Awaria dysku SSD - pliki zniknęły

Dysk: Intel optane memory h10 32gb+1024gb nand

Podczas korzystania z Windowsa, system padł, a po restarcie już nie bootował, bootable device not found, 3F0 error. Na tym samym laptopie nie dałem rady go zmontować z poziomu linuxa. Próbowałem ntfsfix oraz chkdsk, ale bez efektów. dopiero po podpięciu do innego komputera pojawiły się jakieś pliki. Tylko problem polega na tym, że są to jakieś pliki windowsowe, większość datowana na 2019 r. oraz 3 foldery z datami teoretycznie zgodnymi z dniem awarii dysku (nie wiem czy tym datą można ufać?). Wszystkie te pliki zajmują ~14 GB.

Podjąłem próbę odzyskiwania plików przy pomocy narzędzi testdisk, PhotoRec, r-studio.
PhotoRec odzyskał 30 GB plików, tylko są to jakieś śmieci, w tym kilka plików *.swf po kilka GB.

Rezultat skanowania R-studio:

Status smart = Good, wszystko na zielono.

Resultat z testdisk po wykonaniu Quick Search:

Dodatkowy problem jest taki, że nie wiem jaka była struktura dysku przed awarią :), ponieważ nie jest to mój dysk, ale podejrzewam że na poniższej, znalezionej partycji mogą być zgubione dane. Tylko niestety testdisk zgłasza błąd.

Czy są jeszcze jakieś opcje, które warto spróbować, tak żeby nie pogorszyć aktualnego stanu?
Czy pozostaje oddanie dysku do profesjonalnej firmy od odzyskiwania danych? Jakie oni mają możliwości, żeby to naprawić? W budżecie do 2k?
Czy sklonowanie tego dysku przy pomocy dd to dobry pomysł? Później na takim sklonowanym dysku, będę mógł spróbować przywrócić usunięte partycje, które wskazuje testdisk?

Pierwszą rzeczą jaką powinno się robić w takiej sytuacji to zrobienie sobie kopii nieinwazyjnej - czyli przed jakąkolwiek próbą montowania filesystemu a nawet przed próbą naprawy. Czyli zapomnij o Linuxach typu Ubuntu, które automagicznie próbują zamontować wszystko co się da bez pozwolenia usera. Użyj dd pod Linuxem na niezamontowanym filesystemie. I dopiero potem, po zrobieniu image dysku - operujesz na tym image a nie na fizycznym dysku, bo nie wiadomo co te narzędzia do naprawy pozmieniają na dysku. Do zamontowania image dysku jako urządzenia blokowego w Linuxie możesz użyć tzw. loopback device'a i dopiero na nim uruchamiasz "testdiska". Man losetup. Składnię ma dosyć prostą. Przykładowo: losetup /dev/loop0 image.

Optane to dysk cache. Czy oby na pewno to na nim miały znajdować się dane? Z reguły występuje on w parze z dyskiem HDD, na którym jest właściwy system i dane.

1. Zrób kopię posektorową.
2. Na moje oko, coś jest nie tak z tablicą partycji. Albo nieprawidłowy jest koniec partycji [Windows], albo początek następnej.
3. Jeśli na tym dysku jest GPT to na końcu dysku powinna znajdować się kopia. Porównanie może dostarczyć dodatkowych informacji.

Pod R-Studio badałbym partycję 277MB 952.81GB

@-daniel-: taka kopia posektorowa to to samo co kopia przy pomocy dd? Jak się domyślam nie ma rozróżnienia na sektory zajęte i wolne, czyli potrzebuję dysk o pojemności 1 TB?

Czy ma znaczenie podpięcie takiego dysku przez adapter M.2 na USB?

Ogólnie słabo opłacalne jest takie odzyskiwanie danych na własną rękę, bez wolnych dysków, czasu i oprogramowania. Czy polecacie jakieś firmy, które się tym zajmują? Na ile szacujecie koszty? Czy cena wzrośnie jak powiem, że wykonałem opisywane przeze mnie czynności?

Tak, musisz skopiować każdy sektor, bo jak nie masz prawidłowego systemu plikowego, to nie wiesz który sektor jest wolny, a który zajęty. Tak dd może zrobić taką kopię. Coś tam robiłem z odzyskiwaniem z 15 lat temu i wtedy nazywało się to kopią posektorową dla odróżnienia od kopiowania po plikach. Ponieważ robiłem to dawno, to nie będę polecał żadnego programu, ale żeby chociaż oglądnąć interesujące sektory, to na pewno znajdzie się coś darmowego.

vapemil napisał(a):

@-daniel-: taka kopia posektorowa to to samo co kopia przy pomocy dd?

Lepiej użyć ddrescue niż dd.

Mam już nowy dysk M.2 1 TB tylko niestety po podłączeniu ma mniej niż 950 GB. Czy mogę ten stary dysk sklonować na HDD 2 TB? Przypuszczam, że czas analizy wydłuży się wtedy co najmniej kilkukrotnie?

1/ - puszczanie chkdsk jest bardzo głupim pomysłem ze względu na ogromne ryzyko pogorszenia stanu struktur logicznych. Nigdy tego nie rób na dysku, na którym masz ważne dane. Zwłaszcza SSD. To, że czasem komuś chkdsk w czymś pomoże nie jest żadnym dowodem na to, że to dobre i bezpieczne rozwiązanie, tylko na to, że czasem głupi ma szczęście. Zainteresuj się tym, jak chkdsk działa, to łatwo zrozumiesz, że ryzyko jest nieakceptowalne. Chyba, że dane są mało ważne.
2/ - Jaki masz system plików? Tak, domyślam się, że NTFS, ale co, jeśli się mylę? Im dokładniej opiszesz problem, tym wyższej jakości pomoc dostaniesz.
3/ - tak samo nie podałeś modelu dysku. Może dla Ciebie sztuka, to sztuka, ale różne modele mają swoje ulubione problemy i ujawnienie modelu ułatwia kierunkowanie diagnostyki i rozwiązania problemu.
4/ - Wstępnie ten problem wygląda na uszkodzenie na poziomie struktur logicznych. Trochę szkoda, bo uszkodzenie fizyczne uniemożliwiłoby Ci wyrządzanie dalszych szkód uruchamianiem chkdsku. Jakiekolwiek zapisy na dysku, z którego straciłeś dane są dla tych danych groźne, a chkdsk, to cała masa niekontrolowanych zapisów dotyczących struktur logicznych. To że piszesz, że chkdsk nie przyniósł efektu nie musi być prawdą. Nie widzisz efektu pozytywnego, na który liczyłeś, ale czy jesteś w stanie dostrzec efekty negatywne.
5/ - Przy odzyskiwaniu danych z SSD należy bezwzględnie wyłączyć obsługę TRIM. Nie napisałeś o tym, więc podejrzewam, ze tego nie zrobiłeś.
6/ - Dopiero po wyłączeniu obsługi TRIMu powinieneś podejmować dalsze czynności zaczynając od kopii posektorowej. Na drugi dysk (najlepiej twardy bez SMR, klonowanie na inny SSD w żaden sposób nie chroni Cię ani przed działaniem TRIMu ani przed operacjami wykonywanymi w tle przez FTL), czy do pliku binarnego, to kwestia drugorzędna i niewpływająca na czas procesów odzyskiwania danych. W każdym sensownym programie do odzyskiwania danych możesz dowolnie ustawiać zakresy adresów LBA do skanowania, więc większy dysk to nie problem. Ale tak naprawdę po już popełnionych błędach przydałaby się elementarna analiza manualna w celu zweryfikowania, czy w ogóle jest sens w tym grzebać.
7/ - Wartość diagnostyczna wrzuconych przez Ciebie zdjęć jest pomijalnie mała. W zasadzie można tylko wytypować najbardziej prawdopodobną partycję, na której możesz widzieć jakieś dane (zielona MS-Data znaleziona przez Testdisk), której położenie należałoby zweryfikować w hex-edytorze. Zwracasz w ogóle uwagę na wyświetlane informacje o adresach i rozmiarze partycji, czy to dla Ciebie jedynie nieistotne cyferki, a proces odzyskiwania danych postrzegasz wyłącznie przez pryzmat radosnego klikania w różnych programach w nadziei, że któryś z nich coś Ci znajdzie?
6/ - pomiędzy typowaną przez Ciebie partycją, a zieloną MS-Data Windows jest dość spory odstęp. Zwróć też uwagę na to, że znalezione partycje mają zakresy wzajemnie nakładające się na siebie, zwróć też uwagę na podejrzanie mały, a zarazem zadziwiająco zgodny rozmiar typowanej przez Ciebie partycji z partycją Windows. Mam nadzieję, że nie próbowałeś żadnego przywracania systemu, co byłoby jeszcze głupsze od chkdsku.
9/ - dane najprawdopodobniej masz (o ile jeszcze istnieją) w obszarze pomiędzy partycjami znalezionymi przez chkdsk. Sprawdź w hex-edytorze zawartość pierwszego sektora za partycją Windows i ostatniego przed typowaną przez Ciebie. Oczywiście po uprzednim wykonaniu kopii posektorowej.
10/ - przywracanie na ślepo partycji znalezionych przez Testdisk też nie jest mądre.
11/ - tak, optane, to bufor zmiennofazowy, a więc nieulotny, też zawiera dane, więc tak lekko bym go nie skreślał,
12/ - kopia posektorowa, to kopia posektorowa. Po to się ją wykonuje, by mieć cały i zgodny z oryginałem materiał do analizy. Jeśli chcesz wykopiować tylko zajęte=zaalokowane w strukturach logicznych sektory, da się to zrobić, ale najpierw trzeba te struktury przeanalizować manualnie, a Ty jesteś na tym etapie, że wiesz, że one są, więc na razie bym się z tym nie rozpędzał. Jeśli się mylę, to sprawdź w Boot-rekordzie położenie $MFT, tam znajdziesz informację o położeniu $Bitmap i dysponując bitmapą oraz znając rozmiar klastra zmapujesz sobie sektory zawierające obszary zaalokowane na partycji jako pliki.
13/ - jeśli dysk jest sprawny, nie ma przeciwwskazań dla kopiowania przez USB.
14/ - tak - podejmowane przez Ciebie działania negatywnie wpływają nie tylko na szanse odzyskania czegokolwiek, ale też i na ewentualne koszty, ale ogólnie budżet masz dość obszerny i jeśli nie wybierzesz najdroższej firmy w Polsce, na spokojnie wystarczy. Tylko pamiętaj, że po Twoich zabawach odzyskane zostanie to, co jest możliwe, a nie to, czego oczekujesz.