Runtime diskexplorer как пользоваться
DiskExplorer 4.32
Runtime DiskExplorer - мощный редактор дисков, поддерживающий NTFS, FAT и Linux файловые системы. Позволяет просматривать таблицы разделов, загрузочные сектора, таблицы размещения файлов и каталогов, восстанавливать удаленные файлы, читать информацию с поврежденных носителей.
Runtime DiskExplorer для NTFS:
• навигация через NTFS диск к таблицам разделов, загрузочным секторам, таблицам размещения файлов и каталогам
• поиск на диске текста, таблиц разделов, загрузочных секторов, MFT записей
• просмотр файлов
• сохранение файлов или целых каталогов на диске
• идентификация файла, к которому принадлежит определенный кластер
• создание виртуального тома, когда загрузочный сектор потерян или поврежден
• редактирование диска, при помощи прямого режима чтение/запись или виртуального режима записи
Runtime DiskExplorer для FAT:
• навигация через диск при помощи браузера, непосредственно к таблицам разделов, загрузочным секторам, таблицам размещения файлов, FAT или каталогам
• поиск на диске текста, таблиц разделов, загрузочных секторов и поддиректорий
• редактирование диска, при помощи прямого режима чтение/запись или виртуального режима записи
• просмотр и запись даже удаленных файлов
• создание виртуального тома, когда загрузочный сектор потерян или поврежден
Runtime DiskExplorer для Linux:
• навигация через диск при помощи браузера, непосредственно к таблицам разделов, загрузочным секторам, таблицам размещения файлов, каталогам, группам и т.д.
• поиск на диске текста, таблиц разделов, загрузочных секторов
• редактирование диска, при помощи прямого режима чтение/запись или виртуального режима записи
• просмотр и запись даже удаленных файлов
• создание виртуального тома, когда загрузочный сектор потерян или поврежден
Утилита DiskExplorer предназначена для исследования дисков и разделов с файловой системой NTFS, FAT и Linux и способна работать как под управлением любой Windows-системы, так и с загрузочного диска. Она позволяет просматривать содержимое диска в различных режимах и вариантах представления.
Можно просмотреть данные таблицы размещения файлов (MFT), загрузочной записи, таблицу разделов. Все эти данные можно просматривать в виде обычного текста, в шестнадцатеричном виде (hex), в виде индексов в таблице файлов. Конечно, можно и просматривать сами файлы, в том числе и в их родных программах, извлекать и сохранять любую информацию с диска.
Приемы восстановления данных вручную с помощью Runtime DiskExplorer и Acronis Disk Director Suite.
Еще раз напомним, что безопаснее не вносить изменения непосредственно на проблемный носитель. Лучше сначала сделать посекторный образ и экспериментировать уже с ним.
По умолчанию дисковые редакторы обычно работают с дисками и образами в режиме «только для чтения». Чтобы появилась возможность редактировать образ или диск, программу необходимо переключить в режим кешированной или непосредственной записи. Например, в Runtime DiskExplorer для этого следует открыть диалоговое окно настроек (меню Tools | Options) и установить переключатель Mode (Режим) в положение Virtual write (Виртуальная запись) или Direct read/write (Прямая запись/чтение).
Восстановление таблицы разделов
Предположим, что на диске была очищена или искажена таблица разделов. Типичный случай: разделы удалены средствами установщика Windows или одной из утилит для манипуляций с разделами. Кроме того, мы знаем, что на диске присутствовал по крайней мере один раздел NTFS.
Откроем диск в редакторе, перейдем к нулевому сектору и выберем режим его просмотра как таблицы разделов. Редактор показывает, что записи таблицы разделов пусты.
Наша задача — найти на диске границы разделов и занести правильные значения в MBR. Подсказкой в этом случае будет содержимое, которое должно находиться в начальном секторе раздела.
C чего начинается раздел NTFS, легко вспомнить, просмотрев с помощью дискового редактора другой, исправный, диск. Редактор покажет, что раздел должен начинаться с последовательности байтов ЕВ 52 90 4Е 54 46 53 (как HEX) или лR h NTFS (как текст ASCII).
Вызовите диалоговое окно поиска: Tools | Search (Инструменты | Поиск). Укажите в качестве образца эту последовательность, в шестнадцатеричном или ASCII виде. Запустите поиск, и через некоторое время редактор приведет нас к начальному сектору ближайшего раздела NTFS и покажет его содержимое.
Однако нам нужен только номер сектора. Запишите его на бумаге или, например, в Блокноте. Продолжите поиск — редактор покажет начало следующего раз дела и т.д.
Например, начало раздела NTFS найдено в секторе 20 482 048. Можно выдвинуть два предположения:
в начале диска либо находился раздел, отличный от NTFS, например FAT, либо начало этого раздела затерто. Вероятно, найденный раздел — второй;
скорее всего, раздел, начинающийся в секторе 20 482 048, простирается до конца диска. Иначе бы мы нашли признаки начала следующего раздела. Впрочем, на чало следующего раздела могло быть и затерто.
Что же, попробуем восстановить хотя бы этот раздел, исходя из полученных сведений. Номера секторов дисковый редактор выдает в координатах LBA, но в таблице разделов их нужно будет указать в координатах CHS. Чтобы перевести одно в другое, нам необходимо узнать геометрию диска.
Для преобразования CHS в LBA существует довольно простая формула:
LBA = (((С × НРС) + Н) × SPT) + S - 1.
Здесь НРС — число головок на цилиндр, а SPT — число секторов на дорожку. Обратное преобразование, т.е. перевод номера LBA в адрес CHS, описывается тремя формулами:
H = int((LBA/SPT) mod HPC), S = (LBA mod SPT) + 1,
S= ( LBA mod HPC ) +1.
Здесь mod — операция взятия остатка от деления, а функция int возвращает целую часть числа.
Если делить с остатком на бумаге лень, для расчетов можно воспользоваться Калькулятором Windows в режиме «инженерный» или таблицей Microsoft Excel — функции mod и int в них предусмотрены.
В общем случае сведения о геометрии диска выясняются с помощью различных тестовых программ, например Everest. Однако для современных винчестеров практически всегда применяется фиктивная адресация, в которой число логических го ловок (HPC) равно 254, а число секторов (SPT) = 63. Отличается только количество цилиндров!
Таким образом, в нашем примере координаты начала раздела LBA 20 482 048, т.е. C 1279, H 245, S 56. Конец раздела приходится на последний сектор диска (LBA 355 544 319, или C 22 218, H 188, S 40). Длина раздела составляет 335 062 271 секторов.
Остается одно уточнение. На первый взгляд, вычисленные значения CHS можно уже внести в поля таблицы разделов. Если координаты начала раздела укладываются в пространство CHS, так и нужно сделать.
Однако размер полей ограничен. Он составляет всего 2 шестнадцатеричных раз ряда, и более длинное число записать туда попросту невозможно.
Как мы выяснили, если адреса начального и конечного секторов раздела выходят за ограничения CHS, в соответствующие поля таблицы разделов записываются максимально возможные значения (1023, 255, 63). Истинный адрес начала раздела вносится в поле Relative start sector, причем в координатах LBA. Номер конечного сектора выражается через длину раздела, приведенную в поле Total Sectors.
В данном случае так мы и поступим. Введем в первые шесть полей второй записи таблицы разделов максимально возможные значения, а в следующие два поля запишем адрес начала раздела в LBA и длину его в секторах.
Перед выходом из редактора необходимо записать измененные значения непосредственно на диск или в образ, если вы работали с образом. В зависимости от выбранного режима программа несколько раз запросит подтверждения выполняемых действий. Ответьте утвердительно.
После перемонтирования диска или перезагрузки компьютера восстановленный том появится в системе. Скорее всего, на нем обнаружатся файлы и папки, которые считались утраченными.
2. После установки и запуска программы (под учетной записью администратора) откроется главное окно:
В меню File выберите Drive … и в разделе Logical drives выделите Hard drive , соответствующий виртуальному диску:
Нажмите ОК и отобразится окно с загрузочным сектором ( Boot sector ) NTFS :
Дважды щелкните по надписи Boot sector ( NTFS ) или в меню Goto выберите Mft , программа перейдет к отображению файловых записей в таблице MFT :
Относительно каждой файловой записи программа показывает следующую информацию.
В первой строке:
- Sector – начальный сектор данной файловой записи: сверху – в шестнадцатеричном виде, снизу – в десятичном;
- Name – имя файла (или каталога);
- Type – тип файловой записи (файл или каталог);
- Attributes – DOS атрибуты файла (например, s – системный, h – скрытый); не путать с NTFS атрибутами;
- Size – размер всего файла в байтах (не только файловой записи); отображается в десятичном виде;
- Date – дата и время модификации файла (или каталога);
- 1st cluster – первый кластер файла, если он имеет нерезидентные атрибуты;
- NT Attributes – NTFS атрибуты (коды см. в лекции 17 "Файловая система NTFS").
Во второй строке:
- No – номер записи в MFT;
- Parent – номер записи в MFT для родительского каталога; например, для всех первых файлов в MFT этот номер будет равен 5 – номеру записи для корневого каталога (обозначается точкой);
- Run – список групп для нерезидентных файлов.
В крайней левой колонке таблицы ( Sector ) показывается номер сектора, в котором располагается начало файловой записи. Проверьте, что этот номер совпадает с номером сектора для $ Mft в файле log .txt, полученным в предыдущем задании. В нашем примере этот номер равен 0x102A8.
Проверьте соответствие других записей в программе DiskExplorer и в файле log .txt.
Обратите внимание, что номера секторов в столбце Sector увеличиваются на 2, т.е. файловая запись занимает 2 сектора (1 КБ).
Задание 6. Изучить файловую запись для резидентного файла.
Указания к выполнению.
1. Найдите в списке файловых записей DiskExplorer запись для файла Test.txt:
Дважды щелкните на этой записи (или нажмите клавишу F7) – откроется окно файловой записи:
В этом окне три основных раздела:
- Structures – структура файловой записи. Показаны заголовок (Header) файловой записи и атрибуты; каждый атрибут имеет заголовок (Header) и тело (Body);
- Interpretation of data – интерпретация данных. Для текстового файла приведено его содержимое в текстовом виде;
- Raw data – содержимое файловой записи в виде набора байт (приведены шестнадцатеричные значения и ASCII коды).
2. При перемещении по пунктам в разделе Structures, в остальных двух разделах отображается соответствующая данному пункту информация . Например, на рисунке ниже приведена информация для заголовка файловой записи:
Изучите содержимое заголовка файловой записи и всех атрибутов. Определите способ хранения информации при помощи окна Raw data . Например, на рисунке ниже красным цветом в разделах Interpretation of data и Raw data выделено поле Length ( Длина ) для атрибута $STANDARD_INFORMATION , а синим цветом – поле Data status (Резидентность): значение 00 означает, что атрибут резидентный.
Информацию о структуре файловой записи NTFS можно найти в лекции 17 " Файловая система NTFS ", а также в источниках [17; 5].
Если хочется посмотреть на то, как устроено что-то в реальном мире, мы берём и исследуем объект при помощи микроскопа. А что делать, если хочется посмотреть на внутреннее устройство компьютера, например, жёсткого диска? В микроскопе мы увидим не совсем то, что хотели бы. А вот применив программу DiskExplorer (shareware, 69USD) от компании Runtime Software жёсткий диск предстанет перед нашим взором во всей красе.
Утилита предназначена для исследования дисков и разделов с файловой системой NTFS и FAT и способна работать как под управлением любой Windows-системы, так и с загрузочного диска. Она позволяет просматривать содержимое диска в различных режимах и вариантах представления. Можно просмотреть данные таблицы размещения файлов (MFT), загрузочной записи, таблицу разделов. Все эти данные можно просматривать в виде обычного текста, в шестнадцатеричном виде (hex), в виде индексов в таблице файлов. Конечно, можно и просматривать сами файлы, в том числе и в их родных программах, извлекать и сохранять любую информацию с диска. Из специфичных функций можно отметить определение конкретных кластеров на диске, в которых размещён указанный файл, или наоборот, расскажет, какой файл в указанном кластере.
Есть интересный режим создания виртуального диска, когда программа пытается реконструировать загрузочную запись и таблицу файлов в памяти, и, если это возможно, потом использовать её для извлечения данных с диска. Можно также сделать полный образ диска в формате IMG для последующего применения других, более мощных средств восстановления, но без использования физического доступа к повреждённому винчестеру.
Для самых опытных пользователей предусмотрен режим прямой работы с диском, который позволяет редактировать и записывать данные на диск напрямую. Утилита станет отличным дополнением к более продвинутым средствам восстановления информации, а во многих несложных случаях позволит обойтись без специальных программ, ведь она также может извлекать файлы и целые директории с повреждённого диска, даже если его не видит операционная система.
Сегодня праздник у железячников, ремонтников, сисадминов и эникейщиков!
После долгого забвения был возобновлен выпуск легендарного загрузочного диска Hiren's BootCD.
Hiren's BootCD (также известный как HBCD) представляет собой загрузочный образ с программным обеспечением для записи на CD\DVD\USB-flash, содержащий ряд диагностических утилит, таких как тесты производительности системы, программы для форматирования и разметки, средства клонирования и создания образов диска, инструменты для восстановления данных, инструменты для работы с MBR, инструменты прошивки и модификации BIOS и других средств для исправления различных компьютерных проблем.
На этот раз дистрибутив базируется на 64-разрядной Windows PE 10.0 и содержит только легальные для свободного распространения программы, при условии, что вы будете использовать HBCD исключительно в целях диагностики и устранения компьютерных неисправностей, а не в качестве основного ПО для компьютера.
Выпуском новых официальных версий занимается группа особо преданных фанатов дистрибутива, которым был передан доступ к официальному сайту (старая версия сайта до анонса новых версий), в то время как оригинальный автор давно отошел от дел.
Историческая справка
История дистрибутива для аварийного восстановления Hiren's BootCD началась в 2004 году. Первоначально в качестве операционных систем использовались Windows 98 Second Edition и MS-DOS 7.1. Позднее, в версии 9.9 в качество ОС стала применятся Mini Windows XP SP3.
Hiren's BootCD длительное время классифицировался warez, так как фактически нарушал авторские права издателей отдельных компьютерных программ. Несмотря на то, что дистрибутив на 95% состоял из заброшенных или бесплатных для использования программ, он также содержал программы Microsoft и других компаний, которые требовали специального лицензирования. Поэтому пользователям HBCD необходимо было учитывать, что его применение могло нарушать закон об интеллектуальной собственности (из-за значимого количества проприетарных лицензионных программ в его составе). В некоторых странах распространение диска Hiren's BootCD считалось нелегальным.
Значимое количество коммерческих программных продуктов, защищенных авторских правом и требоваших специального лицензирования, в Hiren’s BootCD содержалось вплоть до версии 11.0.
К примеру, в версии 10.6 в примечаниях к выпуску были указаны 17 коммерческих программ. В первую очередь, это были Acronis True Image, Norton Ghost, Acronis Disk Director и Paragon Partition Manager (Partition Magic Pro был заменен уже в версии 10.5.). Чтобы иметь возможность запускать коммерческое приложение, пользователь должен был поклясться, что он является обладателем лицензии, но фактически это никак не проверялось.
В версии 11.0 коммерческих продуктов оставалось всего три:
- Мини-Windows 98
- Мини-Windows XP
- Коллекция утилит MS-DOS
Последней версией, выпущенной оригинальным автором, стала Hiren's BootCD v15.2, выпущенная 9 ноября 2012 года, после чего создатели по неизвестным причинам потеряли интерес к развитию своего детища.
Усилиями одной из групп фанатов некторое время самодеятельно выпускалась неофициальная серия релизов Hiren's BootCD v. 15.3 — v.16.x
Является ли использование Windows PE 10.0 легальным?
Windows PE не является операционной системой общего назначения. Он не может использоваться для каких-либо других целей, кроме развертывания и восстановления. Он не должен использоваться как тонкий клиент или встроенная операционная система. Существуют и другие продукты Microsoft, такие как Windows Embedded CE, которые должны использоваться для этих целей.
Чтобы предотвратить использование в качестве основной операционной операционной системы, Windows PE автоматически прекращает работу оболочки и перезапускается после 72 часов непрерывного использования. Этот период нельзя изменить штатными средствами.
Windows PE не содержит лицензионных ключей Windows. Кроме того, назначение Hiren’s BootCD не противоречит назначению Windows PE и сохраняет то же самое ограничение на 72 часа непрерывного использования. Таким образом, использование Windows PE в Hiren’s BootCD является легальным с точки зрения политики лицензионных соглашений Microsoft.
Что внутри образа Hiren’s BootCD PE x64 (v1.0.1)
Прямая ссылка на скачивание образа размером 1.3 Гб. Но лучше скачивать с этой страницы.
Читайте также: