Zavaděč Windows 7 přestane fungovat z mnoha důvodů - pokud je boot.ini poškozen nebo pokud se pokusíte nainstalovat XP spolu se Seven, poté se nechce spustit. To je způsobeno tím, že XP přepisují zaváděcí položku. MBR Windows 7. Obvykle zotavení Zavaděč Windows 7 provedena standardní prostředky systémy. Můžete také použít jiný nástroj, například Bootice.

Nejjednodušší způsob, jak obnovit bootloader

Pokud stisknutím klávesy F8 neotevřete další metody spouštění a nástroj pro odstraňování problémů, budete muset použít disk pro obnovení systému Windows 7 nebo jednotku flash. Z tohoto disku budete muset spustit počítač do prostředí pro obnovení kliknutím na odkaz obnovení systému ve spodní části okna instalace OS.

1. Počítač se automaticky pokusí najít řešení problému, na což vás upozorní v okně, které se otevře.
2. Pokud obslužný program pro obnovení tuto úlohu zvládne, zbývá pouze restartovat.

Pokud po XP nebylo možné obnovit bootloader Windows 7, použijte nástroj pro opravu spouštění, který je spolu s dalšími součástí instalačního disku nebo flash disku. Obvykle tyto jednoduchými způsoby zvládne jednoduché problémy se spouštěním MBR.

Upravit boot.ini

Boot.ini je ve výchozím nastavení zodpovědný za spuštění systému. Pokud je některý z operačních systémů nesprávně nainstalován nebo odebrán, jeho záznam v mimo provoz budou uloženy ve stejném souboru boot.ini. Nachází se u kořene systémový oddíl, takže pro jeho úpravu musí být počítač nastaven tak, aby zobrazoval skryté soubory.

Někdy může být boot.ini poškozen virem nebo k tomu může přispět nějaký program, po kterém se OS sám nespustí.

Oprava je jednoduchá - spusťte systém z LiveCD a upravte soubor boot.ini pomocí běžného poznámkového bloku. Jsou zde pouze dvě sekce – zavaděč, který ovládá spouštění a operační systémy. Měli byste si zapamatovat hodnotu několika parametrů:

• timeout=10 - čas v sekundách, během kterého si uživatel může vybrat OS ke spuštění;
• multi(0) a disk(0) jsou parametry, které by měly mít nulové hodnoty;
• rdisk(0) — číslo disku se systémovým oddílem (počítáno od nuly).

Obecně by boot.ini z jednoho OS měl vypadat jako ten na obrázku.

Pomocí příkazového řádku obnovte sektor MBR

Do režimu příkazového řádku se můžete dostat ze stejného spouštěcího disku nebo flash disku otevřením nástroje pro obnovení systému a výběrem většiny poslední odstavec"Příkazový řádek".

1. Zadejte příkaz Bootrec a stiskněte klávesu Enter, objeví se úplný seznam příležitosti
2. Zapište si sektor MBR, pro který existuje příkaz Bootrec.exe /FixMbr;
3. O úspěšném dokončení operace po stisknutí klávesy Enter počítač uživatele upozorní na dalším řádku;
4. Dále proveďte postup pro zápis nového spouštěcího sektoru, pro který zadejte Bootrec.exe /FixBoot;
5. Zbývá pouze zadat Exit a pokusit se restartovat počítač.

1. Zadejte příkazový řádek z instalačního disku nebo flash disku;
2. Zadejte Bootrec /ScanOs, poté obslužný program vyhledá v počítači operační systém;
3. Na další řádek napište příkaz Bootrec.exe /RebuildBcd, program vás vyzve k přidání všech nalezených verzí Windows do nabídky Start, včetně XP atd.;
4. Zbývá souhlasit s tím, že postupně stisknete Y a Enter, po kterém, když se systém spustí, budete mít na výběr, který OS spustit - XP nebo sedm.

Problém s MBR můžete vyřešit ještě jedním příkazem. Pro toto v příkazový řádek musíte zadat bootsect /NT60 SYS a poté Enter. Pro ukončení zadejte Exit. V důsledku toho bude hlavní zaváděcí kód aktualizován a vaše systémy se během spouštění objeví v seznamu.

V případě vážných problémů nemusí být možné obnovit MBR pomocí popsaných metod, takže byste měli zkusit přepsat soubory v zaváděcím úložišti.

Bootmgr chybí

Takovou zprávu na černé obrazovce počítač obvykle zobrazí při poškození nebo odstranění sektoru MBR. Důvod nemusí souviset s MBR, například pokud BIOS ztratil nastavení záložky Boot a systém se pokouší nabootovat z nesprávného disku. Častěji je ale na vině bootloader, takže si popíšeme, jak obnovit Spouštění systému Windows 7.

Na disku s Windows 7 je vždy malý 100megabajtový vyhrazený skrytý oddíl pro zápis spouštěcích souborů OS, včetně poškozeného BOOTMGR. BOOTMGR můžete jednoduše zkopírovat z instalačního média a zapsat na tento oddíl. Pro tohle:

1. Přejděte na příkazový řádek z disku pro obnovení.
2. Postupně zadejte příkazy diskpart a list volume, poté se na obrazovce objeví seznam vašich disků a písmena, která systém každému z nich přiřadil. Zajímá nás 100 MB vyhrazený oddíl a optická mechanika - mechaniky C, respektive F, jako na obrázku.
3. Pro ukončení zadejte Exit a stiskněte Enter.

Zadejte písmeno instalační jednotky následované dvojtečkou a příkazem pro zkopírování bootmrg do vyhrazeného oddílu. Bude to vypadat takto:

• F: a poté Enter;
• zkopírujte bootmgr C:\ a stiskněte Enter;
• Ukončete, nástroj se ukončí.

Pokud se nezdaří kopírování do skrytého oddílu, úložiště stahování může být zcela přepsáno. Obnovení zavaděče systému Windows 7 se provádí pomocí příkazu bcdboot.exe N:\Windows, kde N je písmeno jednotky s operačním systémem. Poté, co jste informováni, že soubory byly úspěšně vytvořeny, můžete nástroj ukončit příkazem Exit a restartovat počítač.

• napište řádek diskpart na příkazový řádek, který volá obslužný program;
• vypsat seznam všech dostupných fyzických disků zapisovat disk;
• požadovaný disk se vybere příkazem sel disk 0, kde 0 je číslo jediného nainstalovaného HDD;
• pro zobrazení všech oddílů pevného disku zadejte seznam oddílů;
• pro výběr vyhrazeného oddílu napište příkaz sel part 1, kde 1 je číslo oddílu;
• aktivujte jej napsáním active;
• Ukončete aplikaci napsáním exit.

V extrémních případech můžete systémový oddíl zcela ručně odstranit a naformátovat tak, že začnete z nějakého LiveCD a poté pomocí příkazu bcdboot.exe sektor vytvoříte znovu.

Pomocí Bootice

Pokud byl Windows XP nainstalován po Sedmičce, kvůli přepsanému sektoru MBR se spustí pouze XP a po zapnutí počítače nemáte možnost vybrat systém. Oba systémy jsou však plně funkční a velmi snadno se můžete vrátit do nabídky Start, k čemuž slouží utilita Bootice:

V novém okně Bootice nalevo uvidíte seznam spouštění OS, ve kterém budete muset přidat chybějící "Sedm" do Windows XP:

• klikněte na "Přidat";
• v seznamu, který se otevře, vyberte nový řádek Záznamy systému Windows 7;
• na pravé straně v horním vstupním poli vyberte pevný disk;
• v níže uvedeném poli označte část se „sedm“;
• klikněte na uložit základní nastavení.

Program vás upozorní na úspěšnou změnu tohoto prvku v Bootu a vy můžete Bootice ukončit. Při příštím zapnutí počítače si již můžete vybrat, ze kterého OS se bude bootovat pevný disk- Windows 7 nebo XP.

Stěžujte si na obsah

• 
  Porušení autorských práv Spam Neplatný obsah Nefunkční odkazy
• 
  
• 
  

Poslat

Obnovení zavaděče Windows 7 – provádění akcí pro obnovení provozní kapacity operačního systému poté, co se vyskytnou problémy při načítání systému Windows. V důsledku selhání systému může uživatel ztratit data, osobní soubory umístěné v počítači.

V jednom okamžiku nebude možné spustit operační systém v počítači. Na obrazovce se objevují různé zprávy (ne vždy v ruštině), které indikují problém s načítáním Windows.

Hlavní příčiny problémů s bootloaderem Windows 7:

• akce uživatele: pokus o použití skrytých systémových oddílů, nesprávné změny spouštěcích souborů pomocí EasyBCD atd.;
• selhání systému;
• vystavení škodlivému softwaru;
• vzhled špatných bloků na pevném disku počítače;
• operační systémy nainstalované v počítači v nesprávném pořadí;
• hardwarové problémy.

Problém se zavaděčem musí být vyřešen, jinak nebudete moci používat Windows, protože se systém na počítači nespustí. Problémy lze vyřešit radikálním způsobem: opět na PC.

Pokud existuje, vytvořený systémovým nástrojem nebo pomocí programů třetích stran, musíte obnovit ze zálohy Obrázek Windows předem vytvořené. Mnoho uživatelů bohužel neodvádí náležitou pozornost záloha systémy, takže pro ně tyto metody nebudou fungovat.

Jak obnovit zavaděč Windows 7? Chcete-li obnovit spouštěcí soubory operačního systému, použijte vestavěné nástroje Windows: automatickou opravu spouštění a také pomocí obslužných programů BootRec a BCDboot, které jsou součástí operačního systému a spouštějí se na příkazovém řádku.

Před použitím nástrojů operačního systému musíte znát rozložení pevného disku. Moderní počítače mají styl rozložení pevného disku GPT a nový BIOS - UEFI a in Windows časy 7, disky používaly dělení MBR a nyní zastaralý BIOS. Na některých počítačích je na discích UEFI a GPT nainstalován 64bitový systém Windows 7 a obecně počítače se systémem Windows 7 používají rozdělení na oddíly MBR (Master Boot Record).

V tomto článku se podíváme na pokyny, jak obnovit bootloader pomocí systémových nástrojů ve Windows 7: nejprve provedeme automatickou opravu a poté se pokusíme obnovit bootloader z příkazového řádku.

K provedení operací obnovy bootloaderu budete potřebovat buď instalační DVD s operačním systémem, nebo bootovací Windows flash disk 7. Aby bylo možné zavést systém, je zapotřebí zaváděcí médium osobní počítač Windows RE (Windows Recovery Environment) Recovery Environment, pomocí kterého se lze pokusit vyřešit problém nemožnosti spustit systém.

Automatické obnovení systému Windows 7 pomocí systémového nástroje

Nejjednodušší způsob: automatické obnovení spouštěcí oddíl na pevném disku pomocí operačního systému. Tato akce probíhá bez zásahu uživatele, je pouze nutné nabootovat na počítači ze spouštěcího disku.

Ihned po spuštění počítače pomocí kláves na klávesnici musíte vstoupit do spouštěcí nabídky ( boot menu) vybrat externí zařízení Pro načtení: DVD disk nebo USB flash disky. Které klávesy stisknout závisí na výrobci zařízení, ověřte si to předem.

Jiný způsob: můžete vstoupit do systému BIOS a nastavit prioritu spouštění z připojeného zařízení: z jednotky USB nebo jednotky DVD.

V tomto příkladu používám instalační disk Windows 7 se všemi akcemi spouštěcí flash disk se provádějí podobným způsobem.

V prvním okně programu Instalace Windows klikněte na tlačítko "Další".

V okně s výzvou k zahájení instalace operačního systému do počítače klikněte v levém dolním rohu na „Obnovení systému“.

V okně Možnosti obnovení systému, které se otevře, se spustí vyhledávání instalované systémy.

Po chvíli se zobrazí zpráva, že v možnostech spouštění počítače byly nalezeny problémy.

Kliknutím na "Podrobnosti" zobrazíte popis opravy.

Chcete-li spustit automatické odstraňování problémů se spouštěním systému, klikněte na tlačítko „Opravit a restartovat“.

Po obnovení bootloaderu se operační systém Windows 7 na počítači znovu spustí.

Automatické odstraňování problémů pomocí systémových nástrojů lze spustit trochu jinak:

1. V okně „Možnosti obnovení systému“ aktivujte možnost „Použít nástroje pro obnovení k opravě problémů, když Spuštění Windows. Vyberte operační systém, který chcete obnovit, a poté klikněte na tlačítko „Další“.

1. V okně pro výběr nástrojů pro obnovu klikněte na „Oprava spouštění“.

1. Počkejte do konce operace, aby se automaticky opravily problémy, které brání spuštění systému.

Pokud se problém automaticky nevyřeší, pokračujte následujícími metodami, při kterých bude uživatel muset ručně zadávat příkazy na příkazovém řádku systému Windows.

Obnovení zavaděče Windows 7 pomocí nástroje Bootrec

Další metoda zahrnuje obnovení zavaděče systému Windows 7 pomocí příkazového řádku. K tomu používáme nástroj Bootrec.exe. Tato metoda funguje pouze s disky, které mají hlavní spouštěcí záznam MBR.

Ze spouštěcího disku musíte vstoupit do prostředí Windows Recovery Environment, jak je popsáno výše.

V okně Možnosti obnovení systému klikněte na možnost Příkazový řádek.

Nástroj Bootrec.exe používá následující základní příkazy:

• FixMbr – Tato možnost zapíše hlavní spouštěcí záznam (MBR) na systémový diskový oddíl kompatibilní se systémem Windows 7, stávající tabulka oddílů se nepřepíše
• FixBoot - pomocí příkazu se do systémového oddílu zapíše nový spouštěcí sektor, který je kompatibilní s Windows 7
• ScanOS - prohledá všechny disky nainstalovaných systémů, které jsou kompatibilní s Windows 7, zobrazí položky, které nejsou v úložišti konfigurace systému
• RebuildBcd - prohledejte všechny disky nainstalovaných systémů kompatibilních s Windows 7, vyberte systémy pro přidání dat do úložiště konfigurace spouštění

Příkaz FixMbr se používá k opravě hlavního spouštěcího záznamu a také k odstranění nesprávného kódu z hlavního spouštěcího záznamu.

Příkaz FixBoot se používá za následujících podmínek: poškození spouštěcího sektoru, boot sektor změněna na nestandardní spouštěcí sektor, byla na počítači se systémem Windows 7 nainstalována dřívější verze Verze Windows(Windows XP nebo Windows Vista).

Příkaz ScanOS vyhledává na všech discích operační systémy kompatibilní se systémem Windows 7. V důsledku toho se zobrazí všechny položky související s jinými operačními systémy nainstalovanými v počítači, které nejsou zobrazeny v nabídce správce spouštění.

Příkaz RebuildBcd vám umožňuje zjistit a přidat do úložiště konfigurace spouštění nainstalované na systémovém počítači. Parametr se používá k úplnému přebudování konfigurace spouštěcího úložiště systému.

V okně interpretu příkazového řádku zadejte příkaz (po zadání příkazů na příkazovém řádku stiskněte klávesu "Enter"):

Bootrec /fixmbr

Pokud problém přetrvává, možná budete muset zadat následující příkaz:

Bootrec /fixboot

Zbytek příkazů se použije, pokud má počítač více než jeden operační systém.

Zavřete příkazový řádek a v okně „Možnosti obnovení systému“ klikněte na tlačítko „Restartovat“.

Jak opravit příkazový řádek bootloaderu Windows 7 pomocí nástroje BCDboot

Pomocí nástroje bcdboot.exe můžete obnovit zavaděč Windows 7 na počítačích s MBR nebo styly GPT rozložení pevného disku.

Spusťte z vyměnitelného zařízení, přejděte až do okna s výběrem způsobu obnovení systému a poté spusťte příkazový řádek. Další možnost: v prvním okně stiskněte klávesy "Shift" + "F10" na klávesnici pro vstup do okna příkazového řádku.

V okně příkazového řádku zadejte příkaz ke spuštění nástroje DiskPart:

diskpart

Chcete-li zobrazit informace o discích v počítači, zadejte následující příkaz:

Hlasitost seznamu

Musíme zjistit písmeno jednotky (název svazku), na kterém je nainstalován operační systém.

Název svazku (písmeno jednotky) v Diskpart se může lišit od písmene jednotky v Průzkumníkovi. Například v mém případě v Průzkumníku má systémový oddíl písmeno "C" a v diskpartu je označen písmenem "E".

Chcete-li ukončit nástroj diskpart, zadejte:

bcdbootX:\windows

V tomto příkazu: "X" je písmeno jednotky, na které je nainstalován operační systém. V mém případě se jedná o písmeno "E", pro svazek (disk) můžete mít jiný název.

Zavřete příkazový řádek.

V okně Možnosti obnovení systému kliknutím na tlačítko restartujte počítač.

Článek Závěry

Pokud narazíte na problémy se zavaděčem systému Windows 7, musíte obnovit spouštěcí soubory systému spuštěním počítače ze zaváděcího disk Windows. Poškozené nebo chybějící soubory můžete obnovit pomocí nástrojů operačního systému: automatické odstraňování problémů se spouštěním systému Windows pomocí nástrojů Bootrec a BCDboot spouštěných z příkazového řádku v prostředí obnovy.

Zkušený uživatel PC a internetu

MBR je zastaralý formát pevného disku (nebo flash disku),
stále žádaný (kvůli jeho nenáročnosti)

Master Boot Record (MBR) – hlavní spouštěcí záznam paměťového média obsahující informace o jeho oddílech. Poškození nebo ztráta MBR znepřístupní informace na disku nebo jednotce flash. Pro obnovu MBR existují speciální pomůcky, ve tvaru TestDisk.

TestDisk „prohlédne“ celé médium a vytvoří tabulku oddílů. Program se dotáže BIOSu nebo operačního systému na informace o pevných discích v systému rychlá kontrola struktury disků a tabulky oddílů pro "správnost". Pokud jsou nalezeny chyby, TestDisk je pomůže opravit. TestDisk navíc při skenování média dokáže na něm detekovat dlouho smazané oddíly.

TestDisk je bezplatný a open source program pro obnovu hlavního spouštěcího záznamu disku nebo flash disku. Program se bez problémů stahuje z internetu. Rozhraní je anglické, ale - to je ojedinělý případ, kdy je lepší lokalizátory nepronásledovat.

TestDisk nemá grafický shell. Komunikace s programem probíhá v černém DOSovém okně. Je známo. Pokud systém "spadl", jaký grafický shell tam je. Nabootujeme z DOSu a spustíme TestDisk.

TestDisk podporuje téměř všechny známé operační a souborové systémy. Seznam hlavních funkcí programu vypadá takto:

1. Obnovení smazaných oddílů
2. Přebudování tabulky oddílů
3. Přepsání MBR

Microsoft po mnoho let zdokonaloval systém obnovy operačního systému Windows a ve Windows 7 a Windows Vista funguje téměř v automatický režim. Pokud spustíte systém z instalačního disku Windows 7 a kliknete na " Obnovení systému" ("Oprava počítače"), spustí se systém obnovy Windows a pokusí se opravit případné chyby, které najde, sám. Dokáže opravit velké množství problémů, je však docela možné, že je bootloader poškozen a systém obnovy si nedokáže poradit V tomto případě můžete bootloader obnovit ručně pomocí nástroje Bootrec.exe.

Aplikace Bootrec.exe se používá k opravě chyb souvisejících s poškozením bootloaderu a v důsledku toho s nemožností spustit operační systémy Windows 7 a Windows Vista.

Sekvenování

Popis spouštěcích klíčů bootrec.exe

Bootrec.exe /FixMbr

Nástroj se spouští pomocí přepínače /FixMbr a zapisuje hlavní spouštěcí záznam (MBR) kompatibilní se systémy Windows 7 a Windows Vista do systémového oddílu. Tuto možnost použijte k řešení problémů s poškozením hlavního zaváděcího záznamu nebo pokud z něj chcete odstranit nestandardní kód. Stávající tabulka oddílů se v tomto případě nepřepíše.

Bootrec.exe /FixBoot

Nástroj, který se spouští klávesou /FixBoot, zapíše do systémového oddílu nový spouštěcí sektor kompatibilní s Windows 7 a Windows Vista. Tuto možnost musíte použít v následujících případech:

1. Spouštěcí sektor Windows Vista nebo Windows 7 byl nahrazen nestandardním.
2. Spouštěcí sektor je poškozen.
3. Byl nainstalován předchozí verze Operační systém Windows po instalaci Windows Vista nebo Windows 7. Pokud byl například nainstalován Windows XP, použije se NTLDR (zavaděč Windows NT, zavaděč Windows NT), přepíše se kód běžného zavaděče NT 6 (Bootmgr) pomocí instalačního programu systému Windows XP.

Je třeba poznamenat, že podobného efektu lze dosáhnout pomocí nástroje bootsect.exe, který se také nachází na spouštěcím médiu Windows 7. Chcete-li to provést, musíte spustit bootsect.exe s následujícími parametry:

Bootsect /NT60 SYS

Zaváděcí sektor systémového oddílu bude přepsán kódem kompatibilním s BOOTMGR. Další informace o použití nástroje bootsect.exe získáte jeho spuštěním s parametrem /Pomoc.

Bootrec.exe /ScanOs

Obslužný program, který se spouští klávesou /ScanOs, prohledá všechny disky na přítomnost nainstalovaných operačních systémů Windows Vista a Windows 7. Navíc se při jeho použití zobrazí seznam nalezených systémů, které v tento moment nejsou registrovány v úložišti Windows Boot Configuration Data (BCD).

Bootrec.exe /RebuildBcd

Nástroj, který se spouští tímto klíčem, prohledá všechny disky nainstalované operační systémy Windows Vista nebo Windows 7. Nalezené operační systémy se zobrazí v seznamu, ze kterého je lze přidat do úložiště dat konfigurace spouštění systému Windows. Tuto možnost použijte také v případě, že chcete úplně znovu vytvořit úložiště konfiguračních dat spouštění. Než to uděláte, musíte odstranit předchozí úložiště. Sada příkazů v tomto případě může být následující:

bcdedit /export C:\BCDcfg.bak attrib -s -h -r c:\boot\bcd del c:\boot\bcd bootrec /RebuildBcd

Ve výše uvedeném příkladu je aktuální úložiště konfigurace spouštění exportováno do souboru C:\BCDcfg.bak, jsou z něj odstraněny systémové, skryté atributy a atributy pouze pro čtení, načež je odstraněno příkazem DEL a znovu vytvořeno pomocí příkaz bootrec /RebuildBcd.

Zvětšit obrázek

Samozřejmě užitečnost bootrec.exe velmi funkční, nicméně nepomůže, když např. soubor bootloaderu Windows bootmgr poškozené nebo fyzicky chybí. V tomto případě můžete použít jiný nástroj, který je také součástí distribučního média Windows 7 - bcdboot.exe.

Obnovení spouštěcího prostředí pomocí BCDboot.exe

BCDboot.exe je nástroj, který se používá k vytvoření nebo obnovení spouštěcího prostředí umístěného na aktivním systémovém oddílu. Tento nástroj lze také použít k přenosu stažených souborů.

Příkazový řádek v tomto případě může vypadat takto:

bcdboot.exe e:\windows

Nahraďte e:\windows správnou cestou pro váš systém.
Tato operace opraví poškozené spouštěcí prostředí Windows, včetně souborů úložiště konfiguračních dat spouštění (BCD), včetně souboru bootmgr uvedeného výše.

Syntaxe voleb příkazového řádku bcdboot

Nástroj bcdboot.exe používá následující možnosti příkazového řádku:

zdroj BCDBOOT]

zdroj

Určuje umístění adresář Windows Používá se jako zdroj při kopírování souborů spouštěcího prostředí.

Volitelný parametr. Určuje jazyk spouštěcího prostředí. Výchozí nastavení je angličtina (Spojené státy americké).

Volitelný parametr. Určuje písmeno jednotky systémového oddílu, kam budou nainstalovány soubory spouštěcího prostředí. Výchozí je systémový oddíl určený firmwarem systému BIOS.

Volitelný parametr. Umožňuje režim podrobného protokolování provozu nástroje.

Volitelný parametr. Kombinuje nastavení nově vytvořeného a existujícího spouštěcího záznamu úložiště a zapisuje je do nového spouštěcího záznamu. Pokud je zadáno GUID zavaděče operačního systému, zkombinuje objekt zavaděče se šablonou systému a vytvoří spouštěcí položku.

souhrn

V článku byly rozebrány principy práce s utilitami bootrec.exe a bcdboot.exe, které se používají k řešení problémů spojených s nemožností spustit operační systém Windows 7 z důvodu poškozeného nebo chybějícího bootloaderu.

Strana 8 z 8

Kapitola 7
Obnova dat na pevných discích

Konečně jsme se dostali k popisu situace, v případě, že event pokročilé uživatele začít mít trochu obavy.

Obnovení logické struktury disku

Poškození logické struktury pevného disku zahrnuje:
poškození nebo odstranění hlavního zaváděcího záznamu;
poškození nebo odstranění tabulky oddílů;
poškození nebo odstranění jednoho nebo více spouštěcích záznamů hlavních diskových oddílů;
poškození tabulek oddílů na dalším oddílu;
chybná změna velikosti nebo odstranění oddílu nebo logické jednotky.
Pro úspěšné odstranění těchto problémů je užitečné znát příčiny jejich vzniku a také mít jistou trpělivost a vyrovnanost.

POZNÁMKA
Budete potřebovat mnohem méně času a trpělivosti, pokud se vám podaří zapamatovat si alespoň ty nejzákladnější parametry disku: počet, pořadí a velikost diskových oddílů a také typ souborový systém na každém z nich.

Obnovení hlavního spouštěcího záznamu

Nejprve musíte určit příčinu poškození zaváděcích sektorů. Pokud je způsobeno nedopatřením uživatele nebo selháním softwaru či hardwaru, můžete přejít přímo k postupu obnovy. Pokud k poškození zaváděcích sektorů došlo v důsledku aktivity viru nebo jiného malware, musíte útočníka nejprve „najít a zničit“.

„Léčba“ sektorů musí být provedena pouze v případě, že v nich není žádný virus paměť s náhodným přístupem. Pokud není paměťová kopie viru vyčištěna, je pravděpodobné, že virus po odstranění virového kódu znovu infikuje disketu nebo pevný disk.

Nyní o samotném postupu obnovy. Jak víte, hlavní spouštěcí záznam (MBR) je přítomen na jakémkoli nakonfigurovaném fyzickém disku. Zaváděcí kód v MBR však závisí na tom, který OS MBR vytvořil. To znamená, že MBR vytvořený, když Instalace Windows 98 se liší od MBR vytvořeného při instalaci Windows XP nebo Linuxu (více o tom viz Kapitola 5, Odstraňování problémů se zaváděním). Obsah spouštěcího záznamu oddílu také závisí na typu souborového systému vytvořeného na tomto oddílu. Při výběru nástrojů pro obnovu oddílů MBR a BR je třeba vzít v úvahu tyto faktory. Proto jsou postupy obnovy pro MBR a BR popsány níže samostatně pro Windows 98 a Windows XP.
MBR Recovery pro Windows 98
Před pokusem o obnovení MBR byste se měli ujistit, že je tento postup nezbytný. Pro kontrolu stavu MBR je vhodné použít nástroj Norton DiskEdit.

POZNÁMKA
Navzdory tomu, že se objevuje stále více softwarových nástrojů pro „léčení“ souborových systémů, mnoho zkušených uživatelů dává přednost použití Norton DiskEdit k opravě závažných chyb. To je vysvětleno skutečností, že DiskEdit poskytuje pohodlné prostředky pro prohlížení všech prvků struktury systému souborů a navíc je schopen zabránit nesprávným změnám těchto prvků během procesu obnovy. Z tohoto důvodu použijeme "snímky" struktury souborového systému získané pomocí DiskEdit jako ilustrace pro prezentovaný materiál. To vám zároveň pomůže prozkoumat možnosti DiskEdit.

Chcete-li získat přístup ke všem funkcím DiskEdit, musíte program spustit v režimu DOS. Nejprve si tedy musíte připravit spouštěcí disketu.

RADA ____________________
Pokud je vaše verze DiskEdit na CD, měli byste mít "standardní" zaváděcí disketu, která podporuje CD mechaniku. Pokud zamýšlíte spouštět DiskEdit z diskety, můžete buď vytvořit "zkrácenou" verzi spouštěcí diskety a zapsat na ni soubor DiskEdit.exe (zabírá asi 700 KB), nebo si připravit samostatnou disketu pomocí DiskEdit.

Chcete-li pomocí nástroje DiskEdit vybrat pevný disk ke skenování, postupujte takto:
1. Spusťte počítač z diskety v režimu DOS a spusťte program DiskEdit; program vás upozorní, že pracuje v režimu pouze pro čtení (pouze pro čtení), aby byla data chráněna před náhodnou úpravou (jak režim změnit, viz níže).
2. Pokračujte kliknutím na tlačítko Pokračovat. Disk-Edit prohledá disky a určí strukturu systému souborů.
3. Po dokončení kontroly zobrazí DiskEdit seznam detekovaných zařízení (obr. 7.1). Ve výchozím nastavení zobrazuje DiskEdit seznam logických jednotek. Pokud je tabulka oddílů poškozena natolik, že není rozpoznán žádný z logických disků, zobrazí se seznam detekovaných fyzických disků.
4. V seznamu Type (Type) nastavte přepínač do polohy Fyzický disk (Physical disk).
5. V seznamu zařízení vyberte fyzický disk, který chcete prozkoumat.

Rýže. 7.1 Seznam zařízení detekovaných programem DiskEdit
Fyzicky MBR zabírá úplně první sektor pevného disku (válec 0, hlava 0, sektor 1).

POZNÁMKA
V následujícím textu budeme pro stručnost používat následující označení: C je číslo válce, H je číslo hlavy a S je číslo sektoru.

Chcete-li přejít do požadovaného sektoru, postupujte takto.
1. Z nabídky Objekt vyberte Fyzický sektor.
2. V doplňkovém okně (obr. 7.2) zadejte číslo sektoru a klikněte na tlačítko OK.

Rýže. 7.2 Výběr fyzického sektoru
Ve výchozím nastavení zobrazuje DiskEdit obsah sektoru v hexadecimálním kódu (jako Hex režim) (obr. 7.3).

Rýže. 7.3. Reprezentace MBR v hexadecimálním kódu
V této reprezentaci každá dvojice hexadecimálních číslic odpovídá jednomu bytu.

POZORNOST
Pokud hodnota některého parametru zabírá více než jeden bajt, pak v hexadecimální reprezentaci parametru je jeho horní bajt vpravo a nízký bajt vlevo. Například podpis ukončení tabulky oddílů, AA55, je 55 AA v šestnáctkové soustavě.

První bajty sektoru musí být obsazeny bootstrap programem. Je velmi obtížné vizuálně odlišit „normální“ program od poškozeného (zvláště pokud jej vidíte poprvé). Přítomnost textových diagnostických zpráv v něm (např. Geom. Hard. Disk) může sloužit jako nepřímá známka správného stavu spouštěcího programu. Jsou vidět v pravém sloupci okna, který obsahuje znakové (textové) znázornění dat. Dalším nepřímým znakem je velikost programu. Měla by zabírat přibližně tři čtvrtiny sektoru (446 bajtů nebo 1 BE bajtů v šestnáctkové soustavě) a od tabulky oddílů by měla být oddělena prázdnými bajty.
Rozložení prostoru prvního sektoru pevného disku je uvedeno v tabulce. 7.1.
Konečně, přítomnost správné tabulky oddílů může znamenat, že první sektor (sektor 0) není obecně poškozen (nebo mírně poškozen). Jak hodnotit stav PT je diskutováno níže.

Pokud si myslíte, že bootstrap program potřebuje "léčit", můžete použít následující metody:
pokud existuje elektronická kopie MBR („převzatá“ například z podobného pevného disku), můžete jím nahradit poškozený MBR;
ukončete DiskEdit a na příkazovém řádku zadejte instrukci FDISK /MBR; tohle je
aktualizuje MBR, ale tabulka oddílů zůstane stejná;
pokud máte "referenční" verzi programu, nahranou např. na listu papíru a drobné zkreslení, můžete MBR upravit ručně.
Ve většině případů stačí k obnovení MBR provést jeho aktualizaci pomocí příkazu FDISK /MBR. Postup se skládá z následujících kroků.
1. Pomocí programu BIOS Setup se ujistěte, že první bootovací zařízení je specifikována jednotka FDD.
2. Spusťte počítač pomocí spouštěcí diskety.
3. Na příkazovém řádku zadejte FDISK /MBR.
4. Vyjměte disketu a restartujte systém.

POZORNOST
Buďte opatrní při používání FDISK /MBR, pokud je MBR poškozen virem. Faktem je, že tento příkaz přepíše kód zavaděče systému a nezmění tabulku oddílů. Pokud virus zašifruje tabulku oddílů nebo použije nestandardní metody infekce, může FDISK /MBR vést k úplné ztrátě informací na disku. Proto se před spuštěním FDISK /MBR ujistěte, že je tabulka oddílů správná. K tomu je potřeba zavést systém z neinfikované DOSové diskety a zkontrolovat správnost této tabulky (postup kontroly a obnovy PT je popsán v podsekci "Obnova tabulky oddílů").

Když používáte FDISK, uvědomte si to tento nástroj nemůže pracovat s disky většími než 64 GB.
Abyste mohli „ručně“ upravit MBR, musíte DiskEdit přepnout do režimu úprav. Chcete-li to provést, postupujte takto.
1. Z nabídky Nástroje v hlavním okně vyberte Konfigurace.
2. Na panelu nastavení, který se otevře, zrušte zaškrtnutí políčka vedle položky Pouze pro čtení a klikněte na tlačítko OK.

POZNÁMKA
Chcete-li změnit stav zaškrtávacích políček a přepínačů v DiskEdit, použijte klávesu<Пробел>.

Po dodatečném potvrzení změny režimu DiskEdit uloží nové nastavení a znovu naskenuje disk. Chcete-li se vrátit do prvního sektoru, proveďte znovu výše uvedenou sekvenci akcí.
MBR Recovery pro Windows XP
Příkaz FDISK /MBR DOS nemůže obnovit MBR, který byl vytvořen při instalaci systému Windows XP.
Chcete-li tento problém vyřešit, použijte příkaz fixmbr, který je dostupný z konzoly pro zotavení systému Windows XP. Příkaz má následující formát:
fixmbr [název jednotky], kde název jednotky je název jednotky, na kterou chcete zapsat nový MBR. Název disku může vypadat takto: \Device\HardDisk0.
Takto se nový MBR zapíše na určený disk: fixmbr \Device\HardDisk0.

POZNÁMKA
Pro získání názvu disku lze použít příkaz map, který je dostupný i v prostředí Recovery Console (obr. 7.4).

Rýže. 7.4. Reprezentace názvů jednotek pomocí příkazu map

POZORNOST
Pokud parametr název_zařízení není zadán, bude nový MBR zapsán na disk, ze kterého je načten hlavní OS.

Pokud je při provádění příkazu fixmbr nalezen nesprávný nebo nestandardní podpis tabulky oddílů, zobrazí se potvrzovací zpráva s dotazem, zda chcete pokračovat. Pokud je přístup k diskům prováděn bez poruch, měla by být žádost zodpovězena záporně.

POZORNOST
Zápis nového MBR na disk se systémovým diskovým oddílem může poškodit tabulky oddílů a způsobit tak nepřístupnost oddílů.

Kontrola a oprava tabulky oddílů
Chcete-li vyhodnotit stav tabulky oddílů (PT), postupujte takto:
1. Pomocí DiskEdit otevřete první sektor disku, jak bylo popsáno výše.
2. Z nabídky Zobrazit vyberte jako Tabulka oddílů.
Informace, které se objeví na obrazovce, do značné míry závisí na stavu PT. V obou případech se DiskEdit pokusí prezentovat data umístěná tam, kde by měl být PT, ve formě tabulky. Pokud je PT víceméně správný, měl by vypadat podobně jako na obr. 7.5.

Rýže. 7.5. Reprezentace tabulky oddílů v textová forma

Sloupce výstupu tabulky pomocí DiskEdit znamenají následující:
System (System) - typ souborového systému nebo oddílu; rozšířený (extra) oddíl se označuje jako EXTNDx; položka další tabulky oddílů odkazující na další logickou jednotku má označení EXTEND;
Boot (Download) - označení zaváděcího oddílu; pokud je oddíl spouštěcí, zobrazí se pro něj Ano, v opačném případě Ne;
Starting Location - adresa prvního sektoru oddílu, daná číslem hlavy, válce a sektoru;
Umístění konce - adresa posledního sektoru oddílu, daná číslem hlavy, válce a sektoru;
Relativní sektory (relativní sektor) - číslo prvního sektoru sekce v souladu s adresováním LBA (tj. s "end-to-end" číslováním podle hlav, válců a sektorů);
Počet sektorů (Počet sektorů) - velikost sekce, měřená v sektorech (odvolání, sektor má velikost 512 bajtů).

Chcete-li zobrazit řetězec odkazů na logické jednotky umístěné uvnitř rozšířeného oddílu:
1. Přesuňte kurzor na řádek odpovídající rozšířené části.
2. Z nabídky Link vyberte Partition.
3. Pokud se prvek odkazu objeví ve sloupci Systém (označený jako EXTEND), opakujte kroky 1 a 2, aby se přesunul na další logickou jednotku (obr. 7.6).

Rýže. 7.6. Zobrazení dalších tabulek oddílů v textové podobě

Pokud parametry PT zobrazené nástrojem DiskEdit indikují přítomnost chyb a znáte geometrii oddílů pevného disku, můžete položky PT upravit „ručně“ (tj. pomocí nástroje DiskEdit) přímo v tabulce.
Pokud je poškození PT tak velké, že informace uvedené v tabulce se vůbec nehodí k rozumné interpretaci, lze zkusit jinou metodu analýzy. Otevřete PT jako hexadecimální kód (k tomu vyberte příkaz View as Hex) a porovnejte data obsažená v PT s daty uvedenými v tabulce. 7.2.

Ze všech uvedených polí pouze bajt obsahující kód typu sekce může mít nějakou předdefinovanou hodnotu. Například pro primární oddíl FAT32 by tento kód měl být 0Ch, pro logický disk FAT32 v rozšířeném oddílu by měl být 0Bh a pro NTFS by měl být 07h.

RADA
Poměrně obsáhlý seznam nejběžnějších kódů získáte, pokud pro libovolný oddíl v programu ParagonPartitionManager (obr. 7.7) zvolíte příkaz Změnit ID oddílu.

Sektor tabulky logického disku je na rozdíl od sektoru hlavního spouštěcího záznamu prakticky prázdný. Všechny bajty v něm od začátku do bajtu s offsetem 1BDh včetně musí obsahovat nulovou hodnotu. Počínaje dalším bajtem (na offsetu 1BEh) je umístěna další tabulka oddílů (Extended PT), která se skládá ze dvou prvků. Na konci sektoru je vám již známý podpis - hodnota AA55h. Struktura prvků Extended PT je zcela podobná struktuře prvků hlavní tabulky oddílů.
V některých (zvláště těžkých) případech lze použít následující spíše extrémní metodu, která však často dává pozitivní výsledky.
1. Pomocí nástroje DiskEdit zkopírujte obsah MBR a tabulky oddílů z libovolného zdravého disku do spouštěcího sektoru obnovovaného disku. Poté, co vymažete (zapsáním nul) všechny záznamy PT kromě prvního, upravte je vložením záměrně zkreslených informací o konečném umístění oddílu (například 9999. válec) a celkovém počtu sektorů (například 99999999 ).
2. Poté spusťte nástroj DiskDoctor, který je stejně jako DiskEdit součástí sady Norton Utilities.
3. Spusťte kontrolu obnovovaného disku postupným kliknutím na tlačítka Diagnose Disk a Diagnose ve dvou oknech (obr. 7.8).

Rýže. 7.8. Úvodní obrazovky programu DiskDoctor

4. Na žádost o odstranění nalezených chyb v tabulce oddílů odpovězte se svým souhlasem kliknutím na tlačítko Ano (obr. 7.9).

Rýže. 7.9. Navzdory hrozivému varování DiskDoctor se vším souhlas

5. Po provedení oprav v tabulce oddílů, kterou jste uměle vytvořili, DiskDoctor nabídne vyhledání případných dalších oddílů DOS (tj. oddílů se souborovým systémem rodiny FAT). Vyjádřete k tomu svůj souhlas a pokud nejsou data na disku poškozena, bude další oddíl po vašem potvrzení nalezen a obnoven.
Po restartování počítače jsou data dalšího oddílu zpravidla dostupná bez dalších operací obnovy.

Obnova smazaných a "ztracených" oddílů

Oddíly a logické jednotky se mohou „ztratit“ v důsledku poškození tabulky oddílů (PT). Proto jsou postupy pro „opravu“ PT a obnovení „ztracených“ oddílů často články ve stejném řetězci: obnovením jednoho ze záznamů PT můžete najít další oddíl na disku a přidat jeho data k odpovídajícímu záznamu PT. , a tak dále.
Situace se poněkud zkomplikuje, pokud byly odstraněny samotné oddíly (například pomocí programů jako Paragon Partition Manager) nebo pokud byl zformátován celý pevný disk.
Zvláštním případem je ztráta diskových oddílů v důsledku převodu dynamických svazků na základní svazky.
Technologie pro obnovu smazaných a „ztracených“ diskových oddílů však nezávisí ani tak na příčině ztráty, ale na tom, zda smazaný diskový oddíl je (byl) systémový. Pokud ne, všechny operace obnovy diskových oddílů lze provádět přímo v prostředí operačního systému Windows. Navíc, pokud se jedná o Windows XP, lze jako hlavní nástroj použít nástroj Správa disků. Windows 98 bude vyžadovat program, který dokáže vytvořit oddíly a logické jednotky bez změny datové oblasti oddílu. Jedná se zejména o Norton Partition Magic a zmíněný Paragon Partition Manager (nikoli však utilitu FDISK, která při skenování dostupné místo na disku zapíše kód F6 do prvního sektoru na každé stopě, což vede ke ztrátě informací v těchto sektorech).
Navíc si budete muset pamatovat (a čím přesnější, tím lepší) velikost obnoveného oddílu.
Chcete-li tedy obnovit ztracený nesystémový oddíl bez ztráty dat na něm uložených, postupujte takto.
1. Znovu vytvořte oddíl přesně stejné velikosti na jeho místě bez formátování nového oddílu.
2. Do nulového sektoru oddílu umístěte kopii zaváděcího záznamu (BR) „bývalého“ oddílu (jak jej najít a co je BR, je popsáno v další podkapitole).
Kromě toho programy Drive Rescue a EasyRecovery, o kterých pojednává kapitola 6, mají velmi výkonné nástroje pro hledání a obnovu „chybějících“ oddílů.

Obnova dat v souborovém systému FAT32

Postup kontroly stavu souborového systému obecně závisí na povaze poškození. Například není třeba řešit MBR, pokud je poškozen kořenový adresář logického disku nebo FAT tabulka. Pokud však nemůžete určit příčinu nefunkčnosti systému nebo celková povaha situace vyvolává dojem, že „všechno je ztraceno“, je lepší začít s diagnostikou „zcela shora“.
Budeme předpokládat, že s pomocí materiálu z předchozí části byly všechny problémy s MBR úspěšně překonány. V tomto případě by měl být postup kontroly stavu oddílů uvedených v tabulce oddílů následující.
1. Kontrola spouštěcího záznamu (Boot Record) oddílu (logického disku).
2. Kontrola stavu kořenového adresáře.
3. Prozkoumání alokační tabulky souborů (FAT).
4. Kontrola stavu podsložek a souborů.

Kontrola a obnovení spouštěcího záznamu

Zaváděcí záznam oddílu (stejně jako logického disku v rozšířeném oddílu) je umístěn v prvním sektoru tohoto oddílu (v rámci oddílu má tento sektor relativní číslo 0).
Jak již bylo zmíněno, obsah spouštěcího záznamu závisí na typu operačního systému, který se má z tohoto disku načíst (pokud se jedná o systémový), a na typu souborového systému, pod kterým je oddíl naformátován.
Nicméně v každém případě BR obsahuje dvě datové oblasti: spouštěcí program operačního systému a blok parametrů BIOS (BPB).
Pomocí programu DiskEdit můžete přejít do sektoru spouštěcího záznamu, který vás zajímá, dvěma způsoby.
První metoda je dostupná, pokud jsou všechny informace v PT správné. V tomto případě stačí vybrat požadovaný disk v tabulce a poté z nabídky Link zvolit příkaz Partition DiskEdit zobrazí obsah celého sektoru BR v textové podobě (obr. 7.10).

Druhá metoda zahrnuje použití informací získaných při prohlížení tabulky oddílů, nebo spíše - absolutní adresa prvního sektoru.
Udělej následující.
1. Pomocí textové reprezentace tabulky oddílů postupujte podle odkazů na požadovanou jednotku.
2. Chcete-li získat absolutní adresu prvního sektoru disku, přidejte relativní číslo prvního sektoru disku uvedeného ve sloupci Relative Sectors (v řádku odkazu EXTEND) s absolutním číslem prvního sektoru předchozího sektoru. disk; Například pro řetězec disků znázorněný na Obr. 7.6 bude adresa prvního sektoru logického disku s FAT32 rovna: 8 193 150 + 63 = = 8 193 213; pro další disk FAT32: 24 579 450 + 8 193 213 = 32 772 663.
3. Z nabídky Objekt vyberte Fyzický sektor.
4. V dalším okně zadejte číslo prvního sektoru disku a klikněte na tlačítko OK.

POZNÁMKA ____________________
Ve skutečnosti je číslo uvedené ve sloupci Relativní sektory velikostí (v sektorech) předchozího disku (oddílu) a pouze název tohoto sloupce tabulky nutí být nazýván relativním číslem prvního sektoru dalšího disku. .

DiskEdit zobrazí obsah celého sektoru BR v hexadecimálním kódu (obrázek 7.11).

Rýže. 7.11. Reprezentace prvního sektoru logického disku v hexadecimálním kódu

Chcete-li získat pouze textovou reprezentaci bloku BPB, postupujte takto.
1. Přidělte čtvrtý bajt od začátku sektoru (první tři bajty sektoru jsou obsazeny příkazem pro skok na začátek zaváděcího programu), jak je znázorněno na obr. 7.11.
2. Z nabídky Zobrazit vyberte jako Boot Record(32) (ve formě spouštěcího záznamu pro FAT32).
Rozdělení prostoru prvního sektoru logického disku je uvedeno v tabulce. 7.3.

POZNÁMKA
Pole BPB s posunem od začátku sektoru 44 bajtů nebo více se nevejdou na první obrazovku nástroje DiskEdit. Chcete-li je zobrazit, použijte posuvník.

Obnovení systému BR a/nebo spouštěcího oddílu pro Windows 98 lze provést v "ručním" nebo "automatickém" režimu.

POZNÁMKA ____________________
Obnovení spouštěcího záznamu systémového oddílu musí být provedeno zavedením systému pomocí spouštěcí diskety. U ostatních oddílů je splnění tohoto požadavku nepovinné, ale žádoucí.

Chcete-li problém „automaticky“ vyřešit, můžete použít jeden ze dvou příkazů:
SYS <букеа диска> – poskytuje zápis BR do spouštěcího sektoru oddílu a také kopírování do kořenového adresáře tří systémové soubory: Msdos.sys, Io.sys a Command.com;
FORMÁT <букеа диска> – zajišťuje vytvoření struktury souborů zadaného diskového oddílu s rekonstrukcí BR, čistých tabulek FAT a kořenového adresáře (Root Directory); datová oblast není ovlivněna.
Pokud není možné obnovit spouštěcí záznam pomocí příkazů SYS a FDISK, měli byste zkusit nahradit zaváděcí sektor buď jeho záložní kopií pořízenou ze sektoru 6 stejného oddílu, nebo (v extrémních případech) kopií spouštěcího záznam jiného oddílu se stejnou geometrií.
K provedení postupu výměny je vhodné použít nástroj Norton DiskEdit. Použijte jej k následujícímu:
1. Poté, co DiskEdit dokončí skenování a zobrazí seznam detekovaných zařízení, v seznamu Type (Type) nastavte přepínač do polohy Fyzický disk (Physical disk).
2. V seznamu zařízení vyberte fyzický disk, který chcete prozkoumat.
3. Z nabídky Zobrazit vyberte jako Tabulka oddílů.
4. Na řádku tabulky oddílů odpovídající obnovovanému oddílu vyhledejte a zapište číslo prvního sektoru oddílu (hodnotu ve sloupci Relativní sektory). Pokud máte zájem o logickou jednotku na dalším oddílu, přejděte k požadované položce v odpovídající tabulce dalších oddílů, jak je popsáno výše.
5. Přidejte 6 k pevnému číslu sektoru, abyste získali absolutní číslo sektoru se zálohou BR.
6. Z nabídky Objekt vyberte Fyzický sektor.
7. V doplňkovém okně (obr. 7.12) zadejte do pole Starting Sector (Počáteční sektor) vypočítané číslo záložního boot sektoru a do pole Number of Sectors (Počet sektorů) - hodnotu 1 a klikněte na tlačítko OK ^ u získáte hexadecimální znázornění záložních sektorů bootovacího sektoru.

Rýže. 7.12. Přechod na zálohu spouštěcího sektoru

8. Chcete-li ověřit integritu náhradního sektoru, přepněte do režimu zobrazení textu a poté se vraťte do hexadecimálního zobrazení.
9. Pomocí příkazu Konfigurace z nabídky Nástroje přepněte DiskEdit do režimu úprav.
10. Z nabídky Úpravy vyberte příkaz Označit a poté pomocí kurzorových kláves vyberte obsah celého sektoru (pokud byl sektor otevřen správně, DiskEdit vás nepustí za něj).

Rýže. 7.13. Výběr typu objektu, který se má nahradit
11. V nabídce Nástroje vyberte příkaz Zapsat objekt do ... (Zapsat objekt do ...) a v doplňkovém okně (obr. 7.13) přesuňte přepínač do polohy Do sektorů ... (Do sektorů . ...). Všimněte si, že pokud zde vyberete možnost Do fyzických sektorů. (Do fyzických sektorů.), pak v dalším okně budete muset zadat adresu obnovitelného spouštěcího sektoru v adresování CHS.
12. V dalším okně (obr. 7.14) zadejte relativní adresu boot sektoru, který má být obnoven (je to 0) do pole Starting Sector (je to 0) a jako odpověď na výzvu DiskEdit potvrďte své záměry. . Zaváděcí sektor bude nahrazen jeho kopií.

Rýže. 7.14. Poslední krok při výměně boot sektoru

Abyste se ujistili, že postup byl úspěšný, otevřete obnovený spouštěcí sektor v textovém režimu a zkontrolujte hodnoty polí podle tabulky. 7.3.

Prozkoumání kořenového adresáře

Po spouštěcím záznamu následují dvě kopie alokační tabulky souborů FAT a kořenového adresáře. Má smysl pokračovat ve výzkumu FAT pouze v případě, že příslušný oddíl (nebo logický disk) systém správně rozpozná, to znamená, že tabulka oddílů pro něj obsahuje správné informace a zaváděcí záznam disku je správný.
Pro studium vnitřní struktury diskového oddílu je proto vhodné použít jiný režim DiskEdit - práci s logickými zařízeními (Logický disk).
Chcete-li přepnout do nového režimu, vyberte položku Drive z nabídky Object. Po dokončení skenování DiskEdit nastavte přepínač režimu na Logické disky a poté v seznamu logických disků vyberte ten, se kterým budete pracovat (obr. 7.15).

Rýže. 7.15. Seznam logických jednotek
Poté DiskEdit zahájí skenování disku, aby zjistil strukturu systému souborů a vytvořil kompletní strom složek a souborů. Pro získání informací o FAT a kořenovém adresáři není nutné čekat na úplné dokončení skenování, můžete jej přerušit pár sekund po spuštění stisknutím klávesy Esc. Poté, co od vás obdrží potvrzení o zastavení skenování, DiskEdit zobrazí obsah kořenového adresáře v textové podobě (obr. 7.16).

Rýže. 7.16. Kořenový adresář

Pokud z nějakého důvodu DiskEdit nemohl najít kořenový adresář sám o sobě, zkuste do něj přejít na relativní adresu jeho prvního sektoru. Číslo tohoto sektoru lze určit z hodnoty pole První shluk kořene bloku BPB. Při hledání kořenového adresáře je navíc třeba vzít v úvahu následující.
Kořenový adresář (jako každý jiný adresář ve FAT32) obsahuje 32bajtové prvky – deskriptory, které popisují soubory a podadresáře.
První deskriptor kořenového adresáře obsahuje informace o logické jednotce (přesněji o samotném kořenovém adresáři), včetně: jmenovky svazku, data a času vytvoření, atributů adresáře jako prvku systému souborů. Zbývající deskriptory uložené v kořenovém adresáři obsahují více informací o jejich přidružených datových položkách. Všechny se nevejdou na jednu obrazovku DiskEdit. Pro procházení mezi nimi použijte příkaz Více (Více), který se nachází v řádku nabídek okna.
Omezíme se na popis pouze nejdůležitějších polí deskriptoru, která jsou uvedena na první obrazovce:
Název – název datového prvku (souboru nebo složky); pokud je datový prvek označen jako smazaný, pak se jako první znak názvu použije byte E5 (in textový formát DiskEdit jej nahradí písmenem x);
Ext – přípona souboru (u složek je toto pole prázdné);
ID – typ datového prvku; možné hodnoty:
Vol - objem;
Dir - adresář;
LFN je zkratka pro Long File Name, dlouhý název souboru (pro LFN viz kapitola 3, část „Výběr názvů složek a souborů“);
Soubor - soubor;
Erased - odstraněno (určeno pouze pro soubory);
Del LFN – vzdálené dlouhé jméno (příznak se nastavuje po přejmenování souboru nebo složky);
Size - velikost (v bajtech);
Datum - datum vytvoření nebo úpravy;
Čas - čas vytvoření nebo úpravy;
Cluster – číslo prvního clusteru;
A, R, S, H, D, V – atributy datových prvků (archiv, jen pro čtení, systémový, skrytý, adresář, svazek); hodnoty všech atributů jsou uloženy v jednom bajtu deskriptoru.
Chcete-li zobrazit obsah podadresáře, přesuňte kurzor na příslušný řádek a stiskněte klávesu Enter.
Pokud se vám informace o kořenovém (nebo pod) adresáři prezentované aplikací DiskEdit zdají „podezřelé“, můžete se pokusit interpretovat data v něm zapsaná sami přepnutím do zobrazení hexadecimálního kódu. Chcete-li to provést, vyberte jako Hex z nabídky Zobrazit. Formát deskriptoru adresáře je uveden v tabulce 1. 7.4.
Analýzou přijatých informací můžete odhalit podezřelé změny v polích velikosti souboru, data a času. V případě potřeby je lze opravit „ručně“.

Navíc u každého souboru sloupec Cluster zobrazuje číslo prvního clusteru, který je mu přiřazen. Měli byste procházet celý adresář až do konce: musíte zkontrolovat, zda v adresáři nejsou žádná nadbytečná data. Může je tam zapsat virus.
Pokud přepnete do režimu nezpracovaného zobrazení, můžete ověřit, že volné položky adresáře obsahují hodnoty null. Pokud jsou po volných prvcích nějaká data, je velmi vysoká pravděpodobnost, že je tam zapisuje virus nebo systém ochrany programu proti neoprávněnému kopírování (pokud zkoumaný adresář takové programy obsahuje).
V případě, že je adresář zcela nebo částečně poškozen, dojde ke ztrátě odkazů na soubory v něm popsané. Pokud nějakým způsobem najdete sektory obsahující soubor, který potřebujete, se zničeným deskriptorem, pak pomocí níže popsané metody můžete deskriptor obnovit a získat přístup k souboru.
Postup je založen na použití vyhledávacích funkcí DiskEdit. různé prvky souborový systém FAT.
Chcete-li například najít osiřelé adresáře (ty, na které se neodkazuje z jiných adresářů, včetně kořenového adresáře), musíte provést následující.
1. Z nabídky Nástroje vyberte Najít objekt a ze sekundární nabídky Podadresář.
2. Program DiskEdit prohledá sektory disku a hledá sektor, který začíná sekvencí bajtů 2E 20 20 20 20 20 20 20 20 20 20. Tato sekvence odpovídá deskriptoru obsahujícímu odkaz na adresář.
3. Stisknutím kombinace kláves Ctrl + G můžete pokračovat v hledání požadovaného adresáře, dokud nenajdete ten, který obsahuje soubory, které vás zajímají.
4. Jakmile je nalezen požadovaný adresář, je nutné zapsat fyzickou adresu diskového sektoru obsahujícího adresář a poté najít nebo vypočítat číslo clusteru odpovídající adresáři.
Chcete-li vyhledat číslo clusteru, ve kterém se nachází nalezený adresář, přepněte na textové zobrazení adresář výběrem jako Adresář z nabídky Zobrazit. Poté vyberte příkaz Cluster chain (fat) z nabídky Link. Obsah tabulky FAT se objeví na obrazovce v režimu zobrazení textu, zatímco číslo požadovaného clusteru bude zvýrazněno.
Znáte-li číslo klastru ztraceného adresáře, můžete vytvořit nový popisovač adresáře, například v kořenovém adresáři disku, a vytvořit odkaz na nalezený adresář v tomto popisovači. Poté bude ztracený adresář opět dostupný.

studie FAT

Mezi spouštěcím sektorem a alokační tabulkou souborů FAT mohou být vyhrazené sektory, které slouží systému souborů nebo se nepoužívají.
Počet sektorů vyhrazených na logickém disku lze zjistit v bloku nastavení BIOSu (BPB nebo Extended BPB, v závislosti na verzi operačního systému). Hodnota, která se má vyhledat, je v poli Reserved sectors at begin tohoto bloku (offset 3 bajty).
Pokud je vyhrazen pouze jeden sektor, pak se první kopie alokační tabulky souborů FAT nachází bezprostředně za spouštěcím sektorem. V tomto případě je vyhrazen spouštěcí sektor.
Když je rezervováno několik sektorů, může být mezi spouštěcím sektorem a první kopií tabulky FAT několik dalších sektorů obsahujících nulové hodnoty. Pokud je počítač napaden virem, mohou tyto sektory obsahovat tělo viru nebo kopii původního zaváděcího záznamu nahrazeného virem.
Informace poskytnuté v kořenovém adresáři se musí shodovat s informacemi o alokaci clusteru datové oblasti uloženými v obou kopiích FAT.
Chcete-li porovnat hodnoty polí Cluster a Size deskriptoru nějaké položky s informacemi ve FAT, postupujte takto.
1. Otevřete v textovém režimu kořenový adresář logické jednotky, o kterou máte zájem, a přesuňte kurzor na příslušný řádek.
2. Z nabídky Link vyberte příkaz Cluster chain.
DiskEdit otevře první kopii FAT a zvýrazní v ní číslo prvního clusteru objektu černým obdélníkem, stejně jako všechny ostatní clustery přiřazené k objektu červeně (obr. 7.17).
Vizuálně by alokační tabulka souborů měla obsahovat převážně monotónně se měnící sekvence čísel clusterů, nulové hodnoty odpovídající volným clusterům a hodnotu 0xFFFF (0xFFF pro FAT12 nebo 0xFFFFFFFF pro FAT32), což je známka konce řetězce clusteru. .
V důsledku softwarové chyby nebo viru může být tabulka FAT buď zcela zničena, nebo změněna (například zašifrována nebo zapsána s nulami). Pokud je řetězec clusteru pro soubor, který potřebujete, částečně nebo úplně zničen, obnovení takového souboru může být skličující úkol. V takovém případě můžete zkusit použít nástroje pro obnovu dat, o kterých se mluví ve čtvrté kapitole knihy.

Rýže. 7.17. Procházení FAT

Pokud nepomohou, vraťte se k práci s DiskEdit. Chcete-li najít tabulku FAT nikoli podle adresy, ale podle jejího obsahu, proveďte následující.
Vyberte příkaz Najít objekt z nabídky Nástroje a poté řádek FAT. DiskEdit vyhledá první kopii tabulky FAT a zobrazí její výpis, přičemž zvýrazní první tři bajty v ní.
Pokud nyní přesunete textový kurzor dolů nebo stisknete klávesu PgDn a poté znovu vyberete příkaz Najít objekt FAT z nabídky Nástroje, bude nalezena druhá kopie tabulky FAT.
Pokud je některá z kopií tabulky FAT správná, pak pro rychlý přechod na jednu z nich můžete použít příkazy 1. FAT a 2. FAT dostupné v nabídce Objekt.

Obnova dat v souborovém systému NTFS

Jak již víte z kapitoly 3, souborový systém NTFS obsahuje celá řada mechanismy určené ke zlepšení spolehlivosti ukládání dat. To zase vede k výrazné komplikaci struktury NTFS ve srovnání s FAT32. Ani detailní studium struktury záznamů uložených v MFT (master file table) nezaručuje možnost obnovy dat „ručně“.
Situaci zhoršuje skutečnost, že dnes prakticky neexistují žádné nástroje, které by poskytovaly pohodlné prostředky pro prohlížení a úpravy MFT.
Z tohoto důvodu omezíme rozsah naší úvahy na následující situace:
obnovení položky tabulky oddílů obsahující informace o oddílu NTFS;
obnovení spouštěcího sektoru logického disku s NTFS;
obnovení servisních informací v MFT.
Tyto úkoly lze vyřešit pomocí sdílení nástroje, které již znáte: Norton DiskEdit a Paragon Partition Manager a také nástroj Partition Table Editor, který je součástí balíčku Norton PartitionMagic.

Obnovení prvku tabulky oddílů

To se týká situace, kdy je v provozu systém Windows XP nerozpozná logickou jednotku s NTFS při spouštění kvůli poškozené položce tabulky oddílů, která ji popisuje (jednotku). Abyste získali lepší představu o situaci, která nastala, je vhodné spustit nástroj Norton Partition Table Editor.

POZNÁMKA
Nástroj Norton Partition Table Editor (dále pro stručnost označovaný jako PTEdit) se skládá z jediného spustitelného souboru PTEDIT.exe. Jeho zvláštnost spočívá v tom, že při startu zajišťuje přepnutí systému do single-tasking módu (načtením vlastního DOSu). Pro práci s oddíly NTFS je však lepší jej spouštět buď z prostředí Windows 98, nebo z "opravdového" prostředí MS DOS, například z diskety. Velikost souboru PTEDIT.exe je asi 500 KB.

Po spuštění PTEdit se na obrazovce objeví dialogové okno, s jehož pomocí můžete prohlížet a upravovat hlavní parametry libovolného prvku tabulky oddílů vybraného fyzický disk(obr. 7.18).
Výběr fyzického disku se provádí pomocí rozevíracího seznamu Pevný disk ( HDD).
Řádky v tabulce níže odpovídají čtyřem položkám v hlavní tabulce oddílů. Sloupce zobrazují následující informace:
Type (Type) - typ souborového systému nebo diskového oddílu; zobrazen jako hexadecimální kód;
Boot (Download) - označení zaváděcího oddílu; pro botu aktivní oddíl, jak víte, by mělo být nastaveno na 80;
Počáteční - adresa prvního sektoru oddílu, daná
počet válce (Cyl), hlavy (Head) a sektoru (Sector);
Koncovka - adresa posledního sektoru oddílu, dána také číslem válce, hlavy a sektoru;
Sektory před (předřazené sektory) - počet sektorů pevného disku předcházejících prvnímu sektoru oddílu v souladu s adresováním LBA (tj. s "end-to-end" číslováním podle hlav a cylindrů);
Sektory – velikost oddílu, měřená v sektorech.

Rýže. 7.18. Úvodní okno nástroje Editor tabulky oddílů

Chcete-li zobrazit řetězec dalších tabulek rozšířeného rozšířeného oddílu (EPBR), postupujte takto:
1. Přesuňte kurzor na řádek odpovídající rozšířené sekci (její kód je 0Fh).
2. Klikněte na tlačítko Přejít na EPBR pod tabulkou.
Pokud víte, že obnovovaný oddíl NTFS je na stejném místě, ale odpovídající řádek označuje nesprávný typ oddílu, můžete zkusit vynutit správnou hodnotu. K tomu klikněte na tlačítko Set Type a v okně, které se otevře, vyberte požadovanou hodnotu (obr. 7.19). Pro oddíl NTFS je to 07h.
Pokud znáte správné hodnoty ostatních parametrů sekce a liší se od těch uvedených v tabulce, můžete je (po zapamatování nebo zapsání aktuálních hodnot na papír) zadat do polí tabulky. Chcete-li uložit změny na disk, klepněte na tlačítko Uložit změnu.

Rýže. 7.19 Můžete vynutit požadovaný typ oddílu

RADA
Pokud je obnovovaný diskový oddíl obecně rozpoznán jako prázdný, můžete na jeho místě zkusit vytvořit nový, stejného typu jako obnovovaný diskový oddíl a (vyžadováno!) přesně stejné velikosti. K provedení tohoto postupu můžete použít buď Paragon Partition Manager nebo Norton PartitionMagic (popsáno ve třetí kapitole).

Obnovení spouštěcího sektoru oddílu NTFS

Složení informací obsažených v zaváděcím sektoru oddílu NTFS je do značné míry podobné složení informací v zaváděcím sektoru oddílu FAT32: jeho první tři bajty obsahují příkaz pro přepnutí do spouštěcího programu OS, poté přichází systém souborů kód, za nímž následují pole bloku parametrů BIOS (BPB). Chcete-li vyhodnotit správnost obsahu spouštěcího sektoru oddílu NTFS, přesuňte kurzor na řádek odpovídajícího oddílu a klikněte na tlačítko Boot Record umístěné pod tabulkou (viz obrázek 7.18). V dalším okně se zobrazí obsah BPB v textovém formátu (obr. 7.20).
Ve srovnání s BPB oddílu FAT32 jsou zde přítomna následující specifická pole:
Celkový počet sektorů NTFS (celkový počet sektorů v NTFS) - celkový počet sektory v sekci;
MFT Start Cluster - číslo prvního clusteru MFT tabulky;
MFT Mirror Start Cluster - číslo prvního clusteru kopie MFT tabulky;
Clusters per FRS (Clusters in FRS) - velikost jedné položky v tabulce MFT (ve shlucích);
Clusters per Index Block – Velikost indexového bloku (ve shlucích).

Rýže. 7.20. Dialogové okno spouštěcího záznamu NTFS

Pokud je poškození menší, můžete upravit hodnoty polí přímo v okně spouštěcího záznamu NTFS. Po provedení změn klikněte na tlačítko Zapsat a přeneste je na disk.
Pokud je zaváděcí sektor výrazně poškozen nebo neznáte správné hodnoty polí, měli byste spouštěcí sektor nahradit jeho záložní kopií. U verze NTFS používané v systému Windows XP je kopie spouštěcího sektoru uložena v nejnovějším sektoru logické jednotky.
Operaci kopírování sektoru lze provést buď pomocí Norton Disk-Edit nebo pomocí Paragon Partition Manager (přesněji pomocí nástroje View Sectors, který je součástí). Je třeba poznamenat, že v tomto případě je druhá možnost ještě výhodnější, protože Partition Manager zná NTFS lépe než Norton DiskEdit.
Chcete-li tedy nahradit spouštěcí sektor NTFS jeho zálohou pomocí nástroje Sector Viewer, postupujte takto.
1. Po načtení Paragon Partition Manager klikněte pravým tlačítkem na obraz obnoveného oddílu a z kontextové nabídky vyberte Zobrazit sektory.
2. V okně utility View Sectors (Obr. 7.21) zadejte do editačního pole Absolute Sector|Zadejte výraz pro vyhodnocení: číslo posledního sektoru oddílu (zobrazuje se vpravo od rozevíracího seznamu ) a stiskněte klávesu Enter.
3. Klepněte na tlačítko Uložit umístěné v pravé části okna nástroje a v dalším okně zadejte adresu a název binárního (.bin) souboru, do kterého má být obsah sektoru zapsán.
4. Vraťte se do nulového (spouštěcího) sektoru oddílu zadáním 0 do absolutního sektoru|Zadejte výraz pro vyhodnocení:.
5. Klepněte na tlačítko Nastavení a v dalším okně zaškrtněte políčko Povolit nahrávání. Po zavření okna se zpřístupní tlačítko Obnovit.
6. Klepněte na tlačítko Obnovit a v okně, které se otevře, zadejte soubor .bin, ze kterého má být načten obsah sektoru.

Rýže. 7.21. Reprezentace spouštěcího sektoru v okně nástroje Sector View

Po dvou potvrzeních z vaší strany o správnosti výměny bude disk zapsán.
V případě poškození a záložní kopie boot sektor, existuje pouze jedna cesta ven: upravit obsah boot sektoru ručně. Pro tuto operaci je také vhodný nástroj Sector View, ale lze použít i Norton DiskEdit. Rozložení prostoru spouštěcího sektoru logického disku NTFS je uvedeno v tabulce. 7.5.

Pro úspěšnou obnovu v oddílu NTFS je nutné určit jeho geometrii, která je charakterizována sadou následujících parametrů:
velikost sektoru (v bajtech);
velikost clusteru (v sektorech);
čísla počátečního clusteru MFT tabulky a její kopie;
Velikost položky tabulky MFT (ve shlucích).
První z těchto parametrů je zcela podobný stejnojmennému parametru pro oddíl FAT32.
Pokud jde o velikost clusteru, podobně jako u FAT32 závisí na velikosti oddílu, ale může být změněna uživatelem při formátování oddílu (nebo pomocí příslušných funkcí nástrojů, jako je Norton PartitionMagic nebo Paragon Partition Manager, diskutované v kap. 3).

Obnova servisních informací v MFT

Jak již víte, tabulka MFT je metasoubor s názvem $MFT, ve kterém jsou uloženy záznamy s atributy jiných metasouborů a záznamy s atributy uživatelských souborů (více informací o logické struktuře MFT naleznete v kapitole 3).
U oddílů o velikosti několika gigabajtů a s velkým počtem datových souborů mohou velikosti MFT dosáhnout desítek megabajtů. V tomto případě se hranice MFT může dynamicky měnit v závislosti na množství dat zapsaných na disk a dostupnosti volného místa.
Kromě toho může mít každý soubor v NTFS svou vlastní sadu atributů (to bylo také podrobně diskutováno v kapitole 3); některé z nich nastavuje uživatel.
To vše výrazně komplikuje analýzu a obnovu MFT na úrovni jednotlivých záznamů.
Pokud je však MFT poškozen, můžete se pokusit obnovit záznamy metasouborů a poté svěřit obnovu souborů a složek jednomu ze softwarových nástrojů popsaných v kapitole 4.
Vyhledávání v tabulce MFT
Číslo prvního clusteru v tabulce MFT je obsaženo v poli Clusters to MFT spouštěcího sektoru. Pokud se vám jej podařilo obnovit, můžete pomocí nástroje View Sectors přejít do tohoto clusteru a zkontrolovat správnost záznamů souvisejících s metasoubory.
Chcete-li navigovat podle čísla clusteru, postupujte takto:
1. Otevřete první (spouštěcí) sektor disku.
2. V části Absolute Sector zadejte do pole Zadejte výraz k vyhodnocení vzorec pro výpočet čísla prvního sektoru MFT: X , kde je velikost shluku zapsaná v poli Sectors per Cluster (například: 40 000 x 8, obr. 7.22)
3. Stiskněte klávesu Enter.
Charakteristické znaky "použitelného" MFT:
každý záznam začíná slovem FILE0 umístěným v prvních pěti bytech sektoru;
pro většinu záznamů metasouboru je název metasouboru uložen v bajtech s posunem F2h, který vždy začíná znakem $;
první položka popisuje samotný metasoubor $MFT.

Pořadí umístění záznamů dalších metasouborů je uvedeno v tabulce. 7.6.

Další v souboru $MFT jsou položky s informacemi o všech ostatních souborech a adresářích.
V případě, že je pole Clusters to MFT spouštěcího sektoru poškozeno nebo navigace podle čísla clusteru vedla k "neznámému kde", můžete zkusit důvěřovat hledání MFT samotnému nástroji Sector View.
Chcete-li to provést, klikněte na tlačítko Přejít a v nabídce, která se otevře (obr. 7.23), vyberte příkaz NTFS4MFT. Upozorňujeme, že zde je také uvedeno číslo sektoru (vzhledem k začátku sekce), od kterého MFT začíná.

Rýže. 7.23.Vyhledání tabulky MFT pomocí utility View Sectors
Pokud ani tato technika selže, zbývá poslední možnost: vrátit se k práci s programem Norton DiskEdit a pokusit se najít tabulku MFT pomocí fulltextového vyhledávání tématu. Jako klíč hledání můžete použít název metasouboru $MFT. Mějte však na paměti, že názvy souborů NTFS jsou uvedeny ve dvoubajtovém kódování UNICODE, zatímco Norton DiskEdit pracuje s jednobajtovým kódem ASCII.
Pokud je hlavní tabulka MFT poškozena, měli byste zkontrolovat stav její kopie. Připomeňme, že NTFS neumožňuje vytvoření úplné kopie MFT. Zmenšená kopie, MFT Mirror, obsahuje pouze první čtyři položky z hlavní tabulky s odkazem na metasoubory $MFT, $MFTMirr, $LogFile a $Volume.
Připomeňme také, že kopie MFT ve verzi NTFS pro Windows XP je vždy umístěna uprostřed oddílu. Pokud tedy v zaváděcím záznamu chybí adresa jeho začátku, je snadné ji vypočítat na základě počtu sektorů oddílu.
Můžete se také pokusit přesunout do sektoru s kopií MFT pomocí nástroje Sector Browser pomocí příkazu NTFS MFT Mirror z nabídky Go (viz Obrázek 7.23).
Pokud kopie přežila, je nutné najít její poslední sektor a poté přenést obsah „zrcadla“ do odpovídajících sektorů přidělených pro hlavní MFT.
Pomocí nástroje Sector Viewer se tato operace provádí stejným způsobem jako při přenosu kopie spouštěcího sektoru.
Velikost a struktura položky MFT tabulky
S ohledem na výše uvedené je velmi důležité správné určení velikosti položky MFT tabulky. Jeho hodnota je uložena v poli Clusters per FRS spouštěcího sektoru.
Mnoho diskových nástrojů, včetně PTEdit, zobrazuje tuto hodnotu jako kladné dekadické celé číslo v rozsahu 0-255 (obvykle 246, viz obrázek 7-20). Ve skutečnosti by se s touto hodnotou mělo zacházet jako se znaménkovým hexadecimálním celým číslem, přičemž nejvýznamnější číslice je vyhrazena pro znaménko. Pokud je číslo kladné (tj. méně než 128 v desítkovém vyjádření), znamená to počet shluků obsazených jednou položkou v tabulce MFT. Je-li číslo záporné (větší než 127 desetinných míst), je třeba pro určení velikosti záznamu MFT použít následující vzorec:
FRS= 2(256 – Clusters_Per_FRS)
Kde FRS je počet bajtů obsazených záznamem MFT a Clusters_Per_FRS je hodnota pole Clustery na FRS.
Pokud je například pole Clustery na FRS 246 (tj. F6 hexadecimální), pak by výše uvedený vzorec měl exponent 2 z 10 a FRS by měl hodnotu 1024, což znamená, že velikost záznamu MFT je 1 kB. Podobně hodnota Clusters per FRS 245 (F5h) odpovídá velikosti záznamu MFT 2 11 = 2048 bajtů nebo 2 KB.
Záznam MFT obsahuje seznam oblastí proměnné délky, z nichž každá odpovídá jednomu z atributů souboru. Velikost tohoto seznamu a složení atributů v něm uložených se může u každého souboru lišit.
Pokud se všechny atributy souboru nebo adresáře nevejdou do základní položky, vytvoří se jedna nebo více dalších položek. V tomto případě základní položka obsahuje atribut, který uvádí všechny atributy daného souboru a adresáře, a také označení, které položky (základní nebo další) ukládají určité atributy.
Každý záznam MFT se skládá z hlavičky v pevném formátu, za kterou následuje seznam atributů s proměnnou délkou. Když začínáme zkoumat záznam MFT, musíme nejprve analyzovat jeho záhlaví. Formát záhlaví záznamu MFT je uveden v tabulce. 7.7.

Pár slov o tzv nastavovací pole. Před uložením záznamu MFT operační systém nahradí poslední dva bajty každého sektoru speciální hodnotou – vzorem úpravy, který musí být stejný pro všechny sektory stejného záznamu MFT, ale odlišný pro různé záznamy MFT. Původní obsah posledních bajtů sektorů záznamu MFT je uložen ve druhé a následujících buňkách (dva bajty) pole úprav. V tomto případě se hodnota šablony úprav zapíše do první buňky pole.
Postup pro "ruční" obnovu záznamů MFT po bajtech může vyžadovat pečlivou práci po dobu několika hodin (ne-li déle). K takovému kroku se můžete rozhodnout pouze v případě ztráty skutečně „životně důležitých“ dat. Alternativním způsobem je kontaktovat služby speciálních vymáhání. Jejich adresy lze nalézt na internetu. Samozřejmě ne každému lze důvěřovat se svými údaji. Mezi recovery služby, které mají dosti vysoké oprávnění, můžeme zařadit zejména službu společnosti Ontrack, tvůrce v knize popsaného balíčku pro obnovu dat EasyRecovery.