TestDisk / PhotoRec: odzyskiwanie danych
TestDisk – odzyskiwanie partycji / tablicy partycji
Pobieramy aplikację i uruchamiamy ją.
Tworzenie loga – domyślnie zaznaczona jest opcja ”Create“, która tworzy plik dziennika (log) zawierający informacje uzyskane przez program podczas testowania dysku. Poruszamy się wciskając klawisze strzałek klawiatury. Po wybraniu wciskamy ”Enter“.
Wybór dysku – aplikacja wyświetli listę wykrytych dysków z ich pojemnością. Wybieramy dysk do analizy i wciskamy Enter.
Wybór typu partycji – wybieramy typ partycji, w przypadku komputera PC właściwą opcja jest [ Intel ].
Wybór operacji – wybieramy typ akcji jaki aplikacja ma wykonać na dysku:
- [ Analyse ] – jeśli chcemy odzyskać utraconą partycje
- [ Advanced ] – zmiana typu partycji, naprawa boot sektora, podejrzenie zawartości partycji, odzyskiwanie plików oraz stworzenie obrazu dysku.
- [ Geometry ] – zmiana geometrii dysku
- [ Options ] – opcje aplikacji
- [ MBR Code ] – naprawa Master Boot Record
- [ Delete ] – usunięcie tablicy partycji, kod MBR pozostanie nienaruszony.
- [ Quit ] – powrót do wyboru dysku
Aplikacja wyświetli aktualną strukturę. Jeżeli nie znajdzie żadnych partycji „No partition is bootable” wybieramy Quick Search i wciskamy klawisz ”Enter“ – rozpocznie się przeszukiwanie dysku w celu odnalezienia skasowanych partycji.
Po zakończeniu przeszukiwania wyświetlą się wykryte partycje ( w kolorze zielonym ). Jeśli wyświetlone zostaną również partycje dawno i celowo usunięta, wybieramy je klawiszami kursora góra/dół, a następnie klawiszami lewo/prawo odznaczamy je – przed typem partycji wyświetli się literka D, a kolor wiersza musi się zmienić z zielonego na jasnoszary. Klikając klawisz P na wybranej partycji uzyskamy listę plików – pozwala to na weryfikację, jeżeli partycja jest stara wyświetli się komunikat o uszkodzonym systemie plików – C’ant open filesystem. Wciskając Q cofamy się. Możliwa jest zmiana statusu partycji za pomocą klawiszy lewo/prawo jako podstawowa (P), startowa (*), logiczna (L) lub usunięta (D). Jeśli partycja ma status startowej (*), ale nie uruchamialiśmy z niej komputera, możemy zmienić ją jako partycja podstawowa (P). Partycje na zielono są przywracane, jasnoszare – nie. Wciskamy Enter aby przejść dalej.
Gdy wszystkie partycje są już prawidłowo dostępne za pomocą klawiszy prawo/lewo wybieramy [ Write ] aby zapisać zmodyfikowaną tablicę partycji na dysku. Jeżeli nie wszystkie zostały znalezione możemy powtórzyć szukanie – wybieramy domyślną opcję Deeper Search – wciskamy enter.
Na pytanie czy zapisać wciskamy „Y” i restartujemy komputer. Teraz powinniśmy mieć dostęp do utraconej partycji wraz z jej zawartością.
Naprawa sektora rozruchowego partycji (Boot Sector):
(sektor zapisany w pierwszych bajtach partycji)
Objawy: komunikat „Błąd ładowania systemu operacyjnego”, „Error loading operating system”, „Boot failure”.
Wchodzimy w menu [ Advanced ] i wybieramy opcję „Boot”. Mamy możliwość przywrócenia sektora z kopii zapasowej (Backup BS) lub aktualizację kopii zapasowej z obecnego sektora rozruchowego. Jeśli nie ma kopii trzeba odtworzyć sektor – wybieramy RebuildBS –> List aby sprawdzić efekty i Write aby zapisać.
Jeśli boot sektor jest uszkodzony trzeba go naprawić – można wykorzystać kopię zapasowa sektora rozruchowego i nadpisać nim uszkodzony. Wybieramy Backup BS, Enner, wpisujemy „y” i OK.
Naprawa NTFS MFT – wybieramy opcję „Repair MFT”.
Wyświetli się komunikat, że sektor rozruchowy został pomyślnie odzyskany.
Naprawa Master Boot Record (MBR):
(jest to pierwszy sektor na dysku twardym)
Objawy: „Master Boot Record error”, „Sector not found”, „Invalid partition table” i pochodne lub pusty czarny ekran, „Operating System not found” . Zamazanie MBR powoduje, że komputer nie może odnaleźć systemu operacyjnego, który najprawdopodobniej znajduje się w stanie nienaruszonym na dysku (nie może odczytać z której partycji ma startować system).
Naprawa: wybieramy opcję „MBRCode” – po użyciu tego polecenia TestDisk nadpisze obszar kodu dysku niezbędnego do uruchamiania systemu operacyjnego.
Jednak, gdy uszkodzenia spowodował wirus MBR nie jest to metoda polecana czy też bezpieczna. Istnieje grupa wirusów, które szyfrują MBR i wtedy taka komenda stanie się absolutną katastrofą czyniąc dysk niedostępnym. Używamy jej tylko wtedy gdy mamy pewność, że wirus tam zlokalizowany nie jest typu „szyfrującego”.
Naprawa MBR i boot sektora: Naprawa i konfiguracja rozruchu Windows
Odzyskiwanie plików:
jeśli chcemy odzyskać usunięte pliki wybieramy [ Advanced ]
następnie wskazujemy partycje, zaznaczamy [ Undelete ]
aplikacja wyświetli usunięte pliki – naciskamy c aby skopiować plik. Następnie wybieramy miejsce zapisu.
Kopiowanie dysku do pliku obrazu
wybieramy [ Advanced ],
następnie wskazujemy partycje, zaznaczamy [ Image creation ]
w kolejnym oknie wybieramy miejsce zapisu (domyslnie zapisywany jest plik obrazu image.dd w katalogu /TestDisk/win) – strzałką w lewo kursora cofamy ścieżkę dostępu, literą „c” akceptujemy aktualną.
rozpocznie się proces tworzenia obrazu, którego postęp jest wyświetlany w oknie aplikacji. Po ukończeniu wyświetli sie komunikat ” Image created successfully”.
Kopiowanie odbywa się metodą sektor w sektor, więc kopiowane jest wolne i zajęte miejsce, a rozmiar pliku odpowiada pojemności dysku. Utworzony plik można otworzyć w 7-zip i wyodrębniac pliki.
PhoteRec – początkowo sposób użycia jest podobny do TestDisk – z wyświetlonej listy dysków wybieramy ten, z którego będziemy odzyskiwać pliki. Dalej wybieramy typ partycji.
Teraz aplikacja wyświetli tablicę partycji wskazanego dysku. Najpierw możemy określić typy plików do odzyskiwania wybierając File Opt.
Wybieramy partycję do analizy, upewniamy się, że w dolnej części okna jest wybrana opcja “Search”, i wciskamy “enter”.
Wskazujemy system plików dostępny na partycji
Decydujemy czy program ma przeszukiwać cały dysk lub partycję, czy też ograniczyć wyszukiwanie tylko do obszaru niezajmowanego obecnie przez pliki.
Wybieramy, gdzie odzyskiwane pliki mają być zapisywane. Domyślnie aplikacja proponuje zapis w folderze roboczym PhotoRec (katalog, z którego jest uruchamiany). Aby zmienić lokalizację za pomocą klawiszy góra/dół przechodzimy do .. i kilkakrotnie klikamy aż uzyskamy właściwy katalog. W Linux dyski są dostępne w /media lub /mnt. Aby zaakceptować propozycję, wpisujemy “Y”.
W oknie aplikacji na bieżąco uaktualniane są statystyki odzyskanych plików, można uzyskać do nich natychmiastowy dostęp, bez czekania na zakończenie. Aby zatrzymać proces wciskamy Enter potwierdzając Stop. Aby wyjść wybieramy Quit i wciskamy Enter.
Po zakończonym skanowaniu wyświetli się podsumowanie.(proces skanowania może trwać nawet kilka godzin) przeglądamy katalog z odzyskanymi plikami – aplikacja zachowuje format, ale nie odzyskuje pierwotnych nazw plików. Dobrze jest je posortować np. pod względem typu.
-
#3 napisany przez Marcin 3 tygodni temu
Człowieku jesteś WIELKI. Spartaczyłem robotę przy instalowaniu systemu, straciłem partycje, a przez to dostęp do wszystkich danych (pliki filmowe gromadzone od 3lat). O TestDisku wiedziałem, nawet zrobiłem już i uruchomiłem samobootojącą się płytkę, ale obsługa CZARNA MAGIA.
Dzięki wielkie za pomoc. Niech Ci w dzieciach wynagrodzi
Pozdrawiam -
- Kanał RSS komentarzy wpisu
Bardzo prosty a zarazem skuteczny opis przywracania danych po usunięciu partycji z dysku. Dodam tylko, że po wybraniu opcji ANALYSE partycje które chcemy przywrócić, mają być podświetlone na zielono. Jeżeli na dysku nie było więcej partycji to nic nie należy zmieniać tylko wcisnąć ENTER by przejść dalej. Piszę o tym, gdyż nie do końca rozumiałem kwestię zmiany statusu partycji za pomocą klawiszy lewo/prawo jako podstawowa (P), startowa (*), logiczna (L) lub usunięta (D). Pewnie inni mogą mieć podobne dylematy. Po przywróceniu partycji musiałem jeszcze naprawić Master Boot Record (MBR). Wszystko poszło jak po maśle i dane odzyskane w 100%.