Ответить
  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 26 декабря 2003 18:07 Редактировалось ASM, 25 раз(а).

    Самостоятельная диагностика жестких дисков и восстановление данных

    В данной статье описываются методы самостоятельной диагностики различных неисправностей жестких дисков по симптомам их проявления, а также способы относительно безопасного клонирования жестких дисков с незначительными проблемами.

    Рассмотрены различные случаи утраты данных и набор оптимальных действий, которые без глубоких знаний устройства файловых систем с помощью программ автоматического восстановления помогут вам вернуть вашу информацию без посторонней помощи.

    Но прежде, чем приступить к каким-либо самостоятельным действиям, необходимо внимательно ознакомиться со всеми материалами статьи, и только потом анализировать состояние вашего жесткого диска, чтобы ваши попытки не стали последними в жизни накопителя, и чтобы оными вы не лишили себя последних надежд на восстановление нужных вам данных.

    Соглашаясь на следование дальнейшим инструкциями, вы осознаете, что никто кроме вас самих не несет ответственности за возможный выход из строя накопителя и безвозвратную потерю данных. Набор мер направлен на снижение вероятности наступления неблагоприятного исхода, но не страхует от него на 100%.

    Диагностика

    Осмотрите накопитель на предмет наличия деформаций, отсутствующих или выгоревших элементов на плате контроллера, проверьте целостность разъемов. Если обнаруживаются какие-то серьезные повреждения или выгоревшие элементы, то настоятельно не рекомендуется пытаться подавать питание на такой накопитель, во избежание усугубления проблемы.

    Используя отвертки (как правило, это Torx - T5, T6, T9) открутите винты, фиксирующие плату контроллера, и проверьте состояние контактных площадок на плате контроллера.

    Рис. 2 на контактных площадках присутствует оксидная пленка

    При наличии окислов можно обычным ластиком попытаться убрать их с контактных площадок. Работать с ластиком можно только над плоскими площадками, как на рисунке. В иных случаях подобное действие неприменимо.

    Рис. 3 очищенные контактные площадки.

    Если обнаружились какие-то повреждения платы, то не стоит в современных жестких дисках пытаться подставлять плату контроллера от аналогичного накопителя, так как в современных устройствах в ПЗУ на плате могут находиться различные адаптивные параметры, которые формируются во время производственного цикла и уникальны для каждого накопителя. В относительно редких случаях чужие параметры могут грозить повреждением жесткого диска.

    При наличии паяльной станции нужно осуществить перенос MCU, EEPROM, NV-RAM, NAND (смотря что имеется на борту платы контроллера и что из этого обязательно требуется переносить) и после такой адаптации использовать донорский контроллер. Стоит отметить, что для адаптации многих контроллеров будет достаточно перенести только микросхему EEPROM.

    При подборе платы в первую очередь смотрите на вытравленный номер <abbr title="Printed Circuit Board">PCB. Дальше оценивайте совпадение маркировок MCU и VCM&SM контроллера. Если на оригинальной плате и плате донора маркировки MCU и VCM&SM контроллера отличаются, то высока вероятность, что плата потенциального донора не является подходящей. В рамках одного семейства могут существовать разные версии плат, и в некоторых случаях они могут быть совместимы с определенным оговорками, но не стоит пытаться выяснять это в домашних условиях.

    Попытка подставить неподходящую плату контроллера (с иным номером на PCB) может привести к выгоранию коммутатора-предусилителя.

    При наличии мультиметра проверьте цепи 5В и 12В на предмет короткого замыкания. Также проверьте сопротивление обмоток двигателя. Если есть в наличии гарантированно исправный точно такой же накопитель (совпадает производитель, модельный ряд, ревизия платы контроллера), то можно проверить, одинаковое ли количество выводов в колодке коммутатора будет прозваниваться на «землю», а также сравнить сопротивления. При серьезных различиях можно сделать вывод, коммутатор-предусилитель неисправен, и на этом прекратить какие-либо самостоятельные попытки дальнейшего восстановления данных.

    Удостоверьтесь в исправности вашей тестовой системы, во избежание постановки неверных диагнозов и если не обнаружилось каких-то внешних причин, препятствующих попытке старта, то подключите интерфейсный кабель и кабель питания к соответствующим разъемам и включите БП.

    Если вам заведомо известно, что накопитель был ударен или уронен в рабочем состоянии, или до того, как попал к вам, начал издавать стучащие звуки, воздержитесь от попыток включения.

    В этих случаях требуется обязательное вскрытие жесткого диска в условиях ламинарного бокса (или чистой комнаты) и скрупулезное обследование с использованием микроскопа.

    Рис. 4 подключение кабелей к жестким дискам.

    После подачи питания накопитель должен начать вращать вал. В некоторых случаях это может не произойти с совершенно исправными накопителями, если по каким-то причинам в настройки накопителя внесено требование подачи команды spin up.

    При вращении вала появляется легкий шум от воздушного потока. В некоторых накопителях он едва слышим поэтому можно вооружиться стетоскопом (или держать накопитель близко у уха с соблюдением всех правил техники безопасности, чтобы не допустить короткого замыкания).

    Если вместо шума воздуха слышна серия цикличных жужжаний, тихих писков или звуков, отдаленно похожих на телефонные гудки, то вероятнее всего накопитель не может начать вращение вала двигателя. Причины этому могут быть следующие: залипание БМГ вне парковочной рампы (зоны), заклинивание вала двигателя, неисправность микросхемы VCM&SM контроллера.

    При наличии подходящего накопителя-донора можно проверить версию с неисправностью VCM&SM контроллера, если вы готовы выполнить необходимые адаптации донорской платы, описанные в пункте «визуальный осмотр».

    В случаях же залипания БМГ вне парковочной рампы самостоятельные действия по мотивам роликов на youtube обычно приводят к образованию дополнительных царапин на поверхностях пластин либо отрыву слайдеров. Даже если вам удастся относительно удачно вывести БМГ на парковочную рампу, то дефекты полимерного покрытия, образовавшиеся в месте залипания слайдеров, микроцарапины от слайдеров, полученные при выводе БМГ, вкупе с процедурами оффлайн сканирования и пылью из неочищенного воздуха вряд ли позволят вам успеть прочитать существенный объем данных в подавляющем большинстве случаев до начала развития дальнейших необратимых деградационных процессов. Как происходит процесс восстановления данных в таких случаях в профильной компании можно ознакомиться в этой статье "Восстановление данных с внешнего жесткого диска Seagate FreeAgent Go"

    При заклинивании вала двигателя обычно требуется пересадка пакета дисков в гермоблок накопителя донора. Такое мероприятие в домашних условиях без должной подготовки и отсутствия необходимых инструментов в 99,9% случаев будет обречено на провал.

    Если отсутствует какой-либо звук при подаче питания и накопитель не начинает вращать вал, то возможны следующие диагнозы: неисправна плата контроллера, неисправен коммутатор-предусилитель, неисправен БМГ.

    После того, как накопитель начал вращение вала, он должен выполнить калибровку, произвести чтение микропрограммы и, проинициализировав систему трансляции, выйти в готовность. Если вместо калибровки раздаются цикличные стучащие звуки, скрежет или какие-то иные звонкие звуки, немедленно отключите накопитель. Причиной подобных явлений может быть: неисправность БМГ или коммутатора-предусилителя, неисправность микросхемы VCM&SM контроллера.

    Микропрограммы некоторых накопителей производят опрос коммутатора-предусилителя до раскрутки вала двигателя, и в случаях обнаружения некорректного отклика или зашкаливающего сопротивления по какой-либо из головок производят аварийную остановку процесса начальной инициализации. К сожалению, далеко не все микропрограммы в достаточной степени контролируют исправность самого устройства и допускают попытки старта откровенно проблемного жесткого диска. Пересадки БМГ рекомендовано проводить в условиях ламинарного бокса с чистым воздушным потоком и специализированным инструментом. Кроме этого, необходимо знать, каким образом подбирать донора, чтобы выбрать его с подходящей ревизией коммутатора-предусилителя, картой головок и близкими адаптивными параметрами. Просто совпадение производителя и модели совершенно не гарантирует, что накопитель является подходящим донором. Даже если удастся самостоятельно подобрать донора и произвести процедуру пересадки, вряд ли удастся прочитать серьезный объем данных из-за сопутствующих проблем.

    Какие действия можно предпринять при неисправной плате контроллера, указано в разделе «Визуальный осмотр».

    Рис. 5 сильно исцарапанная поверхность пластины (множественные запилы).

    Важно понимать, что с каждой попыткой включения накопителя с неисправным БМГ существуют риски дальнейшего разрушения поверхностей пластин, что может привести к полной невозможности восстановления данных.

    Если никаких подозрительных звуков накопитель не издает, то после выполнения всех процедур инициализации он должен выйти в готовность. С этого момента накопитель должен быть готов к обмену данными через интерфейс, и в случае подключения к порту системной платы ПК он должен ответить на запрос паспорта со стороны BIOS. Если все в полном порядке с подключением и настройками BIOS, но диск остается невидимым для ПК, то вероятнее всего имеют место проблемы в микропрограмме накопителя, которые не позволяют ему выйти в готовность.

    Если накопитель отдает некорректные паспортные данные, например только название модели и нулевую емкость, или название модели не совсем такое, как должно быть, отсутствует серийный номер, то это говорит о том, что процедуры инициализации завершились неуспешно и есть неполадки в микропрограмме. В таких случаях самостоятельно решить проблему без использования профессиональных программно-аппаратных комплексов обычно невозможно.

    Отдельным исключением можно рассмотреть случай с Seagate 7200.11 (семейства Moose) с которыми некоторые проблемы можно было решить с использованием RS232-TTL адаптера и обычного терминала, но здесь нужно понимать, что без вникания в проблему микрокода есть риски существенно усугубить ситуацию.

    Настоятельно не рекомендуется применять методику в отношении других семейств, так как она приведет к пересчету транслятора, который в подавляющем большинстве случаев будет некорректен и доступ к пользовательской зоне будет до первой точки расхождения. Восстановление данных в этом случае существенно усложняется.

    Если в отданном накопителем паспорте все поля корректны кроме емкости, то необходимо проверить, не является ли это следствием ошибки BIOS некоторых материнских плат, которые, используя команды управления HPA, вместо отрезания маленького кусочка LBA диапазона для сохранения копии BIOS, отрезают почти 1Тб.

    Рис. 6 паспортная емкость диска 1Тб после некорректной отработки BIOS мат. платы Gigabyte

    Для решения этой проблемы можно использовать HDAT2 или аналогичное бесплатное диагностическое ПО, с помощью которого можно вернуть оригинальную паспортную емкость накопителя, а также отключить возможность управления HPA в DCO во избежание рецидива проблемы.

    При тестировании дисков вне профессиональных комплексов важно подготовить операционную систему заранее. Необходимо запретить автоматическое монтирование томов диска во избежание самодеятельности операционной системы.

    В ОС Windows для этого с правами администратора нужно запустить diskpart и выполнить команду automount disable. Если потенциально проблемный диск ранее подключался к данной ОС, то необходимо удалить параметры монтирования из реестра командой automount scrub. Для вступления данных настроек в силу рекомендована перезагрузка.

    Также необходимо приготовить диагностическое ПО. Под Windows можно использовать бесплатный PC3000 DiskAnalyzer в котором, кроме диагностической функции есть возможность создания посекторной копии. Также желательно иметь в наличии загрузочный USB flash накопитель с HDAT2.

    Не обязательно для диагностики использовать только это программное обеспечение. Можно использовать любые иные аналоги, за исключением некоторого небесплатного ПО для слишком доверчивых пользователей, в рекламе которого могут звучать подобные слоганы «… unique program for regeneration of physically damaged hard disk drives. It does not hide bad sectors, it really restores them!». При очень громких заявлениях по факту подобное ПО имеет весьма скромные возможности, которые не превышают возможностей бесплатного ПО, а идеология работы с дефектами больше направлена на окончательное убийство накопителя, нежели на помощь в дальнейшем получении данных.

    Если при подключенном накопителе время загрузки ОС выросло в несколько раз даже при отключенном автоматическом монтировании томов, то рекомендуется прекратить какую-либо самодеятельность, во избежание усугубления проблемы.

    Существенное увеличение времени загрузки ОС при подключении потенциально проблемного жесткого диска - это весьма характерный признак того, что на поверхностях пластин накопителя имеют место дефекты поверхности. Задержки загрузки ОС возникают вследствие обращений к дефектным секторам и попыток микропрограммы выполнять процедуры оффлайн сканирования, которые ей не по зубам.

    После успешной загрузки ОС зайдите в диспетчер устройств и удостоверьтесь, что ваш накопитель присутствует в списке устройств. Если его там нет, то удостоверьтесь, установлен ли драйвер для контроллера, к которому он подключен, и не выключен ли сам контроллер в списке устройств. Если с драйвером и настройкой ОС все в порядке, а накопитель так и не появился в ОС или появился и через некоторое время пропал, то обычно это говорит о широком спектре неисправностей. Наиболее вероятные - это неисправности платы контроллера, зависание микропрограммы накопителя, либо переход накопителя в аварийный режим, при котором он перестает нормально реагировать на большинство команд.

    Для уточнения диагноза можно попробовать загрузить DOS и с помощью HDAT2 посмотреть параметры S.M.A.R.T. Если обнаружатся признаки дефектообразования (ненулевые значения по 5 и 197(С5) атрибута в полях ненормированных значений), то можно сделать вывод, что без вмешательства в настройки работы микропрограммы в домашних условиях сделать ничего не получится. Если признаков дефектообразования нет, то причина зависаний может крыться в некорректной работе платы контроллера. В этом случае можете попытаться использовать плату контроллера от накопителя донора.

    Пройдя предыдущие этапы и не заметив веских причин для остановки процесса, можно приступить к дальнейшей оценке состояния накопителя. В большинство накопителей, выпущенных в этом веке, внедрена технология S.M.A.R.T., которая контролирует состояние накопителя и фиксирует различные события за время его работы. Подробнее прочитать о реализации данной технологии в HDD и какие параметры желательно контролировать при эксплуатации дисков можно в нашей статье "Что такое SMART и как его читать".

    Используя диагностическое ПО, необходимо запросить параметры S.M.A.R.T.

    Рис. 7 атрибуты S.M.A.R.T. исправного жесткого диска

    Важно оценить показатели по атрибутам 5 и 197(С5). Если значения в столбце RAW нулевые или показатели проблем единичные, тогда необходимо перейти к дальнейшему тестированию.

    Рис. 8 атрибуты S.M.A.R.T. диска с серьезным дефектообразованием

    Если количество кандидатов в дефекты трех-четырехзначное число, то в большинстве случаев дальнейшие попытки тестирования поверхности или сканирования утилитами автоматического восстановления данных усугубят проблему вплоть до полной невозможности получения данных.

    Для получения данных в таких случаях важно вмешиваться в настройки микропрограмм накопителей и отключать процедуры оффлайн сканирования, ведение журналов S.M.A.R.T., чтобы избавить накопитель от занятий фоновыми процессами, которые могут сильно сократить время жизни проблемного устройства. К сожалению, простыми путями без глубокого знания архитектуры микропрограмм накопителей и без профессиональных комплексов этого сделать не получится. Следующая задача - оценить состояние каждой из головок по отдельности и локализовать основные дефектные зоны. Линейное чтение с многократными повторами на дефектных участках в таких случаях противопоказано, как слишком опасное.

    Даже если накопитель на первый взгляд работает корректно и согласно показаниям S.M.A.R.T. на нем не обнаруживается признаков дефектов, это не является гарантией того, что их действительно нет. Поэтому необходимо сделать завершающую стадию тестирования и выполнить верификацию поверхности.

    Важно непрерывно контролировать процесс сканирования. При появлении посторонних звуков или обнаружении крупных зон с ошибками чтения немедленно прерывать процесс и отключить накопитель во избежание наступления необратимых последствий.

    Рис. 9 график сканирования исправного диска

    Если результатом сканирования диска получен монотонно-убывающий по скорости график и не зарегистрировано ошибок чтения, то накопитель можно считать исправным и переходить к следующему разделу.

    В дисках с большим медиакэшем и трансляцией, отличающейся от классической (как правило в дисках с черепичной записью (SMR),) график может быть иной формы. Возможны различного рода выпады.

    Рис. 10 график сканирования диска с проблемной головкой

    Если при верификации диска обнаруживаются цикличные «медленные» зоны, то это характерный признак не совсем исправной головки. Не нужно ждать, когда будут обнаружены дефекты, и немедленно прекратить тестирование.

    В такой ситуации не приходится ждать ничего хорошего при самостоятельных попытках извлечения данных. С высокой вероятностью накопитель не переживет попытку создания посекторной копии доступными пользователю средствами.

    В случаях, когда в атрибутах S.M.A.R.T. 5 и 197(С5) были обнаружены признаки дефектообразования, или в процессе верификации были обнаружены точечные дефекты, необходимо создать копию диска.

    Если по результатам тестирования накопитель исправен и никаких проблем не обнаруживается, то можно не создавать посекторную копию и работать с оригинальным диском. Но во избежание различного рода случайностей настоятельно рекомендуется не пропускать этот шаг и далее работать только с копией.

    При исправном жестком диске или диске с небольшим количеством дефектов нет особой разницы, какой инструмент вы примените, важно, чтобы он создавал полную копию. Также важно не пытаться задействовать опции некоторых программ по созданию сжатого образа, так как потом вы скорее всего сможете работать только в рамках возможностей ПО, создавшей такой образ.

    В ОС Windows можно использовать следующие программы: WinHex, DMDE, PC3000 DiskAnalyzer, R-studio и другие.

    В ОС Linux хватит возможностей штатной команды dd

    Не все ПО бесплатное, но во многом возможностей trial/demo версии будет достаточно для создания копии накопителя.

    В качестве примера используем WinHex для клонирования диска.

    Рис. 11 опции в меню WinHex для клонирования диска

    На вкладке «Инструменты» выбираем опцию «Дисковые инструменты» в выпавшем окне выбираем «Клонировать диск» или просто нажимаем Ctrl+D.

    Рис. 12 настройки параметров клонирования

    Источником выбираем диск, который необходимо клонировать.

    Приемником может выступить диск аналогичного или большего объема, а также возможно клонирование в файл-образ.

    Убедитесь, что на диске-приемнике достаточно свободного пространства.
    В настройках копирования желательно задействовать опцию «пропускать дефекты, секторов».

    Если ваш накопитель с сектором с физическим размером сектора 4096 байт, но в ОС транслируется с виртуальным размером 512 байт, то необходимо установить значение 8, чтобы избежать лишних попыток чтения проблемного сектора.

    «Шаблон для замены дефектов источника» - указать удобное для поиска слово или словосочетание, которым будет заполнен сектор в копии на месте непрочитанных секторов из источника. В дальнейшем удобно будет находить поврежденные файлы.

    При создании копии обязательно неотрывно контролировать процесс. При появлении посторонних звуков, зависании накопителя или обнаружении большего числа, чем было при первичном тестировании, немедленно прекратить процесс и отключить накопитель во избежание наступления необратимых последствий.

    В профессиональных средствах восстановления данных, в таких как DataExtractor, значительно большие возможности по настройке сценария копирования данных, а также присутствует контроль состояния накопителя, что существенно повышает шансы на успешное извлечение при наличии грамотного специалиста.

    Рис. 13 настройки реакций профессионального комплекса при проблемах чтения

    Восстановление данных

    На сегодняшний день существует масса программ автоматического восстановления данных, которые не требуют от пользователя никаких профильных знаний и подразумевают получение данных чуть ли не в один клик мышкой. Но такой подход во многих случаях не даст максимально возможного результата или он будет теряться в массе мусорных вариантов.

    Для эффективной работы программы восстановления данных лучше максимально сузить область поиска. Для этого желательно указать область сканирования и тип искомой файловой системы. Такое уточнение может отбросить массу вариантов предыдущих файловых систем, а также снизит вероятность неверного интерпретирования обнаруженных метаданных файловой системы.

    Рис. 14 Пример настройки R-studio для поиска метаданных нужной файловой системы

    Метаданные файловой системы - это структуры, описывающие расположение файлов их имена, атрибуты, права доступа к ним, логи и т.п.

    Рис. 15 Пример метаданных. Фрагмент записи MFT (Master File Table в NTFS)

    Не во всех случаях программы автоматического восстановления точно рассчитывают начальную точку отсчета применительно к найденным метаданным, а также не всегда корректно отсеивают данные разных файловых систем, в связи с чем возможен ошибочный расчет расположения для всех файлов, к тому же различные мусорные интерпретации увеличивают предполагаемый объем данных, порой во много раз больше, чем емкость самого накопителя.

    В профессиональных комплексах присутствуют инструменты по созданию виртуальных томов различных файловых систем с заданными вручную параметрами, а также инструменты для поиска метаданных с возможностью отсева лишних объектов вручную.

    В случаях, когда нужных метаданных файловой системы уже не существует или они некорректны, необходимо применить метод поиска регулярных выражений характерных для тех или иных типов файлов.

    Рис. 16 0xFF 0xD8 0xFF регулярное выражение характерное для JPG файлов

    Программы автоматического восстановления, ведущие поиск таким методом в своем большинстве, обладают следующими недостатками: отсутствует структура каталогов и оригинальные имена файлов, не производится анализ структуры файлов и недостаточно контролируется целостность найденного файла, в связи с чем находится множество мусорных данных, которые невозможно использовать, для многих типов файлов не рассчитывается корректный размер.

    Рис. 17 Настройки R-Studio для поиска регулярных выражений нужных вам файлов</i>

    Повреждение файловой системы

    В результате сбоев компонентов ПК, некорректной работы ОС, внезапного обесточивания во время записи на диск, неисправностей жесткого диска могут оказаться поврежденными метаданные файловой системы. При многих видах повреждений ОС не сможет монтировать том с поврежденной файловой системой.

    Рис. 18 поврежденные метаданные файловой системы (нераспознанная файловая система RAW)

    В этих случаях достаточно эффективен метод поиска метаданных файловой системы в границах существующего раздела. При незначительных повреждениях можно получить результат, близкий к 100%. Данная рекомендация актуальна для большинства различных файловых систем.

    Разумеется, существуют случаи, когда в результате сбоев оказывается испорченным большой объем метаданных текущей файловой системы. Тогда, если не отработал первый вариант, необходимо воспользоваться методом анализа регулярных выражений для поиска нужных вам файлов.

    Работа специалиста отличается тем, что он оценивает характер повреждения метаданных и если они не уничтожены, а пребывают в искаженном виде, то возможны ручные коррекции в шестнадцатеричном редакторе.

    Удаление файла или группы файлов.

    Ошибочное удаление данных - достаточно частый случай. Последствия этого действия сильно зависят от типа файловой системы, а также в относительно новых дисках от идеологии работы микропрограммы самого устройства.

    Если файлы были удалены на разделе с файловой системой NTFS, то оптимальным методом поиска будет экспресс анализ в различных утилитах, при котором быстро сканируются ключевые структуры (MFT, Index, Logfile) без полного сканирования раздела. Если нужные файловые записи и место, занимаемое этими файлами не перезаписаны иными данными, то достаточно оперативно можно получить интересующие файлы.

    Рис. 19 после сканирования $MFT фиолетовым выделены записи, числящиеся удаленными

    Если при быстром сканировании нужные данные не обнаружены или повреждены, то можно выполнить полное сканирование раздела, но скорее всего серьезным образом результат не изменится и кроме поиска регулярных выражений ничего другого не останется.

    В арсенале специалиста доступен инструмент построения карты незанятого пространства и дальнейший анализ исключительно в этих областях, что убирает из результата восстановления существующие данные. Это существенно экономит время пользователя при дальнейшем поиске необходимых файлов во множестве безымянных данных.

    Если файлы удалены на разделе с файловой системой FAT16, FAT32, то можно использовать анализ метаданных и получить некоторую часть данных с оригинальными именами. В случае SFN будет отсутствовать первый символ в имени файла, если же файл был с длинным именем, то его полное имя будет в LFN записи. В случае удаления фрагментированных файлов восстановление данных средствами программ автоматического восстановления не будет успешным, так как при удалении в FAT таблице удаляется запись о цепочке кластеров, принадлежащих файлу. Также в FAT32 в некоторых случаях кроме удаления цепочки расположения файла в обеих копиях таблицы, в директории удаляется первый символ SFN и старшие два байта в номере первого кластера, занимаемого файлом. Большинство утилит автоматического восстановления, анализирующих метаданные, не определят правильную позицию файла.

    Восстановление фрагментированных файлов, как правило, достаточно сложная работа, которая весьма слабо автоматизирована. Методы автоматизации можно разрабатывать под конкретный тип структур. Чаще всего задача сводится к ручному низкопроизводительному анализу по поиску необходимых фрагментов. Пример подобной работы можно оценить в статье "Восстановление базы 1С Предприятие (DBF) после форматирования"

    Если методы анализа метаданных не привели к нахождению нужных данных или нужные файлы не могут быть открыты, то остается метод поиска регулярных выражений. Возможно некоторую часть файлов удастся обнаружить.

    Если файлы удалены на разделе с файловой системой HFS+, Ext 2, Ext3, Ext4, то, к сожалению, анализировать метаданные бесполезно. Кроме поиска регулярных выражений ничего другого не остается.

    Удаление раздела с данными

    Если в оснастке управления дисками был удален один или несколько разделов ошибочно, то для пользователя, желающего восстановить данные, будет рекомендован запуск утилит автоматического восстановления с полным сканированием всего устройства. Также желательно учитывать положение существующих разделов, чтобы исключить заведомо неверные варианты в найденном.

    Рис. 20 удаленный раздел

    Специалистом подобная работа выполняется относительно быстро, посредством поиска загрузочных секторов, суперблоков в ожидаемых местах. На основании найденного рассчитываются точные позиции начала разделов и их протяженность.

    Также можно попытаться использовать DMDE или аналогичные утилиты, которые относительно быстро могут позволить найти признаки начала раздела, и попытаться отобразить файловую систему найденного раздела.

    Рис. 21 результат быстрого поиска разделов с помощью DMDE

    Отформатирован раздел с данными.

    В таких случаях рекомендуемый сценарий действий сильно зависит от типа файловой системы, которая была до форматирования раздела, и какая файловая система стала использоваться после форматирования.

    Например, если раздел FAT32 c кластером 8кб, был отформатирован в FAT 32 с кластером 64кб, то размер новых таблиц FAT стал в 8 раз меньше и, следовательно, обе копии новых таблиц испортили только первую копию старых таблиц FAT. В такой ситуации поиск метаданных может дать результат близкий к 100%. Если же раздел был отформатирован в FAT32 с меньшим или равным размером кластера, чем был до форматирования, то новые чистые таблицы полностью перезапишут старые и частично затронут область с пользовательскими данным. В таком случае поиск метаданных даст значительно худший результат.

    Если до форматирования на разделе использовалась файловая система FAT32, а раздел был отформатирован в NTFS, то новые структуры ($MFT, $Bitmap, $Logfile), как правило, располагаются не у самого начала раздела, и высока вероятность посредством метода поиска метаданных получить большинство данных с нормальной структурой каталогов и минимальными повреждениями самих данных.

    Также высокий процент восстановления будет, когда раздел с файловой системой NTFS отформатирован в FAT32. В этом случае таблицы FAT испортят данные в начале раздела и как правило не затронут ключевые структуры NTFS. Неудовлетворительный результат будет в случае с малым объемом данных, размер которых сопоставим с размерами двух копий таблиц FAT.

    Но если пользователь не желает вникать в нюансы расположения метаданных различных файловых систем, то логичным шагом будет запустить утилиту автоматического восстановления данных в режиме поиска метаданных. И в случае, если получен недостаточный объем данных, применить метод поиска регулярных выражений.

    Отформатирован раздел с данными и частично перезаписан иными данными.

    Как часто бывает, пользователь может отформатировать раздел и начать заполнять его иными данными, а только потом спохватиться, что на старом разделе была важная информации. В таких случаях не может быть однозначной рекомендации. Все очень сильно зависит от того, как много (количественно и по объему) было записано новых данных, а также где расположились эти данные. В зависимости от условий результат может быть от 0 до близкого к 100%. Заочно это непредсказуемо.

    Во многих случаях с большим перекрытием области данных имеет смысл начать с метода поиска регулярных выражений для нужных типов файлов, чтобы понять, есть ли еще признаки существования нужных данных, и в случае их обнаружения выполнить поиск метаданных файловой системы.

    В условиях лаборатории восстановления данных специалист построит карту незанятого пространства и проведет поиск регулярных выражений только по этим участкам, чтобы исключить в результатах поиска наличие уже существующих данных. Также с помощью инструментов контроля целостности значительно уменьшит количество ложных распознаваний. А в некоторых задачах вроде восстановления jpg файлов (например, чьего-то домашнего фотоальбома) сможет произвести сортировку согласно информации, содержащейся в Exif тегах jpeg файлов, что позволит получить упорядоченный в хронологическом порядке результат и отсортированный по моделям камер.

    Рис. 22 результат сортировки JPG файлов, найденных посредством поиска регулярных выражений

    Аварийное завершение процедур изменения размера, перемещения или объединения разделов.

    В случаях аварийного завершения процедур дисковых менеджеров по изменению размера раздела, его перемещению или слияния нескольких разделов предстоит разобраться, какие именно шаги были совершены и на каком этапе была остановлена операция, чтобы получить максимально возможный результат.

    Учитывая сложность и количество возможных вариаций, рассмотрим только универсальный вариант для пользователя, которому нужен результат с минимальным количеством действий. Объектом для анализа нужно выбрать весь накопитель, чтобы гарантированно охватить все места расположения данных. Использовать метод поиска метаданных и копировать все варианты данных по найденным файловым системам. Высока вероятность, что в каждом из вариантов будут корректными разные наборы файлов. Поиск регулярных выражений по заданным типам файлов также важен, так как в таких случаях утраты данных возможна частичная потеря информации об именах и размещении файлов.

    Важно понимать, что отображение имен файлов в программе восстановления данных или количество найденных регулярных выражение не гарантирует, что все найденное будет годным к использованию. Поэтому не менее важный этап после восстановления данных программой автоматического восстановления - это проверка целостности самих данных.

    К сожалению, универсального бесплатного средства для проверки целостности большого количества разных файлов, не существует. Но по отдельности можно отыскать бесплатное ПО, которое может контролировать отдельные типы файлов. Например, многие архиваторы позволят проверить исправность архивов, утилитой MP3Diag можно проверить исправность mp3 файлов, ImageMagick можно использовать для тестирования jpg файлов.

    Главный недостаток многих бесплатных утилит проверки целостности файлов в том, что они не гарантируют полной проверки файлов. И возможны массовые ошибки.

    Для многих типов файлов у пользователя не остается других вариантов, кроме как визуально оценивать целостность данных посредством поочередного открытия файлов в соответствующих приложениях.

    В профессиональных комплексах присутствует набор инструментов, позволяющий частично контролировать исправность файлов, что избавляет результат восстановления данных от большого количества мусорных файлов.

    Кроме отсева мусора, необходимо отловить поврежденные дефектами файлы. Если вы создавали посекторную копию с заполнением паттерном непрочитанных секторов, то вопрос нахождения поврежденных файлов легко решить посредством поиска в файлах текстовой строки «BAD!BAD!BAD!BAD!» (в нашем примере был использован заполнитель «BAD!»). После нахождения необходимо проверить степень повреждения, так как некоторые форматы файлов могут не сильно страдать от потери небольшого куска данных, а некоторые могут быть полностью негодны.

    Разного рода попытки «лечения» дефектов с использованием популярных диагностических утилит в надежде, что это вернет доступ к данным, являются одной из главных ошибок многих пользователей. Попытки скрыть дефекты на накопителе с поврежденным полимером на поверхности пластин обычно заканчиваются запиливанием пластин, а не получением доступа к данным. По этой причине, не зная характера дефектов на поверхности настоятельно не рекомендуется выполнять какие-либо сервисные операции над диском до получения данных. После успешного восстановления информации можно попытаться обслужить накопитель, и если вдруг повезет, то возможно еще накопитель будет пригоден для дальнейшей эксплуатации в не особо ответственных задачах.

    Нередко дефекты приходятся на метаданные файловой системы. В этих случаях ОС при попытке монтировать поврежденный том надолго замирает. При подключенном проблемном накопителе время загрузки ОС может растянуться на десятки минут. Одна из самых неудачных идей по решению этой проблемы – форматировать проблемный раздел. Вновь созданные метаданные могут записаться корректно, и проблема долгой загрузки ОС будет решена, но задача восстановления данных усложнится, а качество результата восстановления может сильно пострадать.

    Копирование данных, обнаруженных утилитой, на тот же раздел, с которого пытаются восстановить файлы. В этом случае обычно все заканчивается тем, вместо данных пользователь получит мусор, и следующая попытка восстановления данных уже будет с куда худшим результатом. Если действовать по инструкциям из этой статьи, то от такой ошибки вы будете застрахованы.

    Не выполняется проверка целостности восстановленных данных и уничтожается содержимое оригинального накопителя вместе с его копией. В этом случае есть риск остаться с кучей папок, заполненных ошибочным результатом попытки восстановления данных без возможности получить качественный результат.

    Неправильный выбор инструмента и методик восстановления данных, в связи с чем получается результат значительно хуже, чем он мог бы быть.

    Надеюсь, этот комплекс мер поможет вам принять решение, допускает ли ситуация с вашим накопителем самостоятельные попытки восстановления данных и готовы ли вы выполнить этот набор относительно простых действий, перечисленных в этой статье.

    Если вам что-то непонятно и вы не уверены в том, что сможете выполнить все рекомендованные действия, то лучше воздержитесь от самостоятельных действий и обратитесь к специалистам.

    Автор: Янчарский Павел - специалист по восстановлению данных "HDD Masters"

  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 2 февраля 2012 14:24

    Force2,

    так как даже в описанном случае программа хорошо работает по крайней мере с дисками, и скорей всего, порой может оставаться только извлекать информацию с неожиданно рухнувшего винта,

    описаный вами случай ничем не намекнул на то, что там может потенциально требоваться услуга восстановления информации. Также там нет намека на наличие бируса, кроме вашего необоснованного предположения.

    а ASM не догадается ни за что, по каким причинам он рухнул.

    У нас не ставятся задачи подобного рода, тем более методами гадания. А вот что касается задач полноценного анализа проблем, то есть услуга дизассемблирования вирусного ПО и разбор последствий его выполнения. И если для потребителя услуги экономически целесообразно ее заказывать, то будет проведен полный анализ, в том числе и чтение BIOS на программаторе и сравнение его с эталонной прошивкой на предмет поиска следов бирусов.

    Да ему это и не надо - задача ASM - взять деньги.

    наша задача - оказать услуги и получить данные пользователя из неисправного накопителя. Естественно, как и в любом другом бизнесе, услуги оказываются не на безвозмездной основе. И оплата услуг производится только в случае успешного результата. Совершенно непонятна ваша претензия, особенно учитывая, тот факт, что мы не оказываем услуг ремонта, обслуживания компьютеров.

  • Filinial Diablo Club
    офлайн
    Filinial Diablo Club

    2165

    14 лет на сайте
    пользователь #224626

    Профиль
    Написать сообщение

    2165
    # 2 февраля 2012 17:45 Редактировалось Filinial, 1 раз.

    ASM, подскажите, пожалуйста, какие шансы восстановить инфу с навернувшегося WD Caviar Black 1 Тб? Завис прямо посреди работы винды, при перезагрузке выдал "a disk read error occurred". В биосе винт определяется нормально, посторонних звуков/стуков нет, но операционка его не видит. Со всяких загрузочных дисков флешек история таже, т.е. кроме биоса ни одна софтина его не находит, перепробовал всевозможные сборки загрузчиков.
    На винте был фото- видеоархив ребенка за 10 лет, а я так и не сподобился его куда-нить копирнуть, теперь кусаю локти.
    З.Ы. Винт хоть и гарантийный, но его целостность меня мало волнует, инфа важнее.

  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 2 февраля 2012 18:02 Редактировалось ASM, 1 раз.

    Filinial,

    1. В вашем случае накопитель калибруется и выходит в готовность. В случае WD это говорит о том, что все используемые головки по карте у него исправны и проходят стартовые калибровочные тесты.
    2. Отдает паспорт, основная часть микропрограммы 100% загружается (но необходимо проверить все критически важные модули для старта, в в частности Relo list, чтобы гарантированно работала трансляция, если проблемы с трансляцией есть, то выполнить мероприятия по устранению проблем, дальнейшее вычитывание только посредством Data Extractor
    3. Если доступ в UA свободный и проблем в SA нет - создание посекторной копии до начала работ. В процессе создания копии, автоматически проверяем состояние поверхностей - при обнаружении дефектов, вычитывание только посредством Data Extractor
    4. На созданной копии проверка таблицы разделов (корректность записей), просмотр загрузочных секторов и анализ корректности данных. В зависимости от файловой системы выполняются дальнейшие аналитические процедуры проверки и восстановления целостности.
    5. Проводится сигнатурный анализ и после сопоставляются результаты анализов файловой системы и сигнатурного.
    6. Конечный результат выдается пользователю.

    Стоит помнить что пропасть мгновенной в никуда информация на жестком диске не может, так что после диагностики можно точно сказать, какие мероприятия необходимы в вашем случае. Если ПО автоматического восстановления Вам не помогло (а его можно использовать, только при исправных накопителях), то обращайтесь к специалистам - получите результат.

  • Filinial Diablo Club
    офлайн
    Filinial Diablo Club

    2165

    14 лет на сайте
    пользователь #224626

    Профиль
    Написать сообщение

    2165
    # 2 февраля 2012 18:44

    Огромное спасибо за развернутый ответ, как я понял шансы вернуть инфу есть и они достаточно высоки, что радует.

  • Tau_0 Senior Member
    офлайн
    Tau_0 Senior Member

    1017

    14 лет на сайте
    пользователь #248351

    Профиль
    Написать сообщение

    1017
    # 2 февраля 2012 22:33

    Filinial

    кроме биоса ни одна софтина его не находит, перепробовал всевозможные сборки загрузчиков.

    Что и SMART прочитать е получается…???... Не верю.
    Прочитайте SMART и покажите…
    См картинку --- с харда (NTFS тома) это сообщение --- a disk read error occurred… Оно с Вашего "невидимого" харда прямиком пришло...

    ЗЫ Хард может быть не причём, --- это сообщение загрузчика Windows, в частности XP…
    ЗЗЫ На другой машине хард проверьте..

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    3605

    13 лет на сайте
    пользователь #376262

    Профиль

    3605
    # 2 февраля 2012 23:03
    ASM:

    описаный вами случай ничем не намекнул на то, что там может потенциально требоваться услуга восстановления информации. Также там нет намека на наличие бируса, кроме вашего необоснованного предположения.

    То, что восстановление информации не потребовалось в моём случае, не перечёркивает возможности вируса уничтожить при необходимости любую информацию, это очевидный факт. Также фактов, подтверждающий принадлежность программы к бирусам очевидных нет, однако я экспериментировал с прошивкой биос на одну и ту же версию раза три-четыре, и каждый раз после перезагрузки диск отваливался и компьютер зависал, и каждый раз после прошивки диск снова поднимался, а это свидетельствует о воздействии вируса если не на биос, то на его настройки либо вспомогательные функции, например - систему мониторинга smart. Что не относит код к бирусам, но указывает на воздействие кодом в отношении биос и его функций вполне однозначно.

    Добавлено спустя 20 минут 51 секунда

    ASM, и насчёт бреда с вашей стороны о том, что диск возможно отваливался не из-за вируса, и опрос диска зависал не из-за вируса, что меня просто своей глупостью вывело из себя, следует учитывать для начала, я очень подробно описал, что диск был отвергнут тестом биос сразу после появления троянской программы, а после дезактивации вредоносного кода, диск больше не отваливался никогда.

    Добавлено спустя 6 минут 24 секунды

    А суть в том, что я не доказываю существование бирусов, ведь их существование и так известный факт, а просто сообщаю о том, что вирусы - это очень хорошие грамотные программы, и могут они очень много. Мне не вполне понятно даже ваше противление принятию значимости угрозы, представляемой вирусами. По-моему это просто глупо, а значит, для глупца кроме глупости не надо других причин.

    veterem sodalem
  • Tau_0 Senior Member
    офлайн
    Tau_0 Senior Member

    1017

    14 лет на сайте
    пользователь #248351

    Профиль
    Написать сообщение

    1017
    # 3 февраля 2012 00:20

    Force2,
    Смеха ради про бирусы пишут.... :D :D :D
    Апокалипсический сценарий. Недалёкое будущее. Birus-эпидемия.
    http://www.rom.by/article/Birus-y_Chast_pervaja

    ЗЫ По части построения выводов Вы покруче моей тещи будете...

  • Filinial Diablo Club
    офлайн
    Filinial Diablo Club

    2165

    14 лет на сайте
    пользователь #224626

    Профиль
    Написать сообщение

    2165
    # 3 февраля 2012 09:05 Редактировалось Filinial, 1 раз.
    Tau_0:

    Что и SMART прочитать е получается…???... Не верю.
    Прочитайте SMART и покажите…
    См картинку --- с харда (NTFS тома) это сообщение --- a disk read error occurred… Оно с Вашего "невидимого" харда прямиком пришло...
    ЗЫ Хард может быть не причём, --- это сообщение загрузчика Windows, в частности XP…
    ЗЗЫ На другой машине хард проверьте..

    Я, когда увидел это сообщение, то сразу решил, что грабли с мбр и сча быстренько восстановлю. Ага, не тут то было.
    При загрузке на другой машине, система (вин7) стартует с другого винта, - зависает на загрузке гуи.
    Мне посоветовали не мучать винт, если дорога инфа, т.к. у WD часто летит блок головок и можно быстро пройти точку невозврата. Поэтому с экспериментами закончил и буду отдавать специалистам.
    З.Ы. Пробовал посмотреть смарт викторией, выдало что-то про "busy" ...продолжение работы невозможно.

  • LWolf Senior Member
    офлайн
    LWolf Senior Member

    3038

    21 год на сайте
    пользователь #7387

    Профиль
    Написать сообщение

    3038
    # 3 февраля 2012 10:00

    Уважаемый господин Force2, для обсуждения вирусов есть специальная тема - Внимание Вирус. Обсуждение вирусов.. Если Вам не сложно - излагайте свои мысли по поводу вирусов/бирусов там.

    Сумма разума на планете — величина постоянная; население постоянно растёт. — Аксиома Коула
  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 3 февраля 2012 10:45

    Force2,

    а это свидетельствует о воздействии вируса если не на биос, то на его настройки либо вспомогательные функции, например - систему мониторинга smart. Что не относит код к бирусам, но указывает на воздействие кодом в отношении биос и его функций вполне однозначно.

    1. содержимое CMOS если поганить, то можно получать проблемы вроде описаной вами.
    2. Что касается SMART то BIOS лишь посредством стандартных АТА команд запрашивает статус накопителя. При исправном накопителе - это в принципе не может повлиять на дальнейшую загрузку.
    3. В принципе бирусом можно назвать, только то, что как минимум кусок своего исполняемого кода поместит в EEPROM. Остальное к бирусам ну никак нельзя отнести.

    ASM, и насчёт бреда с вашей стороны о том, что диск возможно отваливался не из-за вируса, и опрос диска зависал не из-за вируса, что меня просто своей глупостью вывело из себя, следует учитывать для начала, я очень подробно описал, что диск был отвергнут тестом биос сразу после появления троянской программы, а после дезактивации вредоносного кода, диск больше не отваливался никогда.

    речь о том что обсуждали принципиально проблему наличия Бируса. Даже если вирус и портит содержимое CMOS (это совсем несложно), то это его все равно не относит к бирусам.

    А суть в том, что я не доказываю существование бирусов, ведь их существование и так известный факт, а просто сообщаю о том, что вирусы - это очень хорошие грамотные программы, и могут они очень много. Мне не вполне понятно даже ваше противление принятию значимости угрозы, представляемой вирусами. По-моему это просто глупо, а значит, для глупца кроме глупости не надо других причин.

    где-то мною отриццалось принципиальная возможность существования бирусов? Речь лишь шла о том, что в случае пользователя, что в вашем вряд ли мог иметь место бирус. Также указывалось о том, что ваших наблюдений недостаточно, чтобы сделать вывод о наличии бируса.

    Ну и в общем-то вам уже написали, что обсуждать бирусы стоит в другой теме.

  • Tau_0 Senior Member
    офлайн
    Tau_0 Senior Member

    1017

    14 лет на сайте
    пользователь #248351

    Профиль
    Написать сообщение

    1017
    # 3 февраля 2012 20:30

    Filinial,

    При загрузке на другой машине, система (вин7) стартует с другого винта, - зависает на загрузке гуи.

    Объяснимо, элементарные логические ошибки на Вашем харде завешивают загрузчик Windows… Это известный баг Microsoft.

    З.Ы. Пробовал посмотреть смарт викторией, выдало что-то про "busy" ...продолжение работы невозможно.

    В Victoria for DOS, если в BIOS не перевели контроллер из режима SATA AHCI (NCQ) в режим PATA/IDE то так и должно быть…

    Не вижу ничего, что бы указывало на проблемы с БМГ.

    ЗЫ А вот интерфейсные ошибки на этапе загрузки по CRC исправлять некому --- Windows пока нет... Подумайте, --- к чему это на этапе загрузки приведёт...???....

    ЗЗЫ У меня четыре терабайтника WDC: 2 серверных RE2 WD1002FBYS и 2 чёрных --- WD1001FALS и WD1002FAEX. По четыре тысячи часов наработали. По мелочам бывает…, но пока очень прилично сея ведут и бэдов (релоков) нет. Тьфу – тьфу – тьфу --- по дереву стучу…

    Я харды запредельно не мучал, но баловался/балуюсь с ними предостаточно.

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    3605

    13 лет на сайте
    пользователь #376262

    Профиль

    3605
    # 4 февраля 2012 17:12

    ASM, ну хорошо, бирусы пока редки, однако вирусу cin уже более 10 лет

    ASM:

    1. содержимое CMOS если поганить, то можно получать проблемы вроде описаной вами.

    однако это очень направленное воздействие, проявляющееся только на дисках, поэтому не может быть просто беспорядочным разрушением cmos. И ещё один нюанс против этого: при подключении диска к 4 имеющимся sata портам по очереди, они отваливались тоже по очереди. То-есть отваливался диск на порту, к которому был подключён, но остальные порты при том-же биос и неизменных настройках оставались функциональны. Однако после отказа опроса диска, к этому порту не удавалось вернуться, кроме как прошивкой bios.

    veterem sodalem
  • Tau_0 Senior Member
    офлайн
    Tau_0 Senior Member

    1017

    14 лет на сайте
    пользователь #248351

    Профиль
    Написать сообщение

    1017
    # 4 февраля 2012 22:17

    Force2,

    к этому порту не удавалось вернуться, кроме как прошивкой bios.

    Видать прошивкой BIOS Вы наплевали бирусу в душу --- он телепортировлся к следующему TC. Тот, не отягощённый Ваших познаний, по простоте душевной OS переставил, чем и изогнал бируса/Теминатора.

    Товарищи, бирус - не миф. Расскажу свою историю.

    К пользователю на компьютер с двумя операционками (WinXP Home и WinXP Professional) на профессиональную после установки МГТС-ного интернета каким-то странным мастером пролез WinLOCK. Я - ясное дело! - запустил из-под домашней курейта, отловил семерых "приятелей" троянского, рекламного и шпионского назначения. Гружсь под профессиональной - систему загрузил, а таскменеджера, експлорера и вообще ничего - рабочего стола, менеджера запуска (тот что по WIN+R запускается) - нету! изо всех попыток мне удалось запустить только менеджера специальных возможностей, который естественно нафиг не нужен, так как из-под него ничего кроме экранной лупы и клавиатуры не запустить. Чертыхаюсь, перезагружаюсь и из-под DOS пытаюсь запустить инсталляцию винды в режиме восстановления. Ноль эмоций - не доходит даже до синего экрана с надписью внизу "Программа проверяет текущую конфигурацию оборудования". Чертыхаюсь второй раз, перезагружаюсь и тыкаю "установка с файла ответов" - то же самое. Чешу затылок, пытаюсь подгрузить WinPortableEdition - не грузит!! Вынимаю диск из привода, минуты три тупо ищу царапины - их нет. вообще. Перезагружаюсь в режиме самопроверки CD-диска - он рапортует о полной исправности поверхности и данных. Ищу ругательства, повторно перезагружаюсь - уже в домашней пользовательской операционке и запускаю из-под неё инсталлятор. Тот скопировал файлы на хард, начал штатно перезагрузать - но после БИОСа комп отключил экран и заверещал динамиком будто я какую кнопку зажал и не отпускал. Взвыв как кулер процессора, отрубаю. питание и повторно гружу систему - и только тут смог выбрать в меню Boot.ini третью строчку с установкой. Восстановив систему, вторично проверил мой CD-диск - он чист, без бэдов и царапин. Ничем другим как бирусом я объяснить не могу - только ему под силу прерывать загрузку ДОС-овского установщика WINDOWS.

    И - кстати, вопрос, когда и где появится первая версия АнтиБИРУСа? нутром чую: скоро он ох как понадобится...

    Товарищи, бирус - не миф. Расскажу свою историю.
    http://www.rom.by/comment/277725

    ЗЫ Сходите по ссылке. Вас там ждут в других сериях --- их много…
    ЗЗЫ Когда ко мне ентот супостат бтрус заявится --- попа с кадилом призову. :D :D :D.
    Вот как только Терминатора распознать, чтобы попусту на другую мелочь такую мощу не потратить...???...

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    3605

    13 лет на сайте
    пользователь #376262

    Профиль

    3605
    # 4 февраля 2012 22:52
    Tau_0:

    не отягощённый Ваших познаний, по простоте душевной OS переставил

    если вы внимательный читатель, то должны были заметить, что я описывал проблему, и возможность переустановки ос достаточно подробно, и тогда ваш пост непонятен. Если-же вы ничего не читаете, а заходите для того, чтобы не вникая в суть, ляпнуть лишь бы что, тогда ваш пост понятен, но это не наделяет его смыслом.

    veterem sodalem
  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 5 февраля 2012 02:07

    Force2

    ASM, ну хорошо, бирусы пока редки, однако вирусу cin уже более 10 лет

    данный вирус не является бирусом. Его задача просто портить содержимое ПЗУ, но никак не записывать туда какой-либо исполняемый код. С таким успехом можно писать вредоносное ПО портящее содержимое ПЗУ различных устройств (мат. платы, видеоадаптеры, жесткие диски и т.п.) Только, как можете понять у большинства квалифицированных вирусописателей, стоят другие задачи, нежели просто сделать пакость ближнему.

    однако это очень направленное воздействие, проявляющееся только на дисках, поэтому не может быть просто беспорядочным разрушением cmos. И ещё один нюанс против этого: при подключении диска к 4 имеющимся sata портам по очереди, они отваливались тоже по очереди. То-есть отваливался диск на порту, к которому был подключён, но остальные порты при том-же биос и неизменных настройках оставались функциональны. Однако после отказа опроса диска, к этому порту не удавалось вернуться, кроме как прошивкой bios.

    К сожалению не видел ни ПЗУ вашей мат. платы, ни того что в CMOS, так же не могу судить о состоянии жесткого диска, посему тут слишком много вариантов развития событий. Но предположите сами, автору винлока, зачем блокировать принципиально загрузку с диска, если стоит задача заставить пользователя отправить платный смс? Ведь сим действом, получаем невозможность вывода основного сообщения.

  • Tau_0 Senior Member
    офлайн
    Tau_0 Senior Member

    1017

    14 лет на сайте
    пользователь #248351

    Профиль
    Написать сообщение

    1017
    # 5 февраля 2012 12:46

    ASM,

    Его задача просто портить содержимое ПЗУ, но никак не записывать туда какой-либо исполняемый код.

    Я сомневаюсь в том, что была запись --- разнообразных конфигураций достаточно много и все их анализировать хлопотно…, а просто мусор записать глупо.

    Простая порча BIOS не позволит незаметно загрузиться и будет сразу отловлена… Вот CMOS сбить проще --- только зачем...???..., да и неизвестно сколько знакомых знакомого Force2 до его прихода в машине ковырялось… Может они с настройками намудрили…

    Просто Force2 увлечён идеей бируса, которая не нова --- ей больше 20 лет. Вот он и ловит его везде…, --- как врага народа...:)

    Что после очередной перезаливки и настройки BIOS процесс пошёл, так может сразу надо было правильно CMOS настроить...???...

    ЗЫ А задним числом подтасовывать бируса... Если все неприятности на бируса списывать, то ВСЁ можно обяснить (бирус, как Бог могуш ), но недалеко на этом уедешь…

  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 5 февраля 2012 16:02

    Tau_0,

    Я сомневаюсь в том, что была запись --- разнообразных конфигураций достаточно много и все их анализировать хлопотно…, а просто мусор записать глупо.

    ну почитайте об этом вирусе на сайте антивирусных компаний. Полагаю найдете описание подробное. Да это один из глупых деструктивных вирусов, портящих содержимое ПЗУ, в некоторых вариантах очищающий первые несколько десятков секторов по LBA. В девяностые годы хватило плат с убитым ПЗУ и жестких дисков слегка подчищенных в начале.

    Простая порча BIOS не позволит незаметно загрузиться и будет сразу отловлена… Вот CMOS сбить проще --- только зачем...???..., да и неизвестно сколько знакомых знакомого Force2 до его прихода в машине ковырялось… Может они с настройками намудрили…

    что касается случая Force2 то там сложно установить проблему со слов самого Force2, версия с бирусом там неподтвержденная и собственно не выдерживает критических замечаний.

    Просто Force2 увлечён идеей бируса, которая не нова --- ей больше 20 лет. Вот он и ловит его везде…, --- как врага народа...
    Что после очередной перезаливки и настройки BIOS процесс пошёл, так может сразу надо было правильно CMOS настроить...???...
    ЗЫ А задним числом подтасовывать бируса... Если все неприятности на бируса списывать, то ВСЁ можно обяснить (бирус, как Бог могуш ), но недалеко на этом уедешь…

    ну это его дело. Но хочется в любой проблеме получить ясный ответ, а не версию без подтверждений.

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    3605

    13 лет на сайте
    пользователь #376262

    Профиль

    3605
    # 5 февраля 2012 16:09
    ASM:

    Но предположите сами, автору винлока, зачем блокировать принципиально загрузку с диска, если стоит задача заставить пользователя отправить платный смс?

    дело в том, что пользователь разумеется получил сообщение с требованием отправить смс, а также, насколько я помню информацию винлокера, получил и угрозу в случае неоплаты смс и принятия других действий, о том, что информация будет уничтожена, а биос разрушен.
    Поэтому, ответ на этот вопрос очень прост, если у вас есть голова на плечах: это реализация обещанных угроз, либо попытка реализации, в случае, если троян понял, что смс не оплатят.

    Добавлено спустя 2 минуты 8 секунд

    ASM:

    версия с бирусом там неподтвержденная

    я не утверждаю, что имел дело с бирусом, просто налицо воздействие на биос, возможно, не связанное с заражением.

    veterem sodalem
  • ASM Senior MemberАвтор темы
    офлайн
    ASM Senior Member Автор темы

    5306

    21 год на сайте
    пользователь #6161

    Профиль
    Написать сообщение

    5306
    # 6 февраля 2012 02:46

    Force2,

    дело в том, что пользователь разумеется получил сообщение с требованием отправить смс, а также, насколько я помню информацию винлокера, получил и угрозу в случае неоплаты смс и принятия других действий, о том, что информация будет уничтожена, а биос разрушен.

    Виндовз загружается, и винлок просит заплатить штраф за просмотр порно, при этом предупреждает, что виндовс переустановить не получится.

    Вы пожалуйста для начала определитесь, что же именно там было написано. Ибо первоначально вы несколько по другому пересказывали текст выводимый винлокером.

    Поэтому, ответ на этот вопрос очень прост, если у вас есть голова на плечах: это реализация обещанных угроз, либо попытка реализации, в случае, если троян понял, что смс не оплатят

    Да полно вам про чужие головы рассуждать, за своей смотрите. Главное попробуйте тогда пояснить, а где собственно разрушение данных пользователя (раз это выполнение угроз), разрушение содержимого ПЗУ?

    я не утверждаю, что имел дело с бирусом, просто налицо воздействие на биос, возможно, не связанное с заражением.

    налицо лишь тот факт, что были проблемы, из-за которых ПК зависал при прохождении POST.

  • Dimon_Parkour Member
    офлайн
    Dimon_Parkour Member

    257

    13 лет на сайте
    пользователь #421344

    Профиль
    Написать сообщение

    257
    # 6 февраля 2012 22:02

    Помогите с моей проблемой,при скане диска бед-секторов не обнаружено,зато достаточное кол-во секторов с медленным чтением,почти каждый день меняю Windows,из-за того что она просто отказывается включаться ссылаясь на то что на диске не было найдено нужного файла или просто синий экран с писаниной о поврежденных файлах диска,скачать с интернета тоже невозможна все файлы всегда поврежденные,я не знаю что с ним делать уже выкинуть тоже жалко,если кто знает решение данной проблемы напишите пожалуйста