Подготовка к работе
Ежегодно во всем мире вследствие поражения вирусами выходит из строя множество ПК. В тот момент, когда жесткий диск останавливается и компьютер цепенеет, пользователь начинает лихорадочно вспоминать, где найти последние резервные копии файлов и есть ли они вообще. Бывает, он их отыскивает, а бывает, и нет.
К потере данных могут привести не только вирусы, но и обыкновенное старение диска или некорректные действия пользователя. И происходит это, как правило, неожиданно. Но все же не стоит сразу отчаиваться. Большое количество организаций да и просто умельцев предлагают свои услуги по реанимации данных. Однако можно и заранее подготовиться к такой ситуации, когда жесткий диск «сделает последний вздох». Тогда не придется обращаться к стороннему лицу с просьбой, восстановить свои файлы, возможно содержащие конфиденциальные сведения.
Итак, рассмотрим процесс восстановления информации. Для этого нужны дискеты для загрузки ПК и со служебными программами. Загрузочную дискету можно подготовить средствами Windows или создать самостоятельно, что, пожалуй, удобнее. На нее рекомендуется записать следующие файлы:
setramd.bat1, flashpt.sys1, config.sys, ebd.cab1, findramd.exe1, ramdrive.sys1, aspi4dos.sys1, btcdrom.sys1, aspicd.sys1, btdosm.sys1, aspi2dos.sys1, aspi8dos.sys1, aspi8u2.sys1, autoexec.bat, extract.exe1, mouse.com2, command.com3, himem.sys1, oakcdrom.sys1, emm386.exe3, display.sys1, country.sys1, ega3.cpi1, mode.com1, keybrd3.sys1, keyb.com1, msdos.sys1, doskey.com4, rkm.com5. Причем файлы с индексом 1 взяты из стандартной загрузочной дискеты Windows 9x, с индексом 2 — с дискеты или компакт-диска, прилагаемого к мыши, 3 — из каталога Windows, 4 — из каталога WindowsCommand, 5 — из других источников. Последний в списке файлов, rkm.com, — программа-русификатор, которая может потребоваться для некоторых ПК, несовместимых со стандартной русификацией в режиме DOS (можно использовать и другие программы).
Начните с команды Sys a:, а затем, скопировав все необходимые файлы на дискету и создав или отредактировав имеющиеся Config.sys и Autoexec.bat, проверьте ее работоспособность. Сделайте с этой дискеты копию и храните в надежном месте. Однако учтите, что ее нельзя использовать со сжатыми дисками (в последнем случае подойдет стандартная дискета, созданная в Windows). Если вас не устраивает содержимое архива EBD.cab, вы можете сформировать его самостоятельно, воспользовавшись бесплатной утилитой Cabpack.exe. Править файлы надо в тех редакторах, которые поддерживают DOS-кодировку.
Теперь подготовим дискеты с требующимися программами. Для работы с файлами удобнее все же применить файловый менеджер, а не командную строку. Как нельзя лучше с этим справится Volkov Commander версии 4.0x — достаточно переписать на дискету только один маленький файл VC.com. На дискету также поместится программа Diskeditor из пакета Norton Utilities версии 3.0 и выше для Windows 95 OSR2 или 98. Содержимое каталога A:diskedit — diskedit.exe, diskedit.hlp, diskedit.ico, symcfg.bin.
Еще на одну дискету можно поместить утилиты NDD и Unerase: symcfg.bin, ndd.hlp, ndd.msg, ndd.exe, unerase.exe, unerase.hlp. А на следующую нужно переписать программу Tiramisu или новую версию Easy Recovery (http://www.recovery.de) для FAT 16 или FAT 32 с учетом ваших условий. Если же в ПК установлены жесткие диски с файловой системой обоих видов, то потребуется еще одна дискета. Лучше, конечно, иметь зарегистрированные версии программ, хотя и незарегистрированные помогут восстановить утраченные файлы. Вторая, в отличие от первой, позволяет восстанавливать за один сеанс от пяти до десяти файлов в зависимости от их версии. Программы Tiramisu, Cabpack и Rkm можно переписать по адресу: http://okobox.narod.ru.
Теперь вы достаточно вооружены, чтобы не пропасть в сложной ситуации. Во всяком случае, вы сумеете загрузиться и попытаться выудить с жесткого диска хотя бы самую ценную информацию. Только учтите, что Tiramisu не восстанавливает работоспособность системы, а лишь позволяет воссоздать файлы, записав их на другой носитель. Сам жесткий диск она не трогает, оставляя его таким, каким он стал после неблагоприятного воздействия вируса или иных отрицательных факторов. Вся информация для восстановления файлов находится в оперативной памяти. Когда же вы не можете обратиться к диску для считывания данных, то начинается процесс восстановления, полнота которого обусловливается причинами выхода из строя жесткого диска, регулярностью его дефрагментации и просто удачей. Поскольку крах жесткого диска возникает по множеству причин, то столько же есть и возможных вариантов дефектов. Однако без тщательной диагностики диска трудно точно установить, почему он неисправен, и здесь помогут средства, пусть не всегда эффективные, но зато безвредные для диска.
Бывает, что жесткий диск вообще «не виден», и тогда не помогут ни Fdisk, ни Format. Возможно, что повреждена главная загрузочная запись — Master Boot Record (MBR) или нулевая дорожка. Есть одно универсальное средство лечения: нужно выполнить следующие действия.
- Отключите все исправные жесткие диски, если, конечно, они имеются. Неисправный подключите как Primary Master и проверьте в BIOS, установлены ли для него параметры. Если раньше был принят пункт Auto (автоопределение), то, скорее всего, их не будет. Введите паспортные параметры, а если они неизвестны, то выберите первый тип.
- Загрузитесь с ранее подготовленной дискеты без поддержки дисковода CD-ROM и выполните приведенную ниже последовательность команд, рекомендованную производителем BIOS Award (убедитесь, что дискета или созданный с ее помощью виртуальный диск содержит программу-отладчик Debug.exe):
Debug -F 200 L200 0 -a 100 mov ax,301 mov bx,200 mov cx,1 mov dx,0080 int 13 int 3
Теперь нажмите Enter и далее введите
-G=100 -q
В ответ на вносимые команды будут появляться строки с цифрами и буквами, на которые не стоит обращать внимание, — важно правильно ввести команды.
В BIOS проведите автодетектирование жесткого диска. Скорее всего, он определится верно. Сохраните эти данные и выйдите из программы установки параметров BIOS. После очередной загрузки с дискеты сразу наберите Fdisk/mbr и перезагрузите ПК еще раз. Теперь скопируйте на дискеты или другой носитель важные файлы, если они, конечно, читаются. Если же нет, то воспользуйтесь программой Tiramisu. Восстановление длится довольно долго, от нескольких минут до нескольких часов в зависимости от объема диска. Незарегистрированную версию программы для восстановления всех нужных файлов придется запускать несколько раз. Ничего не пытайтесь записать на пораженный жесткий диск, — иногда это может привести к полной потере данных.
Теперь, когда вы убедились, проверив на другом ПК, что большая часть файлов сохранилась и читается, можно запустить утилиту Ndd.exe с соответствующей дискеты. Чтобы не вывести из строя еще один компьютер или ваш собственный после восстановления, эти файлы следует проверить на отсутствие вирусов.
Если повреждения на диске устранены, вирусы уничтожены и все работает, — торжествуйте! Но бывает, что это только Tiramisu прочитала файлы, а на диске их не видно. Тогда принимайте решение: либо используйте утилиту Fdisk или Format, поскольку все важное уже сохранено и можно больше не мучиться, либо восстанавливайте информацию дальше. Когда же жесткий диск так и не определился и нельзя применить Fdisk, то вам, видимо, просто не повезло. Нулевая дорожка с главной загрузочной записью должна была восстановиться, но если этого не произошло, то считайте, что диск свое отжил. Один жесткий диск из моей практики позволил списать с себя несколько важных файлов даже без Tiramisu, но при попытке что-либо записать на него тут же переставал читаться. Оказалось, что на нем уже давно начала разрушаться поверхность, о чем и сообщали программы проверки диска. И в конце концов наступил такой момент, когда больше ничего сделать было нельзя. Применяя приведенный выше совет, удавалось лишь несколько раз восстановить его для чтения.
Итак, начнем восстановление жесткого диска с того, что после загрузки с дискеты вставим и запустим дискету с программой Diskeditor (diskedit.exe). Сначала просмотрим основные области первого физического диска.
Для примера возьмем исправный диск. Все уцелевшие фрагменты сохраняем на дискете в виде файлов. Сперва увидим таблицу разделов (Partition Table).
Этот диск содержит основной загрузочный раздел с FAT32, начинающимся на стороне 1, дорожке 0, секторе 1 и заканчивающимся на стороне 63, дорожке 971, секторе 63, всего секторов в разделе 3 919 041. Есть и расширенный раздел EXTNDx, сведения о котором приведены в таблице.
Перейдя в начало основного раздела, можно увидеть загрузочную запись (на рис. 2 приведен ее фрагмент).
В режиме логического диска (фрагмент записи приведен на рис. 3).
Загрузочные записи в общем-то похожи в режиме и физического доступа, и логического, только секторы другие — логические.
Далее показаны два фрагмента FAT32. В первом из-за сильной фрагментации файлов записи непоследовательны (рис. 4). При недостатке информации на диске восстанавливать их очень сложно.
Во втором фрагменте FAT32 таблицы показана информация о размещении нефрагментированного файла (рис. 5).
Если таблицы разделов не видны, то можно попытаться восстановить их следующим образом.
Скопируйте первый сектор с другого диска или восстановите его описанным выше методом. Заполните таблицу заведомо ложными данными. Затем запустите NDD (DiskDoctor), согласитесь со всеми его предложениями и перезагрузите ПК. Теперь станет доступным дополнительный раздел, информация о котором только что была восстановлена.
Чтобы воссоздать загрузочную запись (BR), таблицу размещения файлов (FAT) и корневой каталог (Root), просмотрите еще раз диск и сохраните полностью и частично уцелевшие элементы логической структуры на резервный диск в виде файлов. Отформатируйте основной раздел с помощью команды Format C: — при этом заново создаются BR и чистые FAT и Root. В режиме просмотра каталогов найдите номер кластера в первой записи подкаталога и сравните его с номером физического кластера, где находится эта запись. В случае, когда номера не совпадают, скорректируйте в BR число секторов FAT на значение, кратное половине числа секторов в кластере. Если необходимо, повторите операцию.
Когда же среди сохраненных файлов остается образ второй FAT и Root, то, восстановив их и скопировав вторую копию FAT на место первой, можно обеспечить полный доступ к информации на диске.
Область данных лучше воссоздавать с помощью утилиты Unerase.exe. Выполнение такой операции вручную очень трудоемко и имеет смысл только тогда, когда информация вам жизненно необходима и не осталось другого способа ее получения.
Из всего сказанного выше можно сделать вывод, что из подкаталогов логических дисков дополнительного раздела DOS данные восстанавливаются проще, сохранять информацию лучше именно в дополнительном разделе — тогда восстановление информации будет более вероятным, чем из корневого каталога.
Конечно, в одной статье нельзя рассмотреть все возможные способы воскрешения данных на поврежденном диске. Однако получив общие представления о них, можно оценить свои возможности и решить, заниматься ли этой проблемой самостоятельно или обратиться за помощью к специалистам. Кроме того, заранее определив пути восстановления данных, вы запасетесь резервными копиями важных областей диска, а также сохраните сведения о разбиении диска на разделы и загрузочных записях. В дальнейшем это существенно облегчит работу и вам, и приглашенному специалисту. Выполнить такое резервирование поможет утилита Rescue.exe из комплекта Norton Utilities. Кроме важных областей жесткого диска утилита резервирует содержимое CMOS (КМОП)-микросхемы, что также не лишено смысла.
Еще одна программа, заслуживающая внимания, — InoculateIT Personal Edition (http://antivirus.cai.com). Этот бесплатный антивирус также может создать аварийную дискету, помогающую восстановить данные в случае разрушения информации на дисках. Она имеет функцию автоматического обновления через Internet.
Александр Поляк-Брагинский, braginsky@comail.ru