МЕНЮ
  • Салон
  • Советы
  • Топливо
  • Трансмиссия
  • Тюнинг
  • Управление
  • Контакты

Что такое mft диск с

Обновлено: 08.01.2025

Читайте, что такое логическое повреждение данных или таблицы разделов диска . Уровни повреждения и прогноз результата восстановления данных. Для восстановление данных с повреждённых жестких дисков нужно разбираться в жестких дисках, файловых системах, их структурах и принципах работы. Кроме того, нужно понимать степень повреждения. От вас потребуются полная концентрация сил и внимания, самоотверженность и навыки программирования. Мы предоставим всю нужную информацию, которая понадобится, чтобы восстановить ценные данные без специального программного обеспечения.

Основные понятия

  • Жесткие диски состоят из нескольких магнитных блинов, напоминающих CD-диски. Каждый диск может хранить данные на обеих сторонах и имеет головки для чтения и записи. Данные хранятся на концентрических кольцах, так называемых цилиндрах. Цилиндры могут быть разделены на секторы или блоки.

Что такое логическое повреждение данных?

Повреждение данных или жесткого диска – это ситуация, при которой ваша операционная система (далее ОС) не может получить информацию о файлах или их свойствах. Это может случиться в результате повреждения элементов файловой системы, MBR или VBR, либо физического повреждения жесткого диска или флеш-накопителя. Вы сможете легко восстановить данные, если повреждённый диск соответствует нескольким требованиям:

  • Диск и его секторы распознаются операционной системой.
  • ОС имеет доступ к жесткому диску и его секторам.

Основная цель восстановления – собрать остатки данных после случившегося повреждения. Вы должны проанализировать каждый сектор в поисках файлов, так как ваша ОС больше не может этого сделать.

Уровень повреждения

Повреждения жесткого диска можно условно разделить на три уровня. Уровень определяет, насколько повреждения обратимы и информация поддается восстановлению.

  • Уровень 1: Это простой уровень, когда повреждена только таблица раздела вашего MBR. В данном случае нужно найти VBR. Как только будет найден VBR, вы сможете восстановить данные.
  • Уровень 2: В этом уровне некоторые поля вашего VBR повреждены, из-за чего ОС не в состоянии распознать свою файловую систему. В данном случае вы должны проанализировать VBR, чтобы получить адресное поле вашего корневого каталога в FAT32 и MFT в NTFS. Если это получится, то вы сможете найти и восстановить ваши файлы, в противном случае вам придется осуществить поиск сигнатур файлов по всему диску.
  • Уровень 3: В этом случае нет гарантии, что вы сможете восстановить данные, поскольку может иметь место физическое повреждение вашего оборудования : диск повреждён огнём, испорчен в результате падения, или в него попала вода и т.д. Для начала понадобится заменить поврежденные детали диска и восстановить работоспособность устройства.

Архитектура

  • Код начальной загрузки . При загрузке компьютера необходимо выполнить код загрузки операционной системы или любого другого программного обеспечения. Такой первичный набор кодов находится в BIOS. Этот код проверяет наличие аппаратного обеспечения и проводит несколько проверочных тестов на возможность загрузки. Затем, в соответствии с указанным порядком загрузки, он начинает загрузку первого сектора дисков. Когда он находит тот, который отмечен как MBR, он начинает его запускать.
    Этот код называется код начальной загрузки (обычно 440 байт). Работа кода заключается в просмотре таблицы раздела в поисках активного раздела (например, на каком диске находятся загрузочные файлы операционной системы), чтобы найти начальный сектор активного раздела. Загружает копию загрузочных файлов из раздела в память, контролирует их и то, как загружается ОС. Мы не будем углубляться в этом направлении, так как это не нужно для восстановления файлов.
  • Таблица разделов . Размер таблицы составляет 64 байта.
    Раздел – это часть жесткого диска, которая была логически отделена, чтобы работать как отдельный диск настолько, насколько определит операционная система, и может иметь независимую структуру файловой системы . Независимо от того, какой раздел является активным, т.е. содержит ОС, начальный адрес сектора, включающего VBR раздела, содержит его размер и информацию о том, в какой системе он отформатирован: NTFS или FAT. Для восстановления файлов поиск и интерпретация таблицы разделов играют важную роль.
  • Подпись диска . MBR и VBR всегда содержат последовательность байт 0x55AA . Эта сигнатура определяет, содержит ли этот сектор MBR или VBR или нет.

Таблица разделов содержит от 1 до 4 записей размером 16 байт каждая. Давайте рассмотрим, как их интерпретировать:

  • Индикатор загрузки . Это первый байт в таблице разделов, указывающий на то, активен раздел или нет.
    Пример: находится на нём операционная система (файлы и драйвера) или нет. Если это поле содержит 0x80H (это в шестнадцатеричном виде, а в десятичном = 128), то это активный раздел. Для неактивных разделов это поле равняется 0x00h .
  • Стартовое значение CHS . Игнорируйте его.
  • Дескриптор типа раздела. Это однобайтовое поле, но очень важное, так как даёт информацию о том, какой тип файловой системы реализован на диске. Поскольку каждая файловая система имеет свой алгоритм, очень важно знать, какая файловая система реализована на вашем диске. В этом поле вы можете встретить несколько шестнадцатеричных показателей. Они приведены ниже:
    ЗначениеОписание0x00h Нет раздела (нет файловой системы); 0x01h DOS FAT-12 (файловая система); 0x04h DOS FAT-16 (нет файловой системы); 0x05h Расширенная DOS 3.3 (файловая система расширенного раздела); 0x06h DOS 3.31 (большая файловая система); 0x06h NTFS; 0x06h FAT32;
  • Завершающее значение CHS. Игнорируйте его.
  • Адрес сектора, содержащего VBR. В первом секторе каждый раздел имеет сектор загрузки. Это поле содержит адреса подобных записей, поэтому это важное поле. Оно содержит адрес в шестнадцатеричном формате и имеет размер в 512 байт.
  • Размер раздела . Здесь можно получить размер раздела.

Установив размер раздела и адрес его начала, вы можете приступить к ручному режиму восстановления файлов .

Что это такое

Ccleaner – программное обеспечение, направленное на комплексное очищение компьютера. Она имеет массу возможностей и функций, правильно применяя которые можно добиться отличной производительности ПК.

Но с перезаписью в MFT данных о файлах, которые лежали когда-то на свободном месте нет. Кроме того, их невозможно восстановить, так как нет информации о том, где они находились и что в них содержалось.

Записи MFT применяются для описания файлов, которым они соответствуют. Вся информация о файле, включая его размер и содержимое, хранятся в записях MFT или в другом месте, не относящемся к нему, но указанном в его записи.

Очистка представляет собой затирание этого места файлами нулевого размера. Когда появляются новые файлы, то в MFT прибавляются новые записи, таким образом, его размер становится выше. Если удалить записи из NTFS, то соответствующие в MFT помечаются, как свободные и могут быть применены повторно, но размер MFT при этом меньше не станет.

ToVm

Справка: многие пользователи ПК считают, что при очистке будут удалены все личные и важные данные. Но в утилите Ccleaner есть функция многоуровневой проверки файлов, поэтому такие опасения напрасны.

Как проводить освобождение диска от мусора

Очищение диска от мусора с помощью MFT может оказаться длительным процессом. Оно зависит от объема пространства на диске и указанного количества проходов при перезаписи данных.

Часто на ПК скапливаются файлы-дубликаты. Они находятся в разных папках. Смысла хранить дубли нет, они только засоряют диск.

Удалять дубликаты файлов нужно внимательно. Не следует удалять дубликаты системных и рабочих файлов. Они могут иметь одинаковые технические названия, но расположены в разных папках, поэтому служат целям разных программ.

После того как будет проведен анализ и удалены все дубликаты, можно приступить к очищению диска.


Из видео узнаете о стирании свободного места на диске с помощью программы CCleaner:

Многократное стирание файлов на диске с помощью Ccleaner

В жизни бывает так, что требуется удалить некоторые данные без возможности их восстановить. Но даже форматирование на низком уровне не дает гарантий полного и безвозвратного удаления данных.

Уничтоженный файл с диска никуда не пропадает и его легко восстановить до тех пор, пока сверху на него не будет записана какая-нибудь новая информация. Но даже двух или трех циклов перезаписи мало и данные можно извлечь.

На будущее – если нужно держать определенные данные скрытно, то лучше создать логический диск и на нем держать все необходимые личные файлы.

Теперь вы знаете, что такое очистка свободного места в MFT Ccleaner, поэтому можете применить эту возможность и без опасения удалить определенный системный файл.

В предыдущих статьях мы неоднократно затрагивали тему повреждений HDD. Но что случится, если эти повреждения приобретут массовый характер во всего лишь одном накопителе? Такое развитие событий приведет к неизбежному сбою главной таблицы файлов диска и ряду других неприятных последствий.

Что такое главная таблица файлов?

Главная или Общая таблица файлов диска (Master File Table, MFT) — документ, хранящийся исключительно в файловой системе NTFS. Он является важнейшим винтиком в механизме работы данной системы, поскольку хранит в себе такую информацию как размер, дату и время записи, содержимое файлов.

Любой документ, загружаемый в NTFS, будет записан и в MFT. В случае удаления, файловое пространство будет помечено как свободное и находящееся в ожидании дальнейшей перезаписи. Если же главная таблица файлов была повреждена, все документы в разделе NTFS станут недоступными.

Симптомы повреждения

Как и в случае с любой другой ошибкой, повреждения MFT также не проходят бесследно. Они проявляются следующим образом:

The type of the file system is NTFS.
Volume label Work Folder.
Corrupt master file table. Windows will attempt to recover master file table from disk.
Windows cannot recover master file table. CHKDSK aborted.

Причины ошибки

В большинстве случаев, повреждение раздела NTFS смело свидетельствует о наличии сбоя главной таблицы файлов. Причин, способных спровоцировать возникновение неполадки, существует множество, но мы разберем самые основные:

  • Сбой в работе операционной системы. Например, BSOD (синий экран смерти).
  • Вирус, предназначенный для повреждения MFT.
  • Неправильное извлечение диска (вы могли отключить его в момент неполного завершения работы компьютера).
  • Сбой приложения.
  • Наличие битых секторов.

Вне зависимости от причины возникновения неполадки, всегда есть шанс на восстановление диска и данных на нем. Каждая из приведенных ниже инструкций позволит своей простотой существенно сэкономить ваше личное время с большой долей вероятности вернуть HDD к жизни. Приступим!

Восстановление поврежденной таблицы файлов

Дефрагментация диска

В некоторых случаях причиной отказа работы MFT и, как следствие, всей системы NTFS является чрезмерное фрагментирование диска. Решить этот вопрос можно следующим образом:

1. Откройте Мой компьютер .

2. Щелкните правой кнопкой по логическому разделу или физическому диску, с которым предстоит работать, и перейдите в Свойства .

В предыдущей статье мы описали алгоритм работы программ по восстановлению данных, работающих на дисках, использующих файловую систему FAT . Сегодня мы расскажем о том, как работает восстановление удалённых файлов с дисками, отформатированными в файловой системе NTFS .

Что такое NTFS

Файловая система NTFS была разработанная компанией Microsoft с чистого листа для использования в новой операционной системе Windows NT. NTFS должна была заменить собой устаревшую на тот момент файловую систему FAT, многочисленные ограничения которой не позволяли организовать работу в действительно многопользовательской и многозадачной системе.

Разработчики NTFS поставили цель спроектировать надёжную, безопасную, расширяемую и отказоустойчивую файловую систему для HDD-дисков. Им это прекрасно удалось: файловая система получилась на редкость удачной, однако у нее есть как сильные, так и слабые стороны в сравнение с FAT .

Все данные – файлы

В виде файлов хранятся и административные данные базовой файловой системы – те самые данные, которые в других файловых системах находятся в скрытых областях по фиксированному адресу. В NTFS нет нужды резервировать какие-то особые области под файловые таблицы, таблицу разделов или журнал транзакций: они хранятся в виде обычных файлов и могут физически располагаться в любом месте тома.

Описанная концепция является основополагающим принципом NTFS. В отличие от других файловых систем, в NTFS нет жёстко заданной структуры. В ней нет, как в FAT, раздельных областей для системных структур, файловых таблиц и собственно данных. В NTFS вся файловая система считается областью данных, поэтому любой файл может быть сохранён в любом секторе тома. Единственным неизбежным исключением являются загрузочный сектор и загрузочный код, расположенные в первых секторах тома.

Файловая таблица MFT

NTFS хранит информацию о файлах и каталогах в главной файловой таблице MFT. Эта таблица содержит информацию обо всех файлах и каталогах. Каждому файлу или каталогу соответствует как минимум одна запись. Формат записей MFT исключительно прост. Размер записи составляет 1 КБ, при этом первые 42 байта заголовка имеют жёстко заданное предназначение. Остальное пространство используется для хранения атрибутов – например, имени файла и системных атрибутов. Уникальной является возможность сохранения небольших файлов непосредственно в MFT. В этом случае файл хранится в виде атрибута.

Рис. 1. Структура записи MFT, включающая заголовок и три атрибута.

Формат записи MFT

Формально размер записи MFT определяется переменной в загрузочном секторе. Однако все существующие версии Microsoft Windows используют записи размером 1024 байт. В начале записи расположен заголовок размером 42 байта, который содержит 12 полей. Остальные 982 байта не имеют фиксированной структуры и используются для хранения атрибутов.

Адреса записей MFT

Записи MFT пронумерованы. Каждой записи соответствует 16-разрядный порядковый номер. При создании новой записи этот номер автоматически увеличивается.

К примеру, рассмотрим запись MFT 313 с порядковым номером 1. При удалении файла, которому была выделена эта запись, и выделении записи другому файлу записи MTF будет выделен новый порядковый номер 2.

Адрес файла формируется следующим образом. Адрес записи MFT объединяется с порядковым номером, занимающим старшие 16 бит. Таким образом формируется уникальный 64-разрядный базовый адрес файла.

Рис. 2. Базовый адрес файла формируется объединением адреса записи MFT и её порядкового номера.

Для обращения к записям MFT в файловой системе NTFS используется порядковый номер записи. Использование уникального порядкового номера записи предоставляет и дополнительное удобство: оно упрощает выявление повреждений файловой системы. К примеру, если сбой происходит на этапе выделения структур данных для нового файла, то по порядковому номеру записи MFT можно будет определить, какому файлу принадлежит данная запись – новому или предыдущему. Соответственно, порядковый номер используют программы для восстановления данных NTFS .

Атрибуты записей MFT

NTFS – уникальная файловая система, не имеющая, в отличие от FAT, жёстко заданной структуры записей. Каждая запись MFT минимально структурирована. Есть заголовок, и есть место для хранения разнообразных атрибутов. Причём атрибутом может быть практически всё, что угодно – дата, время, имя файла и так далее – вплоть до собственно содержимого файла!

Атрибуты могут хранить самую разнообразную информацию. Понятно, что разные типы информации могут быть записаны в разных форматах и занимать больше или меньше места в записи.

Рис. 3. Пример записи MFT с заголовком записи, двумя атрибутами и неиспользуемой областью.

Итак, атрибуты могут содержать любую информацию. Но у каждого атрибута есть универсальная часть: заголовок. Формат заголовка стандартизован и одинаков для всех атрибутов. А вот содержимое атрибута может быть произвольной формы и размера.


Устройство файловой системы NTFS поражает своей грандиозностью и напоминает огромный, окутанный мраком лабиринт. Но какого любителя приключений остановит паутина, скелеты и пара ловушек с ядовитыми стрелами? Хватай факел, и отправимся в путь. Нашим первым квестом будет изучение главной файловой таблицы — MFT и нескольких дочерних структур.

NTFS с высоты птичьего полета

Основным структурным элементом всякой файловой системы является том (volume), в случае с FAT совпадающий с разделом (partition). NTFS поддерживает тома, состоящие из нескольких разделов (см. рис.). Будем для простоты считать, что том представляет собой отформатированный раздел (то есть раздел, содержащий служебные структуры файловой системы).

Обычный и распределенный тома

Обычный и распределенный тома

Большинство файловых систем трактуют том как совокупность файлов, свободного дискового пространства и служебных структур файловой системы, но в NTFS все служебные структуры представлены файлами, которые (как это и положено файлам) могут находиться в любом месте тома, при необходимости фрагментируя себя на несколько частей.

Основным служебным файлом является главная файловая таблица, $MFT (Master File Table) — своеобразная база данных, хранящая информацию обо всех файлах тома: их именах, атрибутах, способе и порядке размещения на диске. Каталог также является файлом особого типа, со списком принадлежащих ему файлов и вложенных подкаталогов. Важно подчеркнуть, что в MFT присутствуют все файлы, находящиеся во всех подкаталогах тома, поэтому для восстановления диска наличия файла $MFT будет вполне достаточно.

Остальные служебные файлы, называемые метафайлами (metafiles) или метаданными (metadata), всегда имеют имена, начинающиеся со знака доллара ( $ ), и носят сугубо вспомогательный характер, интересный только самой файловой системе. К ним в первую очередь относится: $LogFile — файл транзакций, $Bitmap — карта свободного/занятого пространства, $BadClust — перечень плохих кластеров. Текущие версии Windows блокируют доступ к служебным файлам с прикладного уровня (даже с правами администратора!), и всякая попытка открытия или создания такого файла в корневом каталоге обречена на неудачу.

Классическое определение, данное в учебниках информатики, отождествляет файл с именованной записью на диске. Большинство файловых систем добавляет к этому понятие атрибута (attribute) — некоторой вспомогательной характеристики, описывающей время создания, права доступа и так далее. В NTFS имя файла, данные файла и его атрибуты полностью уравнены в правах. Иначе говоря, всякий файл NTFS представляет собой совокупность атрибутов, каждый из которых хранится как отдельный поток байтов. Поэтому, во избежание путаницы, атрибуты, хранящие данные файла, часто называют потоками (streams).

Каждый атрибут состоит из тела (body) и заголовка (header). Атрибуты подразделяются на резидентные (resident) и нерезидентные (non-resident). Резидентные атрибуты хранятся непосредственно в $MFT , что существенно уменьшает грануляцию дискового пространства и сокращает время доступа. Нерезидентные атрибуты хранят в $MFT лишь свой заголовок, описывающий порядок размещения атрибута на диске.

Назначение атрибута определяется его типом (type), представляющим собой четырехбайтное шестнадцатеричное значение. При желании атрибуту можно дать еще и имя (name), состоящее из символов, входящих в соответствующее пространство имен (namespace). Подавляющее большинство файлов имеет по меньшей мере три атрибута. К их числу относится стандартная информация о файле (время создания, модификации, последнего доступа, права доступа), которая хранится в атрибуте типа 10h , условно обозначаемом $STANDARD_INFORMATION . Ранние версии Windows NT позволяли обращаться к атрибутам по их условным обозначениям, но начиная с Windows 2000 мы лишены этой возможности. Полное имя файла (не путать с путем!) хранится в атрибуте типа 30h ( $FILE_NAME ).

Если у файла есть одно или несколько альтернативных имен, таких атрибутов может быть и несколько. Здесь же хранится ссылка (file reference) на родительский каталог, позволяющая разобраться, к какому каталогу принадлежит данный файл или подкаталог. По умолчанию данные файла хранятся в безымянном атрибуте типа 80h ( $DATA ). Однако при желании прикладные программы могут создавать дополнительные потоки данных, отделяя имя атрибута от имени файла знаком двоеточия (например: ECHO xxx > file:attr1; ECHO yyy > file:attr2; more < file:attr1; more < file:attr2 ).

Изначально в NTFS была заложена способность индексации любых атрибутов, значительно сокращающая время поиска файла по заданному списку критериев (например, времени последнего доступа). Индексы хранятся в виде двоичных деревьев, поэтому среднее время выполнения запроса оценивается как O(lg n) . На практике в большинстве драйверов NTFS реализована индексация лишь по имени файла. Как уже говорилось ранее, каталог представляет собой файл особого типа — файл индексов. В отличие от FAT, где файл каталога представляет собой единственный источник данных об организации файлов, в NTFS файл каталога используется лишь для ускорения доступа к содержимому каталога. Он не является обязательным, так как ссылка на родительский каталог всякого файла в обязательном порядке присутствует в атрибуте его имени ( $FILE_NAME ).

Продолжение доступно только участникам

Вариант 2. Открой один материал

Крис Касперски

Известный российский хакер. Легенда ][, ex-редактор ВЗЛОМа. Также известен под псевдонимами мыщъх, nezumi (яп. 鼠, мышь), n2k, elraton, souriz, tikus, muss, farah, jardon, KPNC.

Читайте также:

      
  • Как обучить стеклоподъемники лексус gs300
    •   
  • Как настроить часы на автомагнитоле pioneer deh 5450sd
    •   
  • Как открыть багажник митсубиси аутлендер без аккумулятора
    •   
  • Как пользоваться opendiag на андроид автомобиль ваз приора
    •   
  • Как разобрать амортизатор уаз
  • Контакты
  • Политика конфиденциальности