1

TestDisk / PhotoRec:

odzyskiwanie danych

Źródło:

http://traxter-online.net/testdisk-photorec-odzyskiwanie-danych/

Odzyskiwanie partycji / tablicy partycji

Pobieramy TestDisk&PhotoRec i uruchamiamy ją. W tutorialu wykorzystana jest wersja dla Windows uruchomiona w Win 7.

Tworzenie loga – domyślnie zaznaczona jest opcja [Create], która tworzy nowy plik dziennika zawierający informacje o

efektach pracy aplikacji. Plik testdisk.log zapisywany jest w folderze, z którego uruchamiamy Testdisk. Jeżeli plik już jest

zostanie nadpisany. Opcją [Append] dopisujemy informacje do istniejącego pliku. Aby zrezygnować z tworzenia loga

wybieramy [No log].

Program nie ma typowego interfejsu graficznego, obsługujemy go z konsoli (wiersz polecenia). Obsługa nie jest jednak
bardzo trudna >>> poruszamy się wciskając klawisze strzałek klawiatury,

ñ

góra -

ò

dół. Po wybraniu stosownej opcji

wciskamy klawisz ”Enter“, aby przejść do dalszego etapu.

Wybór dysku – aplikacja wyświetli listę wykrytych dysków fizycznych wraz z ich pojemnością. Najczęściej komputer ma tylko

jeden dysk wewnętrzny fizyczny, ale czasami może ich mieć kilka. Program wykrywa dodatkowo dyski zewnętrzne oraz

pendrive USB.

Wybieramy dysk do analizy, upewniamy się, że zaznaczona jest opcja [Proceed] i wciskamy Enter. Klawiszami strzałek
lewo

ï

/ prawo

ð

możemy przenieś się do opcji [Quit] i zakończyć pracę z programem.

2

Wybór typu tabeli partycji – wybieramy typ tabeli partycji. Program zresztą u dołu ekranu wyświetla wskazówkę (Hint)

o typie wykrytej tabeli. W większości przypadków (komputery stacjonarne + laptopy) będzie to [Intel]

Wybór operacji – wybieramy typ akcji jaki aplikacja ma wykonać na dysku:

•

[ Analyse ] – jeśli chcemy odzyskać utraconą partycje

•

[ Advanced ] – zmiana typu partycji, naprawa boot sektora, podejrzenie zawartości partycji z możliwością

kopiowania plików, odzyskiwanie usuniętych plików oraz stworzenie obrazu dysku.

•

[ Geometry ] – zmiana geometrii dysku

•

[ Options ] – opcje aplikacji

•

[ MBR Code ] – naprawa Master Boot Record

•

[ Delete ] – usunięcie tablicy partycji, kod MBR pozostanie nienaruszony.

•

[ Quit ] – powrót do wyboru dysku

Wybieramy [ Analyse ] aby odzyskać partycje.

Aplikacja wyświetli aktualną strukturę partycji na dysku. Jeżeli nie znajdzie żadnych partycji „No partition is bootable”

wybieramy [Quick Search] i wciskamy klawisz ”Enter“ – rozpocznie się przeszukiwanie dysku w celu odnalezienia

skasowanych / utraconych partycji. Możemy także zapisać aktualny stan partycji do pliku backup.log, który znajdziemy

w folderze, z którego uruchamiamy program.

3

Po zakończeniu przeszukiwania wyświetlą się wykryte partycje ( w kolorze zielonym ). Program określa także status każdej

z nich:

•

* to partycja aktywna, startowa, podstawowa bootowalna

•

P to partycja podstawowa

•

L to dysk logiczny wewnątrz partycji rozszerzonej, extendend

•

D to partycja usunięta, do usunięcia

Status partycji możemy zmienić zaznaczając jedną z nich i używając klawiszy lewo ï/ prawo ð z klawiatury.

Jeśli partycja ma status startowej (*), ale nie uruchamialiśmy z niej komputera, możemy zmienić ją jako partycja

podstawowa (P).

Jeśli wyświetlone zostaną również partycje dawno i celowo usunięta, wybieramy je klawiszami kursora góra/dół, a następnie

klawiszami lewo/prawo odznaczamy je – przed typem partycji wyświetli się literka D, a kolor wiersza musi się zmienić

z zielonego na jasnoszary.

Generalnie to partycje oznaczone kolorem zielonym są przywracane, zaś kolorem jasnoszarym – nie. Wciskamy Enter aby

przejść dalej.

Klikając klawisz P na wybranej partycji uzyskamy listę plików, które się na niej znajdują – pozwala to na weryfikację. Jeżeli

partycja jest stara, wyświetli się komunikat o uszkodzonym systemie plików – C’ant open filesystem. Na tym etapie możemy

także kopiować wszystkie pliki, co jest przydatne w sytuacji, gdy system nie startuje i się nie uruchamia, a my potrzebujemy

uzyskać dostęp do plików. Szerszy opis jak to zrobić znajduje się poniżej, w sekcji Odzyskiwanie plików, Undelete.

Wciskając klawisz T na wybranej partycji możemy zmienić jej typ. Aplikacja wyświetli bieżący typ oraz umożliwia jego zmianę:

zaznaczamy „List of partition type”, klikamy Enter, w kolejnym etapie wpisujemy nowy typ partycji odpowiadając na pytanie

„New partition type [current XX]”, bazując na wyświetlonej w oknie liście typów >>> realnie musimy wpisać kod, który

identyfikuje typ partycji np. partycje NTFS maja kod 07, więc musimy wpisać „07″.

Klawiszem A mamy możliwość dodania i utworzenia nowej partycji. Sposób dla zaawansowanych – ustawiamy początkowy

i końcowy numer cylindra, head i sektora oraz wybieramy typ partycji. Tak utworzona partycja wymaga sformatowania

z poziomu systemu.

4

Gdy program odnalazł skasowane partycje, a my określiliśmy, które będziemy przywracać, a które nie, a pomocą klawiszy

prawo/lewo wybieramy [ Write ] aby zapisać zmodyfikowaną tablicę partycji na dysku.

Jeżeli nie wszystkie zostały znalezione możemy wykonać bardziej szczegółowe wyszukiwanie – wybieramy domyślną opcję

[Deeper Search] – wciskamy Enter.

Na pytanie czy zapisać zmodyfikowaną tabelę potwierdzamy wpisując „Y”. Wyświetli się komunikat, aby zrestartować

komputer, aby zmiany odniosły skutek. Teraz powinniśmy mieć dostęp do utraconej partycji wraz z jej zawartością.

5

Menu Advanced

Po wybraniu dysku do analizy i typu tabeli partycji wyświetli się okno z wyborem operacji. W menu Advanced mamy dostęp

do kilku przydatnych funkcji:

[ Type ] – zmiana typu partycji.

[ Boot ] – naprawa boot sektora partycji oraz MFT.

[ List ] – podejrzenie zawartości partycji oraz możliwość kopiowania plików.

[ Undelete ] – odzyskiwanie usuniętych plików.

[ Image Creation ] – tworzenie obrazu dysku.

[ Quit ] – powrót do głównego menu.

Naprawa sektora rozruchowego partycji (Boot Sector):

(sektor zapisany w pierwszych bajtach partycji)

Objawy: komunikat „Błąd ładowania systemu operacyjnego”, „Error loading operating system”, „Boot failure”.

Wchodzimy w menu [ Advanced ] i wybieramy opcję „Boot”.

Mamy możliwość przywrócenia sektora z kopii zapasowej (Backup BS) lub aktualizację kopii zapasowej z obecnego sektora

rozruchowego. Jeśli nie ma kopii trzeba odtworzyć sektor – wybieramy RebuildBS –> List aby sprawdzić efekty i Write aby

zapisać.

Jeśli boot sektor jest uszkodzony trzeba go naprawić – można wykorzystać kopię zapasowa sektora rozruchowego i nadpisać

nim uszkodzony. Wybieramy Backup BS, wciskamy Enter, wpisujemy „Y” i OK.

Opcją [Dump] wykonujemy kopię zapasową sektorów.

Naprawa NTFS MFT – wybieramy opcję „Repair MFT”.

Wyświetli się komunikat, że sektor rozruchowy został pomyślnie odzyskany.

6

Odzyskiwanie plików:

jeśli chcemy odzyskać usunięte pliki wybieramy [ Advanced ]

następnie wskazujemy partycje, zaznaczamy [ Undelete ]

aplikacja wyświetli usunięte pliki – naciskamy klawisz „c”, aby skopiować bieżący, wybrany plik. Aby zaznaczyć kilka plików

przytrzymujemy klawisze „SHIFT + :” (dwukropek), zaś klawisz „a” zaznacza wszystkie pliki. Duża litera „C” kopiuje

zaznaczone pliki.

Następnie wybieramy miejsce zapisu – strzałkami kursora wybieramy docelowy katalog, zaś literą „c” akceptujemy aktualną

lokalizację.

Kopiowanie dysku do pliku obrazu

wybieramy [ Advanced ]

następnie wskazujemy partycje, zaznaczamy [ Image creation ]

w kolejnym oknie wybieramy miejsce zapisu (domyślnie zapisywany jest plik obrazu image.dd w katalogu /TestDisk/win)

– strzałką w lewo kursora cofamy ścieżkę dostępu (strzałka w prawo przechodzimy dalej), literą „c” akceptujemy aktualną.

rozpocznie się proces tworzenia obrazu, którego postęp jest wyświetlany w oknie aplikacji. Po ukończeniu wyświetli sie

komunikat ”Image created successfully”.

Kopiowanie odbywa się metodą sektor w sektor, więc kopiowane jest wolne i zajęte miejsce, a rozmiar pliku odpowiada

pojemności dysku. Utworzony plik można otworzyć w 7-zip i wyodrębniać pliki.

7

Naprawa Master Boot Record (MBR):

(jest to pierwszy sektor na dysku twardym)

Objawy: „Master Boot Record error”, „Sector not found”, „Invalid partition table” i pochodne lub pusty czarny ekran,

„Operating System not found” . Zamazanie MBR powoduje, że komputer nie może odnaleźć systemu operacyjnego, który

najprawdopodobniej znajduje się w stanie nienaruszonym na dysku (nie może odczytać z której partycji ma startować

system).

Naprawa: wybieramy opcję „MBRCode” – po użyciu tego polecenia TestDisk nadpisze obszar kodu dysku niezbędnego do

uruchamiania systemu operacyjnego.

Jednak, gdy uszkodzenia spowodował wirus MBR nie jest to metoda polecana czy też bezpieczna. Istnieje grupa wirusów,

które szyfrują MBR i wtedy taka komenda stanie się absolutną katastrofą czyniąc dysk niedostępnym. Używamy jej tylko

wtedy gdy mamy pewność, że wirus tam zlokalizowany nie jest typu „szyfrującego”.

Naprawa MBR i boot sektora:

http://traxter-online.net/naprawa-i-konfiguracja-rozruchu-windows/

Usunięcie wszystkich partycji

8

Opcja nadpisuje w kodzie MBR tablicę partycji, zeruje ją. Oznacza to, że wszystkie partycje zostaną usunięte wraz z plikami

znajdującymi się na nich.

PhoteRec – odzyskiwanie plików

PhoteRec – początkowo sposób użycia jest podobny do TestDisk – z wyświetlonej listy dysków wybieramy ten, z którego

będziemy odzyskiwać pliki.

Teraz aplikacja wyświetli tablicę partycji wskazanego dysku. Wybieramy partycję do analizy, upewniamy się, że w dolnej

części okna jest wybrana opcja “Search”, i wciskamy “Enter”.

Najpierw możemy określić typy plików do odzyskiwania wybierając File Opt. Spacją wybieramy / odznaczamy.

9

Wskazujemy system plików dostępny na partycji

10

Decydujemy czy program ma przeszukiwać cały dysk lub partycję, czy też ograniczyć wyszukiwanie tylko do obszaru

niezajmowanego obecnie przez pliki.

Wybieramy, gdzie odzyskiwane pliki mają być zapisywane. Domyślnie aplikacja proponuje zapis w folderze roboczym

PhotoRec (katalog, z którego jest uruchamiany). Aby zmienić lokalizację za pomocą klawiszy góra/dół przechodzimy do .. i

kilkakrotnie klikamy aż uzyskamy właściwy katalog. W Linux dyski są dostępne w /media lub /mnt. Aby zaakceptować

propozycję, wpisujemy “Y”.

W oknie aplikacji na bieżąco uaktualniane są statystyki odzyskanych plików, można uzyskać do nich natychmiastowy dostęp,

bez czekania na zakończenie. Aby zatrzymać proces wciskamy Enter potwierdzając Stop. Aby wyjść wybieramy Quit

i wciskamy Enter.

Po zakończonym skanowaniu wyświetli się podsumowanie.(proces skanowania może trwać nawet kilka godzin) przeglądamy

katalog z odzyskanymi plikami – aplikacja zachowuje format, ale nie odzyskuje pierwotnych nazw plików. Dobrze jest je

posortować np. pod względem typu.

----------------------------------------------------------------------------------------------------------------------------

Komentarz:

Bardzo prosty a zarazem skuteczny opis przywracania danych po usunięciu partycji z dysku. Dodam tylko, że po wybraniu

opcji ANALYSE partycje które chcemy przywrócić, mają być podświetlone na zielono. Jeżeli na dysku nie było więcej partycji

to nic nie należy zmieniać tylko wcisnąć ENTER by przejść dalej. Piszę o tym, gdyż nie do końca rozumiałem kwestię zmiany

statusu partycji za pomocą klawiszy lewo/prawo jako podstawowa (P), startowa (*), logiczna (L) lub usunięta (D). Pewnie inni

11

mogą mieć podobne dylematy. Po przywróceniu partycji musiałem jeszcze naprawić Master Boot Record (MBR). Wszystko

poszło jak po maśle i dane odzyskane w 100%.