THG.RU | Поиск Поиск Поиск | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Персональные компьютеры. Компьютерное и серверное железо. > Накопители (HDD, SSD, CD, DVD, Flash и др. )

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Накопители (HDD, SSD, CD, DVD, Flash и др. ) Обменяемся опытом работы с накопителями (HDD, CD/DVD, Flash и т.д.)

Ответ
 
Опции темы Опции просмотра
Старый 09.10.2017, 07:27   #1
Меню пользователя DataLost
В процессе регистрации по e-mail
  
История с зашифрованным диском, его дешифрации и быстрым форматированием

Всем привет. Случилось очень неприятное для меня. По невнимательности, после подключения нового диска (он был RAW), спутал его с аналогичным, но зашифрованным тру криптом. Соответсвенно сделал быстрое форматирование (которое, как я понял стирает и записывает MFT). Потом на этот диск было записаны данные около ~200 гб ( самая большая неприятность). После осознаяния такого, отменил перемещние файлов, и попытался смонтировать том в тру крипте с помощью команды Сервис>Восстановить заголовок тома.
И успешно смонтировал том (ТК принял мои пароли). Но, оказалось, что при попытке доступа к диску, Проводник выдаёт ошибку: "Структура диска повреждена. Чтение невозможно". Повреждена MFT. По гуглежу и советам сделал образ диска (уже смонтированного в ТК) в программе DMDE и работаю с ним. (возможно сделал неправльно, выбрал весь диск http://puu.sh/xSVm0/8331d7c366.png первую строчку, а не вторую, где написано NTFS, индикаторы) . Сделал полно скинирование, того образа что (неправльно?) сделал. Сканировал, выбирая первую строчку: http://puu.sh/xTtr7/d7b7975dd8.png, это верно? Или нужно было выбрать вторую? Результаты полного сканирования: http://puu.sh/xSVvO/0e9d08db54.png. Так же провёл сканирование с помощью R-Studio, результаты: http://puu.sh/xSVBu/446620e212.png.

Буду благодарен каждому откликнувшемуся.

Спасибо за внимание.

Добавлено:
Я так понял, последовательность действи такая - Расшифровка диска ТК (надеюсь, что сделано, раз смонтировать дало и определилио тип ФС NTFS) > восстановление таблицы файлов (чтобы знать, где какие файлы расположены) > уже само восстановление файлов.


Цитата kickman:
stan777, да, делайте посекторную копию в DMDE. Сервис - Копировать секторы. Источник - ДИСК (выбрать проблемный), секторы от 0 до МАКС; место назначения - диск (выбрать новый), начальный сектор 0. »
Прочитал в одной из тем, я сделал в DMDE > Диск> Выбрать диск> логические диски > выбрал проблемный диск> окно разделы, выбрал первую строчку> ПКМ Создать образ/ клон в параметрах выбрал в два потока и лог-файл

Мои темы есть на это форуме на oszone, на thg и на ру борде. Очень хотелось бы привлечь к моему случаю знатоков. За мной не постостоит благодарность.

Последний раз редактировалось DataLost, 09.10.2017 в 07:39.
DataLost вне форума   Ответить с цитированием
Старый 09.10.2017, 14:30   #2
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Много написал, но забыл написать главное - то, что на этом томе были файлы "дисков" виртуальной машины, на которых и были нужные текстовые файлы.
Что касается ситуации, то тут очень много аспектов и некоторых неясностей, даже не знаю с чего начать. Попробую поэтапно и написанное про неизвестные мне вещи (true Crypt, VDI файлы) будет из разряда "просто" мысли.
1. Собственно TrueCrypt и как он работает с контейнерами.
Использую эту программу, но на уровне файлов-контейнеров, в которых хранятся куча мелких файлов, которые мне как бы особо и не нужны - поэтому не задавался целью изучить как всё это устроено и что за информация хранится в заголовке тома.
1.1. Поставил в виртуалке TC и попробовал зашифровать несистемный диск, и уже на этом этапе возникло очень много вариантов - можно зашифровать полностью нулевой диск, а можно создать на нём раздел а потом зашифровать его. И вполне логично от всего этого зависит что произошло в дальнейшем.
1.2. Наверное самое важное - как всё это устроено.
Предположим, есть заголовок тома, в котором хранится какая то служебная инфа о его утройстве, а далее собственно содержимое тома. Вот как устроено это содержимое? Напрашивается что это просто содержимое тома, но каждый его сектор шифруется. Образно говоря, если мы затираем один сектор, то и на примонтированном томе изменяется тоже один, а если затерли несколько, то испорченными становится столько же, и в такой же последовательности. Если это так, то это чуть легче по сравнению с тем, если всё не так.
1.3. Где в существующем томе (уже примонтированном) находились данные - особенно MFT.
1.4. Исходя из предыдущего попробуем предположить что сделалось с диском.
Быстрый формат переписал определённые сектора, которые по обьёму занимают до 100 мегов. Даже этого достаточно чтобы создать проблемы, но 200 гигов это нечто. Обычно данные как бы записываются в начале диска (с некоторым отступом) и далее. И если предположить что там же находилась MFT, то шанс выжить у неё ничтожен. А MFT нужна для того чтобы узнать расположение файлов виртуальных дисков. О этих файлах будет далее а пока в контексте твоего вопроса про последовательность действий отвечу - восстановление таблицы файлов это вряд ли, тут хотя бы найти записи о виртуальных дисках.

Последний раз редактировалось 9285, 10.10.2017 в 00:32. Причина: исправление мелких ошибок
9285 вне форума   Ответить с цитированием
Старый 09.10.2017, 19:53   #3
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Диск был нулевой, я его купил и сразу весь зашифровал ТК, потом уже на смонтированный стал записывать информацию. А когда я по недосмотру сделал быстрое форматирование то диск был шифрован ( не смонтирован), то есть определялся системой как RAW, не знаю, что там можно было отформатировать, так как до того как диск маунтится в ТК, он выглядит весь как RAW данные.

1.3. У меня есть логи его ( смонтированного, после этой ситуации) сканирования DMDE

Последний раз редактировалось DataLost, 09.10.2017 в 20:42.
DataLost вне форума   Ответить с цитированием
Старый 09.10.2017, 22:31   #4
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Лог можешь выложить и дать ссылку на него - посмотрю что там.
Что касается
Цитата:
Диск был нулевой, я его купил и сразу весь зашифровал ТК
Нулевой в смысле без разделов вообще или новый диск с разделом? Насколько понимаю - второй вариант, потому как в случае если на диске нет разделов. то после криптования в ТС он видится в диспетчере дисков как не размеченный - это уже проверил в виртуалке.
Цитата:
не знаю, что там можно было отформатировать, так как до того как диск маунтится в ТК, он выглядит весь как RAW данные.
Да то же самое что и при любом другом форматировании - создаётся бутсектор, прописываются метафайлы - та же MFT, журнал файловой системы, битовая карта тома и ещё кое какие файлы (в том числе зависящие чем форматировалось). Причём при их формировании прежнее содержимое секторов или остаётся частично или обнуляется полностью (например в битовой карте тома и MFT).
PS. В предыдущем ответе я написал только про TC, но ещё будет по поводу виртуальных дисков и ещё кое какие мысли.
9285 вне форума   Ответить с цитированием
Старый 09.10.2017, 23:13   #5
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Отправил в ЛС. Я его правильно просканировал, диск? А то, может быть надо было выбирать вторую строчку http://puu.sh/xSVm0/8331d7c366.png тут, а я выбрал первую (весь диск)


Текстовики (обычный текст) в файлах-дисков виртуальной машины не больше 5 килобайт
Приглашаю к исследованию моей ситуации, всех, кто способен помочь.

Последний раз редактировалось DataLost, 09.10.2017 в 23:20.
DataLost вне форума   Ответить с цитированием
Старый 09.10.2017, 23:13   #6
Меню пользователя Wu-Tang
THG Russia Forum Team
Эксперт клуба THG | HDD/SSD
 
Аватар для Wu-Tang
  
9285,
я подклею эту тему к основной?
Wu-Tang вне форума   Ответить с цитированием
Старый 09.10.2017, 23:49   #7
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Wu-Tang
Наверное не стоит. Отвечу позже в ЛС.

Добавлено через 5 минут
DataLost В данном случае нет разницы между первой и второй строкой.
Цитата:
Текстовики (обычный текст) в файлах-дисков виртуальной машины не больше 5 килобайт
Хотелось ответить про это после, но раз тебе так невтерпёж, то как раз таки наиболее рационально искать в примонтированном томе по содержимому этих файлов.
9285 вне форума   Ответить с цитированием
Старый 09.10.2017, 23:55   #8
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Цитата:
Сообщение от 9285 Посмотреть сообщение
Wu-Tang
Наверное не стоит. Отвечу позже в ЛС.

Добавлено через 5 минут
DataLost В данном случае нет разницы между первой и второй строкой.

Хотелось ответить про это после, но раз тебе так невтерпёж, то как раз таки наиболее рационально искать в примонтированном томе по содержимому этих файлов.
окей, значит правильно сканировал.
Цитата:
но раз тебе так невтерпёж,
по мне так лучше не торопиться, данные важнее < Оффтоп

Последний раз редактировалось DataLost, 10.10.2017 в 00:19.
DataLost вне форума   Ответить с цитированием
Старый 10.10.2017, 04:36   #9
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Небольшой эксперимент показал что в VDI-файле данные вроде бы как не смещены. Да и если речь идёт о текстовых файлах это не столь критично. Так что вспоминай что то характерное из содержимого нужных файлов и ищи.
9285 вне форума   Ответить с цитированием
Старый 10.10.2017, 05:56   #10
Меню пользователя DataLost
В процессе регистрации по e-mail
  
9285, Спасибо за Ваше уделяемое время мне!
Стоит ли говорить о восстановлении каких-либо VDI файлов?
Как лучше провести такой поиск? Почти во всех текстовиках одинаковые данные записаны. Ну и образы(я бы сказал даже большинство данных на это диски это копии) тоже почти идентичные по большому своему проценту.
DataLost вне форума   Ответить с цитированием
Старый 10.10.2017, 10:47   #11
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Конечно же, если ты сможешь восстановить файл виртуального диска, то это будет шикарно, и надежда на это не должна убиваться, но слишком уж серьёзные вещи ты сделал и есть куча осложняющих факторов, и самый большой - неизвестность структуры зашифрованного тома и влияние перезаписей его содержимого.
Ну и ещё нужно учитывать несколько факторов, каждый из которых в той или иной мере, влияет на возможность повреждения файла.
1. Виртуальный "диск" создавался динамический или фиксированный (этот сразу занимает обьём по размеру "диска")?
2. Делалась ли дефрагментация тома на котором записаны файлы "дисков"?
Так что это только ты можешь решить стоит ли их восстанавливать. Если решишь, то скорей всего, тоже надо будет воспользоваться поиском по именам файлов - это чтобы найти файловые записи дисков и определить какие они были.

Поиск проводить по известному содержимому.
На приложенном скриншоте видно как выглядит в хексах часть содержимого одного из ответов. Вот и ищещь или по самому тексту или по его хекс-представлению.
Миниатюры
Нажмите на изображение для увеличения
Название: Снимок.PNG
Просмотров: 30
Размер:	40.4 Кб
ID:	38348  
9285 вне форума   Ответить с цитированием
Старый 10.10.2017, 19:16   #12
Меню пользователя DataLost
В процессе регистрации по e-mail
  
1. Виртуальный "диск" создавался динамический или фиксированный (этот сразу занимает обьём по размеру "диска")?

Большинство фиксированные были, один вроде только был динамический.

2.Дефрагментация не делалась.

Это в DMDE такой поиск по именам файлов делать? и какие имена писать там?

Поиск проводить по известному содержимому. - это ещё примерно понял, что означает, только непойму, из какого пункта меню программы это делать.

Снимок не могу посмотреть, аккаунт не активирован, письма до сих пор нет, написал Wu-Tang'у

Вы можете ещё что-нибудь со своей стороны сделать? Был бы очень благодарен.

Добавлено через 19 минут
Было бы отлично восстановить несколько таких .vdi файлов, остальные, можно из них только txt файлы нужны.

Нашёл немного информации по полностью шифрованному диску https://www.wilderssecurity.com/thre.../#post-2246156 со слов "Entire device" encryption is much simpler. The volume header is located at the very beginning of the physical drive, and that's where TrueCrypt looks for it."


По сути, там где-то 3-5 образов желательно как можно более детально восстановить, остальные можно только текстовики выловить.Скажите, что нужно с моей стороны сделать.

Последний раз редактировалось DataLost, 10.10.2017 в 21:32.
DataLost вне форума   Ответить с цитированием
Старый 11.10.2017, 01:29   #13
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Всё таки продолжу "теоретическую" часть, так как без неё вряд ли будет понятно всё если отвечать просто. Да и возможно что частично отвечать не нужно будет.
2. Файлы дисков виртуальных машин бывают двух типов: фиксированные и динамические.
Фиксированный имеет обьём равный обьёму виртуального диска + какое то число секторов для служебной информации.
Из того что успел посмотреть у vdi чётко прослеживается заголовок из 4096 секторов а далее обычная структура как и в обычном диске.
Динамический - файл по сути содержит лишь служебные данные + только используемые сектора. За счёт этого он меньше, но зато данные могут быть перемешаны даже в нефрагментированном файле диска (вполне логично для изменяемых по времени файлов).
Если даже отбросить неопределённость с шифрованием ТС и последствия от повреждений его данных, - то есть рассмотреть простой том и его переформат и запись иных данных, то:
- фиксированный файл имеет плюс в том что он большой и новые данные могут попасть в неиспользуемое пространство (в динамическом любой сектор содержит инфу). Но этот плюс является и минусом - огромный файл более подвержен фрагментации и фрагменты могут разбросаны по всему диску. И если какой то из фрагментов попадёт в область записи новых данных, то вполне логично что он перезапишется. Динамический, за счёт меньшего обьёма может быть не фрагментированным и, если не попал в область перезаписи, может и сохранится целиком.
9285 вне форума   Ответить с цитированием
Старый 11.10.2017, 01:38   #14
Меню пользователя DataLost
В процессе регистрации по e-mail
  
Судя, по тому, что вы написали, восстановить структуру диска очень тяжело будет. Как я уже писал важная информация содержится в тeкcтoвых данных, я знаю содержимое большинства, как мне их искать по структуре? И какую кодировку в DMDE выбирать? Нужно открыть диск и там пойдёт сразу HEX представления, как то, что на снимке Снимок.PNG?
DataLost вне форума   Ответить с цитированием
Старый 11.10.2017, 01:43   #15
Меню пользователя 9285
Эксперт клуба THG | Logical Data Recovery
  
Что касается ответов на вопросы, то про фиксированный-динамический отвечено в "теории".
что касается дефрагментации, то речь идёт не только о таковой ручной а и о плановой средствами винды. То есть планировщик может сделать её по рассписанию (если диск не исключён из таковой).
Поиск в DMDE делать из Сервис-Найти строку. Для понимания и тем более если картинка не видна - возьми и в DMDE открой любой текстовый файл, посмотри как оно выглядит. Ещё лучше посмотреть как это выглядит в реальной файловой системе.
Вообще, лучше потренироваться "на кошках" потому как умение пользоваться таким поиском и представление как выглядят те же записи MFT или индексы будут нелишними в поиске записей, относящихся к VDI файлам (это если не хочется открывать 100500 найденных при сканировании томов и в них искать нужные файлы.
В найденной тобою инфе подтверждается опасность тог, что сделал ты. То есть при шифровке раздела ты очень легко можешь его отформатировать, а вот в случае шифровки всего диска риск повреждения есть, но в большей мере только заголовка тома (при инициализации диска).

PS. Обычно я даже в сложных ситуациях пишу что не стоит терять любой шанс, и это относится и к твоему, но ты наворотил такого что если тебе повезёт (c полноценым восстановлением VDI-файлов), то недалёк момент когда ты сорвёшь джекпот на миллиард долларов.
9285 вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 04:44.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru