Obter lista de arquivos afetados por setores defeituosos

Esta pergunta foi feita há vários meses, espero que você tenha encontrado uma resposta adequada nesse meio tempo. Ainda assim, aqui está um que eu usei com grande sucesso recentemente em um 1TB HDD com falha que alguém me entregou na esperança de que eu pudesse" fazê-lo falar "e recuperar o máximo de dados possível sem pagar um braço e uma perna por isso! : ^ p Descobri que consegui recuperar uma porcentagem muito alta de seus arquivos pessoais, em uma unidade de disco rígido afetada pelo infame click-of-death: apenas cerca de 125 foram corrompidos por setores irrecuperáveis, que eu identifiquei com esse método e como a maioria desses arquivos foram duplicados uma vez ou mais, eu poderia restaurar ou reparar a maioria deles (usando o DoubleKiller Pro no modo somente tamanho para detectar as duplicatas - em alguns casos 2 ou 3 arquivos normalmente idênticos localizados em locais diferentes tinham partes corrompidas que eram diferentes e complementares para que eu pudesse regenerar o original usando o WinHex, que é um tipo de coisa avançada para um mero "amador"), então apenas cerca de 20 arquivos permanecem parcial ou totalmente corrompidos. (E eu pedi apenas 50 € para fazer isso! O_o Oh bem, foi instrutivo, pelo menos ...)

- Recupere a unidade de armazenamento original usando ddrescue, com um arquivo de log / arquivo de mapeamento.

ddrescue [options] [input drive or partition] [image file or volume] [logfile]

- Uma vez que a recuperação é considerada terminada, como é quase certamente uma partição NTFS, execute ddru_ntfsfindbad , incluído em ddrutility , usando o saída de imagem ou volume e o arquivo de log / mapfile como entrada. Essa ferramenta irá analisar o arquivo de log / mapfile (agora é chamado de "mapfile", usado para ser "logfile"), que indica quais áreas não foram recuperadas, e compará-lo com as informações encontradas na MFT . Ele prossegue muito rapidamente (levou 2 minutos para analisar uma partição de 919 GB) e produz uma lista dos arquivos afetados, com o tamanho exato do (s) erro (s). É claro que requer que a MFT tenha sido totalmente recuperada para funcionar corretamente (geralmente está localizada no início do volume, no meu caso os primeiros 165GB foram recuperados sem erros, então deu resultados confiáveis).

ddru_ntfsfindbad [-V] -i [partition offset] [ddrescue output] [ddrescue mapfile] 

Trecho da lista que obtive (editado com o TEDNotepad):

name=./Users/titi/Desktop/Documents/Films/Clones.avi    errors=0006 errorsize=163549184 FILE    inode=4942
name=./Users/titi/Desktop/Documents/Films/Cloud Chasers Les Traqueurs de Tempêtes.avi   errors=0005 errorsize=160069632 FILE    inode=91564
name=./Users/titi/Desktop/Documents/Films/Contagion.avi errors=0003 errorsize=173576192 FILE    inode=3410
name=./Users/titi/Desktop/Documents/Films/Fast and Furious 5.avi    errors=0003 errorsize=163557376 FILE    inode=5076
name=./Users/titi/Desktop/Documents/Films/Green Lantern.avi errors=0003 errorsize=163553280 FILE    inode=13740
name=./Users/titi/Desktop/Documents/Films/Numéro 4.avi  errors=0003 errorsize=163553280 FILE    inode=5252
name=./Users/titi/Desktop/Documents/mes chiens/MapsAppList.targetsize-48.png    errors=0001 errorsize=000551    FILE    inode=301935
name=./Users/titi/Desktop/Documents/mes escargots/Recette d'Escargots à la catalane_files/430(2)    errors=0001 errorsize=035793    FILE    inode=84109
name=./Users/titi/Desktop/Documents/mes escargots/Recette d'Escargots à la catalane_files/430(3)    errors=0002 errorsize=032768    FILE    inode=84118
name=./Users/titi/Desktop/Documents/mes escargots/Recette d'Escargots à la catalane_files/430(5)    errors=0001 errorsize=036864    FILE    inode=84745

Outra maneira possível de fazer isso, se o Clonezilla (ou qualquer outro software de imagens) fornecer uma lista completa dos LBAs dos setores defeituosos: use a ferramenta nfi.exe da Microsoft. É uma ferramenta de linha de comando muito pequena que pode analisar a MFT e fornecer uma lista dos setores ocupados por um determinado arquivo (se você digitar um nome de caminho de arquivo), ou encontrar o arquivo correspondente a um determinado setor.

Ainda outra possibilidade: alguns desfragmentadores exibem os arquivos associados aos blocos que você passa com o ponteiro do mouse. (É menos preciso, mas mais conveniente.)

Novamente, outra possibilidade: o R-Studio inclui um analisador hexadecimal (e um editor rudimentar). Para cada arquivo detectado e exibido em uma árvore de recuperação, você pode clicar com o botão direito do mouse para abrir o analisador hexadecimal e, em seguida, no canto “Interpretador de dados”, clicar na guia “Sectores” e obter uma lista dos arquivos ocupados. setores. Para obter apenas o número do primeiro setor, clique na guia "Propriedades" e leia a última linha.

Outro truque avançado com o R-Studio: na aba da árvore de recuperação para uma dada partição (pode ser um clone do original, também pode ser um arquivo de imagem), clique em “Arquivo” e depois “Mostrar arquivos no HexEditor”: Isso criará uma apresentação hexadecimal inteira do volume com todos os nomes de arquivos associados (pode levar algum tempo para um grande volume), que você pode usar para localizar quais arquivos estão associados a um determinado setor. Para fazer isso, retorne à guia geral “Visualização de dispositivos” (aquela que é exibida quando você abre o R-Studio, que lista os volumes disponíveis), clique com o botão direito do mouse no volume que você está tentando recuperar (o volume inteiro , não as partições individuais), e depois clique em “View / Edit” para exibir a apresentação hexadecimal; aqui você pode inserir um número de setor ou valor de deslocamento no campo em branco no meio da barra de ferramentas superior. Porém, há um pequeno bug ou inconveniente: na minha experiência (com o R-Studio 8.0), para exibir o conteúdo de um determinado arquivo você tem que digitar o número do setor lógico em relação à partição em que está localizada (o número exibido na última linha da guia "Propriedades" na exibição hexadecimal individual de um arquivo selecionado), mas para obter o nome do arquivo (ou às vezes arquivos, quando há links físicos, ou quando um arquivo foi identificado tanto dentro do sistema de arquivos e como um arquivo bruto que aparece em “Extra found files” associado a um determinado setor, você tem que inserir o absolute número do setor, em relação ao volume inteiro, então você tem que adicionar o deslocamento da partição em setores. Por exemplo, eu analisei um disco rígido de 3 TB, com uma única partição começando no offset 135266304 (129MB), então, para exibir o nome do arquivo (s) associado ao setor lógico 1000000 por exemplo, eu tive que adicionar 135266304/512 = 264192 e insira um valor de 1264192 (mas o conteúdo exibido não corresponde, o conteúdo real do arquivo seria exibido no setor 1000000, de fato).

O WinHex também pode analisar uma partição NTFS (possivelmente outros sistemas de arquivos também, nunca tentou, mas deve), ou uma imagem de um volume inteiro (desde que você o abra selecionando o tipo correto no menu "Abrir" - geralmente, “Todos os tipos de imagens” funciona bem e, para qualquer local, exibirá o nome do arquivo associado ou indicará se está registrado como espaço livre.

Não sei se é possível obter uma lista dos setores defeituosos depois de realocados. Nesse ponto, eles são apresentados pelo HDD ao sistema “transparentemente” (ou melhor, “obscuramente”, como deveríamos dizer) como se fossem os setores originais na ordem sequencial, e os setores originais se foram para sempre, pelo que eu poderia reunir. (Alguém poderia fazer uma música com essa merda e, infelizmente, em 2017 poderia se tornar um sucesso!)