Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Накопители (SSD, HDD, USB Flash) (http://forum.oszone.net/forumdisplay.php?f=53)
-   -   История с зашифрованным диском, его дешифрации и быстрым форматированием (http://forum.oszone.net/showthread.php?t=330342)

datalost 08-10-2017 14:23 2769146
История с зашифрованным диском, его дешифрации и быстрым форматированием
 
Всем привет. Случилось очень неприятное для меня. По невнимательности, после подключения нового диска (он был RAW), спутал его с аналогичным, но зашифрованным тру криптом. Соответсвенно сделал быстрое форматирование (которое, как я понял стирает и записывает MFT). Потом на этот диск было записаны данные около ~200 гб ( самая большая неприятность). После осознаяния такого, отменил перемещние файлов, и попытался смонтировать том в тру крипте с помощью команды Сервис>Восстановить заголовок тома.
И успешно смонтировал том (ТК принял мои пароли). Но, оказалось, что при попытке доступа к диску, Проводник выдаёт ошибку: "Структура диска повреждена. Чтение невозможно". Повреждена MFT. По гуглежу и советам сделал образ диска (уже смонтированного в ТК) в программе DMDE и работаю с ним. (возможно сделал неправльно, выбрал весь диск http://puu.sh/xSVm0/8331d7c366.png первую строчку, а не вторую, где написано NTFS, индикаторы) . Сделал полно скинирование, того образа что (неправльно?) сделал. Результаты полного сканирования: http://puu.sh/xSVvO/0e9d08db54.png. Так же провёл сканирование с помощью R-Studio, результаты: http://puu.sh/xSVBu/446620e212.png.

Буду благодарен каждому откликнувшемуся.

Спасибо за внимание.

Добавлено:
Я так понял, последовательность действи такая - Расшифровка диска ТК (надеюсь, что сделано, раз смонтировать дало и определилио тип ФС NTFS) > восстановление таблицы файлов (чтобы знать, где какие файлы расположены) > уже само восстановление файлов.


Цитата:
Цитата kickman
stan777, да, делайте посекторную копию в DMDE. Сервис - Копировать секторы. Источник - ДИСК (выбрать проблемный), секторы от 0 до МАКС; место назначения - диск (выбрать новый), начальный сектор 0. »
Прочитал в одной из тем, я сделал в DMDE > Диск> Выбрать диск> логические диски > выбрал проблемный диск> окно разделы, выбрал первую строчку> ПКМ Создать образ/ клон в параметрах выбрал в два потока и лог-файл

datalost 08-10-2017 19:50 2769222
Такие вот дела, мне в них нужны только текстовые файлы по сути. Очень надеюсь, что сдешние гуру посочуствуют и помогут

datalost 08-10-2017 21:39 2769243
Мои ответы человеку удалил удалил модераторю
Я там писал:
На самом диске находятся файлы образов дисков Virtualbox .vdi , там в них мне только текстовые файлы размером где-то максимум килобайт 5 нужны по сути, больше ничего не надо, кроме, может ярлыков. Сами
эти файлы образов наполовину где-то пусты почти всею

kickman 09-10-2017 02:09 2769268
datalost, в течение суток, если никто не ответил, нужно добавлять текст в последнее сообщение путём правки, а не создавать новые сообщения.
На будущее: когда на диск было записано что-то (ваши 200 Гб), нужно сделать снимок карты занятого, чтобы потом понять, что затёрли. И уже после этого восстанавливать заголовки и расшифровывать, и наложить карту занятого. Будет видно, какие файлы точно умерли.
А теперь, после реконструкции в DMDE (сделайте наиболее полную реконструкцию): ищите файлы своих виртуальных дисков инструментом "Поиск по именам файлов". Если нужные файлы есть, сохраняйте их на другой носитель, и из них извлекайте нужное. Если содержимое файлов Вам известно, то можно сделать и поиск содержимого по секторам как крайнюю меру.

datalost 09-10-2017 03:04 2769272
Цитата:
Цитата kickman
datalost, в течение суток, если никто не ответил, нужно добавлять текст в последнее сообщение путём правки, а не создавать новые сообщения. »
Я ответил другому человеку, его сообщения затёрли.

А откатить это восстановление заголовка уже нельзя?
Реконструкция, так там целых несколько штук разделов нашлось https://puu.sh/xSVvO/0e9d08db54.png

Выбрал 1 ТБ раздел

kickman 15-10-2017 03:27 2770663
datalost, Как ранее Вам говорили где-то - надо открывать NTFS12 и смотреть. Есть шанс вытащить некоторые данные (файлы дисков виртуальных машин). В том числе с наиболее полной реконструкцией пробовать. Если там их всё же нет, то надо смотреть все остальные результаты NTFS 42,44,41,52,84,67,... - это могут быть в том числе виртуальные диски, и в них искать нужные файлы. Если известно имя файла - то поиском по всем результатам наиболее полной реконструкции NTFS 12, может найтись. А если известно уникальное содержимое (желательно общее для всех искомых файлов, но отсутствующее (или редко встречающееся в любых других)) - то поиском этого содержимого во всех секторах... Долго, но если оно ЕСТЬ - оно будет найдено, гарантированно. Искать по подряд идущим символам (точное соответствие), учитывать кодировку... Например, можно искать "утилизирова" или "пнул" или "отчёт за", в общем, сами сообразите.

kickman 16-10-2017 08:04 2770890
Цитата:
Цитата datalost
А как с этой кодировкой разобарться? Тупо переключать её? Я пробовал. Большинство данных - на английском языке.
Создайте в работающей системе точно таким же образом (как в виртуалках было) файл с похожим содержимым, сохраните - и смотрите его в DMDE. Если, например, сохраняли "блокнотом" в кодировке ANSI - это простая однобайтовая. Если UTF-8, то для английских слов без разницы, тоже однобайтово получится. Тогда ищите прямо ТО, что нужно. Хуже, если там UNICODE. Тогда придётся искать в шестнадцатеричных кодах, но тоже реально.
Если ещё уточните, что и как делалось, то вообще хорошо: уменьшится число вариантов, уточню, как конкретно искать, чтобы не описывать все варианты.
P.S. datalost превысил(а) максимальный объем сохраненных персональных сообщений и не может получать новые сообщения, пока не удалит часть старых.


Время: 22:37.

Время: 22:37.
© OSzone.net 2001-