এনটিএফএস পার্টিশন আর প্রবেশযোগ্য নয়, 3 এমএফটি রেকর্ড দুর্নীতিগ্রস্ত, তাদের ঠিক করার উপায়?

2

আমার একটি 2 টিবি সিগেট ST2000DM001 HDD একটি NTFS পার্টিশন রয়েছে। আমি মাসগুলিতে এটি ব্যবহার করিনি, যখন আমি আবার এটি প্লাগইন করেছিলাম তখন এই পার্টিশনটি অনুপযুক্তভাবে অ্যাক্সেসযোগ্য হয়ে গিয়েছিল: উইন্ডোজ এক্সপ্লোরারটিতে ভলিউমের অক্ষরটি প্রদর্শিত হয়েছে, তবে পার্টিশনের আকার আর সনাক্ত করা হয়নি, যদি আমি এটি খুলতে চাই তবে একটি ত্রুটি আছে। এটি স্টোরেজ ম্যানেজার হিসাবে "RAW" হিসাবে প্রদর্শিত হয়। সিএইচকেডিএসকে সরাসরি এটি বিশ্লেষণ করে দেয়, একটি ত্রুটি বার্তা সহ যে এটি সংস্করণটি এবং সংস্করণটির স্থিতি নির্ধারণ করতে অক্ষম।

তবুও, যদি আমি R-Studio এর সাথে যে ড্রাইভটি খুলি, তবে পার্টিশনটি তার সঠিক আকারের সাথে সরাসরি প্রদর্শিত হবে (কোনও স্ক্যানিং প্রয়োজন নেই), আমি এটি খুলতে এবং যে সমস্ত ফাইলগুলিতে এটি শেষামত ব্যবহার করেছি সেগুলি অ্যাক্সেস করতে পারি পুরো ডিরেক্টরি গাছ, এবং ফাইলের বিষয়বস্তু 100% সঠিক বলে মনে হয় যতক্ষণ আমি দেখতে পারি। একইভাবে, যদি আমি WinHex এর সাথে সম্পূর্ণ ড্রাইভটি খুলি, তবে এটি সঠিকভাবে পার্টিশনকে স্বীকৃতি দেয় এবং ফাইলগুলি প্রদর্শন করে। তাদের সঠিক বিষয়বস্তু সঙ্গে ফোল্ডার। আমি 2 ডিফ্র্যাগমেন্টেশন সফ্টওয়্যারগুলি পরীক্ষা করেছি (শুধুমাত্র বিশ্লেষণ মোডে): MyDefrag পার্টিশনের সামগ্রী তালিকাভুক্ত করতে পারে এবং মাউস পয়েন্টার (ফাইলের নাম, আকার, এলবিএ ...) সহ প্রতিটি ব্লকটির উপরে আবদ্ধ বৈধ তথ্য সরবরাহ করতে পারে; কিন্তু Defraggler করতে পারেন না। আমি DMDE এর সাথে এটি খুলি: R-Studio মত, এটি পার্টিশনের সামগ্রীগুলিকে অবিলম্বে চিনতে পারে; এটি সম্পর্কিত একটি লাল সতর্কতা প্রদর্শন এমএফটি রেকর্ড 1, 2, 3 ; এই সাধারণত অনুরূপ: $ MFTMirr , $ logfile এবং $ ভলিউম , তিনটি গুরুত্বপূর্ণ সিস্টেম ফাইল, যা প্রকৃতপক্ষে "$ মেটাডাটা" ডিরেক্টরিতে অনুপস্থিত। আমি যদি রি-স্টুডিওতে ফিরে যাই, তবে আমি দেখতে পারি যে সেই ফাইলগুলি "মেটাফাইলস" ডিরেক্টরির মধ্যেও অনুপস্থিত। যদি আমি WinHex এর সাথে MFT এর সূচনাটি পরীক্ষা করি, আমি দেখতে পারি যে এমএফটি রেকর্ড 0 জরিমানা (এটি এমএফটিকে নির্দেশ করে), কিন্তু তারপর এমএফটি রেকর্ড 1, 2 এবং 3 নষ্ট হয় , তারা "এফএফ" (হেক্স) / "ÿ" (ASCII) দিয়ে ভরা হয়। এবং অদ্ভুত ব্যাপার হল যে এমএফটি মিরর (যা আমি এখনও উপস্থিত হবার আগে একটি পুরানো ভলিউম স্ন্যাপশট ব্যবহার করে WinHex- এর সাথে সনাক্ত করতে পারি এবং এর অবস্থানটি R-Studio দ্বারা তার পার্টিশন বৈশিষ্ট্যাবলী প্যানেলেও নির্দেশিত হয়, দৃশ্যত এমএফটি এবং উভয়ই এমএফটিএমিরের বুট সেক্টরে তাদের এলবিএ লেখা আছে) একই রকম দুর্নীতির প্যাটার্ন রয়েছে: প্রথম রেকর্ডটি জরিমানা, তারপর পরবর্তী তিনটি "FF" দিয়ে পূর্ণ।

এখন, আমার অনুমান যে পার্টিশনটি অ্যাক্সেসযোগ্য নয় কারণ যে তিনটি MFT রেকর্ড অনুপস্থিত, তাই সংশ্লিষ্ট ফাইলগুলি পাওয়া যাবে না। এবং CHKDSK কমপক্ষে সেই ফাইলগুলি যথাযথভাবে চালানোর জন্য আবশ্যক। কিভাবে যে হতে পারে? কিভাবে এমএফটি এবং এর আয়না উভয়টি (আসলেই প্রথম 4 টি রেকর্ডের একটি অনুলিপি ছিল, তবে এই বিশেষ ক্ষেত্রে এটিকে সমাধান করার জন্য যথেষ্ট হওয়া উচিত ছিল কারণ 3 টির মধ্যে বিপর্যস্ত রেকর্ডগুলি 4 এর মধ্যে রয়েছে) 4) একই সময় ?
এবং আমি কিভাবে অনুপস্থিত এমএফটি রেকর্ড ফিক্স / recreate করতে পারে , তাই "সমস্ত জায়গায়" পার্টিশনটি ঠিক করার পরিবর্তে, সমস্ত ফাইল (যা আমি ইতিমধ্যে নিরাপত্তা পরিমাপ হিসাবে করেছি) সরিয়ে নেওয়ার পরিবর্তে, পার্টিশনটি পুনরায় ফরম্যাট করা এবং তাদের ফেরত পাঠানো? আমি অন্য পার্টিশন থেকে বৈধ রেকর্ডগুলি অনুলিপি করতে পারি, এবং পরিবর্তনশীল মান পরিবর্তন করতে পারি, টেম্পলেটটি বুদ্ধিমান, কিন্তু এ পর্যন্ত আমি কেবল টাইমস্ট্যাম্পগুলি সনাক্ত করতে পারি (যা আমি একই বিভাজনে অন্য সিস্টেমে ফাইলগুলির থেকে অনুলিপি করতে পারি, যেহেতু তারা সমস্ত তৈরি করেছেন সঠিক একই সময়), আমি এখনো ক্লাস্টারের অবস্থানের আকার চিহ্নিত করে এমন ক্ষেত্রগুলি সনাক্ত করতে পারছি না। আমি এটিও খুঁজে পেয়েছি যে $ ভলিউম, যা কোন রেসিডেন্ট ফাইল (সম্পূর্ণরূপে এমএফটি তে অবস্থিত), এর মধ্যে পার্টিশনের অনন্য সনাক্তকারী রয়েছে, যা এখানে সবচেয়ে সমস্যাযুক্ত বাধা হতে পারে: এটি অবশ্যই পার্টিশনের সঠিকভাবে আগের মতোই হওয়া উচিত স্বীকৃত, এবং যদি তাই হয়, এটা কি সিস্টেমে কোথাও সংরক্ষণ করা হয়, বা এটি এলোমেলোভাবে নির্বাচিত করা যেতে পারে, এবং যদি তাই হয়, একটি নির্দিষ্ট প্যাটার্ন আছে এটা মেনে চলতে আছে? এমএফটি রেকর্ডের মৌলিক কাঠামো সম্পর্কে তথ্য দুর্নীতিবাজ, অথবা এই ধরনের মামলায় কোনও ব্যবহারের জন্য বিশাল ফোরাম থ্রেডের হাজার হাজার পৃষ্ঠায় বা খুব বিস্তৃত সুযোগের সাথে খুঁজে পাওয়া খুব কঠিন।

The partition opened in DMDE, three error warnings WinHex showing what should be the MFT record of $Volume The valid MFT record of $Volume on another partition

আমি এইচডিডু গুরু সম্পর্কে আরও বিশদ বর্ণনা করেছিলাম, কিন্তু "আমি কীভাবে এটি ঠিক করতে পারি?" প্রশ্নের একটি প্রাসঙ্গিক উত্তর ছিল না। (হার্ডওয়্যার / ফার্মওয়্যার ব্যর্থতার ক্ষেত্রে নিয়মিত অবদানকারীরা অত্যন্ত জ্ঞানীয়), কিন্তু এর জন্য যৌক্তিক ব্যর্থতা তারা বরং দ্রুত দিতে বলে মনে হয়)।
http://forum.hddguru.com/viewtopic.php?f=1&t=36969

ntfs  partition-recovery  mft 
GabrielB
সূত্র
প্রথম, আমি ড্রাইভ ইমেজ চাই, না মেরামতের মেরামত এটি আরও খারাপ। তারপর আমি অন্য পিসিতে বা লাইভ ইউএসবি থেকে এটি খুলতে চাই, কারণ যদি কোনও HDD ছাড়াই সরানো হয় তবে একটি OS "বিভ্রান্ত" হতে পারে ... ওএস ভুল তথ্য ক্যাশে করতে পারে। সম্ভবত একটি ভিন্ন OS এর অধীনে খোলার চেষ্টা করুন, যা এমএফটি অনুপস্থিত আরো সহনশীল হতে পারে। এইগুলি সংশোধন করা হয় না, তবে দ্রুত পরীক্ষাগুলি কার্যকর করা সহজ।
DrMoishe Pippik
পড়া cgsecurity.org/wiki/Advanced_NTFS_Boot_and_MFT_Repair এবং এই অধ্যায় একটি এনটিএফএস এমএফটি মেরামত এবং testdisk আপনি সাহায্য করে দেখুন।
cybernard
এই সুপার অদ্ভুত। এমএফটি "আয়না" (যা প্রকৃতপক্ষে একটি আয়না নয়) ফাইল সিস্টেমের (এটি অর্ধেকের মধ্যে শুরু হয়) ভিতরে নির্দিষ্ট স্থানের মধ্যে এবং এটি এমএফটি থেকে নিজেই পুনর্নির্মিত করা যেতে পারে। এটা সত্যিই অদ্ভুত যে chkdsk কাজ করে না।
Andrea Lazzarotto

উত্তর:

2

তাই, আমি নিজেই এই সমস্যাটি সমাধান করতে পেরেছি। আমি সাধারণভাবে এমএফটি রেকর্ডগুলির গঠন সম্পর্কে কিছু গবেষণা করেছি, এবং বিভিন্ন বৈধ পার্টিশনগুলিতে পরীক্ষা করার সময় 3 টি দুর্নীতির রেকর্ড যা আমাকে পুনরায় তৈরি করতে হয়েছিল (বিস্তারিত জানার জন্য লিঙ্কযুক্ত HDDGuru থ্রেড দেখুন)। তারপর মূলত আমি একটি বৈধ পার্টিশন থেকে WinHex এ একটি অস্থায়ী ফাইলের মধ্যে অনুলিপি করেছিলাম, কিছু মূল মান পরিবর্তন করেছিল যা একটি পার্টিশন থেকে অন্যের চেয়ে আলাদা ছিল, তারপর 3072 বাইট ফাইল সরাসরি পার্টিশনের উপর অনুলিপি করেছিল, সিএইচকেডিস্ক চালায়, যা এগিয়ে যেতে পারে এবং (পরে কয়েকটি ট্রায়াল এবং ত্রুটি) রিপোর্ট করেছে যে ভলিউমের কোনো ত্রুটি ছিল না এবং এখন পার্টিশনটি আবার স্বাভাবিকভাবে অ্যাক্সেসযোগ্য। আমি এখনও জানি না এটা কিভাবে ঘটেছিল, কিন্তু এটা ঠিক!

আমার যে মান পরিবর্তন করতে হয়েছিল তা হল:
- টাইমস্ট্যাম্প: সমস্ত সিস্টেম ফাইলগুলির একই টাইমস্ট্যাম্প থাকে, তাই আমি কেবলমাত্র প্রথম এমএফটি রেকর্ড (যা এমএফটিকে নির্দেশ করে) থেকে টাইমস্ট্যাম্প ক্ষেত্রগুলি অনুলিপি করা হয়;
- ডিএমইডিতে "ফিক্সআপ" নামক প্রতিটি রেকর্ডে 1 টি বাইট ফিল্ড রয়েছে, প্রতিটিতে তিনটি স্পট স্পট এ উপস্থিত রয়েছে, যেহেতু কেউ এইচডিডুগুড় থ্রেডে আমাকে ব্যাখ্যা করেছে কেবল "রেকর্ড যাচাইযোগ্য কিনা এবং দুর্নীতিগ্রস্ত নয় তা নিশ্চিত করার জন্য একটি চেক" "এবং যে কোন মান সেট করা যেতে পারে, যতক্ষণ না এটি যে ক্ষেত্রের তিনটি ক্ষেত্রে একই রকম;
- লগফিল রেকর্ডের জন্য প্রথম ক্লাস্টার এলবিএ (আমি জানতাম এটি কোথায় অবস্থিত ছিল পুরানো WinHex ভলিউম স্ন্যাপশটটির জন্য ধন্যবাদ, অন্যথায় আমাকে এই মানটি পেতে তার শিরোনামের উপর ভিত্তি করে ফাইলটি সন্ধান করতে হবে; এর ডিফল্ট আকার ঠিক 64MB, অথবা 67108864 বাইট, আমি পরীক্ষা করেছি সব পার্টিশনের উপর);
- $ ভলিউম রেকর্ডের জন্য (যেটি প্রকৃত $ ভলিউম ফাইল রয়েছে, যেহেতু সেই ফাইলটি "বাসিন্দা", অর্থাৎ সম্পূর্ণরূপে তার MFT রেকর্ডে রয়েছে), আমাকে মূল 16 বাইট আইডি (বা "অবজেক্ট আইডেন্টিফায়ার") খুঁজে বের করতে হয়েছিল ভলিউম, যা সবচেয়ে প্রচলিত অংশ ছিল: কিছু ব্যর্থ প্রচেষ্টা পরে, আমি "সিস্টেম ভলিউম তথ্য" ডিরেক্টরির মধ্যে "tracking.log" ফাইলের ভিতরে যে মানটি খুঁজে পেয়েছি (আমি প্রথমে এটি একটি বৈধ বিভাজনের জন্য পরীক্ষা করেছি, মানটি মিলেছে যা $ ভলিউমে উপস্থিত হয়েছিল, তাই আমি দূষিত পার্টিশনে "tracking.log" থেকে সংশ্লিষ্ট ক্ষেত্রটি অনুলিপি করেছি এবং ভলিউম আইডি ফিল্ডে $ ভলিউমে এটি আটকে রেখেছি);
- $ ভলিউমেও, আমি ভলিউমের নাম পরিবর্তন করেছি, আগের মতো একই নাম আছে, কিন্তু এটি প্রয়োজন ছিল না, আমি অন্য পার্টিশন থেকে নামটি দিতে পারতাম এবং এটি আবার অ্যাক্সেস করার পরে ভলিউমের বৈশিষ্ট্যগুলিতে পরে পরিবর্তন করতে পারতাম (আসলে আমি এখানে একটি ছোট্ট কৌশল ব্যবহার করেছি: আমি "টেম্প" নামক একটি বিভাজন থেকে $ ভলিউম রেকর্ডের শেষে অনুলিপি করেছি, তারপরে, "স্টকজ" দিয়ে সেই নাম পরিবর্তন করার পরিবর্তে পার্টিশনটিকে আগে বলা হয়েছিল, আমি "স্টক" রাখি, যাতে অপ্রত্যাশিত অফসেট এড়াতে, এবং "ব্যবহৃত সাইজ" মানটি মিলবে তা নিশ্চিত করার জন্য এটিতে অক্ষরগুলির একই সংখ্যা থাকবে, কারণ আমি এখনও রেকর্ডের গঠনটি সম্পূর্ণরূপে বুঝতে পারিনি);
- যেহেতু আমি ভলিউমের নাম পরিবর্তন করেছি, আসলে ব্যবহৃত ফাইল রেকর্ডের দৈর্ঘ্যটি আলাদা ছিল, তাই আমাকে এটি প্রতিফলিত করার জন্য "ব্যবহৃত আকার" এর সাথে সংশ্লিষ্ট ক্ষেত্রটি পরিবর্তন করতে হবে এবং সামঞ্জস্য বজায় রাখতে হবে (আমি একই "ব্যবহৃত আকার" পার্টিশন থেকে একটি "টেম্প" বলা হয়);
- ডিএমডিএতে "এলএসএনলো" নামে পরিচিত $ ভলিউম রেকর্ডের শুরুতে অন্য কোনও মূল্য ছিল যা ছিল: আমার গবেষণার উপর ভিত্তি করে "LSN" অর্থ "লগফিল ক্রমিক সংখ্যা" -এর জন্য দাঁড়িয়েছে এবং এটি শেষ রেকর্ডের একটি রেফারেন্স $ এমএফটি-তে একটি প্রদত্ত ফাইল রেকর্ড সম্পর্কিত লগফিলের মধ্যে, এটি সামঞ্জস্যের জন্য গুরুত্বপূর্ণ নয় এবং যাইহোক আমি জানতে পারি যে $ লগফিল আকারে সীমাবদ্ধ রয়েছে এটি নিয়মিত "পুরনো" পুরনো রেকর্ডগুলিকে "পুরনো" করে, তাই, যেহেতু আমি এটি ব্যবহার করিনি কয়েক মাস ড্রাইভ, মুছে ফেলা আগে এটি ছিল যে মান অনুরূপ রেকর্ড মুছে ফেলা হয়েছে, তাই আমি শুধু যে ক্ষেত্রের মধ্যে জিরো রাখুন।

@ ডিএমোমিসে পিপিক: নিরাপত্তার পরিমাপ হিসাবে, আমি এই জায়গাটিকে ঠিক করার চেষ্টা করার আগে, অন্য ড্রাইভে R-Studio এর সাথে পুরো সামগ্রীটি বের করে দিয়েছি। আমি প্রথম 5 গিগাবাইটের একটি আংশিক ব্যাকআপও তৈরি করেছি (যা সমস্ত প্রাসঙ্গিক ফাইল সিস্টেম স্ট্রাকচারগুলি ধারণ করার জন্য যথেষ্ট - যদিও এটি জোর দেওয়া উচিত যে এটি সম্পূর্ণ MFT পাওয়ার জন্য সর্বদা যথেষ্ট নয়, আমি এটা হার্ড উপায় শিখেছি !)। আমি অন্য কম্পিউটারে ড্রাইভ অ্যাক্সেস করার চেষ্টা করিনি, তবে এটি কিভাবে ভিন্ন ছিল তা আমি দেখিনি (কোনও উইন্ডোজ সিস্টেমে - সম্ভবত এটি এখনও লিনাক্স সিস্টেমের জন্য স্বীকৃত এবং অ্যাক্সেসযোগ্য ছিল), কারণ সেই তিনটি এমএফটি রেকর্ড কার্যকরভাবে উইনহেক্সে মুছে ফেলা হয়েছে, এবং একটি রিবুট পরে সমস্যা স্থির।

@ সাইবার্নার্ড: আমি টেস্টডিসকে চেষ্টা করেছি, এটি এসএমএআরআর.টি. চেক করার পর আমার প্রথম ধারণাগুলির মধ্যে একটি। অবস্থা (যা ছিল এবং এখনও ভাল): এটি পার্টিশনটি খুঁজে পেয়েছে এবং ফাইলগুলি তালিকাভুক্ত করতে পারে (ঠিক যেমন আমি উল্লেখ করেছি অন্যান্য সফটওয়্যারগুলি), তবে এটি সমস্যাটি সমাধান করতে পারে নি, কারণ এটি এমএফটি এর ক্ষেত্রেই করতে পারে দুর্নীতিটি প্রথম 4 টি রেকর্ডকে $ MFTMirr থেকে অনুলিপি করে মেরামত করছে, তবে এখানে সেই তিনটি দূষিত রেকর্ডগুলিও এমটিএফএমআইআরআর-তে একইভাবে বিপর্যস্ত হয়েছে।

@ আন্দ্রে লাজারোটোটো: আমার পর্যবেক্ষণ অনুসারে, $ এমএফটিমিয়ার সবসময় 16 সেক্টরে অবস্থিত, প্রকৃতপক্ষে ভলিউমের খুব প্রারম্ভে, প্রকৃত $ এমএফটিয়ের আগে যা 3 ডিজিটাল চিহ্নের কাছাকাছি ডিফল্ট। CHKDSK সম্ভবত কাজ করেনি কারণ MFTMirrও দূষিত হয়েছিল এবং তাই এটি দৃশ্যত গুরুত্বপূর্ণ $ ভলিউম ফাইলটি অ্যাক্সেস করতে পারেনি, যা এটি এমএফটি রেকর্ডের অংশ হিসাবেও মুছে ফেলা হয়েছে।

GabrielB
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.