Strona główna

Pomoc

Szukaj

Zaloguj się

Rejestracja

Witamy, Gość.

Zaloguj się

lub

zarejestruj

.

Zawsze

Zaloguj się

Zaloguj się podając nazwę użytkownika, hasło i długość sesji

Aktualności:

REGULAMIN FORUM

+

PAJACYK - KLIKNIJ

Szukaj

Bezpieczeństwo Systemów analiza logów HijackThis, SilentRunners, ComboFix, Gmer > Poradnia PC >

Poradniki i sprawdzone narzędzia i programy

(Moderatorzy:

De Niro

,

Krzychu

) > TestDisk

Strony: [1]

« poprzedni

następny »

DRUKUJ

Autor

Wątek: TestDisk (Przeczytany 43880 razy)

M_i_r

Moderator Globalny

Wiadomości: 1298

System:

unknown

Przeglądarka:

unknown

TestDisk

« : Kwiecień 15, 2008, 10:58:11 »

TestDisk podlega licencji

GNU

.

TestDisk naprawia nośniki danych, uszkodzone przez wadliwe oprogramowanie, wirusy lub błędy użytkownika.

TestDisk & PhotoRec

Do odzyskania plików z uzkodzonego dysku używamy

PhotoRec

TestDisk

naprawia tablice partycji i odzyskuje usunięte FAT,

odzyskuje boot sektor FAT32/NTFS z jego kopii zapasowej,

odtwarza boot sektor FAT12 / FAT16 / FAT32/NTFS,

naprawia MFT używając jego lustra MFT,

umieszcza ext2 / ext3 Zapasowy SuperBlock.

Pracuje z następującymi systemami operacyjnymi

Dos/Win9x

Windows NT/XP/2000/2003/Vista

Linux

BSD

Mac OS X

Pracuje na koncie z uprawnieniem aministratora

Przy uszkodzonym MBR musimy skorzystać z innego komputera,kanału IDE lub płyty

CD

Dla płyty CD pod Linux-em musimy nadać uprawnienia Administratora wybierając konsolę i wpisując:

sudo -s następnie zatwierdzamy ENTER

Identyfikacja urządzeń HDD przez Linux-a:

Primary Master IDE to / dev / hda,

Primary Slave IDE to / dev / hdb,

Secondary Master IDE to / dev / hdc itd.,

HDD SATA zwykle zaczynają się w / dev / hde albo / dev / sda,

urządzenia SCSI zawsze zaczynają się w / dev / sda,

urządzenia USB często używają nazw urządzeń SCSI: / dev / sda etc.

Do obsługi TestDisk-u używamy klawiszy strzałek i PgUp/PgDn,

potwierdzamy wybór klawiszem ENTER,

aby wrócić do poprzedniego okna albo opuścić TestDisk używamy klawisza q,

aby zatwierdzić modyfikacje pod TestDisk-iem musisz potwierdzić klawiszem y ( Tak),

aby zapisać zmodyfikowane dane musisz wybrać "Write" i zatwierdzić ENTER-em.

Jeżeli dane zniknęły z dysku nie dokonuj żadnych zmian na dysku.

Nie formatuj dysku, nie zmieniaj partycji, nie instaluj programów.

To może nadpisać Twoje dane, czyniąc odzysk niemożliwym.

Na komputerze Dell istnieje specjalna partycji o nazwie DellUtility.

Jest to partycji FAT16, która nie jest widoczna z systemu Windows, ponieważ jej typ partycji jest DE.

Strona 1 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

Po Analizuj, wybierz partycję, DellUtility i należy użyć 'T " aby zmienić typ partycji na DE.

Następnie użyj klawisza strzałki do ustawienia rozruchu na partycji NTFS.

Uruchamiamy program

1.

Przesuwamy klawiszem strzałki na dół podświetlamy

"No Log"

i zatwierdzamy ENTER

2.

klawiszem strzałki góra/dół wybieramy nośnik danych, który chcemy naprawić - podświetlony

zatwierdzamy

"Proceed"

klawiszem ENTER

lub

klawiszem strzałki lewo/prawo wybieramy

"Quit"

- wychodzimy z programu

W tym przypadku mamy do wyboru dysk SATA i pena USB

3.

Program przez autodetekcję sam podświetli właściwy system plików - w tym przypadku

"Intel"

Gdyby nie rozpoznał strzałkami góra/dół wybieramy właściwy i zatwierdzamy ENTER

Chcąc wrócić do wyboru nośnika podświetlamy

"Return"

i zatwierdzamy ENTER

Strona 2 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

4.

Jesteśmy w zasadniczym miejscu programu

Analyze - analiza bieżącej struktury partycji i szukanie zagubionych.

Tu możemy:
naprawić i odzyskać tabice partycji,
zmienić typ partycji (systemowa aktywna,systemowa,logiczna,rozszerzona)
lub usunąć,
zmienić starowy i końcowy cylinder, głowicę, sektor partycji,
podglądnąć dane na partycji i przekopiować do katalogu programu.

Advanced - narzędzia systemu plików

:
sprawdzić typ systemu plików,
naprawić tablicę FAT,
odbudować bootsektor MBR z kopi zapasowej,
podglądnąć MBR i jego kopię zapasową,
podglądnąć dane i skopiować.

Geometry - sprawdzenie danych nośnika

:
sprawdzić ilość cylindrów,głowic,ilość sektorów i ich wielkość,
zmienić dane j.w. -

zmiana wielości sektora dla zaawansowanych

.

Options - zmiana opcji programu

:
ustawić tryb eksperta,
zezwolić na ustawienie granicy partycji przez określenie cylindera i głowicy,
zezwolić na częściowe wykorzystanie ostatniego cylindra,
zezwolić na zrzut podstawowych sektorów.

MBR Code - zapisuje na nowo MBR do pierwszego sektora

Delete - usuwa wszystkie dane z partycji - łącznie z MBR

Return - powrót do wyboru dysku

Zapisane

Wiele dróg prowadzi do celu, jedna - do wielu.

M_i_r

Moderator Globalny

Wiadomości: 1298

System:

Odp: TestDisk

« Odpowiedz #1 : Kwiecień 18, 2008, 08:39:56 »

Cytuj

Partycje podstawowe
Pierwsza partycja podstawowa zwykle zaczyna się od 0 cylindra, 1 głowicy, sektora 1.
Dodatkowe partycje podstawowe są począwszy od niezerowego cylindra, głowicy 0, sektora 1.
Partycje logiczne
Partycje logiczne jest zazwyczaj niezerowe cylinder, 1 głowicy, 1 sektor.

Analyze

Strona 3 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

unknown

Przeglądarka:

unknown

5.

Wykonujemy kopię danych partycji w celu ewentualnego odtworzenia z kopii.

Wybieramy "Quick Search" klawiszem strałki w lewo/prawo i zatwierdzamy ENTER

6.

wybieramy klawiszem y lub rezygnując n

7.

Mamy do wyboru:

klawiszem

do góry/na dół

wybrać partycję,

klawiszem

w lewo/prawo

zmienić typ partycji lub usunąć,

Strona 4 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

8.

wybrano usunięcie o czym świadczy literka D po lewej stronie

klawiszem

a

zmienić dane partycji (cylinder, głowicę i sektor),

9.

klawiszem

l

odtworzyć partycję z wcześniej utworzonej kopii,

klawiszem

t

zmienić system plików,

10.

klawiszem

p

podglądnąć pliki i je skopiować.

Strona 5 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

11.

klawiszem c skopiujemy pliki do katalogu programu

Zapisane

Wiele dróg prowadzi do celu, jedna - do wielu.

M_i_r

Moderator Globalny

Wiadomości: 1298

System:

unknown

Przeglądarka:

unknown

Odp: TestDisk

« Odpowiedz #2 : Kwiecień 19, 2008, 10:53:45 »

Advanced

12.

Type - zmiana systemu plików

Boot - naprawa bootsektora i tablicy FAT

Image Creation - wykonujemy obraz plików w formacie image.dd

13.

Quit - wyjście z okna

List - podgląd, skopiowanie plików oraz odzysk usuniętych

Rebuild BS - naprawa bootsektora

Org. BS - kopiuje bootsektor do miejsca kopii zapasowej

Backup BS - kopiuje bootsektor z kopii zapasowej

Dump - podgląd bootsektora i jego kopii

Strona 6 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

14.

Quit - wyjście z okna

Zapisane

Wiele dróg prowadzi do celu, jedna - do wielu.

M_i_r

Moderator Globalny

Wiadomości: 1298

System:

unknown

Przeglądarka:

unknown

Odp: TestDisk

« Odpowiedz #3 : Kwiecień 20, 2008, 05:35:41 »

Przykłady

Przykładowy problem z dyskiem 36GB zawierającym 3 partycje.

MBR NTFS został uszkodzony i logiczny podział NTFS został usunięty.

http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step

http://www.cgsecurity.org/wiki/Data_Recovery_Examples

Objawy:

Explorer lub Zarządzanie dyskami pokazuje,że partycja nie jest sformatowana i pyta się czy ją sformatować?

Jeżeli nie wiesz dlaczego to nie wykonuj podpowiedzi!

Przykład pokazuje odtworzenie MBR z kopii i naprawę logicznego podziału partycji.

Obrazki pokazują:

1,Tworzenie pliku log-a.

2.Wybór dysku.

3.Wybór systemu plików.

4-5.Odczyt bieżącej tablicy podziału.

6-7.Szybkie szukanie partycji.

8-11.Głębokie szukanie partycji.

12.Odtworzenie tablicy partycji(nowy zapis).

13-15.Odtworzenie z kopii MBR-a.

A oto przykład użytkownika @njczyziu, któremu dedykuję to opracowanie za wytrwałość

Opis problemu

http://www.bezpieczenstwosystemow.pl/index.php?topic=2257.0
http://www.bezpieczenstwosystemow.pl/index.php?topic=2551.0

15.

Opis okna programu (obliczenia przybliżone, przydatne do analizy)

CHS -> 60802 cylindrów x 255 głowic x 63 sektory x 512B /1024/1024/1024 = 465 GB

* -> systemowy aktywny cylinder(ścieżka) od 0 do 2549 = 19GB (40965687x512B/1024/1024/1024)

L -> logiczny zaczyna się od 2550 do 21671 = 146GB nazwa [Gry]

L -> logiczny zaczyna się od 21672 do 21680 = 70MB nazwa [Nowy]

P -> systemowy zaczyna się od 21681 do 30401 = 66GB nazwa [Programy, Muzyka, Filmy]

P -> systemowy zaczyna się od 30402 d0 60800 = 233GB

Błędy jakie wykonaliśmy, pierwszy raz używając programu

Strona 7 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht

Powinniśmy przeglądnąć partycje na obecność "widzenia plików"

Wykonujemy to klawiszem p

W przypadku [Programy, Muzyka ,Filmy] mamy brak plików:

czyli ta partycja jest do usunięcia przez użycie klawiszy w lewo/prawo i ustawienia z lewej strony litery D.

Tak powinniśmy sprawdzić pozostałe i następnie ponownie szukać przez "Search!"

przy "widzeniu" plików na wszystkich partycjach stosujemy Write

W przypadku braku widzenia plików jak w ->

http://www.bezpieczenstwosystemow.pl/index.php?topic=6210.0

Należy sprawdzić obszary zaznaczone z opcji Advanced, Boot, Dump.

Pod adresem 0028-002B i 002C-002F mamy wielkość partycji.

16.

Zapisane

Wiele dróg prowadzi do celu, jedna - do wielu.

Strony: [1]

DRUKUJ

« poprzedni

następny »

Skocz do:

=> Poradniki i sprawdzone narzędzia i programy

Idź

Theme by S e r s e r i.

Powered by SMF 1.1.11

|

SMF © 2006-2007, Simple Machines LLC

2065536

Strona 8 z 8

TestDisk

2012-12-17

mhtml:file://D:\ISO\TestDisk.mht