происходить при резком отключении электричества в момент выполнения каких-либо операций, которые предполагают непосредственный доступ к разделу. После этого в некоторых случаях диск может быть виден даже с имеющимися на нем файлами и папками. Но выполнить операции по изменению метки тома, отформатировать его при помощи стандартных средств или изменить размер, становится невозможным. Происходит это потому, что изменяется файловая система. В таблице разделов появляются неустранимые ошибки. Однако есть несколько универсальных решений, которые позволяют исправить проблему, связанную с RAW форматом жестких дисков. Далее мы подробно рассмотрим, как можно исправить ситуацию.

RAW-формат: методика исправления

Далее мы рассмотрим основные аспекты, которые касаются исправления ситуации, связанной с RAW форматом. Как вам, наверное, уже стало ясно, восстановление HDD в качестве основной задачи применяет решение, которое позволяет привести файловую систему раздела в вид, который воспринимался бы операционной системой, а именно в NTFS или FAT32. Стоит отметить, что в большинстве случаев даже откат системы к предыдущему состоянию не принесет желаемого результата, так что не стоит этим заниматься. Это будет бесполезной тратой времени. Для начала можно попробовать сделать так, чтобы отображались папки и файлы. В некоторых случаях их можно будет копировать в другое место, например, на съемный носитель. Как же сделать так, чтобы файлы были видимыми? В этом случае обработка формата RAW осуществляется при помощи довольно интересной утилиты под названием Mini Tool Power Data Recovery. Данная программа относится к классу условно бесплатного программного обеспечения. После установки в приложении необходимо запустить модуль, который называется Lost Partition Recovery. В нем необходимо выбрать нужный раздел и нажать Full Scan. Таким образом вы запустите полное сканирование. По завершении процесса в окне программы будет отображен список всех доступных файлов. Вам останется только отметить нужные данные, а после этого нажать на кнопку Save. Приложение автоматически предложит выбрать вам место, в котором вы хотели бы сохранить файлы. Укажите его и запустите процесс. После завершения данной операции вы сможете спокойно заняться форматированием раздела. Если данная процедура окажется недоступной, можно сразу переходить к следующему этапу.

Восстановление средствами системы

Теперь остановимся на том, как можно конвертировать RAW в NTFS, используя только собственные средства операционной системы Windows. Прежде всего необходимо запустить командную строку, используя комбинацию клавиш Win+R. Стоит отметить, что восстановление жесткого диска можно будет выполнить только таким способом. Стандартная проверка раздела в среде Windows не принесет результата. Теперь все сводится к тому, чтобы прописать в командной строке следующую команду: chkdsk «литера диска». Затем необходимо просто нажать enter. Осталось дождаться завершения процесса, в ходе которого будет восстановлена файловая система. Затем нужно выполнить перезагрузку. Стоит отметить, что такой способ именно в тех файловых системах, которые раньше имели структуру NTFS, прекрасно подходит для системных дисков. Однако при использовании данной методики загрузку ноутбука или компьютерного терминала необходимо будет осуществлять с восстановительного или загрузочного диска.

Как исправить формат диска при помощи утилиты TestDisk

Рассмотрим еще одни способ исправления проблемы, связанной с RAW форматом жестких дисков. Лучше всего для этой цели подойдет утилита для восстановления исходного формата TestDisk. Основное преимущество данного приложения заключается в том, что ему не требуется установка. Выпускается программа в виде портативной версии. Основной недостаток утилиты заключается в том, что она не имеет русифицированного интерфейса и работает в DOS режиме. Итак, приступим к восстановлению жесткого диска. Прежде всего, на первом этапе работы с программой необходимо выбрать пункт Create, который отвечает за создание нового лог-файла. Затем следует нажать клавишу ввода. После этого при помощи стрелок нужно выбрать нужный раздел или диск. В результате приложение автоматически определит тип таблицы раздела. Можно поменять его вручную, но делать этого не рекомендуется. Далее необходимо использовать строку анализа «Analyse», а после этого быстрый поиск – «Quick Search». После выполнения каждого действия необходимо нажимать на клавишу ввода Enter. Когда будет найден потерянный раздел, необходимо будет использовать пункт сохранения структуры или Write. Если нужный раздел в списке результатов поиска не будет отображаться, необходимо задействовать глубокое сканирование. После этого необходимо проделать все только что описанные операции по сохранению структуры. После этого необходимо будет перезагрузить ноутбук или компьютер. В результате проблема должна исчезнуть.

Применение Ontrack Easy Recovery

Рассмотрим еще одну программу, при помощи которой можно преобразовать формат RAW жестких дисков. Сделать это при помощи Ontrack Easy Recovery очень просто. Приложение работает по аналогии с программой TestDisk. Однако большинство пользователей данная программа привлекает тем, что имеет удобный и красивый интерфейс. Стоит отметить, что многие эксперты считают данный программный продукт незаменимым инструментом для восстановления дисковых разделов большого объема. Единственный недостаток данной программы заключается в том, что она платная. Однако для нашего человека это не проблема. Ведь на просторах интернета всегда можно найти кей-генераторы, ключи активации и патчи.

Заключение

Каков итог? В данном обзоре мы рассмотрели способы изменения формата RAW жестких дисков. Должно быть, вам уже понятно, как можно исправить формат RAW на читаемый. Что касается выбора метода, тот тут надо исходить из каждой конкретной ситуации. Предположим, если осуществить форматирование собственными силами возможно, то можно отобразить файлы и просто скопировать их в другое место. Можно также попробовать восстановить раздел до исходного состояния, используя команду проверки, которая является встроенным средством операционной системы. Однако при большом объеме тома этот процесс может занять довольно много времени. С другой стороны, чтобы упростить выполнение данных действий, можно использовать сторонние утилиты. Некоторые из таких утилит были рассмотрены выше. Некоторым пользователям может не понравиться DOS интерфейс программы TestDisk. Если вам не нравится такой метод, вы можете воспользоваться аналогичным приложением Ontrack Easy Recovery, которое обладает полноценной графической оболочкой. Многие могут возразить, что этот способ требует определенных затрат, однако здесь уже каждый решает за себя, что ему важнее: информация или деньги…

RAW - формат, который жесткий диск получает, если система не может определить тип его файловой системы. Такая ситуация может произойти по разным причинам, но итог один: винчестером невозможно воспользоваться. Несмотря на то, что он будет отображаться, как подключенный, любые действия будут недоступны.

Решением является восстановление прежней файловой системы, и сделать это можно несколькими способами.

Наши жесткие диски имеют файловую систему NTFS или FAT. В результате определенных событий она может измениться на RAW, это означает, что системе не удается определить, в какой файловой системе работает винчестер. По сути, это выглядит, как отсутствие файловой системы.

Это может произойти в следующих случаях:

• Повреждение структуры файловой системы;
• Пользователь не провел форматирование раздела;
• Невозможно получить доступ к содержимому тома.

Такие проблемы появляются вследствие системных сбоев, неправильного выключения компьютера, нестабильного электропитания или даже из-за вирусов. Кроме того, с этой ошибкой могут столкнуться владельцы новых дисков, не отформатированных перед использованием.

Если повреждается том с операционной системой, то вместо ее запуска можно будет увидеть надпись «Operating System not found» , либо другое, похожее уведомление. В остальных случаях при попытке осуществить какое-либо действие с диском можно увидеть следующее сообщение: «Файловая система тома не опознана» либо «Чтобы использовать диск сначала отформатируйте его» .

Восстановление файловой системы из RAW

Сама процедура восстановления не очень сложная, однако многие пользователи боятся потерять информацию, которая записана на HDD. Поэтому мы рассмотрим несколько способов изменения формата RAW — с удалением всей существующей информации на диске и с сохранением пользовательских файлов и данных.

В некоторых случаях накопитель может получить формат RAW ошибочно. Прежде чем предпринимать дальнейшие действия, попробуйте выполнить следующее: перезагрузите компьютер, и, если это не помогло, выполните подключение HDD в другой разъем на материнской плате. Для этого:

Способ 2: Проверка диска на ошибки

Данный способ - то, с чего стоит начать изменение формата в случае, если предыдущие действия не увенчались успехом. Сразу же стоит оговориться - помогает он не во всех случаях, зато прост и универсален. Его можно запустить при работающей операционной системе, или же используя загрузочную флешку.

Если у вас новый пустой диск в формате RAW или же появившийся раздел с RAW не содержит файлов (либо важных файлов), то лучше сразу переходите к способу 2.

Запуск проверки диска в Windows

Если операционная система работает, то выполните следующие действия:

Проверка диска при помощи загрузочной флешки

Если «полетел» диск с операционной системой, необходимо воспользоваться загрузочной флешкой для запуска инструмента сканирования chkdsk .

Способ 3: Восстановление файловой системы на пустом диске

Если с этой проблемой довелось столкнуться при подключении нового диска, то это нормально. Только что приобретенный диск обычно не имеет файловой системы и перед первым использованием его следует отформатировать.

На нашем сайте уже есть статья, посвященная первому подключению жесткого диска к компьютеру.

Способ 4: Восстановление файловой системы с сохранением файлов

Если на проблемном диске имеются какие-либо важные данные, то способ с форматированием не подойдет, и придется воспользоваться сторонними программами, которые помогут вернуть файловую систему.

Программа DMDE бесплатная и эффективная в восстановлении HDD при разных проблемах, в том числе и ошибкой RAW. Она не требует установки и может быть запущена после распаковки дистрибутива.

Важно: сразу после проведения восстановления вы можете получить уведомления об ошибках диска и предложение о перезагрузке. Выполните эту рекомендацию, чтобы устранить возможные неполадки, и со следующим запуском компьютера диск должен работать исправно.

Если вы решили восстановить этой программой диск с установленной операционной системой, подключив его к другому ПК, то может появиться небольшая сложность. После успешного восстановления при подключении диска обратно ОС может не загрузиться. Если это произошло, вам необходимо выполнить восстановление загрузчика Windows 7/10.

Отформатируйте диск в нужную файловую систему.
Скорее всего, у вас современный ПК или ноутбук, поэтому форматировать надо в NTFS.

Перенесите файлы обратно.

Мы рассмотрели различные варианты исправления файловой системы HDD из формата RAW в NTFS или FAT. Надеемся, что это руководство помогло вам исправить проблему с жестким диском.

Ситуация, в которой жесткому диску потребуется восстановление, может произойти с каждым пользователем ПК. Оно может понадобиться по различным причинам. Одной из них является повреждение файловой системы.

Как определить, что в файловой системе произошел сбой

Если диск используется по назначению, у него стоит файловая система FAT или NTFS. Данные форматы говорят о том, что он работает хорошо и ему не требуется восстановление. Но иногда она превращается в RAW. Как же понять, что произошел сбой?
Если вы обратились к диску, а он не открылся и появилось сообщение о потребности в его форматировании, значит, случился сбой.
Данное сообщение может означать следующее:

1. Структура используемой файловой системы была разрушена;
2. К содержимому нет четкого доступа;
3. В сектор загрузки были записаны ошибочные данные.

Если открыть раздел свойства, то можно увидеть, что на нем вроде как не содержится информации. Но вам все же понадобится восстановить файловую систему, чтобы вернуть утерянные данные.

Как выполнить восстановление

Не стоит спешить проводить форматирование. Восстановить файловую систему жесткого диска можно и без применения крайних мер.

Восстановление при помощи программы Testdisk

Она предлагается бесплатно. Она дает возможность вернуть утерянные данные в состояние, которое близко к идеальному.
Допустим, наш винчестер имеет несколько разделов. К примеру, поврежденным оказался раздел D. Выбираем в программе поврежденный раздел, далее указываем тот вид структуры, который у нас имеется. В нашем примере это Intel/PC partition. Выбираем пункт Analyse. Будет проведен анализ и выдан список разделов на восстановление. Выберите опцию Quick search. Она, в свою очередь, выберет все файлы из разделов. После того как вы найдете то, что нужно, нажмите кнопку Write. После всех выполненных действий восстановится утерянная информация.

Восстановление при помощи программы RS Partition Recovery

Ее интерфейс довольно простой. Главное меню имеет 3 части. Слева представлен список жестких дисков и логических разделов. В центре показывается загрузка их данными. Справа отображаются выбранные пользователем файлы.

1. Чтобы начать восстановление, необходимо нажать «Мастер». После этого появится меню работы. Будет выполнен анализ винчестера.
2. В программе все разделы поделены на 3 категории: жесткие, съемные и логические диски. Для того чтобы начать восстановление данных, понадобится выбрать нужный раздел. После этого нажмите «Далее». Вам предложат выбрать тип анализа: оперативное сканирование или полный анализ.
3. Лучше сразу же провести полный анализ. При нем обрабатываются сразу же 3 фильтра. Первый фильтр вычислит системы NTFS. Второй - обработает файлы, которые принадлежат этой системе. Глубокий анализ будет работать вне зависимости от файловой системы.
4. Если вы выберете первый вариант, то часть файлов просто не получится найти. При этом могут быть найдены файлы, не имеющие признаков повреждений.
5. После этого можно приступать к сканированию. Чем больше объем проверяемого диска, тем более долгим окажется процесс.
6. После того как анализ будет завершен, вы узнаете, какое количество папок находится в этом разделе.
7. Для того, чтобы ознакомиться со всеми найденными во время анализа файлами, нужно перейти в главное меню и нажать «Готово».
8. В центре окна появится папка «Глубокий анализ». Далее нужно будет выбрать их в данной папке, а после нажать «Восстановить». Останется выбрать место для их сохранения.
9. В этом окне понадобится выбрать место сохранения данных, опцию восстановления структуры папок, которые были удалены, и восстановление потоков файлов в NTFS. После этого понадобится нажать кнопку «Восстановить».

Инструкция

Решить эту проблему без частичной очень сложно. Но при правильном подходе потерю файлов можно свести практически к нулю. Нажмите по , файловую систему которого требуется восстановить, правой кнопкой мышки. В появившемся контекстном меню выберите «Форматировать». В появившемся окне выберите файловую систему , в которой следует форматировать раздел. В качестве способа форматирования установите «Быстрое». Отформатировав диск таким способом, вы позже сможете восстановить информацию. После этого нажмите «Начать». Через несколько секунд раздел жесткого диска будет отформатирован, а файловая система восстановлена.

Теперь, когда раздел жесткого диска форматирован и файловая система восстановлена, можно восстановить и потерянную информацию. После возврата файловой системы не сохраняйте в этот раздел никакой информации, так как это значительно повысит шансы на . Для их восстановления вам потребуется программа TuneUp Utilities. Скачайте программу из интернета и установите на компьютер.

Запустите программу. После сканирования компьютера вы попадете в основное меню программы. В этом меню щелкните левой кнопкой мышки по вкладке «Исправление проблем». В появившемся окне выберите «Восстановить ». В следующем окне отметьте нужный раздел диска и нажмите «Далее». Появится еще одно окно. В строке «Критерий поиска» ничего не надо, так как вы не ищите определенный файл. В этом же окне поставьте галочку напротив строки «Показать файлы только в хорошем состоянии» и нажмите «Далее». Начнется процесс поиска удаленных файлов. После его завершения найденные файлы будут отображены в окне программы. Просто выделите их с помощью левой кнопкой мышки и в нижней части окна программы нажмите «Восстановление». Потерянные файлы будут восстановлены.

Источники:

• восстановление файловой системы диска

Иногда, устанавливая новые программы или обновляя драйверы, можно нарушить работу операционной системы. Восстановить ее можно при помощи специальной программы, входящей в стандартный набор служебных программ операционной системы. Эта программа периодически создает точки восстановления системы, записывая в них сведения о системе и параметры реестра. Включение работоспособных параметров из такой точки позволяет вернуть компьютер к нормальному состоянию. В операционной системе Windows существует несколько способов восстановления системы.

Инструкция

Если проблема появилась сразу после установки нового , то Windows перед вами откроется с вариантами загрузки. Необходимо выбрать «Загрузку последней удачной конфигурации (с работоспособными параметрами)». Этот режим вернет последние работоспособные настройки драйвера и параметры реестра.

Если возникли проблемы в процессе работы с ПК, и вы не знаете, когда произошел сбой, то необходимо войти в программу "Восстановление ". После этого выберите одну из точек восстановления, например, за вчерашний день. Если

Опишем процесс ручного восстановления данных в случае удаленных файлов или файлов из поврежденных разделов системы NTFS при работе в ОС Windows NT. Проблема заключается в том, что в составе этой ОС нет соответствующих программных средств. Программы же восстановления данных NTFS от сторонних производителей, к сожалению, не всегда используют все возможности восстановления. Ситуация усугубляется отсутствием полной документации по низкоуровневой структуре управляющих блоков NTFS.

Что же делать, если в один прекрасный момент обнаруживается, что компьютер с ОС Windows NT больше не загружается или некоторые логические разделы NTFS стали вдруг недоступны?

Сначала нужно уточнить, с чем связана неисправность: физическим повреждением диска, выходом из строя контроллера или разрушением файловой системы NTFS.

Проблемы с диском

Жесткие диски имеют ограниченный срок службы, обычно - несколько лет. Выход устройства из строя иногда можно определить по характерным щелчкам в момент инициализации. Диск может несколько раз щелкнуть и затихнуть, так и не раскрутившись. При инициализации BIOS сообщит вам об этой неисправности. В такой ситуации следует произвести ремонт жесткого диска. Если стоимость потерянной информации заметно превышает стоимость самого диска, следует обратиться к специалистам, что, впрочем, недешево.

Ремонт выполняется следующим образом. Если из строя вышла электроника, расположенная вне герметичного пространства диска, то заменяется или ремонтируется соответствующая плата. Для этого часто приходится разбирать другой диск точно такого же типа.

В том случае, когда повреждены детали, расположенные внутри корпуса диска, проблем будет больше. Прежде всего, разбирать сломанный диск нужно в так называемой «чистой комнате», где гарантируется отсутствие пыли. Затем следует заменить плату с электроникой, сняв ее с другого диска. Отремонтированный диск закрывается, после чего остается только скопировать информацию на третий диск по секторам.

Поэтому если сломался жесткий диск с ценной информацией, приготовьтесь пожертвовать еще одним для ремонта и найдите третий для копирования восстановленных данных.

Если есть подозрение на неисправность контроллера диска, попробуйте его заменить. Проверьте также соединительный кабель.

Проблемы с файловой системой

Убедившись, что диск, контроллер и соединительный кабель исправны, не торопитесь использовать дискету NT Repair Disk, созданную при установке ОС, или запускать программу восстановления файловой системы chkdsk - результат может оказаться плачевным. Не пытайтесь также найти «волшебную» программу восстановления NTFS в комплекте Norton Utilities для Windows NT - пока ее там нет. Если информация, записанная на диске, имеет особую ценность, нужно вначале проанализировать состояние управляющих блоков файловой системы NTFS с помощью редактора диска.

Такая работа требует достаточно высокой квалификации. В частности, нужно разбираться в форматах управляющих блоков файловой системы. Если вы не в состоянии выполнить ее самостоятельно, лучше вызвать специалиста и не предпринимать попыток самому отремонтировать NTFS.

Чтобы проверить управляющие блоки, нужно подключить к компьютеру два диска: первый, исправный загрузочный, и второй - тот, информацию с которого необходимо восстановить.

Сначала подключается только первый диск и инсталлируется ОС Windows NT. Этот диск будет использован для сохранения файлов, восстановленных из разделов поврежденного. Далее устанавливается редактор Disk Probe, входящий в состав Windows NT Resource Kit. Хотя этот редактор далек от совершенства, именно он позволит выполнить всю работу по восстановлению потерянных файлов.

Убедившись, что с первым диском все в порядке, выключите компьютер и подключите к нему второй, поврежденный диск.

Определение геометрии логического устройства

Для успешного восстановления информации следует определить размер кластера и адрес загрузочного сектора. Первое значение можно получить из загрузочного сектора раздела NTFS (если, конечно, его содержимое сохранилось).

Запустите программу Disk Probe. Выберите в меню Drive позицию Physical Drive. В панели Open Physical Drive, появившейся на экране, укажите устройство PhysicalDrive1, дважды щелкнув левой клавишей мыши по соответствующей строке списка Available Physical Drives. Затем нажмите кнопку Set Active, оставив включенным переключатель Read Only, и закройте панель кнопкой OK.

В результате программа Disk Probe получит доступ на чтение поврежденного диска. После этого попытайтесь прочитать содержимое главной загрузочной записи диска, расположенной в первом секторе на нулевой дорожке нулевого цилиндра. Для этого в меню Sectors выберите строку Read. Появится панель Read Sector. В поле Starting Sector укажите номер первого сектора, равный нулю, а в поле Numbers of Sectors установите значение 1. Затем нажмите кнопку Read.

Программа считает в оперативную память содержимое первого сектора и покажет его в шестнадцатеричном виде. Выберите из меню View строку Partition Table для форматного просмотра таблицы разделов диска, а затем перейдите на нужный раздел с помощью кнопки Go. Если необходимо (когда восстанавливаются файлы из расширенного раздела), повторите эту процедуру несколько раз.

Добравшись до загрузочной записи нужного вам раздела, выберите из меню View строку NTFS Bootsector.

А что делать, если главная загрузочная запись или загрузочная запись нужного раздела уничтожены?

Эта ситуация тяжелая, но не фатальная. Подробную таблицу соответствия емкости логического устройства NTFS и числа кластеров можно найти в MSDN. Например, если емкость находится в интервале 1025 - 2048 Мбайт, размер кластера будет равен 4 секторам, а если в диапазоне от 8193 до 16 384 Мбайт - то в одном кластере будет 32 сектора. Заметим, однако, что, позаботившись заранее о возможности последующего восстановления диска в случае его повреждения, можно облегчить такую работу, когда в ней возникнет необходимость. Нужно определить и записать размер кластера сразу после установки ОС, пока загрузочный сектор NTFS еще цел.

В том случае, если размер кластера так и остался неизвестным, его придется определять косвенными способами или методом подбора.

Таблица MFT

Внутренняя структура файловой системы NTFS принципиально отличается от хорошо знакомой большинству FAT. Не вдаваясь в подробности, изложим лишь те сведения, которые необходимы для выполнения в ней восстановительных работ.

Файловая система FAT (и ее разновидность FAT32) хранит информацию о файлах в нескольких местах логического устройства. Дескриптор файла, содержащий его имя, размер, дату создания и номер первого выделенного для него кластера, находится в каталоге. Таблица размещения файлов File Allocation Table, от которой и произошло название файловой системы FAT, хранит связанный список всех кластеров, выделенных файлу. И наконец, сам файл может быть распылен по кластерам.

Такая организация в значительной мере затрудняет восстановление файлов в случае каких-либо сбоев. Особенно критичной является целостность таблицы FAT: если эта таблица пропала или ее содержимое оказалось частично разрушено, исчезает информация о кластерах, выделенных файлу. В результате файл можно с очень большим трудом собрать из отдельных кластеров, лишь зная его содержимое. К тому же эта работа требует очень много времени. Поэтому на практике исчезновение таблицы FAT и ее копии означает полную потерю файлов.

Потеря каталогов приводит к невозможности определения номера первого кластера, выделенного файлу, его имени и точного размера. В этом случае последствия не столь катастрофичны, так как в таблице FAT остались «бесхозные» цепочки кластеров, которые нетрудно превратить в файлы. Имена полученных таким образом файлов обычно состоят из цифр. Заметим, что при крушении каталогов, содержащих тысячи файлов, после восстановления будет трудно найти нужный файл, если хотя бы приблизительно не известно его содержимое.

В файловой системе NTFS вся информация о файлах хранится в так называемой главной таблице файлов Master File Table (MFT). Записи таблицы MFT содержат наборы дескрипторов с такой информацией о файлах, как имя, даты создания и модификации, атрибуты безопасности, и, что самое главное, списки кластеров, выделенных файлам. Если файл имеет небольшой размер, то он может храниться непосредственно в записи таблицы MFT.

Следовательно, возможность восстановления файлов из поврежденных разделов NTFS во многом определяется целостностью таблицы MFT и ее копии.

Как найти таблицу MFT?

Найти таблицу MFT достаточно просто, если сохранился загрузочный сектор раздела NTFS. Нажмите кнопку Go около поля Clusters to MFT или Clusters to MFT mirr в панели, показанной на рис. 2. Для просмотра содержимого первого сектора таблицы выберите из меню View программы Disk Probe строку Bytes.

Обратите внимание на строку FILE, расположенную в самом начале сектора. С нее начинаются записи таблицы, описывающие файлы. Существуют еще записи для каталогов, элементов индекса и другие, которые мы не будем рассматривать.

Строка $.M.F.T. находится со смещением D2. Это имя системного файла, содержащего таблицу MFT, в кодировке Unicode. Таким образом, первая запись файла $MFT описывает сам этот файл. Просматривая таблицу, можно обнаружить записи для других системных файлов, таких как $MFTMirror, $LogFile, $Volume, $AttrDef и др.

Если загрузочный сектор разрушен, начало таблицы MFT нетрудно найти с помощью программы Disk Probe. Для этого выберите в меню Tools строку Search Sector, установите переключатели в положение, показанное на рис. 4, и, заполнив поле Enter characters to search for, нажмите кнопку Search. Следует запастись терпением, поскольку процесс поиска может отнять немало времени.

Заметим, что подобным образом можно найти в таблице MFT записи для тех файлов, которые нужно восстановить. Так как имена файлов хранятся в кодировке Unicode, при поиске следует установить переключатель в положение Unicode characters. Кроме того, необходимо включить режим поиска Exhaustive search и Ignore case.

Анализ записей MFT

К сожалению, программа Disk Probe не содержит никаких средств для форматного просмотра содержимого записей MFT. Более того, точный формат этой записи отсутствует в открытой документации Microsoft. Однако многое можно обнаружить в Internet, сделав запрос по ключевым словам «NTFS Documentation». Нам, например, удалось найти информацию, собранную разработчиками модулей для операционной системы Linux. Анализируя исходные тексты модуля для монтирования в Linux файловой системы NTFS, можно понять назначение отдельных полей записей MFT (авторы приносят благодарность Максиму Синеву за помощь в «расшифровке» записей MFT).

Запись MFT состоит из начального фрагмента фиксированного размера и набора атрибутов, имеющих в общем случае переменный размер. Для восстановления файлов нужно знать точный формат только атрибута данных. Что же касается других атрибутов, достаточно уметь определять их расположение и размер.

Первые четыре байта в записи, описывающей файл, образуют слово FILE. На рис. 3 они выделены красным цветом. Следующие два байта (выделенные синим цветом) - смещение так называемой области Fixup. В рассматриваемом случае значение смещения равно 002A (с учетом обратного порядка расположения байтов в слове). Здесь и далее будем пользоваться шестнадцатеричными числами.

Область Fixup используется в процессе обнаружения ошибок чтения или записи. Она состоит из слов размером два байта. Количество слов хранится в записи MFT со смещением 0006. На рис. 3 поле размера области Fixup выделено фиолетовым цветом. Там хранится значение 0003, следовательно, область Fixup начинается со смещения 002A и простирается до 002A+(2*0003)=002F.

Сразу за областью Fixup начинаются поля атрибутов. Смещение первого атрибута равно 0030.

Первые четыре байта области атрибутов определяют тип, а следующие четыре - размер в байтах. Например, вслед за областью Fixup со смещением 0030 следует атрибут с типом 10. На рис. 3 тип этого и следующего за ним атрибутов выделен красным цветом (размер атрибута выделен синим). Атрибут занимает 48 байт, следовательно, следующий атрибут (с типом 30) начнется со смещением 0078.

Таким образом можно выделить в записи MFT все атрибуты. В конце самого последнего записано значение FFFFFFFF - признак конца цепочки атрибутов.

Для восстановления файлов наибольший интерес представляют атрибуты типа 30 и 80. Первый из них хранит имя файла. По нему следует искать запись MFT, описывающую восстанавливаемый файл. Второй атрибут с типом 80 хранит список кластеров, выделенных файлу, или сам файл. Про него мы расскажем подробнее.

Как видно из рисунка, тип атрибута, равный 80, хранится в записи MFT со смещением 0160. Всего атрибут данных занимает D8 байт, так как именно это значение находится в четырехбайтовом поле со смещением 4 относительно начала атрибута.

Байт со смещением 8 относительно начала атрибута данных - это признак резидентного размещения файла. Если его значение равно 1, запись MFT хранит только список кластеров, выделенных файлу (как в описываемом случае), а если 0 - файл находится внутри самой записи MFT. Как правило, записи содержат только файлы небольших размеров.

Сначала рассмотрим случай нерезидентного размещения файла. При этом четыре байта со смещением 30 хранят длину файла, расположенного где-то на диске. В данном примере длина файла $MFT составляет B7B000 байт.

Для того чтобы определить точное расположение нерезидентного файла на диске, нужно проследить цепочку так называемых блоков виртуальных номеров кластеров Virtual Cluster Number (VCN), или просто блоков VCN. Показатель смещения начала этой цепочки хранится в двухбайтовом поле, имеющем смещение 20 байт относительно начала атрибута данных. В описываемом случае этот показатель равен 40, а смещение области блоков VCN относительно начала записи MFT равно 01A0. На рис. 5 эта область выделена жирной вертикальной линией зеленого цвета.

Анализ области блоков VCN

Файл, записанный в разделе NTFS, может быть сегментирован. Он состоит из одного или нескольких фрагментов, называемых экстентами. Размер и расположение каждого экстента описывается в блоке VCN. В зависимости от того, фрагментирован файл или нет, область VCN может содержать один блок или их набор. Блоки VCN имеют переменный размер, определяемый первым байтом.

Формат блока стоит показать на конкретном примере. Возьмем первый блок VCN, имеющий в рассматриваемом примере смещение 01A0 относительно начала записи MFT:

Тетрады первого байта со значением 31 определяют размеры двух полей блока VCN. Первое поле, имеющее длину один байт, хранит количество кластеров, выделенных экстенту файла. Второе поле размером три байта содержит номер первого кластера. В данном случае первому экстенту файла $MFT выделено 20 кластеров, а номер первого кластера для первого экстента равен 0286D9. Таким образом определяем размер и расположение первого экстента файла.

Второй блок VCN расположен сразу вслед за первым:

Для того чтобы определить первый кластер второго экстента, необходимо прибавить к адресу первого экстента смещение, указанное во втором блоке VCN (с учетом знака). В данном случае второй экстент размещен в кластере с номером 0286D9+21=286FA. Длина второго экстента составляет 0824 кластера.

Анализируя остальные блоки VCN, можно определить размеры и расположение всех экстентов файла. Список блоков VCN закрывается байтом с нулевым значением.

Резидентные файлы

Файлы небольшого размера размещаются непосредственно в записи MFT, описывающей этот файл, для сокращения времени доступа. Если в байте со смещением 8 относительно начала атрибута данных находится нулевое значение, то не нужно прослеживать цепочки блоков VCN. Это означает, что файл находится внутри атрибута данных.

При этом смещение резидентных данных, т. е. файла, записано в двухбайтовом слове со смещением 14 относительно начала атрибута данных, а размер - в двухбайтовом слове со смещением 10.

Приведем небольшой пример. Для иллюстрации формата записи MFT, содержащей резидентный атрибут данных, мы подготовили маленький файл с именем Small.txt, содержащий текстовую строку «This is a small text file.». Затем с помощью программы Disk Probe мы обнаружили запись таблицы MFT, созданную для этого файла (рис. 6).

Как видно из рис. 6, байты файла Small.txt (выделенные желтым цветом) находятся внутри записи MFT со смещением 18 относительно начала атрибута данных, а размер файла составляет 1A байт.

Как же восстановить файлы?

Теперь, вооружившись приведенными выше знаниями о внутренней структуре системных блоков NTFS, можно приступить к восстановлению файлов из поврежденного раздела этой файловой системы.

Когда известны имена файлов, подлежащих восстановлению, нужно найти соответствующие им записи в таблице MFT. Это можно сделать с помощью программы Disk Probe, воспользовавшись строкой Search Sector из меню Tools. Далее следует обнаружить в этой записи атрибут данных и определить, резидентный он или нет.

Если атрибут данных резидентный, то нужно сохранить сектор, содержащий запись MFT, в виде файла на исправном жестком диске или на дискете. Это можно сделать, используя строку Save as меню File программы Disk Probe. После этого следует вырезать нужную часть данных и сохранить результат в новом файле. Такую операцию нетрудно выполнить, например, в редакторе Norton Disk Editor для MS-DOS.

В случае нерезидентного атрибута работы будет намного больше.

Прослеживая цепочку блоков VCN, нужно определить расположение и размер экстентов восстанавливаемого файла. Далее с помощью приложения Disk Probe следует прочитать данные экстента, а затем сохранить их в файле на исправном диске. Не забудьте также, что в программе Disk Probe указывается количество секторов, которые нужно прочитать или записать, а в блоке VCN установлено количество кластеров, выделенных экстенту. Поэтому нужно выполнить соответствующий пересчет.

Восстановив все экстенты, объедините их в один файл (например, командой COPY с параметром /B). Затем установите правильную длину файла, полученную из поля со смещением 30 атрибута данных. В разделе FAT такая операция может быть выполнена с помощью все той же программы Norton Disk Editor.

К сожалению, на практике восстановление большого количества файлов требует много времени. Тяжелее всего дается ручная обработка цепочек блоков VCN, которые могут быть очень длинными. Приходится часами работать с калькулятором, переводя десятичные числа в шестнадцатеричные и обратно, а также производя различные арифметические действия, необходимые для определения размеров и расположения экстентов восстанавливаемых файлов. Поэтому обычно мы пользуемся небольшой самодельной программой NTFS Explorer, выполняющей наиболее трудоемкие операции в полуавтоматическом режиме.