Odzyskiwanie danych i partycji za pomocą programu TestDisk

Polecam TestDisk ma opcje odbudowy MFT oraz lub jej odtworzenie z kopii na HDD.

Po przeniesieniu danych z komputera typu laptop na przenośny dysk, który był do niego podłączony przyszła kolej na usunięcie partycji, w celu instalacji innego typu systemu niż dotychczas znajdował się na laptopie. W tym celu laptop został uruchomiony z bootowalnej płyty DVD; uruchomiony został program fdisk; nastąpiło usunięcie partycji; zapisanie aktualnego stanu na dysku i restart komputera. Niestety podczas wykonywania tego typu czynności, których dokładność była dyktowana bardzo małą ilością czasu okazało się, że została usunięta partycja dysku przenośnego, który cały czas był podpięty do laptopa. Oprócz danych z laptopa znajdowały się na nim różne inne ważne informacje…

Z pomocą przyszedł TestDisk autorstwa Christophe’a Grenier’a. Ten mały program jest potężnym i darmowym narzędziem służącym do odzyskiwania danych. Program ten został zaprojektowany z myślą o pomocy w odzyskiwaniu utraconych partycji i przywracaniu im botowalnych flag, gdy te zostały utracone przez wadliwe oprogramowanie, określone typy wirusów lub błędy ludzkie (np. jak wyżej – przypadkowe usunięcie nie tej tablicy partycji). Odzyskiwanie tabeli partycji przy użyciu TestDisk jest naprawdę proste. W tym przypadku ograniczało się do paru kroków:

Stworzeniu pliku logu: Create a new log file

Wybraniu dysku z usuniętą tablicą partycji: Disk /dev/sda

Wybraniu rodzaju tablicy partycji: Intel/PC partition

Analizie dysku w celu odzyskania utraconych partycji: Analyse

Szybkim wyszukaniu utraconych partycji: Quick Search

Zapisaniu wszystkich odzyskanych partycji: Write

Nawigacja programu opiera się na używaniu klawiszy kursora lub Page UP / Page Down. Wybór potwierdzany jest klawiszem Enter, natomiast klawisz „q” służy do powrotu lub wyjścia z programu. Ponadto program potrafi:

Odzyskać boot sektor FAT32 z jego kopii zapasowej

Przebudować boot sektor FAT12 / FAT16 / FAT32

Naprawić tablicę FAT

Przebudować boot sektor NTFS

Odzyskać boot sektor NTFS z jego kopii zapasowej

Naprawić MFT przy użyciu jego lustrzanej kopii

Zlokalizować Backup Superblock systemów plików ext2 / ext3 / ext4

Odzyskać pliki z partycji FAT, NTFS i ext2

Skopiować pliki z usuniętych partycji FAT / NTFS i ext2 / ext3 / ext4

Odszukać zagubione partycje następujących systemów plików: BeFS, BSD disklabel, CramFS, FAT 12 / 16 / 32, exFAT, HFS, HFS+, HFSX, JFS, ext2, ext3, ext4, LUKS, RAID md 0.9 / 1.0 / 1.1 / 1.2 (RAID 1/4/5/6), Swap, LVM, LVM2, Mac partition map, NSS, NTFS, ReiserFS 3.5 / 3.6 / 4, Sun Solaris i386 disklabel, UFS, UFS2 i XFS

Usunąć lub zmienić typ partycji

Przeglądać dane z partycji i przekopiować je do katalogu programu

Sprawdzić i zmienić geometrię dysku (ilość cylindrów, sektorów i ich wielkość)

Zapisać własny MBR do pierwszego sektora

Usunąć wszystkie dane z partycji – łącznie z MBR

Program TestDisk posiada przydatne cechy zarówno dla nowicjuszy, jak i ekspertów w dziedzinie odzyskiwania danych. Dla osób, które wiedzą niewiele lub nic o technikach przywracania danych narzędzie to może po prostu posłużyć do zbierania szczegółowych informacji o dyskach, które można później udostępnić ekspertom w celu szybszej analizy problemów. Natomiast dla bardziej zaawansowanych użytkowników TestDisk powinien okazać się wygodnym narzędziem służącym do odzyskiwania danych szczególnie, że działa on na takich platformach jak: DOS, Windows (NT4, 2000, XP, 2003, Vista, 2008, Windows 7 (x86 i x64), Linux, FreeBSD, NetBSD, OpenBSD, SunOS oraz MacOS X.

TestDisk 6.10 lub TestDisk 6.11 Beta

Ściągamy i odpalamy program - w każdej wersji (czy to spod DOSa czy też spod Windowsa) wygląda tak samo:

Następnie wybieramy czy ma tworzyć zapis naszych działań - lepiej zostawić, nigdy nie wiadomo czy się nie przyda. Klikamy enter:

Wybieramy dysk (na dole program nas ostrzega ze musi być dobrze wykrywana pojemność - jeśli jest coś nie tak, trzeba bawić się w biosie lub ściągnąć najnowsze sterowniki) Po sprawdzeniu czy jest ok i wybraniu dysku klikamy enter:

Wybieramy rodzaj tablicy partycji - dla większości będzie to Intel/PC, jednak zdarzają się wyjątki - wtedy trzeba wybrać inną opcję. Po zaznaczeniu odpowiedniej klikamy enter:

Ukazują nam się jego możliwości - możemy zanalizować strukturę partycji, wejść w ustawienia plików, zmienić geometrię dysku(lepiej nie ruszać), wejść w opcje, zapisać pierwszy sektor kodem MBR wytworzonym przez TestDisk(też nie ruszać), usunąć tablice partycji, no i wyjść. Nas tak naprawdę interesuje pierwsza opcja - czyli analiza. Zaznaczamy i wchodzimy w nią:

Pokazuje nam się aktualna tablica partycji, mamy do wyboru szybki skan i zapisanie kopi tego co mamy (polecam ją zrobić). Następnie wybieramy Quick Search i idziemy dalej:

Jeśli jakieś partycje były tworzone pod Vistą wpisz "Y", jeśli wiesz że nie były wpisz "N", jak nie jesteś pewien również wpisz "Y", po wpisaniu automatycznie pójdzie nam dalej:

Upewniasz się ze partycja (patrzeć na pojemność i nazwy - czasami wyświetlane) z Systemem jest zaznaczona *. Jeśli nie to tak zmieniamy jak były - partycja systemowa ma mieć * (zmieniamy to używając strzałek). Jeśli chcemy stworzyć dodatkową partycję, wpisujemy "A", jeśli chcemy przywrócić tablice partycji która kiedyś zapisaliśmy wciskamy "L", natomiast Wciśnięcie "T" pozwoli nam zmienić rodzaj partycji - jeśli coś jest źle wykrywane, lub po prostu chcemy mieć inną:

Wybieramy rodzaj i wciskamy enter dajemy "Y" znów enter i tyle. Nic nie zmieniać jeśli wszystko jest OK. Jak już wszystko będzie dobrze ustawione, lub za mało partycji zostało wykrytych, wciskamy enter:

Jeśli wykryto wszystkie partycje i wszystko się zgadza, zaznaczamy Write - zapisze to nowe tablice partycji - jeśli po restarcie coś będzie źle (np. Windows się nie włączy) - nie panikuj, wejdź ponownie do programu - spod DOS, i dojdź do tego samego momentu. Jak po zapisaniu jest coś źle, lub nie wszystkie partycje zostały wykryte dajemy Deeper Search - potrwa to dosyć długo w zależności od dysków. Jak już wszystko się zakończy ponownie trafimy do:

Teraz już wszystkie partycje powinny być wykryte - znów ustawiamy je tak jak być powinny, idziemy dalej i zapisujemy Tablice partycji - przywraca bootowalność systemu, przywraca do życia zagubione partycje. Istnieje mała sztuczka - jeśli system się nie uruchamia bo jest niewykrywany, a chcemy tylko go odzyskać, włączamy Deeper Search tylko na chwile do czasu aż nam wykryje partycje systemową, wtedy zakańczamy szukanie i zaznaczamy ze jest to partycja bootowalna i zapisujemy takie tablice partycji - jednak inne partycję mogą wtedy zniknąć, lub po prostu nie zostaną przywrócone, stosować jak chce się tylko włączyć system i spod niego odzyskać dane.

Odzyskiwanie partycji / tablicy partycji

Pobieramy aplikację i uruchamiamy ją. W tutorialu wykorzystana jest wersja dla Windows uruchomiona w systemie Windows 7.

Tworzenie loga – domyślnie zaznaczona jest opcja [Create], która tworzy nowy plik dziennika zawierający informacje o efektach pracy aplikacji. Plik testdisk.log zapisywany jest w folderze, z którego uruchamiamy Testdisk. Jeżeli plik już jest zostanie nadpisany. Opcją [Append] dopisujemy informacje do istniejącego pliku. Aby zrezygnować z tworzenia loga wybieramy [No log].

Program nie ma typowego interfejsu graficznego, obsługujemy go z konsoli (wiersz polecenia). Obsługa nie jest jednak bardzo trudna >>> poruszamy się wciskając klawisze strzałek klawiatury, góra-dół. Po wybraniu stosownej opcji wciskamy klawisz ”Enter“, aby przejść do dalszego etapu.

Wybór dysku – aplikacja wyświetli listę wykrytych dysków fizycznych wraz z ich pojemnością. Najczęściej komputer ma tylko jeden dysk wewnętrzny fizyczny, ale czasami może ich mieć kilka. Program wykrywa dodatkowo dyski zewnętrzne oraz pendrajwy USB.

Wybieramy dysk do analizy, upewniamy się, że zaznaczona jest opcja [Proceed] i wciskamy Enter. Klawiszami strzałek lewo / prawo możemy przenieś się do opcji [Quit] i zakończyć pracę z programem.

Wybór typu tabeli partycji – wybieramy typ tabeli partycji. Program zresztą u dołu ekranu wyświetla wskazówkę (Hint) o typie wykrytej tabeli. W większości przypadków (komputery stacjonarne + laptopy) będzie to [Intel], jeżeli mamy dysk GPT będzie to [EFI GPT].

Wybór operacji – wybieramy typ akcji jaki aplikacja ma wykonać na dysku:

[ Analyse ] – jeśli chcemy odzyskać utraconą partycje

[ Advanced ] – zmiana typu partycji, naprawa boot sektora, podejrzenie zawartości partycji z możliwością kopiowania plików, odzyskiwanie usuniętych plików oraz stworzenie obrazu dysku.

[ Geometry ] – zmiana geometrii dysku

[ Options ] – opcje aplikacji

[ MBR Code ] – naprawa Master Boot Record

[ Delete ] – usunięcie tablicy partycji, kod MBR pozostanie nienaruszony.

[ Quit ] – powrót do wyboru dysku

Wybieramy [ Analyse ] aby odzyskać partycje.

Aplikacja wyświetli aktualną strukturę partycji na dysku. Jeżeli nie znajdzie żadnych partycji „No partition is bootable” wybieramy [Quick Search] i wciskamy klawisz ”Enter“ – rozpocznie się przeszukiwanie dysku w celu odnalezienia skasowanych / utraconych partycji. Możemy także zapisać aktualny stan partycji do pliku backup.log, który znajdziemy w folderze, z którego uruchamiamy program.

Po zakończeniu przeszukiwania wyświetlą się wykryte partycje ( w kolorze zielonym ). Program określa także status każdej z nich:

* to partycja aktywna, startowa, podstawowa bootowalna

P to partycja podstawowa

L to dysk logiczny wewnątrz partycji rozszerzonej, extendend

D to partycja usunięta, do usunięcia

Status partycji możemy zmienić zaznaczając jedną z nich i używając klawiszy lewo / prawo z klawiatury. Jeśli partycja ma status startowej (*), ale nie uruchamialiśmy z niej komputera, możemy zmienić ją jako partycja podstawowa (P).

Jeśli wyświetlone zostaną również partycje dawno i celowo usunięta, wybieramy je klawiszami kursora góra/dół, a następnie klawiszami lewo/prawo odznaczamy je – przed typem partycji wyświetli się literka D, a kolor wiersza musi się zmienić z zielonego na jasnoszary.

Generalnie to partycje oznaczone kolorem zielonym są przywracane, zaś kolorem jasnoszarym – nie. Wciskamy Enter aby przejść dalej.

Klikając klawisz P na wybranej partycji uzyskamy listę plików, które się na niej znajdują – pozwala to na weryfikację. Jeżeli partycja jest stara, wyświetli się komunikat o uszkodzonym systemie plików – C’ant open filesystem. Na tym etapie możemy także kopiować wszystkie pliki, co jest przydatne w sytuacji, gdy system nie startuje i się nie uruchamia, a my potrzebujemy uzyskać dostęp do plików. Szerszy opis jak to zrobić znajduje się poniżej, w sekcji Odzyskiwanie plików, Undelete.

Wciskając klawisz T na wybranej partycji możemy zmienić jej typ. Aplikacja wyświetli bieżący typ oraz umożliwia jego zmianę: zaznaczamy „List of partition type”, klikamy Enter, w kolejnym etapie wpisujemy nowy typ partycji odpowiadając na pytanie „New partition type [current XX], bazując na wyświetlonej w oknie liście typów >>> realnie musimy wpisać kod, który identyfikuje typ partycji np. partycje NTFS maja kod 07, więc musimy wpisać „07”.

Klawiszem A mamy możliwość dodania i utworzenia nowej partycji. Sposób dla zaawansowanych – ustawiamy początkowy i końcowy numer cylindra, head i sektora oraz wybieramy typ partycji. Tak utworzona partycja wymaga sformatowania z poziomu systemu.

Gdy program odnalazł skasowane partycje, a my określiliśmy, które będziemy przywracać, a które nie, a pomocą klawiszy prawo/lewo wybieramy [ Write ] aby zapisać zmodyfikowaną tablicę partycji na dysku.

Jeżeli nie wszystkie zostały znalezione możemy wykonać bardziej szczegółowe wyszukiwanie – wybieramy domyślną opcję [Deeper Search] – wciskamy enter.

Na pytanie czy zapisać zmodyfikowaną tabele partycji odpowiadamy wpisując „Y”, czyli potwierdzamy. Wyświetli się komunikat, aby zrestartować komputer, aby zmiany odniosły skutek. Teraz powinniśmy mieć dostęp do utraconej partycji wraz z jej zawartością.

Menu Advanced

Po wybraniu dysku do analizy i typu tabeli partycji wyświetli się okno z wyborem operacji. W menu Advanced mamy dostęp do kilku przydatnych funkcji:

[ Type ] – zmiana typu partycji.

[ Boot ] – naprawa boot sektora partycji oraz MFT.

[ List ] – podejrzenie zawartości partycji oraz możliwość kopiowania plików.

[ Undelete ] – odzyskiwanie usuniętych plików.

[ Image Creation ] – tworzenie obrazu dysku.

[ Quit ] – powrót do głównego menu.

Naprawa sektora rozruchowego partycji (Boot Sector):

(sektor zapisany w pierwszych bajtach partycji)

Objawy: komunikat „Błąd ładowania systemu operacyjnego”, „Error loading operating system”, „Boot failure”.

Wchodzimy w menu [ Advanced ] i wybieramy opcję „Boot”.

Mamy możliwość przywrócenia sektora z kopii zapasowej (Backup BS) lub aktualizację kopii zapasowej z obecnego sektora rozruchowego. Jeśli nie ma kopii trzeba odtworzyć sektor – wybieramy RebuildBS –> List aby sprawdzić efekty i Write aby zapisać.

Jeśli boot sektor jest uszkodzony trzeba go naprawić – można wykorzystać kopię zapasowa sektora rozruchowego i nadpisać nim uszkodzony. Wybieramy Backup BS, Enner, wpisujemy „y” i OK.

Opcją [Dump] wykonujemy kopię zapasową sektorów.

Naprawa NTFS MFT – wybieramy opcję „Repair MFT”.

Wyświetli się komunikat, że sektor rozruchowy został pomyślnie odzyskany.

Odzyskiwanie plików:

jeśli chcemy odzyskać usunięte pliki wybieramy [ Advanced ]

następnie wskazujemy partycje, zaznaczamy [ Undelete ]

aplikacja wyświetli usunięte pliki – naciskamy klawisz „c”, aby skopiować bieżący, wybrany plik. Aby zaznaczyć kilka plików przytrzymujemy klawisze „SHIFT + :” (dwukropek), zaś klawisz „a” zaznacza wszystkie pliki. Duża litera „C” kopiuje zaznaczone pliki.

Następnie wybieramy miejsce zapisu – strzałkami kursora wybieramy docelowy katalog, zaś literą „c” akceptujemy aktualną lokalizację.

Kopiowanie dysku do pliku obrazu

wybieramy [ Advanced ]

następnie wskazujemy partycje, zaznaczamy [ Image creation ]

w kolejnym oknie wybieramy miejsce zapisu (domyślnie zapisywany jest plik obrazu image.dd w katalogu /TestDisk/win) – strzałką w lewo kursora cofamy ścieżkę dostępu (strzałka w prawo przechodzimy dalej), literą „c” akceptujemy aktualną.

rozpocznie się proces tworzenia obrazu, którego postęp jest wyświetlany w oknie aplikacji. Po ukończeniu wyświetli sie komunikat ” Image created successfully”.

Kopiowanie odbywa się metodą sektor w sektor, więc kopiowane jest wolne i zajęte miejsce, a rozmiar pliku odpowiada pojemności dysku. Utworzony plik można otworzyć w 7-zip i wyodrębniać pliki.

Naprawa Master Boot Record (MBR):

(jest to pierwszy sektor na dysku twardym)

Objawy: „Master Boot Record error”, „Sector not found”, „Invalid partition table” i pochodne lub pusty czarny ekran, „Operating System not found” . Zamazanie MBR powoduje, że komputer nie może odnaleźć systemu operacyjnego, który najprawdopodobniej znajduje się w stanie nienaruszonym na dysku (nie może odczytać z której partycji ma startować system).

Naprawa: wybieramy opcję „MBRCode” – po użyciu tego polecenia TestDisk nadpisze obszar kodu dysku niezbędnego do uruchamiania systemu operacyjnego.

Jednak, gdy uszkodzenia spowodował wirus MBR nie jest to metoda polecana czy też bezpieczna. Istnieje grupa wirusów, które szyfrują MBR i wtedy taka komenda stanie się absolutną katastrofą czyniąc dysk niedostępnym. Używamy jej tylko wtedy gdy mamy pewność, że wirus tam zlokalizowany nie jest typu „szyfrującego”.

Usunięcie wszystkich partycji

Opcja nadpisuje w kodzie MBR tablicę partycji, zeruje ją. Oznacza to, że wszystkie partycje zostaną usunięte wraz z plikami znajdującymi się na nich.

GRUB oraz GRUB2 jest jak bootloader systemu Windows, to co znajduje się w MBR to tylko jego część, reszta znajduje się w katalogu /boot bez tego bootloader nie działa. Czasy Lilo minęły bezpowrotnie.

Gdy partycja NTFS po testdisk-u jest pusta lub system chce ją formatować, należy wykonać odzysk MFT za pomocą testdisk, to często przywraca fs do stanu sprzed awarii.

Nie rozumiem też czemu zmieniłeś partycję linux na NTFS.

Jeżeli to co piszesz jest pewne to pozostaje ci data carving... ale zanim zaczniesz spróbuj DMDE lub ZAR. To dwa niezłe programy (pod Windows) które czasem wydobywają strukturę katalogów z tego po pozostało na dysku. Jeżeli to nie pomoże to zostaje data carving.

Staraj się na przyszłość tworzyć same partycje podstawowe, to ułatwia manipulowanie nimi.

MBR i Tablice partycji można naprawić ręcznie wpisując ja np. programem DMDE . Lepiej robić to ręcznie z wiedzą co się robi i jak aby w razie problemów wychwycić to czego automatyczne programy nie wychwycą.

MFT to nie to samo co MBR - gdzie mieści się tabela partycji.

Opisy MFT i Partycji

http://www.elektroda.pl/rtvforum/topic962055.html

http://www.elektroda.pl/rtvforum/topic891920.html

Wygenerowanie nowej nie naprawi jej. Trzeba ja naprawić.

MBR i Tablice partycji można naprawić ręcznie wpisując ja np. programem DMDE . Lepiej robić to ręcznie z wiedzą co się robi i jak aby w razie problemów wychwycić to czego automatyczne programy nie wychwycą.