Próba odzyskania dysku twardego z komputera stacjonarnego

Mam dysk twardy znajomego, który uległ awarii z powodu wirusa, przynajmniej tak mu się wydaje.

C:\Partycja HDD pokazuje się jako niesformatowana / surowa, D:\jest w porządku i nie ma problemów. Dysk twardy pochodzi z komputera z systemem Windows 7 i obecnie znajduje się w stacji dokującej USB, jest to dysk WD Caviar Blue SATA.

Korzystanie ze znajdowania i montowania partycji Mogę zamontować dysk i przeglądać wszystkie katalogi niechronione przez profil użytkownika. Profil użytkownika jest ustawiony w taki sposób, że nie można uzyskać dostępu do pliku w nim zawartego.

Co mogę zrobić, aby rozwiązać ten problem? Wolałbym naprawić partycję, aby dysk twardy mógł być ponownie włożony do komputera i działał tak, jak powinien. Jeśli jednak nie jest to możliwe, czy można obejść to szyfrowanie i uzyskać dostęp do danych?

Ok, wygląda na to, że masz uszkodzony MFT. Na większości dysków twardych pierwsza partycja NTFS zaczyna się od sektora 63 lub sektora 2048. Ponieważ masz problem z wirusem, nie mogę obiecać, że dane na tych przesunięciach będą wyglądały dokładnie tak.

To, czego szukasz, to zwykły ciąg „NTFS” umieszczony w 4 bajtach na początku sektora.

Wydaj następujące polecenie z powłoki roota w systemie Linux:

hexdump -C /dev/sd{your drive letter} | less

następnie bezpośrednio wpisz:

/NTFS<Enter>

gdzie <Enter>dosłownie naciska klawisz Enter.

Powinieneś przejść do pierwszej instancji NTFS, która powinna wyglądać mniej więcej tak:

00012000  eb 52 90 4e 54 46 53 20  20 20 20 00 02 08 00 00  |.R.NTFS    .....|
00012010  00 00 00 00 00 f8 00 00  3f 00 ff 00 3f 00 00 00  |........?...?...|
00012020  00 00 00 00 80 00 80 00  d8 a6 3f 01 00 00 00 00  |..........?.....|
00012030  00 00 0c 00 00 00 00 00  6d fa 13 00 00 00 00 00  |........m.......|
00012040  f6 00 00 00 01 00 00 00  ad 86 66 60 c8 66 60 7e  |..........f`.f`~|
00012050  00 00 00 00 fa 33 c0 8e  d0 bc 00 7c fb b8 c0 07  |.....3.....|....|
00012060  8e d8 e8 16 00 b8 00 0d  8e c0 33 db c6 06 0e 00  |..........3.....|
00012070  10 e8 53 00 68 00 0d 68  6a 02 cb 8a 16 24 00 b4  |..S.h..hj....$..|
00012080  08 cd 13 73 05 b9 ff ff  8a f1 66 0f b6 c6 40 66  |...s......f...@f|
00012090  0f b6 d1 80 e2 3f f7 e2  86 cd c0 ed 06 41 66 0f  |.....?.......Af.|
000120a0  b7 c9 66 f7 e1 66 a3 20  00 c3 b4 41 bb aa 55 8a  |..f..f. ...A..U.| 
000120b0  16 24 00 cd 13 72 0f 81  fb 55 aa 75 09 f6 c1 01  |.$...r...U.u....|
000120c0  74 04 fe 06 14 00 c3 66  60 1e 06 66 a1 10 00 66  |t......f`..f...f|
000120d0  03 06 1c 00 66 3b 06 20  00 0f 82 3a 00 1e 66 6a  |....f;. ...:..fj| 
000120e0  00 66 50 06 53 66 68 10  00 01 00 80 3e 14 00 00  |.fP.Sfh.....>...|
000120f0  0f 85 0c 00 e8 b3 ff 80  3e 14 00 00 0f 84 61 00  |........>.....a.|
00012100  b4 42 8a 16 24 00 16 1f  8b f4 cd 13 66 58 5b 07  |.B..$.......fX[.|
00012110  66 58 66 58 1f eb 2d 66  33 d2 66 0f b7 0e 18 00  |fXfX..-f3.f.....|
00012120  66 f7 f1 fe c2 8a ca 66  8b d0 66 c1 ea 10 f7 36  |f......f..f....6|
00012130  1a 00 86 d6 8a 16 24 00  8a e8 c0 e4 06 0a cc b8  |......$.........|
00012140  01 02 cd 13 0f 82 19 00  8c c0 05 20 00 8e c0 66  |........... ...f|
00012150  ff 06 10 00 ff 0e 0e 00  0f 85 6f ff 07 1f 66 61  |..........o...fa|
00012160  c3 a0 f8 01 e8 09 00 a0  fb 01 e8 03 00 fb eb fe  |................|
00012170  b4 01 8b f0 ac 3c 00 74  09 b4 0e bb 07 00 cd 10  |.....<.t........|
00012180  eb f2 c3 0d 0a 41 20 64  69 73 6b 20 72 65 61 64  |.....A disk read|
00012190  20 65 72 72 6f 72 20 6f  63 63 75 72 72 65 64 00  | error occurred.|
000121a0  0d 0a 4e 54 4c 44 52 20  69 73 20 6d 69 73 73 69  |..NTLDR is missi|
000121b0  6e 67 00 0d 0a 4e 54 4c  44 52 20 69 73 20 63 6f  |ng...NTLDR is co|
000121c0  6d 70 72 65 73 73 65 64  00 0d 0a 50 72 65 73 73  |mpressed...Press|
000121d0  20 43 74 72 6c 2b 41 6c  74 2b 44 65 6c 20 74 6f  | Ctrl+Alt+Del to|
000121e0  20 72 65 73 74 61 72 74  0d 0a 00 00 00 00 00 00  | restart........|
000121f0  00 00 00 00 00 00 00 00  83 a0 b3 c9 00 00 55 aa  |..............U.|

Jedyne rzeczy, które są gwarantowane przez specyfikację, że są takie same, to znak końca 55 aana końcu sektora oraz ciąg identyfikatora NTFS „NTFS”, po którym następują 4 spacje

Pierwsze 3 bajty są zwykle określone jako instrukcja skoku x86, więc zwykle zaczynają się eb 52od bajtów szesnastkowych. Reszta tego sektora to informacje o partycjach (na początku) i kod (na końcu, jeśli twój komputer ma wirusa, prawdopodobnie został on zmieniony).

Musisz przekonwertować przesunięcie szesnastkowe, które less daje (w tym przypadku 12000), na dziesiętne, a następnie podzielić przez 512, aby uzyskać numer sektora.

Ponownie najbardziej normalnymi wartościami dla sektora, w którym rozpoczyna się NTFS, są 63i 2048. Odpowiada to 00007e00i 00100000dla przesunięć bajtowych.

Po znalezieniu przesunięcia sektora można zamontować sprzężenie zwrotne partycji za pośrednictwem systemu Linux, wydając następujące polecenie z powłoki root:

mount -o loop,offset=$[512*63] /dev/sd{whatever drive it is} /mnt/point

Gdzie 63jest rzeczywisty numer sektora i /mnt/pointkatalog, który istnieje ( /mnt/pointdomyślnie istnieje w niektórych dystrybucjach).

Jeśli nie wiesz, który dysk jest który, możesz dowiedzieć się, wykonując fdisk -ljako root.

Jeśli twój katalog nie istnieje, możesz go utworzyć za pomocą mkdir -p /full/path/to/directory

Alternatywnie możesz użyć testdiskdo odbudowania MFT lub po prostu skopiować pliki z partycji NTFS. Znajduje się tutaj i jest do pobrania za darmo i jest już w menedżerze pakietów niektórych z bardziej popularnych dystrybucji Linuksa.

http://www.cgsecurity.org/wiki/TestDisk