Infracción del sistema de archivos en disco duro. Sistema de archivos lógico corrupto

Recuperación sistema de archivos  Unidad flash USB 2 de marzo de 2013

Hace tiempo que quería escribir un breve artículo sobre recuperación de datos, pero de alguna manera no había ninguna posibilidad, ya que escribir "sin nada" es al menos inconveniente, puede olvidarse de escribir sobre algún punto importante y, de nuevo, ¿dónde obtener pantallas de impresión? Pero, como dicen, el que busca encontrará. Yo también Quería escribir un artículo sobre un ejemplo concreto; por favor, el caso se presentó. Y después de todo, ¿era necesario que esto sucediera y escribiré sobre mi propio ejemplo?
La situación es dolorosamente familiar, si no cada tercer usuario de medios de almacenamiento USB, cada quinto sabe cómo beber. Inserta una unidad flash con tranquilidad ( disco duro, una tarjeta de memoria, ...) a la memoria USB, te despedirá así que adiós, y eso es todo. Y no se muestra ninguna actividad, incluso en la ventana "Mi PC". El primer pensamiento simplemente no es banal: bueno, debe volver a flashear la unidad flash de una nueva manera. Apenas dicho que hecho. Sacamos la unidad flash, la insertamos en el conector USB y vemos la siguiente imagen:
001.


Es aquí donde generalmente llega el entendimiento de que:
a) la memoria USB vino un animal peludo
b) la unidad flash tenía datos tan importantes y en ningún otro lugar guardados
c) todavía había un montón de otros archivos en la unidad flash, y ni siquiera recuerdas lo que había en él, por qué comienzas a pensar que incluso tenía lo que realmente nunca sucedió, pero ahora es algo irrevocable e irreparablemente perdido

Y aquí ya es una pena para cualquiera: datos o una unidad flash; Personalmente siempre sentí pena por los datos.

Entonces, la situación gradualmente llega a una mente en pánico. Y el primer movimiento que ocurre es hacer clic en el botón "Formatear disco" en la ventana de arriba. Si lo hace, en el 99.9% de los casos obtendrá una unidad flash viable. Pero completamente sin datos, ya que estará formateado.

Por supuesto, puede intentar recuperar los datos necesarios con la ayuda de varios programas de RESTAURACIÓN DE ARCHIVOS. Pero este es un camino largo y complicado y, lo que es más importante, improductivo, porque según las estadísticas, la mayoría de los archivos sin importancia se restauran, y la mayoría de los programas, cuando se restauran, asignan a los archivos no sus nombres originales, sino nombres de la serie "00001 ~ .doc", que por sí misma hace que sea necesario ver todos los archivos recuperados manualmente, buscando los necesarios. Además, tales programas generalmente extraen no solo la última versión del archivo, sino que a veces una cierta cantidad de sus copias anteriores, lo que genera nuevo problema  - buscar última versión  Archivo de interés para nosotros. Otro inconveniente importante de este método, en mi opinión, es que dichos programas recuperan, por regla general, solo archivos de cierto tipo, por ejemplo, solo archivos de texto  (.doc, .txt, .xls, etc.), o solo fotografías (.jpeg, .psd, etc.).

Para resumir, las desventajas del método llamado RECUPERACIÓN DE ARCHIVOS incluyen lo siguiente (en el orden de la crítica en mi opinión personal):
  - A menudo, la incapacidad de restaurar archivos a carpetas (como estaban antes) y con los nombres anteriores. Por lo tanto, se necesita una gran cantidad de tiempo para la clasificación posterior de los archivos recuperados, la búsqueda de las (últimas) copias necesarias de los archivos que nos interesan entre las muchas "mejoras" recuperadas, de cambio de nombre y otras "mejoras" a los archivos recibidos. Tuve una situación similar con un externo hace ocho años disco duro  60 gigabytes (un gran volumen para la época), en el que se almacenaba la única versión del archivo de fotos. Hasta ahora, no todas las fotos recuperadas se habían ordenado en carpetas: hay alrededor de 10 gigabytes de fotos en un montón común.
  - "Afilado" de dichos programas para restaurar tipos específicos de archivos (solo prueba, solo fotos) - y en este sentido, la imposibilidad de restaurar, por ejemplo, archivos de inicio de programas y, en general, cualquier otro contenido que no se aplique a los enumerados en la descripción de cada programa específico.

Por lo tanto, prefiero un camino diferente.

RECUPERACIÓN DEL SISTEMA DE ARCHIVO DE MEDIOS DE INFORMACIÓN.

En la ventana con una propuesta para formatear el medio de almacenamiento dañado, haga clic en "Cancelar". Después de esto, debe asegurarse de que este medio esté físicamente vivo (aunque la ventana anterior confirma indirectamente este hecho). Esto puede verificarse en el servicio de Windows llamado "Administración de discos". En Windows 7, puede hacer esto de la siguiente manera: haga clic con el botón derecho en el icono "Computadora" y seleccione "Administración" en el menú desplegable.
002.

En la ventana que se abre, en el panel izquierdo, abra el elemento "Dispositivos de almacenamiento" (si no está abierto) y seleccione "Administración de discos" en él.
003.


Después de que el sistema operativo carga todo lo que tiene disponible medios físicos (discos duros, unidades flash, lectores de tarjetas, etc.) estamos buscando una unidad fallida en la lista (puede encontrarla en particular al conocer su volumen, por lo que, en mi caso, era una unidad flash de 32 gigabytes). Encontrado: observe el tipo de sistema de archivos. Lo más probable es que sea el llamado RAW.
004.


No confunda el tipo RAW del sistema de archivos y el tipo RAW del archivo, en el que, en particular, se filman muchas cámaras profesionales. Estas son dos cosas radicalmente diferentes, aunque por nombre son las mismas. Aunque en ambos casos este es el tipo de organización de datos "en bruto", es solo en un caso, con respecto al sistema de archivos, y en el otro, con respecto al formato de datos sin ningún procesamiento, es decir, en la forma en que se obtuvieron del dispositivo para tomar estos mismos datos.

El tipo RAW de un sistema de archivos surge cuando, por alguna razón, el sector del medio de almacenamiento responsable de determinar el tipo de sistema de archivos (NTFS, FAT32, etc.) está dañado. Esto puede suceder por varias razones, pero las más comunes, quizás las siguientes:
  - fallo de alimentación durante la inicialización del medio de almacenamiento
  - acción de los virus
  - envejecimiento del portador de información y muerte física de los sectores responsables del almacenamiento de información sobre el tipo de sistema de archivos

Por lo tanto, nos aseguramos de que el medio de almacenamiento esté vivo (es decir, el controlador responsable de su funcionamiento está funcionando, así como la memoria del dispositivo está viva, es decir, en el caso de unidades flash y tarjetas de memoria, un chip en el que la información se almacena realmente).

Ahora puede comenzar a restaurar el sistema de archivos.

Aquí vale la pena señalar lo siguiente:
- La primera recomendación es crear una copia de clúster a partir de un medio de almacenamiento dañado. En la práctica, esto significa que se necesita al menos un medio de almacenamiento más que sea más grande que el medio de almacenamiento restaurado. La recomendación al menos no tiene sentido, como en el caso de intento fallido  la recuperación del sistema de archivos en este caso podrá repetir la operación nuevamente. En realidad, este elemento generalmente es ignorado por los restauradores, que luego sufren dolorosamente ...
  - El principio de restaurar un sistema de archivos en diferentes medios de almacenamiento es básicamente el mismo, pero aquí es el preferido software  - Varios. Por ejemplo, el excelente programa "PTDD Partition Table Doctor 3.5" se puede utilizar SOLAMENTE para restaurar el sistema de archivos discos durosinstalado directamente en la computadora. Los dispositivos USB no son compatibles con el programa. Para restaurar la información mediante el método de restauración de un sistema de archivos desde unidades flash y tarjetas de memoria, es muy conveniente utilizar el programa R.saver, que es absolutamente gratuito para uso no comercial en el territorio de la antigua URSS.

Como en mi caso la unidad flash resultó ser la unidad dañada, utilicé el programa R.saver. Después de descargar el programa desde el sitio web oficial de R.Lab (¡y "pesa" menos de un megabyte!), Descomprímalo en un lugar conveniente y ejecute el archivo "r.saver.exe".
005.


Se abre la ventana del programa inicial, en la parte izquierda de la cual seleccionamos la unidad de interés para nosotros haciendo clic en ella con el botón izquierdo del mouse.
006.


El lado derecho de la ventana muestra información avanzada sobre el medio seleccionado. Nos aseguramos de que esté seleccionado el dispositivo deseado y hacemos clic en el botón "Escanear".
007.


Respondemos afirmativamente ("Sí") a la solicitud del programa para un análisis completo (sector por sector) del sistema de archivos de la unidad
008.


Después de esto, comienza el proceso de reconstrucción del sistema de archivos y la determinación de los archivos ubicados en la unidad:
009.


010.


El tiempo de esta operación depende del volumen y la velocidad de la unidad restaurada, así como de la potencia de la computadora. En mi caso (unidad flash de alta velocidad de 32 GB), tardé entre 20 y 25 minutos en recuperar la información.

Al finalizar esta operación, obtenemos la siguiente ventana con la visualización de carpetas y archivos disponibles en la unidad flash:
011.


Presionamos el botón "Selección masiva" para copiar los archivos y carpetas que nos interesan con esta unidad a otro trabajador. No debe temer que el volumen de carpetas se muestre como "0 Kb". Todos los archivos que deberían estar en carpetas están presentes en ellos. Es solo que el peso de la carpeta en sí (sin los archivos que contiene) es de varios bytes, es decir, al redondear a kilobytes, solo se muestra 0 kilobytes. Entonces, seleccione archivos necesarios  y carpetas y haga clic en el botón "Guardar seleccionados".
012.


Seleccione la carpeta de destino (debe crearse de antemano), haga clic en "Seleccionar".
013.


Y eso es todo: el proceso de copia de datos ha comenzado, al final del cual puede, asegurándose de que todos los datos se hayan restaurado y copiado con éxito, cierre el programa R.saver, formatee la unidad flash y transfiera todos los datos recuperados a ella, sin olvidar hacerlo copia de seguridad  documentos críticos
014.


Este proceso, por supuesto, se relaciona más con la recuperación de datos, pero se basa en la recuperación del sistema de archivos. unidad dañada, y por lo tanto lo considero más progresivo que recuperación estándar  tipos de archivos selectivos utilizando programas "clásicos".

A menudo, el mal funcionamiento cuando se trabaja con unidades flash está asociado con una definición incorrecta del sistema de archivos y otros bloqueos de software. Es decir, los datos grabados por los usuarios no desaparecen en ninguna parte, solo el sistema no puede acceder al contenido del disco.

Por lo general, se ve así: conecta la unidad flash USB a la computadora, intenta abrirla, pero ve una notificación de que el disco debe formatearse primero. Si ejecuta el formateo, todos los datos se eliminarán, por lo tanto, haga clic en "Cancelar" aquí.

Muy a menudo, este mensaje aparece cuando el sistema de archivos se detecta incorrectamente. La causa puede ser una falla a nivel de la estructura del medio o daño mecánico al disco. Si la unidad flash está en buen estado físico y desea restaurar el sistema de archivos sin perder datos, tendrá que averiguar qué formato necesita.

Tipos de sistemas de archivos

Cualquier unidad tiene un sistema de archivos; la mayoría de las veces es FAT o NTFS. Si, por algún motivo, se produce un fallo en la estructura del disco (el medio no se retira correctamente, la sobrecarga de energía, el daño mecánico), entonces, en lugar de FAT32 o NTFS aparece formato RAW.

RAW es la ausencia de cualquier sistema de archivos, un formato que demuestre la presencia de un problema en el HDD o en la unidad flash.

No es posible leer información de medios con formato RAW. Para eliminar este inconveniente, debe cambiar el sistema de archivos a NTFS o FAT. Esto se realiza mediante el formato, pero para no recuperar los datos eliminados, es mejor utilizar otros métodos.

Recuperar archivos RAW del disco

Si el sistema de archivos se ha convertido en RAW en el disco, y no puede permitirse formatearlo, ya que los datos eliminados pueden perderse permanentemente, intente usar las funciones de la utilidad iCare Recuperación de datos, que incluye la herramienta Deep Scan Recovery.



El informe después del escaneo se presentará en secciones. Para evitar que los datos encontrados se eliminen al cambiar el formato de RAW a NTFS o FAT, selecciónelo y haga clic en "Guardar archivos". Indique el lugar en su disco duro y guarde los archivos detectados; ya no estarán entre los eliminados, incluso si ejecuta el formateo de un disco extraíble.

Para cada modelo de unidad flash, puede encontrar su propio programa de cambio de formato de RAW a FAT o NTFS. El problema es que la mayoría de los programas de este tipo sobrescriben completamente los datos de las particiones, por lo que la recuperación posterior de los archivos eliminados se convierte en una tarea imposible.

Cambiar el sistema de archivos sin pérdida de datos

A veces, el usuario se enfrenta a un tipo diferente de problema: el archivo no se escribe o no se puede leer desde los medios debido a un sistema de archivos incorrecto. Importante: el sistema de archivos está presente (es decir, no es RAW), pero no se ajusta al sistema.

Por lo general, los usuarios se enfrentan a la necesidad de cambiar el sistema de archivos de FAT a NTFS. La forma más fácil de comenzar a formatear particiones. La desventaja de este método es que al final obtienes una unidad flash con archivos borrados. Para evitar la pérdida de información, cambie el formato de otra manera:



El cambio sencillo del sistema de archivos descrito anteriormente solo es posible en una dirección: de FAT a NTFS. El procedimiento inverso sin formatear y eliminar datos no se puede realizar.

En muchos casos, el funcionamiento del entorno operativo de Windows va acompañado de la aparición de un error "Sistema de archivos dañado". La utilidad chkdsk puede solucionar esta situación si el disco duro no falla.

Este error a menudo ocurre, por ejemplo, al cambiar el tamaño de un volumen con resultados impredecibles y la pérdida de algunos datos. A veces, este error puede aparecer en el área de notificación como una advertencia con una solicitud para verificar el disco en busca de daños en el sistema de archivos.

  De qué está hablando Microsoft

Hablando de errores del sistema de archivos, hablaremos principalmente sobre NTFS. En este sistema de archivos, la necesidad de usar utilidades chkdsk  ocurre muy raramente debido a su buena tolerancia a fallas. Sin embargo, ella también puede ser incapaz de recuperarse sola. Por ejemplo, si el sector dañado es donde se encuentra la copia espejo de la tabla del archivo principal.

Microsoft informa que en casos muy raros, los metarchivos $ MFT y $ BITMAP pueden dañarse. El primero almacena los datos en la tabla del archivo principal, y el segundo es el archivo de asignación de espacio de volumen o el archivo de mapa de bits. Son estos daños los que a veces conducen a la pérdida, y obviamente resultan ser la causa del comportamiento impredecible de los volúmenes cuando se cambian sus tamaños.

Cuando el tamaño del volumen al que se agrega el espacio no cambia, y el tamaño del volumen del que se toma el espacio libre se reduce.

Como solución al problema, los expertos de Microsoft sugieren en la consola línea de comando  ejecute la utilidad chkdsk con la bandera f. Si la utilidad puede recuperar el archivo $ BITMAP, Windows informará que se ha encontrado un espacio libre para el volumen y se han realizado los cambios necesarios.

Debo decir que si NTFS detecta un poco de daño establecido para un archivo que ha perdido su integridad, entonces Windows inicia la utilidad por sí solo. La utilidad ejecutada después del reinicio reconstruye las áreas dañadas.

  Comprobando el volumen en busca de errores

La utilidad chkdsk se puede ejecutar en modo gráfico. Para hacer esto, debe ir al disco de interés y abrir sus propiedades. La pestaña "Servicio" debe estar disponible en la ventana de propiedades, en la que se encuentra la herramienta de comprobación de errores de disco. No solo verificará, sino que también reparará automáticamente el daño encontrado.

Debe abrir el menú contextual del disco haciendo clic con el botón derecho y seleccionando "Propiedades" en él.


En la pestaña "Servicio", seleccione "Ejecutar exploración".


Si necesita verificar el volumen del sistema, Windows le advertirá que no puede verificar el volumen actualmente en uso. Por lo tanto, ella ofrecerá verificar después del próximo reinicio.

En nuestro caso, el disco del sistema está marcado y, por lo tanto, aparece una advertencia.


  Trabajamos con la consola de línea de comando.

Esta utilidad se puede ejecutar en la consola de línea de comandos. En la línea de texto de la consola, debe especificar el nombre de la utilidad chkdsk, la letra del volumen, los indicadores f y r. Entonces, el indicador f le dice a la utilidad que realice la corrección automática de errores archivos del sistema  volumen seleccionado

La segunda bandera se usa solo junto con la primera: busca sectores que han perdido su integridad.

En programas estándar  seleccione la línea de comando y abra su menú contextual para iniciarla con derechos de administrador.


En la consola de línea de comandos, especifique el nombre de la utilidad, la letra del disco que se está verificando y la marca f para verificar si hay errores en el sistema de archivos, pero la utilidad no podrá verificar el disco utilizado.


Al verificar disco del sistema  Aparece una advertencia en la consola de que no se puede realizar la verificación porque otro proceso está utilizando este volumen. Además, el sistema preguntará si es necesario planificar una verificación antes del próximo inicio de sesión y ofrecerá opciones de respuesta. Elija Y para verificar, como en la figura anterior.

Como resultado, el próximo inicio de sesión se suspenderá después de que aparezca el logotipo de Windows, ya que aparecerá la utilidad chkdsk. Ella ofrecerá la opción de continuar la entrada o llevar a cabo la auditoría, que fue planeada. Además, este curso de eventos no depende de la forma en que se inicia la utilidad, desde la línea de comandos o desde las propiedades de volumen en la interfaz gráfica.

Trabajo de utilidad


Primero, la utilidad proporcionará la capacidad de interrumpir una operación programada. Para tomar una decisión, por defecto proporciona unos 10 segundos para pensar. Al presionar cualquier tecla en este momento se interrumpirá la verificación programada. A continuación, comprobará la integridad de los metarchivos $ MFT y $ BITMAP, la estructura del directorio y del índice de archivos, y los identificadores de seguridad.

Luego se intenta leer cada sector donde se escriben los archivos, con el registro de los sectores que han perdido su integridad en el metarchivo $ BadClus. Y por último, chkdsk hace el cheque espacio libre  con la adición malos sectores  al mismo metarchivo.

La primera etapa de verificación, durante la cual se verifica la integridad de los metarchivos.



Validación del descriptor de seguridad.


Esperando reinicio después de la verificación.


  Si Windows no puede iniciarse

A veces, el daño al sistema de archivos es tan grave que genera problemas al cargar el sistema. En este caso, se recomienda extraer el disco duro y conectarlo a otra PC. Pero este procedimiento no es necesario en absoluto, ya que puede acceder a los discos del sistema y la utilidad chkdsk desde LiveCD. Una de estas imágenes "animadas" puede ser LiveCD Seven.

Arrancamos desde el disco presionando cualquier botón del teclado. Para hacer esto, primero instalamos el CD-ROM en el BIOS en el orden de arranque primero para el sondeo.






Los recursos de LiveCD nos mostrarán los volúmenes disponibles, y necesitamos C o D que represente nuestro sistema que no se inició.


Elija, por ejemplo, conducir C y pasar a sus propiedades.


En las propiedades, vaya a la pestaña "Servicio" y realice una comprobación.



Después de verificar, obtenemos el resultado. Como puede ver, no fue necesario reiniciar para verificar el volumen del sistema.


El uso de la imagen LiveCD no requiere un reinicio del sistema, ya que la utilidad chkdsk funcionará con volúmenes bloqueados; incluso el sistema no se usa, y por lo tanto no hay necesidad de programar un análisis antes del próximo arranque. La utilidad verificará inmediatamente la unidad requerida. Al mismo tiempo, esto se puede hacer tanto en la interfaz gráfica como en la consola de línea de comandos.


Para ejecutar la línea de comando con derechos de administrador, iremos a la consola a través del elemento de menú "Programas".


En la ventana de comandos, especifique la utilidad para verificar el disco y la bandera f. Como puede ver, no fue necesario reiniciar aquí, pero la utilidad realizó todos los pasos de inmediato.

NTFS sigue siendo el sistema de archivos más común hasta la fecha, aunque Windows continúa admitiendo formatos FAT, proporcionando sus controladores locales para trabajar con, por ejemplo, unidades flash. La pérdida de integridad de los metarchivos del sistema de archivos (archivo de tabla principal, archivo de mapa de bits) provoca el error "El sistema de archivos está dañado". Un ejemplo de este tipo de error puede ser el tema ampliamente discutido de los volúmenes imprevistos que pierden su espacio durante las operaciones de cambio de tamaño del volumen.

Puede reconstruir metarchivos dañados con la utilidad chkdsk que se incluye con el entorno de Windows. Se puede realizar tanto en la interfaz gráfica como desde la línea de comandos. Después de reiniciar, la utilidad restaurará el sistema de archivos. Si, como resultado de daños en el sistema de archivos, se vuelve imposible descargar sistema operativoentonces debería aprovechar las características de LiveCD.

Bajo mal funcionamiento lógico  En primer lugar, entienden las fallas en el sistema de archivos.

Para comprender esto y comprender las causas de las fallas, debe averiguar cuál es el sistema de archivos.

Wikipedia da la siguiente definición:

Sistema de archivos (sistema de archivos en inglés): un orden que determina el método para organizar, almacenar y nombrar datos en medios de almacenamiento en computadoras, así como en otros equipos electrónicos: cámaras digitales, teléfonos móviles  El sistema de archivos determina el formato del contenido y el método de almacenamiento físico de la información, que generalmente se agrupa en forma de archivos. Un sistema de archivos específico determina el tamaño de los nombres de archivo y (directorios), el tamaño máximo posible de archivo y partición, y un conjunto de atributos de archivo. Algunos sistemas de archivos brindan capacidades de servicio, como control de acceso o encriptación de archivos.

Los sistemas de archivos más comunes hoy en día son FAT32 y NTFS.

FAT32 se utiliza principalmente en unidades flash y tarjetas de memoria. Los medios utilizados en teléfonos inteligentes y cámaras están formateados para este sistema de archivos, NTFS se utiliza en discos duros  y discos duros portátiles de computadoras y computadoras portátiles con Windows XP, Windows Vistatodos versiones de Windows  7 y Windows 8.

El sistema de archivos consta de un registro de arranque MBR y tablas de asignación de archivos.

MBR - Inicio registro de arranque. Entre otros parámetros, MBR contiene una tabla de particiones: información sobre la estructura del disco, que incluye datos sobre el tamaño de la partición, el tamaño del clúster.

Si la partición está formateada para FAT, el MBR también contiene el número y el tamaño de las copias de FAT, datos sobre la posición del directorio raíz.

En el caso de una partición NTFS, el MBR también contiene el tamaño de la entrada del archivo, el tamaño de la entrada del directorio, la posición del primer sector de la tabla MFT y la posición de la copia de las primeras cuatro entradas MFT.

Si alguna de estas estructuras se destruye o daña, el acceso a los archivos del usuario en el disco utilizando medios regulares del sistema operativo se vuelve imposible. Por qué

Porque cualquier archivo en un disco es un conjunto de datos grabados en una cadena de clústeres.

Un clúster es la unidad más pequeña de información de unidad que consta de un cierto número de sectores de disco. El tamaño del clúster se puede configurar manualmente durante el formateo. Por defecto, el tamaño del clúster depende del tamaño de la unidad.

No siempre todos los datos se registran en una fila, a menudo existe la llamada fragmentación del disco, cuando los clústeres que pertenecen a un archivo se encuentran dispersos por el disco en varios lugares. Solo los datos sobre la posición de todas las partes del archivo están en la tabla de asignación de archivos. Si la tabla se destruye, entonces, en términos generales, es imposible entender qué parte de los datos se relaciona con qué. Por lo tanto, con la destrucción completa de las tablas de asignación de archivos, es posible restaurar solo archivos no fragmentados mediante la búsqueda de firmas correspondientes a cada tipo de archivo. Sin embargo, los datos sobre la estructura de directorios y los archivos que están fragmentados en la superficie del disco no se pueden restaurar.

Las causas de las fallas lógicas del sistema de archivos pueden ser 2 factores:

1) Errores en el funcionamiento del sistema operativo de la computadora

2) acciones incorrectas del usuario

Errores en el funcionamiento del sistema operativo.

El sistema operativo de la computadora usa constantemente el disco duro en el proceso. Incluso cuando el usuario no realiza ninguna acción, muchos procesos tienen lugar dentro del sistema operativo. Hay varios servicios que utilizan una gran cantidad de archivos en el disco duro. La grabación, la lectura y el doblaje están en curso. Al crear un nuevo archivo, o cambiar uno existente, la información sobre los clústeres que contienen los datos de este archivo se cambia en la tabla de asignación de archivos. Si los datos se escribieron en el disco y se produjo un error al escribir información en las tablas FAT o MFT, por ejemplo, la alimentación se apagó o la computadora se bloqueó, se reinició debido a un error de BSOD, la información en la tabla de asignación de archivos no cambió o los archivos escritos en la unidad deja de ser visible desde el sistema de archivos. Es decir físicamente hay datos en el disco y es imposible acceder a ellos utilizando medios regulares del sistema operativo.

Acciones de usuario incorrectas.

El problema más común hoy en día es la extracción incorrecta del dispositivo (unidad flash o disco duro) conectado a través de USB. Cuando un usuario escribe información en almacenamiento externoo edita cualquier documento ubicado en medios externos, luego de completar todas las operaciones, antes de retirar el disco duro o la unidad flash USB de la computadora, primero debe realizar una "extracción segura del dispositivo". Esto se debe al hecho de que el sistema operativo no cambia todas las entradas de la tabla de particiones inmediatamente, y antes de quitar la unidad, es necesario completar todos los cambios en las tablas FAT.

Los signos típicos de corrupción de datos lógicos son:

1) La computadora (computadora portátil, teléfono inteligente, cámara, etc.), al conectar la unidad en la que deberían estar los datos, ofrece formatear el disco.

2) Cuando se conecta una unidad flash USB o un disco duro portátil, no hay datos, el tamaño del byte es de 0 bytes

3) No hay archivos en el disco donde exactamente se deben ubicar los datos, aunque recientemente se escribieron allí.

Métodos de recuperación de datos durante una falla lógica del sistema de archivos.

La principal forma de recuperar datos, con la destrucción lógica del sistema de archivos, es escanear el disco problemático con un software especializado diseñado para recuperar datos. Al mismo tiempo, es importante tener en cuenta que para cada tipo de sistema de archivos, hay versiones separadas de los programas.

En principio, puede restaurar datos en este caso usted mismo. En Internet, hay una gran cantidad de programas diversos que le permiten buscar archivos perdidos y eliminados automáticamente.

Pero hay un aspecto importante. Para comenzar a resolver el problema usted mismo, debe asegurarse de que la falla no se haya producido debido a problemas físicos de la unidad, como la aparición de malos sectores  en el disco duro, problemas con el controlador de la unidad flash y otros. Porque Si comienza a escanear una unidad defectuosa, en el proceso, la destrucción de la parte física del disco duro, o unidad flash, puede volverse tan crítica que conducirá a una pérdida completa de información. Esto es especialmente cierto para los discos duros. Apariencia un gran número  sectores defectuosos, se puede decir que el disco duro tiene un problema con el bloque de cabezales magnéticos. Escanear un disco de este tipo conducirá al hecho de que cualquiera de los cabezales BMG puede fallar, o colapsarse físicamente tanto que raya la superficie. Y es casi imposible recuperar datos de una unidad de corte.

Por lo tanto, si surgen problemas, si el disco contiene información realmente importante para usted, es mejor comunicarse inmediatamente con el laboratorio de recuperación de datos. Ademas el diagnóstico, en laboratorios profesionales, es siempre gratuito.

Recuperación de software con R.Saver

El artículo describe los principios y métodos de recuperación de datos de software para usuarios que no tienen conocimientos especiales.

Si el valor de la información es muy alto y / o el medio de almacenamiento tiene daño físico  - Vale la pena pensar en contactar a especialistas. En este caso, la probabilidad recuperación completa  Los datos serán los más altos.

En caso de recuperación de datos independiente, vale la pena tener en cuenta la siguiente información:

  • Escribir en una partición con información recuperable puede reducir la probabilidad de recuperación de datos, ya que los datos pueden escribirse sobre los existentes. Esto también se aplica a la instalación de programas para la recuperación de datos y al almacenamiento de archivos recuperados.
  • Es recomendable minimizar todo el trabajo con la unidad fuente para aumentar las posibilidades de recuperación. Una buena práctica es crear una copia sector por sector de la unidad y usar varios métodos  restaurar a copiar.
  • Si el medio de almacenamiento tiene daños físicos (principalmente discos duros), cualquier impacto puede agravar la situación. Debe continuar restaurándose solo si el costo de los datos en sí es menor que el costo de restaurarlos por especialistas.
  • Verifique el disco por errores herramientas de Windows  creará dificultades adicionales para la recuperación de datos, hasta la imposibilidad total de su recuperación.

Estructura del disco

Para una mejor comprensión de otras acciones, hablaremos sobre estructura lógica  sistemas de discos y archivos. Si no está interesado en la teoría y necesita restaurar rápidamente los datos, puede omitir la sección e ir directamente al algoritmo de acciones.

MBR

El registro de arranque maestro, el registro de arranque principal, se encuentra en el sector cero del disco, contiene parte del código ejecutable, así como datos en cuatro particiones y qué partición es de arranque.

Si el MBR es bueno, luego de recibir el control, el código contenido en él lee la tabla de particiones y transfiere el control al código contenido en el primer sector. partición de arranque  (VBR - Registro de inicio de volumen) si contiene una firma de 55AAh al final del sector.

De lo contrario, puede aparecer un mensaje de error, por ejemplo: "Reinicie y seleccione un dispositivo de arranque adecuado" o "Tabla de partición no válida" o "Falta el sistema operativo". Todos estos mensajes pueden aparecer debido a un mal funcionamiento en el MBR o VBR, y por otras razones (se seleccionó el incorrecto disco de arranque  etc.)

Para recuperar un MBR dañado o una partición de arranque, existen utilidades especializadas como testdisk (Windows) y gpart (Linux), también puede usar la "Consola de recuperación" con disco de instalación Ventanas Su uso no siempre dará un resultado positivo al restaurar los datos, ya que además del daño a MBR y VBR, puede haber otros fallos de funcionamiento, por lo tanto, estas opciones no se cubrirán en el artículo. Y aunque hay suficientes instrucciones en la red para corregir tales fallos de funcionamiento, se recomienda que primero restaure datos importantes de la unidad y luego intente restaurar su funcionamiento correcto.

Sistemas de archivos

Cualquier sección que contenga un sistema de archivos consta de las siguientes partes:

  1. El área del cargador de arranque (VBR), que contiene información sobre la estructura de la partición, así como el código ejecutable.
  2. Un área de datos que se divide en partes iguales llamadas grupos, con cada grupo con un número único. El tamaño del clúster se establece durante el formateo.
  3. El área de datos de servicio del sistema de archivos, que puede almacenar información sobre carpetas, archivos, sus nombres, atributos, así como información sobre qué cadenas de clústeres ocupa un archivo en particular.

La ubicación de las piezas y las copias de los datos de servicio dependen del tipo de sistema de archivos.

Consideremos con más detalle los sistemas de archivos más populares en las computadoras de los usuarios: FAT y NTFS.

NTFS

La estructura del sistema de archivos NTFS se muestra esquemáticamente en la figura.

La sección comienza con el área de arranque, que contiene información sobre la sección, así como el código ejecutable. Una copia del gestor de arranque se encuentra con mayor frecuencia al final de la sección.

La siguiente área es la MFT principal (tabla maestra de archivos). Almacena información sobre directorios, archivos y sus atributos. Por lo general, bajo MFT, se reserva un área de disco del 12.5% \u200b\u200bdel tamaño de la partición. El tamaño del área reservada puede variar (tanto hacia arriba como hacia abajo), y la tabla misma puede fragmentarse.

Además, en un área determinada de la sección contiene una copia de los primeros 4 registros de servicio de la tabla.

El área de datos del usuario ocupa todo el espacio restante de la partición.

Al borrar un archivo  Las herramientas estándar del sistema operativo en el registro de archivo solo ponen una marca de que el archivo se elimina y el espacio que ocupa se marca como libre. Si después de eliminar el archivo no se realizó ninguna grabación en el disco, el archivo permaneció en su lugar y su recuperación es posible.

Al formatear una sección Se crea una nueva MFT en lugar de la anterior. Inicialmente, el tamaño de la nueva tabla es bastante pequeño (varios cientos de registros MFT), por lo que algunos registros de servicio del sistema de archivos anterior aún se pueden restaurar. Cuantos más archivos se escribieron en una partición formateada, menos probable era recuperar datos con éxito.

En este caso, los datos permanecen físicamente en su lugar, parte de la información sobre ellos almacenada en versión anterior  MFT Usando herramientas estándar del sistema operativo, estos archivos no se pueden leer.

A veces, el formato completo se denomina formato de bajo nivel, lo cual es un error. El formateo de bajo nivel es una operación tecnológica que se realiza durante la fabricación de una unidad, y es imposible implementarla utilizando métodos de software.

De hecho, solo dos tipos de formato de alto nivel están disponibles desde el sistema operativo: completo y rápido. El formateo rápido simplemente forma una tabla de partición y, con el formateo completo, primero se comprueba la unidad completa en busca de sectores defectuosos. En Windows XP, esta verificación se realiza mediante una operación de lectura (es decir, los datos permanecen en su lugar, lo que significa que en el problema de recuperación esta situación no difiere del formato rápido descrito anteriormente), y en los sectores de Windows 7 se verifican por escrito, mientras que los datos se eliminan permanentemente, y no hay forma de restaurarlos.

Gordo

La estructura del sistema de archivos FAT se muestra esquemáticamente en la figura.

Al comienzo de la sección está VBR, su copia generalmente se encuentra en 6 sectores. Después de un cierto número de sectores, se ubica la tabla FAT (Tabla de asignación de archivos), seguida de una copia de la misma.

La tabla de archivos solo almacena información sobre las cadenas de clústeres que ocupan los archivos. Los nombres y atributos de los archivos se almacenan en directorios ubicados en el área del usuario.

El área de usuario en FAT comienza con el directorio raíz, todos los demás directorios y archivos se encuentran en él. Las entradas de directorio apuntan a la primera entrada en la tabla de archivos, que contiene información sobre los grupos de archivos.

Al borrar un archivo  El primer carácter del registro de archivo se cambia a un código especial, lo que significa que el archivo se elimina. Los grupos también se marcan como libres y se elimina la información sobre la cadena de grupos ocupados por el archivo, lo que complica el procedimiento para recuperar archivos fragmentados. El área de datos permanece sin cambios, es decir, los archivos aún se pueden restaurar.

Al formatear se forma una nueva tabla de archivos y un directorio raíz, el tamaño de la tabla se indica al principio. Los datos en sí, en general, permanecen en el disco. Lo que sigue en el disco después de que la tabla recién creada permanezca intacta (es decir, información sobre la ubicación de los archivos que estaban en el disco antes de formatear). A medida que se escriben nuevos archivos, los datos en las estructuras de directorio y los archivos se reemplazan por otros nuevos, lo que reduce la probabilidad de restaurar la información existente.

Métodos de recuperación de datos

Existe como puro métodos de software  recuperación de datos y hardware y software. Esto último requiere un equipo costoso especial, experiencia y conocimiento relevantes, mientras que la recuperación de software utilizando utilidades automatizadas está disponible para casi cualquier usuario de PC. Este método se describirá más adelante.

Recuperar archivos borrados

Para restaurar archivos eliminados por medios estándar del sistema operativo, debe leer los datos del servicio, sin pasar por la interfaz del sistema de archivos. En este caso, puede obtener información sobre la ubicación de los archivos que están marcados como eliminados.

Si no se realizó la grabación posterior en el disco, entonces en esta ubicación será posible leer el archivo deseado.

Reconstrucción de un sistema de archivos dañado.

Este método se utiliza cuando el sistema de archivos ha sido dañado o formateado. Para reconstruir el sistema de archivos, es necesario escanear toda la sección para encontrar los restos de datos de servicio, sobre la base de los cuales se reproducirá la tabla de archivos y, si tiene éxito, se otorgará acceso a los archivos y carpetas almacenados en la sección.

Recuperación después de cambiar la estructura de partición de un disco

Las utilidades especializadas escanean la unidad en busca de estructuras del sistema de archivos que están en el disco. Basado en el escaneo, se construye una lista de posibles sistemas de archivos con una evaluación preliminar de su estado. El siguiente paso es verificar la disponibilidad de los datos necesarios en los sistemas encontrados.

Recuperación de firma

Recuperación RAW: restauración mediante firmas, utilizada en casos en que otros métodos no dieron un resultado satisfactorio. En este caso, el escaneo sector por sector se realiza para firmas conocidas (un conjunto único de caracteres específicos para un tipo particular de archivo).

Para los archivos encontrados, no se conocen los nombres, ni la ubicación lógica, ni los atributos. En caso de que los archivos estén fragmentados, este metodo  La recuperación será ineficaz.

Si se encontró la firma del comienzo del archivo, la siguiente tarea es encontrar el final del archivo. Por lo general, se utiliza cualquier próxima firma conocida para esto, lo que puede dar un resultado insatisfactorio. Los programas modernos usan métodos que usan los restos de datos sobre el sistema de archivos y sus características para mejorar el resultado. En algunos casos, dichos algoritmos pueden ayudar a restaurar incluso un archivo fragmentado, lo cual es imposible usando algoritmos estándar. Por ejemplo, el algoritmo IntelliRAW utilizado en programas de la familia UFS Explorer funciona en conjunto con algoritmos de reconstrucción del sistema de archivos y utiliza la información obtenida para determinar el final de los archivos. Esta implementación le permite lograr mejores resultados que cuando usa métodos simples  Recuperación de firma.

Una recuperación aproximada puede dar un buen resultado si los archivos en el disco están dispuestos secuencialmente, sin desfases ni fragmentación. Por ejemplo, al restaurar archivos de tarjetas de memoria de cámaras, videocámaras, etc.

Algoritmo de recuperación de datos

Le daremos un algoritmo como ejemplo. programa gratis  R.saver, que está disponible para uso no comercial en el antiguo CIS. Es compacto, fácil de usar y no requiere instalación. Utiliza los algoritmos del software comercial UFS Explorer, da resultados a nivel de utilidades profesionales. Los sistemas de archivos compatibles son NTFS, FAT y exFAT.

Puede descargarlo desde la página de soporte en el sitio web oficial: http://rlab.ru/tools/rsaver.html.

El archivo con el programa debe descomprimirse en una sección diferente de la que se llevará a cabo la recuperación. Si el sistema tiene solo una partición, la mejor solución sería conectar un disco con datos recuperables a otra computadora. Si esto no es posible, puede descomprimir el programa en una unidad externa (si tiene suficiente volumen para guardar los datos recuperables).

Selección de sección

Después de desempacar el programa, debe ejecutarlo. En la parte izquierda de la ventana principal, puede ver las unidades conectadas al sistema y las particiones en ellas. Si la sección deseada se encuentra automáticamente y se muestra en la lista, selecciónela y vaya al siguiente elemento.


Si la partición deseada no está en la lista (por ejemplo, se formateó la unidad o se redimensionó la partición), puede comenzar a buscar la partición perdida o configurarla usted mismo (solo si conoce los parámetros exactos de la partición). Puede seleccionar estas funciones en el menú contextual de la unidad o en la barra de herramientas.

Considere la función de búsqueda de la sección perdida con más detalle:

Después de su lanzamiento, se abrirá una nueva ventana, en la que debe hacer clic en el botón "Buscar ahora", que iniciará una búsqueda en el disco de los sistemas de archivos conocidos. A medida que se encuentren, la lista se complementará con información sobre las secciones encontradas. Las opciones más probables tendrán un ícono azul, lo que significa un buen estado de la sección. Si el ícono es amarillo o rojo, entonces la sección encontrada está muy dañada o se encuentra incorrectamente (algunos tipos de archivos pueden causar ese efecto).

De la lista de secciones es necesario marcar los que más se corresponden con los parámetros de la sección que está buscando: inicio (en sectores), tamaño (en sectores y megabytes), etiqueta, tipo de sistema de archivos.

Si el valor en la columna "tamaño" es menor que el valor en la columna "inicio", lo más probable es que esta sección no sea válida. Por lo general, estas particiones "incorrectas" son imágenes de disco almacenadas en la unidad.

Para continuar, haga clic en el botón "Usar seleccionados".

Escanear


Si seleccionó una sección con un archivo sistema NTFS, se ofrecerá una opción: ejecutar exploración completa o rápida.

El alcance de la exploración rápida es buscar archivos eliminados por medios estándar del sistema operativo. Con este análisis, solo se leen y analizan los registros de servicio en la tabla de archivos.

La exploración completa se utiliza en la mayoría de los casos. En este caso, se realizan la búsqueda de los restos de registros de servicio en la tabla de archivos, la reconstrucción virtual del sistema de archivos y el escaneo sector por sector utilizando la tecnología IntelliRAW. Da un resultado excelente, pero lleva más tiempo.

Para los sistemas de archivos FAT16 / FAT32 y exFAT, solo está disponible el modo de escaneo completo. Esto se debe al hecho de que, debido a las características de estos sistemas de archivos, en muchos casos un escaneo rápido no es suficiente para una recuperación de datos eficiente.

Guardar resultados

Una vez completado el escaneo, el programa mostrará el resultado de la reconstrucción en forma de un árbol de archivos y carpetas que se pueden encontrar.

Los iconos azules muestran elementos que son visibles por medios estándar del sistema operativo, rojos: aquellos que se han eliminado o perdido y no son accesibles por medios estándar del sistema operativo.

Además, las carpetas de servicio estarán disponibles:

  •   contiene archivos y carpetas cuya ubicación no se pudo asignar al directorio raíz
  •   contiene archivos ordenados por tipo encontrado usando la recuperación de firma (con tecnología IntelliRAW)

Para guardar los datos recuperados, ya sea en el menú contextual del elemento, seleccione la opción "Copiar a ..." o haga clic en el botón "Selección masiva" en la barra de herramientas, luego seleccione todos los elementos necesarios y haga clic en el botón "Guardar seleccionados".

Recuerde que solo es necesario guardar los datos recuperados en una partición diferente de la que se realiza la recuperación; de lo contrario, los datos podrían dañarse.