Страница 249 из 256
Особняком стоит ХВООТ Ильи Евсеева, представляющий собой MBR/менеджер загрузки в одном лице.
Один простой совет/вывод.
Установил менеджер загрузки — сохрани MBR на дискете. Большинство менеджеров сами предлагают это сделать. Это — обязательно, но не всегда — достаточно. Для достаточности рекомендуется всё же читать доку к менеджеру.
Уточнение 1. В ряде систем, допускающих множественную загрузку, в частности, в семействе Windows NT, код в MBR остаётся неизменным и по-прежнему передаёт управление загрузчику, расположенному в активном разделе. А уже в этом загрузчике записан код, вызывающий диспетчера загрузки. Но некоторые диспетчеры загрузки действительно записывают свой код в главную загрузочную запись.
Уточнение 2. На диске может быть и четыре основных раздела. Но в этом случае дополнительный раздел создать не удастся.
Восстановление информации на жёстком диске
При удалении файла в DOS или Windows стандартными средствами ОС, минуя Корзину или из Корзины, файл помечается как удалённый (в начало его имени добавляется специальная метка) и перестаёт быть виден, но сама информация остаётся на том же месте на жёстком диске. Однако теперь это пространство доступно для записи новых данных по первому же требованию. И если запись на место удалённого файла произошла, тогда он уже потерян безвозвратно. Если же ничего записано не было, то удалённый файл ещё возможно восстановить, воспользовавшись специальными программными средствами.
Похожей выглядит ситуация и при форматировании логического диска. При обычном форматировании заново создаётся таблица размещения файлов (File Allocation Table, FAT), где теперь указано, что вся поверхность диска пустая. Однако имевшиеся ранее данные при этом не стираются и остаются на своих местах. Так же происходит при удалении и создании логических разделов — создаётся новая таблица разделов (Partition Table, РТ), новые диски считаются пустыми, но старая информация большей частью остаётся на своих же местах, хотя теперь к ней нельзя получить доступ с помощью стандартных средств ОС. Исключением является так называемое низкоуровневое форматирование: при этом вся поверхность жёсткого диска обнуляется и данные исчезают навсегда.
Таким образом, если стало ясно, что нужные данные ошибочно удалены, то ни в коем случае нельзя записывать что-либо на этот же диск, а ещё лучше вообще отключить его до тех пор, пока не будут подготовлены специальные средства для поиска и восстановления информации. Особенно уязвим, в этом отношении, системный диск С. Операционная система постоянно делает служебные записи на системный диск, произвольно выбирая доступное для записи место и затирая этим удалённые файлы. Поэтому важную информацию не рекомендуется хранить на диске
С, хотя Microsoft и располагает почему-то по умолчанию папку "Мои документы" всегда именно на этом диске.
Наиболее надёжными средствами для восстановления информации являются программы Ontrack Easy Recovery и Power Quest Lost & Found.
Ontrack Easy Recovery может работать из-под Windows или с загрузочной дискеты в DOS-режиме, что особо актуально, если операционная система, а то и весь FAT на жёстком диске повреждены, и стандартным образом загрузиться не из чего.
Если на жёстком диске остались работоспособные разделы, на которых нет ценных потерянных данных, то при восстановлении информацию можно сохранять туда. В противном случае придётся подключать второй жёсткий диск или сохранять восстанавливаемую информацию на дискеты. Загрузочную дискету можно извлечь из дисковода и на её место вставить чистую, сохраняя данные на неё.
Работоспособность не будет потеряна, так как в это время программа уже находится в оперативной памяти компьютера.
Power Quest Lost & Found работает только с загрузочной дискеты и не позволяет сохранять восстанавливаемую информацию на логические диски того же винчестера, где находятся удалённые данные. Сохранять можно либо на второй жёсткий диск, либо на дискеты. Это вполне оправданный подход, являющийся наиболее безопасным, поскольку любая служебная или случайная запись на диск, содержащий потерянную информацию, может привести к её полному уничтожению.
Восстановление информации на жёстком диске вручную с помощью DiskEdit
Вниманию всех пострадавших от вируса Win95.CIH! Если у вас не загружается компьютер — не спешите форматировать винты! Вся информация прекрасно восстанавливается! При известном навыке вся процедура занимает не более пяти минут. Дело в том, что вирус оставляет нетронутой структуру каталогов и даже вторую копию FAT, а это значит, что восстановление информации — лишь дело техники.
В общих чертах процедура восстановления выглядит следующим образом:
1. Поставить испорченный винчестер в нормальную машину слейвом или кем он туда тулится и сделать автодетект его в сетапе.
2. Загрузить DISKEDIT и посмотреть каким ФИЗИЧЕСКИМ диском он стал.
3. Поискать в DISKEDIT'е вторую копию FAT на этом диске, если она осталась — записать стартовый сектор.
4. Поискать на этом диске точку входа корневой директории (ROOT). Так как она идёт сразу за 2-й копией FAT, определить размер FAT в секторах.
5. Перейти на работающий загрузочный диск, скопировать оттуда на испорченный диск таблицу разделов (MBR) и загрузочную запись (BOOT). Это будет примерно 100 первых секторов от начала диска. Короче — все сектора до первой копии FAT.
6. Скопировать с испорченного диска 2-ю копию FAT на место первой. Длину мы уже узнали в п.4.
7. После этих первых шагов винт начинает определяться как логический после перезагрузки, но файлы пока не доступны, в директориях — каша. Для того чтобы сделать диск опять полноценным, нужно посмотреть в том же DISKEDIT'е информацию о диске (количество дорожек, сторон, секторов) и прописать эту информацию в Partition table. Желательно в обе копии. Затем залезть в загрузочную запись и прописать эти данные и туда (для FAT32 туда ещё нужно прописать длину FAT в секторах и номер стартового сектора для корневой директории). Для этого придётся немножко посчитать. Следует помнить, что BOOT тоже в двух копиях, по этому изменения желательно вносить в обе.
8. Если всё было проделано правильно, то после перезагрузки винт выглядит как новенький. Нужно только полечить его антивирусом, чтобы через месяц не повторять эту процедуру по-новому.
Информация по восстановлению в вышеприведённом совете в целом верна, но вызвала у меня некоторые возражения. Автор совета, вероятно, имел дело с диском FAT32. Мне попадалось немало дисков FAT16, на которых после Win95.CIH не оставалось даже ROOT'а. Вероятно, вирус уничтожает фиксированное число секторов, начиная с таблицы разделов (MBR или Partition Table). Диски с FAT32 спасает значительно большая длина FAT. Если же вторая копия FAT не осталась — ничего приличного уже не восстановишь, при настойчивости — пару особо нужных текстовых файлов.
Комментарии к пунктам совета: 4. Средствами поиска diskedit "найти объектподкаталог" корневую директорию не отыскать. Вот любую другую — запросто. Поэтому искать лучше подстроку "autoexec" или ИМЯ любого другого файла, наверняка имеющегося в корневой директории. Кстати, для FAT32 корневой каталог НЕ обязательно лежит сразу за FAT. И если так получилось, то искать конец FAT — задача весьма творческая.
5. Такое копирование корректно не всегда. Диски желательно брать похожие, а ещё лучше заранее сделать на загрузочную дискетку с diskedit копии MBR и BOOT.
Тогда и второй компьютер не нужен. Очевидно, что загрузочные записи FAT32 и FAT16 взаимно НЕ заменяемы (хотя бы потому, что у FAT32 она в 3 раза длиннее).
Менее очевидно, что MBR на разных НЖМД могут быть несовместимы. Например, перенесённый на НЖМД размером 8 Гб MBR, взятый на маленьком (около 1,5 Гб) диске, обрезал максимальный размер до 2 Гб, не стесняясь подправить и соответствующую запись в BIOS.