Спасение утопающих - дело рук самих утопающих
К сожалению, эта статья сильно запоздала, поскольку с черного понедельника (26 апреля, если кто не в курсе) прошел уже почти месяц, и большинство пострадавших винчестеров уже благополучно отформатировано и забито информацией по новой. С другой стороны, вирусы, случайное форматирование и прочие мелкие радости компьютерщика вечны, так что изложенная здесь информация всегда может оказаться кстати (чего я вам искренне не желаю).
Итак, для начала посмотрим, что сделал злобный Win95.CIH? А сделал он следующее: в моем случае стер сколько-то физических секторов в начале жесткого диска. Секторов мне, конечно же, было не жалко - их там оставалось еще много, но вот то, что в них находились Partition Table, Master Boot Record, Boot Record первого логического диска, обе копии FAT и Root наводило на довольно мрачные мысли о форматировании винчестера. Впрочем, с ампутацией нажитых непосильным трудом данных решено было подождать, потому как это никогда не поздно успеть. Вначале пострадавший винчестер было решено подвергнуть тщательной и всесторонней вивисекции в надежде добыть с него останки данных. (Собственно говоря, в самом начале его попытались восстановить в фирме "Мигель", но после недельной волокиты вернули в исходном виде. А на словах просили передать, что "это" лучше сформатировать). И вот что получилось.
Для начала я знал, как организован винчестер. Он был разбит на два раздела: Primary DOS Partition (512 Мб) и Extended DOS Partition (все остальное). В последнем имелось еще 5 логических дисков по 512 Мб и один маленький хвостик. Естественно, что логические диски на самом деле от происков CIH'а не пострадали. Не видно их было исключительно из-за затертого MBR с основным Partition Table. Поскольку общую структуру я помнил, то воспроизвести ее FDISK'ом по образу и подобию старой было несложно. В противном случае процесс бы занял намного больше времени, поскольку пришлось бы искать логические разделы и загрузочные секторы логических дисков с помощью Diskedit'а по сигнатуре 55AA H (для отсеивания случайных совпадений перед ней имеет смысл искать 00 00 00 00 00 00 55 AA H, поскольку последние две записи в логических разделах все равно пустые). На этом восстановление последних шести дисков можно было бы считать законченным, но ситуация осложнилась тем, что в неизвестном направлении испарились загрузочные секторы этих дисков со всей информацией. Пришлось скопировать boot с рабочего винчестера (благо все они были под FAT16) и переписать поверх затертых загрузочных секторов. Осталось слегка подкорректировать скопированную информацию (все это, естественно, тоже делалось в Diskedit) - вписать правильный размер диска. После этого Extended Partition стал полностью рабочим (вообще-то я его все равно сформатировал для надежности, но сперва спас все ценные данные). А данные с первого диска - мертвого по определению - удалось почти полностью восстановить при помощи программы Tiramisu (отдельное спасибо Андрею Ворошкову). Вообще-то восстановление файлов при стертом root, boot и обеих копия FAT выглядит чистой воды шаманством - но, честное слово, оно так работает...
Отсюда следует: во-первых, то, что можешь сделать сам, лучше делать самому. Во-вторых, имеет смысл разбивать диск на несколько частей - намного проще восстанавливать.
Константин
АФАНАСЬЕВ,
[email protected]
Горячие темы