АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2003 ГОД

Потерял найди!

Все журналы \ Номер 9/232 `2003 от 03.03.2003 \ Потерял найди!

Двадцать первый век на дворе, вычислительная техника проделала большой путь от громадных монстровидных ламповых ЭВМ до того персонального компьютера, который стоит у многих из нас на столе. С тех пор в них изменилось абсолютно все, от внешнего вида до технических характеристик. Однако несмотря на кажущуюся «крутизну» современных ПК, они унаследовали от своих ламповых прадедов большинство недостатков.

Один из наиболее встречающихся и при этом самый коварный — малая надежность хранения данных на дисковых накопителях. Несмотря на то, что объем жесткого диска с момента его появления увеличился более чем в пять тысяч раз (!), его надежность осталась очень и очень низкой. Причем если надежность винчестеров по мере совершенствования технологии их производства сначала повышалась, то сегодня мы наблюдаем обратный процесс. Доверять важные данные современным высокоемким накопителям становится все страшнее. Эту ситуацию усугубляет также все более высокая емкость современных накопителей.

Основные причины такого удручающего положения дел сводятся к двум основным: физическая ненадежность накопителей и логическая уязвимость служебных структур. При физической поломке рядовому пользователю остается уповать разве что на гарантийное обслуживание (о бесплатном восстановлении файлов обычно даже речи быть не может). А вот при логическом разрушении данных вследствие действия вредоносных программ или неосторожности самого пользователя вполне можно отделаться легким испугом.

Для начала немного теории. Любой жесткий диск хранит данные не побайтно, а группами по 512 байт — секторами. То есть для того, чтобы записать или прочитать один байт, винчестеру приходится работать с целым сектором. С аппаратной точки зрения все секторы диска одинаковые, однако на практике разным секторам отводится различные роли. Так, самый первый сектор диска называется главным загрузочным сектором (MBR). Он содержит в себе т.н. таблицу разделов — специальную структуру, включающую всю информацию о разделах (логических дисках): номера начального и конечного секторов раздела, тип файловой системы, признаки активности и видимости, а также некоторые другие сведения. Кроме этого, в первом секторе расположена программа начальной загрузки, которая определяет в таблице активный раздел и передает эстафету его первому сектору. Первый сектор каждого из разделов содержит программу загрузки операционной системы (при условии, что она установлена), а также информацию о файловой системе. В виду ограниченности размера главного загрузочного сектора, таблица разделов включает всего четыре ячейки, то есть количество основных разделов не может быть более четырех. Для обхода этого ограничения применяется технология расширенных разделов. Суть ее такова: в таблицу разделов заносится информация о т.н. расширенном разделе. Он представляет собой специальную структуру, которая в свою очередь может содержать в себе описания неограниченного количества дополнительных разделов. Главным отличием дополнительного раздела от основного является невозможность загрузки с него операционной системы (некоторые системы, например Linux, могут загружаться с дополнительных разделов при помощи загрузчика, установленного в главный загрузочный сектор).

Теперь перейдем непосредственно к нашей теме. По той причине, что полное уничтожение данных на диске требует полной перезаписи всей его поверхности (а это порой не один десяток минут), большинство вредоносных программ (а также системных дисковых утилит, попавших в неумелые руки :-)) ограничиваются разрушением служебных областей, занимающих не более нескольких процентов общего объема диска. Другими словами, для того, чтобы сделать недоступными для пользователя все без исключения разделы винчестера, вирусу нужно перезаписать только один сектор! Занесение ложных данных в первый сектор раздела или его разрушение сделает невозможным доступ для операционной системы ко всем данным на логическом диске. А разрушение структуры расширенного раздела лишит пользователя всех дополнительных разделов.

Большинство пользователей в нашей стране работают с операционными системами DOS и Windows 9х компании Microsoft, поэтому их разделы отформатированы в файловых системах FAT и FAT32. Эти файловые системы также формируют в своем разделе структуры, содержащие информацию о файлах —таблицы размещения файлов (FAT). В них указываются позиции файлов и их фрагментов на диске. Обычно для повышения надежности раздел содержит две строго идентичных копии FAT, однако это страхует только от случайных повреждений. Ведь вирус очень быстро и без особого труда может уничтожить обе копии, тем более, что физически они расположены одна за другой и занимают от силы несколько мегабайт (размер FAT зависит от объема раздела).Используемая в Windows NT (она же 2000 и XP) файловая система NTFS намного более устойчива к разрушению и содержит средства самовосстановления, так что с точки зрения пользователя она более надежна.

Ну что ж, вернемся к нашим баранам, то есть данным. Итак, что мы имеем в результате действия вируса или неудачной переразметки винчестера? В этом случае обычно все пользовательские файлы остаются целыми и невредимыми, вот только информация об их размещении оказывается утерянной. Это можно сравнить с перетасованными страницы рукописи, на которых рассеянный автор забыл проставить номера: вся информация цела, но ее использование в таком виде совершенно невозможно. Главное — без паники, не нужно сразу форматировать диск или запускать программу прямого редактирования. Именно для такого случая разработаны специальные средства восстановления данных с разрушенных разделов, о них и пойдет речь далее.

Для начала об организации самих программ. Все они предназначены для копирования файлов и каталогов с поврежденного раздела, т.е. никаких исправлений на диске они не производят. Для работы с такими приложениями обязательно понадобится какой-либо исправный носитель, будь то дискета, второй винчестер или даже другой раздел поврежденного диска. Главное — ни в коем случае не пытаться записать восстановленные файлы туда же, откуда они восстанавливаются. После восстановления дерева каталогов стандартной процедурой будет удаление поврежденного раздела, его повторное создание и форматирование.

Рассмотрим номинантов на звание лучшего спасателя подробнее.

Программа PowerQuest Lost&Found (рис. 1 и рис. 2). Оконный псевдографический интерфейс, однако работает не на всех видеокартах, поэтому стоит запускать программу с ключом –T. Максимально простое и многофункциональное приложение, каждое ваше действие сопровождается исчерпывающим комментарием и запросом на согласие. Работает довольно быстро.

Ontrack Easy Recovery — пример удачного интерфейса. Все наглядно и понятно, однако программа изобилует такими дополнительными настройками, в которые обычно использовать не приходится. Примечательная особенность — выбор пользователем типа файловой системы для поиска. Совет: если программа отказалась находить раздел с указанной системой, попробуйте выбрать тип RAW, это наверняка позволит восстановить данные, однако имена файлов и структура дерева каталогов будут утеряны.

Ontrack Tiramisu Easy Recovery (ранее называлась просто Tiramisu) — ничего лишнего (рис. 3 и рис. 4). Выбрать диск, подождать, сохранить файлы. Для работы требует драйвер EMS (возможен своп на исправный раздел, но при этом программа иногда зависает). Ontrack Tiramisu Easy Recovery скорее можно назвать пакетом, состоящим из трех независимых программ для файловых систем FAT, FAT32 и NTFS. Последняя, по моим субъективным впечатлениям, наиболее удачная. Технические возможности программ описаны в таблице 1. Все они оснащены достаточно дружественными интерфейсами и управляются мышкой или клавишами со стрелками.

Программы, поддерживающие длинные имена файлов, при восстановлении генерируют специальный BAT-файл, в котором прописывают команды на переименование коротких имен. Этот файл нужно запускать только из системы Windows, но если на диске были файлы с русскими именами, предварительно удалите из этого файла команды на их переименование (рис. 5).

Немного о методике испытания программ. Вся работа производилась на отдельном жестком диске, очищенном от прежних данных. Изначально при помощи Partition Magic v6.0 было создано два одинаковых по размеру FAT-раздела, основной и расширенный (рис. 6). На каждый из них было скопировано файлов на 10% от свободного объема, несколько текстовых файлов были принудительно фрагментированы. Для проверки совместимости на разделы помещены файлы с длинными английскими и русскими именами. При помощи программы Drive Image Pro v4.0 полученная картина на диске была сохранена в виде файла-образа. Затем благодаря Partition Magic оба раздела были переконвертированы в FAT32 и тоже сохранены в виде образа. Для проверки совместимости программ восстановления с системой NTFS оба FAT-раздела переконвертировались в NTFS утилитой CONVERT из комплекта Windows NT. В результате такой последовательности действий у меня получилось три файла-образа диска с разными файловыми системами и совершенно одинаковой фрагментацией (фрагментация проверялась программой Norton Speed Disk). Перед тестированием при помощи программы Norton Disk Editor в те или иные служебные области заносилась случайная информация соответствующего объема. Для чистоты эксперимента операция восстановления разделов из образа с последующим затиранием служебных областей проводилась перед тестированием каждой программы.

Испытания производились в следующих номинациях:

1. разделы FAT с запорченным главным загрузочным сектором;

2. разделы FAT с запорченными загрузочными секторами и главным загрузочным сектором;

3. разделы FAT с запорченными загрузочными секторами, в том числе с мусором в области расширенного раздела;

4. разделы FAT с запорченными таблицами размещения файлов и корневыми каталогами (эти структуры расположены физически одна за другой, поэтому вероятность их совместного повреждения достаточно высока);

5. то же самое, что предыдущий, только разделы отформатированы в FAT32;

6. разделы NTFS с мусором в области MBR;

7. разделы NTFS с запорченными загрузочными секторами;

8. разделы NTFS с мусором во всех загрузочных секторах, включая MBR.

Итак, первое испытание: после разрушения MBR картина диска стала такой, как на рисунке 7 (аж сердце дрогнуло :-)). Результаты работы программ приведены в таблице 2.

Как видим, программа от PowerQuest справилась с заданием на отлично, восстановив практически полное дерево каталогов на обоих разделах. Чего не скажешь о двух других подопытных: первичный раздел был восстановлен, а вот вторичный остался без их внимания, несмотря на то, что все его описатели повреждены не были. Стандартный SCANDISK в этой ситуации оказался совершенно беспомощным — он даже не в состоянии обнаружить диск с поврежденным MBR. Программа Norton Disk Doctor заметила непорядок на винчестере (рис. 8), но после десятиминутного поиска найти разделы так и не смогла (рис. 9).

Второе и третье испытание принесли одинаковые результаты, зафиксированные в таблице 3.

В этих тестированиях открылись возможности поиска файлов на разделах, чья геометрия известна (MBR поврежден не был). Программа от PowerQuest опять отличилась, хоть и не смогла корректно идентифицировать таблицу размещения файлов на вторичном разделе, поэтому от фрагментированных файлов остались только начала. На этот раз первая программа от Ontrack после 60-минутного «думания» (по 30 минут на раздел) позволила восстановить большинство файлов на обоих разделах, однако полностью спасовала перед фрагментированными файлами. Tiramisu по-прежнему хочет видеть только первичные разделы. SCANDISK хоть и обнаружил сбойные разделы, но опять же не пожелал что-либо исправлять (рис. 10). А вот NDD буквально за несколько секунд нашел и восстановил первичный раздел (рис. 11). Единственное, что нужно для удачного восстановления, — отказаться от всех остальных исправлений, иначе программа удалит все файлы как испорченные!

Испытание четвертое. Вследствие разрушения таблиц размещения файлов о полном восстановлении фрагментированных файлов лучше и не думать. Посмотрим, что же удалось спасти в этом случае (таблица 4).

После 60-минутного сканирования первой программе от Ontrack удалось вернуть не более десяти процентов драгоценных файлов. Маловато. SCANDISK после прохода по горам мусора на месте FAT «навосстанавливал» ТАКОЕ, что лучше к нему в следующий раз за помощью не обращаться. NDD около трех минут исправлял ошибки и в результате предоставил мне девственно чистые разделы, которые действительно уже не содержали никаких недочетов :-).

Как видно из таблицы 5, аналогичное испытание, но с FAT32-разделами, порадовало немного больше. Теперь уже две программки восстановили около 100% файлов (кроме фрагментированных, разумеется).

Результаты работы первой и второй программ совпали абсолютно, за тем лишь исключением, что Lost&Found справилась с задачей ровно в три раза быстрее. Итоги работы SCANDISK и NDD полностью идентичны показателям в предыдущем тесте.

Шестое испытание аналогично первому за исключением того, что оба раздела были отформатированы в системе NTFS. Вопреки ожиданиям, результаты из таблицы 6 мало напоминают таблицу 2. Из таблицы 6 видно, что Tiramisu наконец-то развернулась и показала нам настоящий эталон аккуратности. Особого внимания заслуживает специфика работы этой программы. После сканирования всей поверхности она составляет рейтинг из десяти претендентов на статус раздела и выводит его в виде таблицы (рис. 12). Для пользователя особенно важно сделать правильный выбор. Основным ориентиром в этом вопросе должен быть размер кластера и наличие загрузочного сектора (третья и четвертая колонки). Номер стартового сектора может подсказать правильное решение тому, кто знает, каким примерно он должен быть.

Ontrack нашла чем выделиться: пусть и собрала только половину файлов с разделов, но только посмотрите на время! Вот только она полностью растеряла имена файлов и структуру дерева каталогов, вместо них теперь только цифро-буквенные номера и расширения. Это стало следствием выбора в качестве типа файловой системы RAW, положенную NTFS ей так и не удалось найти ни на одном разделе.

А вот Lost&Found по совершенно непонятным причинам потеряла корневой каталог. В результате вместо имен подкаталогов мы получили численные номера, и вместо фрагментированных файлов, какие-то обрывки.

Результаты седьмого и восьмого испытаний оказались одинаковыми и никаких сюрпризов не преподнесли (см. таблицу 7).

Здесь рекордсменом опять Tiramisu, но зато только Ontrack осилил часть фрагментированных файлов. А Lost&Found даже позволил восстановить удаленные файлы с NTFS-диска, что по заверениям Microsoft невозможно :-).

Итак, что же мы имеем? Субъективно я могу охарактеризовать рассмотренные программы примерно так. Lost&Found — идеальна для FAT и FAT32, наиболее интуитивная и при этом быстрая, рассчитана на «чайника». Easy Recovery — довольно медленная, но имеет режим расширенного сканирования и может работать, полностью игнорируя информацию системних областей. Имеет отличный графический интерфейс и полностью управляется мышкой. Tiramisu — наиболее автоматизирована, самая быстрая, требует от пользователя минимум раздумий.

Удачи!

Рекомендуем ещё прочитать:

Удобный прайс-лист. (№5/228 `2003) Надежда Баловсяк
3D-максимум. (№7/230 `2003) Сергей Бондаренко, Марина Двораковская
Как разделяют пингвинов. (№12/235 `2003) Сергей А. Яремчук
От винта! (№13/236 `2003) Антон Руббишев
Толстый-толстый слой Фотошопа. (№15/238 `2003) Виктор Борщак
Иллюстраторы алгоритмов. (№18/241 `2003) Анастасия Ковалева
Свежемороженая скорость. (№19/242 `2003) Алексей Сало
Чисто реальный Linux. (№28/251 `2003) Сергей А. Яремчук
BARЯ возвращается. (№32/255 `2003) Геннадий Осипенко
Систематика пингвинов. (№33/256 `2003) Сергей А. Яремчук

Предыдущая статья Назад К списку журналов Следующая статья