Восстановление данных. Практическое руководство

Касперски Крис

Таким образом, при разбиении винчестера на четыре логических диска на нем образуются четыре таблицы разделов (см. листинг 5.4), хотя в данном случае можно было бы обойтись и одной. Штатный загрузчик требует, чтобы активный раздел описывался первой записью первой таблицы разделов, вследствие чего операционная система может грузиться только с диска С:. Нестандартные менеджеры загрузки, анализирующие всю цепочку разделов, позволяют загружаться с любого из разделов. Самые честные из них создают в первой таблице разделов еще один раздел (благо, если диск был разбит с помощью программы FDISK, то свободное место там всегда есть), назначают его активным и помещают в него свое тело. Другие же внедряются непосредственно в MBR и замещают собой первичный загрузчик, что создает очевидные проблемы совместимости.

Листинг 5.4. Пример таблицы разделов,

сформированной программой FDISK

Sector Inspector Copyright Microsoft Corporation 2003

==================================================================

Target - \\.\PHYSICALDRIVE0

1867 Cylinders

255 Heads

63 Sectors Per Track

512 BytesPerSector

12 MediaType

LBN 0 [С 0, H 0, S 1]

==================================================================

Master Boot Record

==================================================================

| B | FS TYPE | START | END | | |

| F | (hex) | C H S| C H S| RELATIVE | TOTAL |

==================================================================

| * | 07 | 0 1 1| 764 254 63| 63| 12289662|

| | 0f | 765 0 1|1023 254 63| 12289725| 17687565|

| | 00 | 0 0 0| 0 0 0| 0| 0|

| | 00 | 0 0 0| 0 0 0| 0| 0|

==================================================================

LBN 12289725 [C 765, H 0, S 1]

==================================================================

Extended Boot Record

==================================================================

| B | FS TYPE | START | END | | |

| F | (hex) | C H S| C H S| RELATIVE | TOTAL |

==================================================================

| | 07 | 765 1 1|1023 254 63| 63| 8193087|

| | 05 |1023 0 1|1023 254 63| 8193150| 4096575|

| | 00 | 0 0 0| 0 0 0| 0| 0|

| | 00 | 0 0 0| 0 0 0| 0| 0|

==================================================================

LBN 20482875 [C 1275, H 0, S 1]

==================================================================

Extended Boot Record

==================================================================

| B | FS TYPE | START | END | | |

| F | (hex) | C H S| C H S| RELATIVE | TOTAL |

==================================================================

| | 07 |1023 1 1|1023 254 63| 63| 4096512|

| | 05 |1023 0 1|1023 254 63| 12289725| 5397840|

| | 00 | 0 0 0| 0 0 0| 0| 0|

| | 00 | 0 0 0| 0 0 0| 0| 0|

==================================================================

LBN 24579450 [С 1530, H 0, S 1]

==================================================================

Extended Boot Record

==================================================================

| B | FS TYPE | START | END | | |

| F | (hex) | C H S| C H S| RELATIVE | TOTAL |

==================================================================

| | 07 |1023 1 1|1023 254 63| 63| 5397777|

| | 00 | 0 0 0| 0 0 0| 0| 0|

| | 00 | 0 0 0| 0 0 0| 0| 0|

| | 00 | 0 0 0| 0 0 0| 0| 0|

==================================================================

Если

таблица разделов повреждена, логические диски, скорее всего, будут полностью недоступны — они не будут отображаться ни Проводником Windows (Windows Explorer), ни файловым менеджером FAR, а команда

C:

вызовет ошибку. Искажение таблицы разделов не приводит к немедленному изменению объема уже отформатированных томов, так как эта информация хранится в загрузочном секторе (boot sector). Однако при последующим переформатировании произойдет затирание данных из соседнего раздела, или же текущий раздел окажется усеченным. Кстати говоря, если расширенный раздел указывает сам на себя или на один из предшествующих разделов в цепочке, то все известные мне операционные системы наглухо зависнут еще на этапе загрузки, даже если диск подключен "вторым". Чтобы исправить ситуацию, необходимо запустить редактор диска или другую утилиту, а для этого необходимо загрузить операционную систему! Существует несколько путей выхода из этой, казалось бы, неразрешимой ситуации. Самый простой вариант — горячее подключение диска "на лету" с последующей работой с ним через BIOS или порты ввода/вывода. Если и диск, и материнская плата переживут это (а для устройств IDE подключение "на лету" представляется довольно жестким испытанием), то вы сможете запустить доктора и работать с диском на физическом уровне. Другой, чисто хакерский, путь — пропатчить MS-DOS, изменив сигнатуру

55h AAh

на какое-нибудь другое значение, тогда она не сможет распознать таблицу разделов и, соответственно, не станет ее анализировать. Как вариант, можно записать в boot-сектор дискеты специально подготовленную программу, которая обнуляет MBR или искажает сигнатуру, расположенную в его конце. Просто загрузитесь с нее и все!

Воспользовавшись любым редактором диска (например, Microsoft Disk Probe из комплекта Resource Kit), считаем первый сектор физического диска. Он должен выглядеть приблизительно так, как показано на рис. 5.4.

Рис. 5.4. Внешний вид MBR

Не правда ли, MBR выглядит как знаменитая Матрица? Ее формат кратко описан в таблице 5.1.

Таблица 5.1. Формат MBR

Смещение	Размер	Описание
0x000	перемен.	Код загрузчика
0x1BB	4h	Идентификатор диска
0x1BE	10h	Partition 1
0x1CE	10h	Partition 2
0x1DE	10h	Partition 3
0x1EE	10h	Partition 4
0x1FE	0x2	"Магическое число" — сигнатура 55h AAh , которое указывает, что данный сектор представляет собой MBR