-------
| Библиотека iknigi.net
|-------
| Алексей Константинович Гультяев
|
| Восстановление данных
-------
Алексей Гультяев
Восстановление данных
Введение
Чем более заметную роль играет компьютер в вашей повседневной жизни, тем ценнее становятся для вас хранящиеся в нем данные, и тем обиднее их потерять.
Вероятно, каждый владелец компьютера сталкивался с ситуацией, когда из компьютера бесследно исчезали только что созданные «непосильным трудом» документы или найденная на бескрайних просторах Интернета картинка. Возможно, читатель знаком и с такими случаями, когда компьютер вообще переставал загружаться, хотя только вчера вечером все было нормально. Все данные словно оказывались в сейфе с испорченным секретным замком. Отчего же такое происходит и можно ли с этим бороться?
Дело в том, что умный (с виду) компьютер пока еще не научился как следует сам себя защищать – себя и те данные, которые он хранит и обрабатывает. А защищаться есть от чего. Здесь и вредоносные программы, и горе-специалисты, способные превратить своими советами и неумелыми действиями ваш компьютер в бесполезный ящик, и внезапные отключения электричества, и, наконец, ваши собственные ошибки в работе.
Таким образом, первый шаг в деле восстановления данных – это их защита, то есть предотвращение потери имеющейся информации. Именно по названной причине первые две главы книги посвящены вопросам, связанным с повышением безопасности данных, с которыми вы работаете. Приведенный в них материал должен помочь выбрать наиболее подходящие для вас (точнее – для вашего компьютера) средства и методы защиты от разных неприятных неожиданностей. Причем совершенно не обязательно устанавливать на компьютер именно те программы, которые описаны в книге. Главное – осознать необходимость присутствия на компьютере «защитных» программных средств и приучаться регулярно и правильно их использовать.
Третья глава – «Настройка системных параметров» – посвящена прежде всего правильному (опять-таки с точки зрения безопасности) размещению данных на жестких дисках компьютера. Наличие этой главы обусловлено тем, что основным хранителем данных по-прежнему остается винчестер. Выход из строя или неправильное использование именно этого устройства способны сделать владельца компьютера глубоко несчастным человеком. Чтобы ваши действия были уверенными, а их результат – предсказуемым, здесь же рассмотрены основные особенности файловых систем FAT32 и NTFS.
Глава 4 полностью посвящена резервному копированию данных – наиболее простому и надежному способу обеспечения их сохранности. И, к тому же, наиболее универсальному: с его помощью можно одинаково успешно восстанавливать как системные компоненты, так и данные пользователя.
Главы 5 и 6 называются, соответственно, «Восстановление системной информации» и «Восстановление данных пользователя». Почему именно в таком порядке? Казалось бы, учиться лучше на менее «взрывоопасных» ситуациях. Однако в результате изучения материала пятой главы вы должны уяснить, что восстановление удаленных или испорченных системных данных – вполне реальная задача. Достаточно лишь соблюдать хладнокровие и аккуратность, а также придерживаться некоторых не очень сложных правил. Тем более что в вашем распоряжении предостаточно соответствующих инструментов. И наконец, последний аргумент: если ничто не помогает, систему можно переустановить. Повторная ее настройка займет значительно меньше времени, нежели повторное создание документов, мультимедийных файлов и других данных, о восстановлении которых рассказано в шестой главе. В этой же главе значительное внимание уделено восстановлению данных на сменных носителях – компакт-дисках, DVD, картах памяти.
Завершает книгу глава «Восстановление данных на жестких дисках». В ней рассмотрены ситуации, когда по тем или иным причинам автоматические средства восстановления оказываются бессильны, и человеку приходится действовать «голыми руками», погружая их по локоть в двоичные нули и единицы, разбросанные по жесткому диску. Еще лет десять назад такая глава занимала бы центральное место в книге под названием «Восстановление данных». Однако поскольку сейчас существуют эффективные средства автоматического восстановления и программы резервного копирования, изложенные в этой главе методы можно отнести, скорее, к разряду экстремальных. И предназначены они в первую очередь для любителей острых ощущений и тех, кто никак не может заставить себя применять «цивилизованные» методы защиты своих данных.
От издательства
Ваши замечания, предложения и вопросы отправляйте по адресу электронной почты comp@piter.com (издательство «Питер», компьютерная редакция).
Мы будем рады узнать ваше мнение!
Подробную информацию о наших книгах вы найдете на веб-сайте издательства http://www.piter.com.
Глава 1
Что имеем – не храним, или Почему теряются данные
Потерять можно все – любые данные, практически на любом носителе: на жестких дисках компьютера, на гибком диске, а также файлы на компакт-диске или на флэш-карте. Более того, пострадать может даже программа BIOS, хранящаяся в постоянном запоминающем устройстве материнской платы. Разумеется, последствия потери различных данных могут быть разными. Одно дело – лишиться текстового файла из пяти строчек, и совсем другое – когда портится системный реестр.
Не торопитесь восстанавливать
В каждом из таких случаев следует использовать адекватные средства и методы восстановления данных. Например, небольшой текстовый файл можно просто набрать заново, а для восстановления системного реестра может потребоваться полная переустановка операционной системы.
Поэтому, прежде чем приступать к процедуре восстановления, полезно ответить на следующие вопросы:
данные какого типа вы потеряли;
на каком носителе (запоминающем устройстве) размещались данные;
каким образом были созданы (получены) утраченные данные;
что явилось причиной утраты (или повреждения) данных.
Имея ответы на приведенные вопросы, вы можете сберечь не только собственное время, но и изрядное количество своих нервных клеток.
Например, удалив случайно рисунок, скачанный из Интернета, совсем не обязательно пытаться восстановить его с помощью специальных программ. Проще скачать его еще раз. Причем, скорее всего, подключаться к Интернету не потребуется, поскольку файл остался в кэше вашего веб-браузера.
А бывает и так, что тревога оказывается ложной. Например, открыв в поисках нужного файла некоторую папку и не обнаружив его там, вы можете решить, что файл был по какой-то причине удален. А он, родимый, жив-здоров и сидит себе на месте, но в другой папке. Это случается, когда в используемой вами программе установлены параметры сохранения файлов по умолчанию. Скажем, редактор MS Word очень часто пытается сохранить новый документ в папке Мои документы. Однако на компьютере может оказаться несколько папок с таким именем (рис. 1.1). И если вы работаете с одной из этих папок, а MS Word – с другой, то созданный документ можно «потерять».
//-- Рис. 1.1. Файл может «потеряться» в одноименных папках --//
Теперь вернемся к первому из поставленных ранее вопросов: данные какого рода могут быть потеряны?
В самом общем случае все «теряемые» данные можно разделить на три вида:
пользовательские файлы и папки;
прикладные программы, установленные пользователем на компьютере;
системные файлы (в том числе исполняемые, с расширениями. exe,bat,com) и папки.
Чем различаются перечисленные виды данных? Различий много. Однако, с точки зрения восстановления данных, основное из них состоит в следующем. Для восстановления системных файлов и папок предусмотрены специальные средства, входящие в состав операционной системы, в то время как о восстановлении своих файлов владелец компьютера должен заботиться сам. Например, регулярно создавая их резервные копии.
ПРИМЕЧАНИЕ ____________________
Несколько забегая вперед, следует сказать, что резервное копирование – это вообще универсальное «лекарство» практически от всех проблем, связанных с потерей данных. В силу важности вопросов, связанных с резервным копированием, они будут подробно рассмотрены в отдельной главе.
Чтобы восстановить работоспособность прикладной программы, бывает недостаточно заменить файлы их резервными копиями. Часто приходится дополнительно восстанавливать и/или редактировать системный реестр и другую системную информацию.
Что касается второй характеристики потерянных данных (типа носителя), то она оказывает большое влияние на выбор методов и для защиты данных, и для их восстановления. При этом именно учет типа носителя требует наличия дополнительных знаний, которые в повседневной работе на компьютере вовсе и не нужны. Например, чтобы восстановить данные на жестком диске, иногда требуется знать тип используемой файловой системы, способ адресации физического пространства диска, размещение и формат служебных зон и многое другое. Соответственно, при более глубоком анализе причин «исчезновения» того или иного файла может оказаться, что как раз с файлом ничего не случилось, а повреждена служебная информация файловой системы.
Если же речь идет о компакт-диске, то «реаниматор» должен, по крайней мере, знать, к какому типу относится CD с данными: «только для чтения» (CD-ROM), записываемый (CD-R) или перезаписываемый (CD-RW). Кроме того, вероятность успешного восстановления существенно возрастет, если вы имеете представление об особенностях логических форматов записи на компакт-диски и DVD.
ПРИМЕЧАНИЕ
Сделанная выше оговорка относительно того, что неплохо бы знать тип и формат записи поврежденного носителя CD/DVD, – это вовсе не шутка. Практика показывает, что далеко не все пользователи представляют себе, как именно хранятся данные на таких носителях.
Программное средство, с помощью которого был создан (записан) файл, также имеет немаловажное значение. Дело в том, что некоторые «особо умные» программы способны в критических ситуациях автоматически создавать резервную копию данных, с которыми работает пользователь, и затем восстанавливать их. Например, такую способность иногда проявляет MS Word; более стабильны в этом отношении веб-браузер Opera и HTML-редактор Macromedia HomeSite 5. Собственной «службой спасения» располагает также популярный архиватор WinRAR. Это и понятно: порча одного архивного файла может означать потерю нескольких папок с файлами, упакованных в архив (рис. 1.2).
СОВЕТ ____________________
Если программа предоставляет возможность восстановления данных, то ею следует воспользоваться.
Причины, по которым данные могут быть утрачены, заслуживают отдельного обсуждения. Им посвящен следующий раздел.
Виды угроз безопасности информации
Специалисты в области безопасности информации считают, что компьютерные данные подвержены трем типам опасностей, к которым относятся:
нарушение конфиденциальности – данные становятся известны тому, кто их знать не должен;
нарушение целостности – данные частично или полностью изменяются (модифицируются) вопреки желанию их владельца; например, нарушением целостности является изменение форматирования документа или изменение логических связей между элементами базы данных;
нарушение доступности – владелец компьютера лишается возможности работать с данными вследствие отказа сервисов, функций или служб, предназначенных для их обработки; например, если возникают проблемы с идентификацией на почтовом сервере, вы не сможете прочитать поступившие электронные письма, даже если они не повреждены.
В свою очередь, опасность каждого типа может быть связана как со случайными факторами, так и с преднамеренными действиями злоумышленников. Опасности первого рода называют случайными угрозами, а опасности второго рода – умышленными угрозами.
В государственных и коммерческих учреждениях и организациях наиболее тяжелые последствия связаны с успешно осуществленными умышленными угрозами. Объясняется это тем, что в таких случаях происходит целенаправленное воздействие на уязвимые точки системы защиты информации.
Для владельцев домашних компьютеров вероятность умышленных угроз мала: вряд ли кто-нибудь из них станет утверждать, что за его файлами охотятся агенты спецслужб или конкуренты из соседнего подъезда. Поэтому основные мероприятия по защите «домашних» данных должны быть направлены как раз на предотвращение случайных угроз и на преодоление их последствий.
Тем не менее истинность поговорки «предупрежден – значит вооружен» проверена жизнью, а потому для начала рассмотрим умышленные угрозы.
Умышленные угрозы
Итак, умышленных угроз следует опасаться лишь тому, кто считает, что у него есть враги (недоброжелатели), недобросовестные конкуренты или друзья, способные на соответствующие «шутки».
Теоретически, перечисленные выше лица могут использовать для реализации своих недобрых намерений самые разнообразные средства: перехват побочных электромагнитных излучений, визуальное наблюдение, ведение агентурной работы, перехват телефонных переговоров, применение радиозакладок и даже поджог (с целью уничтожения компьютерных данных вместе с самим компьютером). Однако для большинства владельцев ПК наиболее реальной угрозой представляется так называемый несанкционированный доступ к информации (сокращенно – НСД).
ПРИМЕЧАНИЕ ____________________
Вопреки достаточно распространенному мнению, НСД не является синонимом любого «неразрешенного» доступа к данным. В частности, «подсматривание» или «подслушивание» с помощью специальных технических устройств и даже перехват электромагнитного излучения – это не НСД. Согласно документам Государственной технической комиссии (основного государственного ведомства, занимающегося вопросами безопасности компьютерной информации), НСД предполагает неправомерный доступ к информации с помощью штатных средств вычислительной техники. То есть, например, удаление «чужого» файла штатными средствами Windows – это НСД, а похищение жесткого диска – это не НСД.
Несмотря на наличие регламентированного определения НСД, это достаточно широкое понятие. По той причине, что даже штатные средства компьютера предоставляют злоумышленникам массу способов для нарушения конфиденциальности, целостности и доступности данных. Например, злоумышленник может войти в систему под вашим паролем и скопировать текст дипломной работы или изменить авторство созданного вами документа.
С распространением сетевых технологий все большая опасность для персональных данных исходит извне, то есть со стороны других пользователей Сети. Самый, пожалуй, «популярный» на сегодня вариант злонамеренного воздействия на чужие данные – это внедрение в систему того или иного вредоносного программногообеспечения. А наиболее простой и распространенный способ внедрения – это почтовое отправление (электронное, разумеется).
Поскольку вредоносному программному обеспечению посвящен специальный раздел этой главы, сейчас мы обратимся к другим видам угроз, которые возможны при работе в Сети:
несанкционированный доступ к сетевым ресурсам; например, злоумышленник может воспользоваться принтером, подключенным к компьютеру, работающему в сети (он вряд ли захочет затем забрать распечатку, но объем выводимых данных может привести к исчерпанию картриджа или блокированию принтера);
раскрытие и модификация данных и программ, их копирование; например, злоумышленник может, получив доступ к жесткому диску компьютера, отыскать на нем сетевое имя и пароль пользователя, под которым тот подключается к Интернету;
раскрытие, модификация или подмена трафика вычислительной сети; характерный пример – «бомбардировка» почтового сервера фиктивными письмами, что способно привести к перегрузке сервера;
фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема; например, недобросовестный диспетчер может аннулировать заявку на проведение ремонтных работ или изменить время ее приема, чтобы «спихнуть» заявку на своего сменщика;
перехват и ознакомление с информацией, передаваемой по каналам связи; скажем, если вы решите заказать через Интернет железнодорожные билеты с доставкой на дом, то злоумышленники вполне могут узнать и адрес, и период времени, в течение которого хозяева будут в отъезде.
Очевидно, что приведенный перечень угроз не является исчерпывающим, однако он вполне достаточен для подтверждения того, что при отсутствии должной защиты ваши данные уязвимы.
Кстати, уязвимость– это еще одно важное понятие в теории (и в практике) защиты информации. Под уязвимостью понимают такое свойство системы, которое позволяет реализовать соответствующую угрозу. Например, система, не содержащая в своем составе средств антивирусного контроля, уязвима по отношению к вирусам; система, в которой вход пользователей осуществляется без использования паролей, уязвима с точки зрения несанкционированного доступа.
Случайные угрозы
«Все, что может случиться, – случается; что не может случиться, – случается тоже», – гласит известный закон Мэрфи.
На самом деле основная причина всех неприятных случайностей – это недостаточно бережное отношение владельца к компьютеру вообще и к компьютерным данным в частности. Иначе говоря, недостаточный уровень «компьютерной грамотности».
В частности, многие новички полагают, что нет никакой принципиальной разницы между компьютером и другой бытовой техникой, например холодильником, стиральной машиной или DVD-плеером. А разница есть.
Первое отличие состоит в том, что у владельца компьютера имеются практически неограниченные возможности по управлению его работой. Вы можете устанавливать, убирать или заменять внешние устройства и электронные компоненты, вплоть до «сердца» и «мозга» – процессора и оперативной памяти, устанавливать и удалять или изменять программное обеспечение, в том числе «душу» компьютера – операционную систему. Можно ли проделать то же самое с холодильником или телевизором?
Второе отличие, еще более важное, заключается в том, что с помощью компьютера вы можете творить – создавать то, чего до вас не создавал никто. В том числе и программы, поведение которых оказывается неподвластным их создателю. Вот, например, отрывок из письма читателя в один популярный компьютерный журнал: «Уважаемая редакция, недавно написал программу-перекодировщик текстовых файлов. По размеру программа совсем небольшая, однако после запуска и нескольких минут работы на экране появляется сообщение: „Недостаточно ресурсов для завершения операции". После этого система зависает…».
Вследствие указанных причин на каждом отдельно взятом компьютере может быть создана такая комбинация аппаратно-программных средств, которую не в состоянии предсказать ни один компьютерный гуру, включая производителей «железа», программного обеспечения и сотрудников служб технической поддержки. Зачастую оказывается очень сложно прогнозировать поведение конкретного компьютера в той или иной ситуации.
ПРИМЕЧАНИЕ
Именно поэтому, обращаясь за помощью к специалистам, постарайтесь как можно точнее описать конфигурацию аппаратно-программных средств компьютера и перечень тех действий, которые выполнялись непосредственно перед возникновением сбоя или отказа системы.
СОВЕТ ____________________
Для восстановления работоспособного состояния системымогут оказаться полезны сведения, занесенные работающей программой в файл протокола (или в журнал). Обычно такие файлыимеют расширение. log и содержат записи в обычном текстовом формате. Поэтому, если новая программа, устанавливаемая вами на компьютер, предлагает вести файл протокола, не отказывайтесь от этого предложения.
Иногда причиной неприятностей становится излишняя самоуверенность. Некоторые владельцы компьютеров без тени сомнений настраивают «под себя» критически важные параметры системы, отключают Корзину, не читают сообщения, выводимые системой на экран и, разумеется, не утруждают себя созданием резервных копий даже самых ценных данных.
Имеются, конечно, и другие причины неприятных сюрпризов, не зависящие от уровня подготовки и характера владельца ПК: внезапные отключения электричества или, что еще хуже, скачки напряжения; отказы и сбои оборудования, неожиданные проявления ошибок в, казалось бы, надежных программах; чисто «механические» казусы, когда, например, щелкают на кнопке Нет вместо кнопки Да.
ПРИМЕЧАНИЕ
Абсолютно «надежных» программ (то есть программ без ошибок) не бывает. Объясняется это тем, что разработчики при всем желании не могут проверить (протестировать) работоспособность создаваемой программы для всех возможных сочетаний входных данных, конфигураций взаимодействующих программ и действий пользователей. Поэтому рано или поздно программа «натыкается» на одну из таких непроверенных ситуаций, и (по упомянутому выше закону Мэрфи) именно в этой ситуации проявляется допущенная ошибка. Иногда ошибка оказывается фатальной и приводит к потере данных или к отказу всей системы. Ясно, что разработчики программы не имели злого умысла, но…
В роли «без вины виноватого» может оказаться и ваш друг, предложивший переписать интересующий вас файл с зараженного вирусом гибкого диска (сам предварительно не проверил, а вы не подстраховались…).
Итак, перечислим наиболее вероятные угрозы случайного характера:
ошибки обслуживающего персонала и пользователей;
потеря информации, обусловленная неправильным хранением данных;
случайное уничтожение или изменение данных;
сбои и отказы аппаратной части компьютера;
перебои электропитания;
некорректная работа программного обеспечения;
непреднамеренное заражение системы компьютерными вирусами или другими видами вредоносного программного обеспечения.
ВНИМАНИЕ
Хотя вредоносные программы и оказались в приведенном перечне на последнем месте, по своей «вредности» они опережают многие другие угрозы безопасности данных.
Разновидности вредоносного программного обеспечения
Как ни странно, до сих пор нет единой классификации известных видов вредоносных программ. Вот одна из причин тому: в последнее время все больше появляется универсальных «вредителей», объединяющих в себе наиболее гнусные качества.
«Вирусами» следует называть только такие вредоносные программы, которые способны к саморазмножению. Что понимается под этим свойством? Способность вируса создавать собственную копию и внедрять ее в тело заражаемого файла или в системную область (загрузочный сектор) диска.
Помимо вирусов существуют еще так называемые программные закладки – программы или отдельные модули программ, которые выполняют скрытые функции, способные нарушить конфиденциальность, доступность или целостность данных. Программные закладки, в свою очередь, разделяются на два вида: программы-шпионы (spyware) и логические бомбы. Программа-шпион выполняет свои функции в течение всего периода пребывания на компьютере пользователя. Логическая бомба срабатывает один раз (по внешнему сигналу или по своим «внутренним часам»).
Иногда к «шпионским» относят также программы, получившие обобщенное наименование AdWare. Приложения такого типа содержат дополнительный код, который обеспечивает вывод на экран дополнительных («всплывающих») окон, содержащих информацию рекламного характера. Кроме того, некоторые подобные программы отслеживают личную информацию пользователя (возраст, пол, посещаемые веб-сайты, адреса электронной почты) и передают ее своим «хозяевам».
Третий вид вредоносных программ – это почтовые черви (mail worms). Червь представляет собой разновидность вируса, который распространяется вместе с вложением к электронному письму и (за редким исключением) не наносит вреда локальным данным. Механизм распространения вируса-червя в сети основан на том, что он отыскивает на компьютере адреса электронной почты и рассылает себя по этим адресам. Наиболее «продвинутые» черви способны генерировать текст отправляемого письма и наименование темы (тело червя прикрепляется к письму в виде вложения).
Рассмотрим названные виды вредоносных программ подробнее.
Компьютерные вирусы
В общем случае жизненный цикл компьютерного вируса содержит следующие этапы:
внедрение (инфицирование);
инкубационный период, в течение которого вирус себя не проявляет (как правило, ожидает либо появления подходящего объекта для заражения, либо выполнения заданных автором вируса условий);
саморазмножение (может выполняться различными способами, о которых будет сказано ниже);
выполнение специальных функций, то есть собственно выполнение тех вредных действий, для которых вирус создавался;
проявление – заключается в демонстрации вирусом своего присутствия на компьютере (обычно в визуальной или в звуковой форме).
Перечисленные этапы не являются обязательными (за исключением этапов инфицирования и саморазмножения) и могут иметь иную последовательность. Например, вирус может сначала сообщить о своем присутствии и лишь после этого заняться заражением. Особую опасность представляет этап выполнения специальных функций, которые могут привести к катастрофическим последствиям.
Как уже было сказано выше, любая классификация вирусов достаточно условна. Тем не менее один из вариантов классификации мы все-таки приведем.
В соответствии с ним вирусы подразделяются на классы по следующим признакам:
среда обитания;
способ заражения;
деструктивная возможность;
особенности алгоритма вируса.
По среде обитания компьютерные вирусы можно разделить на загрузочные, дисковые, файловые, флэш-вирусы и сетевые.
Загрузочные вирусы внедряются в загрузочный сектор диска (boot-сектор) или в сектор, содержащий системный загрузчик винчестера.
Дисковые вирусы замечательны тем, что способны работать с физическими секторами жестких дисков. Такой вирус захватывает свободные (или даже занятые данными) секторы диска, устанавливает для них в файловой системе признак «плохих» (такие секторы в дальнейшем не распределяются под данные) или «специальных» (не подлежащих перезаписи) и «живет» в них до прихода доктора-антивируса.
К файловым относят вирусы, заражающие исполняемые файлы (файлы с расширениями. exe,com,bat). Особой разновидностью файловых вирусов являются так называемые макровирусы. Они «живут» в макросах – программах, написанных на языке VBA (Visual Basic Application), которые используются для расширения функциональных возможностей приложений из комплекта MS Office.
Еще один, наиболее «современный» тип файловых вирусов – это вредоносные сценарии (скрипты), написанные на одном из популярных скриптовых языков программирования (VBScript или JavaScript) и входящие в состав HTML-страниц. Для краткости будем именовать такие вирусы сценарными (или скриптовыми).
Флэш-вирусы обязаны своим названием микросхемам перезаписываемой энергонезависимой памяти (флэш-памяти). Как известно, в современных компьютерах такие микросхемы используются на материнских платах для хранения кода программы BIOS. Неудивительно, что компьютеры, «подцепившие» флэш-вирус, зачастую вообще оказываются неспособны загружаться.
Сетевые вирусы для распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Помимо перечисленных, существуют и «комбинированные» вирусы – например, файлово-загрузочные, способные заражать как файлы, так и загрузочные секторы дисков. Такие вирусы, как правило, работают по довольно сложным алгоритмам и часто применяют оригинальные методы проникновения в систему.
ПРИМЕЧАНИЕ
По состоянию на ноябрь 2005 года почтовые и сетевые черви составляли около 78 % от всех выявленных вирусов, файловые вирусы – около 20 %, загрузочные и другие вирусы в общей сложности составляют около 2 % (по данным Лаборатории Касперского).
По способу заражения вирусы подразделяются на резидентные и нерезидентные.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти (ОП) свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Обычно эта процедура предусматривает проверку, не присутствует ли уже в объекте копия вируса. Если объект «чист», то вирус копируется из памяти в заражаемый объект с модификацией его первой команды. Объектами заражения в этом случае могут быть исполняемые программы на жестком диске и на гибких дисках. Резидентные вирусы находятся в памяти и активны вплоть до выключения или перезагрузки компьютера. Резидентными можно считать макровирусы, поскольку они постоянно присутствуют в памяти компьютера в течение всего времени работы приложения, использующего «вредоносный» макрос. Соответственно, все документы, созданные или просто открытые в это время, будут заражены.
Нерезидентные (транзитные) вирусы не заражают ОП и активны ограниченное время. Транзитные вирусы не остаются в памяти после выполнения зараженной программы. Такой вирус перед передачей управления исходной программе ищет незараженный файл, пригодный для внедрения.
По деструктивным способностям вирусы можно разделить на:
безвредные;
неопасные;
опасные;
очень опасные.
Безвредные вирусы только уменьшают объем свободной памяти на диске в результате своего распространения.
Влияние неопасных вирусов ограничивается также уменьшением свободной памяти на диске и дополнительно сопровождается графическими, звуковыми и другими эффектами.
Опасные вирусы приводят к серьезным сбоям в работе компьютера.
В результате работы очень опасных вирусов уничтожаются программы, данные, удаляется необходимая для работы информация, записанная в системных областях памяти. Особо опасны вирусы, прикрепляемые к объектной библиотеке какого-либо компилятора. Такие вирусы автоматически внедряются в любую программу, работающую с инфицированной библиотекой. Известны также вирусы, способные разрушать BIOS компьютера, что приводит к невозможности его загрузки.
Вообще известные в настоящее время вирусы могут выполнять следующие разрушительные функции:
изменение данных в файлах;
изменение данных, передаваемых через параллельные и последовательные порты;
изменение назначенного диска (запись информации производится не на диск, указанный пользователем, а на диск, указанный вирусом);
переименование файлов;
форматирование отдельных частей жесткого диска (гибкого диска) или даже всего диска;
уничтожение, изменение или перемещение загрузочного сектора диска;
снижение производительности системы из-за постоянного выполнения паразитных программ;
отказ в выполнении определенной функции (например, блокировку клавиатуры, блокировку загрузки программы с защищенного от записи гибкого диска и т. д.).
Вирусы могут использовать следующие алгоритмы работы:
стелс-алгоритмы;
самошифрование и полиморфизм;
нестандартные приемы.
Применение стелс-алгоритмов (от англ. stealth – «невидимка») позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение-запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов – вирус «Frodo», первый загрузочный стелс-вирус – «Brain».
Самошифрование и полиморфизм (от англ. polymorphism – «многообразие») используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы – это вирусы, не имеющие сигнатур, то есть не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.
Программы-шпионы
Почему из программных закладок уделено внимание только программам-шпионам? Дело в том, что логические бомбы – вещь достаточно сложная и дорогостоящая, и потому на уровне «домашних» компьютеров практически не встречаются. Можно привести такой пример использования логических бомб. В свое время (в начале 90-х годов прошлого века) для вооруженных сил Ирака были закуплены во Франции зенитно-ракетные комплексы. Как потом стало известно, их программное обеспечение содержало логические бомбы. Когда США начали боевые действия против Ирака (операция «Буря в пустыне»), логические бомбы были активизированы по сигналам с военных спутников. В результате практически вся система противовоздушной обороны Ирака оказалась выведенной из строя.
Но вернемся к более «мирным» программам-шпионам. На такие программы обычно возлагаются следующие функции:
сбор сведений о программном обеспечении, установленном на компьютере (в том числе тип и версия используемой операционной системы);
перехват клавиатурного ввода (в частности, отслеживание вводимых паролей, сетевых имен и т. д.);
поиск на жестком диске (дисках) персональных данных;
выявление адресов посещаемых веб-сайтов, адресов электронной почты и т. п.;
создание снимков экрана или окон конкретных активных приложений (некоторые «шпионы» способны также записывать целые видеоклипы о работе владельца компьютера).
Большинство программ-шпионов умеет передавать собранные сведения своему «хозяину», то есть лицу (или организации), заславшему «шпиона».
Наиболее простой и распространенный на сегодняшний день способ передачи «шпионом» собранных сведений – это пересылка их посредством Интернета (например, по электронной почте).
Кому могут принести пользу собранные сведения? В первую очередь на ум приходят пресловутые спецслужбы, контролирующие личную жизнь граждан. Но это, скорее, исключение. Значительно большую заинтересованность в сборе сведений о конфигурации компьютера «рядового» пользователя проявляют производители программного обеспечения и аппаратных компонентов вычислительной техники. Конкретные цели сбора сведений могут быть разными: это и борьба с пиратским использованием программ, и исследование потребительского рынка, и конкурентная борьба, а также другие смежные направления.
ПРИМЕЧАНИЕ
Иногда программы-шпионыиспользуются не для нападения, а для защиты – когда владелец компьютера устанавливает такую программу сам, чтобыона следила за работой на компьютере других лиц. Частный случай подобного применения «шпионов» – контроль за действия подчиненных со стороны руководства.
Теперь о том, каким образом программы-шпионы попадают на компьютер. Может применяться тот же способ, что и при заражении вирусами, то есть «шпион» может «прятаться» внутри файла данных или исполняемого файла. Однако это не самый популярный вариант, поскольку размер «шпиона» обычно значительно больше размера вируса, и спрятать его внутри файла-контейнера непросто.
Значительно чаще «шпион» входит в дистрибутив какой-либо безобидной (или даже полезной) программы, приобретаемой или скачиваемой из Интернета. В процессе установки такой программы на компьютер параллельно производится также установка «шпиона». Нередко «шпион» прописывается на компьютере по всем правилам: с регистрацией в системном реестре, с созданием собственной папки, собственных типов файлов данных и т. д. Благодаря этому «шпион» зачастую продолжает «жить и работать» даже после удаления той основной программы, в которой он был спрятан.
Таким образом, программа, обеспечивающая установку «шпиона» на компьютер, играет роль своеобразного троянского коня, в недрах которого прячется неприятный сюрприз.
ПРИМЕЧАНИЕ
Изначально именно программы, содержащие недекларированные возможности, получили прозвище «троянские кони», или, в сокращенном варианте, «троянцы» (ато и вовсе «трояны»). Однако со временем входившая в них шпионская начинка стала использоваться самостоятельно (или кочевала из одной программы-контейнера в другую). В результате наименование «троянец» стало применяться не к контейнеру, а собственно к вредоносной программе. Сейчас можно встретить программы-вирусы, которые называют троянцами, хотя они используют отнюдь не «троянскую» технологию распространения (например, TROJ_EVIL, распространяющийся как файловый вирус). Имя вируса, данное ему автором, далеко не всегда соответствует типу вируса. Например, если вирус называется Worm, это еще не значит, что перед вами действительно вирус-червь. Возможно, его создателю просто понравилось это словечко.
На сегодняшний день известно несколько достаточно популярных программ, содержащих в своем составе шпионские модули, в том числе CuteFTP, Go!Zilla, ReGet.
Известен также и перечень наиболее популярных «шпионов», услугами которых пользуются создатели программного обеспечения. Суперагентами сегодня считаются программы-шпионы Radiate, Cydoor и Web3000. Все они попадают на компьютер с довольно известными продуктами. Так, например, Radiate используют разработчики программ Gif Animator, Go!Zilla, GetRight и ReGet. Cydoor вы получаете в нагрузку к Audio CD MP3 Studio 2000, PC-to-Phone и ReGet. А Web3000 попадает на ваш компьютер вместе с NetCaptor, NetSonic и NetMonitor.
Антишпионские программы содержат в своих базах данных сведения о 200300 программах, относящихся к классу spyware.
Сегодня в связи с развитием сетевых технологий все большее распространение получает специфический вид программ-шпионов – так называемый бэкдор (транслитерация от англ. backdoor – «черный ход»).
Бэкдор – это программа, позволяющая удаленно управлять компьютером. Она может, например, изменить параметры рабочего стола, скорректировать права доступа пользователей компьютера, инсталлировать или, наоборот, удалить установленное программное обеспечение и т. п. Изначально подобная технология была разработана с целью облегчения жизни системных администраторов, но.
Каким образом бэкдор может попасть на компьютер пользователя? Так же, как и любая другая вредоносная программа.
При первом запуске бэкдор скрытно устанавливает себя в операционную систему и затем следит за действиями пользователя, не выдавая никаких сообщений. Более того, запущенный бэкдор может отсутствовать в перечне активных приложений. В результате владелец компьютера не знает о присутствии в системе программы удаленного администрирования, в то время как его компьютером может удаленно управлять злоумышленник.
В качестве примера относительно «свежего» бэкдора (появился в августе 2005 года) можно назвать Backdoor.Win32.Haxdoor.dw. После запуска он создает в системном каталоге Windows несколько файлов (avpx32.dll, avpx32.sys, avpx64.sys, p3.ini, qy.sys, qz.dll и qz.sys), а также изменяет системный реестр таким образом, чтобы обеспечить свой автоматически запуск при каждой последующей загрузке Windows. Будучи запущенным на выполнение, бэкдор открывает несколько портов зараженного компьютера и ожидает подключения машин-клиентов «хозяев» вредителя), которые затем могут отдавать ему команды на похищение паролей, системной информации, различных файлов и выполнение других несанкционированных действий. В частности, по команде «хозяина» бэкдор может просматривать список активных процессов, завершать некоторые из них и отсылать злоумышленнику найденную информацию.
Небольшое отступление, косвенно связанное со сказанным выше. Многие известные программы имеют в своем составе недекларированные возможности, часто называемые пасхальными яйцами. Чтобы активизировать такую скрытую функцию, следует знать специальный «ключик». Вот лишь один пример.
В «недрах» редактора электронных таблиц MS Excel 2000 спрятана трехмерная игра с условным названием «Автогонки» (кадр из нее приведен на рис. 1.3).
//-- Рис. 1.3. «Шпионская» игра --//
Для запуска игры требуется выполнить следующие манипуляции.
1. Откройте MS Excel 2000, и в меню Файл выберите команду Создать ► Новая книга.
2. С помощью команды Файл ► Сохранить как Веб-страницу откройте диалоговую панель сохранения файла, поставьте в ней переключатель выделенное: Лист и флажок Добавить интерактивность; укажите маршрут сохраняемого файла.
3. Откройте созданный файл в браузере MS Internet Explorer (версия не ниже 5.0).
4. Во внедренном в HTML-страницу листе Excel найдите и выделите строку под номером 2000.
5. С помощью клавиши Tab сделайте активной ячейку этой строки в столбце WC (именно с помощью клавиши, не используя мышь).
6. Нажав и удерживая клавиши Ctrl+Alt+Shift, щелкните левой клавишей мыши на значке MS Office в левом верхнем углу внедренного окна Excel.
Приведенный пример наглядно демонстрирует непредсказуемость поведения всего того, что некоторые товарищи беспечно устанавливают на свои компьютеры.
Глава 2
Стратегия защиты и восстановления данных
У некоторых читателей может возникнуть вопрос: начинается уже вторая глава книги, а ни один рецепт по восстановлению данных еще не приведен. В чем дело?
Дело в том, что восстановление данных – это лишь одна из частей общей технологии защиты компьютерных данных. Как известно, любую болезнь проще предупредить, чем вылечить. Поэтому прежде, чем мы перейдем к «рецептам», рассмотрим основные профилактические средства, которые способны уберечь вас от потери данных.
Стратегия защиты данных должна быть направлена на противодействие наиболее вероятным случайным и умышленным угрозам. Реализация такой стратегии основана на трех «китах»:
обеспечении бесперебойного электропитания компьютера;
правильной настройке системных параметров;
применении средств резервного копирования и другого «защитного» программного обеспечения.
В данной главе рассматриваются средства обеспечения бесперебойного электропитания компьютера, а также виды «защитного» программного обеспечения (за исключением программ для резервного копирования). Технологии резервного копирования посвящена отдельная, четвертая глава книги. Вопросы настройки системных параметров рассмотрены в главе 3.
Обеспечение бесперебойного электропитания
Казалось бы, имея резервные копии всех данных, размещенные на резервных (опять же) носителях, можно избежать всех возможных неприятностей. Однако внезапное отключение электричества или броски напряжения могут привести не только к выходу из строя критически важных компонентов компьютера, но и к потере резервных копий (если проблемы с электричеством возникнут в момент создания этой самой резервной копии).
Необходимо отметить, что лишь около 20 % скачков напряжения бывают вызваны ударами молнии или проблемами у энергетиков. Большинство же энергетических импульсов исходит от копировальных аппаратов, принтеров, бытовых кондиционеров и другой офисной техники (равно как и от бытовых электроприборов).
Виды защитных устройств
Минимальный уровень защиты от энергетических неприятностей обеспечивают так называемые сетевые фильтры.
Сетевой фильтр – это устройство, которое позволяет защитить компьютер только от импульсных помех, то есть от кратковременных (длительностью в несколько тысячных долей секунды) выбросов напряжения. Такие выбросы могут вызываться короткими замыканиями, молниями, коммутированием и работой мощных потребителей электроэнергии и т. д. Мощные импульсные помехи очень опасны, так как они могут полностью сжечь блок питания и даже электронные схемы компьютера, а также вывести из строя внешние устройства компьютера. Многие современные модели сетевых фильтров обеспечивают также защиту подключенных устройств от высокочастотных помех и от короткого замыкания. Однако от падения напряжения ниже некоторого допустимого уровня фильтр защитить не сможет.
Более глубокую защиту способны обеспечить стабилизаторы. Предназначенные для компьютеров стабилизаторы сочетают в себе функции сетевого фильтра и «обычного» стабилизатора напряжения. Они не только отфильтровывают импульсные помехи, но и поддерживают на выходе стабильное напряжение при колебаниях входного напряжения на 30–40 % (как в большую, так и в меньшую сторону). Впрочем, в последнее время компьютерные стабилизаторы применяются редко, так как по стоимости соизмеримы с источниками бесперебойного питания, а по возможностям существенно им уступают. В крайнем случае вы можете подключить компьютер к сети через сетевой фильтр и бытовой стабилизатор (если таковой у вас имеется). Мощность стабилизатора должна быть не менее 200 Вт.
Источники бесперебойного питания (ИБП), или UPS (Uninterrupted Power Supplied), обеспечивают наиболее полную защиту компьютеров от проблем электропитания. Они содержат аккумулятор, который позволяет поддерживать в течение некоторого времени (от 5 до 30 минут) работу компьютеров и других подключенных к ним устройств даже при полном отключении внешней электросети. За это время можно, по крайней мере, корректно завершить работу активных программ и сохранить обрабатываемые данные. Кроме того, многие современные ИБП способны защитить от скачков напряжения телефонную (модемную) линию.
Источники бесперебойного питания на сегодняшний день представляют собой практически идеальное решение проблем для владельцев домашних компьютеров, поэтому рассмотрим их несколько подробнее.
Источники бесперебойного питания
К основным характеристикам современных ИБП относятся следующие:
способ формирования выходного напряжения;
диапазон значений входного напряжения, для которого ИБП способен выполнять свои функции;
время перехода на питание от аккумулятора;
выходная мощность.
Три первые из указанных характеристик напрямую зависят от класса ИБП. В настоящее время представленные на рынке ИБП могут быть отнесены к одному из трех классов.
Резервные (Stand-by, либо Off-line UPS, рис. 2.1, слева) – наиболее простые ИБП; называются резервными потому, что переключаются на питание от батареи лишь при выходе напряжения питания сети за границы определенного диапазона (обычно 187–264 В). При этом напряжение может колебаться в пределах допустимого коридора. Недостатком таких ИБП является относительно большое время переключения на резервный источник (порядка 5-20 мс). Еще одним недостатком следует считать форму выходного напряжения при питании от батареи: вместо синусоиды выходное напряжение представляет собой или трапецию, или прямоугольник, что отрицательно сказывается на долговечности компьютера.
Линейно-интерактивные ИБП (Line-interactive, или Ferroresonant UPS, называемые иногда также гибридными ИБП, рис. 2.1, справа) представляют собой дальнейшее развитие резервных ИБП в направлении улучшения фильтрации входного напряжения и улучшения формы выходного напряжения. В них используется встроенный автотрансформатор, регулирующий напряжение в заданном диапазоне (обычно в пределах 15–25 % от номинала в обе стороны). Если входное напряжение выходит за пределы этого диапазона, ИБП переключается в режим работы от батарей. К недостаткам линейно-интерактивных ИБП можно отнести все недостатки класса off-line, хотя и с некоторыми оговорками: например, время перехода на питание от батареи у линейно-интерактивных ИБП заметно ниже (1–5 мс). Кроме того, иногда, в силу наличия сложных фильтров и цепей обратной связи в линейно-интерактивных ИБП, возможно возникновение устойчивых искажений выходного сигнала, что является недопустимым в критичных областях применения компьютеров (например, в медицинском оборудовании или в качестве серверов баз данных).
ИБП двойного преобразования (или On-line UPS) – в них энергия питающей сети до того, как поступить на выход ИБП, дважды преобразуется: сначала напряжение сети выпрямляется, затем постоянное напряжение корректируется до необходимого уровня, после чего выполняется обратное преобразование. Такой принцип работы позволяет ИБП защитить подключенную нагрузку практически от всех существующих неполадок в электросети: высоковольтных выбросов, всплесков напряжения, электромагнитных и радиочастотных помех, кратковременного повышения или понижения напряжения, искажения его формы, полного отключения электропитания и т. п. Кроме того, при переключении на аккумуляторные батареи полностью отсутствуют переходные процессы у выходного напряжения, благодаря чему такое переключение можно считать мгновенным. Единственным серьезным недостатком является стоимость онлайновых ИБП, которая заметно выше, чем у линейно-интерактивных или резервных, поэтому они редко применяются в домашних условиях.
//-- Рис. 2.1. Источники бесперебойного питания: резервный (слева) и линейно-интерактивный (справа) --//
Большинство современных моделей резервных и линейно-интерактивных ИБП поставляются вместе со специальным программным обеспечением. Как правило, такое ПО позволяет контролировать и настраивать рабочие параметры ИБП (входное и выходное напряжение, частоту, емкость аккумулятора, уровень нагрузки, рис. 2.2.), а также корректно завершать работу компьютера при длительных или чрезмерных перебоях питания. Кроме того, некоторые из управляющих программ способны при возникновении сбоев в электропитании посылать предупреждающие сообщения по электронной почте или локальной сети.
Мощность ИБП, как правило, не зависит от их класса. Например, мощность линейно-интерактивных ИБП одной и той же модели может составлять от 200 до 1000 ВА. Знать мощность используемого ИБП необходимо потому, что она должна соответствовать потребляемой мощности подключаемой нагрузки. Причем как в большую, так и в меньшую сторону. Так, для многих ИБП мощность нагрузки должна составлять не менее 30 % от мощности ИБП. То есть приобретать ИБП с большим запасом по мощности не только экономически невыгодно, но и вредно.
ВНИМАНИЕ ____________________
Мощность ИБП традиционно измеряется в вольт-амперах (ВА), а не в ваттах (Вт). Объясняется это тем, что ИБП является источником энергии, а не потребителем. Чтобыпра-вильно соотнести мощность ИБП и потенциальную нагрузку, следует учитывать соотношение 1 ВА = 0,7 Вт. Например, нагрузка для ИБП мощностью 500 ВА не должна превышать 350 Вт. Кроме того, необходимо помнить, что к ИБП запрещается подключать лазерные принтеры, а также устройства, имеющие блоки питания с трансформаторами на входе. Это может привести к выходу из строя электронной «начинки» ИБП.
Виды защитного программного обеспечения
Проблема защиты данных от всевозможных угроз занимает сегодня всех, кто так или иначе связан с компьютерами – от рядовых пользователей до производителей компьютеров и программного обеспечения. И потому сегодня практически на любую компьютерную «болячку» есть свой программный «пластырь» (насколько он эффективен – это уже другой вопрос). Причем та регулярность, с какой появляются средства «нападения» и средства «защиты», иногда вызывает подозрение, что и те и другие создаются усилиями одних и тех же творческих коллективов. Но это так, к слову.
Программное обеспечение, пригодное для выполнения защитных функций, можно достаточно условно разделить на несколько видов:
программы контроля целостности данных;
антивирусные программы;
программные средства контроля и разграничения доступа;
программные средства сетевой защиты;
средства криптографической защиты;
программы для работы с жесткими дисками и сменными носителями.
Последний пункт носит весьма общий характер. К этой категории отнесены, в частности, программы резервного копирования и восстановления данных, а также программы для создания и изменения параметров файловой системы. Такое обобщение вызвано тем, что именно программам этой группы посвящены последующие главы книги.
Для других защитных программ далее приведена краткая характеристика с некоторыми рекомендациями по их практическому применению.
Программы контроля целостности данных
Из всего перечисленного выше «джентльменского набора» это наиболее простые программы. Даже и не программы, а утилиты, поскольку реализуют они, как правило, одну-единственную функцию: определяют факт изменения содержимого файла или папки.
Механизм работы таких программ основан на вычислении так называемой контрольной свертки – CRC (Cyclic Redundancy Check, дословно – «циклический избыточный контрольный код»).
ПРИМЕЧАНИЕ ____________________
Иногда аббревиатуру CRC интерпретируют как «контрольная сумма», что неверно, поскольку вычисление контрольной суммы для некоторого блока данных – это альтернативный метод проверки, более простой и менее надежный. Вычисление же CRC основано на применении специального «магического» полинома, коэффициентыкоторого определяются в соответствии с используемым алгоритмом CRC.
Обычно длина значения CRC составляет 16 или 32 двоичных разряда. 32-разрядную контрольную свертку для определенности обозначают CRC32, а само значение представляют в шестнадцатеричном коде.
Использование CRC32 обеспечивает очень высокую достоверность контроля. Достаточно изменить единственный бит в контролируемом файле, и значение контрольной свертки станет совершенно другим. Например, взгляните на значения CRC32 для двух текстовых файлов, различающихся одним битом (рис. 2.3).
Рис. 2.3. Значения CRC32 для двух файлов
Известно достаточно много программ, обеспечивающих контроль целостности данных на основе вычисления CRC. Большинство из них бесплатны или условно-бесплатны. В разных программах могут использоваться различные алгоритмы вычисления CRC, однако принцип работы один: сначала программа вычисляет контрольную свертку для каждого из указанных файлов (или папок), а затем при повторном запуске выполняет повторный расчет CRC и сравнивает полученное значение с тем, которое хранится в базе данных программы.
Необходимо отметить, что утилиты контроля целостности данных на основе CRC входят в состав более сложных и мощных защитных программ. В частности, анализ CRC контролируемых файлов выполняют антивирусные пакеты (с целью выявления факта несанкционированного изменения этих файлов). В программах-архиваторах CRC используется для контроля целостности архива (рис. 2.4).
Антивирусные программы
На сегодняшний день перечень доступных антивирусных программ весьма обширен. Они различаются как по цене (от весьма дорогих до абсолютно бесплатных), так и по своим функциональным возможностям. Наиболее мощные (и, как правило, наиболее дорогие) антивирусные программы представляют собой на самом деле пакеты специализированных утилит, способных при совместном их использовании поставить заслон практически любому виду зловредных программ.
Вот типовой (но, возможно, неполный) перечень тех функций, которые способны выполнять такие антивирусные пакеты:
сканирование памяти и содержимого дисков по расписанию;
сканирование памяти компьютера, а также открываемых и записываемых файлов в реальном режиме времени с помощью резидентного модуля;
выборочное сканирование файлов с измененными атрибутами;
распознавание поведения, характерного для компьютерных вирусов;
блокировка и/или удаление выявленных вирусов;
восстановление зараженных информационных объектов;
принудительная проверка подключенных к корпоративной сети компьютеров;
удаленное обновление антивирусного программного обеспечения и баз данных с информацией о вирусах, в том числе автоматическое обновление вирусных баз данных через Интернет;
фильтрация трафика Интернета на предмет выявления вирусов в передаваемых программах и документах;
выявление потенциально опасных Java-апплетов и модулей ActiveX;
ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.
К наиболее мощным и популярным на сегодняшний день (в России) антивирусным пакетам относятся:
Doctor Web (Dr Web) – программа российской компании «ДиалогНаука» (www.dialognauka.ru);
Антивирус Касперского (AVP) – разработка российской фирмы «Лаборатория Касперского» (www.kaspersky.ru);
Norton Antivirus корпорации Symantec; сайт компании (www.symantec.com) имеет русскоязычный раздел;
McAfee VirusScan компании Network Associates (www.mcafee.ru);
Panda Antivirus компании Panda SoftWare (www.pandasoftware.com).
Популярность перечисленных выше пакетов обусловлена прежде всего тем, что в них реализован комплексный подход к борьбе с вредоносными программами. То есть, установив такой пакет на своем компьютере, вы избавляетесь от необходимости использовать дополнительные антивирусные средства.
ПРИМЕЧАНИЕ
Последние версии антивирусных пакетов содержат также средства борьбы с вредоносными программами, проникающими из сети. Тем не менее специализированные инструменты отражения сетевых угроз рассматриваются отдельно.
Так какие же, собственно, существуют технологии выявления и нейтрализации компьютерных вирусов?
Специалисты в области антивирусной защиты (в частности, Е. Касперский) выделяют пять типов антивирусов, реализующих соответствующие технологии:
сканеры;
мониторы;
ревизоры изменений;
иммунизаторы;
поведенческие блокираторы.
Сканеры
Принцип работы антивирусного сканера состоит в том, что он просматривает файлы, оперативную память и загрузочные сектора дисков на предмет наличия вирусных масок, то есть уникального программного кода вируса. Вирусные маски (описания) известных вирусов содержатся в антивирусной базе данных сканера, и если он встречает программный код, совпадающий с одним из этих описаний, то выдает сообщение об обнаружении соответствующего вируса.
ПРИМЕЧАНИЕ
В качестве маски вируса обычно используется так называемая сигнатура, то есть характерная для данного вируса последовательность байтов.
Недостаток любого сканера заключается в том, что он не способен обнаруживать новые (неизвестные) вирусы, о которых отсутствует информация в базе данных сканера. Кроме того, сканер практически бессилен против полиморфных вирусов, каждая новая копия которых отличается от предыдущей.
Мониторы
Мониторы являются разновидностью сканеров. Монитор постоянно находится в памяти компьютера и осуществляет автоматическую проверку всех используемых файлов в масштабе реального времени. Современные мониторы проверяют программы в момент их открытия и закрытия. Благодаря этому исключается возможность запуска ранее инфицированных файлов и заражения новых файлов резидентным вирусом. Для включения антивирусной защиты достаточно загрузить монитор при запуске операционной системы или приложения. Как правило, это делает сам антивирусный пакет в процессе его установки. В случае обнаружения вредоносной программы монитор, в зависимости от настроек, «вылечит» файл, заблокирует его выполнение или изолирует, переместив в специальную «карантинную» папку для дальнейшего исследования.
В настоящее время используются мониторы трех типов:
файловые мониторы;
мониторы для почтовых программ;
мониторы для специальных приложений.
Файловые мониторы работают как часть операционной системы, в масштабе реального времени проверяя все используемые объекты, вне зависимости от их происхождения и принадлежности какому-либо приложению.
Мониторы для почтовых программ интегрируются в программы обработки электронной почты (как серверные, так и клиентские) и при поступлении нового письма автоматически проверяют его.
Мониторы для специальных приложений также обеспечивают фоновую проверку объектов, но только в рамках приложения, для которого они предназначены. Типичный пример – мониторы для MS Office. Подобно своим «почтовым» «коллегам», они интегрируются в программу и находятся в памяти компьютера во время ее работы.
Ревизоры
Принцип работы ревизоров изменений основан на вычислении для файлов, системных секторов и системного реестра контрольных сверток (CRC). Они сохраняются в базе данных ревизора, и при следующем запуске ревизор сверяет «отпечатки» с их оригиналами и сообщает пользователю о выявленных отклонениях, обращая особое внимание на вирусоподобные изменения. При использовании ревизоров «лечение» зараженных объектов основывается не на опознании конкретного вируса, а на знании того, как должен выглядеть «чистый» файл или сектор: любые отклонения от эталона регистрируются ревизором, который способен вернуть объект к исходному состоянию.
Однако у ревизоров изменений имеются свои недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус заразит хотя бы один объект. Во-вторых, они не могут определить вирус в новых файлах, поскольку для таких файлов в базе данных ревизора отсутствует эталонное значение CRC.
Иммунизаторы
Иммунизаторы, которые иногда называют также вакцинами, действуют подобно медицинским вакцинам: они помещают в тело информационного объекта специальные метки, препятствующие их настоящему заражению вирусом.
Иммунизаторы бывают двух типов: информирующие и блокирующие.
Первые обычно записываются в конец файлов (по принципу файлового вируса), и каждый раз при запуске файла проверяют его на изменение. Такие иммуниза-торы имеют один существенный недостаток: они не способны обнаружить заражение вирусами-невидимками.
Иммунизаторы второго типа защищают систему от заражения определенным вирусом. Блокирующий иммунизатор помечает файлы таким же образом, как и нейтрализуемый вирус, благодаря чему тот считает их уже зараженными. Например, чтобы предотвратить заражение COM-файла вирусом Jerusalem, достаточно дописать в конец файла строку MSDos. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус обнаруживает ее и считает, что система уже заражена.
Иммунизаторы не получили большого распространения и в настоящее время практически не используются.
Блокираторы
Поведенческие блокираторы, в отличие от других антивирусных программ, не просто «смотрят» и пытаются «узнавать» вирусы, они еще и «думают». Принцип действия таких антивирусов основан на эвристическом анализе поведения активных программ и «подозрительных» событий, происходящих в системе. Другими словами, поведенческие блокираторы опираются в своей работе не на базу данных, а на базу знаний. Знаний о том, что может происходить в системе в случае попадания в нее вредоносного программного обеспечения. Это делает поведенческие блокираторы универсальным оружием, которое может использоваться в борьбе не только с вирусами, но и, например, с программами-шпионами.
Считается, что разработка поведенческих блокираторов, использующих методы искусственного интеллекта – это наиболее перспективное направление в создании антивирусных средств.
Существующие сегодня поведенческие блокираторы не предназначены для удаления вирусов. Их цель – обнаружение и предотвращение распространения вирусов. Поэтому их необходимо использовать совместно с антивирусным сканером, который способен уничтожить выявленный вирус.
Как было сказано выше, наиболее мощные антивирусные пакеты содержат в своем составе утилиты, реализующие все (или почти все) известные технологии. Например, пакет AVP при инсталляции предлагает использовать полный арсенал средств (рис. 2.5).
//-- Рис. 2.5. Арсенал пакета Антивирус Касперского --//
ВНИМАНИЕ
Не рекомендуется устанавливать и использовать на одном компьютере два или более антивирусных пакета. Дело в том, что при выполнении своих функций антивирусы сами действуют подобно вредоносным программам (например, те же иммунизаторы изменяют исходный код файлов). В результате альтернативный антивирус может поднять «ложную тревогу» или уничтожить «конкурента». Частой причиной конфликта различных антивирусов является также наличие в их модулях (в базе данных и/или в документации) образцов сигнатур вирусов, которые воспринимаются «конкурентом» как признак заражения.
Вообще выбор наилучшего антивирусного средства – задача весьма сложная. Однозначного лидера среди таких средств сейчас нет, да и «назначить» такового непросто, поскольку требуется учитывать целый ряд факторов, среди которых важную роль играют не всегда самые очевидные. Например, очень важно, чтобы для используемого антивируса выполнялось оперативное обновление вирусной базы. А это зависит не только от «реактивности» разработчиков, но и от качества организации работы службы поддержки, – и, в частности, от того, насколько удобно реализована процедура удаленного обновления базы (через Интернет).
Достаточно объективное сравнение существующих антивирусов можно получить на веб-сайте журнала Virus Bulletin. Экспертная комиссия журнала (в нее входят профессионалы в области безопасности информации, в том числе Е. Касперский) ежемесячно присуждает своеобразный почетный знак «100%VB» тем антивирусам, которые обеспечивают 100-процентное обнаружение «живых» (и в первую очередь – самых новых) вирусов. Обобщенные результаты сравнения на момент посещения сайта можно найти по адресу https://www.virusbtn.com/magazine/ archives/index.xml.
Программные средства разграничения и контроля доступа
Программные средства указанного типа, как следует из их названия, призваны не допустить к работе с системой или с конкретным набором данных того, кто не имеет на это прав. Причем, когда речь идет о работе с данными, имеется в виду не только пользователь, но и программа (точнее, процесс), которая может быть автоматически запущена на компьютере без ведома легального пользователя.
ПРИМЕЧАНИЕ
Как пользователь, так и процесс, осуществляющий доступ к данным (информационным объектам), в документах Гостехкомиссии именуются субъектами доступа.
Разграничение прав доступа состоит в создании списка легальных пользователей, определении круга полномочий каждого из них и назначении пользователям (или группам пользователей с равными правами) идентификатора (отличительного признака) для входа в систему или для доступа к определенным объектам.
В простейшем случае в качестве такого идентификатора используется пароль – некое секретное слово (а точнее, последовательность символов), известное только его владельцу (и, возможно, администратору системы).
ПРИМЕЧАНИЕ
В многопользовательских системах и системах, обрабатывающих и хранящих критически важные данные, должна применяться специальная политика управления паролями, включающая и правила их выбора (формирования). Не вдаваясь в детали, отметим, что надежность пароля зависит от трех факторов: его длины, количества символов в алфавите, используемого для формирования пароля, и случайности их выбора из этого алфавита. Например, пароль A12#7ячZ на несколько порядков надежнее пароля ИванС.
Однако сама по себе парольная защита не гарантирует соблюдение правил доступа. Достаточно злоумышленнику получить (подсмотреть, скопировать) пароль, и все – защиты нет. Кроме того, даже легальный пользователь может тем или иным образом активизировать процесс, имеющий доступ к защищенным данным. Еще выше вероятность того, что такой процесс инициирует злоумышленник. Причем для этого ему совсем не обязательно иметь физический доступ к клавиатуре и мыши компьютера (вспомните о «троянах» и программах-шпионах).
Итак, для обеспечения надежной защиты конфиденциальных или важных данных от несанкционированного доступа должен применяться набор программных средств, обеспечивающий решение следующих основных задач:
идентификация пользователей, осуществляющих вход в систему или доступ к данным;
контроль действий пользователя, вошедшего в систему;
контроль процессов, которые обращаются к защищаемым данным.
Средства идентификации пользователей
Функции идентификации на основе паролей реализованы сегодня во многих прикладных программах и непосредственно в подсистеме администрирования операционной системы.
В первую очередь отметим, что, в отличие от Windows 9*, система паролей в операционных системах Windows 2000/XP/Server действительно способна разграничить доступ к разным наборам данных для разных пользователей. То же самое относится и к разграничению прав по управлению параметрами системы. Именно поэтому в этих ОС предусмотрен «главный» пользователь – Администратор. Он может создавать новые и удалять имеющиеся учетные записи, назначать и изменять пароли для себя и для других пользователей. Разумеется, Администратор имеет право устанавливать и удалять программное обеспечение, а также изменять системные параметры. На противоположном конце шкалы полномочий стоит пользователь – Гость. Такой пользователь не может закрыть свои данные паролем, да и вообще не может практически ничего (кроме как запустить одну из разрешенных для него программ или подключиться к Интернету со стандартными настройками). Несколько шире возможности у пользователя С ограниченными правами. Он может, помимо запуска программ, устанавливать и изменять пароль для защиты персональных данных (рис. 2.6).
Таким образом, если вы хотите защитить системные настройки вашего компьютера, установленное на нем программное обеспечение и данные от постороннего воздействия, создайте для себя учетную запись с правами администратора, защищенную паролем, а другим потенциальным пользователям отведите роль гостей или пользователей с ограниченными правами.
Тем не менее для разграничения доступа на уровне отдельных информационных объектов (папок, файлов, приложений) зачастую удобнее воспользоваться соответствующими встроенными функциями прикладных программ либо специализированными приложениями.
Например, вы можете «закрыть» паролем документ, созданный в Word, или архив, сгенерированный с помощью архиватора WinRAR (рис. 2.7).
//-- Рис. 2.7. Многие приложения поддерживают функцию парольной защиты «своих» файлов --//
Кроме того, существуют программы, позволяющие закрывать паролем даже те файлы, для которых создавшее их приложение обеспечить парольную защиту не способно.
Пример такой программы – Virtual Password. Она позволяет закрыть паролем любой файл, имеющийся на компьютере, независимо от его типа (рис. 2.8).
Однако, как и у многих подобных программ, пароль в данном случае используется в качестве ключа шифрования. Соответственно при «закрытии» файла его исходное содержимое изменяется, и если вы забудете или потеряете пароль, то вместе с ним потеряете и первоначальное содержимое защищенного файла (правда, Virtual Password перед шифрованием создает резервную копию исходного файла; с одной стороны – это помощь для рассеянных, с другой – новый объект для защиты/нападения).
Для временного блокирования системы (на время отсутствия легального пользователя) могут применяться так называемые хранители экрана, или скринсейверы (от англ. screensaver), снабженные функцией парольной защиты.
Возможен и несколько иной подход, а именно: разрешать делать только то, что не запрещено. Используя соответствующие программы-блокираторы, вы можете запретить запуск конкретных программ, открытие/перемещение/удаление указанных файлов и папок, изменение настроек Рабочего стола и т. п.
Таких программ-блокираторов, реализующих комплексный подход к управлению доступом к ресурсам компьютера, существует не один десяток. Одной из наиболее удачных (по мнению автора) можно считать программу WinLock производства компании Crystal Office Systems. Оценочную версию программы (с несколько ограниченными функциональными возможностями) можно бесплатно получить на веб-сайте компании (www.crystaloffice.com).
Даже в «урезанном» варианте WinLock предоставляет широкие возможности: от блокирования входа в систему до запрета на работу с отдельными устройствами и на открытие конкретных файлов (рис. 2.9).
Средства контроля действий пользователя
Что касается контроля действий пользователя, вошедшего в систему, то для этого совершенно не обязательно стоять у него за спиной. Достаточно установить на компьютер одну или несколько программ, выполняющих соответствующие функции (аналогичные, по сути, функциям программ-шпионов). Например, небольшая (36 Кбайт) бесплатная программка Home Key Logger (http://www.spyarsenal.com) позволяет регистрировать всю информацию, вводимую с клавиатуры, и затем просматривать протокол всех нажатий клавиш (как текстовых, так и управляющих). Причем в файле протокола указываются дата, время, приложение и файл, с которым работал пользователь. Более «продвинутый» вариант программы – Family Key Logger – обеспечивает некоторые дополнительные возможности (в частности, автоматический запуск в скрытом режиме, рис. 2.10).
Возможен также визуальный контроль действий пользователя. Речь идет о программах, создающих снимки экрана (или снимки окон активных приложений) через заданные интервалы времени. Снимки сохраняются в определенной папке в виде набора графических файлов, просмотрев которые, вы можете получить полное представление о том, какие задачи решались на компьютере в ваше отсутствие. Пример такой программы – Spy Camera. Она снабжена минимальным числом настраиваемых параметров (рис. 2.11), однако исправно выполняет свои задачи.
В отличие от многих аналогичных программ, она способна делать снимки экрана во время работы приложений, использующих полноэкранный режим отображения (например, при просмотре видео).
Рис. 2.11. Окно настроек программы Spy Camera
Для сторонников комплексных решений также имеется богатый выбор подходящих программ-наблюдателей с соответствующими возможностями. В качестве примера рассмотрим две из них. Обе программы созданы российскими программистами и относятся к категории условно-бесплатных (Shareware), то есть по истечении определенного интервала времени для продолжения работы с программой следует зарегистрировать используемую копию. Первая программа называется Spylo PC Monitor (автор – Alexei Vylegjanine (Sontrex Software)). Вторая – StatWin (разработка компании Security extensible Research Software (www.sxrsoft.com)).
Spylo PC Monitor обеспечивает:
регистрацию клавиатурного ввода;
контроль запускаемых приложений;
создание снимков экрана для активных приложений;
регистрацию работы в Интернете.
Spylo PC Monitor состоит из двух основных компонентов: монитора, который собирает информацию, и модуля просмотра результатов (Spylo Commander). Монитор работает скрытно и может запускаться автоматически при загрузке системы. При этом ни на панели задач, ни в списке активных приложений, ни в системном трее никаких признаков его присутствия нет.
Spylo Commander может быть вызван обычным способом (если пользователь, запускающий его, знает установленный пароль) и способен «поделиться» всеми данными, собранными монитором (рис. 2.12, вверху).
Рис. 2.12. Окно Spylo Commander программы Spylo PC Monitor
Помимо двух названных модулей в состав Spylo PC Monitor входит утилита Anti-Spy Killer. Она играет роль своеобразного телохранителя для Spylo PC Monitor, поскольку предназначена для борьбы с программами-антишпионами. Для уничтожения «врага» надо указать имя файла, активность которого следует предотвратить, и/или соответствующий параметр системного реестра (рис. 2.12, внизу).
Программа StatWin обладает более широкими возможностями, объединяя, по сути, функции разграничения доступа и функции контроля. При этом StatWin обеспечивает слежение не только за действиями пользователей, но и за активными процессами (рис. 2.13).
Кроме того, программа умеет делать снимки экрана и регистрировать клавиатурный ввод. Более подробно возможности StatWin будут рассмотрены в следующем подразделе.
Средства контроля процессов
Программа Family Key Logger показательна в том плане, что, фиксируя действия пользователя, она практически ничего не сообщает о своей работе. Владельцы компьютеров, имеющие опыт работы с Windows 9*, привыкли использовать три «волшебные» клавиши Ctrl+Alt+Del, чтобы вывести на экран список активных задач и (если необходимо) принудительно завершить некоторые из них. Так вот, Family Key Logger вы не увидите в списке задач, и, соответственно, не сможете принудительно завершить его работу.
Тем не менее, даже используя «штатные» средства Windows, можно обнаружить программы, подобные Family Key Logger. В среде Windows 98 это сделать несколько сложнее, при работе с Windows XP – проще.
В Windows 98, чтобы получить сведения о запущенных процессах, необходимо в меню Пуск открыть подменю Стандартные Служебные, а в нем выбрать пункт Сведения о системе. Затем в левой панели открывшегося окна раскройте раздел Программная среда, а в нем выберите ветвь Системные ловушки (рис. 2.14).
Все приложения, перехватывающие системные сообщения, будут представлены в правой панели окна утилиты.
Чтобы получить список всех активных задач (процессов), требуется активизировать еще одну системную утилиту, которая называется Доктор Ватсон. Для этого в окне Сведения о системе откройте меню Сервис и выберите в нем команду Доктор Ватсон. Указанная утилита после запуска сразу переходит в режим ожидания, сворачивается и оставляет лишь свой значок в системном трее. Для активизации «доктора» щелкните дважды на значке. Далее, чтобы получить список активных процессов, выполните следующие действия.
1. В меню Вид выберите пункт Расширенный вид.
2. Перейдите на вкладку Задачи (рис. 2.15).
Очевидно, что данный вариант далеко не идеален. Чтобы подобным образом выявить «шпионские» задачи, требуется либо знать, как называется соответствующий исполняемый файл (.exe,bat или. com), либо, наоборот, знать перечень всех «санкционированных» программ. И то и другое условие выполнить на практике достаточно сложно. Как, например, догадаться, что исполняемый файл программы Family Key Logger называется Cisvc.exe (см. рис. 2.15)? Кроме того, даже если вы опознаете «врага», запретить его работу с помощью программы Доктор Ватсон невозможно.
Что же делать? Опять-таки воспользоваться услугами одной из специальных программ, обеспечивающих слежение за активными процессами и принудительное их завершение. При работе с операционными системами Windows 9* для указанной цели можно использовать вполне «официальную» утилиту от Microsoft. Утилита называется Process Viewer; она входит в состав пакета Visual Studio, но может использоваться автономно. Утилита собирает сведения обо всех активных процессах и отображает их список в окне (рис. 2.16).
Чтобы завершить какой-либо процесс, достаточно выбрать его в списке и затем на панели инструментов щелкнуть на кнопке Kill Process (Завершить процесс). По сравнению с многочисленными «полулюбительскими» аналогами Process Viewer обладает двумя достоинствами: работает очень корректно и дает достаточно полную информацию о «происхождении» процесса.
При работе с Windows XP процедура получения списка процессов значительно проще. Достаточно открыть с помощью все тех же «волшебных» клавиш Ctrl+Alt+Del окно диспетчера задач и перейти на вкладку Процессы (рис. 2.17).
Рис. 2.17. Просмотр списка выполняемых процессов в Windows XP
Обнаружив подозрительный процесс, вы можете его остановить, просто щелкнув на кнопке Завершить процесс, расположенной в правом нижнем углу окна. Правда, данное окно не содержит сведений о том, в какой папке находится приложение или системный модуль, инициировавший соответствующий процесс.
Обширную информацию по процессам способна предоставить упоминавшаяся выше программа StatWin. Причем с ее помощью вы можете получить статистику не только по активным процессам, но также по завершенным. Весьма полезными также могут оказаться сведения, относящиеся к работе пользователя в Интернете и к использованию подключенного к компьютеру принтера.
Что касается работы в Интернете, то с помощью трех разделов статистики – Модем, Интернет: Сайты и Интернет: Серверы, – представленных на одноименных вкладках основного окна программы, заинтересованное лицо получит следующие основные сведения (рис. 2.18):
общее время, проведенное в Сети;
общий объем переданных и полученных данных;
время и длительность подключения к конкретному веб-серверу или пребывания на веб-сайте.
Кроме того, вы можете задать интервал времени, по истечении которого StatWin должен произвести принудительный разрыв соединения.
Рис. 2.18. Сведения о работе пользователя в Интернете, предоставляемые StatWin
Однако разрыв соединения – это единственный вид активных действий, предусмотренный в StatWin. Он не позволяет завершать нежелательные процессы. Вместе с тем StatWin способен защитить одно из наиболее уязвимых мест системы – системный реестр – от негативного воздействия. Для этого достаточно указать, какой именно ключ (или конкретный параметр) следует защищать.
И все-таки даже при работе в среде Windows XP штатные средства операционной системы не способны уведомить пользователя о присутствии в системе программ типа SpyWare или AdWare. В качестве «контрразведчиков» должны использоваться специальные инструменты.
К достаточно популярным «контрразведчикам» относится, в частности, программа Ad-aware компании Lavasoft Sweden (бесплатную версию программы для персонального использования можно загрузить с веб-сайта www.lavasoftusa.com). Программа умеет сканировать оперативную память, системный реестр и указанные пользователем папки на предмет наличия там шпионских модулей или их частей (рис. 2.19).
//-- Рис. 2.19. Ad-aware умеет сканировать оперативную память, системный реестр и указанные папки --//
Кроме того, Ad-aware умеет находить файлы cookie, созданные веб-серверами с «плохой репутацией». Опознание вредоносного программного обеспечения Ad-aware производит на основе сведений, содержащихся в его базе данных. Делает она это весьма проворно и достаточно эффективно. Например, ей не составило никакого труда обнаружить в оперативной памяти процесс, относящийся к программе Family Key Logger (перехватчик клавиатурного ввода), а также найти среди папок и в реестре всю относящуюся к ней информацию (рис. 2.20).
Сведения о проделанной работе Ad-aware записывает в файл отчета, а сами обнаруженные объекты по желанию пользователя помещает в специальную «карантинную» папку. Оттуда они могут быть удалены либо возвращены на прежнее место. Перед удалением объектов Ad-aware позволяет создать их резервную копию, и если после «чистки» система будет работать некорректно, все можно сделать «как было».
Необходимо отметить, что создатели Ad-aware приписывают программе некие «интеллектуальные» способности, позволяющие ей отыскивать подозрительные объекты, сведения о которых отсутствуют в базе данных программы. Однако это утверждение вызывает сомнения, поскольку Ad-aware не обратила никакого внимания на программу StatWin, работающую как настоящий шпион.
Рис. 2.20. Результаты работы Ad-aware
ПРИМЕЧАНИЕ ____________________
К дополнительным преимуществам Ad-aware по сравнению со многими другими программами этого класса можно отнести возможность установки локализованного (русского) интерфейса и наличие русскоязычного раздела на сайте производителя.
Еще один инструмент, достаточно хорошо зарекомендовавший себя в деле борьбы со «шпионами», – это SpyBot-Search &Destroy (Patrick Michael Kolla / Safer Networking Limited, http://www.safer-networking.org).
Основные возможности программы:
поиск и блокирование программ-шпионов;
поиск и блокирование cookies;
защита системного реестра;
надежное удаление файлов;
поиск и блокирование подозрительных ActiveX;
отображение списка активных процессов и остановка любого из них;
контроль изменений в системе, производимых инсталлируемыми программами.
Несомненными достоинствами SpyBot S &D для российских пользователей можно считать бесплатность программы (автор рассчитывает лишь на «добровольные пожертвования») и наличие русскоязычного варианта интерфейса (рис. 2.21).
Рис. 2.21. Один из режимов работы SpyBot-Search &Destroy
По каждой из вредоносных программ, имеющихся в базе данных SpyBot-Search&Destroy, вы можете получить достаточно подробную информацию. В частности, SpyBot-Search &Destroy сообщит вам о производителе (или распространителе) данного ПО и о тех неприятностях, которые можно от него ожидать. Что касается слежения за текущим состоянием системы, то в составе SpyBot-Search &Destroy имеется специальный модуль, контролирующий обращение приложений к системному реестру. Этот модуль работает постоянно в фоновом режиме и при каждой попытке изменения реестра предлагает пользователю принять или запретить это изменение (рис. 2.22).
SpyBot-Search&Destroy содержит в качестве дополнительного инструмента межсетевой экран (firewall) и модуль для блокирования подозрительных файлов cookies. О том, что собой представляют межсетевые экраны – в следующем подразделе.
Программные средства сетевой защиты
Разумеется, вредоносная программа может «пробраться» на ваш компьютер с взятого у приятеля гибкого диска или с компакт-диска, приложенного к компьютерному журналу. Однако значительно более реальная опасность таится на просторах Интернета (которым, наверное, бабушки скоро будут пугать непослушных внуков, как раньше пугали серым волком). И действительно, чуть ли не ежедневно появляются сообщения о новой напасти, пришедшей неизвестно откуда.
Все виды «защитного» программного обеспечения, рассмотренные в предыдущих разделах, имеют один общий недостаток: они противодействуют тем вредителям, которые уже проникли в компьютер. Среди средств сетевой защиты основная роль отводится инструментам, которые способны предупредить сам факт такого проникновения.
К таким инструментам относятся:
межсетевые экраны;
системы обнаружения атак;
сетевые сканеры;
антиспамеры.
Межсетевые экраны
Иногда вместо термина «межсетевой экран» используются термины брандмауэр (от немецкого слова Brandmauer – «пожарная стена») или firewall (английское слово с тем же значением).
ПРИМЕЧАНИЕ
Почему немецкое слово используется в русской транскрипции, а английское (обычно) в исходной форме? Объясняется это тем, что российские пожарные (в отличие от российских программистов) применяли немецкую терминологию (вспомните, например, брандмейстера). Вне компьютерной сферыбрандмауэром называют стену из негорючих материалов, препятствующую распространению пожара в здании.
Компьютерный брандмауэр (межсетевой экран) призван предотвратить несанкционированный доступ злоумышленников на защищаемую территорию, под которой обычно понимается внутренняя сеть организации или отдельный компьютер. Если межсетевой экран защищает отдельный компьютер, то он обычно называется персональным брандмауэром.
Теперь приведем несколько более строгое определение. Межсетевой экран – это программно-аппаратная система, позволяющая разделить вычислительную сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части сети в другую.
Межсетевой экран отслеживает данные, перемещающиеся в обоих направлениях: извне в защищаемый сегмент и из сегмента наружу. Необходимость блокирования несанкционированного исходящего трафика вызвана возможным присутствием в сегменте программных закладок (в частности, программ типа Spyware или AdWare).
Эффективность применения межсетевых экранов оказалась весьма высокой, и это привело к появлению достаточно большого числа конкурирующих продуктов. Ниже рассмотрены наиболее популярные из них, относящиеся к категории персональных брандмауэров.
Первый из них – ICF (Internet Connection Firewall). Далеко не самый эффективный, но достаточно распространенный, поскольку входит в состав операционной системы Windows XP.
Межсетевой экран Windows XP позволяет настраивать параметры защиты не для компьютера в целом, а для каждого созданного сетевого подключения в отдельности. Чтобы убедиться, что для имеющегося соединения ICF включен, выполните следующие действия.
1. В меню Пуск выберите интересующее сетевое подключение (Настройки Сетевые подключения) и щелкните на его имени правой кнопкой мыши.
2. В контекстном меню подключения выберите пункт Свойства.
3. В открывшейся панели свойств перейдите на вкладку Дополнительно; посмотрите, поставлен ли флажок Защитить мое подключение к Интернету (рис. 2.23).
Когда брандмауэр включен, он блокирует все несанкционированные пакеты, поступающие через сетевой интерфейс. Для проверки пакетов в брандмауэре ICF используется так называемая NAT-таблица потоков (Network Address Translation – преобразование сетевых адресов) с проверкой любого входящего пакета на соответствие записям в этой таблице. Входящие пакеты данных пропускаются только в том случае, если в NAT-таблице имеется соответствующее разрешение (рис. 2.24). Для изменения списка разрешений необходимо открыть окно настроек, щелкнув на кнопке Параметры (см. рис. 2.23).
Если обмен информацией не санкционирован из защищенной сети, входящие данные игнорируются. При этом брандмауэр ICF не посылает пользователю никаких уведомлений, а просто прерывает передачу данных, которые он не запрашивал. Вместо этого брандмауэр может вести журнал безопасности, записывая в него все необходимые сведения о наблюдаемой активности.
ПРИМЕЧАНИЕ ____________________
При использовании ICF следует иметь в виду, что целый ряд защитных функций, реализованных в других брандмауэрах, вынесены в веб-браузер Internet Explorer. Например, Internet Explorer способен блокировать файлы cookie.
Персональные брандмауэры других производителей обладают по сравнению с ICF целым рядом дополнительных (и весьма полезных) возможностей. В частности, они способны ограничить список приложений, получающих доступ в Сеть, запретить или ограничить поступление на компьютер баннерной рекламы, блокировать появление всплывающих окон на веб-страницах, контролировать вложения к электронным письмам и многое другое. Следует также отметить, что многие из популярных брандмауэров предоставляются пользователям бесплатно.
Лидирующие позиции во многих тестовых обзорах часто занимает брандмауэр Agnitum Outpost Firewall, созданный компанией Agnitum Ltd. (www.agnitum.com). Его свободно распространяемая версия (Outpost Firewall Free) по своим возможностям незначительно уступает «профессиональной» (Outpost Firewall Pro) и имеет локализованную (русскоязычную) версию (рис. 2.25).
Рис. 2.25. Брандмауэр Agnitum Outpost Firewall
Outpost Firewall контролирует как входящий, так и исходящий трафик, блокируя доступ в Интернет «подозрительных» приложений. Контроль активности в обоих направлениях производится на основе системы правил. Интересной особенностью Outpost Firewall является то, что правило можно задавать либо явным образом, либо предоставив Outpost Firewall возможность «учиться» правилам вашей работы в Интернете самому. Например, если вы разрешите загрузку веб-страниц с помощью Internet Explorer, то Outpost Firewall автоматически внесет его в список «разрешенных» приложений (рис. 2.26).
Создать правило для IEXPLORE.EXE
Рис. 2.26. Outpost Firewall можетсамообучаться
Помимо режима обучения (он используется по умолчанию) в Outpost Firewall предусмотрено еще 4 режима (политики) работы:
Разрешать – разрешены все соединения, которые не заблокированы явно;
Блокировать – блокируются все соединения, которые не были разрешены явно; в этом режиме для каждого «разрешенного» приложения должно быть задано правило работы;
Запрещать – блокируются все соединения, в том числе разрешенные явно;
Отключить – брандмауэр отключается и, соответственно, допускаются любые соединения.
В Outpost Firewall имеются следующие полезные функции:
работа в режиме невидимки (Stealth), когда компьютер не реагирует на ICMP-сообщения (при этом все соответствующие порты компьютера недоступны);
возможность блокирования загружаемых веб-страниц или фрагментов страниц по HTML-коду; например, можно заблокировать загрузку строк, содержащих ссылку на таблицу стилей или на баннерную рекламу;
возможность блокирования веб-сайтов по их адресам;
возможность блокирования активных элементов веб-страниц (сценариев, элементов ActiveX, Java-апплетов), а также файлов cookie;
кэширование (запоминание) серверов DNS (для ускорения последующего подключения).
Перечень неполон, но весьма показателен.
Необходимо также отметить, что Outpost Firewall – это приложение с открытой архитектурой, и любой пользователь может создать для него собственный подключаемый компонент (plug-in) с целью расширения функциональных возможностей брандмауэра.
С брандмауэром Outpost Firewall сопоставим по популярности брандмауэр Zone-Alarm компании Zone Labs (http://www.zonelabs.com). Как и Outpost Firewall, брандмауэр ZoneAlarm существует в двух вариантах: бесплатном и «профессиональном» (ZoneAlarm Pro). Установив на своем компьютере бесплатный вариант, вы получаете возможность оценить в течение 15 дней те дополнительные возможности, которые предоставляет ZoneAlarm Pro. К таковым относятся (рис. 2.27):
быстрое конфигурирование брандмауэра;
усиленная защита электронной почты;
блокирование всплывающих окон;
контроль файлов cookie.
Рис. 2.27. Дополнительные возможности ZoneAlarm Pro
При отслеживании приложений, пытающихся установить внешнее соединение, ZoneAlarm действует примерно на тех же принципах, что и Outpost Firewall. Контроль данных, поступающих извне, основан на разделении внешнего пространства на три зоны (рис. 2.28):
Blocked Zone – блокируемая зона – сетевые объекты, обращение которых к защищаемому компьютеру должно быть запрещено;
Trusted Zone – доверенная зона – сетевые объекты, обращение которых к защищаемому компьютеру разрешено;
Internet Zone – зона Интернета – сетевые объекты, относительно надежности которых сведений нет.
Рис. 2.28. Правила фильтрации в ZoneAlarm основаны на понятии зоны
При этом для каждой из зон Trusted и Internet может быть установлен определенный уровень безопасности. Например, установив для зоны Trusted наивысший уровень безопасности (High), вы можете превратить ее (скажем, на некий опасный период) в зону Internet (рис. 2.29).
Установка для зон Trusted и Internet низшего уровня безопасности (Low) соответствует временному выключению брандмауэра. Если же, наоборот, требуется срочно блокировать связь с Интернетом, достаточно щелкнуть на кнопке в виде знака Stop, расположенной на панели инструментов основного окна ZoneAlarm (рис. 2.29).
Когда ZoneAlarm обнаруживает попытку несанкционированного выхода какого-либо приложения в Интернет, он выводит на экран диалоговое окно с достаточно подробным описанием ситуации (рис. 2.30).
Рис. 2.30. Окно с сообщением о попытке подключения к Интернету
Получив от владельца компьютера разрешение (или запрет) на допуск приложения в Интернет, ZoneAlarm запоминает выбор (если установить в окне соответствующий флажок) и по данному приложению больше вопросов не задает.
Аналогичные действия выполняются и в случае попытки обращения извне к какому-нибудь порту компьютера.
К недостаткам ZoneAlarm можно отнести то, что он некорректно отображает русскоязычные наименования приложений.
Системы обнаружения атак
Системы обнаружения атак (или IDS – Intrusion Detection System) предназначены для выявления вторжений путем регистрации некорректной или аномальной деятельности пакетов данных, циркулирующих в локальной сети или поступающих на отдельный компьютер из внешней сети.
Сама по себе сетевая атака зачастую не несет непосредственной угрозы компьютерным данным или локальной сети. Она лишь является частью общей стратегии злоумышленника, направленной на достижение некой цели. Например, атака может заключаться в сканировании портов компьютера с целью выявления незащищенных «точек входа» либо в регистрации и анализе сетевого трафика с целью определения его интенсивности, параметров пересылаемых пакетов и т. п. Другими словами, некоторые виды атак можно рассматривать как «разведку боем». В случае успешного проведения такой разведки могут быть начаты непосредственно «боевые действия». Например, злоумышленник может внедрить через незащищенный порт шпионскую программу либо бомбардировать систему ложными сообщениями с целью захвата ее ресурсов.
Атаки, направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.
Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.
Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).
Детектор атак регистрирует сведения обо всех попытках подключения к портам компьютера и адрес источника такой попытки. Для атак типа DoS модуль использует в качестве защитной меры блокирование атакуемого порта или блокирование источника угрозы (рис. 2.32).
Рис. 2.32. Брандмауэр Outpost Firewall защищает от DoS-атак
Более мощными функциями по обнаружению и блокированию атак обладает пакет BlacklCE компании PC Protection (до версии 3.0 пакет именовался BlacklCE Defender). Он ориентирован на «домашних» пользователей (оценочную версию можно найти, например, по адресу http://download.iss.net/cgi-bin/download/getFile5.pl/BIPCPEvalSetup.exe.) Этот инструмент, напротив, содержит в своем составе брандмауэр в качестве дополнительного модуля. Брандмауэр блокирует связь с теми внешними абонентами, которые были идентифицированы основным модулем как источники атак.
Сетевые сканеры и антиспамеры
Данные два типа инструментов принципиально различаются по своему предназначению и включены в один подраздел только потому, что и те и другие будут описаны вкратце.
Сетевые сканеры (или системы анализа защищенности) – это программы, которые просматривают узлы сети (ПЭВМ и серверы) с целью получения следующей информации:
имя и роль узла;
используемые сетевые сервисы (наличие средств электронной почты, вебсерверов и т. д.);
типы и версии используемых ОС и прикладного ПО;
учетные записи (параметры доступа для различных пользователей);
общие параметры политики безопасности (система паролей, категории пользователей и т. д.);
наличие незарегистрированных устройств (модемов, ноутбуков, анализаторов протоколов).
На основе полученной информации сканер выдает рекомендации по изменению установленных параметров защиты и/или оповещает администратора сети о наличии неизвестных устройств. Сетевые сканеры – это достаточно дорогие и сложные инструменты, и «домашними» пользователями практически не используются.
Антиспамеры предназначены для блокирования спама.
ПРИМЕЧАНИЕ
Сегодня мало кто помнит, откуда появилось само слово «спам». Оказывается, Spam – зарегистрированная торговая марка консервов компании Hormel Foods Corporation. Компьютерный термин Spam (спам) происходит от пародии британской комик-группы, в которой изображалось, что посетители ресторана вынуждены слушать хор, воспевающий мясные консервы. Отсюда и пошло наименование навязчивой сетевой рекламы в новостных конференциях. Этим же словом называли сообщения, которые принудительно рассылаются подписчикам телеконференций для напоминания о тематике дискуссионных списков. Позднее и другие непрошенные рекламные сообщения в электронной почте стали называть «спамом», а отправителей подобных посланий – спамерами.
Принцип работы антиспамеров основан на фильтрации сообщений, поступающих по электронной почте, на основе некоторых правил. В отличие от сетевых сканеров антиспамеры получили широкое распространение среди пользователей домашних компьютеров. Причем существует достаточно много бесплатных антиспамеров, неплохо справляющихся со своими обязанностями.
Одна из таких программ – SpamPal (www.spampal.com). В процессе работы SpamPal сверяет каждое входящее письмо с некоторым числом списков DNSBL. На панели настроек можно выбрать списки, с которыми вы хотите сверять свои почтовые сообщения.
ПРИМЕЧАНИЕ
DNSBL (DNS Black List – «черный список» DNS») – это динамически обновляющийся список IP-адресов серверов, с помощью которых производились массовые рассылки почты (то есть замеченных в распространении спама).
Если вы получаете много спама с одного и того же адреса, то можно занести этот адрес в индивидуальный «черный список»; соответствующий адрес будет автоматически блокироваться программой SpamPal.
В программе предусмотрен также «белый список». Особенность «белого списка» состоит в том, что включенные в него адреса никогда не помечаются как спам. Это полезно в тех случаях, когда адрес вашего надежного абонента относится к провайдеру, занесенному в один из списков DNSBL.
Записи «белого списка» имеют более высокий приоритет по сравнению с записями «черного списка». Поэтому можно, например, добавить в «черный список» запись *@mail.com, а в «белый список» – конкретных надежных адресатов, почтовые ящики которых зарегистрированы на Hotmail.
Остается только добавить, что программа SpamPal имеет русскоязычный интерфейс и локализованный вариант документации.
Средства криптографической защиты
Суть криптографической защиты данных заключается в их шифровании. Зашифровать можно данные любого типа: текст, графику, видео, аудио, исполняемые файлы и т. д. Очевидно, что криптозащита обеспечивает конфиденциальность данных, но никак не может помочь в деле сохранения их целостности и доступности.
ВНИМАНИЕ ____________________
Надежность шифрования обеспечивается не секретностью применяемого алгоритма, а качеством и сохранностью используемого криптографического ключа.
Это означает, что для надежной защиты данных следует, во-первых, использовать известные, проверенные и описанные в соответствующих стандартах алгоритмы шифрования, а во-вторых, соблюдать правила создания, хранения и использования ключей.
Полезно также знать, что существующие алгоритмы (методы) шифрования подразделяются на два вида:
симметричные, в которых один и тот же секретный ключ используется и для шифрования, и для дешифрования;
несимметричные, в которых один ключ (открытый, или публичный) используется для шифрования, а второй (секретный, закрытый) – для дешифрования.
ПРИМЕЧАНИЕ ____________________
Криптографический ключ – это некое число или набор символов, который используется определенным образом для шифрования/дешифрования данных. Например, можно применить в качестве ключа число 7 и сложить его последовательно с числовыми кодами символов передаваемого сообщения. Понятно, что расшифровать такой «код» не составляет никакого труда, особенно если известен ключ. Поэтому в основе «настоящих» методов шифрования лежит именно принцип выбора ключа.
При использовании криптосистемы с открытым ключом владельцем этого самого открытого ключа является (условно говоря) отправитель сообщения, а владельцем закрытого ключа – потенциальный получатель сообщения. Открытый и закрытый ключи связаны между собой: открытый ключ формируется на основе закрытого. Однако обратное преобразование должно быть невозможно (по крайней мере, у злоумышленника должно не хватить на это времени и сил).
Криптосистемы с открытым ключом становятся в последнее время все более популярными в связи с развитием цифровых коммуникационных систем, в которых один сервисный центр обменивается сообщениями с большим числом клиентов.
Характерный пример – система электронных платежей. Принцип несимметричного шифрования лежит также в основе электронной цифровой подписи (ЭЦП).
Надежные алгоритмы шифрования весьма сложны с математической точки зрения. Однако разбираться с математическими основами шифрования сегодня совершенно не обязательно, поскольку существуют соответствующие программные инструменты, автоматизирующие выполнение всех необходимых операций.
Наиболее популярным из них является пакет PGP (аббревиатура от «скромного» названия – Pretty Good Privacy, то есть «довольно хорошая секретность»). Вплоть до версии 8.0 пакет PGP распространялся абсолютно бесплатно (теперь бесплатен только «облегченный» вариант) и стал фактически монополистом не только в среде частных пользователей, но и в достаточно крупных организациях. Объясняется это двумя основными факторами:
в основу работы PGP положены стандартизованные алгоритмы шифрования;
интерфейс PGP позволяет эффективно использовать эти алгоритмы даже не очень подготовленным пользователям.
Следует также отметить и достаточно богатый набор сервисных функций, предоставляемый PGP. В состав «облегченной» версии пакета входят следующие модули:
PGPkeys – подсистема генерации и управления наборами ключей;
PGPmail – подсистема криптозащиты электронных писем и текста сообщений ICQ; позволяет зашифровать сообщение и/или снабдить его цифровой подписью;
PGPtray – шифрование и дешифрование данных в буфере обмена и в активных окнах приложений; позволяет также генерировать для таких данных цифровую подпись.
Модуль PGPkeys можно считать основным, поскольку именно с генерации пары ключей (закрытый + открытый) начинается работа пакета PGP. После того как ключи созданы, вы можете использовать их для шифрования данных или генерации цифровой подписи (рис. 2.33).
Для обладателей персональной лицензии (Personal License), а также в предыдущих (бесплатных) версиях PGP доступна еще одна полезная утилита – PGPdisk, которая обеспечивает шифрование данных на жестких дисках компьютера. Смысл ее работы состоит в том, что вы можете создать как бы отдельный логический диск (том), информация на котором хранится в шифрованном виде. Шифрование производится автоматически при записи на этот том новых данных, а раскодирование – также автоматически при считывании.
Таким образом, принципиальный, стратегический шаг в деле обеспечения безопасности данных – определение того базового «джентльменского набора» защитных программ, о котором шла речь в данной главе. Разумеется, с течением времени этот набор будет изменяться (появятся новые программные инструменты или новые версии существующих, станут доступны новые технологии и т. д.). Но чем раньше вы привыкнете к мысли, что кроме игр, графических и текстовых редакторов, мультимедийных проигрывателей и бухгалтерских программ на компьютере должно быть установлено и сервисное программное обеспечение, тем лучше.
Глава 3
Настройка системных параметров
Первые две главы книги должны были убедить читателя в том, что восстановление данных начинается с их защиты. Чем внимательнее вы отнесетесь к профилактическим мерам, тем меньше времени и сил придется затратить на восстановление важной информации. Цель третьей главы – приблизить вас еще на один шаг к безопасности данных. Речь в ней пойдет о том, как лучше подготовить файловую систему компьютера к возможным неприятностям. Некоторые настройки достаточно просты, и для их выполнения даже не обязательно знать, что такое файловая система. Чтобы успешно справиться с другими, потребуется выяснить, как размещаются данные на жестком диске и какая системная информация используется для работы с ними.
Правила, которые следует выполнять
Как вы, вероятно, помните, одной из наиболее серьезных угроз безопасности данных является так называемый человеческий фактор. Ошибка, допущенная по невнимательности или по какой-то другой причине, может зачастую нанести больше вреда, чем самый страшный вирус. Поэтому полезно приучить себя к соблюдению некоторых правил, призванных снизить риск потери данных.
Среди новичков (и не только) встречаются две противоположные категории. Одни считают, что в настройках системы ничего менять не следует. Поскольку, мол, «от добра добра не ищут». Работает компьютер – и хорошо. Представители второй категории приступают к настройке системы «под себя», еще даже не уяснив как следует, чего же, собственно, они хотят добиться. Истина, как всегда, лежит где-то посередине.
Для начала попробуем определить, какие параметры системы влияют в той или иной степени на сохранность и восстанавливаемость данных.
Первое, о чем следует позаботиться, – это о возможности загрузки системы с резервного носителя в случае ее «краха», а также об управлении поведением системы на начальном этапе ее загрузки. Для установки соответствующих параметров потребуется познакомиться с BIOS.
Второй важный момент – это правильная организация работы с жесткими дисками. Какие бы альтернативные виды накопителей ни привлекали ваше внимание, ключевую роль в хранении данных и обеспечении работы системы в целом по-прежнему играют винчестеры. Поэтому для уверенной и корректной работы с данными весьма полезно представлять себе, как, собственно, выглядит файловая система «изнутри».
И, наконец, третья составляющая – это установка рациональных значений параметров, относящихся к пользовательскому интерфейсу файловой системы. Привыкнув решать многие задачи «буквально двумя щелчками мыши», мы не всегда даже обращаем внимание на ответную реакцию системы. А ведь иногда в ответ на бурное наше негодование по поводу удаленного файла или «зависания» системы она вполне могла бы заметить: «Мы ведь вас предупреждали…».
Установка параметров BIOS
BIOS (Basic Input/Output System – базовая система ввода-вывода) – это специальная программа, которая хранится в энергонезависимом ПЗУ (постоянном запоминающем устройстве) материнской платы и обеспечивает инициализацию загрузки системы, а также выполнение некоторых других функций, о которых будет сказано ниже.
Основные функции BIOS
Ранее BIOS рассматривалась как часть операционной системы, ответственная за взаимодействие ядра операционной системы с устройствами ввода-вывода (откуда, собственно, и название BIOS). Однако теперь ее можно считать, скорее, своеобразным драйвером материнской платы, играющим роль посредника между «железом» и операционной системой. Вообще же современные BIOS выполняют три основные задачи:
тестирование всего установленного на материнской плате оборудования (за исключением дополнительных плат расширения), в том числе модулей оперативной памяти; эта процедура называется POST (Power On Self Test – самотестирование при включении);
опознание и инициализацию устройств, подключенных к контроллерам, в том числе жестких дисков и приводов компакт-дисков и DVD;
инициализацию загрузки операционной системы.
По указанной причине используемые в настоящее время BIOS имеют несколько десятков настраиваемых параметров, из которых нас пока будут интересовать только имеющие отношение к восстановлению работоспособности системы.
ПРИМЕЧАНИЕ
На самом деле практически все параметрыBIOS в той или иной степени влияют на надежность или восстанавливаемость системыв целом в силу их важности. О том, как восстановить или обновить «испорченную» BIOS, будет рассказано в главе 5.
Для настройки параметров BIOS используется специальная программа – BIOS Setup. Она хранится в том же ПЗУ, что и сама BIOS. Способ активизации BIOS Setup зависит от особенностей материнской платы, но обычно для этого достаточно нажать клавишу Del сразу после завершения (или даже во время выполнения) процедуры самотестирования материнской платы.
Интерфейс BIOS Setup также может быть различным, что определяется в первую очередь фирмой-производителем. На сегодня общепризнанных фирм-производителей BIOS Setup, как ни странно, всего три: American Megatrends Inc (AMI), Award Software International и Microid Research. Причем последние две в настоящее время являются подразделениями компании Phoenix (www.phoenix.com), хотя созданные ими ранее варианты BIOS продолжают сопровождаться под прежними торговыми марками – Award BIOS и MR BIOS соответственно.
Многочисленные параметры BIOS распределены по нескольким разделам (окнам) программы BIOS Setup.
Параметры загрузки системы
Первый интересующий нас параметр определяет набор устройств, с которых разрешена загрузка операционной системы, и последовательность поиска таких устройств в составе компьютера. Параметр входит в раздел, который в программе BIOS Setup от компании Award называется BIOS Features Setup (установка параметров BIOS), а в варианте компании AMI – Advanced CMOS Setup (дополнительные параметры CMOS).
ПРИМЕЧАНИЕ
Аббревиатура CMOS означает complementary metal-oxide semiconductor (комплементарная МОП-структура) и используется для обозначения микросхемыпамяти, в которой хранятся текущие (пользовательские) значения параметров BIOS. CMOS является экономичной, но все-таки энергозависимой памятью, питаемой от специальной батарейки. Отключение батарейки приводит через некоторое время (около 2 часов) к утере содержимого CMOS. Термин CMOS иногда употребляется в качестве синонима BIOS, что не совсем корректно.
Наименование данного параметра и перечень его возможных значений зависят от версии используемой программы BIOS Setup. В некоторых версиях BIOS Setup для указания последовательности просмотра системных устройств применяется набор взаимосвязанных параметров. Ниже рассмотрены некоторые из наиболее распространенных вариантов.
Параметр Boot Sequence (последовательность загрузки). Непосредственно определяет список устройств, с которых разрешена загрузка системы, и последовательность просмотра таких устройств (рис. 3.1). Если устройство, указанное в списке первым, недоступно или имеющийся в нем сменный носитель не содержит системной информации, проверяется второе в списке устройство и так далее. Если ни одно из указанных устройств не способно выполнить загрузку, на экран выводится соответствующее сообщение.
Выбор наиболее подходящего варианта зависит от реальной конфигурации компьютера, а также от типа используемых системных резервных носителей.
СОВЕТ ____________________
Чтобы обеспечить более высокую скорость загрузки в обычном режиме работы, выберите вариант, в котором первым указан жесткий диск; если в качестве системного используется диск с интерфейсом SCSI, то первым в списке лучше указать его. И, разумеется, убедитесь, что не выбран вариант, запрещающий использование альтернативных устройств загрузки (например, C Only).
Следующие два варианта, задающие перечень разрешенных системных устройств, используются совместно.
HDD Sequence SCSI/IDE First (первый по порядку HDD). Возможные значения: IDE или SCSI. Параметр определяет, с какого из жестких дисков, IDE или SCSI, будет загружаться операционная система. При этом следует учитывать, что под диском SCSI понимается любой диск, не подключенный к контроллеру IDE на материнской плате. Поэтому в случае использования внешнего контроллера IDE для загрузки с подключенного к нему диска следует установить значение SCSI.
Removable Device (устройство со сменным носителем). Параметр позволяет указать тип устройства со сменным носителем, с которого следует загрузить операционную систему. Возможные значения:
Legacy Floppy – гибкий диск (дискета);
ATAPI CD-ROM – привод CD-ROM с интерфейсом ATAPI (IDE);
LS-120 – накопитель типа LS-120;
ZIP-100 – накопитель типа Iomega ZIP;
ATAPI MO – магнитооптический накопитель с интерфейсом IDE;
Disabled – загрузка с любого из указанных выше устройств запрещена.
В некоторых версиях BIOS Setup в качестве возможного значения параметра может быть использован вариант ARMD (ATAPI Removable Multimedia Device, то есть «мультимедийное устройство со сменным носителем»).
Следующие три параметра также используются совместно.
IDE Hard Drive (жесткий диск с интерфейсом IDE). Задает жесткий диск, с которого следует загрузить операционную систему. Может принимать значение C, D, E или F.
ATAPI CD-ROM. Указывает, с какого привода CD-ROM будет выполняться загрузка операционной системы. При циклическом нажатии клавиши Enter на экране должны последовательно отображаться имена всех приводов CD-ROM и CD-RW, установленных на компьютере.
Other Boo Device Select (выбор других устройств для загрузки). Позволяет определить устройство для загрузки операционной системы, не заданное в параметрах IDE Hard Drive или ATAPI CD-ROM.
Возможные значения:
Network – загрузка с сетевого сервера;
SCSI Boot Device – загрузка с любого доступного SCSI-устройства;
Disabled – загрузка с сервера или SCSI-устройства не требуется.
Набор параметров, с помощью которых выполняется указание порядка просмотра устройств для загрузки системы, зависит от конкретной версии BIOS Setup. В свою очередь, при выборе значений этих параметров следует учитывать тот реальный набор устройств, пригодных для загрузки системы, которым вы располагаете. Тем не менее при изменении этого набора вы всегда сможете скорректировать и параметры BIOS.
Параметры антивирусной защиты и контроля доступа
Практически все современные BIOS содержат в своем составе средства диагностики и/или защиты системного жесткого диска от вирусов.
BIOS контролирует поведение программ, пытающихся что-либо изменить в системной области диска. Соответственно защита, реализуемая BIOS, направлена в первую очередь против загрузочных вирусов. С помощью BIOS Setup можно разрешить или запретить такую защиту.
Наименования соответствующих параметров также зависят от версии BIOS Setup, но практически везде они входят в раздел BIOS Features Setup (в BIOS от компании Award) или Advanced CMOS Setup (в варианте компании AMI).
Параметр Virus Warning (предупреждение о вирусе). Возможные значения:
Enabled – блокируется любая попытка записи в загрузочный сектор жесткого диска без разрешения пользователя;
Disabled – защита отключена.
Такой же смысл и аналогичные значения имеет другой вариант этого параметра – Anti-Virus Protection (антивирусная защита).
Параметр Boot Virus Detection (обнаружение загрузочных вирусов) также может принимать значение Enabled или Disabled. Однако смысл этого параметра отличается от Virus Warning. Идея заключается в следующем: если установлено значение Enabled, то до загрузки операционной системы BIOS переписывает загрузочный сектор во флэш-память и сохраняет его там. При следующей загрузке BIOS не будет загружать систему с жесткого диска, если содержимое boot-сектора отличается от сохраненного в CMOS. Дальнейшие действия выбираются пользователем: можно загрузить систему либо с жесткого диска (если вы уверены, что произошедшие изменения корректны), либо с системного гибкого диска.
При борьбе с вирусами достаточно важное значение имеет еще одна особенность современных BIOS. Производители BIOS стремятся повысить их адаптивность к быстро изменяющимся «типовым» конфигурациям компьютеров. С этой целью BIOS часто записывается не в ПЗУ, содержимое которого можно изменить только с помощью специального устройства – программатора, а в перезаписываемые микросхемы (flash), содержимое которых можно изменить программно. Разумеется, создатели вирусов не преминули использовать возможность напакостить пользователям, испортив содержимое Flash BIOS. Так вот, при наличии в настройках BIOS параметра Flash BIOS Protection (защита Flash BIOS) его обязательно следует установить в положение Enabled. В этом случае микросхема Flash BIOS будет закрыта для записи.
В некоторых версиях BIOS Setup в разделе параметров BIOS Features Setup присутствует параметр, в определенной степени связанный с защитой от несанкционированного копирования данных. Он называется Floppy Disk Access Control (R/W) (управление доступом к гибкому диску).
Возможные значения:
Enabled – запись информации на гибкий диск разрешена;
Disabled – допускается обращение к гибкому диску только для чтения.
Вы можете также установить средствами BIOS Setup пароль на загрузку системы и/или на доступ к настройкам BIOS. Для этого достаточно выбрать соответствующий пункт в списке разделов BIOS Setup и в дополнительном окне ввести значение пароля. Обычно пункты меню для указания пароля именуются следующим образом:
Setup Supervisor Password (установить пароль супервизора) (рис. 3.2);
Setup User Password (установить пароль пользователя); после установки пароля наименование раздела изменяется на Change User Password (изменить пароль пользователя).
После установки пароля целесообразно вернуться в раздел параметров BIOS Features Setup и установить подходящее значение для параметра Security Setup (параметры защиты):
Setup (установка) – пароль запрашивается при запуске программы BIOS Setup;
System (система) – пароль запрашивается перед загрузкой ОС.
Следует иметь в виду, что для любой BIOS существуют так называемые инженерные пароли, которые имеют более высокий приоритет, чем любой пользовательский пароль. Эти пароли устанавливаются фирмами-производителями BIOS и предназначены, в общем-то, для специалистов из сервисных служб. Однако инженерным паролем может воспользоваться и злоумышленник.
Кроме того, выбранный вами (пользовательский) пароль запоминается в CMOS, как и другие параметры BIOS. Обесточив CMOS, можно тем самым отменить наряду с другими пользовательскими настройками и парольную защиту.
Параметры защиты по питанию
На самом деле такой параметр только один, но в разных версиях BIOS Setup он может иметь разные наименования и разные варианты допустимых значений.
Речь идет о параметре, который в Award BIOS называется State after Power Failure (состояние после аварийного отключения питания). Параметр определяет, что делать с компьютером после аварийного отключения электропитания.
Возможные значения:
Off – после восстановления питания компьютер остается выключенным;
On – после восстановления питания компьютер включается (даже если он ранее был выключен);
Auto, или Last State, – после восстановления питания компьютер переходит в то состояние, в котором был до отключения.
Очевидно, что первый вариант является наиболее безопасным и безболезненным для системы. Особенно в тех случаях, когда имеет место несколько последовательных отключений, а пользователь отсутствует за компьютером.
Поэтому даже если вы используете ИБП, установите параметр State after Power Failure в положение Off.
Установка параметров файловой системы
Несколько упрощая, можно сказать, что файловая система – это часть операционной системы, которая «отвечает» за корректное хранение данных и предоставление доступа к ним пользователю и прикладным программам.
Можно также сказать, что файловая система имеет два лица: одно из них, доброжелательное и несколько простоватое, обращено к человеку. Общаясь с этой стороной файловой системы, пользователь видит только папки и «документы». Причем черты этого «лица» практически одинаковы для всех современных ОС с графическим интерфейсом. Работая в среде Windows 98, Windows XP или даже Linux, мы видим все то же дерево папок, открываем папки и файлы щелчком мыши, перетаскиваем их из одного места в другое и т. д.
Второе лицо файловой системы, суровое и сосредоточенное, изборожденное задумчивыми складками и даже (иногда) шрамами, обращено к «железу» компьютера и к компонентам системного программного обеспечения. Лишь взглянув на файловую систему с этой стороны, вы можете определить, в состав какой ОС она входит.
Более того: одна и та же ОС может поддерживать работу нескольких разнотипных файловых систем. Скажем, для перезаписываемых компакт-дисков в настоящее время используется пять (!) различных типов файловых систем. Так о чем же пойдет речь в данном разделе?
Вначале мы рассмотрим особенности организации файловых систем, используемых при работе с жесткими дисками в среде ОС Windows 98 и Windows XP. Причем с той стороны, которая обращена к «железу».
Затем мы подойдем к файловой системе с другой стороны, то есть со стороны папок и файлов. И поговорим о тех параметрах, которые призваны защищать пользователя от «глупых», «дурацких» и тому подобных ошибок в работе с данными.
Организация хранения данных на жестком диске
В процессе создания на жестком диске файловой системы определенного типа выполняется логическое форматирование диска. Полученная логическая структура зависит, с одной стороны, от особенностей файловой системы, а с другой – от физической структуры диска.
Физическая структура жесткого диска
Жесткий диск хранит информацию блоками фиксированного размера, которые называются секторами. Сектор (sector) является наименьшей порцией данных, имеющей уникальный адрес на жестком диске. Размер сектора стандартный для всех жестких дисков и составляет 512 байт. Для ускорения доступа к данным поверхность диска разделена на концентрические дорожки (track). Сектор, соответственно, является частью дорожки.
Поскольку каждый жесткий диск – это «слоеный пирог» из нескольких дисков, то совокупность дорожек, одинаково удаленных от центра на всех рабочих поверхностях дисков, образует так называемый цилиндр (cylinder). В свою очередь, каждая рабочая поверхность диска «обслуживается» отдельной магнитной головкой. Поэтому часть дискового пространства, соответствующую одной рабочей поверхности, называют головкой (head) (рис. 3.3).
//-- Рис. 3.3. Физическая структура жесткого диска --//
Таким образом, общая емкость диска (V) вычисляется как произведение четырех сомножителей: числа цилиндров (С), количества секторов на одной дорожке (S), размера одного сектора (512) и числа головок (H):
V = C х S х 512 х H.
В соответствии с ограничениями BIOS предыдущего поколения и контроллеров жестких дисков для кодирования номера цилиндра выделяется 10 двоичных разрядов, для кодирования номера головки – 4 разряда, и для номера сектора – 6 разрядов.
В результате максимальное адресуемое пространство жесткого диска при использовании трех координат (номер цилиндра, номер головки, номер сектора) ограничено значением 528 Мбайт:
(210 = 1024 цилиндра) х (24 = 16 головок) х (26-1 = 63 сектора) х х 512 байт = 528 Мбайт.
Такой способ адресации получил обозначение CHS (Cylinder, Head, Sector); сейчас он обычно именуется «обычным» режимом адресации – Normal, и под таким именем используется, в частности, в параметрах BIOS.
ПРИМЕЧАНИЕ
Обратите внимание, что первый сектор в адресном пространстве CHS имеет номер 1, то есть CHS-адрес этого сектора – (0, 0, 1).
До появления жестких дисков большой емкости (более 528 Мбайт) проблем с адресацией данных на диске не возникало.
Однако с появлением дисков большего объема система адресации CHS была заменена линейной адресацией – LBA (Logical Block Addressing, адресация логических блоков), в которой используется «сквозная» нумерация секторов (блоков) по всем цилиндрам и головкам:
LBA = (Cylinder х Heads + Head) х Sectors + (Sector – 1).
В приведенной выше формуле использованы следующие обозначения:
Cylinder – номер цилиндра;
Heads – количество головок диска;
Head – номер головки, к которой относится адресуемый блок;
Sectors – количество секторов на дорожке;
Sector – номер адресуемого блока (сектора) на дорожке.
При этом нумерация логических блоков начинается с нуля, то есть логический блок с номером 0 в адресации LBA соответствует первому сектору в адресном пространстве CHS (то есть сектору с адресом (0, 0, 1)).
Таким образом, логический блок – это сектор, пронумерованный в соответствии с адресацией LBA.
ПРИМЕЧАНИЕ
При увеличении номера блока в первую очередь меняется номер сектора, потом номер головки, потом номер цилиндра. Отсюда следует, что цилиндры – это самые большие области смежных блоков данных. По этой причине цилиндры являются границами, по которым выравниваются разделы при их создании «вручную» (точнее, с помощью низкоуровневых редакторов дисков).
Благодаря объединению всех двоичных разрядов адреса в номер логического блока адресация LBA позволила увеличить поддерживаемую емкость дисков до 2 Тбайт, а также более гибко изменять размер кластера в зависимости от размера диска.
Кластер (Cluster) – это минимальный участок памяти на диске, который может быть выделен файловой системой при создании файла. Физически кластер представляет собой несколько смежных секторов, число которых должно быть равно степени 2 (то есть кластер может включать 1, 2, 4, 8, 16, 32 или даже 64 сектора).
ПРИМЕЧАНИЕ ____________________
Кластеры нумеруются в пределах одного логического диска, Первый кластер логического диска имеет номер 0. Для каждого логического диска пользователем может быть задан свой размер кластера. Понятие «логический диск» рассмотрено ниже.
Размер кластера существенно влияет на эффективность использования дискового пространства. Например, если размер кластера составляет 32 Кбайт, это означает, что самый маленький файл (скажем, одна буква «Я») будет занимать на диске 32 Кбайт.
При работе с файловой системой (FAT32 или NTFS) пользователь может на этапе логического форматирования диска выбрать размер кластера с учетом емкости диска, задав соответствующий параметр в программе форматирования. В табл. 3.1 приведены возможные варианты.
Существует и еще один метод адресации дискового пространства – LARGE. Он применяется для тех дисков большого объема, которые не поддерживают режим LBA. Метод LARGE заключается в следующем. Если число цилиндров диска превосходит предельное значение 1024, то выбирается коэффициент К, при делении на который оно становится меньше или равно 1024. Например, если число цилиндров больше 1024 и меньше 2048, то К будет равен 2; если число цилиндров лежит в диапазоне от 2048 до 4096, то Кравен 4, и т. д. (Квыбирается равным степени 2). Число головок диска, наоборот, умножается на выбранный коэффициент К. Это не приведет к выходу за пределы адресного пространства, поскольку появление 32-разрядных операционных систем позволило выделять для нумерации головок 8 разрядов вместо 4 (соответственно, максимальный номер головки может быть равен 2 -------
| Библиотека iknigi.net
|-------
|
-------
– 1 = 255).
Недостаток метода LARGE состоит в том, что в некоторых версиях BIOS могут использоваться свои алгоритмы пересчета параметров диска, отличающиеся от описанного выше. Вследствие этого жесткий диск на компьютерах с разными BIOS может в режиме LARGE иметь различную геометрию, а это, в свою очередь, может вызвать потерю записанных на диске данных.
Узнать применяемый метод адресации и геометрию установленных на компьютере жестких дисков можно с помощью программы BIOS Setup (рис. 3.4).
Рис. 3.4. Метод адресации и геометрию жестких дисков можно узнать с помощью BIOS Setup
Формирование физической структуры диска, то есть разбиение его на дорожки, цилиндры и секторы, выполняется на этапе низкоуровневого (физического) форматирования. В настоящее время такая операция выполняется производителями дисков, и в большинстве случаев физическая структура не может быть изменена пользователем. В отличие от логической структуры, к описанию которой мы переходим.
Логическая структура жесткого диска
Логическое форматирование жесткого диска выполняется пользователем либо с помощью стандартных (служебных) утилит, поставляемых вместе с операционной системой, либо с помощью специальных сервисных программ от сторонних производителей. Рекомендации по выбору и применению таких программ приведены в разделе «Создание логических дисков и изменение их атрибутов».
В любом случае логическое форматирование диска производится в два этапа:
♦ разбиение диска на разделы;
♦ создание логических дисков и их форматирование.
Сначала о том, что такое раздел и какие существуют типы разделов.
Раздел (Partition) – это часть физического диска, которая после форматирова– ния может использоваться файловой системой как отдельное устройство (исключение составляет так называемый дополнительный раздел, о котором сказано ниже). В простейшем случае весь жесткий диск может быть представлен един– ственным разделом. Особенности использования и допустимые операции по работе с разделом зависят от его типа.
Различают следующие типы разделов.
♦ Основной раздел (Primary Partition), который иногда называют «первичным» разделом, – это часть физического диска, с которой можно работать как с отдельным физическим устройством. Важнейшей особенностью основного раздела является то, что только с раздела такого типа может производиться загрузка операционной системы. Каждый основной раздел имеет собственное имя – букву диска. На одном физическом диске с главной загрузочной записью (о ней будет сказано ниже) можно создать до четырех основных разделов либо три основных раздела и один дополнительный раздел с несколькими логическими дисками.
♦ Дополнительный раздел (Extended Partition), который иногда не очень правильно называют «расширенным», – это специальный раздел, который создается (точнее, может быть создан) на жестком диске с целью преодоления ограничений на максимально допустимое число основных разделов. В отличие от основного раздела, дополнительный раздел не требуется форматировать и ему не назначается буква диска. Вместо этого на дополнительном разделе создается один или несколько логических дисков.
♦ Логический диск – это часть дополнительного раздела, с которой можно работать как с отдельным устройством. Логический диск должен быть отформатирован и ему должна быть присвоена буква диска. Число создаваемых логи– ческих дисков не ограничено (ограничен лишь их суммарный объем: он не должен превышать размера дополнительного раздела, на котором создаются диски). Правда, реальное число доступных логических дисков ограничено числом 26, то есть длиной английского алфавита.
Каждому основному разделу, создаваемому на физическом диске, также ставится в соответствие логический диск. И в дальнейшем операционная система работает именно с логическими дисками, не «опускаясь» до уровня секторов и цилиндров, с которыми работает BIOS.
ПРИМЕЧАНИЕ
Для большей определенности логические диски, соответствующие основным разделам, в документации Windows именуются томами.
И так, на каждом физическом жестком диске компьютера может быть создано несколько разделов, с которых возможна загрузка операционных систем. Причем допустима ситуация, когда на разных томах установлены разнотипные операционные системы.
Возможна и такая конфигурация, при которой компоненты одной ОС распределены по нескольким дискам. В связи с этим введем еще два понятия.
Системный раздел – это раздел, содержащий файлы операционной системы.
Загрузочный раздел – это раздел, содержащий файлы, необходимые для загрузки операционной системы.
ПРИМЕЧАНИЕ
По какой-то загадочной причине в документации Windows системные тома именуются загрузочными и наоборот. В соответствии с этой документацией системный том содержит файлыподдержки оборудования, необходимые для загрузки Windows, а на загрузочном томе размещаются файлыоперационной системыWindows. Причем загрузочный том не обязательно является системным (каково, а?!). Основным признаком системного диска для ОС можно считать наличие в его корневой папке файла boot.ini, который содержит параметрыпроцедурызагрузки установленных ОС. Подробнее о роли файла boot.ini в процессе загрузки системыи поддержании ее работоспособности рассказано в главе 5.
В конфигурации компьютера может иметься несколько загрузочных разделов (например, один – для загрузки Windows 98, второй – для загрузки Windows XP, третий – для загрузки Linux).
Чтобы BIOS могла определить, с какого именно раздела должна выполняться загрузка при включении компьютера, используется признак активности раздела.
Активный раздел – основной раздел, с которого производится загрузка ОС при включении компьютера. Признак активности устанавливается для раздела при его создании, но может быть впоследствии установлен для другого раздела.
Теперь несколько слов о том, как организована и где хранится информация о созданных разделах.
На этапе разбиения диска на разделы в первый сектор диска (цилиндр 0, головка 0, сектор 1) записывается служебная информация, которая, собственно, и делает возможным дальнейшее применение диска «по назначению»:
в начало сектора помещается так называемая главная загрузочная запись – Master Boot Record (MBR). Она содержит программу начальной загрузки BIOS (ROM Bootstrap routine), которая считывает и загружает в оперативную память первый физический сектор активного раздела диска, называемый загрузочным сектором (Boot Sector);
после MBR, начиная с адреса 1BE (в шестнадцатеричном коде), создается таблица разделов (Partition Table), состоящая из 4 строк по 16 байт каждая (вот с чем связано ограничение в 4 основных раздела). Каждая запись в таблице разделов содержит адрес начала и размер раздела на жестком диске, а также информацию о том, является ли раздел активным.
В свою очередь, каждый раздел (кроме дополнительного) также имеет в своем составе служебную область, в которую обязательно входит загрузочная запись раздела – Boot Record (BR). Загрузочные записи логических дисков, входящих в состав дополнительного раздела, помещаются в каждый из них.
Загрузочная запись раздела (и логического диска) располагается в его первом секторе. Как и MBR, она содержит программу загрузки. Только в данном случае имеется в виду загрузка ОС, установленной на данном диске. Если диск не является системным, то при попытке загрузиться с него программа загрузки выдаст сообщение об ошибке.
Кроме того, в BR логического диска имеется своя (дополнительная) таблица разделов, EPT (Extended Partition Table). Если дополнительный раздел содержит несколько логических дисков, то EPT каждого логического диска (кроме последнего) содержит ссылку на EPT следующего логического диска.
Состав других компонентов, относящихся к служебной области раздела (логического диска), зависит от типа файловой системы, под которую он отформатирован.
Хранение данных в файловой системе FAT32
Файловая система FAT32 предназначена для хранения данных на жестких дисках и поддерживается операционными системами Windows 98/ME, Windows 2000/XP и Windows 2000/2003 Server. Структура FAT32 унаследована ею от файловой системы FAT, применявшейся в MS DOS.
Логическая структура диска в FAT32
Аббревиатура FAT означает File Allocation Table (таблица размещения файлов). Эта таблица хранит информацию о папках и файлах, имеющихся на жестком диске, и является одним из основных компонентов файловой системы. Число 32 указывает на разрядность чисел, используемых для нумерации элементов данных на диске. Очевидно, что чем «длиннее» число, тем большее количество элементов данных можно пронумеровать с его помощью. Теоретически FAT32 может работать с томами емкостью 2 Тбайт.
К служебным компонентам FAT32 относятся:
загрузочная запись раздела – Boot Record (BR);
таблица размещения файлов (FAT);
корневой каталог.
После служебной области располагается область данных (рис. 3.5).
ПРИМЕЧАНИЕ
В секторе под номером 6 (от начала раздела с файловой системой FAT32) хранится резервная копия загрузочной записи раздела. В других версиях файловой системыFAT типа FAT12 и FAT16 резервная копия BR отсутствует.
Рис. 3.5. Логическая структура раздела файловой системы FAT32
Таблица размещения файлов (FAT), которая дала название целому семейству файловых систем, хранит сведения о распределении файлов по кластерам из области данных. Ее структура достаточно проста: таблица содержит однотипные ячейки по числу кластеров в области данных раздела. Содержимое каждой ячейки определяет, занят ли соответствующий кластер или свободен. Если кластер занят (то есть выделен под какой-либо файл), то в ячейке хранится ссылка на следующий кластер, отданный этому файлу. В ячейке, соответствующей последнему кластеру файла, записывается признак конца файла (EOF – End Of File, «конец файла»).
Почему возникает необходимость связывать ссылками кластеры одного файла, вместо того чтобы разместить данные в соседних кластерах? Если бы файлы записывались на диск последовательно и ни один из них впоследствии не удалялся или не изменялся бы в размере, то так бы, вероятно, и было. Однако после удаления файла его кластеры распределяются под новый файл, размер которого будет, скорее всего, другим. Если новый файл окажется больше предыдущего, то его «хвост» придется дописывать на другой свободный участок. Если же новый файл окажется меньше, то после его записи останется «дыра», которую файловая система отдаст при случае следующему файлу. Очевидно, что уже после месяца интенсивной работы с файлами дисковое пространство будет напоминать своеобразные пазлы (puzzle), сложить которые в цельную картину без участия FAT не получится (рис. 3.6).
ПРИМЕЧАНИЕ
Освобождение и повторное использование дискового пространства приводит к так называемой фрагментации диска, о которой пойдет речь в подразделе «Обслуживание дисков» данной главы. Более подробно структура таблицы размещения файлов рассматривается в разделе «Восстановление структуры файловой системы» главы 5.
Для повышения надежности хранения данных каждый раздел содержит две копии FAT, которые можно условно обозначить как FAT1 и FAT2. Запись информации в обе копии выполняется автоматически, и так же автоматически файловая система переходит к работе с FAT2, если прочитать FAT1 не удается. Однако сравнение содержимого таблиц не производится, и если они различаются, то определить, какая из них «правильная», можно только «методом дедукции».
Рис. 3.6. Пример распределения пространства раздела
Корневой каталог содержит описание записанных в нем файлов (имя, атрибуты, номер первого кластера файла) и, по сути, ничем не отличается от любого другого каталога (папки), созданного на диске. Особое внимание к корневому каталогу в FAT32 можно считать традицией, унаследованной от предыдущих версий файловой системы (FAT12 и FAT16).
Корневой каталог в FAT32, в отличие от ее предшественницы FAT16, может располагаться не «впритык» к FAT2, а в произвольной позиции области данных. Ссылка на номер первого кластера корневого каталога хранится в загрузочной записи раздела. Благодаря предоставленной «свободе» корневой каталог в FAT32 может при необходимости расширяться (в FAT16 его размер фиксирован и он не может содержать более 512 записей).
Из всего сказанного выше следует вывод, весьма важный с точки зрения проблемы сохранения и восстановления данных: создание нескольких логических устройств даже при наличии единственного физического диска позволяет повысить надежность хранения данных. Разумеется, если вы знаете, как именно использовать такую возможность.
Настраиваемые параметры FAT32
При форматировании раздела или логического диска под файловую систему FAT32 пользователь может выбирать значение размера кластера. Этот параметр весьма важен не только с точки зрения рационального использования пространства диска, но и с точки зрения эффективности операций по восстановлению данных.
Дело в том, что успешность восстановления данных существенно зависит от соотношения размера кластера и среднего размера записываемых на диск файлов. Если выбрать размер кластера, примерно равный среднему размеру файлов (с некоторым запасом), то велика вероятность того, что файл будет «умещаться» в одном кластере. Восстановить такой файл значительно проще, чем состоящий из десятка кластеров, разбросанных по всему диску.
С другой стороны, чем больше размер кластера, тем сложнее файловой системе отыскать на диске свободный участок, достаточный для размещения непрерывной цепочки кластеров. Соответственно увеличение размера кластера повышает вероятность быстрой фрагментации диска. Поэтому кластеры большого размера целесообразно использовать для таких дисков (разделов), на которые предполагается записывать редко изменяемые файлы большого размера, например файлы с мультимедийными (видео– или аудио-) данными.
Чтобы оценить возможные потери дискового пространства для различных размеров кластера, можно воспользоваться утилитой, которая входит в состав программы Norton PartitionMagic (подробнее о ней рассказано в следующем разделе, «Инструменты для работы с разделами дисков»). Утилита, о которой идет речь, позволяет изменить размер кластера выбранного раздела, но предварительно предлагает оценить выбранное решение (рис. 3.7).
//-- Рис. 3.7. Влияние размера кластера на потери дискового пространства --//
Хранение данных в файловой системе NTFS
Файловая система NTFS (New Technology File System) была разработана для операционной системы Windows NT, а ее обновленные версии используются в ОС Windows 2000/XP.
Поскольку в качестве «посредника» при работе с жестким диском NTFS использует все ту же BIOS, то физическая структура диска для нее безразлична.
А вот логическая структура диска, которая необходима NTFS для корректной работы, принципиально отличается от используемой файловыми системами из семейства FAT.
Все особенности NTFS обусловлены тем, что она изначально разрабатывалась как система повышенной надежности, предназначенная для использования в корпоративных (многопользовательских) системах. Соответственно, реализованные в ней технические решения направлены на повышение защищенности данных от несанкционированного доступа и на обеспечение отказоустойчивости системы. Кроме того, в ней учтены потребности работы с большими объемами данных. Учтена в NTFS также особенность организации вычислений в операционных системах семейства NT, основанная на понятии потока (stream) и на объектно-ориентированной идеологии. В частности, файл рассматривается в NTFS как объект с некоторым набором атрибутов. Например, имя файла – это его атрибут, содержимое файла – это также его атрибут. Приложение, работающее с файлом, может создавать для него любые дополнительные атрибуты.
Отказоустойчивость (а точнее, способность к самовосстановлению) NTFS основана на использовании понятия транзакции. Суть технологии восстановления состоит в следующем. Любая операция, связанная с модификацией данных, заносится в файл протокола. Если все действия, необходимые для выполнения операции, завершаются удачно, транзакция считается выполненной. В противном случае на основе протокола выполняется отмена частично выполненной операции.
Кроме того, с периодичностью в несколько секунд NTFS фиксирует текущее состояние системы, запоминая его основные параметры в так называемой контрольной точке. В случае возникновения серьезной ошибки производится возврат к состоянию, зафиксированному в последней контрольной точке.
Следует отметить и наличие специфических сервисов NTFS, непосредственно встроенных в эту систему: возможность шифрования файлов и возможность сжатия данных.
В силу перечисленных факторов логическая структура NTFS несколько сложнее по сравнению с FAT, однако некоторые общие черты все-таки имеются.
NTFS, как и FAT, распределяет дисковое пространство кластерами, но для адресации кластера в ней отводится не 32, а 64 разряда. Это дает возможность нумеровать свыше 16 миллиардов кластеров. Размер кластера в NTFS может меняться, но он не зависит жестко от размера диска (или раздела). Для маленьких дисков стандартным размером кластера считается 512 байт, для больших – 4 Кбайт.
ПРИМЕЧАНИЕ
Оптимальный размер кластера устанавливается автоматически стандартной утилитой форматирования FDISK NTFS при форматировании раздела, однако впоследствии пользователь может изменить этот размер с помощью одной из программ для работы с дисками.
Теперь непосредственно о логической структуре раздела, отформатированного под файловую систему NTFS.
В силу объектного подхода все элементы раздела, в том числе служебные, рассматриваются в NTFS как файлы с определенным набором атрибутов. Файлы со служебной информацией называются файлами метаданных, или метафайлами. К ним относятся (рис. 3.8):
загрузочный файл (Boot File), в котором находится код программы начальной загрузки операционной системы, параметры физического диска, на котором размещается раздел NTFS (тип носителя, число дорожек и головок), а также размер кластера данного раздела NTFS, адрес MFT и адрес ее копии; загрузочный файл размещается в первом секторе диска NTFS, а его резервная копия располагается в конце раздела (в NTFS-4 она начиналась с позиции, соответствующей логическому центру раздела);
главная таблица файлов, MFT (Master File Table); MFT расположена в самом начале раздела (после загрузочной записи) и состоит из записей, которые содержат атрибуты всех файлов тома, в том числе атрибуты метафайлов; первая запись MFT хранит атрибуты самой MFT; за ней следует запись, указывающая на расположение частичной копии MFT (она содержит записи, относящиеся только к метафайлам), записи с третьей по шестнадцатую отведены под атрибуты других метафайлов; семнадцатая и последующие записи главной файловой таблицы используются собственно файлами и каталогами на томе; при создании этого файла его размер составляет всего около 16 Кбайт, но он увеличивается по мере создания на диске файлов и папок. Для каждого нового файла в MFT добавляется запись размером 1024 байт (1 Кбайт);
файл журнала транзакций (Log File); о его назначении было сказано ранее;
файл тома (Volume File), содержащий метку тома, версию NTFS, для которой он отформатирован, и признак, который, будучи установленным, говорит, что том поврежден и должен быть исправлен стандартной утилитой операционной системы Chkdsk;
таблица определения атрибутов (Attribute Definition Table), которая задает типы атрибутов файлов, поддерживаемые на томе, и перечень допустимых операций над ними;
корневой каталог, содержащий индекс файлов и папок, хранящихся в корне дерева папок тома; получив первый запрос на открытие некоторого файла, NTFS начинает поиск этого файла с файловой записи корневого каталога;
файл битовой карты (BITMAP), который хранит схему распределения пространства на томе; каждый бит этой карты соответствует определенному кластеру тома и указывает, свободен ли данный кластер или распределен некоторому файлу;
файл плохих кластеров (Bad Cluster File) – него заносятся номера всех поврежденных кластеров (для которых не удалось выполнить операцию чтения или записи).
Рис. 3.8. Логическая структура раздела файловой системы NTFS
ПРИМЕЧАНИЕ
Под логическим центром диска в данном случае понимается кластер, номер которого равен половине размера диска (для дисков с нечетным числом кластеров центр смещен на 1 позицию «влево»).
Имена всех метафайлов начинаются с символа $. Например, файл главной таблицы называется $MFT. Эти файлы нельзя читать или копировать обычными средствами ОС (например, с помощью Windows Explorer). Тем не менее существуют специальные инструменты, позволяющие не только открывать, но и редактировать служебную информацию NTFS. Некоторые из таких инструментов будут рассмотрены в разделе «Восстановление структуры файловой системы NTFS» главы 7.
Конфигурирование логических дисков
Теперь, когда вы знаете о «внутреннем мире» жесткого диска почти все, мы можем перейти к рекомендациям относительно его правильного использования в вашем компьютере.
Обычно будущий пользователь приобретает компьютер с предустановленной операционной системой. При этом, как правило, жесткий диск сконфигурирован таким образом, что на нем имеется единственный раздел – основной. Нечасто также встречаются в продаже конфигурации компьютеров с двумя или более жесткими дисками. Необходимость обзавестись дополнительным HDD осознается лишь через некоторое (более или менее продолжительное) время. К этому моменту на исходном диске уже имеется изрядное количество установленных программ и файлов с разнообразными данными. Причем половину из них хотелось бы «перебросить» на новый диск. А создание резервной копии данных при наличии единственного HDD представляется невозможным. Дополнительные проблемы появляются в том случае, если возникает непреодолимое желание (или необходимость) установить новую операционную систему, сохранив при этом работоспособность установленных ранее программ. Или начинает лавинообразно возрастать число сбойных секторов в системном разделе, в связи с чем приходится перемещать его на новое место. Или объем раздела, отведенного под пользовательские данные, оказывается недостаточным, и его приходится увеличивать за счет других разделов.
Короче говоря, рано или поздно вы столкнетесь с необходимостью изменить первоначальную конфигурацию разделов и/или логических дисков.
Дать универсальные рекомендации по составу и размещению логических дисков весьма сложно, поскольку выбор зависит от целого ряда факторов, а именно:
количества и емкости имеющихся HDD;
числа и типов планируемых к установке операционных систем;
характера решаемых на компьютере задач; например, для пользователя, у которого основной «инструмент» – мультимедийный проигрыватель, а данные – это аудиозаписи и видео, рациональная конфигурация будет совершенно иной, чем для человека, занимающегося тестированием альтернативных программных продуктов.
Тем не менее существует несколько общих правил, которых все-таки полезно придерживаться.
Не следует отводить весь жесткий диск под один логический диск, на котором будут размещены и системные и пользовательские данные. Как правило, емкость современных HDD существенно превышает емкость тех носителей, которые могут быть использованы для хранения резервной копии системы. Поэтому значительно удобнее создать на HDD системный раздел, соответствующий потребностям системы. Даже для такой ресурсоемкой ОС, как Windows XP, обычно требуется не более 1,5–2 Гбайт. Это позволяет без труда записать резервную копию системы, например, на два-три компакт-диска (или на один DVD).
Перед разбиением физического диска (дисков) на разделы оцените ваши ближайшие перспективы с точки зрения использования нескольких операционных систем, а также устанавливаемых приложений и объема пользовательских данных.
Перед созданием системных разделов под операционные системы уточните требования каждой из них к размеру дисковой памяти, а также возможность размещения вспомогательных системных областей на отдельных логических дисках. Например, для Windows XP файл подкачки (область свопинга) можно формировать на отдельном логическом диске (рис. 3.9), что позволяет не только уменьшить необходимый размер системного раздела, но избавить системный диск от лишних обращений.
Следует учитывать «взаимоотношения» между различными типами операционных систем. Те из них, которые поддерживают одинаковые типы файловых систем, могут «совать нос» в те разделы, которые для них не предназначены. И наоборот, возможны конфликты операционных систем, когда ранее установленная ОС не позволит новой ОС забрать один из созданных разделов. Следует также учитывать, что наличие нескольких ОС может приводить к смещению букв логических дисков при их монтировании загружаемой операционной системой (понятие монтирования дисков будет рассмотрено ниже).
Постарайтесь выделить специальный логический диск для хранения особо важных данных, с которыми вы работаете. Его размер желательно выбирать таким, чтобы можно было выполнять резервное копирование раздела на доступный резервный носитель.
Если отсутствует возможность использования альтернативного носителя для хранения резервной копии пользовательских данных, но имеется достаточное пространство на жестком диске, целесообразно создать специальный раздел для хранения резервной копии данных. Такой «резервный» раздел, впрочем, может оказаться полезным и при наличии альтернативного носителя.
Вместе с тем не стоит выбирать некую усложненную конфигурацию в расчете на изменение ваших интересов в неопределенном будущем. Существующие программные средства позволяют практически безболезненно изменять конфигурацию логических дисков в случае необходимости.
Рис. 3.9. Создаваемый логический диск может иметь специфическое предназначение
Как было сказано выше, имена логических дисков (буквы дисков) могут быть изменены операционной системой при ее загрузке. Если вы создаете новые разделы после того, как на прежних дисках уже были установлены прикладные программы, смещение букв дисков может привести к неработоспособности некоторых приложений. Чаще всего такой опасности подвергаются приложения, которые используют в своей работе данные на компакт-дисках, – ведь смещение букв разделов жестких дисков приводит к изменению букв, назначенных CD-приводам.
Чтобы свести к минимуму возможные накладки, связанные со смещением букв дисков, требуется иметь представление о том, что такое монтирование дисков.
Монтирование дисков
Каждый раздел диска, отформатированный под некоторую файловую систему, содержит корневой каталог и определяет часть дискового пространства, доступную пользователю и прикладным программам. Чтобы операционная система могла находить файлы пользователя, ей требуется указание точного маршрута (пути – path) доступа к файлу, который складывается из имени логического диска, дерева папок и имени файла. Например, маршрут C:\Book\New_edit\Chap_1.doc указывает, что файл Chap_1.doc находится на диске C:, в папке Book\New_edit.
Эти правила достаточно хорошо известны большинству пользователей. Однако в определении маршрута доступа имеется один момент, который не всегда учитывается, в том числе при установке программного обеспечения.
Оказывается, имя логического диска, присутствующее в описании маршрута, не всегда совпадает с именем раздела, назначенным пользователем при создании раздела.
В чем причина? Дело в том, что операционная система при загрузке просматривает имеющиеся на жестких дисках разделы и включает в текущую конфигурацию только те из них, на которых имеется файловая система, поддерживаемая данной ОС.
Операция включения раздела в текущую конфигурацию файловой системы компьютера называется монтированием (mounting).
Монтирование происходит при старте операционной системы, с этой операции начинается взаимодействие ОС с файловыми системами. С точки зрения пользователя результатом монтирования является назначение символьного имени разделу.
Отсюда следует вывод: при наличии на компьютере нескольких ОС, поддерживающих разные файловые системы, каждая из них будет при загрузке создавать собственную «раскладку» букв дисков.
Например, достаточно типичной на сегодняшний день является ситуация, когда на одном из дисков установлена ОС Windows 98, а на другом – Windows XP или Windows 2000. Поскольку Windows XP/2000 поддерживает и NTFS и FAT32, а Windows 98 – только FAT32, то Windows 98 «проигнорирует» разделы с NTFS (рис. 3.10).
Вообще же различные ОС по-разному ведут себя при монтировании дисков.
Операционные системы DOS, Windows 3.x, Windows 95/98/ME назначают буквы дисков в определенном порядке, который не может быть изменен. Правила назначения приведены ниже.
1. Первая буква (C:) назначается первому основному разделу, который будет распознан ОС на первом системном жестком диске. Последующие буквы назначаются первым основным разделам, распознанным ОС на каждом последующем жестком диске. Пусть, например, на компьютере имеется два жестких диска. На первом из них создан один основной раздел и один дополнительный с двумя логическими дисками. На втором диске такая же конфигурация. Активным назначен основной раздел первого диска. Если загружаемая ОС распознает системный раздел на первом диске, она назначит ему букву C:. Буква D: будет назначена основному разделу на втором жестком диске.
Рис. 3.10. Windows 98 и Windows XP видят логические диски по-разному
ПРИМЕЧАНИЕ
Если в системе имеется единственный жесткий диск с несколькими системными основными разделами, то младшая буква (С:) назначается активному разделу, то есть тому, с которого выполняется загрузка данной ОС. Если на диске нет ни одного активного раздела, буква С: назначается первому распознанному системному разделу.
2. Затем именуются все логические диски внутри дополнительных разделов, распознанные ОС, начиная с логического диска, расположенного на первом жестком диске. Например, для приведенного выше варианта конфигурации логические диски на первом HDD получат буквы Е: и F:, а логические диски на втором HDD – буквы G: и Н:.
3. В третью очередь ОС назначает последующие буквы всем оставшимся основным разделам, в порядке следования физических дисков.
4. В последнюю очередь буквы назначаются CD-приводам и другим устройствам со сменными носителями.
Поскольку описанное распределение букв производится указанными ОС динамически, при каждой загрузке, то изменение конфигурации разделов приведет при следующей загрузке к изменению «раскладки» букв.
ПРИМЕЧАНИЕ
В некоторых случаях вы можете скорректировать распределение букв между устройствами после загрузки ОС Windows 98, внеся соответствующие изменения в системный реестр (в ветвь HKEY_LOCAL_MACHINE\Enum\). Это можно сделать либо с помощью редактора реестра, либо с помощью панели свойств соответствующего устройства (рис. 3.11). Однако возможность и корректность таких изменений существенно зависит от особенностей драйвера устройства. Иногда поле со списком букв дисков вообще недоступно.
Рис. 3.11. Обычно Windows 98 не допускает «насильственного» изменения букв жестких дисков
Операционные системы Windows 2000/XP при установке ведут себя аналогично рассмотренному выше. Однако после того как будет произведено первое назначение букв устройствам, оно остается постоянным, независимо от изменений конфигурации физических и логических дисков в системе. Если возникнет необходимость произвести переназначение букв дисков, потребуется воспользоваться службой под названием Управление дисками, входящей в состав служб администрирования Windows 2000/XP, либо одной из специальных программ, предназначенных для работы с разделами и логическими дисками (некоторые из таких программ рассмотрены в следующем подразделе).
ВНИМАНИЕ ____________________
В Windows ХР не допускается изменение буквыдиска системного и загрузочного томов.
Для изменения имени тома, дисковода компакт-дисков или другого съемного но– сителя в Windows XP с помощью службы Управление дисками необходимо выполнить следующие действия.
1. В окне панели управления откройте раздел Администрирование, а в нем– службу Управление компьютером.
2. В разделе Запоминающие устройства щелкните на пункте Управление дисками. В правой панели окна появятся сведения о разделах жестких дисков, представленные в двух формах (рис. 3.12): табличной (вверху) и графической (внизу).
Рис. 3.12. Окно службы Управление дисками
3. В графической части окна щелкните правой клавишей мыши на изображении раздела, букву которого требуется изменить, и в контекстном меню выберите команду Изменить букву диска или путь к диску.
4. В открывшемся диалоговом окне щелкните на кнопке Изменить и затем в дополнительном окне с помощью раскрывающегося списка (рис. 3.13) выберите подходящий вариант.
Рис. 3.13. Диалоговое окно для изменения буквы диска
При изменении буквы диска может появиться сообщение об ошибке, если устройство используется какой-либо программой системы. В этом случае следует закрыть программу, осуществляющую доступ к диску, и выбрать команду Изменить букву диска или путь к диску еще раз.
С помощью службы Управление дисками можно подключить локальный диск к пустой папке на локальном томе NTFS.
Диск, для которого вместо буквы указана пустая папка, называется подключенным диском. Смысл использования механизма подключенных дисков заключается в следующем.
После подключения локального диска к пустой папке для обращения к диску вместо буквы диска будет использоваться путь к указанной папке.
Например, если имеется пишущий CD-привод с буквой F: и том NTFS с буквой C:, то можно присоединить CD-привод к пустой папке, например к C: \CD-RW. После этого с CD-приводом можно будет работать как с папкой C: \CD-RW. При желании букву диска F: можно удалить и в дальнейшем использовать для работы с CD-приводом путь к подключенному диску.
В Windows XP пути дисков сохраняют связь с диском, поэтому можно добавлять или изменять конфигурации запоминающих устройств без сбоев путей дисков.
Подключенные диски облегчают доступ к данным и обеспечивают гибкое управ– ление запоминающими устройствами в зависимости от состояния рабочей среды и загруженности системы. Вот несколько типовых примеров использования подключенного диска.
♦ Можно создать папку D: \Гость для подключенного диска с дисковыми квотами NTFS, чтобы ограничивать использование соответствующей категорией пользователей этого диска, а не диска D:.
♦ Можно подключить диск к папке C: \Temp, чтобы предоставить больше места на диске для временных файлов.
♦ При нехватке места на диске C: можно переместить папку My Music на диск большего размера и присоединить ее к логическому диску С: как C: \My Music.
Дополнительный эффект применения подключенных дисков состоит в том, что данный механизм позволяет снять ограничение на число именуемых дисков (двадцать шесть из-за количества букв латинского алфавита).
Чтобы создать подключенный диск, выполните следующие действия.
1. Создайте папку, к которой требуется присоединить диск.
2. В графической части окна Управление компьютером (см. рис. 3.12) щелкните правой клавишей мыши на изображении раздела, который требуется подключить к пустой папке, и в контекстном меню выберите команду Изменить букву диска или путь к диску.
3. В открывшемся диалоговом окне щелкните на кнопке Добавить и затем в дополнительном окне с помощью кнопки Обзор (рис. 3.14) выберите присоединяемую папку.
ПРИМЕЧАНИЕ Обратите внимание, что подключаемый диск может быть отформатирован в любой файловой системе, поддерживаемой Windows XP, однако присоединяемая к нему пустая папка должна располагаться на томе с файловой системой NTFS.
Вообще следует отметить, что служба Управление дисками предоставляет весьма богатый набор функций по работе с разделами и логическими дисками. Эти функции будут рассмотрены в следующем подразделе.
Инструменты для работы с разделами дисков
В состав операционных систем Windows 98 и Windows XP входят стандартные служебные средства, позволяющие создавать, модифицировать разделы на жестких дисках и даже изменять их атрибуты. Основное достоинство таких средств – то, что они всегда «под рукой» и в определенном смысле рекомендованы к использованию компанией Microsoft. Однако во многих случаях пользователи предпочитают применять для работы с дисками инструменты сторонних производителей. Объясняется это большей функциональностью таких инструментов и зачастую более удобным интерфейсом. Ниже рассмотрена технология создания логических дисков как с помощью стандартных средств, так и с применением инструментов сторонних производителей.
Стандартные средства Windows 98
Собственно говоря, в Windows 98 такое средство имеется в единственном числе. Это утилита FDISK, разработанная еще для MS DOS и доставшаяся Windows 98 «по наследству». Правда, с определенными доработками, основная из которых – поддержка файловой системы FAT32. Однако Windows 98 отличается от MS DOS не только поддержкой FAT32. Как вы, вероятно, знаете, Windows 98 – это многозадачная операционная система. Какое это имеет отношение к созданию разделов на жестких дисках? Дело в том, что при работе в обычном режиме ни одно активное приложение не владеет ресурсами компьютера монопольно. Соответственно, любая выполняемая программа независимо от другой может обращаться к жесткому диску и что-то записывать на него. Разумеется, изменение логической структуры диска в таких условиях может привести к непредсказуемым последствиям. Поэтому многие программы, предназначенные для формирования логической структуры жесткого диска, сначала настоятельно «просят» закрыть все работающие приложения, затем принудительно переводят Windows в однозадачный режим, монопольно завладевают всеми ресурсами компьютера и только после этого приступают к созданию или модификации разделов.
Утилита FDISK на такое не способна. Поэтому для того, чтобы получить корректный результат, рекомендуется запускать FDISK c загрузочного (системного) гибкого диска. Кстати, именно по этой причине утилита FDISK не устанавливается на жесткий диск при инсталляции Windows, а переносится на загрузочный гибкий диск (о создании загрузочного гибкого диска мы еще поговорим в подразделе «Обслуживание дисков»).
FDISK позволяет (рис. 3.15):
создавать основные разделы под файловые системы из семейства FAT;
создавать дополнительные разделы и формировать внутри них логические диски;
устанавливать признак активности для указанного раздела;
удалять любой из имеющихся на жестком диске разделов или логических дисков.
Рис. 3.15. Меню основных функций FDISK
В работе FDISK имеется и еще одна существенная особенность: она не позволяет сохранить данные, имеющиеся на жестком диске, при создании новых разделов или удалении прежних. Поэтому, если вы все-таки решите воспользоваться услугами FDISK, не забудьте предварительно перенести нужные файлы и папки на резервный носитель. Утилита не знает никаких «посторонних» файловых систем, и если на диске имеются разделы, отформатированные, например, под ОС Linux или QNX, то они будут идентифицированы ею просто как Non-DOS (рис. 3.16).
Рис. 3.16. FDISK не знает никаких «посторонних» файловых систем
Вместе с тем, зная перечень параметров FDISK, можно достаточно гибко управлять ее работой. Например, запуск утилиты с параметром MBR (FDISK /MBR) обеспечивает замену главной загрузочной записи ее стандартным вариантом, взятым с загрузочного гибкого диска. В некоторых случаях это помогает восстановить «загружаемость» системного диска (подробнее о восстановлении системной информации рассказано в главе 5).
Обратите внимание, что FDISK не форматирует созданные разделы под конкретную файловую систему. Эта задача возлагается на другую стандартную утилиту – FORMAT.
Стандартные средства Windows ХР
Операционная система Windows XP оснащена значительно более мощным инструментом для работы с логической структурой жесткого диска – упоминавшейся выше службой Управление дисками.
Утилита Управление дисками имеет графический интерфейс (см. рис. 3.12) и выполняется непосредственно в среде Windows XP. Доступ к основным функциям утилиты осуществляется через контекстное меню разделов. Состав доступных пунктов в меню зависит от того, является ли раздел основным или нет.
Для основного раздела вы можете:
изменить букву диска;
установить признак активного раздела;
присоединить диск как пустую папку.
Для логического диска дополнительного раздела вы можете:
изменить букву диска;
присоединить диск как пустую папку;
изменить параметры форматирования.
ВНИМАНИЕ
Дополнительный раздел можно удалить лишь в том случае, если он пуст. Другими словами, перед удалением дополнительного раздела необходимо удалить все имеющиеся в нем логические диски. Нельзя также удалить любой логический диск, содержащий активный файл подкачки или аварийную копию памяти (дамп памяти).
На функции форматирования остановимся несколько подробнее. При выборе в контекстном меню логического диска команды Форматировать на экране появляется диалоговое окно, которое позволяет (рис. 3.17):
задать (или изменить) метку тома, введя ее в соответствующем текстовом поле;
выбрать альтернативную файловую систему, под которую будет отформатирован логический диск; для этого в раскрывающемся списке Файловая система требуется выбрать один из двух поддерживаемых вариантов – NTFS или FAT32;
задать размер кластера, выбрав подходящий в раскрывающемся списке Размер кластера; список содержит весь диапазон допустимых значений, от 512 байт до 64 Кбайт, а также вариант По умолчанию; при выборе последнего размер кластера будет определен системой исходя из размера форматируемого раздела;
выбрать режим форматирования; при поставленном флажке Быстрое форматирование для форматируемого раздела выполняется только обновление системной области раздела, без проверки поверхности диска;
разрешить применять сжатие данных при их записи на создаваемый логический диск; сжатие включается установкой флажка Применять сжатие файлов и папок и доступно только для разделов, форматируемых под NTFS.
Рис. 3.17.Окно установки параметров функции форматирования
Наряду со службой Управление дисками вы можете воспользоваться для работы с разделами программой DiskPart. Программа DiskPart – это работающий в текстовом режиме командный интерпретатор, который позволяет управлять объектами (дисками, разделами или томами) с помощью команд, вводимых в режиме командной строки.
По сравнению с утилитой Управление дисками программа DiskPart предоставляет ряд дополнительных функций управления разделами. Например, с ее помощью можно расширить имеющийся раздел на величину примыкающего к нему свободного участка диска. При работе с Windows XP Professional программа DiskPart позволяет конвертировать базовые диски в динамические и обратно, создавать и разъединять зеркальные тома, назначать активный раздел и многое другое.
Для запуска DiskPart необходимо выбрать в меню Пуск команду Выполнить иза-тем в окне Запуск программы ввести команду diskpart.
Перед использованием команд программы DiskPart для конкретного диска, раздела или тома необходимо сначала сформировать список объектов, а затем выбрать объект для работы. После этого все введенные команды DiskPart выполняются для выбранного объекта.
Получить список всех доступных объектов и определить номер объекта или букву диска можно с помощью команд list disk, list volume и list partition. Команды list disk и list volume позволяют вывести все диски и тома компьютера. Команда list partition выводит разделы только выбранного диска (рис. 3.18).
Рис. 3.18. Окно программы DiskPart
Пакет Norton Partition Magic
Данное инструментальное средство многие считают лидером среди программ для работы с жесткими дисками. Единственный его недостаток (для российского пользователя) – относительно высокая стоимость (последняя версия пакета – PartitionMagic 8 – стоит около 70 долларов).
ПРИМЕЧАНИЕ
Многие пользователи ПК со стажем знают данный пакет под именем PowerQuest PartitionMagic. Однако в сентябре 2003 года компания PowerQuest была приобретена компанией Symantec (www.symantec.com). Однако более подробную информацию о пакете все еще следует искать по адресу www.powerquest.com/partitionmagic/index.html (указанная веб-страница уже украшена логотипами компании Symantec).
Общая характеристика
PartitionMagic обладает весьма богатым набором функций, описанию которых можно было бы посвятить отдельную книгу. Однако мы ограничимся лишь описанием основных возможностей пакета и общей технологии работы с ним.
К основным достоинствам PartitionMagic можно отнести следующие:
поддержку всех наиболее распространенных файловых систем, в том числе Linux Ext3;
возможность «горячего» редактирования разделов NTFS, в том числе системных, без необходимости перезагрузки компьютера;
возможность работы с разделами большого объема (до 300 Гбайт);
наличие специальных компонентов для создания системных разделов для различных ОС на одном компьютере, а также средств мультизагрузки;
возможность конвертирования раздела из одной файловой системы в другую с сохранением всех данных;
наличие удобных средств управления атрибутами разделов, в том числе используемых в качестве резервных хранилищ данных;
возможность тестирования устанавливаемого программного обеспечения в пределах одного изолированного раздела;
возможность создания так называемых скрытых разделов (Hidden Partition).
Работа со скрытыми разделами требует дополнительного пояснения.
Программа Partition Magic способна скрывать указанный раздел от обнаружения операционной системой при ее загрузке. Обычно такой прием полезен в том случае, если вы хотите защитить раздел от доступа со стороны других пользователей. Поскольку при последующей загрузке компьютера ОС не обнаруживает скрытый раздел, ему не присваивается буква диска. Если он не последний в очереди на «опознание», то это приведет к смещению распределения букв для других дисков со всеми вытекающими последствиями, о которых говорилось выше (см. подраздел «Монтирование дисков»). Скрытие раздела – это обратимая операция, то есть любой скрытый раздел может быть впоследствии открыт.
Интерфейс программы PartitionMagic достаточно прост и во многом напоминает интерфейс утилиты Управление дисками, рассмотренной в предыдущем подразделе. Основное окно PartitionMagic состоит из двух основных частей: карты разделов, расположенной в правой части, и своеобразного меню, занимающего левую часть окна (рис. 3.19).
Все основные операции с жесткими дисками и/или разделами могут быть выполнены в PartitionMagic посредством команд из контекстного меню диска (раздела).
ВНИМАНИЕ ____________________
При работе с PartitionMagic в среде Windows ХР необходимо учитывать следующие обстоятельства. При изменении логической структурыжесткого диска PartitionMagic изменяет соответствующие системные файлы. Эти изменения не отражаются в резервных копиях системных файлов, созданных Windows XP и включенных ею в предыдущую контрольную точку. Поэтому восстановление системных файлов из резервной копии, созданной до использования PartitionMagic, может вызвать проблемы. В связи с этим рекомендуется после успешного применения PartitionMagic создать новую (внеочередную) контрольную точку. Никогда не используйте предыдущую резервную копию, чтобы восстановить следующие файлы: BOOT.DOS, BOOTSECT.DOS, BOOTSECT.W95, BOOTSECT.W98.
PartitionMagic не поддерживает работу с динамическими дисками и, соответственно, не может работать с зеркальными томами (RAID-1) и с чередующимися томами (RAID-5).
Рис. 3.19. Основное окно программы PartitionMagic
Например, чтобы создать на свободном участке новый раздел, достаточно щелкнуть правой клавишей мыши на его изображении в карте разделов, выбрать в контекстном меню команду Create (Создать) и затем в открывшемся диалоговом окне установить параметры создаваемого раздела (рис. 3.20).
Для выполнения некоторых операций в составе PartitionMagic имеются соответствующие мастера. Перечень задач, которые могут быть решены с помощью мастеров, представлен в левой части основного окна PartitionMagic, в разделе Pick a Task (Выбор задачи) (см. рис. 3.19). Для вызова требуемого мастера необходимо щелкнуть левой клавишей мыши на изображении раздела (или диска), а затем щелкнуть на заголовке выполняемой задачи.
Рис. 3.20.Окно для установки параметров нового раздела «вручную»
СОВЕТ ____________________
Задачу по созданию нового раздела можно выполнить и с помощью мастера, который поможет вам последовательно установить все параметры раздела (рис. 3.21).
Рис. 3.21. Новый раздел можно создать и с помощью мастера
Установка параметров выполняемой операции вручную или с помощью мастера не приводит к непосредственному изменению информации на жестком диске.
На этом этапе PartitionMagic лишь подготавливает все необходимые данные и определяет порядок действий. Список промежуточных операций, необходимых для выполнения задачи в целом, отображается в левой части окна PartitionMagic, в области Operation pending (операции, ожидающие выполнения) (см. рис. 3.19). Операции, которые потребуют перезагрузки компьютера, отмечаются в списке звездочкой (*). Если сформированный порядок действий вас устраивает, щелкните на расположенной под списком кнопке Apply (Применить). Чтобы отказаться от выполнения операции, щелкните на кнопке Cancel (Отменить).
Ниже рассмотрены особенности выполнения в PartitionMagic некоторых операций с разделами, имеющих непосредственное отношение к сохранности данных.
Копирование разделов
Операция копирования позволяет создать точный «снимок» раздела, причем не только имеющихся на нем пользовательских данных и/или системной информации, но и его логической структуры. Именно поэтому копия раздела создается на свободном (не распределенном и не отформатированном) участке диска. Раздел-копия может быть как скрытым, так и видимым. Его разрешается создавать на том же физическом диске, где расположен исходный раздел, или на другом.
Создание раздела-копии полезно в тех случаях, когда:
требуется получить резервную копию исходного раздела;
необходимо преобразовать основной раздел в логический диск или наоборот;
выполняется перенос данных с одного диска на другой;
необходимо изменить взаимное расположение разделов на диске.
ПРИМЕЧАНИЕ ____________________
Чтобы можно было создать копию основного раздела, нераспределенный участок должен находиться вне дополнительного раздела диска.
Чтобы создать раздел-копию, выполните следующие действия.
1. Убедитесь, что на том физическом диске, где будет создан раздел-копия, имеется нераспределенный участок подходящего размера.
2. На карте разделов выберите исходный раздел, подлежащий копированию, и щелкните на его изображении правой клавишей мыши.
3. В контекстном меню выберите команду Copy (Копирование). Учтите: если ни на одном из физических дисков нет участка, пригодного для создания раздела-копии, команда будет недоступна.
4. В открывшемся диалоговом окне (рис. 3.22) установите параметры раздела-копии:
1) в раскрывающемся списке Disk (Диск) выберите физический диск, на котором будет создаваться раздел-копия;
2) если на выбранном диске имеется несколько подходящих участков, укажите нужный, щелкнув на его обозначении в таблице, расположенной в нижней части окна;
3) если выбранный участок превосходит по размеру исходный раздел, выберите способ размещения раздела-копии внутри этого участка, поставив переключатель Position (Позиция) в соответствующее положение: Beginning of unallocated space (Начало свободного места) или End of unallocated space (Конец свободного места).
5. Щелкните на кнопке OK.
Рис. 3.22. Окно параметров операции копирования
По завершении описанной процедуры карта разделов в основном окне Partition-Magic будет отражать логическую структуру дисков после выполнения операции копирования, а в списке Operation Pending появится наименование операции, ожидающей выполнения:
Copy <имя копируемого раздела> to <номер диска с копией>
Если установленные параметры операции копирования вас устраивают, щелкните на кнопке Apply и затем в дополнительном диалоговом окне еще раз подтвердите свои намерения. После этого PartitionMagic приступит к реальному выполнению операции, за ходом которой вы сможете наблюдать с помощью специального информационного окна.
Создание резервного раздела
Данная операция отличается от операции копирования тем, что в новый раздел никакие данные не переносятся. Новый раздел (в данном случае он называется Backup Partition – «резервный раздел») создается как бы «про запас», чтобы вы впоследствии вручную или с помощью специальной программы резервного копирования могли помещать в него копии данных или системной информации.
Создание резервного раздела является более сложной процедурой, чем копирование раздела, и потому для ее выполнения предусмотрен специальный мастер.
Чтобы его вызвать, необходимо в левой части окна PartitionMagic в разделе Pick a Task выбрать пункт Create a backup partition (Создать резервный раздел).
ПРИМЕЧАНИЕ ____________________
В роли такой «специальной программы» выступает утилита DataKeeper, которая входит в состав «коробочного» варианта пакета PartitionMagic 8. Ранее утилита DataKeeper поставлялась вместе с другой программой от компании PowerQuest, которая называется Drive Image и предназначена для создания образов жестких дисков. И DataKeeper, и Drive Image рассматриваются в главе 4.
На первом шаге работы мастера вам предлагается выбрать физический диск, на котором будет размещен резервный раздел, а на втором – место расположения этого раздела. Мастер предварительно анализирует параметры имеющихся разделов и предлагает на выбор лишь наиболее подходящие варианты. Например, если на диске имеется нераспределенный участок, то именно он будет указан как рекомендуемый вариант.
Тем не менее возможен и другой подход, когда PartitionMagic «отщипывает» свободные участки от имеющихся разделов. Эти свободные участки могут быть использованы и для наращивания резервного раздела, создаваемого на нераспределенном участке диска.
Весьма важным шагом в работе мастера является этап, на котором вы должны указать параметры создаваемого раздела. Помимо размера, к ним относятся (рис. 3.23):
тип раздела (основной или логический диск); если свободный участок расположен внутри дополнительного раздела, то единственно возможным вариантом является логический диск;
Рис. 3.23. Окно установки параметров резервного раздела
тип файловой системы; по умолчанию раздел будет отформатирован под ту файловую систему, которая используется в момент работы с PartitionMagic;
буква диска для резервного раздела.
Конвертирование разделов
Операция конвертирования позволяет изменить тип файловой системы раздела или другие его атрибуты (например, преобразовать основной раздел в логический диск). При этом все имеющиеся данные раздела сохраняются на диске в неизменном виде.
С точки зрения восстановления данных операция конвертирования может оказаться полезной в следующих случаях:
когда приходится работать с операционной системой, не поддерживающей файловую систему, в которой записаны нужные вам данные, – например, если не загружается Windows XP, но требуется получить доступ к данным, записанным в NTFS-разделе;
когда необходимо создать резервную копию раздела на диске с другой файловой системой;
когда требуется высвободить место на диске (за счет изменения размера кластера);
когда требуется получить доступ к дополнительным возможностям, предоставляемым NTFS (например, шифрование или сжатие данных).
PartitionMagic обеспечивает следующие виды преобразований файловых систем:
из FAT в FAT32; при этом минимальный размер раздела в формате FAT32 должен быть не менее 256 Мбайт;
из FAT32 в FAT; при этом преобразуемый раздел должен иметь не менее 300–400 Мбайт свободного пространства;
из FAT в NTFS; для выполнения такого преобразования PartitionMagic использует стандартную утилиту Microsoft Convert, поэтому компьютер должен работать под управлением Windows NT/2000/XP;
из FAT32 в NTFS; для выполнения такого преобразования PartitionMagic также использует утилиту Microsoft Convert;
из NTFS в FAT32 или FAT; в силу того что NTFS имеет целый ряд принципиальных отличий от файловых систем семейства FAT, такое преобразование возможно не всегда; в частности, при конвертировании в FAT следует помнить, что раздел FAT должен быть не более 2 Гбайт; кроме того, преобразование невозможно, если:
в исходном разделе NTFS используется шифрование или сжатие данных;
файловая система имеет ошибки (например, потерянные кластеры или файлы с общим кластером);
во внутреннем кэше NTFS имеются кластеры, подлежащие переносу на внешнее устройство;
выравнивание FAT/FAT32 на границу 4 Кбайт (FAT/FAT32 to 4K Aligned); такое преобразование позволяет при последующем конвертировании FAT или FAT32 в NTFS получить в выходном разделе размер кластера, равный 4 Кбайт.
Относительно последнего вида конвертирования требуется дать дополнительные пояснения.
Как вы уже знаете, первый кластер данных в разделах FAT/FAT32 располагается после системной области (см. подраздел «Логическая структура диска в FAT32»). Поскольку размер таблицы FAT зависит от размера логического диска (раздела), то и номер сектора, с которого начинается область данных, зависит от размера раздела. Это приводит к тому, что в некоторых случаях количество первых (системных) секторов может оказаться не кратным размеру кластера. Однако при конвертировании в NTFS все служебные секторы должны быть преобразованы в кластеры, причем размер кластера зависит от количества секторов в служебной зоне FAT. Если количество секторов в системной области кратно восьми, то размер кластера файловой системы NTFS выбирается равным 4 Кбайт (8 секторов по 512 байт в секторе). Если количество секторов не кратно восьми, то должен использоваться меньший размер кластера. Поскольку кластер в 4 Кбайт считается оптимальным для NTFS, то PartitionMagic с помощью операции FAT/ FAT32 to 4K Aligned (выровнять FAT/FAT32 по 4 Кбайт) позволяет предварительно «нарастить» системную зону раздела FAT до числа секторов, кратного 8.
Чтобы провести любую из перечисленных выше операций конвертирования, необходимо выполнить следующие действия:
1. На карте разделов щелкнуть правой клавишей мыши на том разделе, который требуется конвертировать, и в контекстном меню выбрать команду Convert (конвертировать).
2. В открывшемся диалоговом окне установить переключатель типа раздела в соответствующее положение; следует иметь в виду, что перечень доступных операций конвертирования зависит от типа преобразуемого раздела (рис. 3.24).
Рис. 3.24. Формат окна параметров конвертирования зависит от типа раздела
Дополнительные возможности Partition Magic
По правде говоря, деление возможностей PartitionMagic на «основные» и «дополнительные» достаточно условно и зависит в первую очередь от стоящих перед вами задач. В данном случае в эту категорию включены средства, которые используются несколько реже других, но в некоторых случаях оказываются просто незаменимыми.
Начнем с того, что при инсталляции PartitionMagic предлагается создать две так называемые аварийные загрузочные дискеты (rescue disks). Они позволяют при необходимости загрузить компьютер в режиме DOS и, кроме того, запустить на выполнение DOS-версию PartitionMagic. Такой режим работы полезен в тех случаях, когда отсутствует возможность использовать «штатную» операционную систему, которая по той или иной причине требует «ремонта».
ПРИМЕЧАНИЕ
Аварийные гибкие диски можно создать в любой момент работы с PartitionMagic. Для этого следует в меню Tools (инструменты) выбрать команду Create Rescue Disks (создать восстановительные диски), и затем действовать в соответствии с указаниями соответствующего мастера.
Аварийные гибкие диски содержат две весьма полезные утилиты:
PTEDIT32 – редактор таблицы разделов;
PARTINFO – утилиту диагностики и сбора сведений о разделах дисков.
ВНИМАНИЕ
Аварийные гибкие диски обеспечивают загрузку системы не с более привычной многим ОС Microsoft DOS,асее аналогом – Caldera DOS. Для этой ОС отсутствуют драйверы с поддержкой кириллицы, а потому «русскоязычные» метки дисков в утилитах PTEDIT32 и PARTINFO не читаются.
Для каждой из утилит имеются также «полнофункциональные» варианты, которые могут работать в среде Windows 98/XP.
Редактор таблицы разделов (его исполняемый файл, PTEDIT32.EXE, находится в корневой папке установки PartitionMagic) позволяет (рис. 3.25):
изменять тип раздела;
устанавливать/снимать признак активного раздела;
корректировать геометрию раздела;
редактировать поля загрузочной записи.
Для Windows-версии утилиты PARTINFO в составе PartitionMagic имеются два файла: PartIn9x – для Windows 9*/МЕ и PartInNT – для Windows XP/2000.
PARTINFO (ее Windows-версия называется PartitionInfo) выполняет сравнение реальной геометрии разделов диска с теми параметрами, которые указаны в системной области раздела. В случае обнаружения ошибки сведения о ней отображаются в поле Disk & partition errors (ошибки диска и раздела) (рис. 3.26).
Рис. 3.25. Редактор таблицы разделов
Рис. 3.26. Утилита PARTINFO
Одно из важных достоинств утилиты PARTINFO состоит в том, что она позволяет сохранить собранные сведения в виде отчета в текстовом файле. Эта информация может оказаться весьма полезной, если придется восстанавливать системные данные «вручную», с помощью одного из низкоуровневых редакторов (например, с помощью того же PTEDIT).
Еще один полезный инструмент, входящий в состав PartitionMagic, – это утилита DriveMapper. Она позволяет корректировать ссылки на устройства при смещении букв дисков. Такое смещение, как вы знаете, может быть вызвано изменением логической структуры дисков (созданием, удалением или изменением типа разделов) либо созданием скрытых разделов и способно привести к некорректной работе программ.
Следует иметь в виду, что DriveMapper не изменяет буквы дисков, назначенные операционной системой. Он лишь вносит изменения в те адреса (ссылки, маршруты доступа), в которых используются «сместившиеся» буквы дисков.
DriveMapper реализован в виде мастера, который вызывается с помощью одноименной команды, входящей в меню Tools основного окна PartitionMagic. В некоторых ситуациях DriveMapper активизируется автоматически. Вызвав DriveMapper с помощью команды из меню Tools, вы можете во втором окне мастера указать, на какие операции с разделами должен реагировать DriveMapper (рис. 3.27):
Typical Operation (Типовые операции) – все стандартные операции, которые могут привести к смещению букв дисков (создание, удаление, изменение видимости разделов);
Merge Operation (Операции слияния) – операции объединения двух разделов в один;
Split Operation (Операции разделения) – операции разделения раздела на два.
Рис. 3.27. Окно установки параметров DriveMapper
Для каждого раздела старую и новую букву диска требуется указывать в следующем окне DriveMapper вручную, выбрав их соответственно из списка Old reference (Старая ссылка) и New reference (Новая ссылка) (рис. 3.28).
Рис. 3.28. Корректируемые ссылки указываются вручную
ВНИМАНИЕ Если имело место смещение букв для нескольких дисков, то коррекцию ссылок необходимо начинать с последнего из таких дисков. Например, предположим, что первоначально жесткий диск содержалтри раздела: C:, D: и E:.После создания нового раздела между разделами C: и D: он при монтировании получит букву D:, бывший раздел D: ста нет E:,а раздел E: получит букву F:. В такой ситуации следует сначала скорректировать ссылки для раздела с буквой F:, и лишь затем – для раздела с буквой E:.
Пакет Paragon Hard Disk Manager
Инструментальные средства компании Paragon Technology для работы с жесткими дисками становятся все более популярны. Для российских пользователей они имеют два весьма важных преимущества: во-первых, наряду с русскоязычным интерфейсом они снабжены хорошей справочной документацией на русском языке и, во-вторых, имеются бесплатные версии программ (правда, с некоторыми функ– циональными ограничениями). Кроме того, существует российское подразделение компании, Paragon Software Group, с собственным веб-сайтом (www.paragon.ru).
На сегодняшний день Paragon предлагает два базовых комплекта инструментов для работы с жесткими дисками:
♦ Paragon Hard Disk Manager – средства для конфигурирования и обслуживания дисков компьютера;
♦ Paragon Rescue Kit – средства для восстановления поврежденной логической структуры дисков. В состав пакета Hard Disk Manager входят шесть приложений:
♦ Partition Manager – инструмент для редактирования логической структуры жестких дисков;
♦ BootManager – менеджер загрузки;
♦ Drive Backup – средство резервного копирования дисков;
♦ Partition Explorer – средство просмотра содержимого раздела, недоступного для штатных средств ОС;
♦ ISO Burner – инструмент для создания образов дисков;
♦ Easy CD/DVD Recorder – инструмент для переноса образов на физические носители типа CD/DVD.
Состав пакета Paragon Rescue Kit и работа с входящими в него инструментами, а также применение Drive Backup будут рассмотрены в двух последующих главах книги. Сейчас отметим лишь, что в комплект Rescue Kit входит «облегченный» вариант программы Partition Manager – Partition Manager Lite.
Partition Manager позволяет корректировать логическую структуру жестких дисков, а также изменять параметры отдельных разделов. Для низкоуровневого редактирования содержимого секторов в его составе имеется специальная утилита.
Основные функции приложения:
создание, форматирование и удаление разделов (FAT, FAT32, HPFS, NTFS, Ext2FS, Linux Swap);
изменение размера разделов без переформатирования (для разделов FAT,
FAT32, HPFS, NTFS, Ext2FS);
копирование и перемещение разделов;
конвертирование разделов из одной файловой системы в другую без потери данных (для разделов FAT32, FAT и NTFS);
резервное копирование системного раздела;
восстановление раздела с операционной системой без ее повторной установки;
копирование целых жестких дисков;
изменение размера кластера без потери данных;
работа с поврежденными секторами диска;
поддержка длинных имен файлов и папок;
возобновление прерванных операций при пропадании электропитания;
создание скрытых разделов;
использование обособленного раздела для тестирования нового или нестабильного программного обеспечения.
Особо следует отметить умение Partition Manager анализировать содержимое динамических дисков, созданных в среде Windows XP (многие программы работы с дисками, в том числе PartitionMagic, не способны на это).
В демонстрационной версии, которую можно получить на русскоязычном зеркале сайта производителя (http://www.paragon.ru), имеются следующие ограничения: нельзя изменить размер раздела и размер кластера, а также выполнить преобразование раздела из одной файловой системы в другую без потери данных.
Интерфейс Partition Manager можно считать достаточно стандартным для программ такого типа: в правой части основного окна отображается карта разделов выбранного диска, а в левой представлено дерево дисков и разделов, обеспечивающее переход между физическими и логическими устройствами (рис. 3.29).
Рис. 3.29. Окно Partition Manager
Как и в PartitionMagic, доступ к основным операциям с разделами (дисками) возможен через контекстное меню раздела или диска. Контекстное меню можно открыть, щелкнув правой клавишей мыши либо на изображении соответствующего раздела (диска) на карте разделов, либо на значке этого раздела в дереве разделов левой панели.
Программа Partition Manager способна выполнять операции над разделами в многозадачной среде, то есть непосредственно из Windows 98/XP. Однако для корректного завершения операции редактируемый раздел не должен использоваться в это время другими приложениями. Если это условие не выполняется (например, если вы пытаетесь отредактировать активный системный раздел), то Partition Manager предложит перейти в однозадачный режим (то есть в режим DOS).
Для работы с разделами дисков в однозадачном режиме в составе Partition Manager имеется специальный DOS-компонент, который по своим возможностям ни в чем не уступает основному модулю Partition Manager и снабжен достаточно удобным интерфейсом.
Для запуска DOS-компонента следует использовать предварительно подготовленный гибкий диск. Его созданием занимается специальный мастер – Diskette Build Wizard (мастер создания гибкого диска). Он активизируется из группы запуска в меню Пуск, созданной при инсталляции Partition Manager. Подготовка гибкого диска Partition Manager требует наличия системного диска с MS DOS (например, созданной при установке на компьютер ОС Windows 98), поскольку системные файлы мастер Diskette Build Wizard берет именно с нее (рис. 3.30).
Рис. 3.30. Подготовка DOS-варианта Partition Manager
В числе копируемых системных файлов обязательно должен иметься файл MSCDEX.EXE. Обратите на это внимание, поскольку данный файл не всегда включается в состав стандартного аварийного диска Windows 98. Если окажется, что указанный файл на гибком диске отсутствует, то его можно добавить «вручную», скопировав из папки C:\WINDOWS\COMMAND.
Partition Manager содержит также весьма полезный дополнительный модуль, о котором в документации почему-то не сказано не слова. Это браузер секторов. Чтобы его запустить, выберите Раздел Просмотреть сектора. По умолчанию в окне браузера секторов отображается содержимое начального сектора выбранного раздела (рис. 3.31).
Рис. 3.31. Окно браузера секторов
Для перемещения между секторами раздела можно использовать различные средства, предоставляемые браузером:
кнопки След (Следующий) и Пред (Предыдущий), расположенные в правой части окна;
поля адреса сектора в формате CHS (Cylinder, Head, Sector); чтобы эти поля стали доступны, требуется поставить переключатель способов адресации в положение CHS; после ввода значений требуется нажать клавишу Enter; адрес сектора может быть предварительно задан в формате LBA, в поле Абсолютный адрес; чтобы это поле стало доступно, требуется поставить переключатель способов адресации в положение Номер сектора;
если открыт начальный сектор раздела, то с помощью кнопки Перейти можно выбрать определенный важный участок раздела (например, таблицу MFT для раздела NTFS или корневой каталог для раздела FAT32, рис. 3.32).
Существенным достоинством браузера секторов является также то, что он умеет сохранять содержимое открытого сектора в виде отдельного двоичного файла (файла с расширением. bin), который впоследствии может быть использован для восстановления испорченного сектора. Для записи сектора достаточно щелкнуть на кнопке Сохранить и в открывшемся диалоговом окне указать имя и расположение файла.
Пример совместного использования браузера секторов и основного модуля Partition Manager при восстановлении информации на диске будет рассмотрен в главе 7.
Рис. 3.32. С кнопкой Перейти связано меню переходов
Norton DiskEdit
Утилита Norton DiskEdit входит в состав весьма популярного набора сервисных программ под общим названием Norton Utilities (утилиты Нортона), созданного творческим коллективом Питера Нортона, владельца компании Symantec (той самой, что приобрела PowerQuest).
DiskEdit позволяет выполнять любые манипуляции как с разделами, такисдру-гими элементами логической структуры жесткого диска (загрузочными записями, отдельными кластерами). Вот только работа с утилитой может доставить не очень опытным пользователям определенные проблемы, поскольку DiskEdit – это низкоуровневый редактор. Для корректного редактирования параметров диска с его помощью требуется не только знать состав элементов структуры файловой системы, но и неплохо ориентироваться в двоичной и шестнадцате-ричной системах счисления.
Кроме того, при работе на компьютере под управлением Windows 98/XP утилита DiskEdit не сможет выполнить корректно большинство операций (за исключением анализа параметров диска), поскольку ей необходим для этого однозадачный режим, а включать его принудительно (как, например, PartitionMagic) DiskEdit не умеет. Поэтому для работы с ней требуется загрузка компьютера в режиме DOS. Тем, у кого установлена только Windows XP, это может быть нелегко.
СОВЕТ ____________________
Для Windows XP не предусмотрена возможность создания загрузочного диска с системными файлами DOS, поэтому позаботьтесь заранее о том, чтобы такой диск у вас был. Его можно создать либо на компьютере, работающем под управлением Windows 98, либо с помощью описанных выше программ PartitionMagic и Partition Manager. К вопросу о создании загрузочного гибкого диска мыеще вернемся в разделе «Настройка интерфейса файловой системы».
Все сказанное выше о проблемах использования DiskEdit относится и к другим утилитам из набора Norton Utilities. Тем не менее в некоторых тяжелых случаях они оказываются самым эффективным средством восстановления данных.
Вообще же основное предназначение DiskEdit – это редактирование системной и пользовательской информации на уровне отдельных секторов или кластеров. Для выполнения соответствующих операций в DiskEdit реализованы, в частности, следующие функции:
просмотр логической структуры диска на уровне разделов;
просмотр содержимого системных единиц диска (таблицы разделов, загрузочных записей, таблиц FAT) как на логическом, так и на физическом уровне;
поиск требуемого элемента данных (файла, папки, кластера);
копирование в буфер обмена или запись в файл любого фрагмента диска;
запись в указанную позицию диска данных из буфера обмена или из файла.
Например, при просмотре таблицы FAT вы можете получить полное представление о том, какие кластеры отведены конкретному файлу (рис. 3.33).
Рис. 3.33. Просмотр таблицы FAT с помощью DiskEdit
Очень удобной является функция предварительного просмотра логической структуры диска после внесения изменений на логическом уровне, до переноса этих изменений на реальный диск. Если полученный результат вас не устраивает, вы сможете отказаться от выполненного редактирования.
Более подробно технология работы с DiskEdit рассматривается в главе 7.
Обслуживание дисков
Через некоторое время после начала работы с системой пользователь может заметить, что компьютер начинает «притормаживать»: операционная система загружается не так быстро, как раньше, папки открываются дольше, да и запись новых файлов (особенно с видеофильмами) происходит с задержкой.
Так или иначе, но со временем вы вполне можете прийти к выводу, что хорошо настроенная система стала работать хуже. И если не принять вовремя профилактических мер, ситуация может оказаться непоправимой.
Конечно, в некоторых случаях можно прибегнуть к «хирургическим» мерам типа переустановки операционной системы или восстановления «здорового» состояния раздела с его резервной копии. Однако и они зачастую не спасают от фрагментации дискового пространства или от аппаратных сбоев винчестеров.
Дефрагментация диска
Сначала о том, что такое фрагментация диска. Чтобы уяснить суть этого весьма неприятного, но неизбежного явления, потребуется вернуться к логической структуре диска.
Как вы уже знаете, область данных представляет собой последовательность кластеров определенного размера, неизменного в границах одного раздела. Информация о распределении кластеров между файлами и папками хранится в таблице размещения файлов – FAT (в файловых системах семейства FAT) или в метафайле $BITMAP (в файловой системе NTFS). Благодаря этому любая файловая система имеет возможность перераспределять дисковое пространство, высвобождающееся при удалении файлов или при уменьшении их размера.
Однако при интенсивном создании и удалении файлов разного размера дисковое пространство все больше наполняется пустотами, а «распихивать» по ним новые файлы становится все труднее. Поэтому процесс записи новых данных на диск существенно замедляется. Замедляется и процесс считывания: ведь файловой системе приходится собирать файлы «по кусочкам», перепрыгивая зачастую по нескольку раз от начала диска (раздела) в его конец и обратно.
С точки зрения восстановления данных фрагментация также весьма опасна. Ведь одно дело отыскать на диске файл, который весь размещен в соседних кластерах, и совсем другое – собирать его по одному кластеру, рыская по всему диску.
Именно поэтому необходимо регулярно выполнять профилактическую процедуру, которая называется дефрагментацией. К счастью, для ее проведения имеются многочисленные программные средства, в том числе входящие в состав стандартных служебных утилит операционной системы.
Средства дефрагментации имеются и в составе Windows 98, и в Windows XP.
ПРИМЕЧАНИЕ ____________________
Процедура дефрагментации – одна из наиболее длительных в обслуживании дисков. Если диск находится в «запущенном» состоянии, то дефрагментация диска объемом 80 Гбайт даже при наличии достаточно производительного компьютера может занять несколько часов. Диск меньшего размера, разумеется, будет дефрагментирован за меньшее время. Это, кстати, еще один довод в пользу необходимости разделения физического диска на несколько логических (дефрагментация для каждого из логических дисков выполняется автономно).
Стандартные средства дефрагментации в Windows 98
Любая программа дефрагментации объединяет фрагментированные файлы и папки на жестком диске компьютера, после чего каждый файл или папка тома занимает единое непрерывное пространство. Вместе с этим программа дефрагментации объединяет в единую область свободное место на диске. Это позволяет ускорить последующую запись на диск новых данных и снижает вероятность фрагментации новых файлов.
Утилита дефрагментации
Стандартная утилита дефрагментации, используемая в Windows 98 (она называется Defrag), обладает минимальным набором функций, работает, мягко говоря, небыстро и потому не очень популярна среди опытных пользователей. Тем не менее, при отсутствии альтернативы и регулярном использовании, она вполне пригодна для борьбы с фрагментацией.
Для запуска процедуры дефрагментации выберите в меню Пуск команду Стандартные Служебные Дефрагментация диска. На экране появятся основное окно утилиты дефрагментации, большую часть которого занимает индикатор процесса, и дополнительное окно для выбора диска, подлежащего обслуживанию (рис. 3.34).
Рис. 3.34. Начальное состояние утилиты дефрагментации
После выбора диска (обратите внимание, что в списке доступных дисков логические диски обозначены как физические) и щелчка на кнопке OK запускается утилита проверки диска ScanDisk. Чтобы отказаться от ее выполнения, следует в диалоговом окне Выбор диска щелкнуть на кнопке Настройка, а в открывшемся дополнительном окне снять флажок Проверить диск на наличие ошибок.
ВНИМАНИЕ ____________________
Перед запуском процедурыдефрагментации запретите использование энергосберегающего режима работыкомпьютера. Для этого в панели свойств экрана перейдите на вкладку Заставка, щелкните кнопку Настройка и в дополнительном окне Управление электропитанием выберите в раскрывающихся списках Ждущий режим и Отключение дисков варианты Отключение и Никогда соответственно.
Кроме того, во время процедурыдефрагментации лучше не выполнять каких-либо работ на компьютере (даже с другими логическими дисками), если выне уверены, что это не приведет к изменению состояния обслуживаемого диска. Дело в том, что любое такое изменение вызывает автоматическое прерывание и повторную инициализацию процедуры дефрагментации.
ПРИМЕЧАНИЕ ____________________
Лучше не использовать режим отключения жестких дисков для снижения энергопотребления компьютера. Опубликованные в литературе результаты исследований говорят о том, что каждое отключение и повторный запуск HDD сокращают срок его службы.
Во время работы утилиты дефрагментации вы можете получить наглядное представление о том, как распределено пространство обслуживаемого диска. Для этого в основном окне утилиты дефрагментации щелкните на кнопке Сведения. В открывшемся окне отображается состояние каждого кластера диска (рис. 3.35).
Рис. 3.35.Наглядное представление процедуры дефрагментации
СОВЕТ ____________________
Чтобыснизить потери времени на длительную дефрагментацию и негативное влияние фрагментации на работу компьютера, рекомендуется выполнять эту процедуру не реже одного раза в две недели.
Утилита проверки диска ScanDisk
Как было сказано выше, в операционной системе Windows 98 выполнение процедуры дефрагментации начинается с автоматического запуска утилиты ScanDisk. Она способна проверять диск как на логическом уровне (на уровне файловой системы), так и на физическом, проверяя состояние поверхности диска с целью выявления поврежденных секторов.
При проверке файловой системы ScanDisk выполняет следующие основные функции:
проверку FAT – проверку общей структуры таблицы, а также поиск общих кластеров, то есть таких кластеров, которые распределены нескольким файлам;
проверку папок и файлов – проверку корректности имен папок и файлов (по длине и на наличие запрещенных символов), атрибутов даты и времени создания/изменения файлов и папок, а также проверку соответствия фактической длины файла тому значению, которое указано в свойствах папки, содержащей файл;
поиск потерянных кластеров – ScanDisk отыскивает на диске кластеры, которые не распределены ни одному из имеющихся файлов и при этом не числятся в FAT в качестве свободных.
Можно настроить параметры работы ScanDisk, если утилита запускается не на этапе подготовке к дефрагментации, а как самостоятельная процедура. Для запуска ScanDisk в автономном режиме выберите в меню Пуск команду Стандартные Служебные Проверка диска. Чтобы просмотреть и при необходимости изменить параметры работы ScanDisk, щелкните в окне утилиты на кнопке Дополнительно.
ВНИМАНИЕ
Убедитесь, что в основном окне 'jnwi^ibiScanDisk снят флажок Исправлять ошибки автоматически. Практика показывает, что при серьезных нарушениях файловой системы автоматическое исправление ошибок утилитой ScanDisk может только усугубить ситуацию.
Элементы управления, имеющиеся в окне дополнительных параметров, позволяют указать, что делать в случае обнаружения тех или иных ошибок (рис. 3.36):
переключатель Файлыс общими кластерами определяет «судьбу» таких пересекающихся файлов; теоретически один из пересекающихся файлов может быть настоящим владельцем общего кластера, а остальные – лишь «незаконными претендентами»; в других случаях общие кластеры могут не иметь никакого отношения ни к одному из пересекающихся файлов; вы можете поставить переключатель в одно из трех положений:
Удалять – все найденные пересекающиеся файлы будут удалены;
Делать копии – общий кластер будет растиражирован и включен в состав каждого из пересекающихся файлов;
Пропускать – наличие общих кластеров игнорируется;
переключатель Потерянные цепочки кластеров определяет, что делать с «ничейными» кластерами:
Освобождать – такие кластеры будут помечены как свободные;
Преобразовывать в файлы – «ничейный» кластер (или цепочка таких кластеров) преобразуется в отдельный файл с именем типа FileOOOO, FileOOOl ит.д. и помещается в корневой каталог диска; позже такой файл можно открыть с помощью любого текстового редактора и решить, что с ним делать дальше.
Рис. 3.36. Окно дополнительных параметров утилиты ScanDisk
При обнаружении ошибки, реакция на которую не определена настраиваемыми параметрами ScanDisk, утилита выводит на экран диалоговое окно с предложением выбрать одно из возможных продолжений работы (рис. 3.37).
Стандартные средства дефрагментации в Windows XP
Работа стандартной утилиты дефрагментации, используемой в Windows XP, аналогична работе утилиты Defrag в Windows 98. Из заслуживающих внимания особенностей отметим лишь поддержку файловых систем FAT, FAT32, NTFS, а также возможность предварительного анализа фрагментации не только диска в целом, но и отдельных файлов.
Программа дефрагментации
Запуск процедуры дефрагментации выполняется тем же способом, чтоивWin-dows 98: выберите в меню Пуск команду Стандартные Служебные Дефрагмен-тация диска. В появившемся на экране окне утилиты дефрагментации выберите в таблице интересующий вас диск, а затем – операцию, которую требуется выполнить. Кнопка Анализ запускает процедуру оценки распределения пространства диска, а кнопка Дефрагментация позволяет сразу приступить к дефрагмен-тации диска (рис. 3.38).
Рис. 3.37. Окно с диагностическим сообщением утилиты ScanDisk
Рис. 3.38. Окно утилиты дефрагментации в Windows XP
ВНИМАНИЕ
Для полной и правильной дефрагментации с помощью описываемой утилиты диск должен иметь не менее 15 % свободного пространства. Этот объем используется как рабочая область для сортировки фрагментов файлов. Если размер рабочей области составляет менее 15 % свободного пространства, то дефрагментация диска будет выполнена лишь частично.
Если была запущена процедура анализа, то после ее завершения в поле под таблицей дисков появится графическое представление результатов и, кроме того, на экран будет выведено резюме с соответствующей рекомендацией (рис. 3.39).
Рис. 3.39. Представление результатов анализа диска
Для получения детальных сведений вы можете затребовать отчет, щелкнув в окне программы фрагментации на соответствующей кнопке. Окно отчета состоит из двух частей (рис. 3.40):
в верхнем поле, Сведения о томе, представлены общие сведения о томе, а также обобщенные статистические данные по фрагментации;
нижнее поле содержит список наиболее фрагментированных файлов с указанием расположения и числа фрагментов каждого из них.
Рис. 3.40.Отчет о результатах анализа фрагментации диска
Если на анализируемом диске используется файловая система NTFS, то полезно обратить особое внимание на состояние метафайла $MFT. Сведения о нем отображаются в поле Сведения о томе, в самом конце (рис. 3.41).
Рис. 3.41. Сведения о фрагментации MFT
Необходимо отметить, что при всех достоинствах NTFS работа с MFT реализована в ней не самым лучшим образом. При удалении файлов связанные с ними записи файлов в MFT маркируются как свободные для повторного использования, но общее число записей и выделенное место в таблице MFT остаются прежними. Поэтому при удалении большого числа файлов пространство, занятое файлом MFT, не освобождается. При этом стандартная программа дефрагмента-ции Windows не умеет дефрагментировать MFT, и Microsoft, не стесняясь, рекомендует использовать для этой процедуры программы сторонних разработчиков (некоторые из них будут рассмотрены в следующем разделе).
Анализ рекомендуется проводить регулярно, а дефрагментацию – только после соответствующей рекомендации программы дефрагментации диска. Анализ томов рекомендуется выполнять не реже одного раза в неделю. Если потребность в де-фрагментации возникает редко, интервал выполнения анализа томов можно увеличить до одного месяца. «Внеочередной» анализ целесообразно провести после добавления большого числа файлов, а также после инсталляции нового программного обеспечения.
Утилита проверки диска CHKDSK
В операционной системе Windows XP проверка корректности основных элементов файловой системы возлагается на утилиту CHKDSK (сокращение от Check Disk – проверить диск). Ее запуск выполняется в режиме командной строки (меню Пуск Выполнить CHKDSK). При запуске утилиты без параметров выполняется только проверка элементов файловой системы активного диска. Эта проверка включает три этапа (рис. 3.42):
проверку основных атрибутов файлов и папок (корректность имен и времени создания/модификации);
проверку индексов (то есть записей, имеющихся в MFT);
проверку дескрипторов безопасности (соблюдение прав доступа) для элементов файловой системы.
Рис. 3.42. Представление результатов работы утилиты CHKDSK
Если требуется проверить диск D: и исправить все обнаруженные ошибки, введите следующую команду:
chkdsk d: /f
Если обнаружена ошибка, выполнение программы CHKDSK приостанавливается и выводятся соответствующие сообщения. По окончании выполнения CHKDSK на экран выводится отчет, содержащий сведения о текущем состоянии диска. До завершения работы CHKDSK нельзя открывать какие-либо файлы на указанном диске.
Чтобы проверить фрагментацию всех файлов в текущем каталоге на диске с файловой системой FAT, введите следующую команду:
chkdsk *.*
CHKDSK выведет отчет о состоянии диска, а затем список фрагментированных файлов, удовлетворяющих шаблону команды.
Программа CHKDSK может быть также запущена автоматически при очередной загрузке системы, если предыдущий сеанс работы был завершен некорректно. В таком случае проверке подвергаются все диски, распознанные системой (рис. 3.43).
Если вы откажетесь от проверки или прервете ее, не проверив все диски, автоматический запуск CHKDSK повторится и при следующей загрузке системы. Объясняется это тем, что при некорректном завершении работы системы для всех разделов и логических дисков в системном реестре устанавливается так называемый «грязный бит».
Чтобы отказаться от автоматического запуска CHKDSK, можно использовать один из двух способов:
подправить системный реестр «вручную»;
запустить программу CHKNTFS.
При «ручной» правке реестра необходимо изменить значение параметра Boot-Excecute, который расположен в следующем разделе системного реестра: HKEY_ LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\Session Manager
По умолчанию параметр имеет значение autocheck autochk * (рис. 3.44).
Рис. 3.43. Представление результатов работы утилиты CHKDSK
Рис. 3.44.Параметр, разрешающий автоматический запуск CHKDSK
Его редактирование состоит в добавлении перед звездочкой аргумента /к, который исключает тома из списка проверки на наличие «грязного» бита.
Если требуется запретить автоматическую проверку конкретного диска, то после аргумента /к необходимо указать букву этого диска. Например, чтобы запретить автоматическую проверку диска D:, рассматриваемый параметр реестра должен иметь значение autocheck autochk /k: d *.
По сравнению с «ручной» правкой реестра применение программы CHKNTFS является более удобным и более безопасным.
Программа CHKNTFS входит в состав операционных систем Windows начиная с Windows NT 4.0 с пакетом обновления 2 (SP2). После инсталляции ОС на компьютер файл программы (Chkntfs.exe) располагается по умолчанию в папке \Windows\system32.
CHKNTFS работает в режиме командной строки и может быть использована в одном из следующих форматов:
chkntfs том: […] chkntfs /х том: […] chkntfs /d chkntfs /c том: […].
Параметры программы имеют следующий смысл:
том – определяет букву диска;
/X – исключает стандартную проверку диска при загрузке; сведения об исключенных ранее дисках не сохраняются;
/D – восстанавливает стандартные параметры компьютера; все диски проверяются при загрузке и CHKDSK запускается при обнаружении ошибок. Отменяет параметр /X;
/С – запрашивает выполнение проверки диска при следующей загрузке; если на диске обнаружены ошибки, запускается CHKDSK.
Например, после выполнения команды chkntfs /x D: E: параметр BootExcecute реестра будет иметь значение autocheck autochk /k: D /k: E*.
Если параметры /X, /D и /С не указаны, то CHKNTFS отображает состояние «грязного» бита для заданного тома (рис. 3.45).
Рис. 3.45. Результат запуска CHKNTFS без параметров
ПРИМЕЧАНИЕ
Если утилита CHKDSK настроена на автоматический запуск при загрузке системы, то при загрузке компьютера может появляться сообщение об ошибке следующего вида: «Не удается открыть том для прямого доступа. Тип файловой системы: NTFS. IFSUTIL: Не удается открыть диск. Состояние = cOOOOO43. Windows завершила проверку диска». Чтобырешить эту проблему, установите последний пакет обновления для Microsoft Windows XP.
Средства дефрагментации от сторонних производителей
Таких средств существует достаточно много. Долгое время большой популярностью пользовалась программа дефрагментации от Питера Нортона – Norton Speed Disk, входящая в комплект Norton Utilites. Однако на сегодняшний день весьма достойную конкуренцию ей составляют программы PerfectDisk компании Raxco Software (www.raxco.com) и Diskeeper Workstation компании Executive Software (www.executive.com). Обе программы сертифицированы Microsoft как средство де-фрагментации для операционных систем Windows и в целом соизмеримы по своим функциональным возможностям. В частности, обе программы обеспечивают:
поддержку дисков с файловыми системами FAT, FAT32, NTFS;
проведение предварительного анализа фрагментации диска с выдачей отчета по наиболее фрагментированным файлам;
проведение дефрагментации по заданному пользователем расписанию либо по установленному пороговому значению фрагментации диска;
одновременную дефрагментацию нескольких дисков в фоновом режиме;
дефрагментацию некоторых системных файлов, в том числе файла подкачки, который зачастую является одним из наиболее фрагментированных на диске;
для дисков с файловой системой NTFS – дефрагментацию главной таблицы файлов (MFT);
проведение дефрагментации на сетевых дисках.
Тем не менее в программе PerfectDisk помимо перечисленных реализован еще ряд возможностей, которые отсутствуют у Diskeeper. Среди них:
учет системной политики (разграничений прав доступа для различных пользователей);
поддержка режима командной строки, при котором увеличивается число системных файлов, доступных для дефрагментации;
возможность проведения дефрагментации при минимальном свободном пространстве (порядка 5 % от размера диска);
возможность дефрагментации наряду с MFT всех файлов метаданных NTFS;
применение специальной патентованной технологии SMART Placement, которая позволяет оптимизировать расположение файлов на диске в соответствии с частотой их модификации (с целью ускорения доступа к наиболее часто используемым файлам).
По указанным причинам далее рассмотрена только одна из названных программ – PerfectDisk.
ПРИМЕЧАНИЕ
Последняя версия программы, PerfectDisk 7, не работает на ОС Windows 9*/ME, только на Windows 2OOO/XP/Server.
Интерфейс программы PerfectDisk
Доступ ко всем основным функциям программы осуществляется с помощью двух панелей инструментов основного окна PerfectDisk (рис. 3.46):
панель, расположенная слева, обеспечивает переключение между режимами работы программы;
панель инструментов в верхней части окна позволяет выбрать конкретную операцию, относящуюся к активному режиму работы.
Рис. 3.46. Основное окно программы PerfectDisk
Рабочее пространство окна PerfectDisk разделено на две части: вверху представлен список распознанных системой дисков, а нижняя часть предназначена для графического представления результатов работы PerfectDisk.
Предусмотрено три режима работы PerfectDisk:
анализ диска на предмет фрагментированности; включается кнопкой Analyze (анализ);
дефрагментация диска; может производиться без предварительного анализа; включается кнопкой Defragment (Дефрагментировать);
работа с сетевым диском; подключение к определенному сетевому диску производится в дополнительном диалоговом окне, вызываемом с помощью кнопки Connect to Another Computer (Подключиться к другому компьютеру).
На левой панели инструментов имеется также кнопка Schedule (Расписание), которая позволяет запустить мастер генерации задания на автоматическое включение процедуры дефрагментации в определенное время или с определенной периодичностью.
По результатам анализа диска PerfectDisk формирует весьма подробный отчет, который появляется на экране по завершении анализа. Кроме того, состояние диска отображается в графической форме в нижней части окна (см. рис. 3.46). На этой «карте» диска каждый элемент соответствует определенному кластеру диска, а его цвет отражает тип кластера. Легенда «карты» размещена слева, под кнопками переключения режимов. PerfectDisk различает 10 типов кластеров:
Rarely Modified (Редко изменяемые) – кластеры выделены под файлы, которые изменяются относительно редко;
Occasionally Modified (Изменяемые от случая к случаю) – кластеры выделены под файлы, которые изменяются несколько чаще;
Frequently Modified (Изменяемые часто) – кластеры выделены под файлы, которые изменяются достаточно часто;
Directory (Каталог) – кластер используется файловой системой для хранения сведений о каталоге;
Boot (Загрузка) – кластер занят файлом, необходимым для загрузки системы; PerfectDisk относит к таковым все файлы, перечисленные в файле layout.ini (который, в свою очередь, находится в папке \WINDOWS\Prefetch);
Excluded (Исключение) – кластеры, выделенные под файлы, анализ фрагментации которых не проводится; по умолчанию таковыми являются файл подкачки (pagefile) и файл спящего режима (hibernate); PerfectDisk разрешает пользователю отнести к исключениям любой файл;
Freespace (Свободное пространство) – нераспределенные кластеры;
MFT – кластеры, выделенные под MFT;
MFT Zone (Зона MFT) – кластеры, зарезервированные системой под расширение MFT (обычно объем резерва составляет около 12 % емкости диска);
Metadata (Метаданные) – кластеры, выделенные под метафайлы NTFS;
Fragmented Files Outlined (Контуры фрагментированных файлов) – это своеобразный «подвид» кластеров, к которому могут быть отнесены кластеры любого из перечисленных выше типов, если соответствующий файл чересчур фрагментирован (по мнению PerfectDisk); такие кластеры отмечаются на «карте» рамкой, внутри которой сохраняется цвет типа кластера.
Окно отчета разделено на четыре вкладки. Первая из них – Summary (Итоги) дает обобщенные сведения о результатах анализа (рис. 3.47).
Рис. 3.47. Общие результаты анализа диска
Эти обобщенные сведения представлены в двух табличках. Первая из них содержит данные о доле (в процентах) фрагментированных файлов и папок, абсолютное число таких объектов, а также количество «лишних» фрагментов.
Вторая табличка содержит сведения по системно-значимым областям диска, в том числе объем свободного пространства.
Наконец, в нижней части окна приведены рекомендации PerfectDisk по дальнейшей работе с диском. Например, если требуется дефрагментация диска, то здесь будет предложен метод ее проведения (подробнее о различных вариантах де-фрагментации, поддерживаемых PerfectDisk, сказано ниже).
На двух следующих вкладках окна отчета – File (Файл) и Most fragmented Files (Наиболее фрагментированные файлы) – вы можете получить информацию о том, какую долю составляют файлы различных категорий (изменяемые часто, редко или «от случая к случаю»), и список наиболее фрагментированных файлов; для таких файлов выдается количество фрагментов и полный маршрут доступа (рис. 3.48).
Рис. 3.48.Представление PerfectDisk результатов анализа
Последняя вкладка, Excluded Files (исключенные файлы), позволяет посмотреть и изменить список файлов, доступ к которым PerfectDisk по тем или иным при– чинам запрещен (рис. 3.49).
Доступ к файлам может быть запрещен по двум причинам: либо его не разрешил пользователь, либо файл в данный момент использовался системой или каким– то приложением.
Чтобы запретить дефрагментацию конкретного файла (файлов), выполните следующие действия.
1. В основном окне PerfectDisk щелкните правой клавишей на диске, для которого следует создать список защищенных файлов, и в контекстном меню выберите пункт Properties (Свойства).
2. Перейдите на вкладку Excluded Files (Исключаемые файлы).
3. С помощью дерева каталогов диска выберите файлы или папки, которые не требуется дефрагментировать.
Рис. 3.49. Список файлов-исключений
В PerfectDisk реализован гибкий алгоритм работы с дисками, обеспечивающий минимальную зависимость процесса дефрагментации от других активных процессов. Этот алгоритм предполагает два режима работы PerfectDisk: фоновый (Online Defragmentation) и автономный (Offline Defragmentation). Их суть заключается в следующем.
По умолчанию PerfectDisk начинает выполнять дефрагментацию файлов в фоновом режиме. При обнаружении на диске системных файлов PerfectDisk пытается блокировать диск от «посторонних» обращений, не требуя перезагрузки. Если диск удается заблокировать, PerfectDisk продолжает дефрагментацию в автономном режиме, разрешая пользователю обращаться в это время к другим дискам компьютера.
Если диск нельзя заблокировать, PerfectDisk спросит разрешения закрыть все активные приложения, которые обращаются к обслуживаемому диску. Если пользователь согласен, то PerfectDisk будет пытаться закрыть такие приложения.
В случае успешного завершения приложений PerfectDisk продолжит дефрагментацию в фоновом режиме. Если диск не удается блокировать, PerfectDisk попросит перезагрузить компьютер. В случае согласия пользователя PerfectDisk перезагрузит компьютер, причем в процессе перезагрузки дефрагментируемый диск будет блокирован. В это время никакой другой процесс не сможет обратиться к диску, поскольку при такой попытке операционная система возвратит процессу сообщение, что диск не существует.
Если вы собираетесь дефрагментировать системный диск, то лучше сразу запустить процедуру в автономном режиме.
Для этого выполните следующие действия.
1. Щелкните правой клавишей мыши на значке диска и в контекстном меню выберите пункт Properties (Свойства). 2.
В панели свойств диска перейдите на вкладкуOffline DefragSettings (Параметры автономной дефрагментации) (рис. 3.50).
3. В группе флажков File Types To Defragment (Типы дефрагментируемых файлов) поставьте флажки для тех типов системных файлов, которые требуется дефрагментировать в автономном режиме (доступность флажков зависит от того, какую файловую системуи какие системные файлы обнаружил PerfectDisk на данном диске).
4. Если вы хотите, чтобы дефрагментация указанных файлов выполнялась при каждой загрузке системы, установите флажок Defragment selected offline file types on EVERY reboot (Дефрагментация файлов выбранных типов при каждой перезагрузке).
Рис. 3.50.Панель свойств диска
5. Закройте панель свойств диска, затем в основном окне PerfectDisk щелкните правой клавишей мыши на значке диска и в контекстном меню выберите команду Offline Defragment (Автономная дефрагментация).
PerfectDisk предлагает при дефрагментации диска «дополнительную услугу»: рациональное размещение файлов на диске в соответствии с их важностью и частотой использования. Такой режим работы называется SmartPlacement (Разумное размещение). Выбрать этот режим можно в специальном окне, которое по умолчанию появляется на экране при первом запуске операции дефрагментации (рис. 3.51).
Рис. 3.51.Панель свойств диска
«Разумная» дефрагментация требует несколько больших затрат времени. Если вы торопитесь, то можете ограничиться «обычной» дефрагментацией, поставив в этом окне соответствующий переключатель.
Относительным недостатком программы PerfectDisk можно считать то, что в ней отсутствуют средства предварительной проверки поверхности диска. Хотя, с другой стороны, эту задачу лучше поручить специализированным инструментам – либо стандартным (типа ScanDisk или ChkDsk), либо созданным сторонними разработчиками программного обеспечения. Благо таких инструментов сегодня существует достаточно много.
Профилактика аппаратных сбоев и отказов
До недавнего времени программные средства анализа поверхности жесткого диска были вынуждены опираться только на «собственные силы»: в качестве основного средства проверки секторов использовалась операция тестовой записи-считывания данных сектора. Такая проверка требует много времени и не дает достаточно достоверных результатов. Ситуация существенно изменилась с появлением технологии S.M.A.R.T. Ниже коротко рассмотрены особенности этой технологии, а также некоторые наиболее популярные программы, использующие эту технологию.
Технология S.M.A.R.T
Применение технологии S.M.A.R.T. (Self-Monitoring Analysis and Reporting Technology – технология анализа с самоконтролем и созданием отчета) позволяет пользователю заранее знать о всех неполадках, возникающих на диске, чтобы заблаговременно перенести данные на другой носитель. S.M.A.R.T. – это открытый стандарт, который поддерживают многие производители. Вместе с тем технология S.M.A.R.T. не универсальна – конкретная реализация предназначена для работы только с конкретными моделями дисков.
Жесткий диск, в котором реализована технология S.M.A.R.T., ведет статистику своих рабочих параметров (количество старт-стопов и наработанных часов, время разгона шпинделя, обнаруженные/исправленные ошибки и т. п.), которая регулярно сохраняется в перепрограммируемом ПЗУ или в служебных зонах диска. Эта информация накапливается в течение всей жизни винчестера и может быть использована программами анализа; по ней можно судить о состоянии механики, условиях эксплуатации и вероятности выхода диска из строя. Сбор указанных сведений выполняет автономный контроллер винчестера. Поэтому наиболее полные и достоверные сведения могут быть предоставлены пользователю с помощью специфической программы от производителя данной модели жесткого диска.
Одни производители предлагают утилиты в виде отдельных исполняемых модулей (например, так реализована программа компании Samsung, рис. 3.52). Другие (например, IBM или Western Digital) распространяют полнофункциональный комплекс, включающий несколько сервисных программ, запускаемых из единой оболочки.
Рис. 3.52.S.M.A.R.T.-утилита от компании Samsung
ПРИМЕЧАНИЕ
Обычно такие утилитыдоступныдлябесплатной загрузки с веб-сайтовразработчиков.
Программы S.M.A.R.T. предназначены для запуска с загрузочного гибкого диска, поскольку предполагают возможность диагностирования диска с поврежденным boot-сектором. Причем некоторые производители предлагают свои программные решения вместе с DOS-подобной операционной системой.
Вместе с тем существуют более универсальные программные средства, поддерживающие технологию S.M.A.R.T. для большого числа жестких дисков за счет ведения собственной базы данных по различным типам HDD.
Кроме того, некоторые специализированные инструменты достаточно тесно взаимодействуют с такими универсальными (и более мощными) программами. Например, если у диска Samsung в процессе считывания 10 миллиардов единиц информации возникает более 50 ошибок, программа Diag посылает предупреждение операционной системе, а при очередной перезагрузке процесс прерывается сообщением об ошибке или загружается программа Norton SMART Doctor, которая предупреждает об опасности и рекомендует создать резервные копии важной информации.
Программа SiGuardian
Достоинства технологии S.M.A.R.T. проявляются в полной мере лишь в том случае, если есть возможность постоянно контролировать значения регистрируемых S.M.A.R.T.-параметров. Более того, хотелось бы постоянно знать, насколько текущие значения этих параметров далеки от предельных, пороговых значений.
В настоящее время существует достаточно много программ, способных производить постоянный мониторинг S.M.A.R.T.-параметров и сообщать их значения пользователю, а в случае приближения этих значений к критическим – и «поднять тревогу». Вашему вниманию предлагается одна из наиболее удачных программ такого класса – SIGuardian, созданная украинскими программистами (компания PalickSoft, http://www.siguardian.com).
Название программы – это сокращение от S.M.A.R.T. IDE Guardian, то есть «защита IDE-устройств на основе S.M.A.R.T.». Пожалуй, единственный недостаток программы – это ее ориентация на один вид интерфейса – IDE, что не позволяет использовать ее для контроля состояния устройств с интерфейсом SCSI или внешних жестких дисков, подключаемых к USB-порту. Тем не менее IDE-диски все еще преобладают в «домашних» ПК, и потому выбор SIGuardian в качестве рекомендуемого инструмента можно считать оправданным. Программа является условно-бесплатной и имеет русскоязычный вариант интерфейса.
После инсталляции программы и ее запуска SIGuardian сразу сканирует жесткие диски компьютера и выводит на экран сведения об их текущем состоянии (рис. 3.53). При наведении указателя мыши на строку некоторого параметра на экране появится всплывающая подсказка с пояснением по данному параметру.
ПРИМЕЧАНИЕ
Последняя версия программы имеет номер 1.7. Однако в предыдущей версии, 1.6, «русификация» программы проведена полнее. Поскольку в технологическом отношении версия 1.7 мало чем отличается от версии 1.6, более ранняя версия предпочтительнее для пользователей, недостаточно хорошо знающих английский язык.
Рис. 3.53.Первые результаты работы SIGuardian
Для первоначальной оценки состояния дисков вполне достаточно сравнить текущие значения параметров, представленные в столбце Value (Значение), с пороговыми значениями, приведенными в столбце Threshold (Порог).
Вместе с тем вы можете скорректировать перечень отображаемых S.M.A.R.T.-параметров, а также настройки работы программы. Для этого требуется перейти к соответствующему окну программы, щелкнув на кнопке Options (Настройки).
По умолчанию открывается страница настроек, общая для всех дисков компьютера, – General (Общие) (рис. 3.54).
Начать настройку следует с изменения языка интерфейса с английского (он установлен по умолчанию) на русский. Для этого достаточно выбрать в раскрывающемся списке Language (Язык) соответствующий пункт.
Из технологических параметров следует обратить внимание на четыре (именно они показаны на рис. 3.54):
Показывать только изменившиеся атрибуты – если флажок установлен, то в окне Подробно будут представлены только те S.M.A.R.T.-параметры, значения которых изменились после предыдущего сеанса контроля;
Засыпать при превышении температуры – если флажок установлен, то при нагреве диска свыше порогового значения, указанного в соседнем поле, диск будет автоматически переведен в «спящий» режим;
Режим работы – эта пара переключателей определяет состав отображаемых сведений о контролируемых S.M.A.R.T.-параметрах; если поставлен переключатель Расширенный, то в окне Подробно помимо текущих и пороговых значений выводятся также необработанные (Raw) и худшие значения параметров;
Опрос S.M.A.R.T. – с помощью двух полей в этой группе можно указать периодичность контроля S.M.A.R.T.-параметров (с точностью до минуты).
Рис. 3.54. Окно настроек SIGuardian
Чтобы настройки вступили в силу, необходимо щелкнуть на кнопке Запись, расположенной в правом нижнем углу окна.
Дополнительная настройка для каждого из жестких дисков компьютера производится отдельно. Чтобы выбрать диск, в левой части окна откройте ветвь HDDs и щелкните на значке интересующего вас диска. Если диск поддерживает функцию контроля температуры, то для него, кроме состава контролируемых параметров, можно также задать цвет индикатора, отображаемого в системном трее (рис. 3.55).
Рис. 3.55. Настройка индивидуальных параметров диска
Чтобы узнать текущую температуру диска, а также некоторые другие его параметры, в том числе геометрию диска, необходимо переключиться в окно Общие и в раскрывающемся списке (в верхней части окна) выбрать нужный диск (рис. 3.56).
Рис. 3.56. Дополнительные сведения о диске
Все собранные сведения можно сохранить в виде текстового отчета в HTML-файле. В отчет включаются сведения обо всех жестких дисках компьютера с указанием даты начала контроля, даты последнего и очередного контроля, а также текущих и пороговых значений всех контролируемых S.M.A.R.T.-параметров (рис. 3.57).
ПРИМЕЧАНИЕ
Полученный отчет содержит серийные номера дисков, а эти данные могут оказаться весьма полезныпри более глубоком анализе дисков (подробнее об этом – в следующем подразделе). Неплохо также скопировать отчет на альтернативный носитель или распечатать.
Основное достоинство программ, подобных SIGuardian, – это непрерывность и оперативность контроля. Тем не менее почти все такие программы способны ошибаться при интерпретации значений S.M.A.R.T.-параметров и, кроме того, не дают полного представления о функционировании жестких дисков. Для более точной диагностики целесообразно применять программы, работающие в однозадачном режиме и запускаемые с внешнего (по отношению к контролируемым дискам) носителя.
Комплексный контроль: Drive Fitness Test
Программа, о которой пойдет речь в данном подразделе, заслуживает особого доверия, поскольку разработана специалистами компании IBM. Инсталляция программы заключается в создании загрузочного гибкого диска с однозадачной операционной системой от IBM, которая называется PC DOS. Для начала работы с программой требуется поместить гибкий диск в дисковод и перезагрузить компьютер (в BIOS должна быть разрешена приоритетная загрузка с гибкого диска).
Рис. 3.57. Отчет о состоянии дисков
Программа поддерживает не только ATA, но и SCSI-контроллеры, поэтому на первом шаге работы с ней потребуется указать, какой из режимов работы вас интересует: только для контроллеров ATA или для ATA и SCSI. При выборе второго варианта необходимо дополнительно уточнить, какой именно тип SCSI-контроллеров вас интересует. Следующий предварительный этап – это подтверждение вашего согласия с условиями лицензионного соглашения. И лишь после этого DFT произведет сканирование системы с целью обнаружения жестких дисков.
По результатам сканирования DFT формирует предварительный список дисков, для каждого из которых указываются основные сведения (рис. 3.58): порядковый номер по подключению, тип интерфейса, способ подключения, наименование устройства и емкость диска.
Если вы считаете представленные сведения корректными, щелкните на кнопке OK, чтобы перейти к следующему этапу работы. Если в списке представлены не все диски или информация о некоторых дисках не точна, щелкните на кнопке No (Нет). В этом случае программа DFT постарается помочь, предложив для начала указать тип интерфейса нераспознанного устройства, а затем проверить, соблюдены ли правила подключения устройств к контроллерам. Если вы считаете, что физическое подключение выполнено корректно, DFT попросит ввести серийный номер устройства. Вот здесь-то и может пригодиться отчет, полученный с помощью программы SIGuardian и хранящийся на гибком диске либо в виде бумажной копии.
Рис. 3.58. Предварительный списокобнаруженныхдисков
Получив правильный список устройств и щелкнув на кнопке OK, вы сможете перейти к работе с конкретным диском. Для этого требуется в следующем окне DFT выбрать в «окончательном» списке нужный пункт. При этом в полях над списком появятся некоторые дополнительные данные о диске (наименование модели, серийный номер, размер кэша).
В DFT предусмотрено три режима тестирования дисков:
Quick Test (Быстрый тест) – несмотря на свое название, данный тест является достаточным в большинстве случаев, поскольку позволяет выявлять до 90 % возможных проблем с диском; тест предусматривает чтение и анализ данных об имевших место ошибках в работе диска, проверку значений S.M.A.R.T.-параметров, сканирования первых 500 Кбайт секторов (которые обычно содержат жизненно важные программы и данные), а также проверку работы механики диска путем позиционирования магнитных головок и оценки качества чтения данных каждой из них; тест называется «быстрым», поскольку занимает не более 2 минут;
Advanced Test (Усиленный тест) – включает выполнение всех проверок, входящих в Quick Test (за исключением изучения прежних ошибок диска) и, кроме того, предусматривает посекторное чтение данных с диска; длительность теста обычно составляет от 15 до 30 минут в зависимости от емкости диска; основная его цель – проверка поверхности диска;
Exerciser Test (Испытательный тест) – включает все процедуры, предусмотренные тестом Advanced Test, а также выборочное чтение случайных блоков данных в течение времени, заданного пользователем, что позволяет моделировать интенсивное использование диска; длительность одного цикла моделирования составляет 30 мин.
Прежде чем начать проверку, следует убедиться, что разрешен анализ S.M.A.R.T.-параметров. Для этого необходимо в меню Utilities (Утилиты) открыть подменю ATA Functions (функции ATA) и в нем выбрать пункт S.M.A.R.T. Operations (операции S.M.A.R.T.) (рис. 3.59).
Рис. 3.59.Настройка поддержки S.M.A.R.T
После этого в дополнительном окне можно уточнить, поддерживает ли выбранный диск технологию S.M.A.R.T., и если требуется, разрешить ее использование в тестах, щелкнув на кнопке Enabled (Разрешено).
По завершении тестирования DFT выводит на экран код результата проверки – Disposition Code, который может иметь одно из следующих значений (рис. 3.60):
ОхОО – ошибок не обнаружено;
ОхЮ – тестирование прервано пользователем;
Ох2О – устройство не опознано;
Ох22 – диск защищен паролем;
ОхЗО – недостаточно памяти для завершения тестирования;
Ох31 – неправильное значение параметра;
ОхЗ2 – некорректный параметр;
ОхЗЗ – функция не поддерживается;
Ох4О – системная ошибка; Ох41 – повреждение кабеля;
Ох42 – превышение допустимой температуры;
Ох4З – ожидание запроса от SCSI;
Ох44 – повышенная вибрация;
Ох45 – низкая эффективность системы;
Ох7О – повреждение устройства;
Ох71 – невозможно прочитать данные;
Ох72 – недопустимое значение S.M.A.R.T.-параметров;
Ох7З – критическое повреждение устройства;
Ох74 – ошибка тестирования по технологии S.M.A.R.T.;
Ох75 – не распознанное повреждение устройства.
Рис. 3.60. Представление результатов тестирования
Из дополнительных возможностей программы следует отметить три функции, вызываемые из меню Utilities:
Erase boot sector – очистка загрузочного сектора диска (содержащего MBR). Эта операция может быть полезна, когда есть уверенность, что сектор поврежден (например, вирусом), и требуется обновить его содержимое; результат операции состоит в прописывании загрузочного сектора нулями; после ее проведения требуется запись «правильной» MBR, включая корректную таблицу разделов;
Corrupted Sector Repair – восстановление поврежденного сектора; предполагается попытка восстановления всех поврежденных секторов, выявленных во время тестирования; в ходе восстановления сектора его исходное содержимое перезаписывается нулями, поэтому DFT перед выполнением данной операции определяет, каким файлам принадлежат восстанавливаемые секторы, и по завершении восстановления пытается вернуть данные файла на прежнее место; данная функция поддерживается для файловых систем FAT, FAT32 и NTFS;
Erase Disk – очистка диска; все секторы диска, включая загрузочный, прописываются нулями; данная мера является крайней и может применяться в том случае, когда имеющиеся на диске данные не подлежат восстановлению, и требуется лишь вернуть работоспособность собственно диска; длительность операции может составлять час или более.
В заключение еще раз отметим, что программы типа Drive Fitness Test с физической структурой диска необходимо применять очень аккуратно. Однако и необходимость в их использовании возникает нечасто – значительно реже, чем применение штатных средств ОС для настройки параметров интерфейса файловой системы.
Настройка интерфейса файловой системы
Из «глубин» файловой системы вернемся на «поверхность», к той части системы, которая обращена непосредственно к пользователю. Разумеется, на самом деле интерфейс – это часть операционной системы. Но поскольку в данном случае нас будет интересовать лишь работа с файлами и папками, то мы обозначим соответствующую его часть как «интерфейс файловой системы».
С точки зрения сохранности и восстановления данных наибольший интерес представляют две группы параметров:
атрибуты файлов и папок;
параметры Корзины.
Атрибуты папок и файлов
При установке атрибутов элементов данных следует руководствоваться таким принципом: пользователь должен иметь возможность всегда контролировать изменения, происходящие в системе. И, кроме того, неплохо получать побольше информации со стороны системы относительно ваших собственных действий (во избежание различных случайных ошибок). В этом смысле избыток информации значительно лучше, чем ее недостаток.
Атрибуты визуального отображения
Для изменения атрибутов визуального отображения папок откройте любую из них, в меню Сервис выберите пункт Свойства папки и перейдите на вкладку Вид.
С помощью флажков в группе Файлыи папки задайте следующие атрибуты (рис. 3.61):
Выводить полный путь в строке заголовка – в строке заголовка окна папки будет отображаться полный маршрут доступа к открытой вложенной папке;
если флажок сброшен, в заголовке окна указывается только имя текущей открытой папки; знание полного маршрута полезно, например, когда имеется несколько одноименных вложенных папок или несколько копий одной папки, размещенных на разных логических дисках; дополнительно можно также установить флажок Выводить полный путь в панели адреса, который позволяет видеть полный маршрут в адресной строке открытой папки;
Отображать сжатые или зашифрованные файлы NTFS другим цветом – при работе в Windows XP этот флажок имеется в свойствах папок всех логических дисков (FAT32 и NTFS), но имеет смысл только для разделов NTFS; если вы используете сжатые или зашифрованные файлы, то их визуальное выделение может спасти их от некорректных действий пользователя;
Отображать содержимое системных папок – при возникновении проблем с системой вам наверняка понадобится «полазать» по системным папкам, поэтому лучше разрешить себе это заранее, а не в состоянии стресса;
Скрывать защищенные системные файлы – флажок следует снять по той же причине, по которой полезно разрешить доступ к системным папкам;
Скрывать расширения для зарегистрированных типов файлов – самый «вредный» параметр с точки зрения безопасности данных; именно он, будучи установленным по умолчанию, позволяет «вирусописателям» обманывать доверчивых пользователей; как вы помните (если нет – вернитесь к материалу главы 1), многие файлы вирусов имеют двойное расширение типа Girl.jpg.exe; при скрытом «настоящем» расширении остается только Girl.jpg и пользователь безбоязненно открывает такой файл в надежде увидеть «Girl»; кроме того, многие системные файлы различаются именно расширением, и для работы с ними видеть эти расширения просто необходимо.
Рис. 3.61.Атрибуты визуального отображения папок и файлов
В дополнительной группе атрибутов, обозначенной как Скрытые файлы и папки, следует поставить переключатель в положение Показывать скрытые файлы и папки. Скрытые файлы и папки могут быть отнюдь не только системными. Зачастую в скрытые папки прячутся программы-шпионы и другие вредоносные программы.
Чтобы установленные параметры были действительны для всех папок, щелкните на кнопке Применить ко всем папкам, расположенной выше списка параметров.
Имеется группа атрибутов папок и файлов, которая доступна через панель свойств соответствующего объекта.
Атрибут Только чтение
Чтобы открыть панель свойств папки, щелкните правой клавишей мыши на значке папки и в контекстном меню выберите пункт Свойства. На вкладке Общие нас интересует пока единственный флажок – Только чтение (рис. 3.62).
Рис. 3.62. Атрибут Только чтение имеется у папок и у файлов
Он определяет права по работе с папкой. Формально папка с атрибутом Только чтение не должна быть удалена без предупреждения (со стороны системы) о том, что папка обладает соответствующим статусом. Впрочем, защита эта весьма слабая и может сыграть определенную роль только в том случае, если на компьютере не используется Корзина, и удаляемые файлы и папки не подлежат восстановлению штатными средствами Windows.
ПРИМЕЧАНИЕ
Если в папке имеется хотя быодна вложенная папка или файл, для которых задан атрибут Только чтение, то одноименный атрибут для рассматриваемой папки будет установлен автоматически. Однако если не все файлыи вложенные папки имеют такой атрибут, то флажок отображается не на белом, а на сером фоне. Выможете его «переустановить» двумя щелчками мыши, и тогда атрибут Только чтение будет присвоен всем файлам и вложенным папкам.
Сказанное ранее относится также к файлам. Правда, здесь имеется одна особенность. Дело в том, что приложения, с помощью которых вы будете открывать файлы с атрибутом Только чтение, учитывают его в своей работе. Причем приложения от Microsoft указывают на это «прямым текстом», выводя в заголовке окна приложения пометку только чтение (или Только для чтения). При попытке сохранить после изменения такой файл взамен старого на экране появится окно сохранения файла, как намек на то, что файл должен быть сохранен под другим именем. Приложения от других производителей, хотя и не указывают явно на статус файла, при сохранении файла с атрибутом Только чтение ведут себя аналогично – выводят на экран диалоговое окно, позволяющее изменить расположение или имя исходного файла.
Таким образом, установка атрибута Только чтение для файлов позволяет в некоторых случаях избежать случайного изменения данных.
Чтобы установить для файла атрибут Только чтение, следует открыть панель свойств файла, щелкнув правой клавишей на его значке, в контекстном меню выбрать пункт Свойства и на вкладке Общие установить флажок Только чтение.
Выбор имен папок и файлов
С точки зрения восстанавливаемости данных большое значение имеет (как ни странно) выбор имен для файлов и папок. Имеется в виду следующее.
В Windows 98/2000/XP реализована так называемая поддержка длинных имен файлов и папок.
Это означает, что в Windows 98/2000/XP пользователи могут присваивать папкам и файлам имена длиной до 255 символов. Кроме того, имя папки (файла) может содержать любые символы, в том числе пробелы и любое количество точек. Такие имена недопустимы при работе в среде MS-DOS, а также «непонятны» DOS-приложениям и некоторым старым версиям Windows-приложений. Например, вы не увидите «длинные» имена файлов и папок при работе с файловым менеджером типа Norton Commander, Volkov Commander или FAR (рис. 3.63).
С целью обеспечения совместимости с такими приложениями в Windows 98/ 2000/XP имеется механизм генерации псевдонимов. Псевдоним – это вариант имени, удовлетворяющий требованиям операционной системы MS-DOS (то есть формату «8.3»).
Другими словами, для имени генерируется псевдоним, если оно не соответствует формату «8.3».
ПРИМЕЧАНИЕ ____________________
В MS-DOS допустимыимена файлов, содержащие не более 8 символов перед точкой и 3 – после точки. Точка может быть только одна. Имя должно начинаться с буквы или с цифры. Не допускается использование строчных букв, пробелов, а также не ASCII-символов. PазрешенысимволыASCII с кодами больше 127, а также символы $% -_@ – !()"# &. Кроме того, общая длина адреса (маршрута доступа) не должна превышать 80 символов, включая обратную косую черту (\).
Рис. 3.63. DOS-приложения «не понимают» длинных имен
В Windows 98 используется следующий алгоритм формирования псевдонимов.
1. Из длинного имени удаляются все символы, недопустимые в формате «8.3».
2. Удаляются точки в конце и начале имени; после этого удаляются все точки, находящиеся внутри имени, кроме последней.
3. Последовательность символов, расположенная перед точкой, урезается до 6 первых символовивее конец добавляется суффикс ~1.
4. Последовательность символов за точкой урезается до 3 первых символов.
5. Все буквы имени преобразуются в прописные.
6. Если сгенерированный псевдоним совпадает с уже существующим, то порядковый номер в суффиксе увеличивается на единицу.
Например, если в папке имеются файлы Московский вокзал. с!ос и Московские во-рота. с!ос, то для первого из них будет создан псевдоним MOCKOB~1.DOC, а для второго – MOCKOB~2.DOC.
Обратите внимание, что имя файла, во всем совпадающее с псевдонимом за исключением того, что содержит строчные буквы, все равно считается длинным. В таком случае псевдоним формируется простым преобразованием строчных букв в прописные, например LongFile.txt трансформируется в LONGFILE.TXT.
ПРИМЕЧАНИЕ ____________________
Алгоритм генерации псевдонимов может изменяться в некоторых деталях от версии к версии Windows. Например, в Windows 98 используется алгоритм формирования псевдонимов, несколько отличающийся от применяемого в Windows 2000 или в Windows ХР. Это приводит к тому, что псевдонимы для одного и того же имени, созданные в разных операционных системах, могут выглядеть по-разному.
Чтобы увидеть псевдоним файла в Windows 98, щелкните на значке файла правой клавишей мыши и выберите в контекстном меню пункт Свойства. Псевдоним отображается на вкладке Общие в качестве значения параметра Имя MS-DOS (рис. 3.64).
Рис. 3.64. Псевдоним отображается в качестве значения параметра Имя MS-DOS
Для хранения длинного имени (LFN – Long File Name) в каталоге создается специальная запись. Она состоит из нескольких частей (в зависимости от длины имени их может быть до 21), которые формируются по определенному алгоритму. Таким образом, необходимость хранения «длинного» длинного имени усложняет структуру каталога. А повышение сложности – это, как известно, одна из возможных причин снижения надежности.
Использование кириллицы в именах файлов и папок само по себе не требует от файловой системы FAT32 или NTFS каких-то дополнительных «усилий». Однако при работе с дисковыми утилитами, не поддерживающими кириллицу, использование русскоязычных имен может создать определенные проблемы. Данные вы не потеряете, но процедура анализа содержимого диска изрядно усложнится.
ВНИМАНИЕ ____________________
Редактирование файлов программами, не поддерживающими длинные имена файлов, может приводить к потере длинных имен. Большинство старых дисковых утилит, работающих в режиме MS-DOS, воспримут длинные имена как ошибки логической структу-рыдиска. Поэтому использование таких утилит может привести в лучшем случае к потере длинных имен, а в худшем – к потере информации на диске.
Таким образом, при выборе имен файлов и папок полезно придерживаться следующих правил:
не злоупотребляйте применением длинных имен; для наиболее важных данных вообще лучше соблюдать основные ограничения, предусмотренные форматом «8.3»;
при создании вложенных папок обращайте внимание на суммарную длину маршрута доступа к файлу.
Помимо перечисленных выше ограничений, следует помнить еще два особых случая в именовании файлов и папок, которые могут вызвать проблемы в работе с этими объектами:
имена папок или файлов с пробелом в начале или в конце строки; такие имена допустимы в файловой системе NTFS, но недопустимы в подсистеме Win32. Поэтому ни проводник Windows, ни командная строка не могут работать с файлами и папками, содержащими пробел в начале или в конце строки имени. При попытке переименовать или удалить объекты с такими именами появляется одно из следующих сообщений об ошибке:
Ошибка при переименовании файла или папки;
Не удается переименовать файл: Не удается произвести чтение из файла или с диска;
Ошибка при удалении файла или папки;
Не удается удалить файл: Не удается произвести чтение из файла или с диска;
имена, совпадающие с именами системных объектов (в частности, с логическими именами устройств типа PRN, LPT1, COM3 и т. п.); во-первых, вы не сможете создать папку или файл с таким именем средствами Проводника Windows (причем для файла – вне зависимости от его расширения); то же самое относится и к попытке сохранить файл средствами какого-либо приложения (рис. 3.65); во-вторых, если объект с таким именем все-таки существует, то удалить или переименовать его с помощью Проводника Windows также не удастся.
СОВЕТ ____________________
Чтобыудалить объектыс «неправильными» именами, можно использовать команду DEL в режиме командной строки. При этом следует указать в качестве имени удаляемого объекта лишь несколько первых букв имени, заменив остальные подстановочными знаками (* или?). Например, если нужно удалить файл PRN.txt, то в командной строке следует ввести инструкцию DEL PR?.*.
Рис. 3.65. Нельзя создать файл с именем системного объекта
Управление работой Корзины
Несмотря на весьма важную роль, отводимую Корзине в деле сохранения данных, интерфейс для настройки ее параметров – это одно из наиболее слабых мест в интерфейсе Windows (как Windows 98, так и последующих версий). Именно поэтому вопросам настройки параметров Корзины будет уделено несколько больше внимания, чем она (на первый взгляд) заслуживает.
Установка параметров стандартной Корзины
Корзина в современных операционных системах – это средство защиты от случайного удаления нужных данных. Файл или папка, помещенные в Корзину, могут быть восстановлены по прежнему адресу буквально одним щелчком мыши: достаточно в контекстном меню объекта, отправленного в Корзину, выбрать команду Восстановить.
Механизм работы Корзины основан на том, что дескрипторы удаленных объектов перемещаются из их прежних каталогов в скрытую папку Recycled. Сами же объекты при «выбрасывании» в Корзину сохраняют свою «прописку» по прежнему адресу, пока пользователь не удалит их из Корзины или не очистит Корзину.
ПРИМЕЧАНИЕ
На самом деле и после удаления файла из Корзиныс ним практически ничего не происходит. Чем отличается удаленный файл от не удаленного, будет рассказано в четвертой главе.
Начнем с того, что попробуем разобраться, сколько же Корзин использует Windows. По умолчанию для каждого логического диска создается своя Корзина. И открыв корневой каталог любого из дисков, вы увидите (если учли советы из предыдущего подраздела) скрытую папку Recycled. Тем не менее сведения обо всех удаленных файлах отражаются во всех Корзинах. В этом легко убедиться, перетащив какой-либо файл в локальную Корзину, а затем открыв Корзину другого локального диска. Там будет лежать… да-да, тот самый удаленный файл с другого диска.
Очевидно, что это не очень удобно: зачем, например, пользователю видеть две сотни файлов, удаленных неделю назад на дисках E: и F:, если его интересуют конкретные два файла, удаленные день назад на диске D:?
Указанная проблема связана с тем, что с точки зрения программной реализации Корзина представляет собой элемент ActiveX, а для каждого диска создается свой экземпляр этого объекта, который наследует некоторые общие свойства «родителя».
Но вернемся к пользовательскому интерфейсу Корзины. Она способна выполнить свою защитную функцию только при наличии двух условий:
разрешено перемещение удаляемых объектов в Корзину;
емкость Корзины соответствует вашим потребностям, и вы не забываете ее своевременно очищать.
Оптимальным является вариант, когда Корзина «включена» на всех локальных дисках. Это избавит вас от необходимости вспоминать, на каком из дисков файлы удаляются, минуя Корзину.
Чтобы «включить» Корзину на всех локальных дисках, выполните следующие действия.
1. Щелкните правой клавишей мыши на значке Корзины (на Рабочем столе) и в контекстном меню выберите пункт Свойства.
2. В панели свойств на вкладке Глобальные установите переключатель Единые па-раметрыдля всех дисков и затем сбросьте флажок Уничтожать файлысразу после удаления (рис. 3.66).
Рис. 3.66. Панель свойств Корзины
ВНИМАНИЕ
Элементы, удаляемые с сетевого или гибкого дисков, не попадают в Корзину, а удаляются сразу, независимо от установленных параметров Корзины.
Однако существует возможность индивидуальной настройки локальных Корзин. Помимо включения-выключения, вы можете указать для каждой из них размер (в процентах от размера соответствующего диска) и условия вывода предупреждающих сообщений, выдаваемых системой при удалении файлов и папок. Для установки параметров конкретной Корзины требуется в панели свойств любой Корзины на вкладке Глобальные установить переключатель Независимая конфигурация дисков, и затем перейти на вкладку с именем соответствующего диска.
ВНИМАНИЕ
Когда Корзина заполняется, Windows автоматически освобождает в ней необходимое место за счет наиболее часто удаляемых файлов и папок. Перемещение в Корзину файла, превышающего ее емкость, может в некоторых случаях привести к зависанию системы.
Перечень возможных предупреждающих сообщений зависит от того, «включена» Корзина или нет. Правила выдачи таких сообщений далеко не очевидны:
если Корзина «включена», то при перемещении файла или папки в Корзину сообщение появится на экране лишь при установленном флажке Запрашивать подтверждение на удаление; предупреждение появится также в том случае, когда размер удаляемого файла превышает размер Корзины;
при удалении объекта из Корзины (а также при очистке Корзины) предупреждающее сообщение также появится на экране лишь при установленном флажке Запрашивать подтверждение на удаление;
если Корзина «выключена», то при удалении файла или папки всегда выдается сообщение с просьбой о подтверждении намерений; поэтому при «выключении» Корзины флажок Запрашивать подтверждение на удаление устанавливается автоматически и переводится в заблокированное состояние; правда, этот механизм иногда не срабатывает, и файл удаляется без дополнительного запроса системы; в связи с этим целесообразно периодически проверять состояние указанного флажка и при необходимости устанавливать его вручную.
На основании изложенного можно сформулировать некоторые рекомендации по использованию Корзины:
хотя Корзина не является абсолютно надежным средством для временного хранения «не очень нужных» данных, нет никаких оснований отказываться от ее использования;
применение нескольких «автономных» Корзин на разных локальных дисках никак не влияет на защищенность помещаемых в них данных; вместе с тем, целесообразно устанавливать индивидуальный размер для каждой Корзины в зависимости от размера диска и характера его предназначения.
Корзина от Питера Нортона
В подразделе «Обслуживание дисков» были представлены некоторые утилиты для работы с дисками, входящие в состав пакета Norton Utilities. Одна из них – UnErase – устанавливается вместе с дополнительным сервисом, который называется Norton Protected Bin (защищенная корзина Нортона).
Norton Protected Bin расширяет возможности стандартной Корзины следующим образом:
по умолчанию все удаляемые файлы, независимо от параметров стандартной Корзины, считаются «защищенными»; это означает, что дескрипторы удаленных файлов помещаются в «список Нортона», который передается утилите UnErase для последующего восстановления;
в панели свойств Корзины появляются две дополнительные вкладки – Norton Protectee (Защита Нортона) и RecycleC Bin (Корзина) (рис. 3.67).
Вкладка Norton Protectee позволяет управлять параметрами работы защищенной корзины. В частности, с ее помощью вы можете:
включить либо выключить защищенную Корзину, изменив состояние флажка Enable Protection (Разрешить защиту);
Рис. 3.67.Панель свойств защищенной Корзины
указать длительность хранения (в днях) удаленных файлов в «списке Нортона»; для каждого файла срок отсчитывается индивидуально, со дня удаления этого файла; по истечении указанного срока файл будет удален из этого списка, но останется в стандартной Корзине, пока вы ее не очистите;
настроить фильтр отбора файлов (по типам, по именам или по шаблонам) и папок, которые следует включить либо наоборот исключить из списка защищаемых; для этого требуется щелкнуть на кнопке Exclusions (Исключения) и выполнить необходимые настройки в дополнительном окне.
Вкладка Recycled Bin позволяет указать реакцию любой Корзины на щелчок мышью на ее значке (расположенном на Рабочем столе или непосредственно в корневой папке диска):
UnErase Wizard (Мастер UnErase) – щелчок левой клавишей мыши (двойной или одиночный, в зависимости от настроек интерфейса) приводит к запуску мастера утилиты UnErase, с помощью которого вы можете восстановить удаленные файлы, имеющиеся в «списке Нортона»;
All protected files (Все защищенные файлы) – щелчок клавишей мыши активизирует процедуру формирования «списка Нортона» с учетом настроек фильтра отбора; список отображается в окне утилиты UnErase (точнее, в соответствующем окне мастера восстановления), рис. 3.68); чтобы восстановить один или несколько файлов, достаточно выбрать их в списке и щелкнуть на кнопке Recover (Восстановить);
Standard Recycled Bin (Стандартная Корзина) – щелчок мыши открывает стандартное окно Корзины Windows.
Рис. 3.68. Окно утилиты UnErase
Работа утилиты UnErase и построена на восстановлении файлов из «списка Нортона», поэтому читателям вполне по силам освоить UnErase самостоятельно.
Глава 4
Резервное копирование данных
Всем известно, что использование резервного копирования данных – это наиболее простой и надежный способ обеспечить их сохранность. Причем и наиболее универсальный: с его помощью можно одинаково успешно восстанавливать как системные компоненты, так и данные пользователя.
Однако многие предпочитают сэкономить несколько минут на создании резервной копии, а потом тратят несколько часов (или даже дней) и уйму нервных клеток на восстановление утраченной информации.
Тем более странно мириться с этим сегодня, когда существует масса инструментальных средств, требующих всего лишь указать «когда, чего и сколько» резервировать.
Архивация и резервное копирование
Понятия «архивация» и «копирование» так часто используются совместно в публикациях и при работе с данными, что иногда даже начинают восприниматься как синонимы.
На самом деле, хотя архивация (английский термин – archiving) и резервное копирование (backup) – большие «друзья», они вовсе не близнецы и вообще не «родственники». Итак, что же стоит за каждым из этих терминов?
Архивация по своей сути очень близка к созданию некомпьютерных, «бумажных» архивов. Что собой представляет такой архив? Это место, приспособленное для хранения документов, которые либо потеряли свою актуальность (а выбросить жалко – вдруг понадобятся), либо используются относительно редко.
Простейший вариант «бумажного» архива – это книжный шкаф. Благодаря ему на рабочем столе лежат (чуть не сказал – валяются) только две-три нужные книги и штук пять журналов, и нет необходимости выкапывать их из-под груды бестселлеров десяти– пятнадцатилетней давности.
Да и в самом шкафу место используется достаточно рационально: книги стоят плотно одна к другой, а при большом количестве оных хозяин распихивает их во все щелочки и пустоты между полками.
Документы в архиве обычно упорядочены по некоторому правилу (по датам, по логике, по авторству и т. д.). Это позволяет быстро отыскать интересующий документ, корректно добавить новый документ или удалить (выбросить) ненужный.
Практически все перечисленные особенности присущи также электронным архивам. Причем ведущую роль при их создании играет умение программ-архиваторов сжимать архивируемые данные, позволяя тем самым экономить место для их хранения. Именно эта способность архиваторов и «подружила» их с программами резервного копирования, но подробнее об этом – немного позже.
Для резервного копирования тоже существует аналог из «обычной», не компьютерной жизни. Речь идет о создании копий ценных произведений искусства (картин, ювелирных украшений). В некоторых случаях созданные копии (не подделки, а именно копии) экспонируются на различных передвижных выставках вместо оригиналов. Смысл такой подмены достаточно очевиден: не рисковать оригиналом в тех ситуациях, когда нет полной уверенности в его безопасности.
Резервное копирование на компьютере имеет ту же цель – повысить надежность хранения тех данных, потеря которых может, мягко говоря, огорчить их владельца. Для особо ценных данных могут создаваться две и более резервных копий.
Как правило, при резервном копировании приходится решать две взаимосвязанные проблемы: какие именно данные копировать и как часто. С одной стороны, чем чаще выполняется копирование, тем меньше придется тратить сил на восстановление документа, потерянного, например, из-за отказа жесткого диска. С другой стороны, создание каждой новой копии требует затрат времени и места для ее хранения. Во многих случаях именно применение методов сжатия, реализованных в программах-архиваторах, позволяет подобрать подходящие параметры процедуры резервного копирования.
Существенным отличием резервного копирования от архивации является то, что хотя бы одна резервная копия обязательно должна быть создана не на жестком диске, хранящем оригинал, а на альтернативном носителе (гибком диске, компакт-диске и т. д.).
Второе отличие заключается в следующем. Вы можете создать архив, включив в него редко используемые данные, и сохранить его либо непосредственно на жестком диске компьютера, либо (что предпочтительнее, но не обязательно) на другом носителе. И после этого удалить исходные файлы (оригиналы). Процедура резервного копирования предполагает обязательное сохранение оригинала (то есть тех данных, с которыми работает пользователь). Если архив вам дорог, вы можете создать для него одну-две резервные копии, однако это не обязательно.
Резервное копирование предназначено в первую очередь для повышения сохранности данных, которые продолжают использоваться в работе (то есть периодически изменяются). Поэтому резервные копии также должны периодически обновляться. При этом обязательным является применение дополнительных носителей данных (запоминающих устройств). В идеале для хранения каждой копии следует отвести отдельный носитель. С целью экономии места для хранения резервной копии может применяться архивация копируемых данных, однако это не обязательно. Более того, в приложениях, правильная работа которых может быть нарушена из-за потери времени, архивация даже «вредна»: ведь время расходуется не только на упаковку данных, но и на распаковку.
Методы резервного копирования
Резервное копирование обычно осуществляется в соответствии с одним из трех основных методов: полным, инкрементным и дифференциальным.
При использовании полного резервирования каждый раз производится копирование всего набора данных. Например, копируется целиком файловая система, база данных или указанный каталог на диске. Данный метод занимает много времени при записи и ведет к большому расходу резервных носителей. С другой стороны, в этом случае восстановление информации осуществляется быстрее, чем при любом другом методе, поскольку резервная копия соответствует текущему состоянию всего набора данных (с учетом периодичности копирования). Полное копирование является наиболее привлекательным решением при резервном копировании системной информации и служит отправной точкой для других методов.
Инкрементный, или добавочный, метод основан на последовательном частичном обновлении резервной копии. На первом этапе создается полная копия набора данных. Последующие сеансы резервного копирования разделяются на два вида: частичное копирование и полное. При очередном частичном копировании на резервный носитель помещаются только файлы, которые были модифицированы по сравнению с предыдущей частичной копией (модифицированными считаются файлы, у которых изменились содержание, атрибуты или права доступа). По истечении периода времени, заданного пользователем (или системным администратором), вновь создается полная копия, и затем цикл повторяется (на рис. 4.1 показан недельный цикл). Данный метод является самым быстрым с точки зрения создания промежуточных копий и ведет к минимальному расходу резервных носителей. Однако процедура восстановления занимает много времени: информацию сначала требуется восстановить с полной копии, а затем последовательно со всех частичных (инкрементных) копий. Тем не менее это самый популярный метод резервного копирования.
При дифференциальном (разностном) методе на первом этапе также создается полная копия. На последующих этапах копируются только файлы, измененные со времени проведения полного копирования. Через заданный интервал времени возобновляется полный цикл, то есть вновь создается полная резервная копия набора данных (на рис. 4.2 показана схема разностного резервного копирования при недельном цикле). По сравнению с инкрементным методом дифференциальный требует больше времени на создание частичной (дифференциальной) копии, но восстановление информации выполняется быстрее, поскольку используются только две копии: полная и последняя дифференциальная.
Рис. 4.1. Инкрементное резервное копирование с недельным циклом
Рис. 4.2. Дифференциальное резервное копирование с недельным циклом
Главная проблема инкрементного и дифференциального копирования – выбор надежного критерия модификации файла. Обычно в качестве такового выступает атрибут Archive (для систем DOS/Windows), время создания (модификации) файлов, размер файла или контрольная сумма содержимого файла. К сожалению, все они имеют те или иные недостатки, связанные с особенностями обработки атрибутов и прав доступа отдельными прикладными программами.
ПРИМЕЧАНИЕ
Некоторые из современных программных средств резервного копирования предлагают принципиально иной подход к созданию резервных копий, который иногда называют копированием на лету. Его идея состоит в том, что любые изменения файлов, указанных пользователем при настройке программы, сразу переносятся в резервную копию. При очевидной простоте данный метод обладает целым рядом недостатков. Основной из них заключается в том, что произведенные изменения могут быть обусловлены ошибочными действиями пользователя или работой вредоносных программ. В результате возврат к «правильной» версии файла станет невозможен.
Другая проблема связана с выбором периодичности создания частичных копий и с числом таких копий внутри полного цикла.
С одной стороны, чем чаще выполняется копирование, тем более «свежая» информация будет сохранена в качестве резервной копии. С другой стороны, каждый сеанс резервного копирования требует определенных дополнительных затрат: и времени, и резервных носителей.
Периодичность копирования зависит, как правило, от интенсивности работы с данными (в первую очередь) и от их объема (во вторую очередь).
Для оптимизации числа используемых резервных носителей разработаны специальные алгоритмы замены носителей (так называемые схемы ротации носителей).
Наиболее часто используют следующие схемы:
одноразовое копирование;
простая ротация;
«дед, отец, сын»;
«Ханойская башня»;
«10 наборов».
Одноразовое копирование – это наиболее простая схема, которая, по сути, вообще не предусматривает ротации носителей. При ее использовании резервируемые данные каждый раз копируются на один и тот же перезаписываемый носитель (например, на CD-RW или на гибкий диск). Другой вариант применения такой схемы – когда очередная копия данных помещается на новый не перезаписываемый носитель (например, на CD-R). Такая схема обычно используется в тех случаях, когда объем резервируемых данных невелик, либо когда резервирование не носит регулярного характера (например, когда создается единственная резервная копия системы на CD-R).
Простая ротация подразумевает, что некий набор носителей используется циклически. Например, цикл ротации может составлять неделю, и тогда один носитель выделяется для определенного рабочего дня недели. При такой схеме полная копия обычно делается в пятницу, а в другие дни – частичные копии (инкрементные или дифференциальные). Таким образом, для недельного цикла достаточно иметь пять носителей. После завершения цикла все повторяется сначала, и запись производится на те же самые носители. Недостаток данной схемы в том, что она не очень хорошо подходит для ведения архива полных копий, поскольку количество носителей в архиве быстро растет. Кроме того, достаточно частая перезапись частичных копий на одни и те же носители ведет к износу последних и, соответственно, повышает вероятность их отказа.
Схема «дед, отец, сын» имеет иерархическую структуру и предполагает использование комплекта из трех наборов носителей. Раз в неделю делается полная копия дисков компьютера, ежедневно же проводится инкрементное (или дифференциальное) копирование. Дополнительно раз в месяц производится еще одно полное копирование. Набор для ежедневного инкрементного копирования называется «сыном», для еженедельного – «отцом», а для ежемесячного – «дедом». Состав носителей в ежедневном и еженедельном наборах является постоянным. При этом в ежедневном наборе каждый носитель соответствует определенному дню недели, а в еженедельном наборе – каждой неделе месяца. Носители из «ежемесячного» набора обычно заново не используются и откладываются в архив. Недостаток данной схемы состоит в том, что в архиве находятся только данные, имевшиеся на конец месяца. Как и при простой ротации, ежедневные копии подвергаются значительному износу, в то время как нагрузка на еженедельные копии сравнительно невелика.
Схема «Ханойская башня» редко используется владельцами домашних компьютеров. Она построена на применении нескольких наборов носителей. Их количество не регламентируется, но обычно ограничивается пятью-шестью. Каждый набор предназначен для недельного цикла копирования, как в схеме простой ротации. Каждый набор содержит один носитель с полной недельной копией и носители с ежедневными инкрементными (дифференциальными) копиями. В табл. 4.1 приведена схема ротации для пяти наборов носителей.
Каждый следующий по порядку набор используется в два раза реже, чем предыдущий. Таким образом, набор 1 перезаписывается каждые две недели, набор 2 – каждые четыре недели, и т. д.
Схема «10 наборов» также используется нечасто. Как следует из названия, схема рассчитана на использование 10 наборов носителей. Период из 40 недель делится на десять циклов. В пределах цикла за каждым набором закреплен один день недели. По прошествии четырехнедельного цикла осуществляется переход к следующему набору. Например, если в первом цикле понедельнику соответствовал набор 1, а вторнику – набор 2, то во втором цикле понедельнику будет соответствовать набор 2, а вторнику – набор 3. Такая схема позволяет равномерно распределить нагрузку и, как следствие, выровнять износ носителей.
Средства резервного копирования
Необходимо отметить, что существующие в настоящее время программы резервного копирования избавляют пользователей и системных администраторов от необходимости «вручную» отслеживать периодичность создания и обновления резервных копий, замены носителей и т. п.
Устройства хранения данных
Одной из важных характеристик программ резервного копирования является перечень поддерживаемых типов носителей, на которые может производиться перенос создаваемых копий. Вместе с тем при создании резервной копии в «ручном» режиме можно использовать любое из существующих на сегодняшний день устройств хранения данных. Их перечень с краткой характеристикой приведен в табл. 4.2.
В крупных и богатых организациях для резервного копирования критически важных данных успешно применяется технология RAID (Redundant Array of In-depended Disks – избыточный массив независимых дисков), основанная на системе определенным образом сконфигурированных жестких дисков, подключенных к специальным RAID-контроллерам. Однако сегодня и для «домашних» пользователей технология RAID становится все доступнее благодаря ее поддержке в операционных системах Windows 2000/XP. Некоторые аспекты применения этой технологии рассмотрены в следующем подразделе.
Пользуясь табл. 4.2, можно сделать выводы относительно пригодности представленных в ней носителей для хранения резервных копий данных.
Будем исходить из того, что та или иная схема ротации может быть реализована только для устройств со сменными носителями. К ним относятся накопители на гибких магнитных дисках, стримеры, накопители типа ZIP, а также оптические (CD и DVD) и магнитооптические диски. При этом для «среднестатистического» пользователя один носитель емкостью в несколько гигабайтов явно «великоват» для хранения одной копии данных. Единственное исключение – когда речь идет о создании образа целого раздела жесткого диска.
Таким образом, по совокупности характеристик оптимальным вариантом на сегодняшний день можно считать резервное копирование на базе перезаписываемых оптических дисков CD-RW.
Относительно использования жесткого диска в качестве резервного носителя необходимо сделать несколько дополнительных замечаний:
если имеется необходимость хранить жесткий диск с резервной копией данных отдельно от компьютера, на котором они создавались, то целесообразно использовать так называемый съемный диск (Mobile Rack).
при наличии единственного жесткого диска достаточно большой емкости целесообразно разбить его на несколько логических разделов, из которых по крайней мере один может быть использован в качестве резервного диска; такой логический резервный диск будет защищен от многих напастей, грозящих «рабочим» разделам (хотя, разумеется, далеко не от всех).
если ваш компьютер работает под управлением операционной системы Windows XP Professional, и на нем установлены как минимум два жестких диска, вы можете использовать отказоустойчивые технологии RAID-1 и RAID-5.
Технология RAID
Первоначальной целью создания технологии RAID являлось повышение производительности дисковой памяти за счет применения нескольких взаимосвязанных жестких дисков вместо одного. Однако впоследствии наличие дополнительных носителей было использовано для повышения надежности хранения данных посредством создания дополнительных (резервных) копий.
Уровни RAID
Всего на сегодняшний день промышленными стандартами предусмотрено восемь базовых уровней (модификаций) RAID.
RAID-0 – объединение пространства нескольких физических дисков в один виртуальный том, для которого применяется метод чередования (striping, от strip – «полоса»): информация делится на блоки, поочередно записывающиеся на все накопители тома (рис. 4.3). RAID-0 обеспечивает высокую скорость обмена данными, но надежность виртуального тома несколько ниже, чем у любого другого уровня, и ниже надежности каждого из входящих в том дисков, так как при выходе из строя хотя бы одного из них вся информация теряется.
Рис. 4.3. Схема использования RAID-0
RAID-1 – дублирование, или «отзеркаливание» (mirroring – зеркальное отражение) дисков. В этом случае информация одновременно записывается на два (как правило) диска (рис. 4.4). При выходе из строя одного из них данные счи-тываются с «зеркала». К этому уровню относят также применение дуплексных томов (Duplex Volume), когда физические диски, используемые в качестве зеркал, обязательно должны быть подключены к разным контроллерам. Реализация восстановления после сбоев при использовании RAID-1 достаточно проста, однако имеет место высокая (как минимум двукратная) избыточность.
Рис. 4.4. Схема использования RAID-1
RAID-2 – предполагает создание на основе нескольких физических дисков одного массива (тома), данные в который записываются с использованием контрольного кода (кода Хемминга). Для хранения контрольных кодов отводится специально выделяемый диск (или несколько дисков, в зависимости от числа основных дисков). RAID-2 – один из немногих уровней, позволяющих не только исправлять «на лету» одиночные ошибки, но и обнаруживать двойные. При этом он является самым избыточным из всех уровней с кодами коррекции. Эта схема хранения данных применяется редко, поскольку плохо справляется с большим количеством запросов, сложна в организации и обладает незначительными преимуществами перед уровнем RAID-3.
RAID-3 – это отказоустойчивый массив с параллельным вводом-выводом и одним дополнительным диском, на который записывается контрольная информация. При записи поток данных разбивается на блоки на уровне байтов (хотя возможно и на уровне битов) и записывается одновременно на все диски массива, кроме выделенного для хранения контрольной информации. Для вычисления контрольной информации (называемой кодом контроля четности, или parity) используется операция «исключающего ИЛИ» (XOR), применяемая к записываемым блокам данных. При выходе из строя любого диска данные на нем можно восстановить по контрольным данным и данным, оставшимся на исправных дисках.
RAID-4 – это отказоустойчивый массив независимых дисков с одним диском для хранения контрольных сумм. RAID-4 во многом схож с RAID-3, но отличается от последнего прежде всего значительно большим размером блока записываемых данных (большим, чем размер записываемых данных). После записи группы блоков вычисляется контрольная сумма (точно так же, как и в случае RAID-3), которая записывается на выделенный для этого диск. Благодаря большему, чем у RAID-3, размеру блока возможно одновременное выполнение нескольких операций чтения (схема независимого доступа). RAID-4 представляет собой неплохое решение для файл-серверов, информация с которых преимущественно считывается и редко записывается. Эта схема хранения данных имеет невысокую стоимость, но ее реализация достаточно сложна, как и восстановление данных при сбое.
RAID-5 – это отказоустойчивый массив независимых дисков с распределенным хранением контрольных сумм (рис. 4.5). Блоки данных и контрольные суммы, которые рассчитываются точно так же, как и в RAID-3, циклически записываются на все диски массива, то есть отсутствует выделенный диск для хранения информации о контрольных суммах. В случае RAID-5 все диски массива имеют одинаковый размер, однако общая емкость дисковой подсистемы, доступной для записи, становится меньше ровно на один диск. Например, если пять дисков имеют размер 10 Гбайт, то фактический размер массива составляет 40 Гбайт, так как 10 Гбайт отводится на контрольную информацию. Главным же различием между RAID-5 и RAID-4 является способ размещения контрольных сумм. Наличие отдельного (физического) диска, хранящего информацию о контрольных суммах, здесь, как и в трех предыдущих уровнях, приводит к тому, что операции считывания, не требующие обращения к этому диску, выполняются с большой скоростью. Однако при каждой операции записи меняется информация на контрольном диске, поэтому схемы RAID-2, RAID-3 и RAID-4 не позволяют проводить параллельные операции записи. RAID-5 лишен этого недостатка, поскольку контрольные суммы записываются на все диски массива, что обеспечивает возможность выполнения нескольких операций считывания или записи одновременно.
Рис. 4.5. Схема использования RAID-5
RAID-6 – в отличие от уровня 5, использует две независимые схемы контроля четности, что увеличивает как избыточность, так и надежность хранения информации.
RAID-7 – отказоустойчивый массив, оптимизированный для повышения производительности. Данный уровень RAID поддерживается лишь специализированными ОС реального времени.
Помимо перечисленных выше базовых модификаций RAID сегодня применяются на практике и различные их комбинации. Наибольшее распространение получили две:
RAID-10 (то есть 1+0) – массив RAID-0, элементами которого являются массивы RAID-1. Цель – объединить высокую производительность RAID-0 с отказоустойчивостью RAID-1. В последнее время часто встречается в недорогих контроллерах;
RAID-50 (5+0) – представляет собой массив RAID-0, элементами которого являются массивы RAID-5. Преимущества данного варианта в том, что он позволяет объединить отказоустойчивость и высокую скорость обработки транзакций RAID-5 с высокой скоростью потокового чтения-записи RAID-0. Это эффективное серверное решение, но для его реализации требуется как минимум шесть дисков.
ПРИМЕЧАНИЕ ____________________
Иногда к одному из уровней RAID относят конфигурацию дисков JBOD (Just a Bundle Of Disks – «простой набор дисков»), в которой технология RAID не используется. JBOD позволяет объединить несколько физических дисков (возможно, разного размера) в один логический, например 4 диска по 120 Гбайт в один диск емкостью 480 Гбайт.
Варианты реализации RAID
Технология RAID на сегодняшний день реализуется как на аппаратном уровне, так и программно.
Аппаратная реализация является более эффективной и основана на подключении жестких дисков через специальные RAID-контроллеры.
Такой контроллер выполняет функции связи с сервером (рабочей станцией), генерации избыточной информации при записи и проверки при чтении, распределения информации по дискам в соответствии с алгоритмом функционирования. Кроме того, «продвинутые» модели RAID-контроллеров поддерживают возможность «горячей» замены физических дисков (то есть без выключения системы).
Программная реализация технологии RAID имеется, в частности, в некоторых операционных системах семейства Windows. Она не требует использования RAID-контроллеров. Однако возможности программных массивов RAID заметно уступают аппаратным аналогам.
Программно реализованная технология RAID доступна на компьютерах, работающих под управлением операционных систем Windows 2000/2003 Server, Windows 2000 Advanced Server, Windows 2000/2003 Datacenter Server и Windows 2003 Enterprise Server. Ограниченная поддержка имеется также в Windows XP Professional: можно использовать компьютер под управлением Windows XP Professional для создания зеркального тома или тома RAID-5 на удаленных компьютерах, работающих под управлением одной из перечисленных выше серверных ОС. Для этого необходимо иметь на удаленном компьютере права администратора.
Реализация RAID в указанных ОС основана на применении специального драйвера – FTDisk (от Fault Tolerance Disk, то есть «отказоустойчивый диск»). FTDisk играет роль посредника между драйвером физического жесткого диска и NTFS.
В перечисленных операционных системах поддерживаются два отказоустойчивых уровня RAID:
RAID-1 (отзеркаливание дисков);
RAID-5 (чередование дисков с распределенной записью кодов четности).
ПРИМЕЧАНИЕ ____________________
Перечисленными ОС поддерживается также RAID-0, обеспечивающий, как вы знаете, повышенную производительность дисковой подсистемы.
Наиболее простым и достаточно привлекательным для «рядового» пользователя можно считать уровень RAID-1. Хотя он и требует наличия на компьютере не менее двух физических дисков, сегодня это требование нельзя считать трудновыполнимым.
Принцип работы программно управляемого тома RAID-1 состоит в следующем. На основе двух разделов, расположенных на двух разных физических дисках, создается так называемый зеркальный том (Mirror Volume). Ему присваивается собственная буква диска (исходные разделы дисков лишаются таковой вообще), и при выполнении каких-либо операций над данными этого тома все изменения синхронно отражаются в обоих исходных разделах. При выходе из строя (отказе или сбое) одного из двух дисков система автоматически переключается на работу с оставшимся в живых «последним героем». При возникновении такой ситуации пользователь может разделить зеркала и затем объединить исправный раздел с другим разделом в новый зеркальный том. В зеркальный том можно включить практически любой раздел, в том числе системный и загрузочный.
При всех достоинствах метода резервного копирования RAID-1 его применение в Windows XP связано с целым рядом ограничений и некоторыми возможными негативными последствиями. Ограничения обусловлены тем, что разделы, на основе которых создается зеркало, должны быть предварительно преобразованы из обычных, или базовых (Basic), в динамические (Dynamic).
Вот лишь некоторые из таких ограничений:
если зеркало создается на незанятом месте динамического диска, на этот том невозможно будет установить Windows XP Professional;
динамические диски не поддерживаются на портативных компьютерах, съемных дисках, отключаемых дисках, использующих интерфейсы USB (Universal Serial Bus) и IEEE 1394 (или FireWire), а также на дисках, подключенных к общей шине SCSI;
доступ к динамическим дискам и содержащимся на них данным, а также создание таких дисков невозможны на компьютерах под управлением MS-DOS, Windows 95/98/ME, Windows NT 4.0 или Windows XP Home Edition, имеющих конфигурацию двойной загрузки с Windows XP Professional или Windows XP Home Edition;
динамические диски выводятся из-под контроля «штатной» системы восстановления, входящей в состав Windows XP, и данные с этих дисков не включаются в состав контрольной точки, используемой для восстановления состояния системы (подробнее вопросы восстановления системных параметров рассмотрены в главе 5).
ВНИМАНИЕ ____________________
Обратное преобразование динамического диска в базовый возможно только в том случае, если базовый том пуст. Другими словами, обратное преобразование требует удаления всех имеющихся на диске данных. Поэтому прежде чем создавать динамический диск, хорошенько взвесьте все «за» и «против».
Создание томов RAID в Windows 2000 Server
В данном подразделе рассмотрен наиболее простой и наиболее эффективный вариант использования технологии RAID, когда в составе компьютера имеются три физических жестких диска: один используется в качестве системного (на нем установлена ОС и другое программное обеспечение), а два других служат для хранения пользовательских данных. Два этих диска работают в качестве «зеркал» по технологии RAID-1.
При этом исходная конфигурация компьютера формируется в следующем порядке:
сначала подключается первый диск, и на него устанавливается ОС и программное обеспечение;
затем производится подключение двух других дисков; оба диска подключаются «чистыми», без предварительного логического форматирования под какую-либо файловую систему. После того как новые диски будут подключены, их потребуется инициализировать. Лучше всего это сделать с помощью утилиты Управление дисками, входящей в состав служб администрирования компьютера (см. главу 3, раздел «Конфигурирование логических дисков»).
Непосредственно после запуска утилиты Управление дисками на экране появится окно входящего в ее состав мастера инициализации дисков. Все последующие действия можно выполнить с его помощью, однако в учебных целям мы пойдем несколько иным путем.
1. Откажитесь от услуг мастера, щелкнув на кнопке Отменить. В окне утилиты Управление дисками вы увидите примерно такое описание конфигурации дисков (рис. 4.6): первый диск будет опознан как системный, а для двух других будет указано, что они не инициализированы.
Рис. 4.6. Исходное состояние дисков
2. Щелкните правой клавишей мыши слева от графического представления любого из двух новых дисков и выберите в контекстном меню команду Инициализировать диск (рис. 4.6). На экране появится диалоговое окно процедуры инициализации, в котором по умолчанию будут выбраны оба новых диска; в рассматриваемом примере это диски Диск 1 и Диск 2 (рис. 4.7).
3. Щелкните на кнопке ОК, чтобы разрешить инициализацию.
4. Далее необходимо оба диска преобразовать в динамические. Для этого проделайте следующее.
5. Щелкните правой клавишей мыши слева от графического представления любого диска и выберите в контекстном меню команду Преобразовать в динамический диск. На экране появится диалоговое окно процедуры преобразования (рис. 4.8).
Рис. 4.8. Преобразованиедисков вдинамические
6. Поставьте флажки для обоих дисков (Диск 1 и Диск 2) и щелкните на кнопке ОК.
7. Наконец, последний, третий этап – это собственно формирование логического тома для RAID-1. Щелкните правой клавишей мыши слева от графического представления любого диска и выберите в контекстном меню команду Создать том. На экране появится первое окно мастера создания тома.
8. Перейдите к следующему окну и поставьте переключатель Зеркальный том (рис. 4.9).
9. В двух последующих окнах (рис. 4.10) укажите включаемые в том диски и выберите букву для создаваемого тома (напомним, что оба физических диска с этого момента будут видны системе как единое устройство).
Рис. 4.9.Первый шаг в создании зеркального тома
Рис. 4.10. Преобразование дисков в динамические
10. В последнем окне мастера укажите параметры форматирования тома (рис. 4.11).
Рис. 4.11.Последний шаг – выбор параметров форматирования тома
В последствии в случае выхода из строя какого-либо из физических дисков вы сможете исключить его из состава тома и заменить другим. Основное условие – размер нового «зеркала» должен быть не меньше размера используемого совместно с ним диска.
Программы для резервного копирования
Технология работы практически всех программ резервного копирования однотипна: пользователь создает так называемое задание, в котором указывается состав копируемых данных, периодичность создания копии, ее расположение и, возможно, некоторые другие параметры. Для восстановления данных (конкретного файла или целого диска) требуется указать, какую копию следует использовать, и задать режим обновления (с заменой оригинала или без таковой).
При выборе конкретного инструмента резервного копирования целесообразно учитывать следующие факторы:
перечень реализованных методов резервного копирования;
поддерживаемые типы носителей данных;
удобство использования (качество пользовательского интерфейса).
Для российских пользователей немаловажным фактором является стоимость инструмента. Ниже рассмотрены лишь некоторые наиболее популярные и доступные средства резервного копирования.
Программа Архивация данных (Windows 98)
Данная программа входит в состав служебных программ Windows 98 и может быть вызвана из меню Пуск с помощью команды Стандартные Служебные Архивация данных.
ПРИМЕЧАНИЕ
В первой главе уже говорилось о том, что не совсем правильно использовать термины «архивация» и «резервное копирование» как синонимы. Однако в данном случае мы вы-нужденыиспользовать терминологию, предложенную создателями локализованной версии Windows 98 (в оригинале программа архивации называется Microsoft Backup).
СОВЕТ ____________________
Если программа архивации не была установлена при инсталляции операционной системы, она может быть добавлена в состав служебных программ при наличии дистрибутива Windows 98, с помощью сервиса Установка и удаление программ Установка Windows. Обратите также внимание на то, что программа архивации, в отличие от других служебных программ, устанавливается по умолчанию в папку Program Files\Accessories\ BACKUP\ на системном диске.
Основные возможности
Программа обладает следующими основными возможностями:
поддерживает все методы резервного копирования (полное, разностное и добавочное);
упаковывает резервные копии в архив типа qic;
поддерживает, помимо жестких дисков, накопители на магнитной ленте (стримеры), а также устройства с интерфейсом SCSI (Small Computer Systems Interface);
имеет в своем составе специальную функцию резервного копирования системного реестра;
позволяет создавать резервную копию как для выборочных файлов и папок, так и для всех логических дисков компьютера.
Необходимо отметить, что многие параметры работы программы предусматривают использование в качестве резервного накопителя именно стримера, причем с кассетами определенного формата – QIC (Quarter-Inch Cartridge – «четверть-дюймовая кассета»). Программа архивации позволяет использовать накопители на магнитной ленте, отвечающие стандартам формата ленты QIC-40/80 и стандарту интерфейса QIC-117.
ПРИМЕЧАНИЕ
Стандарт QIC-40 относится к мини-кассетам с низкой плотностью записи на ленту, а стандарт QIC-80 – к мини-кассетам с высокой плотностью записи. Эти стандарты определяют форматирование и размещение данных на ленте. Стандарт QIC-117 определяет протокол интерфейса накопителя на магнитной ленте.
Наличие указанных устройств в конфигурации компьютера определяется программой архивации автоматически при ее запуске.
Интерфейс
При первом запуске программы на экране появляется окно, с помощью которого можно выбрать вариант дальнейших действий (рис. 4.12):
формирование нового задания;
редактирование одного из имеющихся заданий;
восстановление данных.
Рис. 4.12. Стартовое окно программы архивации данных
При выборе первого или третьего вариантов будет запущен мастер, который поможет выполнить соответствующую задачу. При выборе второго варианта на экране появится список существующих заданий (если таковые имеются). Выбрав одно из них, вы сможете изменить его параметры непосредственно в основном окне программы архивации.
Четвертый вариант начала работы состоит в том, чтобы закрыть стартовое окно без вызова дополнительных инструментов и перейти непосредственно в основное окно программы. Для этого требуется щелкнуть в стартовом окне на кнопке Закрыть.
Основное окно программы (рис. 4.13) содержит две вкладки – Архивация данных и Восстановление, а также общие для обеих вкладок меню и панель инструментов.
Из названия вкладок понятно, что первая из них позволяет создавать или редактировать задания архивации, а вторая – восстанавливать данные из имеющихся резервных копий. Ниже рассмотрен порядок действий при резервном копировании и восстановлении данных.
Архивация данных
Вкладка Архивация данных содержит четыре области:
Задание архивации – в нее входят раскрывающийся список Задание архивации и кнопка Запуск;
Выбор файлов для архивации – содержит области выбора дисков, папок и файлов для архивации, а также два переключателя: Все выбранные файлы и Новые и измененные файлы;
Архивировать файлыв – содержит раскрывающийся список доступных устройств для хранения резервной копии и дополнительное поле для указания маршрута размещения файла архива;
Выбор способа архивации – содержит поле, в котором отображаются выбранные параметры архивации, и кнопку Параметры.
Новое задание архивации создается автоматически, как только вы переходите в основное окно программы. Ему по умолчанию назначается имя Безымянное1 и устанавливаются практически все параметры архивирования, за исключением собственно перечня данных, подлежащих резервному копированию.
Чтобы сформировать такой список, выполните следующие действия.
1. В списке дисков выберите (установив флажок в соответствующем пункте) один или несколько дисков.
2. Чтобы выбрать конкретную папку или файл на диске, разверните ветвь выбранного диска и щелкните на значке папки, а в таблице справа укажите резервируемые файлы.
3. Если требуется произвести отбор резервируемых файлов по их типу, щелкните на кнопке Параметры; в панели свойств задания перейдите на вкладку Исключение; там щелкните на кнопке Добавить и в дополнительном окне (рис. 4.14) выберите поочередно типы файлов, которые следует исключить из задания.
Рис. 4.14. Описание фильтра для задания архивации
4. Если вы хотите реализовать разностное или добавочное резервное копирование, в панели свойств задания перейдите на вкладку Тип и с помощью соответствующих переключателей (рис. 4.15) выберите нужный вариант.
Рис. 4.15. Вкладка Тип позволяет выбрать схему резервного копирования
Можно также сформировать специфический вид задания архивации, в котором будет предусмотрено резервное копирование системного реестра. Такое задание можно определить двумя способами:
после описания «обычного» задания открыть панель его свойств и на вкладке дополнительно поставить флажок Архивировать реестр Windows;
создать отдельное задание, выбрав папку Windows в списке дисков и папок, затем в меню Сервис выбрать команду Настройка и в дополнительном диалоговом окне поставить флажок Архивировать или восстанавливать реестр при архивации или восстановлении папки Windows.
Для любого задания можно дополнительно указать степень сжатия архивируемых данных (либо вообще отказаться от сжатия). Соответствующие настройки выполняются с помощью трех переключателей, имеющихся на вкладке Общие панели свойств задания.
Заключительный этап в описании задания – это выбор размещения файла с резервируемыми данными.
Если программа архивации не обнаружила внешнее запоминающее устройство, пригодное для хранения резервной копии, то в списке Архивировать файлыв будет представлен единственный пункт – Файл. Это означает, что сформированный архив может быть сохранен только в виде файла на любом из доступных жестких дисков либо на гибком диске. Конкретный маршрут размещения архива и имя QIC-файла требуется указать в поле, расположенном ниже.
После того как задание сформировано, оно может быть либо записано на диск, либо непосредственно запущено на выполнение щелчком на кнопке Запуск. Процесс создания резервных копий отображается в специальном окне и регистрируется в файле отчета.
Восстановление данных
Чтобы восстановить данные по резервной копии, следует перейти в основном окне программы архивации на вкладку Восстановление. При этом на экране появится диалог с вопросом, нужно ли обновить вид окна программы. Если вы ответите «Да», то на экран будет выведено окно с описанием последнего выполненного задания архивации (рис. 4.16).
Рис. 4.16. Сведения о последнем выполненном задании
Если вы хотите выполнить восстановление данных, включенных в это задание, щелкните на кнопке OK. Если же вас интересуют другие данные, щелкните на кнопке Отмена. В первом случае основное окно программы будет автоматически настроено на восстановление данных из последнего задания, во втором потребуется выполнить такую настройку вручную.
В общем случае для восстановления архива требуется выполнить следующие действия.
1. Введите (или выберите с помощью кнопки Обзор) файл архива.
2. Щелкните на кнопке Обновить, чтобы в списке появились сведения о составе архива (рис. 4.17).
3. Установите флажки для дисков, папок и файлов, которые следует восстанавливать.
4. Выберите место восстановления в раскрывающемся списке Выбор места восстановления файлов; при выборе пункта Другое место потребуется указать это «другое место» в дополнительном поле.
5. Щелкните на кнопке Параметры, чтобы уточнить параметры восстановления:
Не заменять – из архива восстанавливаются только те файлы, которые отсутствуют в папке-оригинале; одноименные файлы из архива не переписываются на диск, даже если в архиве содержится более поздняя версия файла, чем имеющаяся на диске;
Заменить старые версии файлов – файлы на жестком диске заменяются файлами из архива с тем же именем и более поздней датой изменения; файлы, отсутствующие в папке-оригинале, также переносятся из архива на диск;
Всегда заменять – файлы на жестком диске всегда заменяются файлами с тем же именем из архива, вне зависимости от дат изменения.
6. Щелкните на кнопке Запуск.
Рис. 4.17. Вкладка Восстановление
Процесс восстановления данных отображается в специальном окне и регистрируется в файле отчета.
ПРИМЕЧАНИЕ ____________________
В стандартной программе архивации не предусмотрена возможность автоматического создания резервных копий по расписанию, а также отсутствуют встроенные средства записи на компакт-диски или DVD.
Программа Архивация данных (Windows ХР Professional)
Версия программы Архивация данных, входящая в состав Windows XP Professional, обладает рядом новых функциональных возможностей, в том числе поддерживает различные виды носителей, что позволяет выполнять резервное копирование на любое запоминающее устройство, поддерживаемое операционной системой. К числу таких устройств относятся любые гибкие или жесткие диски, магнитооптические накопители и другие устройства, а не только стримеры, как в рассмотренной выше версии программы для Windows 98. Кроме того, в новой версии имеется несколько технологических усовершенствований.
ВНИМАНИЕ
Чтобыиспользовать программу резервного копирования, необходимо запустить службу Съемные ЗУ. Как и любая другая служба, она может быть запущена с помощью консоли администрирования системы.
В Windows XP для создания резервной копии данных используются так называемые моментальные снимки тома (volume snapshots). Суть технологии состоит в следующем. На момент инициации процедуры резервного копирования создается снимок тома. После этого данные резервируются, но не с исходного тома, а с его снимка. Это позволяет сохранить возможность доступа к файлам во время процесса резервного копирования.
ПРИМЕЧАНИЕ
Исполняемый файл программы называется ntbackup.exe и размещается после инсталляции Windows в папке Windows\system32.
Основные возможности
Основные возможности программы Архивация данных – следующие:
резервное копирование данных в разделах с файловыми системами NTFS, FAT и FAT32, причем как для локальных, так и для сетевых дисков;
создание резервной копии как для отдельных файлов и папок, так и для целых логических дисков компьютера;
выполнение дополнительной проверки созданной резервной копии и результатов восстановления;
поддержка всех трех «классических» видов резервного копирования (полного, инкрементного и дифференциального), а также двух специфических видов архивов – ежедневного и копирующего;
создание командного файла (макроса) с целью автоматизации процесса резервного копирования;
резервное копирование по расписанию;
ведение журнала процедур резервного копирования и восстановления.
Особо следует отметить более мощную поддержку резервного копирования и восстановления системных данных. Подробно технология восстановления Windows XP средствами программы Архивации данных рассматривается в главе 5.
Интерфейс
Программу архивации можно активизировать двумя способами:
выбрав соответствующую команду в разделе Служебные меню Пуск;
из панели свойств конкретного диска, открыв его в папке Мой компьютер.
Во втором случае следует перейти на вкладку Сервис и щелкнуть на кнопке Выполнить архивацию (рис. 4.18).
Рис. 4.18. Вкладка Сервис панели свойств диска
По умолчанию при вызове программы архивации запускается мастер, с помощью которого можно выполнить все необходимые шаги процедуры. Если вы предпочитаете работать самостоятельно, сбросьте в первом окне мастера флажок Всегда запускать в режиме мастера и щелкните на гипертекстовой ссылке Расширенный режим.
Основное окно программы архивации содержит четыре вкладки (рис. 4.19):
Добро пожаловать – имеет три кнопки, обеспечивающие вызов мастеров, призванных помогать в работе с программой;
Архивация;
Восстановление и управление носителем;
Запланированные задания.
Рис. 4.19. Основное окно программы архивации Windows XP Professional
Архивация данных
Технология архивации данных в целом аналогична той, которая используется в Windows 98.
Чтобы начать процедуру архивации, выполните следующие действия.
1. Перейдите на вкладку Архивация и в меню Задание выберите пункт Создать.
2. В дереве каталогов отметьте диски, папки или отдельные файлы, которые требуется архивировать (рис. 4.20).
3. В поле Местоназначение архива выполните одно из следующих действий:
если требуется создать архив файлов и папок в виде файла, выберите пункт Файл (этот пункт выбран по умолчанию);
если требуется создать архив файлов и папок на магнитной ленте, выберите устройство записи на магнитную ленту (данный вариант доступен, если программа архивации при запуске обнаружила подключенный к компьютеру стример поддерживаемого типа).
4. В поле Носитель архива или имя файла выполните одно из следующих действий:
если архив файлов и папок создается в виде файла, введите путь и имя архивного файла (с расширением BKF) или щелкните на кнопке Обзор и найдите нужный файл;
если архив файлов и папок создается на магнитной ленте, выберите устройство записи на магнитную ленту, которое предполагается использовать.
Рис. 4.20. Выбор резервируемых объектов
5. Чтобы задать параметры архивации (например, тип архива или журнального файла), в меню Сервис выберите пункт Параметры и щелкните на кнопке ОК (подробнее о панели общих параметров архивации рассказано ниже).
6. Щелкните на кнопке Архивировать и внесите все необходимые изменения в диалоговом окне Сведения о задании архивации (рис. 4.21); в частности, здесь вы можете указать, нужно ли заместить имеющиеся на выбранном носителе архивные данные либо следует дополнить их новыми.
Рис. 4.21. Диалоговое окно Сведения о задании архивации
7. Если требуется назначить дополнительные параметры архивации (например, проверку содержимого или аппаратное сжатие данных), щелкните на кнопке Дополнительно; к числу дополнительных параметров отнесен и тип создаваемого архива, который следует выбрать из раскрывающегося списка Тип архива (рис. 4.22); под Копирующим в данном случае понимается такой способ резервного копирования, при котором пользователь выполняет «внеплановое» резервное копирование некоторых файлов, при этом плановое резервное копирование для таких файлов (если оно предусмотрено) не отменяется.
8. Чтобы начать архивацию, закройте окно дополнительных параметров и щелкните на кнопке Архивировать.
Рис. 4.22. В число дополнительных параметров входиттип создаваемого архива
Если все создаваемые на компьютере задания архивации (резервного копирования) имеют однотипный набор общих параметров, то вы можете установить их значения до начала архивации, и они будут использованы для всех новых заданий. Чтобы открыть панель общих параметров архивации, выберите в меню Сервис пункт Параметры. Панель содержит пять вкладок (рис. 4.23).
На вкладке Общие следует обратить внимание на флажок Архивировать содержимое подключенных дисков. Если он сброшен, а в задание архивации включена папка, ссылающаяся на подключенный диск, то файлы такой папки архивироваться не будут: в архив будут включены лишь ссылки на эти файлы (подробнее о подключенных дисках рассказано в главе 3).
Из других вкладок дополнительного пояснения заслуживает вкладка Исключение файлов (рис. 4.24).
С ее помощью можно определить перечень типов файлов, которые не должны включаться в задание архивации. Верхний список является общим для всех пользователей компьютера, и в него по умолчанию входят некоторые системные файлы и папки (в частности, файл подкачки, файл спящего режима и все файлы из папки Temp). Нижний список задает перечень исключаемых файлов для пользователя, от имени которого запущен данный сеанс работы с системой. В исходном состоянии этот список пуст. Чтобы его сформировать, требуется щелкнуть на кнопке Добавить и выбрать исключаемые типы файлов в дополнительном окне.
Рис. 4.23.Панель общих параметров архивации
Рис. 4.24. Вкладка Исключение файлов
Сформированное задание можно запустить на выполнение либо немедленно, либо в определенную дату в будущем. Чтобы занести задание в число отложенных, необходимо перейти в основном окне программы архивации на вкладку Запланированные задания и с помощью имеющегося там календаря выбрать подходящую дату.
Восстановление данных
Процедура восстановления пользовательских данных в целом аналогична рассмотренной для программы архивации Windows 98.
Все необходимые действия выполняются с помощью элементов управления, размещенных на вкладке Восстановление и управление носителем.
В исходном состоянии в правой части этой вкладки отображаются все созданные когда-либо ранее файлы архивов (рис. 4.25).
Рис. 4.25.Вкладка Восстановление и управление носителем в исходном состоянии
Чтобы произвести восстановление данных, выполните следующее.
1. В левой части окна выберите с помощью дерева каталогов файлы (или папки), подлежащие восстановлению; если резервные копии этих объектов отсутствуют по прежнему адресу (например, были удалены, перемещены или не подключен соответствующий носитель), то программа архивации выведет на экран предупреждение и отметит такие объекты вопросительным знаком (рис. 4.26).
2. С помощью раскрывающегося списка Восстановить файлыв и расположенного справа от него текстового поля убедитесь, что параметры восстановления соответствуют желаемым, и щелкните на кнопке Восстановить.
3. В появившемся окне подтвердите свои намерения или (если требуется) скорректируйте дополнительные параметры восстановления и щелкните на кнопке OK.
Рис. 4.26.Потерянные архивы отмечаются вопросительным знаком
Как было сказано выше, в составе программы архивации для Windows XP имеется ряд специальных функций, предназначенных для резервного копирования и восстановления системных данных. Особенности их применении рассмотрены в главе 5.
Программа Универсальный Backup
Эта небольшая программа (суммарный размер ее файлов составляет около 200 Кбайт) может рассматриваться как альтернатива описанным выше стандартным средствам резервного копирования. Программа не требует инсталляции (что позволяет запускать ее с внешнего носителя), имеет русскоязычный интерфейс и совершенно бесплатна. Ее авторство принадлежит компании MultiWorks Technology. Правда, последняя версия программы датирована 2001 годом и, судя по всему, компания на рынке программных продуктов больше не работает. Однако указанную программу можно загрузить с веб-сайта компании, который по-прежнему доступен (www.newtech.ru/~mwtech/mwprograms.htm).
Основные возможности
В состав программы входят два исполняемых файла: UB.exe и UB_DOS.exe. Первый из них предназначен для работы в среде Windows 9*/ME/2000/XP, а второй – для работы под управлением MS DOS или любой другой однозадачной ОС, поддерживающей те же команды. Благодаря совместному использованию обоих программных модулей вы можете архивировать и затем восстанавливать основные системные компоненты операционных систем семейства Windows даже после существенного повреждения системы.
К числу других возможностей программы относятся:
создание архивов, содержащих любые файлы и папки в файловых системах
FAT, FAT32 и NTFS;
создание резервных копий ключей и переменных системного реестра;
восстановление файлов, каталогов, ключей и переменных реестра в их исходные места расположения (как из среды DOS, так и из среды Windows);
сканирование любых каталогов, ключей реестра, файлов настройки Windows (control.ini, system.ini, win.ini) и системных файлов MS-DOS (boot.ini, winstart.bat, dosstart.bat, autoexec.bat, config.sys, msdos.sys);
сравнение полученных ранее результатов сканирования с целью выявления различий между ними (включая создание, удаление и изменение файлов, каталогов, ключей и переменных реестра);
создание архивов на основе выявленных изменений (в архив включаются созданные и измененные файлы, каталоги, ключи и переменные реестра).
Программа способна взаимодействовать со штатными системными утилитами и сервисными программами. Например, из среды программы Универсальный Backup можно запустить средство диагностики DirectX.
Интерфейс
Интерфейс программы реализован в виде набора мастеров, доступ к которым производится непосредственно из основного окна программы. Собственно говоря, в этом окне, кроме строки меню и четырех кнопок для вызова мастеров, больше ничего и нет (рис. 4.27).
Рис. 4.27.Основное окно программы Универсальный Backup
Меню Утилиты обеспечивает быстрый доступ ко многим служебным утилитам ОС (рис. 4.28), что избавляет от необходимости пробираться к ним через каскад вложенных меню системы.
Рис. 4.28. Меню Утилиты программы Универсальный Backup
Если на компьютере установлена другая весьма полезная программа того же разработчика, Редактор настроек Windows, то можно запустить ее с помощью одноименной команды из меню Приложения. Список настраиваемых параметров программы невелик, но в нем следует обратить внимание, по крайней мере, на группу из трех параметров в категории Каталоги (рис. 4.29).
Рис. 4.29. Окно настроек программы Универсальный Backup
Дело в том, что по умолчанию папки для записи результатов работы программы (архивы, результаты сканирования и журнал) располагаются на том же носителе, что и сами исполняемые файлы. Если в качестве такого носителя используется гибкий диск или не перезаписываемый компакт-диск, то в ходе работы программы вы можете столкнуться с проблемой записи данных. Например, файл с результатами сканирования системы (он помещается в папку Reports) может иметь размер в несколько десятков мегабайтов.
ВНИМАНИЕ ____________________
В окне настроек нет кнопок ОК или Отменить, поэтому, решив отказаться от внесенных изменений, вы должны будете сделать «как было» своими руками.
Резервирование пользовательских данных
Чтобы создать резервную копию пользовательских данных или системных файлов, требуется в основном окне программы щелкнуть на верхней кнопке. Мастер архивации предложит вам принудительно завершить все активные процессы, причем без сохранения данных, находящихся в оперативной памяти (рис. 4.30).
Рис. 4.30. Первое окно мастера архивации
На такую крайнюю меру следует соглашаться лишь в том случае, если вы собираетесь создавать копии системных данных (прежде всего – системного реестра). В следующем окне мастера потребуется выбрать тип архива, а точнее – состав данных, подлежащих резервному копированию (рис. 4.31).
Рис. 4.31. Выбор типа архива
Особенности каждого из предлагаемых вариантов достаточно подробно описаны в самом окне и пояснений не требуют. Отметим только, что при выборе любого из трех первых (предопределенных) вариантов вам на следующем шаге останется лишь указать имя и расположение файла архива (расположение может отличаться от указанного в настройках программы).
Если же в качестве типа архива указан Выборочный, то на последующих шагах работы с мастером вы сможете указать состав резервируемых данных.
Прежде всего необходимо решить, резервировать ли данные из системного реестра либо ограничиться лишь пользовательскими файлами; для таковых можно также определить состав учитываемых атрибутов (рис. 4.32, вверху).
Далее потребуется выбрать папки и файлы, подлежащие резервированию (рис. 4.32, внизу).
Наконец, на завершающем шаге останется лишь указать расположение и имя файла архива (файл имеет расширение. uba).
В процессе архивации данных программа Универсальный Backup сжимает их. Степень сжатия не регулируется и зависит в первую очередь от типа данных. В среднем обеспечивается сжатие на 30 %, но этот показатель может достигать и 300 % (например, для растровых изображений в формате BMP).
ВНИМАНИЕ
При указании в качестве целевого архивного файла одного из существующих файлов. uba Универсальный Backup не сравнивает содержимое существующего архива с резервируемым набором данных и без предупреждения просто заменяет архивные данные.
Рис. 4.32.Выбор резервируемых данных
Чтобы восстановить данные на основе резервной копии, требуется запустить мастер восстановления, щелкнув в основном окне программы на второй кнопке, а затем выполнить следующие действия.
1. Выбрать архивный файл, используемый для восстановления.
2. В окне мастера открыть содержимое архивного файла и выбрать папки и файлы, подлежащие восстановлению (рис. 4.33).
3. Задать параметры восстановления (рис. 4.34) – для восстановления пользовательских файлов и папок вполне достаточно выбрать в раскрывающемся списке Тип восстановления пункт Выбирается пользователем и затем установить (или сбросить) флажки в верхней части окна исходя из особенностей восстанавливаемых данных.
ВНИМАНИЕ ____________________
Прежде чем щелкнуть на кнопке Далее, еще раз проверьте установленные параметры: сразу после щелчка программа выполнит восстановление с возможным удалением или заменой файлов в целевом каталоге.
4. Щелкнуть на кнопке Далее.
Рис. 4.33.Выбор восстанавливаемых данных
Рис. 4.34. Установка параметров восстановления
Резервирование системных данных
Именно этот вариант применения Универсального Backup можно считать «гвоздем программы» (почти каламбур). И хотя вопросам восстановления системы посвящена отдельная глава, обойти молчанием соответствующие функции непозволительно.
Как уже было сказано, Универсальный Backup способен выполнять резервное копирование наиболее важных системных файлов и затем корректно их восстанавливать, когда в этом появится необходимость. При этом программа самостоятельно отыскивает на компьютере такие файлы.
Возможны три варианта резервирования и восстановления системных данных:
обычный, при котором в архив включаются папки Windows (%SystemRoot%) и Program Files, а также некоторые системные файлы из корневого каталога системного диска; для ОС Windows 9*/МЕ это файлы autoexec.bat, config.sys, -------
| Библиотека iknigi.net
|-------
|
-------
, msdos.sys, io.sys; для ОС Windows 2000/XP это файлы boot.ini, ntldr, bootfont.bin и -------
| Библиотека iknigi.net
|-------
|
-------
;
настроечный, при котором в архив включаются ветви системного реестра, а также файлы, необходимые для восстановления текущих значений параметров системы; для ОС Windows 9*/МЕ это файлы autoexec.bat, config.sys, -------
| Библиотека iknigi.net
|-------
|
-------
, msdos.sys, control.ini, system.ini, win.ini; для ОС Windows 2000/XP это файлы boot.ini, autoexec.nt, config.nt, control.nt, system.ini, win.ini;
полное резервирование, при котором создается копия всего системного раздела; копируемые файлы и папки упаковываются в архив того же формата UBA.
Две последние операции весьма продолжительны по времени и, в зависимости от параметров компьютера, могут длиться час и более.
ПРИМЕЧАНИЕ ____________________
При архивации системных файлов Универсальный Backup сжимает их примерно вдвое.
Выбор варианта резервирования выполняется посредством установки соответствующего переключателя в окне мастера резервирования (см. рис. 4.31).
Когда потребуется восстановить системные данные, вы можете выбрать один из двух способов (режимов):
запуск процедуры восстановления непосредственно из среды Windows. Очевидно, что такой вариант применим только в ограниченном числе случаев; например, вы можете им воспользоваться для восстановления файлов в папке Program Files или некоторых системных файлов из числа расположенных в корневой папке системного диска (рис. 4.35). Если выбран этот режим, то после выбора восстанавливаемых файлов в следующем окне мастера выберите в раскрывающемся списке Тип восстановления пункт Восстановление системы из Windows. Данный параметр определяет состояние флажков в верхней части окна и требует, в частности, очистить целевой каталог;
запуск процедуры восстановления непосредственно из среды однозадачной ОС (DOS или аналогичной). Данный режим – универсальный и может применяться при восстановлении любых системных данных, в том числе при восстановлении всего системного раздела.
Рис. 4.35.Восстановление системных данных из среды Windows
Чтобы восстановить системные данные из среды DOS, выполните следующие действия.
1. Загрузите компьютер в режиме DOS (например, с помощью системного гибкого диска DOS – но не с загрузочного диска Windows).
2. Сделайте активным каталог с DOS-версией программы Универсальный Backup.
3. Дальнейшие действия зависят от версии восстанавливаемой ОС Windows:
♦ для Windows 9*/МЕ введите в командной строке ub_dos.exe /rs /reboot <имя файла архива>; далее Универсальный Backup произведет восстановле– ние автоматически;
♦ для Windows 2000/ХР введите в командной строке ub_dos.exe /reboot <имя файла архива>.
4. После завершения работы программы на этом этапе перезагрузите Windows в безопасном режиме и запустите Windows-версию программы Универсаль– ный Backup (файл UB.exe).
5. Повторно запустите процедуру восстановления из того же архива, выбравтип распаковки Продолжение восстановления системы.
Поддерживаемая программой Универсальный Backup функция резервного ко– пирования всего системного раздела – это наиболее кардинальное средство по восстановлению системы. Однако трудно рассчитывать, что столь небольшая по размеру программа способна на чудеса – ее возможности вэтом плане довольно ограниченны.
Значительно больше возможностей по резервному копированию разделов и целых физических дисков предоставляют программные инструменты, рассмотренные в этой главе далее.
Программа Paragon Drive Backup
Программа Paragon Drive Backup входит в состав пакета Paragon Disk Manager, одна из программ из которого (Partition Manager) описана в главе 3 данной книги.
Основные возможности
Программа поддерживает файловые системы FAT12, FAT16, FAT32, NTFS, HPFS, Ext2FS, NetWare FS и позволяет выполнять резервное копирование разделов и целых физических дисков. В процессе копирования создается файл образа соответствующего диска.
При формировании образа диска (или раздела) предусмотрена возможность его сжатия с различной степенью (имеется 9 уровней сжатия), а также разбиения его на несколько файлов фиксированного размера. Причем сегменты одного образа могут находиться в различных каталогах и даже на разных дисках. Файл образа может быть записан на локальный жесткий диск или на сменные носители информации типа CD (компакт-диск должен быть отформатирован для пакетной записи), ZIP, JAZ, LS 120. При записи и чтении файлов образа Drive Backup использует возможности той операционной системы, в которой программа запущена. Поэтому она может работать с любыми устройствами накопления, но только если им присвоена буква в операционной системе.
Допускается корректировка размера разделов для нового жесткого диска. Размер копируемого раздела будет изменен пропорционально размеру нового жесткого диска.
Существует возможность посекторного копирования (клонирования) дисков и разделов. В некоторых случаях, например при наличии программной защиты против нелегального копирования, можно выполнять «зеркальное» копирование разделов, когда копируются все секторы, в том числе и неиспользуемые.
Предусмотрено копирование на жесткие диски с поврежденными секторами. Paragon Drive Backup позволяет при копировании автоматически избежать размещения данных на поврежденных секторах.
Многие операции могут выполняться непосредственно в среде Windows 95/98/ NT/XP, без перезагрузки компьютера в режиме DOS. Однако при выполнении операций резервирования/восстановления в среде Windows следует помнить о следующих ограничениях.
Перед запуском Paragon Drive Backup рекомендуется закрыть все работающие приложения. Это необходимо во избежание ситуации, когда одно из них попытается получить доступ к информации на диске, который в это время копируется или восстанавливается. Paragon Drive Backup может попытаться закрыть диск для записи и чтения данных, чтобы не допустить изменения информации в процессе копирования или восстановления.
Paragon Drive Backup не будет выполнять операции восстановления и удаления данных из раздела, если в нем есть открытые файлы.
Системный раздел, в котором находится папка с операционной системой, можно скопировать только в том случае, если данные не меняются в процессе копирования. В противном случае резервная копия будет иметь неправильную структуру файловой системы. Поэтому Drive Backup проверяет, производилась ли запись информации на системный раздел при резервном копировании. Если запись производилась, то операция прерывается и программа сообщает: При резервном копировании на диск С: была сделана запись. Операция резервного копирования будет возобновлена. После этого операция резервного копирования начнется снова.
Такое случается, когда какое-нибудь приложение пытается произвести запись в системный раздел во время его копирования. Иногда Windows 95/98/NT продолжает записывать при резервном копировании на системный раздел. В этом случае компания Paragon обещает оказать безвозмездную (!) помощь пострадавшим пользователям.
Интерфейс и настройка параметров работы
Интерфейс программы Paragon Drive Backup идентичен интерфейсу программы Partition Manager: все необходимые операции могут быть выполнены в основном окне приложения (рис. 4.36).
Рис. 4.36. Окно программы Paragon Drive Backup
Вместе с тем типовые операции (особенно на этапе освоения программы Drive Backup) могут выполняться с помощью мастера, который по умолчанию активизируется при каждом запуске программы. Чтобы отказаться от услуги, необходимо
Рис. 4.37.Окно мастера
Если вы решите вновь вернуться к работе с мастером, щелкните на панели инструментов основного окна на кнопке Backup Wizard (Мастер резервного копирования).
При работе в «обычном» режиме (то есть без помощи мастера) все основные операции могут быть инициализированы посредством выбора соответствующих команд из контекстного меню раздела (диска).
Если операция предусматривает возможность настройки тех или иных параметров, на экране появится необходимое диалоговое окно.
Чтобы скорректировать параметры, общие для нескольких заданий (например, степень сжатия файла образа), выберите в меню Жесткий диск основного окна программы команду Параметры. Окно настроек (рис. 4.38) содержит две вкладки: Основные и SID.
ПРИМЕЧАНИЕ ____________________
Номера SID (от Security ID, идентификатор безопасности) назначаются жестким дискам, используемым при работе под Windows NT. Они используются для идентификации конкретной рабочей станции при работе в сети в целях обеспечения безопасности и должны быть уникальны для каждой рабочей станции с Windows NT. Drive Backup при записи образа такого диска на другой жесткий диск позволяет производить изменение этих номеров, что позволяет одновременно использовать рабочие станции, полученные клонированием, и станцию-источник образа в одной локальной сети.
Рис. 4.38.Окно параметров Drive Backup
На вкладке имеются следующие элементы управления:
если установлен флажок Проверять записанные данные, выполняется проверка целостности файла образа;
если установлен флажок Копировать все секторы1:1, при создании образа диска (раздела) в него включаются не только данные, но и сведения обо всех секторах; другими словами, операция создания образа в результате фактически превращается в операцию клонирования, поэтому аккуратно используйте этот флажок;
если установлен флажок FAT 64К кластерыдля NT, то при переносе раздела FAT с кластерами по 64 Кбайт на раздел NTFS размер кластера будет сохранен;
если установлен флажок Не скрывать первичный раздел назначения, тодля диска (раздела), созданного в результате операции клонирования, не будет установлен атрибут скрытый (hidden);
если установлен флажок Проводить операции безопасно, разрешено использование системы рестарта, которая позволяет возобновить операцию, прерванную при сбоях питания или при перезагрузке компьютера; подробнее технология защиты дисков рассмотрена ниже;
раскрывающийся список Тест поверхности позволяет выбрать вид тестирования (Нормальный или Тщательный), а также отказаться от проведения теста;
раскрывающийся список Уровень сжатия позволяет выбрать степень сжатия файла образа; предусмотрено 9 уровней (с 1 по 9); если выбран уровень 0, сжатие не используется.
Обратите внимание, что установленные параметры будут применяться для всех последующих процедур резервирования/восстановления. Эти параметры используются также мастером Backup Wizard.
Система обеспечения безопасности работает следующим образом. Перед выполнением «опасной» операции Paragon Drive Backup записывает в главную загрузочную запись жесткого диска (MBR) свой собственный код. Если операция прервана, то этот код при запуске компьютера активизируется, что вызывает появление на экране следующего сообщения: Диск модифицирован Drive Backup. Вставьте дискету Drive Backup и загрузите с нее последнюю операцию. Это означает, что для завершения прерванной операции необходимо снова запустить Paragon Drive Backup (с гибкого диска, компакт-диска или с жесткого диска). После перезагрузки на экране появится сообщение: Последняя операция на диске С: не завершена. Возобновить операцию?
Если выбрать «Да», то операция возобновится, если «Нет», то операция не возобновится и все данные на том разделе, который модифицировался, будут потеряны.
Создание образа раздела (диска)
Данная процедура будет рассмотрена применительно к работе с мастером Backup Wizard. Чтобы выполнить ее «вручную», необходимо в контекстном меню раздела (диска) выбрать команду Создать образ жесткого диска или Создать образ раздела соответственно.
В первом окне мастера (см. рис. 4.37) поставьте переключатель Создать образ раздела/жесткого диска, а во втором – уточните, что именно резервируется: раздел или диск.
Если создается образ раздела, то в следующем окне необходимо выбрать в раскрывающемся списке жесткий диск и конкретный раздел (рис. 4.39).
Рис. 4.39.Выбор резервируемого раздела
ПРИМЕЧАНИЕ
В отличие от программьи^и^ Ghost, файл образа может быть создан только для одного раздела.
На следующем шаге устанавливаются параметры создаваемого образа, дополняющие общие параметры работы Drive Backup. В частности, здесь (рис. 4.40) требуется указать:
имя и расположение файла образа; для этого служат поле Файл образа и раскрывающийся список Диск;
размер одного сегмента (если файл образа будет разделен) – для этого поставьте флажок Разбить образ и введите размер сегмента в поле Макс. размер тома (МВ); если в качестве устройства хранения используется накопитель ZIP, JAZ или LS 120, то ставить флажок и указывать размер сегмента не требуется: Drive Backup автоматически определит емкость накопителя и при ее исчерпании выведет на экран предложение сменить накопитель; если образ записывается на жесткий диск или на CD, то после завершения записи очередного сегмента на экран будет выведено окно с предложением указать имя следующего сегмента и адрес его записи;
необходимость сжатия файла образа – если флажок Без сжатия установлен, то он отменяет уровень сжатия, заданный в общих параметрах Drive Backup.
Рис. 4.40. Параметры создаваемого образа
Завершив установку параметров процедуры формирования образа и оценив еще раз основные из них в последнем окне мастера, щелкните на кнопке Готово. Это приведет к инициализации выполнения процедуры, и вот здесь… Здесь вы
встретитесь с некоторыми не очень удачными решениями разработчиков Drive Backup (с точки зрения пользовательского интерфейса программы). Сначала на экране появится диалоговое окно с просьбой ввести «метку образа» (на самом деле имеется в виду описание (Description) создаваемого образа. Почему бы не предусмотреть ввод этого описания в одном из окон мастера?).
Сразу после закрытия этого окна, без каких-либо дополнительных предупреждений начинается генерация файла образа. Правда, ход этого процесса достаточно подробно отображается в соответствующем окне (рис. 4.41), в котором, к тому же, имеется кнопка Отмена, но все же…
Рис. 4.41. Окно для наблюдения за ходом генерации образа
Если вы щелкнете на кнопке Отмена до завершения процесса и потом подтвердите свое намерение, состояние созданного файла образа окажется неопределенным. Вероятнее всего, он будет непригоден для дальнейшего использования.
После завершения создания образа по указанному вами адресу должен быть расположен основной файл (с расширением. pbf), а также (при делении образа на сегменты) дополнительные файлы, расширение которых содержит порядковый номер сегмента (.pbO,pbl и т. д.).
Процедура создания образа для всего жесткого диска аналогична рассмотренной выше.
Восстановление раздела (диска) по его образу
Для активизации процедуры восстановления можно воспользоваться либо все тем же мастером Backup Wizard, либо командой Восстановить раздел из образа (для диска – Восстановить жесткий диск из образа).
В обоих случаях на первом шаге вам потребуется выбрать в диалоговом окне файл образа, на основе которого должно выполняться восстановление. Однако (как ни странно) при использовании это окно содержит несколько более подробную информацию о файле образа, чем та, которую предоставляет мастер восстановления (рис. 4.42).
Рис. 4.42. Выбрав файл образа, вы получите о нем исчерпывающие сведения
После выбора файла образа останется выполнить всего лишь два действия.
1. Подтвердить свои намерения о восстановлении раздела (диска) в окне с предупреждением, что раздел (диск) содержит данные, которые в результате восстановления будут замещены.
2. Наблюдать за ходом восстановления в специальном информационном окне (аналогичном показанному на рис. 4.41).
Если образ состоит из нескольких сегментов, то по завершении работы с очередным из них Drive Backup предложит вам выбрать следующий. Если файлы всех сегментов расположены в одной папке, вам останется лишь подтвердить выбор, сделанный самим Drive Backup.
ВНИМАНИЕ
После завершения процедурывосстановления необходимо перезагрузить компьютер, чтобы система выполнила повторное монтирование дисков.
Клонирование раздела (диска)
В программе Drive Backup операция клонирования названа копированием, но суть ее от этого не меняется: в результате ее выполнения все секторы раздела-приемника оказываются замещены секторами раздела-источника.
Вместе с тем процедура клонирования, реализованная в Drive Backup, имеет две особенности:
по желанию возможно автоматическое изменение размера раздела-приемника в соответствии с размером раздела-источника;
предусмотрена возможность обхода (исключения) плохих секторов раздела-приемника.
Возможность изменения размера раздела-приемника не очень важна, если вы клонируете раздел-источник на пустой раздел большего размера. В этом случае Drive Backup автоматически «откусит» от пустого раздела ровно столько места, сколько требуется для переноса раздела источника. Однако разрешение на изменение размера может оказаться полезным, если вы хотите перенести в новый раздел лишь ту часть раздела-источника, которая занята данными. Например, если из 3 Гбайт раздела-источника данные занимают лишь 1 Гбайт, Drive Backup может создать раздел-приемник размером 1 Гбайт.
Функция изменения размера применяется также для реализации механизма обхода плохих сегментов раздела-приемника.
ПРИМЕЧАНИЕ
Чтобы включить механизм обхода плохих сегментов, необходимо в общих параметрах работы Drive Backup на вкладке Основные выбрать в списке Тест поверхности вариант Нормальный или Тщательный (см. рис. 4.38).
Для активизации процедуры клонирования можно воспользоваться либо мастером Backup Wizard, либо командой Копировать раздел (для диска – Копировать жесткий диск).
Рис. 4.43. Drive Backup предлагает лишь подходящие варианты для создания клона
После выбора копируемого раздела (диска) Drive Backup производит поиск подходящих вариантов для создания клона. Наибольшее предпочтение он отдает пустым разделам подходящего размера (рис. 4.43).
Если подходящих разделов на выбранном жестком диске нет, Drive Backup сообщит об этом.
Чтобы получить возможность выбирать размер раздела-приемника, установите флажок Копировать с изменением размера. На следующем шаге в дополнительном окне установите с помощью регулятора желаемый размер (рис. 4.44). Минимально допустимый размер раздела-приемника определяется объемом данных, имеющихся в разделе-источнике, а максимальный размер – полным объемом источника.
После активизации процедуры клонирования ее ход отображается в информационном окне (рис. 4.45). Хотя в нем имеется кнопка Отмена, пользоваться ей нужно только в крайнем случае.
Рис. 4.44. Выбор размера раздела-приемника
ВНИМАНИЕ После завершения процедуры клонирования необходимо перезагрузить компьютер, чтобы система выполнила повторное монтирование дисков.
Рис. 4.45. Окно для наблюдения за процессом клонирования
Программа Acronis True Image
Программа Acronis True Image, разработанная отечественной компанией Acronis, – это один из лучших на сегодняшний день инструментов для резервного копирования, завоевавший популярность и за пределами России.
Поддерживаются файловые системы Windows FAT16/32 и NTFS, а также Linux Ext2, Ext3, ReiserFS и SWAP, а для разделов других типов обеспечивается специальная посекторная поддержка.
Основные возможности
По своим возможностям True Image сопоставим с рассмотренной в предыдущем разделе программой Paragon Drive Backup. Тем не менее у каждой из этих программ есть своя «изюминка», и каждый читатель может решить для себя, какая из них предпочтительнее.
Итак, True Image обеспечивает:
быстрое создание образа диска с гарантией полной сохранности данных (поддерживаются жесткие диски любых размеров);
восстановление как жестких дисков целиком, так и отдельных разделов или файлов и папок на них (восстанавливаются и обычные разделы с данными, и системные);
удобное копирование образа диска на носители CD-R/RW, ZIP, JAZ или на
какое-либо другое устройство хранения данных со сменным носителем;
полное клонирование жесткого диска на новый компьютер. «Изюминки»:
возможность создания и восстановления полного образа диска непосредственно в среде копируемой ОС без необходимости перезагрузки в DOS или другую систему;
возможность менять в процессе восстановления типы раздела, файловой системы, размеры и расположение диска;
возможность защиты созданного образа от несанкционированного доступа за счет размещения его в специальном скрытом разделе.
При запуске процедуры создания образа не требуется выполнять перезагрузку компьютера, более того – вы можете продолжать работу с приложениями в обычном режиме. Хотя компания Acronis утверждает, что за счет ее уникальных технологий обеспечивается целостность данных, структур жесткого диска и файловых систем при создании образа, лучше все-таки минимально использовать компьютер в это время. Кроме того, True Image не гарантирует целостности данных на уровне таких сложных приложений, как Microsoft SQL Server, Oracle и Microsoft Exchange.
Среди других надо следует отметить следующие:
включение в образ только тех секторов диска, которые заняты данными, а также пропуск файлов, не влияющих на работоспособность системы (например, True Image не включает в образ диска файл подкачки (pagefile.sys) и файл спящего режима (hibernian.sys)); благодаря этому создание образа и восстановление происходят значительно быстрее;
возможность выбора степени сжатия данных (Стандартная, Высокая или Максимальная); можно вообще отказаться от сжатия;
возможность разбиения образа на несколько томов желаемого размера;
поддержку жестких дисков и пишущих приводов с интерфейсами IDE, SCSI,
PCMCIA, USB 2.0 и FireWire.
В процессе установки True Image предложит создать набор загрузочных гибких дисков или загрузочный компакт-диск для работы на компьютере с альтернативной операционной системой от Acronis (рис. 4.46).
Рис. 4.46. Можно создать загрузочный диск с Acronis True Image
Возможно создание загрузочного диска в одной из двух конфигураций:
полной, с поддержкой всех типов устройств; для нее требуется семь гибких дисков;
сокращенной, с базовым набором драйверов; для нее достаточно трех гибких дисков.
Если на момент инсталляции программы у вас нет под рукой подходящего носителя или вы не располагаете достаточным временем, эту процедуру можно выполнить после завершения установки.
Версия True Image, загружаемая со сменного носителя, содержит все основные функции Windows-версии (кроме функций подключения и отключения виртуального диска) и большинство сервисных (кроме функции создания загрузочного диска).
ВНИМАНИЕ ____________________
Acronis True Image не поддерживает резервное копирование динамических дисков ОС Windows.
Интерфейс и порядок работы
Выполнение практически всех перечисленных выше задач возложено в True Image на мастера!. Их запуск производится с помощью кнопок, расположенных непосредственно в рабочей области основного окна программы (рис. 4.47).
Рис. 4.47. Основное окно программы Acronis True Image
Для инициализации сервисных функций (типа подготовки загрузочного диска или создания скрытого раздела) служат кнопки верхней панели инструментов и ссылки, размещенные в области задач (в левой части окна).
Щелкнув один раз на любой из «основных» кнопок, можно получить дополнительные пояснения относительно соответствующей процедуры – подсказка отображается в нижнем поле области задач. Для запуска мастера требуется щелкнуть на той же кнопке дважды.
Все мастера имеют однотипный весьма дружественный интерфейс и позволяют решить соответствующую задачу с минимальными усилиями. Например, чтобы получить образ диска, достаточно после запуска мастера выбрать копируемый диск или раздел (рис. 4.48) и затем указать имя и расположение файла образа.
ВНИМАНИЕ
Не рекомендуется выбирать для хранения файлов образов динамические диски. Дело в том, что однозадачная ОС, в среде которой работает дисковая версия True Image, не поддерживает такие диски. Вследствие этого при восстановлении системного раздела (когда использование дисковой версии True Image неизбежно), а также в некоторых других ситуациях файл образа на динамическом диске окажется недоступен.
Рис. 4.48. Выбор резервируемого диска
Последующие настройки работы мастера не являются принципиальными, но могут повысить эффективность процедуры создания образа. В частности, если вы (благодаря материалу второго раздела главы) осознали преимущества инкремент-ного резервного копирования, то можете при очередном обновлении образа разрешить добавочное резервирование (вместо полного обновления образа). Кроме того, как уже отмечалось выше, можно разделить файл образа на несколько сегментов, выбрать степень сжатия данных, включаемых в образ, и защитить файл образа паролем.
Скорость работы True Image над образом диска действительно производит хорошее впечатление – для копирования системного раздела размером в 1,5 Гбайт при высокой (двукратной) степени сжатия может потребоваться не более 10 минут.
При проведении инкрементного копирования True Image сам, без подсказок пользователя производит анализ исходных данных и выполняет резервирование только тех, которые изменились с момента создания предыдущей копии. Времени на анализ и запись инкрементной копии требуется меньше, чем на формирование полного образа. Файл инкрементной копии получает то же имя, что и полная копия, но с большим порядковым номером.
Для последующего восстановления раздела по его образу усилий требуется не намного больше, чем в описанной выше процедуре копирования:
на первом шаге вы выбираете файл образа, содержащий восстанавливаемые данные (полную или инкрементную копию) (рис. 4.49);
на втором шаге указываете раздел, подлежащий восстановлению;
на третьем шаге, если восстанавливается системный раздел, потребуется либо перезагрузить компьютер, либо, по крайней мере, закрыть все запущенные приложения и процессы (рис. 4.50).
Рис. 4.49. Указание расположения файла образа
Рис. 4.50. При восстановлении данных из файла образа может потребоваться перезагрузка компьютера
При перезагрузке автоматически запускается дисковая версия True Image, и выбор файла образа придется повторить еще раз.
Все последующие действия True Image выполнит самостоятельно.
Клонирование диска
Клонирование диска – это специфическая, но весьма полезная операция. Например, она поможет спасти данные на физическом диске, состояние которого будет диагностировано S.M.A.R.T.-монитором как критическое.
После запуска мастера клонирования можно выбрать один из двух режимов работы:
Автоматический, при котором следует выбрать лишь исходный и целевой диски; основное ограничение данного режима состоит в том, что целевой раздел (диск) должен быть по размеру не меньше клонируемого;
Ручной, при выборе которого пользователю предоставляется значительно больше свободы. В частности, вы можете «заставить» (или попросить – в зависимости от воспитания) True Image «подогнать» размер клонируемого диска под размер целевого (рис. 4.51).
Рис. 4.51. При клонировании диска возможно изменение его размера
Необходимо иметь в виду, что целевой диск должен быть «пустым», то есть не содержать предварительно созданных разделов. Если это условие не выполняется, то True Image предложит удалить имеющиеся разделы (разумеется, вместе с записанными в них данными). Поэтому операция клонирования требует повышенной аккуратности.
Глава 5
Восстановление системной информации
Изменение параметров системы в целом или изменение отдельных системных файлов может быть вызвано разными причинами: воздействием вредоносных программ, аппаратными сбоями и отказами, установкой нового программного обеспечения или, наоборот, удалением имеющегося, неправильными действиями пользователя. Соответственно, и последствия таких изменений могут быть различны: в лучшем случае окажутся недоступными некоторые данные или программы, в худшем – система будет полностью неработоспособна.
Как и при восстановлении пользовательских данных, самый простой способ вернуть работоспособность системы – заменить ее текущее состояние тем, которое было зафиксировано в резервной копии. Однако такая замена не всегда желательна, особенно если резервное копирование производится недостаточно регулярно. Зачастую может помочь восстановление отдельных параметров системы или «лечение» конкретных системных файлов.
Ниже рассмотрены наиболее типичные ситуации, требующие восстановления системной информации, а также наиболее эффективные средства и методы такого восстановления.
Восстановление BIOS
Как вы уже знаете, BIOS играет очень важную роль в обеспечении корректной работы системы. Достаточно напомнить, что неправильная установка параметров BIOS (или ее повреждение вирусом) может привести к тому, что система вообще перестанет загружаться. Поэтому в случае возникновения серьезных неполадок полезно до переустановки операционной системы оценить корректность параметров BIOS. Если же BIOS повреждена, то может потребоваться перезапись («перепрошивка») микропрограммы BIOS.
Коррекция параметров BIOS
Прежде всего следует проверить параметры BIOS, относящиеся к установленным жестким дискам. Соответствующие параметры размещены, как правило, в двух разделах BIOS Setup: Standard CMOS Setup и IDE HDD Auto Detection.
В разделе Standard CMOS Setup данные о жестких дисках представлены в виде таблицы, содержащей следующие основные поля:
Type (Тип) – способ установки параметров диска; возможные варианты:
Auto (Автоматически) – параметры диска должны распознаваться системой; обычно этот вариант используется BIOS по умолчанию; для диска, для которого установлен режим, в таблице выводятся нулевые значения параметров;
User (Пользователь) – значения параметров диска устанавливаются пользователем; как правило, возможность редактирования параметров существует только для режима адресации Normal, поэтому в случае необходимости корректировки параметров следует предварительно установить этот режим; значения для других режимов будут вычислены BIOS автоматически;
None (Отсутствует) – параметры не заданы; если устройство в действительности подключено к соответствующему интерфейсу, BIOS должна опознать его автоматически;
Size (Емкость) – размер диска в мегабайтах;
Cyls (Цилиндры), Heads (Головки), Sectors (Секторы) – число цилиндров, головок и секторов диска соответственно; значения, представленные в таблице, зависят от используемого режима адресации;
Mode (Режим) – используемый режим адресации; возможные значения:
Auto (Автоматически) – режим адресации выбирается системой на основе емкости диска;
NORMAL;
LBA;
LARGE.
ПРИМЕЧАНИЕ ____________________
Подробнее о режимах адресации жестких дисков см. главу 3, раздел «Организация хранения данных в файловой системе FAT32».
Например, если в компьютере установлены два жестких диска, то таблица может иметь следующий вид (табл. 5.1).
Действительные параметры диска можно узнать либо из сопроводительной документации, либо (что более реально для OEM-комплектации) из наклейки-инструкции на самом корпусе диска.
Раздел IDE HDD Auto Detection позволяет убедиться в том, что после установленных вами параметров жесткие диски будут опознаны BIOS правильно.
Еще одна достаточно важная характеристика жесткого диска – это его тип как логического устройства, входящего в конфигурацию системы. Тип диска кодируется целым числом, которое должно лежать в диапазоне значений от 1 до 47.
Если в компьютере установлены диски с интерфейсом SCSI, то тип диска не так важен, поскольку контроллер SCSI имеет собственную BIOS. Что же касается дисков IDE, то для старых дисков небольшой емкости тип должен иметь значение от 1 до 46, а для современных он обычно равен 47.
Установка параметров BIOS по умолчанию
Если проблемы с загрузкой системы возникли после того, как вы изменили некоторые параметры BIOS, но не смогли восстановить их первоначальные значения, можно вернуться к параметрам, используемым по умолчанию. Это можно сделать двумя способами.
Первый из них заключается в выборе в меню программы BIOS Setup соответствующей команды. Конкретное ее наименование зависит от версии BIOS Setup. Например, возможны варианты Load BIOS Defaults или Load Fail-Safe Defaults. Если указанным способом получить требуемый результат не удается либо если по какой-то причине не удается войти в BIOS Setup (например, программа защищена паролем, который вы не знаете), то можно восстановить стандартные параметры «аппаратным» способом.
Почти на всех современных системных платах рядом с батарейкой есть перемычка (джамперный переключатель) для сброса CMOS-памяти. Достаточно установить ее в соответствующее положение, чтобы очистить CMOS.
Если на плате нет батарейки, нужно поискать пластмассовый модуль с надписью «DALLAS» (это монолитный блок с батарейкой и микросхемой CMOS), – перемычка может быть возле него.
В случае, если перемычка для очистки CMOS-памяти отсутствует, попробуйте отключить или отсоединить батарейку. При этом также рекомендуется отключить провода от блока питания, так как заряд на его конденсаторах может сохраняться и успешно поддерживать питание CMOS более суток.
Перезапись BIOS
Практически все материнские платы позволяют изменять содержимое микросхемы памяти BIOS программным способом.
ПРИМЕЧАНИЕ ____________________
Перезаписываемую микросхему памяти обычно называют Flash BIOS, хотя сейчас применяются и другие виды микросхем.
С одной стороны, это повышает гибкость системы и позволяет легко адаптировать ее к изменению характеристик оборудования компьютера. С другой стороны, возрастает риск повреждения программного кода BIOS вирусами или самим пользователем.
Перезапись микросхемы BIOS может производиться для работоспособной BIOS с целью ее обновления.
Для выполнения этой процедуры необходимо иметь собственно код микропро– граммы и специальную программу для перезаписи BIOS. Обычно и то и другое имеется на гибком диске (или компакт-диске), входящем в комплект поставки материнской платы. Если у вас нет такого гибкого диска, вы можете попытаться получить файл микропрограммы и программу перезаписи на веб-сайте про– изводителя.
В общем случае процедура перезаписи BIOS выглядит так.
1. Подготовить системный гибкий диск для загрузки в режиме DOS и записать на него новую версию BIOS (файл. bin) и программу перезаписи (она может называться, например, Awdflash.exe).
2. Загрузить компьютер с подготовленного гибкого диска и набрать в командной строке имя программы перезаписи.
3. По запросу программы сохранить на гибком диске старую версию BIOS (для возможного «отката»).
4. Дождаться завершения работы программы, после чего извлечь диск и перезагрузить компьютер.
Если код BIOS оказался серьезно поврежден, вы не сможете его перезаписать обычным способом по одной простой причине: не удастся загрузить компьютер. В связи с этим для восстановления поврежденной BIOS потребуется предпринять дополнительные шаги.
Наиболее просто перезапись поврежденной BIOS выполняется для современных материнских плат от компании Intel. Дело в том, что на таких платах имеется специальный джамперный переключатель – Flash Recovery(восстановление Flash), который позволяет выполнить загрузку компьютера даже с поврежденной BIOS.
Благодаря этому процедура восстановления состоит из двух действий.
1. Установить переключатель в положение Recovery Mode (Режим восстановления).
2. Вставить в дисковод специальный загрузочный гибкий диск, который постав– ляется вместе с материнской платой, и включить компьютер.
Программа восстановления BIOS самостоятельно перезапишет правильную версию. После этого останется только, выключив компьютер, установить переклю– чатель в исходное положение.
Для материнских плат других типов процедура перезаписи BIOS значительно сложнее. Основная проблема состоит в том, что безкорректно работающей BIOS не удается (как правило) обеспечить работу видеосистемы с интерфейсом PCI или AGP. Для относительно «пожилых» материнских плат, имеющих разъемы ISA, можно попытаться отыскать видеокарту с таким типом интерфейса.
Для более современных материнских плат выход состоит в том, чтобы отыскать аналогичную микросхему BIOS, загрузиться с ее помощью, а затем, не выключая компьютер, вернуть на место поврежденную BIOS и перезаписать ее, как было описано выше. Понятно, что такая процедура требует определенной смелости и аккуратности, но в некоторых случаях остается единственно возможным выходом из ситуации.
Устранение проблем с загрузкой системы
Если после успешного завершения процедуры POST не начинается загрузка операционной системы, то в первый момент даже опытные пользователи приходят в легкое замешательство. Хотя комментарии по этому поводу могут быть самые разные. Например: «Интересно, а на этот раз в чем дело?» или «Ну все, доигрался». Менее опытные пользователи в такой ситуации, скорее всего, вообще промолчат или просто тихо охнут. Оставим опытных пользователей наедине с их экспериментами и постараемся оказать первую помощь менее опытным.
Диагностика
Прежде всего, как и в случае любой другой нештатной ситуации, необходимо определить вероятную причину ее возникновения. Разумеется, для каждого конкретного компьютера набор возможных причин индивидуален, как и его конфигурация. Тем не менее можно перечислить наиболее типичные ситуации:
повреждение главной загрузочной записи (MBR) системного диска;
повреждение загрузочной записи (BR) активного раздела;
отсутствие или повреждение системных файлов, обеспечивающих управление загрузкой (boot.ini и некоторых других);
использование некорректного или поврежденного драйвера для одного из устройств;
повреждение системного реестра;
Приведенные выше причины расставлены в порядке их возможного проявления. То есть неполадки с MBR проявляются в первую очередь, проблемы с BR – во вторую, и т. д. Благодаря тому, что каждая из этих проблем проявляется по-своему, уже в начале «расследования» обычно удается определить, на каком шаге прервалась загрузка.
С другой стороны, каждая из перечисленных проблем сама является следствием тех или иных обстоятельств. Например, повреждение MBR может быть вызвано и неправильной установкой нескольких ОС на один жесткий диск, и деятельностью вируса. В идеальном случае хотелось бы докопаться именно до той самой первопричины, однако для этого не всегда хватает знаний, времени, терпения или чего-нибудь еще. Поэтому зачастую ограничиваются восстановлением поврежденных компонентов системы, запоминая при этом условия, в которых произошло повреждение. Рано или поздно накопленная статистика позволит выявить и первопричину.
В данном разделе будут рассмотрены методы диагностики и устранения проблем с файлами, управляющими загрузкой, и проблем с драйверами устройств.
Восстановлению системного реестра посвящен специальный раздел данной главы, а техника восстановления загрузочных записей рассмотрена в седьмой главе.
Для решения проблем, специфических для вашей системы, можно выбрать одно из универсальных средств, описанных в разделах «Средства восстановления Windows 9*/МЕ» и «Средства восстановления Windows 2000/ХР».
Устранение проблем с файлами управления загрузкой
Имеется в виду файл boot.ini и некоторые другие файлы, состав которых зависит от типа установленных операционных систем.
Если на компьютере установлена единственная ОС, то повреждение или некорректное изменение файлов, управляющих загрузкой системы, происходит очень редко. Значительно чаще эти файлы страдают при установке на компьютер нескольких альтернативных ОС. Поэтому в данном подразделе основное внимание уделено именно таким ситуациям.
ПРИМЕЧАНИЕ
Компьютер с двумя ОС обычно называют системой с двойной загрузкой. Если же установлено более двух ОС, говорят, что используется система с мультизагрузкой.
Особенности установки различных сочетаний ОС
Все возможные сочетания ОС, которые могут потребоваться пользователю, предугадать и описать невозможно. Поэтому ниже приведены рекомендации лишь по наиболее типичным ситуациям.
В одной конфигурации нельзя установить одновременно Windows 95 и Windows 98, поскольку Windows 98 рассматривается как обновление Windows 95 и поэтому будет пытаться использовать тот же самый загрузочный файл.
Операционные системы линейки Windows 2000/XP следует устанавливать только после установки MS-DOS, Windows 9* или Windows ME, чтобы MS-DOS или Windows 9*/ME не смогла перезаписать загрузочный сектор Windows XP и файлы запуска Windows XP.
Если система Windows XP установлена на томе с файловой системой FAT32, и есть еще один свободный том формата FAT или FAT32, то можно установить Windows 98 на свободный том без переформатирования жесткого диска.
Системы Windows 9*/ME должны устанавливаться на базовый (то есть не динамический) диск, в FAT– или FAT32-раздел. Если система Windows 98 или Windows ME установлена не в системный раздел (почти всегда в качестве системного используется первый раздел жесткого диска), то системный раздел также должен иметь файловую систему FAT или FAT32.
Если планируется создать конфигурацию с несколькими операционными системами, включающую Windows NT 4.0 вместе с Windows 2000 или Windows XP, необходимо предварительно убедиться, что для Windows NT 4.0 установлен пакет обновления Service Pack 4. Это необходимо для того, чтобы обеспечить Windows NT 4.0 чтение и запись файлов после того как Windows XP выполнит обновление прежней версии NTFS до «своего» уровня.
Каждую операционную систему следует рассматривать как существующую отдельно. Все требуемые программы и драйверы должны быть установлены в каждой операционной системе, в которой эти средства предполагается использовать. Например, если необходимо использовать Microsoft Word на одном компьютере и в среде Windows 98, и в среде Windows XP, то нужно запустить Windows 98 и установить Microsoft Word. Затем потребуется загрузить Windows XP и снова установить Microsoft Word.
Дело в том, что большая часть приложений сохраняет многие свои обязательные настройки в реестре той системы, где они установлены. При загрузке другой операционной системы загружается, естественно, ее собственный реестр.
Восстановление файла boot.ini
Файл boot.ini содержит параметры процедуры загрузки установленных ОС в муль-тизагрузочной системе. Размещается этот файл в корневом каталоге системного загрузочного диска (как правило, это диск С:).
С точки зрения содержимого, boot.ini – это обычный текстовый файл, который может быть открыт и отредактирован (или даже создан заново) в любом текстовом редакторе, например в Блокноте.
ПРИМЕЧАНИЕ
По умолчанию файл boot.ini имеет атрибуты Скрытый и Только чтение. Чтобы увидеть его в папке и сделать доступным для изменения в редакторе, необходимо в панели свойств файла отменить эти атрибуты, сбросив соответствующие флажки.
Файл boot.ini содержит два раздела (рис. 5.1): [boot loader] и [operating systems].
Рис. 5.1. Пример файла boot.ini
В раздел [boot loader] входят два параметра:
timeout – определяет длительность паузы (в секундах) до начала загрузки ОС, указанной в качестве загружаемой по умолчанию; число секунд должно быть целым;
default – задает размещение этой ОС.
Расположение ОС задается как совокупность следующих значений:
multi – тип контроллера жестких дисков; для IDE значение равно 0, для SCSI – равно 1;
disk – номер логического подключения для дисков с интерфейсом SCSI; для дисков с интерфейсом IDE значение равно 0;
rdisk – номер физического жесткого диска; диски нумеруются с 0;
partition – номер раздела (или логического диска) в пределах жесткого диска; разделы нумеруются с 1 в следующем порядке: сначала все основные разделы, затем – логические диски в пределах расширенного раздела.
Раздел [operating systems] обеспечивает формирование меню загрузки, которое отображается на экране после завершения процедуры самотестирования системы (рис. 5.2) и содержит описание путей к корневым каталогам ОС, включенных в меню мультизагрузки.
Рис. 5.2. Пример меню мультизагрузки
Этот раздел содержит список установленных ОС с указанием их размещения и строки-псевдонима, которая должна представлять ОС в меню загрузки. В качестве псевдонима может использоваться любая последовательность символов, а размещение ОС задается таким же образом, как в разделе [Boot Loader].
Кроме того, в разделе могут присутствовать дополнительные строки:
если на компьютере установлена консоль восстановления (программа, используемая для восстановления работоспособности ОС Windows 2000/XP), то в меню будет представлена команда ее вызова (см. рис. 5.2);
если была начата, но не завершена инсталляция ОС Windows 2000/XP,то в меню будет представлена команда вызова процедуры возобновления установки.
Если на компьютере установлена Windows XP, то редактировать файл boot.ini можно не только в текстовом редакторе, но и другими, более безопасными средствами, а именно:
• с помощью диалогового окна Свойства системы, вызываемого из Панели управ– ления;
• с помощью инструкции bootcfg, используемой в режиме командной строки;
• с помощью команды bootcfg, доступной в Консоли восстановления;
• с помощью программы Настройка системы.
Чтобы открыть диалоговое окно Свойства системы, выполните следующие действия.
1. В окне Панели управления выберите категорию Система.
2. В открывшемся диалоговом окне перейдите на вкладку Дополнительно и в группе Загрузка и восстановление щелкните на кнопке Параметры.
Все элементы управления, позволяющие изменять файл boot.ini, собраны в группе
Загрузка операционной системы, расположенной в верхней части окна (рис. 5.3):
• раскрывающийся список Операционная система, загружаемая по умолчанию, позволяет задать значение параметра default;
• флажок Отображать список операционных систем и связанный с ним счетчик определяют значение параметра timeout.
Рис. 5.3. Элементы управления, позволяющие изменять файл boot.ini
Чтобы непосредственно из окна Свойства системы открыть файл boot.ini для изменения в текстовом редакторе, щелкните на кнопке Правка. После того как файл будет загружен в редактор, закройте окно Загрузка и восстановление. Завершив редактирование файла, сохраните его на диске обычным образом (в редакторе Блокнот – выбрав в меню Файл команду Сохранить).
Инструкция bootcfg, используемая в режиме командной строки, может оказаться полезной в том случае, когда по той или иной причине недоступен графический интерфейс Windows (например, когда единственно возможным вариантом загрузки системы оказалась загрузка в безопасном режиме с поддержкой командной строки).
Инструкция bootcfg может быть запущена с большим числом различных параметров. Ниже приведены пояснения только по тем из них, которые могут помочь в восстановлении корректного содержимого файла boot.ini при работе на локальном компьютере:
bootcfg /query – запрос и отображение записей разделов [boot loader] и [operating systems] файла boot.ini;
bootcfg /timeout <значение> – задает значение параметра timeout в разделе [boot loader] (в секундах); установка этого параметра может оказаться полезной, если требуется посмотреть меню загрузки на экране, – когда параметр timeout не задан или равен 0, программа NTLDR запускает используемую по умолчанию операционную систему сразу, без отображения меню загрузки;
bootcfg /default [/id <номер_строки_записи>] – задает операционную систему, загружаемую по умолчанию; необязательный параметр /id указывает номер строки в разделе [operating systems] файла boot.ini, содержащей путь к корневой папке нужной ОС. Первая строка после заголовка раздела [operating systems] имеет номер 1. Если параметр /id не задан, загружается по умолчанию ОС, указанная в строке 1 раздела [operating systems];
bootcfg /default /raw <строка_параметров_загрузки_ОС> [/id <номер_стро-ки_записи>] – добавление параметров загрузки операционной системы, заданных в виде строки, в запись операционной системы в разделе [operating systems] файла boot.ini; указанная в инструкции <строка_параметров_загруз-ки_ОС> должна содержать параметры загрузки операционной системы, добавляемые в запись операционной системы. Эти параметры заменяют все существующие параметры загрузки, связанные с данной ОС. Проверка корректности строки параметров не выполняется;
bootcfg /rmsw /id <номер_строки_записи> – удаление операционной системы из меню загрузки; обязательный в данном случае параметр /id указывает номер удаляемой строки в разделе [operating systems];
bootcfg /addsw [/mm /bv /so] /id <номер_строки_записи> – добавление параметров загрузки операционной системы в определенную запись в разделе [operating systems]. Дополнительные параметры /mm, /bv и /so могут использоваться в любом сочетании или по одному; они имеют следующий смысл:
/mm – добавление ключа /maxmem в строку, указанную в параметре /id; этот ключ задает максимальный объем ОЗУ, доступный операционной системе;
/bv – добавление ключа /basevideo в строку, указанную в параметре /id; этот ключ определяет использование стандартного режима VGA для установленного на компьютере видеодрайвера;
/so – добавление ключа /sos в строку, указанную в параметре /id; этот ключ задает вывод на экран имен драйверов устройств при их загрузке.
Например, инструкция bootcfg с приведенными выше параметрами может выглядеть следующим образом:
bootcfg /addsw /bv /so /id 2.
В результате ее выполнения во вторую строку раздела [operating systems] будут вставлены ключи /basevideo и /sos; в результате при загрузке соответствующей ОС на экран будут выводиться имена загружаемых драйверов, а для видеодрайвера будет установлен режим Стандартный VGA (256 цветов, разрешение 800x600, частота развертки 56 Гц).
ПРИМЕЧАНИЕ
Перечисленные выше ключи вы можете добавить при необходимости в файл boot.ini и «вручную», с помощью текстового редактора. Ключи следует указывать в конце записи, относящейся к интересующей вас операционной системе. Например: multi(0)disk(0) rdisk(0)partition(1)\WINNT=«Microsoft Windows 2000 Advanced Server» /fastdetect /sos /basevideo.
При работе в среде Консоли восстановления команда bootcfg имеет несколько иной набор поддерживаемых параметров.
ПРИМЕЧАНИЕ
О том, как установить Консоль восстановления и использовать ее для решения других задач, связанных с восстановлением работоспособности ОС, рассказано в подразделе «Консоль восстановления».
Практически все эти параметры непосредственно связаны с диагностированием и восстановлением исправного состояния файла boot.ini:
bootcfg /list – вывод списка записей, имеющихся в разделе [operating systems] файла boot.ini;
bootcfg /default – вывод записи для ОС, загружаемой по умолчанию;
bootcfg /scan – поиск установленных копий Windows на всех дисках и отображение результатов;
bootcfg /rebuild – просмотр всех установленных копий Windows с возможностью выбора тех из них, которые следует добавить в список загрузки (рис. 5.4);
bootcfg /add – добавление установленной копии Windows в список загрузки.
Программа Настройка системы доступна во всех современных версиях ОС Windows, однако ее интерфейс и функциональные возможности для разных версий ОС различны. В частности, в той версии программы, которая используется в Windows 9*, нет средств для редактирования файла boot.ini, а версиях для ОС Windows 2000/XP такие средства имеются. Более подробно особенности работы с этой программой рассмотрены в разделах «Средства восстановления
Windows 98» и «Средства восстановления Windows 2000/ХР». Сейчас лишь поясним порядок редактирования файла boot.ini в версии программы Настройка системы для ОС Windows 2000/XP.
Рис. 5.4. Пример использования команды bootcfg в Консоли восстановления
Для запуска программы Настройка системы выберите Пуск Выполнить и в поле Открыть введите имя исполняемого файла программы – msconfig.
В открывшемся окне перейдите на вкладку BOOT.INI. Текущее состояние файла boot.ini отображается в верхнем поле вкладки (рис. 5.5).
Расположенные под этим полем кнопки выполняют следующие функции:
Проверить все пути загрузки – запускает процедуру проверки корректности записей, входящих в раздел [operating systems] (значение параметра default не проверяется); по завершении проверки на экран выводится сообщение с ее результатами; если в одной из записей обнаружена ошибка, то сообщение может быть, например, таким: Следующая строка в файле boot.ini не указывает на операционную систему. Далее идет текст неверной записи и предложение удалить ее из файла boot.ini; вы можете либо согласиться с таким редактированием, либо изменить строку вручную, открыв файл boot.ini в текстовом редакторе;
По умолчанию – вставляет соответствующую часть записи, выбранной в разделе [operating systems], в качестве значения параметра default;
Вверх, Вниз – перемещают запись, выбранную в разделе [operating systems], в соответствующем направлении.
Рис. 5.5.Вкладка BOOT.INI программы Настройка системы
Поле Таймаут позволяет изменить значение параметра timeout.
Флажки в группе Параметрызагрузки обеспечивают добавление/удаление соответствующих ключей загрузки для ОС, выбранной в данный момент в разделе [operating systems].
После того как вы завершите установку параметров, щелкните на кнопке Применить. Это приведет к записи внесенных изменений в файл boot.ini. Тем не менее существует возможность вернуться к первоначальному варианту файла boot.ini.
Для этого необходимо выполнить следующие действия.
1. Повторно запустить программу (если вы ее закрыли).
2. Перейти на вкладку Общие и установить переключатель Использовать оригинальный BOOT.INI (рис. 5.5).
3. Щелкнуть на кнопке Применить.
ВНИМАНИЕ
Программа Настройка системысоздает резервную копию файла boot.ini лишь при первом его редактировании средствами этой программы. Таким образом, возврат к «оригинальной» версии файла boot.ini отменяет не только последнюю его правку, но и все предыдущие.
Восстановление других файлов загрузки
При установке на компьютер ОС линейки Windows 2000/XP на системном загрузочном разделе создаются еще три файла, имеющие отношение к процессу загрузки:
bootsect.dos – это копия загрузочного сектора раздела для загрузки ОС Windows 9*/ME; он формируется, когда в систему с ОС Windows 9*/ME добавляется ОС из числа указанных выше, которая замещает загрузочный сектор своим;
ntdetect.com – программа опознавания и регистрации установленного оборудования;
ntldr – программа-загрузчик ОС, которая выполняет, в частности, следующие функции:
обрабатывает файл boot.ini;
в случае выбора для загрузки ОС Windows 9*/ME загружает в память файл bootsect.dos;
в случае выбора для загрузки ОС Windows 2000/XP запускает программу ntdetect.com.
Рис. 5.6. Вкладка Общие программы Настройка системы
Очевидно, что повреждение или отсутствие любого из этих файлов не позволит выполнить корректную инициализацию ОС в мультизагрузочной системе.
Файлы ntdetect.com и ntldr являются стандартными для ОС определенного типа, и потому в случае их удаления или повреждения достаточно скопировать их с установочного компакт-диска данной ОС (оба файла расположены в папке I: \I386 в исходном, неархивированном виде). Эти файлы можно перенести и с другого компьютера, на котором установлена такая же ОС.
Что касается файла bootsect.dos, то о его сохранности лучше позаботиться заранее: сразу после его создания поместить резервную копию этого файла, например, на загрузочный гибкий диск (благо занимает он всего 512 байт – сектор он и есть сектор). В случае повреждения файла просто скопируйте на системный диск его резервную копию.
Устранение проблем с драйверами устройств
Если драйвер некоторого устройства (или некоторая служба) несовместим с текущей версией Windows и запускается автоматически при загрузке ОС, это может не позволить Windows завершить загрузку до тех пор, пока пользователь не отключит такой драйвер или службу.
Как известно, многие проблемные ситуации проще предотвратить, нежели устранять их после возникновения. Это относится и к установке драйверов устройств.
Даже если в процессе установки драйвера никаких видимых затруднений не возникло, и система вроде бы продолжила нормально работать, это еще не является гарантией ее корректной загрузки в следующем сеансе работы. Поэтому перед выключением компьютера (а еще лучше – сразу после подключения нового устройства или установки обновленного драйвера) следует оценить состояние новых устройств. А точнее – то, как их «воспринимает» Диспетчер устройств.
СОВЕТ ____________________
Чтобы быстрее открыть окно Диспетчера устройств со списком установленного оборудования, выберите в меню Пуск пункт Выполнить, введите в поле Открыть имя файла devmgmtmsc и щелкните на кнопке OK.
Если в работе устройства возникли те или иные проблемы, то в списке оборудования рядом с названием устройства будет отображаться соответствующий значок:
черный восклицательный знак на желтом фоне (рис. 5.7) означает, что устройство находится в проблемном состоянии (такое устройство, тем не менее, может работать); именно такие устройства могут вызвать затруднения при очередной перезагрузке системы;
символ «X» красного цвета отображается рядом с отключенными устройствами; такие устройства физически присутствуют в системе и потребляют ее ресурсы, однако для них не загружен драйвер защищенного режима;
синий символ «i» на белом фоне для ресурса устройства в свойствах компьютера означает, что для устройства не включена функция Автоматическая настройка, и ресурс был выбран вручную (это не является признаком отключения или проблемного состояния);
знак вопроса зеленого цвета означает, что для устройства установлен совместимый драйвер, однако он, возможно, поддерживает не все функции устройства.
Если устройство отмечено черным восклицательным знаком, то на панели свойств этого устройства на вкладке Общие в поле Состояние устройства отображается код возникающей проблемы (рис. 5.8).
ПРИМЕЧАНИЕ
Некоторые звуковые карты и видеоадаптеры сообщают операционной системе не обо всех используемых ими ресурсах. По этой причине в диспетчере устройств может отображаться только одно конфликтующее устройство (или вообще ни одного). В подобных случаях попробуйте отключить звуковую карту или используйте стандартный драйвер видеоадаптера VGA и проверьте, приводит ли это к устранению конфликта. Такая проблема наблюдается с видеоадаптерами S3 и 16-разрядными звуковыми картами Sound Blaster, а также звуковыми картами, которые эмулируют Sound Blaster для совместимости с Sound Blaster.
Рис. 5.7. Черный восклицательный знак указывает на проблемы с устройством
Рис. 5.8.Код возникающей проблемы
Всего для Диспетчера устройств предусмотрено 33 типа ошибок с индивидуальными кодами (с 1 по 33). Подробную информацию по ним можно найти на веб-сайте Microsoft (http://support.microsoft.com/kb/310123/). Тем не менее для устранения большинства из таких ошибок достаточно использовать вполне тривиальные средства:
• переустановку физического устройства;
• переустановку драйвера устройства;
• установку более свежей версии драйвера;
• возврат к предыдущей версии драйвера (откат).
Для инициализации перечисленных процедур удобно использовать кнопки, имеющиеся на вкладках Общие и Драйвер панели свойств устройства.
Кардинальная мера – удалить устройство из конфигурации, по крайней мере до завершения загрузки системы. Для этого можно использовать три средства:
• загрузку системы в безопасном режиме;
• отключение устройства с помощью Консоли восстановления;
• программу Настройка системы.
Особенности реализации перечисленных процедур для различных версий Windows описаны в двух следующих разделах.
Если устройство поддерживает функцию Plug-and-Play, то при очередной за– грузке системы Диспетчер устройств вновь попытается автоматически подклю– чить его, что, скорее всего, приведет к повторению проблемы. Чтобы избежать подобного развития событий, можно поступить следующим образом: создать новый профиль оборудования, в котором данное устройство будет установлено, но отключено. После загрузки системы вы сможете включить устройство без перезагрузки системы.
Для подготовки и создания нового профиля выполните следующее действия.
1. С помощью Диспетчера устройств отключите «вредное» устройство; для этого щелкните в списке на значке устройства и выберите в контекстном меню команду Отключить.
2. В панели управления выберите категорию Система и на вкладке Оборудование щелкните на кнопке Профили оборудования.
3. В окне Профили оборудования (рис. 5.9) щелкните на кнопке Копировать, затем в дополнительном окне введите имя для нового профиля, например Without _Net (в имени профиля нельзя использовать кириллицу).
4. Щелкните на двух кнопках OK, чтобы подтвердить создание профиля и вернуться в окно Диспетчера устройств.
5. Восстановите исходное состояние устройств для текущего (исходного) профиля.
При следующей перезагрузке системы на экране появится меню для выбора загружаемого профиля (рис. 5.10). Выберите в нем тот профиль, который, по вашему мнению, должен обеспечить беспроблемную загрузку системы.
Рис. 5.9. Создание нового профиля
Рис. 5.10.Меню для выбора загружаемого профиля оборудования
Механизм использования профилей особенно эффективен в тех случаях, когда в системе есть несколько «подозрительных» устройств и трудно определить, какое из них мешает загрузке. Тогда, создав несколько профилей, отличающихся составом «подозрительных» устройств, вы сможете достаточно быстро «вычислить» виновника.
Средства восстановления Windows 98
Арсенал «штатных» средств восстановления системы, предоставляемый Windows 98, не очень богат. Тем не менее в некоторых ситуациях эти средства могут помочь, особенно если их использовать совместно с другими инструментами, рассмотренными выше.
Для восстановления системных данных в Windows 98 можно использовать стандартные средства:
меню режимов загрузки Windows 98;
утилиту для создания загрузочного гибкого диска;
программу Настройка системы;
редактор реестра;
программу Сведения о системе;
утилиты для работы с дисками (ScanDisk, FDISK, FORMAT);
утилиту Архивация данных.
Утилита Архивация данных была достаточно подробно рассмотрена в главе 4 как один из инструментов резервного копирования и восстановления данных пользователя. Здесь она упомянута лишь потому, что позволяет создавать резервную копию системного реестра. Однако для решения этой задачи имеются более удобные средства, и потому к утилите Архивация данных мы возвращаться больше не будем. Остальные стандартные инструменты Windows 98 рассмотрены далее.
Меню режимов загрузки Windows 98
Само по себе меню режимов загрузки вряд ли можно считать инструментом восстановления. Однако именно благодаря ему пользователь имеет возможность выбрать режим загрузки операционной системы. Зачастую выбор подходящего режима является первым шагом в деле возвращения системы в работоспособное состояние.
Для входа в меню режимов необходимо после завершения процедуры POST (а в системе с мультизагрузкой – после выбора загружаемой ОС) нажать и удерживать клавишу Ctrl или F8.
Для Windows 98 предусмотрено шесть режимов загрузки (рис. 5.11):
Normal (Обычный) – стандартная загрузка операционной системы;
Logged (С регистрацией) – стандартная загрузка операционной системы, во время которой ведется журнал операций, выполнявшихся (успешно или нет) в процессе загрузки; просмотр журнала позволяет определить причину «зависания» или некорректной загрузки системы; по умолчанию в качестве журнала используется файл Bootlog.txt, создаваемый в корневом каталоге системного диска; при «зависании» системы во время загрузки она все равно успевает сделать «предсмертную запись» в журнале, поэтому зачастую бывает достаточно взглянуть на последнюю строку файла Bootlog.txt, чтобы понять причину «гибели» (для просмотра журнала можно загрузить систему с аварийного гибкого диска);
Safe mode (Безопасный режим) – загрузка в режиме защиты от сбоев; в этом режиме используются параметры по умолчанию: видеорежим VGA, загружаются лишь драйвер мыши и минимальный набор драйверов устройств, необходимых для запуска Windows; доступ к устройствам чтения компакт-дисков, принтерам и другим устройствам в этом режиме отсутствует; отсутствует также поддержка сети;
Step-by-step confirmation (Пошаговое подтверждение) – режим используется, если требуется загрузить файлы autoexec.bat и config.sys, а также указать элементы системы, которые следует пропустить при загрузке; если для сетевой платы имеются драйверы реального режима, будет обеспечена поддержка сети;
Command prompt only (Режим командной строки) – загрузка компьютера в режиме DOS с минимально необходимым набором драйверов;
Safe mode command prompt only (Только командная строка в режиме защиты от сбоев) – данный режим позволяет пропустить этап обработки файлов autoexec.bat и config.sys и перейти непосредственно к работе в режиме командной строки.
Рис. 5.11. Меню для выбора режима загрузки Windows 98
Применение режима Safe mode может помочь, например, при повреждениях таблицы разделов на некоторых дисках. Загрузившись в таком режиме, вы можете с помощью программы Paragon Partition Manager исправить параметры разделов (в частности, скорректировать распределение букв дисков) или удалить логические диски, мешающие нормальной загрузке.
Режим Step-by-step confirmation полезен в тех случаях, когда система перестала нормально загружаться после установки новых устройств (точнее, после установки новых драйверов). Отказавшись от загрузки этих драйверов, вы можете продолжить работу в минимальной конфигурации, отредактировать файлы autoexec.bat и config.sys и попробовать загрузиться повторно.
Создание загрузочного гибкого диска
Как ни странно, многие пренебрегают возможностью получить в свое распоряжение загрузочный диск. Однако он может оказаться просто незаменимым, если не удается загрузиться ни в одном из перечисленных выше режимов.
Для загрузки системы с гибкого диска необходимо изменить в BIOS Setup параметр Boot Sequence таким образом, чтобы дисковод FDD опрашивался первым.
Записать загрузочный гибкий диск можно в любой момент, но лучше это сделать сразу в процессе установки (или переустановки) операционной системы.
Загрузочный диск можно создать двумя способами. Первый, более простой и быстрый, обеспечивает создание «упрощенной версии» диска, второй – дает полную версию.
Первый способ заключается в выполнении следующих действий.
1. Щелкните правой клавишей мыши на значке дисковода FDD (на Рабочем столе или в папке Мой компьютер) и в контекстном меню выберите команду Форматировать.
2. В открывшемся диалоговом окне (рис. 5.12) поставьте в группе Способ форматирования переключатель Только копирование системных файлов и щелкните на кнопке Начать.
Рис. 5.12.Окно утилиты форматирования
В этом случае на гибкий диск будут скопированы только системные файлы: -------
| Библиотека iknigi.net
|-------
|
-------
, DRVSPACE.BIN, MSDOS.SYS и IO.SYS. Причем форматируемый диск не обязательно должен быть пустой – достаточно, чтобы на нем было не менее 400 Кбайт свободного места. Имевшиеся на гибком диске файлы остаются нетронутыми. Такая «мини-дискета» позволяет загрузить MS-DOS и работать с командным процессором, но не более того. Самый главный ее недостаток состоит в том, что в загруженной с ее помощью конфигурации DOS отсутствует поддержка CD-приводов. Можно, конечно, дописать на гибкий диск необходимый файл драйвера вручную, однако лучше воспользоваться вторым способом создания загрузочного гибкого диска.
Он состоит в выполнении следующих действий.
1. В меню Пуск выберите команду Настройка Панель управления Установка и удаление программ.
2. В открывшемся диалоговом окне перейдите на вкладку Загрузочный диск и щелкните на кнопке Создать диск; после этого в окне появится индикатор, отображающий состояние процесса подготовки системных файлов, по завершении которого вам будет предложено вставить в дисковод пустой гибкий диск (рис. 5.13).
3. Щелкните в окне на кнопке OK, чтобы начать форматирование.
Рис. 5.13.Окно утилиты создания загрузочного гибкого диска
После того как диск будет сформирован, полезно поместить на него какой-либо файловый менеджер типа Norton Commander, Volkov Commander или FAR. Эти программы позволят значительно упростить навигацию по дискам и папкам, поиск необходимых файлов и их редактирование по сравнению с режимом командной строки.
Дополнительное достоинство «стандартного» гибкого диска состоит в том, что он содержит средства создания виртуального диска (RAMDrive). Он имеет объем 2 Мбайт и размещается в оперативной памяти компьютера. Наличие виртуального диска позволяет разместить на гибком диске и использовать после загрузки целый ряд дополнительных сервисных средств и драйверов устройств.
ПРИМЕЧАНИЕ ____________________
При загрузке системывиртуальному диску назначается буква, как обычному диску. Это может привести к смещению букв для других устройств (в частности, для CD-приводов). Будьте внимательны.
При загрузке компьютера с использованием стандартного загрузочного гибкого диска можно выбрать один из двух режимов загрузки:
Setup computer with CD-ROM support (установка системы с поддержкой CD-ROM);
Setup computer without CD-ROM support (установка системы без поддержки CD-ROM).
Кроме того, вы можете открыть справочную систему, выбрав пункт View Help file (просмотр файла справки).
После успешной загрузки компьютера в режиме DOS можно проверить доступность логических дисков и (при необходимости) воспользоваться для восстановления системы каким-либо из инструментов, способных работать под DOS. Работа с одним из них – Norton DiskEdit – будет рассмотрена в главах6и7.
Если вы знаете, что проблемы с загрузкой вызваны повреждением системного реестра, то в режиме DOS вы сможете восстановить его из резервной копии (если она у вас, конечно, есть).
Программа Сведения о системе
Программа Сведения о системе является своеобразным пультом управления администратора Windows 98 при проведении диагностики и устранении неполадок в системе.
ПРИМЕЧАНИЕ
Первое знакомство с этой программой состоялось еще в главе 2, в разделе «Программные средства разграничения и контроля доступа». В том случае она рассматривалась как один из инструментов выявления скрытых процессов.
Чтобы ее вызвать, необходимо в меню Пуск выбрать команду Стандартные Служебные Сведения о системе.
Описание всех функций программы заняло бы слишком много места, поэтому ограничимся лишь теми, которые непосредственно связаны с восстановлением работоспособного состояния системы.
Основные возможности
Большая часть этих функций может быть активизирована посредством выбора соответствующей команды в меню Сервис основного окна программы (рис. 5.14).
Рис. 5.14. Окно программы Сведения о системе
Тем не менее отправной точкой для поиска неполадок в системе может послужить информация, отображаемая в основном окне программы. В частности, выбрав в левой панели пункт Компоненты Устройства с неполадками, вы получите список устройств, в работе которых (на уровне драйверов) выявлены ошибки, а также возможные причины неполадок.
Если на компьютере установлен пакет MS Office (или некоторые его компоненты), то, открыв ветвь Приложения MS Office и выбрав пункт Ошибки приложений, вы можете узнать об имеющихся проблемах в работе этого программного обеспечения.
Но вернемся к меню Сервис. Оно обеспечивает доступ к следующим сервисным средствам:
Средство диагностики DirectX – набор тестов, позволяющих оценить исправность компонентов DirectX (Direct3D, DirectDraw, DirectMusic и DirectPlay), отвечающих за обработку мультимедийных данных в системе (звук и графика), в том числе за корректную работу со шрифтами; в качестве способа устранения неполадок графической системы вы можете попробовать отключить различные виды аппаратного ускорения, щелкнув на соответствующей кнопке Отключить (рис. 5.15);
Отмена установки – запуск мастера удаления обновлений; если на компьютере имеется обновленная версия исправлений (Service Pack), драйверов или системных средств, установленная с узла обновления Windows, которую требуется удалить, но невозможно снова подключиться к Интернету, то мастер удаления обновлений позволяет вернуться к прежней версии;
Проверка реестра – запуск программы ScanReg, которая была рассмотрена в разделе «Восстановление реестра»;
Агент автоматического обхода драйверов – запуск агента (драйвера) автоматического обхода – он определяет причины сбоев, которые привели к зависанию Windows 98 при предыдущих запусках, и помечает соответствующие драйверы для их обхода при последующих запусках;
Доктор Ватсон – запуск диагностического инструмента, позволяющего делать «снимок» текущего состояния системы при каждом возникновении системной ошибки; эта программа регистрирует сбои программного обеспечения, определяет программу, в которой возник сбой, и предлагает подробное описание причины; в некоторых (достаточно типовых) ситуациях Доктор Ватсон может поставить диагноз и предложить меры по устранению ошибки;
Проверка системных файлов – запуск утилиты, которая выполняет проверку целостности файлов операционной системы, их восстановление в случае повреждения; кроме того, она используется для распаковки сжатых системных файлов, устанавливаемых с дистрибутивных дисков; подробнее работа с этой утилитой будет описана ниже;
Программа настройки системы – вызов программы Msconfig.exe, которая позволяет изменить системную конфигурацию путем редактирования системных файлов AUTOEXEC.BAT, CONFIG.SYS, WIN.INI, SYSTEM.INI, а также некоторых ветвей реестра с помощью флажков, что уменьшает риск, связанный с появлением опечаток при изменении файлов настройки в блокноте или в редакторе файлов настройки; кроме того, программа настройки системы позволяет создать резервную копию системных файлов перед началом сеанса устранения неполадок; это обеспечивает возможность отмены всех изменений, внесенных при устранении неполадок; подробнее некоторые возможности этой программы будут описаны ниже;
Диспетчер конфликтов версий – обращение к программе, которая ведет список всех текущих системных файлов, а также список резервных копий системных файлов с датами их резервирования и номерами версий; при восстановлении резервной версии текущая версия помещается в архив; обе версии остаются доступными для пользователя.
Проверка системных файлов
Как было сказано выше, данная программа выполняет проверку целостности файлов операционной системы и их восстановление в случае повреждения.
После открытия стартового окна программы вы можете выбрать один из двух режимов ее работы (рис. 5.16):
поиск измененных системных файлов;
извлечение системных файлов с установочного диска.
Рис. 5.15. Окно утилиты тестирования компонентов DirectX
Рис. 5.16. Исходное состояние окна программы Проверка системных файлов
Нас будет интересовать только первый режим, который является основным.
Прежде чем дать программе команду «фас» (то есть щелкнуть на кнопке Начать), полезно проверить те параметры, на основе которых программа будет работать.
Для этого щелкните на кнопке Настройка. Панель настроек содержит три вкладки (рис. 5.17):
Настройка – вкладка содержит элементы управления, которые позволяют задать порядок действий программы при просмотре системных файлов;
Критерий поиска – здесь вы можете выбрать папки, которые следует просматривать при поиске, а также определить перечень типов файлов, которые подлежат проверке;
Дополнительно – вкладка содержит единственный параметр, который определяет имя и место хранения конфигурационного файла программы.
Рис. 5.17. Панель настроек программы Проверка системных файлов
Небольшие пояснения относительно параметров, устанавливаемых на вкладке Настройка.
Если поставлен переключатель выдавать запрос о необходимости резервного копирования, то при обнаружении файла, требующего восстановления или замены, на экран будет выведено окно с запросом на создание резервной копии этого файла.
Если поставлен флажок Проверка файлов на наличие изменений, программа выполняет сравнение текущей (используемой) версии файла с версией, хранящейся в базе данных программы (вывод делается на основе сравнения атрибутов файлов).
В результате анализа состояния системы программа может выявить три типа факторов, требующих вмешательства:
системный файл поврежден (вывод делается на основании значения контрольной свертки);
текущая (используемая) версия файла отличается от версии, хранящейся в базе программы;
системный файл (или некоторая системная папка) отсутствует.
В первом случае пользователю будет предложено выбрать (рис. 5.18) один из трех вариантов действий:
Обновить данные проверки – в базу данных программы будут внесены изменения, отражающие текущее состояние системного файла;
Восстановить файл – пользователю будет предложено указать «правильный» файл, который следует использовать для замены поврежденного; наиболее подходящий вариант программа предложит сама, «напомнив», откуда устанавливался поврежденный файл;
Игнорировать – никакие действия над «неправильным» файлом не выполняются; при повторной проверке он вновь будет выявлен как требующий лечения.
По окончании проверки вы можете просмотреть отчет о проделанной работе, щелкнув на кнопке Сведения в завершающем окне программы.
Программа Настройка системы
Интерфейс и функциональные возможности версии программы, используемой в Windows 98, несколько отличаются от используемых в версии для Windows 2000/ХР.
Версия для Windows 98 позволяет не только управлять параметрами загрузки системы, но и создавать резервные копии некоторых системных файлов, определяющих конфигурацию системы: Config.sys, Autoexec.bat, System.ini и Win.ini. Вместе с тем в ней отсутствуют средства для работы с файлом boot.ini.
Именно с резервного копирования системных файлов и рекомендуется начинать работу с программой: в случае неудачи вы сможете, по крайней мере, вернуться к исходному состоянию системы.
Чтобы выполнить резервное копирование, на вкладке Общие щелкните на кнопке Создать копию (рис. 5.19).
Рис. 5.19. Окно программы Настройка системы, вкладка Общие
Файлы резервных копий имеют те же имена, что и соответствующие оригиналы, расширение. pss и размещаются в тех же папках, где расположены оригиналы (Config.pss и Autoexec.pss – в корневом каталоге системного диска, а System.pss и Win.pss – в папке Windows).
Если файлы резервных копий уже существуют, то программа Настройка системы предложит либо заменить их новыми, либо сохранить прежние (отменив операцию резервирования). Если вы хотите иметь несколько резервных копий каждого файла, то можете каждой из них предварительно дать собственное имя (например, дополнив стандартное имя датой создания копии).
Чтобы в случае необходимости вернуться к последним сохраненным версиям системных файлов, щелкните на кнопке Восстановить копию.
На вкладке Общие вы можете также выбрать режим загрузки системы:
Обычный запуск – аналогичен пункту Normal в меню режимов загрузки;
Тестовый запуск – выбор этого режима обеспечивает автоматический вызов меню режимов загрузки при перезагрузке системы; кроме того, если в меню загрузки будет даже выбран вариант Normal, система все равно будет загружена в «упрощенной» конфигурации; в частности, для видеосистемы будет установлена цветовая палитра из 16 цветов и разрешение 640x480 точек;
ПРИМЕЧАНИЕ
С таким разрешением окно Программа настройки системыможет не умещаться полностью на экране (может быть не видна кнопка OK). Чтобы после внесения изменений в параметры загрузки передать их программе, выберите в меню Файл команду Закрыть и затем в диалоговом окне подтвердите внесение изменений.
Выборочный запуск – аналогичен пункту Normal в меню режимов загрузки, с той разницей, что здесь вы можете заранее скорректировать состав системных файлов, которые должны обрабатываться при загрузке системы.
Вкладки Config.sys, Autoexec.bat, System.ini и Win.ini основного окна Програм-мынастройки системы позволяют отредактировать содержимое соответствующих системных файлов. Вкладка Автозагрузка обеспечивает внесение изменений в системный реестр.
С помощью кнопки Дополнительно вы можете открыть диалоговое окно Дополнительные параметры устранения неполадок. Оно позволяет корректировать ряд параметров, способных повлиять на успешность загрузки Windows 98
(рис. 5.20).
Установка того или другого флажка эквивалентна применению соответствующего диагностического ключа при запуске Windows 98 (то есть заданию команды -------
| Библиотека iknigi.net
|-------
|
-------
/Э:<ключ>).
Данные параметры обеспечивают, в частности, следующие возможности:
отключение 32-разрядного доступа к диску;
принудительное переключение экрана в режим VGA;
ограничение памяти, используемой Windows 98;
вызов меню режимов запуска Windows;
отключение автоматического вызова программы ScanDisk для проверки дисков после аварийного завершения работы.
Рис. 5.20. Диалоговое окно Дополнительные параметры устранения неполадок
Отключение автоматического вызова программы ScanDisk полезно в тех случаях, когда имеются подозрения на серьезные повреждения файловой системы на одном или нескольких дисках. Известно, что в таких ситуациях программа ScanDisk может работать не вполне корректно и вместо исправления ситуации лишь усугубит повреждения. Вместо того чтобы прерывать выполнение ScanDisk (это еще опаснее), лучше предотвратить ее запуск.
Средства восстановления Windows XP
Windows XP, которая изначально создавалась как система повышенной надежности, предоставляет значительно более широкий диапазон средств восстановления по сравнению с Windows 98. В их число входят и те, которые применялись в Windows 98, и принципиально новые:
обновленное меню режимов загрузки;
программа Восстановление системы;
консоль восстановления;
программа Архивация данных с встроенной функцией ASR;
обновленный редактор реестра;
программа проверки и восстановления системных файлов;
утилиты для работы с дисками.
Необходимо отметить, что существует различие в наборе средств восстановления, имеющихся в редакции Windows XP Home Edition и в редакции Windows XP Professional. В частности, в Windows XP Home Edition недоступна программа Архивация данных.
Меню режимов загрузки Windows XP
Для входа в меню режимов необходимо после завершения этапа выбора операционной системы (при наличии нескольких систем) нажать и удерживать клавишу F8.
Для Windows XP предусмотрено десять режимов загрузки (рис. 5.21):
Безопасный режим – аналогичен режиму Safe Mode, используемому в Windows 98; обеспечивает загрузку только основных драйверов и системных файлов, в том числе стандартных драйверов мыши (кроме драйвера мыши для последовательного порта) и клавиатуры, видеоадаптера VGA, а также запуск минимально необходимых системных служб;
Безопасный режим с загрузкой сетевых драйверов – в дополнение к предыдущему режиму выполняется попытка запуска сетевых служб и сетевых соединений;
Безопасный режим с поддержкой командной строки – по сравнению с безопасным режимом не производится загрузка графического интерфейса Windows XP и пользователю предоставляется интерфейс командной строки;
Включить протоколирование загрузки – аналогичен режиму Logged, используемому в Windows 98; протокол загрузки заносится в файл ntbtlog.txt, который хранится в каталоге %windir%; при загрузке компьютера в безопасном режиме, в безопасном режиме с загрузкой сетевых драйверов и в безопасном режиме с поддержкой командной строки в журнал загрузки добавляется список всех загружаемых драйверов и служб;
Включить режим VGA – загрузка с использованием основного драйвера VGA; этот режим полезен, если причиной неправильной загрузки Windows является новый драйвер для видеоадаптера. Основной драйвер видеоадаптера всегда используется при загрузке в любом из безопасных режимов;
Загрузка последней удачной конфигурации – загрузка с использованием копии реестра и драйверов, сохраненных Windows при последнем завершении работы; после выполнения загрузки восстанавливаются только данные в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet; любые изменения в других разделах реестра сохраняются; данный вариант следует использовать только в случае неправильной конфигурации системы (например, вследствие установки нового устройства); он не устраняет неполадки, вызванные повреждением или отсутствием драйверов или файлов;
Восстановление службыкаталогов – этот вариант предназначен для серверных операционных систем и используется только для восстановления каталога SYSVOL и службы каталогов Active Directory на контроллере домена;
Режим отладки – загрузка с отправкой данных об отладке на другой компьютер через прямое кабельное подключение;
Обычная загрузка Windows – аналогичен режиму Normal, используемому в Windows 98;
Перезагрузка – обеспечивает возобновление процесса загрузки начиная с процедуры самотестирования POST.
Рис. 5.21. Меню режимов загрузки Windows XP
ПРИМЕЧАНИЕ
Если для установки Windows используется или использовалась служба удаленной установки, могут быть доступны дополнительные варианты, связанные с восстановлением системы при помощи служб удаленного доступа.
В некоторых ситуациях, например при повреждении системных файлов Windows, необходимых для загрузки системы, безопасный режим помочь не может. В этом случае следует использовать консоль восстановления.
Программа Восстановление системы
По сравнению с Windows 98 это принципиально новый инструмент, работа которого основана на создании так называемых точек восстановления.
Точка восстановления представляет собой «снимок» текущих значений основных параметров системы, в том числе реестра, параметров Рабочего стола и некоторых других. Соответственно процедура восстановления состоит в замене используемых параметров системы на те, которые зафиксированы в точке восстановления.
По умолчанию программа Восстановление системы сама выбирает момент для создания точки восстановления. В частности, новая точка создается перед установкой на компьютер нового программного обеспечения или перед изменением конфигурации устройств (на уровне драйверов).
ВНИМАНИЕ ____________________
Программа Восстановление системыне позволяет отменить изменения, связанные с созданием-удалением разделов и логических дисков.
При этом пользователь в любой момент может дать указание программе создать новую точку восстановления.
Пользовательский интерфейс и установка параметров
Для запуска программы выберите в меню Пуск пункт Справка и поддержка, авот-крывшемся окне щелкните на строке Отмена изменений с помощью Восстановления системы.
Программа реализована в виде своеобразного мастера (рис. 5.22), который позволяет создать новую точку восстановления, выбрать одну из имеющихся, чтобы восстановить систему, а также открыть панель настроек программы.
Рис. 5.22. Стартовое окно программы Восстановление системы
Собственно говоря, настраиваемых параметров совсем немного. А точнее, всего два для каждого имеющегося диска. Вы можете разрешить/запретить наблюдение за диском (то есть включение его параметров в точку восстановления), а также изменить объем дискового пространства, отводимого для хранения точек восстановления.
Чтобы изменить параметры работы программы восстановления для конкретного диска, выполните следующие действия.
1. В панели свойств программы выберите в списке диск и щелкните на кнопке Параметры (рис. 5.23).
2. В дополнительном окне (рис. 5.24) поставьте/снимите флажок Отключить Восстановление системына этом диске, чтобы запретить/разрешить наблюдение за диском; передвиньте регулятор, чтобы изменить объем выделяемого дискового пространства.
Обратите внимание, что для системного диска, с которого производилась загрузка, параметры устанавливаются несколько иначе: нельзя вывести из-под наблюдения лишь системный диск; если возникает такая необходимость, придется снимать наблюдение и для всех других дисков. Для этого поставьте флажок Отключить восстановление системы на всех дисках.
Рис. 5.23.Панель свойств программы Восстановление системы
Рис. 5.24. Установка параметров наблюдения за конкретным диском
Следует иметь в виду, что служба восстановления может быть остановлена (или активизирована) и другим способом.
Если возникают какие-либо проблемы в ее использовании, откройте панель управления компьютера (Пуск Настройка Панель управления) и перейдите в категорию Службы (Администрирование Службы).
Отыщите в списке Службу восстановления системы и убедитесь, что она находится в состоянии Работает (рис. 5.25).
Рис. 5.25.Убедитесь, что Служба восстановления системы работает
Если служба отключена, щелкните правой клавишей мыши в строке списка и выберите в контекстном меню команду Пуск.
Чтобы обеспечить автоматический запуск службы при следующей загрузке компьютера, выполните следующие действия.
1. В контекстном меню службы выберите команду Свойства.
2. В панели свойств выберите в раскрывающемся списке Тип запуска вариант Авто (рис. 5.26).
Рис. 5.26. Панель свойств Службы восстановления системы
Восстановление системы и создание новой точки восстановления
Для восстановления системы достаточно выбрать подходящую точку и затем следовать указаниям программы восстановления.
При выборе точки восстановления будьте внимательны: если в один и тот же день было создано несколько точек, то они будут упорядочены в списке от самой «свежей» к самой «старой» (рис. 5.27).
Вместе с тем, даже если вы ошибетесь и «поставите» не на ту точку, у вас будет возможность отменить внесенные системой изменения и к вернуть ее в предыдущее состояние.
Новая точка восстановления, как уже было сказано, отражает состояние системы на момент создания этой точки. Поэтому если вы решите инициировать процедуру создания новой точки, вам останется лишь ввести описание для нее. Дата и время создания точки будут включены в параметрыточки автоматически.
Рис. 5.27. При выбореточки восстановления будьте внимательны
«Пользовательская» точка восстановления ничем не отличается от созданной автоматически и будет представлена в списке доступных точек «на общих основаниях».
ВНИМАНИЕ
Программа Восстановление системыдля хранения своих данных и точек восстановления использует папку System Volume Information. Это скрытая системная папка, которая создается в каждом разделе жесткого диска, независимо от типа файловой системы, под которую он отформатирован. Указанная папка содержит одну или несколько папок с названиями типа _restore{87BD3667-3246-476B-923F-F86E30B3E7F8}, каждая из которых соответствует определенной точке восстановления. Удаление или повреждение этих папок влияет на возможность последующего восстановления системы.
Программа Настройка системы
Версия программы Настройка системы, используемая в Windows XP наряду с уже знакомой вам функцией редактирования файла boot.ini, позволяет:
управлять режимом запуска ОС;
редактировать системные файлы System.ini и Win.ini;
разрешать или запрещать автозагрузку программ, указанных в папке Автозагрузка главного меню и в соответствующих разделах системного реестра;
производить настройку параметров среды и используемого языка.
ВНИМАНИЕ
Программа Настройка системыможет повлиять на работу программыВосстановле-ние системы. Поэтому прежде чем приступить к работе с ней, ознакомьтесь с приведенными ниже ограничениями.
При установке режимов загрузки ОС с помощью элементов управления, размещенных на вкладке Общие, следует учитывать следующее:
включение режима Диагностический запуск – загрузка только основных драйверов и запуск основных служб приводит к временному отключению служб Сетевые подключения, Plug and Play, Журнал событий и Отчет об ошибках и к необратимому удалению всех точек восстановления для программы Восстановление системы;
снятие флажка Загружать системные службы приводит к тем же последствиям, включая необратимое удаление всех точек восстановления.
Поэтому прежде чем воспользоваться функциями программы Настройка системы, проверьте возможность устранения проблем с помощью программы Восстановление системы – тем более что кнопка ее запуска имеется непосредственно на вкладке Общие (рис. 5.28).
Рис. 5.28. При выбореточки восстановления будьте внимательны
Еще одно полезное средство, доступное на вкладке Общие, – это функция замены поврежденных системных файлов. Она запускается с помощью кнопки Извлечь файл… и позволяет автоматически извлекать необходимый файл из CAB-архива и заменять им поврежденный или устаревший системный файл с тем же именем.
Чтобы произвести такую замену, выполните следующее.
1. Щелкните на кнопке Извлечь файл…
2. В открывшемся окне (рис. 5.29) с помощью соответствующей кнопки Обзор задайте:
в поле Файл – имя заменяемого файла (это может быть файл любого типа); когда вы выберете заменяемый файл, путь к нему автоматически будет вставлен в поле Сохранить в;
в поле Восстановить из – имя файла CAB-архива, в котором упакован заменяемый файл, и путь к нему.
3. В поле Сохранить в удалите (обязательно!) завершающую обратную косую черту (\), которая была добавлена как часть пути к заменяемому файлу.
4. Щелкните на кнопке Извлечь.
Рис. 5.29. Замена системного файла архивной копией
Процедура извлечения и замены будет выполнена автоматически, без дополнительных запросов и подтверждений.
Консоль восстановления
Консоль восстановления обеспечивает работу в режиме командной строки и может рассматриваться как наиболее мощное и почти универсальное средство восстановления для Windows XP.
Применение Консоли восстановления целесообразно в тех случаях, когда ни один из безопасных режимов и другие особые варианты загрузки не помогают устранить неполадку.
С помощью команд Консоли восстановления можно запускать и останавливать системные службы, форматировать диски, считывать и записывать данные на локальный диск (включая диски, использующие файловую систему NTFS), а также выполнять многие другие задачи администрирования. Консоль восстановления обычно используется, когда требуется восстановить систему, копируя файлы с гибкого диска или компакт-диска на локальный жесткий диск, или если требуется изменить параметры службы, мешающей правильной загрузке компьютера, а также для восстановления загрузочного сектора системного диска.
Для работы с Консолью восстановления требуется иметь права администратора. Консоль восстановления можно запустить тремя способами:
с установочного компакт-диска Windows XP;
в качестве одного из вариантов загрузки, выбрав соответствующий пункт в меню загрузки; для этого Консоль восстановления должна быть предварительно установлена на компьютере;
с помощью комплекта установочных гибких дисков Windows XP.
Установка и запуск Консоли восстановления с компакт-диска
Чтобы запустить Консоль восстановления с установочного компакт-диска, выполните следующие действия.
1. Измените в BIOS Setup параметр Boot Sequence таким образом, чтобы CD-привод компьютера опрашивался первым.
2. Вставьте установочный компакт-диск в CD-привод и перезагрузите компьютер.
3. Когда программа установки перейдет к текстовому этапу установки и предложит выбрать один из трех вариантов продолжения работы (рис. 5.30), нажмите клавишу R для инициализации Консоли восстановления.
4. Выберите ОС, доступ к которой необходимо получить из Консоли восстановления; для этого в строке с приглашением введите номер этой ОС, под которым ее идентифицировала Консоль восстановления; если обнаружена единственная ОС, она будет иметь номер 1 (рис. 5.31).
5. По запросу введите пароль администратора (если пароль отсутствует, просто нажмите Enter).
Рис. 5.30.Нажмите клавишу R для инициализации Консоли восстановления
Рис. 5.31. Выбор ОС, подключаемой к Консоли восстановления
С этого момента вы можете вводить в строке с приглашением любые необходимые команды, доступные в Консоли восстановления.
Чтобы запустить Консоль восстановления в виде варианта загрузки, требуется предварительно ее установить. Для этого выполните следующие действия.
1. Во время работы Windows XP вставьте установочный компакт-диск в CD-привод.
2. В меню Пуск выберите команду Выполнить.
3. Введите строку D: \i386\winnt32.exe /cmdcons (здесь D: – это буква CD-привода).
4. В появившемся окне сообщения (рис. 5.32) подтвердите необходимость установки.
5. После активизации программы Windows Setup продолжите установку с ее помощью.
Рис. 5.32. Требуется подтвердить необходимость установки Консоли восстановления
Чтобы запустить Консоль восстановления, необходимо перезагрузить компьютер и в списке доступных операционных систем выбрать Консоль восстановления (рис. 5.33).
Рис. 5.33. Запуск Консоли восстановления из меню загрузки
Далее потребуется подключить к Консоли восстановления одну из установленных на компьютере ОС, как это было описано выше. Для получения справки о командах, доступных в Консоли восстановления, наберите в командной строке Help. Для получения справки по конкретной команде наберите Help <имя команды>.
ВНИМАНИЕ
В результате установки Консоли восстановления создается скрытая папка cmdcons. Она помещается в корневой каталог того диска, на который при инсталляции Windows XP был записан файл загрузки Boot.ini. Если Windows XP устанавливалась как вторая ОС, например после установки Windows 98, то и файл Boot.ini, и папка cmdcons будут находиться на системном диске Windows 98. Это может привести к некорректной загрузке системыпосле перезапуска компьютера. В таком случае лучше использовать запуск Консоли восстановления сдистрибутивного компакт-диска.
Запуск Консоли восстановления с помощью комплекта установочных дисков
Данный вариант полезен в тех случаях, когда в вашем распоряжении нет установочного компакт-диска Windows XP либо когда не удается запустить систему с поддержкой устройства для чтения CD.
ПРИМЕЧАНИЕ ____________________
Вообще-то основное предназначение комплекта установочных дисков – это инсталляция Windows XP на компьютерах, не поддерживающих загрузку системыс компакт-диска. Однако помимо гибких дисков на определенном этапе инсталляции необходимо также наличие установочного компакт-диска. В связи с этим полезность таких дисков в качестве дистрибутива ОС существенно снижается. Другое дело – запуск Консоли восстановления. Для этого установочный CD не требуется.
Для создания комплекта установочных гибких дисков необходимо загрузить с вебсайта Microsoft (www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=55820EDB-5039-4955-BCB7-4FED408EA73F) дистрибутивный пакет, содержащий образы 6 гибких дисков и две утилиты для переноса образов на реальные гибкие диски.
Дистрибутив представляет собой самораспаковывающийся архив (файл. exe), в имени которого отражена версия ОС, которая устанавливается с его помощью. Например, дистрибутив локализованной версии Windows XP с интегрированным пакетом обновления SP1 называется winxpsp1_ru_pro_bf.exe. Размер файла дистрибутива – около 4,3 Мбайт.
Процедура подготовки гибких дисков несложна, однако на первом шаге ее работы вы можете столкнуться с неожиданной реакцией программы на ваши действия. Имеется в виду следующее. Сразу после распаковки архива будет открыто окно консоли командной строки, и на экране появится предложение указать диск для копирования образа (рис. 5.34).
Рис. 5.34. Первый шаг процедуры создания набора гибких дисков
Так вот, единственный правильный вариант – это латинская буква а. При попытке указать любую другую букву диска программа без всякого предупреждения завершает работу и закрывает окно консоли командной строки. Если же буква диска указана верно, вам останется лишь своевременно менять диски в дисководе.
Когда комплект будет подготовлен, для запуска Консоли восстановления потребуется начать установку ОС, перезагрузив компьютер с помощью первого гибкого диска и затем последовательно вставляя гибкие диски вплоть до шестого, последнего.
ПРИМЕЧАНИЕ
Установочные диски обеспечивают лишь копирование файлов, необходимых для последующей инсталляции Windows XP. Поэтому их использование не угрожает сохранности установленной системы.
Считывание данных с шестого диска завершается появлением на экране знакомого вам меню, с помощью которого и выполняется запуск Консоли восстановления (рис. 5.35).
Рис. 5.35. Запуск Консоли восстановления
Дальнейшие действия – выбор восстанавливаемой ОС и подключение ее к Консоли восстановления – выполняются таким же образом, как было описано в предыдущем подразделе.
Программа проверки и восстановления системных файлов
В версиях Windows, предшествующих Windows 2000, установка дополнительного программного обеспечения могла привести к перезаписи общих файлов операционной системы, таких как библиотеки динамической компоновки (файлы. dll) и исполняемые файлы (файлы. exe). Это вызывало непредсказуемые изменения системной производительности, нестабильную работу программ и сбои операционной системы. Операция восстановления системных файлов была предусмотрена, но основная ответственность за ее проведение возлагалась на пользователя (об этом было рассказано в разделе «Средства восстановления Windows 98», подраздел «Проверка системных файлов»).
В системах Windows 2000 и Windows XP имеется средство защиты файлов Windows, которое предотвращает замещение защищенных системных файлов, – это программа sfc.
Программа sfc по умолчанию запускается автоматически после перезапуска компьютера, сканирует все защищенные системные файлы (файлы. sys,dll,ocx,ttf,fon и. exe, установленные при инсталляции Windows) и проверяет их версии.
После завершения сканирования программа sfc продолжает работать в фоновом режиме и выявляет попытки других программ заменить или переместить какой-либо защищенный системный файл. При этом программа sfc проверяет цифровую подпись файла, чтобы определить, является ли новый файл допустимой версией для систем Microsoft. Если версия файла является неправильной, средство защиты файлов Windows замещает файл либо из архива, хранящегося в папке %SystemRoot%\system32\dllcache, либо с установочного компакт-диска Windows. Если соответствующий файл найти не удается, предлагается указать его местоположение. Одновременно в журнал событий заносится запись с заме– чанием о попытке замены файла.
С помощью консоли командной строки вы можете запустить программу sfc в любой момент, если в процессе работы возникают ошибки, связанные с использованием системных файлов.
Для запуска программы sfc достаточно открыть окно консоли и в командной строке ввести инструкцию sfc /<параметр>, где <параметр> – один из разрешенных параметров программы.
К ним относятся:
• /scannow – незамедлительно сканирует все защищенные системные файлы;
• /scanonce – однократное сканирование всех защищенных системных файлов при следующем перезапуске компьютера;
• /scanboot – разрешает сканирование всех защищенных системных файлов при каждом перезапуске компьютера; данный параметр установлен по умолчанию; n /enable – включение защиты системных файлов;
• /revert – восстанавливает стандартные параметры работы сканера при следующем перезапуске компьютера;
• /purgecache – очищает кэш файлов программызащиты файлов Windows и немедленно сканирует все защищенные системные файлы.
• /cachesize=x – назначает размер (в мегабайтах) кэша файлов для защиты файлов Windows.
• /? – вывод справки по программе sfc.
Чтобы произвести оперативное сканирование и восстановление системных файлов, выполните следующие действия.
1. Откройте окно консоли командной строки и введите инструкцию sfc /scannow.
2. После того как программа sfc начнет сканирование, вставьте по ее запросу установочный компакт-диск (рис. 5.36).
Рис. 5.36.Отображение процесса сканирования и восстановления системных файлов
После успешного завершения работы программа sfc «молча» закрывает все свои графические окна, оставаясь при этом доступной для повторного запуска из консоли командной строки.
Программа Архивация данных и функция ASR
О том, как использовать программу для резервного копирования и восстановления данных пользователя, было рассказано в главе 4 (см. раздел «Программа Архивация данных (Windows XP Professional)»). Сейчас все внимание будет уделено двум функциям программы, связанным с восстановлением работоспособности системы: функции резервного копирования и восстановления данных состояния системы и функции автоматического восстановления системы (Automated System Recovery, ASR).
Резервное копирование данных состояния системы
Эта операция проста в использовании, но в некоторых случаях оказывается весьма полезной в восстановлении работоспособности системы.
Суть операции заключается в резервном копировании следующих системных компонентов:
системного реестра;
базы данных регистрации классов COM+;
загрузочных файлов (boot.ini, ntldr, -------
| Библиотека iknigi.net
|-------
|
-------
);
базы данных служб сертификации;
службы каталогов Active Directory;
каталога SYSVOL, в котором хранится серверная копия общих файлов домена;
сведений о службе кластеров;
метакаталога IIS;
защищенных системных файлов Windows.
При архивации эти компоненты называются данными состояния системы. Конкретный перечень компонентов, образующих данные состояния системы, зависит от операционной системы и конфигурации компьютера. Например, для Windows XP Professional данные состояния системы включают только реестр, базу данных регистрации классов COM+, защищенные файлы Windows и загрузочные файлы. Для Windows 2000 Server в зависимости от конфигурации сервера в этот перечень могут быть включены и другие данные. Например, если сервер используется в качестве сервера сертификации, данные состояния системы включают в себя также базу данных служб сертификации. Если же сервер является контроллером домена, данные состояния системы включают Active Directory и каталог SYSVOL.
Архивация или восстановление данных состояния системы выполняется сразу для всех данных состояния системы локального компьютера. Нельзя выполнить архивацию или восстановление отдельных компонентов данных, поскольку компоненты состояния системы взаимосвязаны. Однако можно восстановить данные состояния системы в альтернативное размещение. В этом случае будут восстановлены лишь файлы реестра, файлы каталога SYSVOL, файлы сведений о базе данных кластера и системные загрузочные файлы.
Итак, для резервного копирования данных состояния системы выполните следующие действия.
1. Запустите программу Архивация данных в расширенном режиме и перейдите на вкладку Архивация.
2. В дереве папок установите флажок возле пункта System State (Состояние системы); в правой части окна будут представлены компоненты, относящиеся на вашем компьютере к данным состояния системы (рис. 5.37).
3. В поле Носитель архива или имя файла укажите размещение файла резервной копии.
4. Щелкните на кнопке Архивировать.
5. Скорректируйте в дополнительном окне, если требуется, параметры копирования и щелкните на кнопке Архивировать.
Рис. 5.37. Резервное копирование данных состояния системы
Чтобы восстановить данные состояния системы, выполните следующие действия.
1. Запустите программу Архивация данных в расширенном режиме и перейдите на вкладку Восстановление и управление носителем.
2. В левой части окна в списке восстанавливаемых объектов поставьте флажок для объекта System State (Состояние системы) (рис. 5.38).
3. В раскрывающемся списке Восстановить файлыв выберите вариант размещения (либо исходное размещение, либо альтернативное); для альтернативного размещения укажите в расположенном ниже поле путь к целевой папке.
4. Щелкните на кнопке Восстановить.
Рис. 5.38. Восстановление данных состояния системы
Если при восстановлении не задано альтернативное размещение, используемые данные состояния системы компьютера будут удалены и заменены резервными. Кроме того, при восстановлении данных состояния системы в альтернативное размещение в указанную папку будут восстановлены лишь файлы реестра, файлы каталога SYSVOL, файлы сведений о базе данных кластера и системные загрузочные файлы. База данных службы каталогов Active Directory, база данных служб сертификации и база данных регистрации классов служб компонентов при указании альтернативного размещения восстановлены не будут.
Подготовка к автоматическому восстановлению системы
Для обеспечения возможности аварийного восстановления с помощью ASR необходимо выполнить следующие действия.
1. Подготовьте носитель для резервной копии. В качестве такого носителя можно использовать либо жесткий диск, либо стример. Кроме того, понадобится пустой отформатированный диск.
2. На вкладке Добро пожаловать окна программы архивации щелкните на кнопке Мастер аварийного восстановления системы.
3. Во втором окне мастера укажите тип носителя для резервной копии, а также адрес устройства, на котором она будет создана (рис. 5.39). Обратите внимание, что если компьютер не оснащен стримером, то в поле Тип носителя по умолчанию будет установлено значение Файл. Введите маршрут размещения резервной копии или имя файла. Данный шаг является достаточно важным с точки зрения экономии времени на выполнение операции в целом. Дело в том, что сложно предсказать заранее размер файла архива, а программа архивации также не соотносит его ожидаемый размер с объемом свободного пространства на выбранном носителе. В результате может случиться, что после часа резервирования свободное место на носителе будет исчерпано, и операцию придется начинать заново.
4. В последнем окне мастера подготовки ASR щелкните на кнопке Готово для запуска процесса резервного копирования.
Рис. 5.39. Окно выбора размещения архива
5. Программа архивации выполнит сканирование системы и создаст список файлов, которые будут включены в архив с помощью ASR. Далее вам будет предложено установить носитель для резервной копии.
6. Затем на экране появится окно Ход архивации.
7. После того как мастер оценит объем работ и в окне Ход архивации появятся результаты оценки, обратите внимание на сведения в поле Ожидалось: Байт. Это поле находится в нижнем правом углу окна (рис. 5.40). Соотнесите представленное там число с размером свободной области на выбранном носителе, и если место меньше требуемого, остановите процедуру архивации и измените носитель.
Рис. 5.40.Окно Ход архивации
8. Когда операция резервного копирования будет выполнена, мастер ASR предложит вставить в дисковод пустой гибкий диск, на который будут записаны три файла:
asr.sif (Automated System Recovery State Information File – файл информации о состоянии для автоматического восстановления системы), в котором хранятся сведения о конфигурации жесткого диска: сигнатуры диска, таблица разделов (partition table), данные тома (volume data) и некоторые другие сведения;
asrpnp.sif (ASR Plug-and-Play State Information File – файл информации о состоянии устройств для автоматического восстановления системы), в котором хранятся сведения о конфигурации аппаратного обеспечения системы;
setup.log – файл, в котором хранятся сведения о системных файлах, включенных в архив.
ПРИМЕЧАНИЕ
Иногда созданный таким образом диск называют конфигурационным. Пользовательские данные на гибкий диск записаны не будут.
9. Когда мастер резервного копирования завершит создание конфигурационного гибкого диска, он выдаст сообщение, рекомендующее пометить гибкий диск как аварийный ASR-диск и поместить его в безопасное место. Щелкните на кнопке OK, чтобы закрыть окно данного сообщения. Если вы хотите посмотреть отчет о результатах резервного копирования, щелкните на кнопке Отчет в окне Ход архивации.
СОВЕТ ____________________
Не забывайте обновлять конфигурационный диск в случае изменения параметров системы.
Восстановление системы с помощью функции ASR
Процесс восстановления поврежденной системы с помощью функции ASR основан на использовании программы Windows XP Setup. Поэтому кроме резервного носителя и конфигурационного гибкого диска вам также потребуется дистрибутивный диск с Windows XP.
Процесс восстановления на основе ASR во многом напоминает процесс переустановки операционной системы: ASR выполнит восстановление конфигурации системного диска на основе данных, которые были сохранены на конфигурационном гибком диске, повторно отформатирует раздел %Systemdrive% (в котором установлена копия Windows XP, подлежащая восстановлению) и затем переустановит Windows XP в этот раздел. После этого будет выполнен перенос резервных копий системных файлов с резервного носителя.
ВНИМАНИЕ
Помните, что ASR не выполняет резервное копирование приложений и пользовательских данных. Поскольку ASR производит форматирование раздела %Systemdrive%, личные данные или файлы приложений, которые имелись на диске, будут потеряны.
Чтобы восстановить систему с помощью процедуры аварийного восстановления, выполните следующие действия.
1. Измените в BIOS Setup параметр Boot Sequence таким образом, чтобы CD-привод компьютера опрашивался первым.
2. Установите дистрибутивный диск Windows XP в CD-привод и перезагрузите компьютер.
3. После запуска программы Windows XP Setup, когда появится сообщение Нажмите F2 для запуска автоматического восстановления (ASR), нажмите клавишу F2, чтобы начать процесс восстановления с помощью ASR.
4. При получении соответствующего приглашения вставьте в дисковод конфигурационный диск.
5. На следующем шаге программа Windows XP Setup выдаст сообщение Подготовка к ASR, нажмите Esc для отмены.
ВНИМАНИЕ
Это последний шаг, когда выеще можете отменить работу ASR, нажав клавишу Esc. Если вырешите продолжить, то на следующем этапе раздел %Systemdrive% будет отформатирован.
После того как функция ASR отформатирует раздел %Systemdrive%, будет произведена проверка других разделов с целью выявления необходимости их восстановления.
Восстановление системного реестра
Трудно переоценить роль системного реестра в обеспечении корректной работы системы. Более того, повреждение реестра может привести к тому, что система вообще перестанет загружаться.
Согласно словарю Microsoft Computer Dictionary, системный реестр (Registry) – это иерархическая база данных, содержащая сведения о конфигурации операционной системы, необходимые для работы с пользователями, программными продуктами и устройствами.
К таким сведениям относятся профили всех пользователей, сведения об установленных программах и о типах файлов, которые ассоциированы с каждой программой, информация о свойствах папок и значках приложений, а также сведения об установленном оборудовании и используемых портах.
Системный реестр заменяет большинство текстовых INI-файлов, которые использовались в Windows 3.x, а такжсе файлы конфигурации MS-DOS (например, Autoexec.bat и Config.sys). Версии реестра для разных версий операционных систем семейства Windows имеют определенные различия.
Например, в Windows 98 содержимое реестра хранится в двух файлах: SYSTEM.DAT и USER.DAT, расположенных в корневой папке Windows, в то время как в Windows ME уже в трех – Classes.dat, User.dat и System.dat, а в Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003 данные реестра хранятся в полутора десятках файлов (в каких именно – будет сказано ниже).
Описание реестра Windows
Независимо от того, в каких файлах хранятся данные реестра, его логическая структура одинакова для всех перечисленных выше ОС Windows. Реестр состоит из пяти разделов:
HKEYJUSERS – раздел содержит все активные загруженные профили пользователей компьютера. Вместо полного имени раздела иногда используется аббревиатура HKU;
HKEYJCURRENTJUSER – корневой раздел конфигурации пользователя, работающего в данный момент. Здесь хранятся установки для папок этого пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура HKCU; раздел HKEYJCURRENTJUSER является подразделом раздела HKEYJUSERS;
HKEYjLOCALjMACHINE – содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Вместо полного имени раздела иногда используется аббревиатура HKLM;
HKEYCLASSESROOT – подраздел HKEYLOCALjMACHINE\Software. Хранящиеся здесь сведения отвечают за запуск необходимой программы при открытии файла с помощью проводника. Вместо полного имени раздела иногда используется аббревиатура HKCR;
HKEY_CURRENT_CONFIG – раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.
ПРИМЕЧАНИЕ
Иногда перечисленные выше разделы верхнего уровня называют ветвями реестра. В таком случае разделами именуются подразделы первого уровня вложенности.
При просмотре реестра с помощью специализированных программ (либо штатных, типа REGEDIT, либо созданных сторонними разработчиками) его разделы отображаются как папки верхнего уровня, а подразделы – как вложенные папки. Число уровней вложенности зависит от типа раздела и его подразделов. На нижнем уровне иерархии расположены параметры реестра, которые можно рассматривать как некие переменные. Каждый параметр реестра относится к одному из предопределенных типов. Тип параметра зависит от того, какое значение в нем записано. Например, двоичный параметр (тип REG_BINARY) содержит двоичные данные. В виде двоичных данных хранится большинство сведений об аппаратных компонентах компьютера (правда, значение двоичного параметра выводится на экран редактором реестра в шестнадцатеричном формате).
Другой распространенный тип параметра, который поддерживается всеми ОС, – это так называемое двойное слово, или DWORD (тип REG_DWORD). Этот тип позволяет хранить значение, длина которого составляет 4 байта (32-разрядное целое). Такие значения имеют многие параметры драйверов устройств и служб. Значение DWORD отображается в окне редактора реестра в двоичном, шестнадцате-ричном или десятичном формате. Еще один, самый «понятный» параметр – строковый (тип REG_SZ). Он представляет собой текстовую строку фиксированной длины и используется, в частности, для хранения путей к различным файлам.
Средства восстановления реестра Windows 98
В силу важности реестра в Windows 98 имеется целый набор средств для поддержания его в исправном состоянии.
Программа SCANREG
SCANREG – это программа проверки и резервного копирования реестра. В Windows 98 имеются две версии этой программы:
SCANREG – версия для DOS;
SCANREGW – версия для Windows.
При каждом «нормальном» запуске Windows программа SCANREGW проверяет реестр на предмет корректности структуры и наличия несогласованных данных. Если ошибок нет (точнее, не найдено), программа создает резервную копию реестра.
В противном случае Windows перезапускается в реальном режиме, и SCANREGW вносит исправления в реестр. Если же ошибка слишком серьезна, SCANREGW восстанавливает реестр на основе последней «правильной» резервной копии.
Умение программы SCANREGW резервировать и восстанавливать реестр можно использовать для создания внеочередной его копии. Например, перед установкой нового оборудования или программного обеспечения.
Программу SCANREGW можно запустить двумя способами.
1. Откройте папку Windows и щелкните мышью (один или два раза, в зависимости от настроек интерфейса) на значке файла SCANREGW.EXE.
2. Выполните следующие действия.
1) В меню Пуск выберите команду Программы Стандартные Служебные Проверка системы.
2) В окне программы Проверка системы выберите в меню Сервис команду Проверка реестра.
После завершения проверки программа SCANREGW предложит создать новую резервную копию реестра (рис. 5.41).
Рис. 5.41. Программа SCANREGW предназначена для восстановления реестра
При создании резервной копии реестра программа SCANREGW создает копии файлов SYSTEM.DAT, USER.DAT, WIN.INI, SYSTEM.INI и упаковывает их в архивный файл с именем типа RB000.CAB, RB001.CAB. Одновременно в папке WINDOWS\ SYSBCKUP может храниться несколько таких архивов.
ПРИМЕЧАНИЕ
При желании выможете перенести архив на какой-либо внешний носитель, однако в этом случае программа SCANREGW не сможет его найти. Как решить эту проблему, будет сказано далее.
При выполнении программы SCANREG в режиме командной строки она выдает в качестве результата код ошибки. Возможные значения кода ошибки приведены в табл. 5.2.
Редактор реестра RegEdit
Следует иметь в виду, что во многих случаях некорректные значения системных параметров могут быть исправлены посредством ввода нужных значений в панелях свойств тех или иных объектов системы. Например, если оказалась нарушена связь между определенным типом файлов и ассоциированным приложением, совсем не обязательно править реестр вручную. Достаточно в свойствах любой папки перейти на вкладку Типыфайлов (File Types), щелкнуть на кнопке Правка (Edit) и отредактировать связи в дополнительном окне (рис. 5.42).
Работа с панелями свойств позволяет существенно снизить опасность повреждения реестра, поскольку для них предусмотрен контроль вводимых пользователем значений параметров.
Тем не менее иногда требуется подправить записи реестра вручную. В настоящее время существует достаточно большое число специальных утилит для редактирования реестра. Некоторые из них превосходят по своим возможностям «штатный» редактор реестра, RegEdit. Однако с созданием резервной копии всего реестра или его отдельных ключей RegEdit справляется весьма успешно.
Чтобы запустить программу RegEdit, откройте папку Windows и щелкните мышью (один или два раза, в зависимости от настроек интерфейса) на значке файла REGEDIT.EXE. В левой части окна программы представлено дерево ветвей и ключей реестра, в правой – значение выбранного ключа (рис. 5.43).
Для резервирования и восстановления реестра служат соответственно команды Экспорт и Импорт, входящие в меню Файл.
Рис. 5.42. Панели свойств – наиболее безопасное средство правки реестра
Рис. 5.43.Окно программы RegEdit
Команда Экспорт позволяет резервировать как весь реестр, так и отдельные его элементы. В результате выполнения команды создается файл с расширением. reg. Содержимое этого файла может быть впоследствии включено в реестр с помощью команды Импорт.
ПРИМЕЧАНИЕ ____________________
Reg-файл – это текстовый файл, содержимое которое можно просмотреть и отредактировать в любом текстовом редакторе.
Для создания резервной копии реестра выполните следующие действия.
1. В левой панели окна программы RegEdit выберите ветвь или конкретный ключ, для которого требуется создать резервную копию.
2. Выберите Файл Экспорт.
3. В дополнительном диалоговом окне (рис. 5.44) укажите имя файла с копией реестра и его размещение; в качестве носителя можно указать компакт-диск, отформатированный для пакетной записи.
Рис. 5.44. Диалоговое окно команды Экспорт
Восстановление данных в реестре на основе файла. reg можно выполнить двумя способами:
с помощью команды Импорт;
без явного запуска программы RegEdit.
Если вы выберете Файл Импорт, то на экране появится стандартная панель Windows для открытия файла. Отыскав нужный файл, щелкните на кнопке Открыть.
ВНИМАНИЕ
Сразу после выбора reg-файла RegEdit произведет его импорт без дополнительных запросов к пользователю.
Чтобы импортировать reg-файл без явного запуска RegEdit, достаточно дважды щелкнуть мышью на значке этого файла в окне проводника Windows. При этом на экране появится окно с просьбой подтвердить необходимость импорта (рис. 5.45).
Рис. 5.45. Диалоговое окно позволяет отменить выполнение команды Импорт
Обновление реестра без явного запуска программы RegEdit в определенном смысле реализовано более «безопасно».
ВНИМАНИЕ
При выполнении операции импорта необходимо учитывать следующую особенность. Если в reg-файле хранится значение параметра, отличное от «рабочего», то последнее будет заменено вариантом из reg-файла. Если же в reg-файле значение какого-либо параметра реестра не задано, а в «рабочей» версии реестра значение для этого параметра введено, то после импорта reg-файла «рабочее» значение параметра останется без изменения. Другими словами, с помощью импорта может быть восстановлено только измененное значение параметра, но нельзя отменить ввод нового параметра.
Средства восстановления реестра Windows 2000/XP/Server 2003
Основным методом восстановления реестра и в этих ОС является применение предварительно созданных резервных копий (либо всего реестра, либо избранных разделов). Тем не менее при работе с Windows 2000/XP/Server 2003 процедура резервного копирования и восстановления реестра имеет некоторые особенности. Для них предусмотрен несколько иной арсенал штатных средств. Так, в современных версиях ОС отсутствует программа SCANREG, но зато программа Архивация наделена функцией резервного копирования реестра (в составе набора данных состояния системы). Да и сам реестр претерпел изменения с точки зрения распределения данных по системным файлам.
Организация хранения данных реестра
В Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003 каждой ветви реестра сопоставлен набор вспомогательных файлов, содержащих резервные копии разделов, подразделов и параметров реестра.
Вспомогательные файлы всех ветвей реестра, кроме HKEY_CURRENT_USER, находятся в папке %SystemRoot%\System32\Config. Вспомогательные файлы ветви HKEY_CURRENT_USER хранятся в папке %SystemRoot%\Documents and Settings\
Username. Расширения и имена этих файлов (или их отсутствие) по замыслу программистов из Microsoft должны указывать на тип содержащихся в них данных. Правда, такое соответствие для простых смертных не всегда очевидно, и потому необходимые пояснения приведены в табл. 5.3.
ПРИМЕЧАНИЕ
Файл System.alt, относящийся к ветви HKEY_CURRENT_CONFIG, в Windows XP и Windows Server 2003 не используется.
Программа RegEdit
В операционных системах Windows 2000/XP/Server 2003 программа RegEdit имеет то же предназначение и примерно те же функции, что и рассмотренная выше версия этой программы для Windows 98. В частности, ее можно использовать для резервного копирования отдельных разделов реестра либо всего реестра и для восстановления этих данных. Для создания резервной копии (файла. reg) служит операция экспорта, для восстановления данных из резервной копии – операция импорта.
Вместе с тем в указанных операционных системах реализация программы RegEdit имеет некоторые особенности. Дело в том, что в составе этих ОС имеется по два файла с похожими именами: Regedit.exe и Regedit32.exe.
В Windows 2000:
программа RegEdit предназначена в первую очередь для выполнения функций поиска; она может быть использована для внесения изменений в реестр, однако не поддерживает просмотр и редактирование некоторых типов данных, а также выполнение следующих функций:
импорт и экспорт файлов реестра (.reg);
сохранение и восстановление разделов в виде файлов ветви;
настройка параметров безопасности для разделов реестра;
просмотр, редактирование и поиск параметров типа REG_EXPAND_SZ и REG_ MULTI_SZ;
программа Regedit32 – это полноценный редактор реестра для Windows 2000, однако функция поиска работает в ней недостаточно эффективно.
В Windows XP и Windows Server 2003:
программа Regedit – это полноценный редактор реестра, который позволяет находить, просматривать и изменять все его разделы и параметры, а также поддерживает настройку параметров безопасности для разделов реестра, сохранение и восстановление файлов ветви, операции экспорта и импорта;
Regedit32.exe – это небольшая программа, запускающая Regedit.exe.
Файл Regedit.exe находится в корневой системной папке – %SystemRoot%, а файл Regedt32.exe – в папке %SystemRoot%\system32. Ярлык для запуска редактора реестра, добавляемый в меню Пуск Стандартные Служебные, ссылается непосредственно на файл Regedit.exe.
Восстановление реестра из Консоли восстановления
Процедура, описанная в данном подразделе, может быть использована в тех случаях, когда при запуске или перезагрузке компьютера под управлением Windows XP выдается одно из следующих сообщений об ошибке:
Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\SYSTEM;
Не удается запустить Windows XP из-за испорченного или отсутствующего файла \WINDOWS\SYSTEM32\CONFIG\SOFTWARE;
Stop: С0000218 {Сбой в файле реестра} В реестр не удается загрузить семейство разделов (файл) \SystemRoot\System32\Config\SOFTWARE либо его журнал или запасную копию;
Системная ошибка: Lsass.exe.
Приведенная ниже процедура не гарантирует полного восстановления работоспособности системы, однако дает возможность произвести ее загрузку и восстановить данные. Следует также иметь в виду, что любые изменения и настройки, сделанные после создания последней доступной точки восстановления операционной системы, будут утеряны.
ВНИМАНИЕ ____________________
Описанную в данном подразделе процедуру не рекомендуется использовать на компьютерах с предустановленной ОС. В таких системах создаются учетные записи и пароли, отличающиеся от заданных по умолчанию. Если воспользоваться описанной процедурой, могут появиться проблемысо входом в Консоль восстановления для восстановления исходных ветвей реестра.
2. Открытие доступа из Консоли восстановления к копиям файлов реестра, сохраненным в последней (наиболее свежей) точке восстановления системы (средствами проводника Windows).
3. Замена более старой копии системного реестра файлами из последней точки восстановления (с помощью Консоли восстановления).
Ниже каждый из этих шагов описан подробнее.
Первый шаг
Следует пояснить, что в папке %SystemRoot%\repair хранится резервная копия реестра, которая создается программой инсталляции ОС после успешного завершения установки системы. Понятно, что при загрузке системы с таким «старым» реестром вы потеряете любые изменения и настройки, сделанные после инсталляции ОС. Закономерен вопрос: зачем же нужно такое «восстановление»? Почему бы не восстановить реестр на основе данных из последней точки восстановления?
Проблема заключается в том, что такая замена должна выполняться из Консоли восстановления. Но Консоль восстановления может работать лишь с файлами, хранящимися в папке %SystemRoot%\ и в корневых каталогах жестких дисков, в то время как данные точек восстановления хранятся в системных папках System Volume Information, имеющихся на каждом разделе (логическом диске).
Поэтому первый шаг описываемой процедуры направлен на то, чтобы обеспечить загрузку системы «хоть как-нибудь» и затем с ее помощью сделать доступными для Консоли восстановления файлы реестра, сохраненные в папке System Volume Information.
Чтобы обеспечить загрузку системы «хоть как-нибудь», со «старым» реестром, необходимо заменить файлы поврежденного реестра (те, которые и препятствуют загрузке системы) файлами из папки %SystemRoot%\repair.
Для этого требуется запустить Консоль восстановленияисеепомощью выполнить три действия.
1. Создать временную папку (например, tmp) и скопировать в нее (на всякий случай) файлы испорченного реестра; для этого в командной строке необходимо последовательно ввести следующие команды:
mcdir tmp
copy c: \windows\system32\config\system c: \windows\tmp\system.bak
copy c: \windows\system32\config\software c: \windows\tmp\software.bak
copy c: \windows\system32\config\sam c: \windows\tmp\sam.bak
copy c: \windows\system32\config\security c: \windows\tmp\security.bak
copy c: \windows\system32\config\default c: \windows\tmp\default.bak
2. Удалить файлы используемого реестра в исходном каталоге (system32\config); необходимая для этого последовательность команд:
delete c: \windows\system32\config\system
delete c: \windows\system32\config\software
delete c: \windows\system32\config\sam delete c: \windows\system32\config\security
delete c: \windows\system32\config\default
3. Поместить в папку system32\config копии файлов реестра, взятые из папки %SystemRoot%\repair; последовательность команд:
copy c: \windows\repair\system c: \windows\system32\config\system
copy c: \windows\repair\software c: \windows\system32\config\software
copy c: \windows\repair\sam c: \windows\system32\config\sam
copy c: \windows\repair\security c: \windows\system32\config\security
copy c: \windows\repair\default c: \windows\system32\config\default
Чтобы выйти из Консоли восстановления и перезагрузить компьютер, введите команду exit.
Второй шаг
На этом шаге, как вы уже знаете, требуется сделать доступными для Консоли восстановления резервные файлы реестра, сохраненные в последней, самой свежей точке восстановления.
Для этого необходимо скопировать соответствующие файлы из папки System Volume Information системного раздела в какую-либо папку внутри папки %System-Root%. Например, в созданную на первом шаге папку %SystemRoot%\tmp.
Данная операция может быть выполнена с помощью проводника Windows обычным образом (например, с помощью команд Копировать и Вставить)ине должна вызвать затруднений. Если, конечно, у вас имеется доступ к папке System Volume Information. Однако в большинстве случаев доступ к этой папке по умолчанию запрещен всем пользователям, даже имеющим права администратора.
Чтобы открыть доступ к папке System Volume Information, выполните следующие действия.
1. В окне проводника Windows выберите команду Сервис Свойства папки, на вкладке Вид снимите флажок Использовать простой общий доступ к файлам (рис. 5.46) и щелкните на кнопке OK.
2. Откройте панель свойств папки System Volume Information и на вкладке Безопасность щелкните на кнопке Добавить.
3. В дополнительном окне введите имя учетной записи пользователя, под которой была произведена загрузка системы, и щелкните на кнопке OK.
4. На вкладке Безопасность выберите в списке добавленного пользователя и поставьте в столбце Разрешить флажок Полный доступ (рис. 5.47); щелкните на кнопке OK.
Теперь, открыв папку System Volume Information, вы увидите в ней одну или несколько вложенных папок с данными контрольных точек (имена папок начинаются с символа подчеркивания). Откройте наиболее «свежую» из них. Эта папка, в свою очередь, также должна содержать подпапки – с именами типа RP0, RP1 и т. п. Выберите опять-таки наиболее «свежую» из них (не считая папки, созданной во время загрузки системы со «старым» реестром на первом шаге процедуры) и отыщите в ней папку Snapshot.
Рис. 5.46.Разрешение управлением параметрами безопасности папок
Рис. 5.47.Открытие доступа к папке System Volume Information
Откройте эту папку и скопируйте из нее в папку %SystemRoot%\tmp следующие файлы (рис. 5.48):
_REGISTRY_MACHINE_SAM;
_REGISTRY_MACHINE_SECURITY;
_REGISTRY_MACHINE_SOFTWARE;
_REGISTRY_MACHINE_SYSTEM;
_REGISTRY_USER_.DEFAULT.
Рис. 5.48. Файлы реестра, копируемые из точки восстановления
В папке %SystemRoot%\tmp переименуйте эти файлы следующим образом:
_REGISTRY_MACHINE_SAM в файл SAM;
_REGISTRY_MACHINE_SECURITY в файл SECURITY:
_REGISTRY_MACHINE_SOFTWARE в файл SOFTWARE;
_REGISTRY_MACHINE_SYSTEM в файл SYSTEM;
_REGISTRY_USER_.DEFAULT в файл DEFAULT.
На этом второй шаг завершается.
Третий шаг
На третьем этапе необходимо удалить файлы «старого» реестра и скопировать в папку %SystemRoot%\System32\Config файлы, переименованные на шаге 2.
Для этого запустите Консоль восстановления и в командной строке введите следующие команды:
del c: \windows\system32\config\sam
del c: \windows\system32\config\security
del c: \windows\system32\config\software
del c: \windows\system32\config\default
del c: \windows\system32\config\system
copy c: \windows\tmp\software c: \windows\system32\config\software
copy c: \windows\tmp\system c: \windows\system32\config\system
copy c: \windows\tmp\sam c: \windows\system32\config\sam
copy c: \windows\tmp\security c: \windows\system32\config\security
copy c: \windows\tmp\default c: \windows\system32\config\default
После этого введите команду exit, чтобы выйти из Консоли восстановления и перезагрузить компьютер.
Программы для работы с реестром от сторонних разработчиков
Штатные средства редактирования и восстановления реестра, входящие в состав операционных систем семейства Windows, нельзя считать оптимальными инструментами для работы с ним. Основное их достоинство – это весьма высокая надежность и безопасность работы. То есть если вы сами не ошибетесь при изменении какого-либо параметра реестра, то программа RegEdit реестр не испортит.
Вместе с тем функциональность этих средств явно недостаточна. В частности, RegEdit не умеет находить ошибочные или «лишние» записи в реестре и «чинить» реестр. Поэтому вполне закономерно появление большого числа альтернативных инструментов, созданных сторонними разработчиками.
Все их можно разделить на две большие группы:
редакторы реестра с рядом дополнительных функций; в таких программах, как и в RegEdit, основная роль отводится пользователю, но возможностей у последнего несколько больше;
средства для «починки» и настройки реестра; значительная часть операций в них выполняется автоматически, а пользователю остается лишь принять или отклонить предлагаемые решения по устранению выявленных проблем.
Кроме того, существуют комплексные решения, сочетающие в себе как возможности редактора, так и возможности «починки» и настройки реестра. Ниже представлены два инструмента, один из которых предназначен для автоматической проверки реестра и устранения обнаруженных проблем, а второй позволяет решать весь комплекс задач по работе с реестром.
Программа Registry Repair Pro
Данный инструмент создан в компании 3B Software, бесплатную версию (с несколько ограниченными возможностями) можно загрузить с веб-сайта компании (http://www.3bsoftware.com). Ограничение заключается в том, что за один прием нельзя исправить более 15 ошибок из числа обнаруженных. Однако ничто не мешает вам произвести «лечение» реестра за два или три приема, если в этом имеется необходимость.
Registry Repair Pro сканирует реестр Windows в поисках поврежденных и неиспользуемых записей. Исправление этих ошибок повышает скорость загрузки Windows и устраняет некоторые ошибки в работе программ.
Несмотря на высокую степень автоматизации процесса сканирования и очистки реестра, имеется возможность постоянно контролировать происходящее и принимать окончательное решение о внесении изменений в системные файлы. А поскольку программа всегда создает резервные копии реестра, то при желании можно вернуться к его исходному состоянию.
Интерфейс программы предельно прост. В стартовом окне (рис. 5.49) необходимо выбрать один из двух основных режимов работы: сканирование реестра на предмет наличия ошибок (переключатель Scan the Registry for Errors) или восстановление предыдущей версии реестра (переключатель Restory a backup).
Рис. 5.49. Стартовое окно программы Registry Repair Pro
Второй вариант применим только в том случае, если «лечение» реестра уже выполнялось. Следует отметить, что Registry Repair Pro создает резервную копию реестра автоматически, перед каждым сеансом «лечения».
Выбрав режим сканирования реестра и щелкнув на кнопке Next (Далее), вы сможете выбрать те категории ошибок в реестре, которые вас интересуют (рис. 5.50):
Invalid Paths (Неверные пути) – ссылки на файлы и папки, отсутствующие на дисках компьютера;
Invalid Fonts (Неверные шрифты) – ссылки на файлы шрифтов, отсутствующие на компьютере;
Invalid Help Files (Неверные файлы справки) – неверные ссылки на справочные файлы (отсутствующие либо расположенные по другому адресу);
Auto Run Programs (Автоматически запускаемые программы) – неверные ссылки на программы, указанные в реестре как подлежащие автоматическому запуску при загрузке системы;
Obsolete Start Menu Items (Устаревшие пункты меню Пуск) – поиск в меню Пуск ярлыков, ссылающихся на отсутствующие программы;
Invalid Application Paths (Неверные пути к приложению) – неверные ссылки на установленные приложения;
Invalid Shared DLLs (Неверные общие DLL) – ссылки на отсутствующие или расположенные по другому адресу файлы общих библиотек;
Unused Software Entries (Неиспользуемые программы) – ветви реестра, относящиеся к удаленным программам.
Рис. 5.50. Страница настройки параметров сканирования реестра
Ход сканирования и его результаты отображаются в следующем окне программы (рис. 5.51).
Рис. 5.51. Страница результатов сканирования реестра
Для каждой найденной ошибки отображаются ее расположение (раздел, ключ и параметр реестра), а также степень серьезности и варианты реакции пользователя. Чтобы выбрать один из доступных видов реакции на ошибку, щелкните в сообщении об ошибке на строке Correction (Исправление) и откройте список. Этот список в зависимости от характера ошибки может содержать два или три пункта (рис. 5.52):
Default (No changes made) (По умолчанию (не вносить изменений)) – соответствующий параметр реестра остается без изменений; выбор этого варианта равносилен снятию флажка возле наименования ошибки;
Delete Entry (Удалить вход) – некорректный параметр (или ветвь) реестра подлежит удалению;
Remove invalid substring (Удалить неверную строку) – данный вариант применим только к строковым параметрам.
Кроме того, вы можете выполнить ряд вспомогательных действий, которые призваны облегчить анализ и исправление ошибки. Такие действия доступны через контекстное меню описания ошибки. Например, вы можете копировать все диагностические сведения в буфер обмена, вывести на печать или открыть соответствующий ключ реестра в штатном редакторе реестра – RegEdit.
Рис. 5.52. Список видов реакции на ошибку
После того как вы назначите способ устранения для всех обнаруженных ошибок, щелкните в нижней части окна на кнопке Repair (Исправить). На следующем шаге вам потребуется указать имя и расположения reg-файла, содержащего резервную копию реестра. После создания резервной копии все необходимые исправления будут внесены в реестр автоматически.
Программа Reg Organizer
Reg Organizer – это настоящий программный комплекс по обслуживанию системного реестра. Для российских пользователей, помимо других достоинств программы, немаловажными ее преимуществами являются бесплатность (для жителей стран СНГ) и наличие русскоязычного варианта, включая подробный электронный справочник по работе с программой. При этом Reg Organizer невелик по размеру (собственно дистрибутив занимает менее 1,5 Мбайт, а модуль локализации – еще 250 Кбайт) и достаточно часто обновляется. Последние сведения и версии программы можно найти на веб-сайте производителя, компании ChemTable Software, по адресу www.chemtable.com.
Reg Organizer может работать в одном из следующих режимов:
Режим редактирования реестра – использование мощного редактора реестра, обладающего расширенным набором функций, таких как клонирование ключей реестра, получение информации о любом выбранном ключе и др. Как и стандартный RegEdit, позволяет создавать, удалять, редактировать ключи, изменять значения параметров, экспортировать ключи в файлы реестра (.reg);
Режим чистки реестра – анализ реестра и настройка параметров работы операционной системы. В частности, имеется возможность указывать программы, которые требуется запускать при загрузке Windows, исследовать общие (shared) библиотеки динамической компоновки (DLL), произвести поиск ссылок на несуществующие файлы и папки и многое другое; удалить найденные ошибки.
Режим редактирования файлов – позволяет осуществлять контроль за интересующими вас файлами настройки, в частности INI-файлами, широко использующимися различными программами, а также самой операционной системой для хранения своих настроек. Программа Reg Organizer позволяет также работать с другими типами конфигурационных файлов. Для этого интересующий вас тип файла нужно описать с помощью Панели импорта, после чего файлы данного типа можно будет открывать и редактировать с помощью Reg Organizer;
Автоматическая чистка реестра – поиск в реестре разных типов неверных записей. Обнаруженные ошибочные записи можно исправить или удалить из реестра;
Режим поиска и замены – удобное средство для поиска и/или замены необходимой информации в системном реестре;
Режим деинсталляции софта – позволяет производить полное удаление приложений с компьютера, включая не только собственно файлы приложения, но также относящиеся к нему записи в реестре и в конфигурационных файлах, библиотеки, которые были добавлены приложением в системные папки, и т. д. Кроме того, данный режим позволяет просмотреть все изменения, внесенные приложением в каждый из перечисленных выше компонентов системы;
Чистка диска – поиск неверных или ненужных файлов на жестких дисках вашего компьютера, а также по возможности исправление ошибок и удаление ненужных файлов;
Опции системы – доступ к некоторым дополнительным (недокументированным) настраиваемым параметрам оболочки Windows.
Рис. 5.53. Основное окно программы Reg Organizer
Интерфейс Reg Organizer может показаться на первый взгляд несколько перегруженным элементами управления, однако после недолгого знакомства с программой это ощущение исчезает. Достаточно научиться выбирать наиболее подходящий режим работы. Перечень режимов представлен в левой панели окна (рис. 5.53).
Чтобы выполнить проверку реестра на наличие ошибок, необходимо переключиться в режим Чистка реестра и затем на верхней панели инструментов окна щелкнуть кнопку Автоматическая чистка реестра (см. рис. 5.53).
Будет открыто дополнительное окно, в котором вы можете указать типы анализируемых ошибок, а затем, щелкнув на кнопке Начать, и наблюдать за процессом сканирования (рис. 5.54).
Рис. 5.54. Окно процедуры Автоматическая чистка реестра
Результаты сканирования отображаются на вкладке Результаты этого окна (рис. 5.55).
Используя элементы управления, расположенные в левой части окна, можно отобрать интересующие вас ошибки и затем устранить их либо вручную, с помощью собственного редактора Reg Organizer, либо автоматически, щелкнув на кнопке Ремонтировать.
Рис. 5.55.Представление результатов сканирования
Для каждой найденной ошибки вы можете использовать некоторые сервисные команды, например добавить ее в список исключений. Доступ к таким командам осуществляется через контекстное меню, которое открывается щелчком правой клавиши мыши на строке интересующей вас ошибки.
Глава 6
Восстановление данных пользователя
В этой главе речь пойдет о том, как восстановить данные, для которых резервные копии либо отсутствуют, либо значительно уступают в ценности оригиналам. Основное внимание будете уделено ситуациям, которые не связаны с искажением системной информации или разрушением файловой системы и потому не требуют кардинальных, «хирургических» методов «лечения». Для таких случаев вполне можно подобрать пару программных инструментов, отвечающих вашим вкусам и потребностям и не требующих работы с данными на уровне двоичных или шестнадцатеричных кодов. Тем не менее начнем мы все-таки с пояснения некоторых технических деталей.
В «воскрешении» удаленных или испорченных файлов нет ничего мистического. В действительности успех операции по восстановлению зависит не столько от «чудодейственных» способностей программ-реаниматоров, сколько от своевременности начала и корректности выполнения процедуры «воскрешения».
Общие правила восстановления данных
Еще с незапамятных времен безраздельного господства на компьютерах IBM PC операционной системы MS-DOS и файловой системы FAT операция «удаление файла» сводится к выполнению очень простого приема. Заключается он в том, что в дескрипторе файла, хранящемся в каталоге-держателе файла, всего лишь изменяется первая буква имени файла. Вместо нее записывается шестнадцате-ричный код E5, дающий при отображении на экране символ х (рис. 6.1).
Такой файл получает признак «удаленный» (erased), а распределенные ему кластеры считаются свободными. Никаких других изменений в области данных диска не происходит. Соответственно для восстановления файла достаточно выполнить обратную замену кода E5 на исходную букву имени.
Сказанное относится и к удалению папок: удаленная папка остается на прежнем месте, включая все содержимое. Заменяется лишь первый байт имени папки.
Рис. 6.1. Признак удаления файла – код E5 в первом байте имени
ПРИМЕЧАНИЕ
По указанной выше причине «обычное» удаление файлов с конфиденциальными данными не помешает заинтересованным лицам без труда прочесть эти данные. Для действительного уничтожения данных существуют специальные программы-затиратели, кото– рые прописывают в кластеры удаленного файлановый код, причем многократно. Обычно такие программы называют шредерами (отschrader), по аналогии со специальными устройствами для физического уничтожения бумажных документов. Восстановить дан– ные, над которыми поработала программа-шредер, практически невозможно, разве что с помощью инструментов, имеющихся в распоряжении спецслужб.
Правда, такая «реанимация» возможна только до тех пор, пока освободившиеся кластеры не будут отданы какому-либо новому файлу. Поэтому если вы случайно удалили файл (минуя Корзину) или потеряли его в результате каких-то других действий, выполните следующие профилактические меры:
• убедитесь, что файл действительно удален. Помните, что зачастую имеет ме– сто «ложная тревога», когда файл, например, оказывается просто перемещен или переименован (подробнее о таких ситуациях было рассказано в первой главе);
• постарайтесь «по горячим следам» уточнить, при каких обстоятельствах был потерян (удален) файл. Если причина не очень понятна и вызывает определенные опасения, создайте внеочередную резервную копию наиболее важных данных, но (обязательно!) на другом запоминающем устройстве;
• не записывайте на логический диск с потерянными данными новых файлов и не создавайте на нем новых папок;
• как дополнение к предыдущему пункту – не устанавливайте на этот диск новых программ, в том числе утилит, с помощью которых вы собираетесь спасать свои данные; многие из таких утилит способны работать непосредственно с гибкого диска или с компакт-диска;
• если на компьютере имеются сервисные программы, которые запускаются по расписанию (например, программа дефрагментации диска или программа ре– зервного копирования), предотвратите их возможный запуск и остановите работу программ, выполняющих мониторинг системы (в частности, менеджер задач); особенно опасна в такой ситуации процедура дефрагментации, которая существенно снижает вероятность успешного восстановления;
• по возможности, не перезагружайте компьютер. Правда, если диск с потерянными данными не является системным, это требование не обязательно для выполнения. Более того, для применения некоторых утилит восстановления потребуется перезагрузить систему для работы в однозадачном режиме (под управлением DOS или другой однозадачной ОС).
Поэтому после того, как данные будут успешно восстановлены, оцените еще раз, насколько удачна ис– пользуемая вами конфигурация логических дисков. Возможно, «пропажа» нужных данных будет обнаружена не сразу, а через некоторое время (скажем, через пару дней), когда вы уже успеете записать на диск новые файлы или создать новые папки. Но даже и в этом случае еще далеко не все потеряно. Дело в том, что система пытается распределять в первую очередь дисковое пространство, которое ранее не использовалось, и лишь при необходимости выделяет под новые данные кластеры, «бывшие в употреблении».
Это позволяет, используя информацию из таблицы распределения файлов (FAT), выявить уцелевшие фрагменты цепочки кластеров удаленного файла и затем собрать их в одно целое.
Восстановленный файл не всегда будет иметь первозданный вид, но иногда и такой результат может быть расценен как успех.
Несколько сложнее восстанавливать данные, если со времени удаления файла изменялась логическая структура дерева папок: создавались новые вложенные папки, перемещались или переименовывались существующие. В таких случаях потребуется более тщательный анализ структуры каталогов и содержащихся в них записей. Однако после того, как запись для искомой папки будет обнару– жена, ее восстановление может оказаться вполне реальным делом.
Наибольший урон могут понести данные в том случае, если пользователь по какой-либо причине выполнит форматирование диска. Здесь возможны два варианта развития событий: плохой и очень плохой. Просто «плохая» ситуация имеет место, если использовалось так называемое быстрое форматирование, при котором очищаетсясодержимое FAT и корневого каталога, но не модифицируется область данных. В этом случае для восстановления доступности данных потребуется заново сформировать в корневом каталоге записи (дескрипторы) вложенных папок и файлов.
СОВЕТ
Поскольку содержимое корневого каталога дискатеряется при быстром форматировании (а также в некоторых других ситуациях), не рекомендуется помещать в него непосредственно файлы данных.
«Очень плохая» ситуация возникает в результате полного форматирования диска. Полное форматирование приводит не только к обновлению системных облас– тей, но и к прописыванию области данных служебным кодом. Объясняется это тем, что в ходе полного форматирования производится проверка физического состояния секторов диска, основанная на записи-считывании в них данных.
ПРИМЕЧАНИЕ
Сказанное выше относится в большей степени к файловым системам FAT, однако в принципиальном плане технология восстановления данных в NTFS аналогична: нужно «просто» восстановить логические связи между элементами файловой системы.
Набор доступных вариантов восстановления зависит от файловой системы исследуемого раздела. Другими словами, для восстановления данных на жестком диске или на сменных носителях необходимо знать и логическую, и физическую организацию данных на поврежденном носителе. Но удаление данных– это лишь один из возможных видов нарушения их целостности. Чаще данные оказываются лишь частично повреждены и при этом становятся недоступны.
Например, для многих графических форматов достаточно критичным является состояние первых нескольких байтов, в которых содержится описание формата (рис. 6.2).
Рис. 6.2. Повреждение первых байтов файла GIF делает недоступным изображение
Даже если собственно изображение не повреждено, искажение этих байтов может сделать его недоступным для просмотра. Вывод: для успешного лечения поврежденных файлов пользователь и программа-реаниматор должны уметь учитывать формат файла, подлежащего восстановлению.
Выбор программных средств восстановления
Инструментальные средства, предназначенные для восстановления данных, – это весьма «умные» программы. Они (точнее, лучшие из них) хорошо знакомы с логической структурой файловых систем и в ходе работы ведут себя примерно так же, как опытный пользователь: сначала пытаются найти на диске то, что можно однозначно идентифицировать как определенный элемент файловой системы, а затем постепенно «привязывают» к нему то, что уцелело в меньшей степени.
Программы, предназначенные для восстановления данных, работают в целом по единому алгоритму, состоящему из следующих основных действий.
1. Сканирование жестких дисков с целью определения конфигурации логических дисков.
2. Сканирование указанного раздела с целью поиска удаленных или поврежденных элементов данных.
3. Запись выбранных данных по новому адресу.
Программы зачастую включают в список подлежащих восстановлению не только удаленные пользователем файлы, но и файлы с «частичными» повреждениями, в том числе:
с некорректным штампом даты и/или времени (Invalid Dates);
с некорректным набором атрибутов (Invalid Attributes);
с неправильно указанным размером (Invalid File Size);
в имени которых присутствуют недопустимые символы (Invalid characters).
Такие файлы хотя и видны в окнах проводника Windows, но не могут быть открыты с помощью ассоциированного приложения или даже с помощью такого «универсального просмотрщика», как Блокнот.
При выборе программы восстановления необходимо учитывать:
поддерживаемые типы носителей;
поддерживаемые файловые системы и форматы записи (для носителей типа CD/DVD);
умение работать с длинными именами и с кириллицей;
возможность запуска с внешнего носителя, без инсталляции на жесткий диск;
способность работать на уровне логических дисков и разделов, а также на физическом уровне;
умение отыскивать логические диски, потерянные вследствие разрушения таблицы разделов или проведения реконфигурирования диска;
способность учитывать формат восстанавливаемых файлов.
Кроме того, для некоторых типов файлов существуют специализированные средства восстановления. Например, поврежденный файл архива в формате RAR следует сначала попытаться восстановить средствами архиватора WinRAR и лишь затем искать другие способы его «воскрешения».
Восстановление данных на жестком диске
В настоящее время можно найти не один десяток программ, призванных помочь пользователю вернуть потерянные файлы и папки. Как выбрать наиболее подходящий инструмент, вы уже знаете. Однако в принятии решения относительно того или иного конкретного продукта немалую роль играют субъективные предпочтения пользователя или рекомендации знакомых. Выбор программ, представленных в данном разделе, также нельзя считать полностью объективным, однако о знакомстве с ними вы вряд ли пожалеете.
Программа Drive Rescue
Вплоть до версии 3.0 программа Drive Rescue, автором которой является программист-одиночка Alexander Grau, была совершенно бесплатной. Теперь же ее распространением занимаются несколько компаний, каждая из которых ведет собственную маркетинговую политику. Так, компания LC Technology распространяет программу за умеренную плату, но на веб-сайте компании (www.lc-tech.com) можно получить демонстрационные версии различных модификаций программы (правда, все они имеют те или иные функциональные ограничения). Основная программа теперь называется Filerecovery и существует в двух вариантах: Standard и Professional. Кроме того, имеется отдельный инструмент Photorecovery, предназначенный для восстановления мультимедийных файлов (рисунков, видео, аудио) на любых цифровых носителях, включая Memory Sticks, SmartMedia, CompactFlash I & II, Micro Drives, SD/XD Cards, Multimedia Chips.
ПРИМЕЧАНИЕ
Компания Canvar (www.canvar.de), также специализирующаяся на создании программных средств восстановления данных, продолжает выпуск программы в качестве свободно распространяемой (freeware). Причем под близким по звучанию названием – File Recovery.
Программа Filerecovery 3.0 Pro поддерживает файловые системы FAT12/FAT16/ FAT32/NTFS и способна выполнять следующие задачи:
поиск и восстановление удаленных файлов и папок, в том числе на сетевых дисках; для файловой системы NTFS возможно восстановление сжатых и зашифрованных файлов;
поиск и восстановление файлов и папок, поврежденных в результате «быстрого» форматирования либо в силу других причин (например, в результате аппаратного сбоя), включая восстановление данных при поврежденных таблицах FAT и MFT;
восстановление поврежденной конфигурации логических дисков (например, в результате разрушения таблицы разделов);
восстановление поврежденных файлов по их сигнатуре (функция «особого восстановления» – Special Recovery Function); в базе данных программы имеются, в частности, сигнатуры для файлов следующих типов: ART, AVI, AU, BMP, CDR, CGM, CHM, CLA, CPT, CRW, DOC, DRW, DWG, DXF, EPS, EXE, GIF, HLP, HTML, JPG, LZH, MID, MBX, MDB, MOV, MP3, NSF, PAB, PCX, PDF, PLT, PNG, PP4, PP5, PPT, PSD, PST, RTF, SAM, TAR, TIF, TTF, WAV, WMF, WPC, WPD, WPG, WRI, XLS, ZIP.
Существенным достоинством всех существующих версий программы является высокая скорость работы. По этому показателю Drive Rescue (и Filerecovery) опережает многих более именитых конкурентов.
Наиболее распространенная из бесплатных версий программы, Drive Rescue 1.9, выполняет большую часть из перечисленных выше функций (исключения – ограниченная поддержка файловой системы NTFS и отсутствие функции Special Recovery). По указанной причине ниже рассмотрена технология работы с Drive Rescue 1.9. Приведенных сведений вполне достаточно для самостоятельного освоения Filerecovery 3.0 Pro.
Интерфейс
После запуска программы на экране появляется диалоговое окно с предложением выбрать язык интерфейса. Русского среди возможных вариантов нет, однако вы можете (при желании) выполнить русификацию собственными силами, отредактировав файл ресурсов.
Затем вам будет предложено выбрать один из трех основных видов «восстановительных работ», щелкнув на соответствующей кнопке (рис. 6.3):
Recover deleted files (Восстановление удаленных файлов) – поиск и восстановление файлов, удаленных стандартным средствами Windows (минуя Корзину или в результате очистки последней);
Find lost data (Поиск потерянных данных) – поиск и восстановление файлов и папок, ставших недоступными в результате каких-либо некорректных действий пользователя или ошибок системы, а также в результате «быстрого» форматирования;
Find lost drive (Поиск потерянных устройств) – поиск и восстановление логических дисков, ставших недоступными в результате каких-либо некорректных действий пользователя или ошибок системы (например, в результате порчи таблицы разделов).
В любом из трех случаев Drive Rescue начнет работу со сканирования устройств (жестких дисков, FDD, дисководов Tazz и Zip, а также накопителей типа Flash Card или SmartMedia) и выведет результаты сканирования в диалоговом окне Select Drive (выбор устройства) на вкладке Logical Drive (Логическое устройство). Правда, результаты сканирования в каждом из трех случаев могут быть представлены несколько по-разному (подробнее эти различия будут рассмотрены ниже). В частности, на рис. 6.4 показан результат сканирования при поиске потерянных данных (Find lost data).
СОВЕТ ____________________
Если вас интересуют данные на дискете или флэш-карте, вставьте ее в дисковод (устройство чтения) перед началом сканирования устройств.
Рис. 6.3. Окно Welcome to Drive Rescue позволяет выбрать вид «восстановительных работ»
Рис. 6.4. Списоклогическихдисков, обнаруженных Drive Rescue
Порядок дальнейших действий по восстановлению данных зависит от конкретной ситуации. Наиболее типичные случаи будут рассмотрены в последующих подразделах.
Вы можете отказаться от предложенного набора из трех основных процедур, щелкнув в окне Welcome to Drive Rescue на кнопке Close (Закрыть) (см. рис. 6.3).
В этом случае вы получите непосредственный доступ к основному окну программы. Помимо вызова справки или получения технической поддержки через Интернет вы можете воспользоваться одной из следующих команд:
Object Drive (Объект Устройство) – инициирует процесс сканирования устройств, аналогичный тому, который может быть запущен из диалогового окна Welcome to Drive Rescue;
Object Options (Объект Параметры) – вызов окна настройки параметров работы Drive Rescue;
Info System Info (Сведения Сведения о системе) – вызов окна, содержащего сведения об аппаратной и программной конфигурации системы.
С точки зрения работы Drive Rescue по восстановлению данных наибольший интерес представляет группа параметров, размещенных на вкладке Drive access (Доступные устройства). Два флажка из группы Physical drives (Физические диски) определяют, какие средства должен использовать Drive Rescue для считывания данных с диска: стандартный сервис BIOS (INT13), использующий адресацию CHS, или расширенный сервис (INT13 Extension), который обеспечивает полную поддержку LBA (рис. 6.5).
Рис. 6.5. Окно настроек Drive Rescue
Восстановление удаленных файлов и папок
Чтобы инициировать процедуру восстановления удаленных файлов и/или папок, щелкните в окне Welcome to Drive Rescue на кнопке Recover deleted files.После завершения сканирования устройств на экране появится список логических дисков, обнаруженных Drive Rescue.
Выберите диск, на котором был удален файл (папка), и щелкните на расположенной справа от списка кнопке OK. В основном окне программы будут представлены результаты анализа диска (рис. 6.6).
Рис. 6.6.Результаты анализа диска с удаленными данными
В левой части окна отображается дерево каталогов, содержащее 4 основных ветви:
Root (Корневой) – перечень вложенных папок и файлов, зарегистрированных в корневом каталоге диска;
Deleted (Удаленные) – перечень папок и файлов, помеченных как удаленные;
Lost (Потерянные) – список «потерянных» файлов и папок;
Searched (Найденные) – список найденных файлов; список формируется в результате выполнения функции поиска, о которой будет рассказано ниже.
Чтобы увидеть содержимое любой ветви, щелкните на ее значке мышью. Содержимое отображается в правой части окна. При поиске удаленных файлов и папок Drive Rescue заполняет только ветви Root и Deleted.
Удаленные объекты отмечаются в левом и правом списках зеленым цветом. В правом списке, реализованном в виде таблицы, вы можете получить следующую информацию об удаленном объекте:
Name (Имя) – имя объекта; в имени удаленного объекта могут присутствовать символы подчеркивания, заменяющие потерянные символы исходного имени; в некоторых случаях в списке могут оказаться несколько одноименных файлов (например, разные версии одного файла); если вы хотите восстановить все такие файлы, предварительно переименуйте их, выбрав в контекстном меню команду Rename (Переименовать);
Size (Размер) – размер файла в байтах; имейте в виду, что размер испорченного файла может не соответствовать размеру файла «при жизни»; иногда размер файла требуется скорректировать вручную; подробнее об этой операции рассказано в подразделе «Восстановление потерянных файлов и папок»;
Date (Дата) – дата последнего изменения файла;
Cluster (Кластер) – номер первого кластера файла (папки); столбец используется при работе с файловой системой семейства FAT; для файловой системы NTFS вместо него используется столбец MFT Entry (Вход MFT);
Condition (Состояние) – состояние удаленного файла (папки); возможные значения:
poor (плохой) – файл не может быть восстановлен; однако столь категоричная оценка не всегда справедлива: иногда файл, помеченный как poor, все-таки удается восстановить;
fair (посредственный) – файл может быть восстановлен частично;
good (хороший) – файл может быть восстановлен без потерь;
unknown (неизвестно) – состояние определить не удалось;
Type (Тип) – тип файла в соответствии с параметрами операционной системы. Для восстановления удаленного объекта выполните следующие действия.
1. Щелкните на его значке правой клавишей мыши и в контекстном меню выберите команду Save to (Сохранить в).
2. В дополнительном окне (рис. 6.7):
1) укажите диск и папку, куда следует переписать восстанавливаемый объект;
2) в раскрывающемся списке выберите пункт no FAT (consecutive) (Не использовать FAT, просматривать последовательно);
3) щелкните на кнопке OK.
ВНИМАНИЕ
Помните, что восстанавливаемый объект нельзя записывать на тот же диск, на котором он расположен. Это может привести к повреждению как самого объекта, так и других объектов на этом диске, подлежащих восстановлению.
Рис. 6.7. Запись восстанавливаемого объекта по новому адресу
После того как удаленный объект был восстановлен (записан по новому адресу), он автоматически удаляется из ветви Deleted.
Если поиск удаленных файлов производится на диске с файловой системой NTFS, то результаты поиска будут выглядеть несколько по-иному: найденные объекты идентифицируются по номерам записей (входов) в таблице MFT (рис. 6.8). Соответственно в правом списке для найденных объектов также указывается не номер первого кластера, а номер записи в MFT.
Рис. 6.8. Результаты анализа NTFS-диска судаленными данными
В остальном технология восстановления данных на NTFS-диске аналогична рассмотренной для файловой системы FAT.
Восстановление потерянных файлов и папок
Выполнение данной процедуры может несколько различаться в зависимости от причины потери данных. В любом случае процесс поиска начинается со сканирования имеющихся устройств. В сформированном списке выберите диск, на котором расположены потерянные данные, и щелкните на кнопке OK.
Для продолжения поиска выполните следующие действия.
1. В меню Tools (Сервис) основного окна программы выберите команду Find lost data (Поиск потерянных данных).
2. В окне Select cluster range (Выбор диапазона кластеров) (рис. 6.9) с помощью ползунковых регуляторов установите диапазон кластеров, в котором следует производить поиск (если требуемая информация отсутствует, лучше провести его по всему доступному дисковому пространству).
Состояние процесса поиска и текущие результаты отображаются в дополнительном окне, в котором раздельно выводятся число потерянных каталогов и число потерянных файлов. После завершения сканирования все найденные объекты помещаются в ветвь Lost основного окна (рис. 6.10).
Рис. 6.9. Выбор диапазона просматриваемых кластеров
Рис. 6.10. Представление найденныхпотерянныхобъектов
В левом списке (Folders) представлены потерянные папки, именованные номерами их первых кластеров.
В правом списке отображаются элементы, на которые имеются ссылки в выбранной папке.
Если вы не можете определить по номеру кластера, какая именно папка вас интересует, просмотрите последовательно содержимое всех найденных папок, выбирая их поочередно в левом списке; найдя нужную папку, запомните или запишите номер соответствующего кластера.
Чтобы восстановить всю папку, выполните следующие действия.
1. Щелкните в левом списке на значке ветви Lost; при этом все потерянные папки (упорядоченные по номерам кластеров) будут показаны в правом списке.
2. Переименуйте папку, дав ей осмысленное имя; для этого щелкните правой клавишей мыши в правом списке на значке интересующей вас папки (с номером записанного вами кластера), в контекстном меню выберите команду Rename и отредактируйте имя папки.
3. Щелкните в правом списке на значке папки правой клавишей мышиивкон-текстном меню выберите команду Save to.
4. В дополнительном окне (см. рис. 6.7) укажите диск и папку, куда следует переписать восстанавливаемую папку. В раскрывающемся списке выберите номер копии таблицы FAT, в которой вы больше уверены (по умолчанию используется первая, основная копия).
5. Щелкните на кнопке ОК.
Чтобы восстановить конкретный файл (или вложенную папку) в интересующей вас папке, выполните следующее.
1. В левом списке щелкните на значке папки.
2. В правом списке переименуйте, если требуется, восстанавливаемый файл.
3. Щелкните правой клавишей мыши на значке файла (вложенной папки) и в контекстном меню выберите команду Save to.
4. В дополнительном окне (см. рис. 6.7) укажите диск и папку, куда следует переписать восстанавливаемый файл. В раскрывающемся списке выберите номер копии таблицы FAT, в которой вы больше уверены, и щелкните на кнопке ОК.
ПРИМЕЧАНИЕ ____________________
Даже если все атрибутывосстанавливаемого файла определеныкорректно, это еще не гарантирует его успешного восстановления. Практика показывает, что успех почти гарантирован, если размер файла не превышает одного кластера или если файл расположен в нескольких смежных кластерах.
Для некоторых потерянных файлов (например, поврежденных вирусом) в списке файлов может быть указана нулевая длина. Существует вероятность, что такой файл вполне «дееспособен», но недоступен для корректной работы. Для его восстановления выполните следующие действия.
1. Щелкните правой клавишей мыши на значке файла и в контекстном меню выберите команду Properties (свойства).
2. В дополнительном окне (рис. 6.11) в поле Size (размер) введите подходящее значение (с запасом).
3. Сохраните файл описанным выше способом по новому адресу.
4. Откройте файл с помощью ассоциированного с ним приложения и сохраните его с помощью команды Сохранить как (Save as).
Если Drive Rescue не может определить размер найденного файла, он устанавливает для него размер, указанный в параметрах Drive Rescue, на вкладке Files (Файлы) в поле Default file size (Размер файла по умолчанию).
Рис. 6.11.Окно свойств восстанавливаемого файла
Восстановление потерянных логических дисков
Как уже было сказано, Drive Rescue способен отыскивать логические диски, потерянные вследствие разрушения таблицы разделов или проведения реконфигу-рирования диска.
В обоих случаях технология восстановления логических дисков однотипна и состоит в выполнении следующих действий.
1. После завершения сканирования перейдите на вкладку Physical Drive (Физические устройства).
2. Выберите в списке физический диск, подлежащий анализу, и щелкните на кнопке Find logical drive (Поиск логических дисков).
3. В окне Select cluster range (см. рис. 6.9) выберите (при наличии требуемой информации) диапазон обследуемых кластеров и щелкните на кнопке OK.
После завершения сканирования Drive Rescue откроет вкладку Logical Drive. Найденные «потерянные» разделы будут представлены на ней значками зеленого цвета.
Если среди найденных логических дисков имеется нужный, дважды щелкните на его значке мышью. Drive Rescue выполнит сканирование диска и выведет в основном окне сведения о папках и файлах, которые ему удалось обнаружить. Объекты, помеченные как удаленные, будут помещены в ветвь Deleted. Если среди них есть интересующие вас, восстановите их таким же образом, как было описано выше.
EasyRecovery Pro
Программа EasyRecovery Pro компании Ontrack Data International (www.ontrack.com, имеется также русскоязычный вариант по адресу www.ontrack.ru) по сравнению с Drive Rescue – это настоящий «комбайн». С его помощью вы можете не только восстанавливать удаленные либо поврежденные данные, но и выполнять предварительную проверку дисков на физическом и логическом уровне. Однако в среднем эффективность восстановления данных, обеспечиваемая EasyRecovery, сопоставима с эффективностью Drive Rescue.
EasyRecovery в полном объеме поддерживает как файловые системы FAT, так и NTFS. К сожалению, программа не всегда корректно работает с кириллицей.
Интерфейс и основные возможности
Интерфейс EasyRecovery Pro реализован таким образом, чтобы максимально облегчить пользователям доступ к основным функциям программы. Поэтому и знакомство с возможностями EasyRecovery удобно совместить с описанием интерфейса.
После загрузки программы на экране появляется окно, в левой части которого размещено меню в виде кнопок, обеспечивающих доступ к четырем категориям функций, а также к двум дополнительным сервисам (рис. 6.12):
Disk Diagnostics (Диагностика диска) – утилиты для проверки физических параметров диска и целостности файловой системы;
Data Recovery (Восстановление данных) – утилиты для поиска и восстановления удаленных и поврежденных данных;
File Repair (Восстановление файлов) – специализированные утилиты для восстановления файлов, созданных приложениями из семейства MS Office (кроме Outlook), а также ZIP-архивов;
Email Repair (Восстановление файлов электронной почты) – специализированная утилита для восстановления файлов Outlook;
Software Updates (Обновление программы) – сервисные функции, позволяющие получать информацию и выполнять обновление лицензионной версии EasyRecovery через Интернет;
Crisis Center (Кризисный центр) – набор функций, обеспечивающих доступ к сервисным веб-службам компании Ontrack.
Рис. 6.12. Стартовое окно EasyRecovery
Чтобы получить доступ к конкретной функции из той или другой категории, достаточно щелкнуть на соответствующей кнопке меню и затем выбрать нужную функцию в правой части окна; например, на рис. 6.13 показано меню утилит диагностирования дисков.
Рис. 6.13. Менюутилитдиагностирования дисков
Утилиты диагностирования дисков, входящие в состав EasyRecovery, не обладают какими-либо выдающимися возможностями по сравнению с теми инструментами, которые были рассмотрены в третьей главе. Поэтому ограничимся лишь краткой характеристикой некоторых из них.
Утилита DriveTests позволяет проверять физическое состояние дисков. Используемые в ней варианты тестирования основаны на чтении записанных данных и позволяют оценить стабильность физических параметров жесткого диска. DriveTests включает два вида тестов:
Quick Diagnostic Test (Быстрый диагностический тест) – выполняется в течение 90 секунд и обеспечивает 90-процентную достоверность результатов тестирования; его суть состоит в чтении секторов, выбранных случайным образом, но с учетом геометрии диска; по результатам тестирования выдается одно из двух сообщений: Pass (пройден) или Fail (ошибка); тест завершается при обнаружении первого же сбойного сектора;
Full Diagnostic test (Полный диагностический тест) – состоит в посектор-ном чтении всего диска; в случае ошибки чтения сектора выполняется одна повторная попытка; по результатам тестирования выдается одно из трех сообщений: Pass (Пройден), Passed with minor errors (Пройден с минимальным числом ошибок) или Fail (Ошибка); тест завершается досрочно при обнаружении 20 сбойных секторов.
Утилита SMARTTest позволяет оценить физические параметры диска на основе технологии S.M.A.R.T. (описание технологии см. в разделе «Обслуживание дисков» третьей главы).
Предусмотрены три варианта тестирования:
Return S.M.A.R.T. status (Возврат S.M.A.R.T.-состояния) – считывание текущих показателей диска в соответствии с технологией S.M.A.R.T.;
Run short Drive Self Test (Проведение сокращенного самотестирования диска) – предполагает дополнительное тестирование диска в ограниченном режиме; длительность тестирования составляет 1–2 минуты;
Run extended Drive Self Test (Проведение расширенного самотестирования диска) – предполагает дополнительное тестирование диска в полном объеме; длительность тестирования составляет 20 минут или больше.
По результатам всех видов тестирования формируется достаточно подробный отчет. При обнаружении тех или иных проблем отчет содержит рекомендации по их устранению. Все тесты могут проводиться в фоновом режиме.
Утилита PartitionTests предназначена для проведения анализа структуры файловой системы диска. Она выполняет углубленное обследование элементов файловой системы с последующей генерацией отчета о состоянии файлов данных. Для получения корректных результатов рекомендуется перед запуском утилиты закрыть все другие приложения.
Общим для всех утилит, входящих в состав EasyRecovery, является то, что они работают в режиме мастера: пользователю предлагается указать параметры выполнения очередного шага задания и перейти к следующему шагу.
Категория Data Recovery
В эту категорию входят 6 утилит:
DeletedRecovery – поиск и восстановление удаленных файлов и папок;
AdvancedRecovery – поиск и восстановление удаленных файлов и папок c возможностью дополнительной настройки параметров поиска;
FormatRecovery – восстановление данных в разделах, которые были случайно отформатированы или удалены;
RawRecovery – восстановление данных в разделах c нарушенной структурой;
ResumeRecovery – сервисная функция, позволяющая сохранять текущие параметры восстановления с целью их использования в повторных сеансах работы с EasyRecovery;
EmergencyDiskette – утилита для создания аварийного загрузочного гибкого диска; такой диск содержит системные файлы дисковой операционной системы Caldera DR-DOS, а также DOS-версию утилит из категории Data Recovery; утилита обладает одним важным достоинством и двумя существенными недостатками: с одной стороны, она позволяет создавать загрузочный диск непосредственно из среды Windows XP, с другой – на создаваемом диске отсутствует драйвер с поддержкой кириллицы, и потому файлы и папки с русскими буквами становятся неузнаваемыми; кроме того, после загрузки с гибкого диска требуется выполнить ряд дополнительных операций в режиме командной строки, что под силу не каждому «рядовому» пользователю.
Первые четыре из названных утилит, непосредственно связанные с восстановлением данных, работают в целом по единому алгоритму, состоящему из следующих основных действий.
1. Сканирование жестких дисков с целью определения конфигурации логических дисков.
2. Сканирование указанного пользователем раздела с целью поиска удаленных или поврежденных элементов данных.
3. Запись выбранных пользователем данных по новому адресу.
Восстановление данных с помощью DeletedRecovery
Для восстановления данных выполните следующие действия.
1. В списке логических дисков выберите тот, на котором требуется восстановить удаленные файлы (рис. 6.14).
2. Чтобы сузить диапазон поиска, в поле File Filter (Фильтр файлов) введите с клавиатуры или с помощью расположенного ниже списка маску для поиска файлов.
Рис. 6.14. Первый шаг восстановления удаленных файлов
3. Если после удаления искомого файла прошло достаточно много времени и он может быть поврежден, установите флажок Complete Scan (Полный просмотр) для проведения более полного анализа диска.
4. Щелкните на кнопке Next (Далее), чтобы перейти к следующему шагу; Easy-Recovery просканирует диск и выдаст результаты в следующем окне.
5. В левой части окна, в дереве каталогов, выберите папку, где расположен восстанавливаемый файл, а в правом списке – щелкните на значке этого файла.
6. Чтобы облегчить просмотр списка, воспользуйтесь фильтром отбора найденных файлов. Для этого щелкните на кнопке Filter Options (Параметры фильтра) и в окне настроек установите требуемые параметры.
7. Чтобы найти конкретный файл, можно применить функцию поиска, вызываемую кнопкой Find (Поиск); в качестве критериев поиска могут быть использованы имя файла, его размер, дата создания, а также состояние после удаления (рис. 6.15).
Рис. 6.15. Фильтр отбора файлов среди результатов поиска
8. Если вы хотите предварительно взглянуть на содержимое восстанавливаемого файла, щелкните на кнопке View File (Просмотр файла).
9. Завершив выбор восстанавливаемого файла (или папки), перейдите к следующему шагу. Он состоит в записи восстанавливаемого объекта по новому адресу; в качестве дополнительных параметров вы можете указать (рис. 6.16) необходимость архивации файла, генерации отчета и пересылки файла на FTP-сервер.
Когда вы сохраняете восстановленный файл по новому адресу, DeletedRecovery воспроизводит всю иерархию папок, в которых содержался оригинал файла. Например, если файл «при жизни» лежал в папке D: \lmage\Gif, а для записи восстановленных файлов вы создали папку E: \Reanim, восстановленная копия файла будет помещена по адресу E: \Reanim\lmage\Gif.
Рис. 6.16.Последний шаг восстановления удаленных файлов
В некоторых случаях в результате сканирования файловой системы Deleted-Recovery добавляет в дерево каталогов папки с именем типа DirXXXXX. Файлы, помещенные в такие папки, являются «осиротевшими» (orphaned files), то есть DeletedRecovery не смог определить родительскую папку для таких файлов.
Восстановление данных с помощью AdvancedRecovery
Основное отличие AdvancedRecovery от утилиты DeletedRecovery состоит в возможности настройки большего числа параметров поиска восстанавливаемых данных на логическом диске. В частности, пользователь получает возможность работать не только с деревом папок, но и со служебной информацией раздела.
После завершения сканирования дисков AdvancedRecovery выводит на экран их список и подробный отчет о параметрах соответствующего раздела (рис. 6.17).
Если программа AdvancedRecovery не смогла обнаружить какой-либо раздел или корректно определить его параметры, вы можете изменить параметры сканирования, заданные по умолчанию. Для этого требуется щелкнуть на кнопке Advanced Options (Дополнительные параметры) и выполнить необходимую настройку в дополнительном диалоговом окне.
Окно настроек содержит четыре вкладки. Первая из них, Partition Information (Сведения о разделе) позволяет изменить номера первого и последнего кластеров раздела, чтобы «помочь» AdvancedRecovery обнаружить его на диске. Кроме того, щелкнув на кнопке Hint (Подсказка), вы получите возможность изменять размеры (границы) одного или нескольких разделов (рис. 6.18). Имеется в виду не реконфигурация дисков, а изменение границ, в пределах которых Advanced-Recovery должен искать потерянные разделы.
Рис. 6.17. Представление параметров раздела в AdvancedRecovery
Рис. 6.18. В окне Hint можно изменить границы для поиска разделов
Вкладка File System Scan (Сканирование файловой системы) позволяет выбирать тип и параметры файловой системы для выбранного раздела, а также режим сканирования (рис. 6.19).
Рис. 6.19. Изменение параметров файловой системы для сканирования раздела
При выборе режима Advanced Scan (Расширенное сканирование) можно дополнительно указать размер кластера, номер первого кластера области данных и (для файловой системы FAT) номер первого кластера корневого каталога.
Вкладка Partition Settings (Параметры раздела) содержит единственный элемент управления – раскрывающийся список, с помощью которого вы можете выбрать источник сведений об имеющихся в разделе данных. Этот источник будет использовать в своей работе AdvancedRecovery.
Набор вариантов, представленных в списке, зависит от файловой системы исследуемого раздела.
Для разделов FAT список содержит следующие варианты:
Use FAT1 (Использовать FAT1) – просмотр области данных выполняется в соответствии с информацией в первой копии FAT;
Use FAT2 (Использовать FAT2) – поиск данных производится на основе второй копии FAT;
Use Best Math (Использовать наиболее соответствующую) – AdvancedRecovery
сначала сравнивает фактическое содержимое некоторой части диска с информацией в обеих копиях FAT, а затем применяет для продолжения работы с диском наиболее подходящую копию FAT;
Ignore FAT (Игнорировать FAT) – поиск данных производится на основе сведений, содержащихся в корневом каталоге и в других каталогах раздела; данный вариант целесообразно применять в том случае, когда обе копии FAT испорчены (например, в результате быстрого форматирования раздела).
Для разделов NTFS список содержит два варианта:
Use MFT (Использовать MFT) – просмотр области данных выполняется в соответствии с записями в таблице MFT;
lgnore MFT (Игнорировать MFT) – анализ диска производится без использования MFT.
Вкладка Recovery Options (параметры восстановления) позволяет указать Advan-cedRecovery, какие файлы следует включать в список подлежащих восстановлению. По умолчанию к таковым относятся следующие файлы (рис. 6.20):
с некорректным штампом даты и/или времени (Invalid Dates);
с некорректным набором атрибутов (Invalid Attributes);
с неправильно указанным размером (Invalid File Size);
помеченные как удаленные (Deleted);
в имени которых присутствуют недопустимые символы (Invalid characters).
Рис. 6.20. Вкладка RecoveryOptions
Сбросьте соответствующий флажок, чтобы AdvancedRecovery игнорировал файлы определенного типа. После настройки параметров сканирования диска восстановление данных выполняется таким же образом, как при работе с утилитой DeletedRecovery.
Восстановление данных с помощью FormatRecovery
Утилита FormatRecovery предназначена для восстановления данных на логических дисках, которые были переформатированы или удалены. При поиске данных, подлежащих восстановлению, она игнорирует существующую файловую структуру и пытается найти на диске данные, относящиеся к прежней структуре данных.
Для повышения шансов на успешное решение такой задачи вы должны указать, какая файловая система использовалась на исследуемом диске. Возможные варианты предлагается выбрать из раскрывающегося списка Previous File System (Предыдущая файловая система), имеющегося в первом окне утилиты.
На следующем шаге FormatRecovery выполняет сканирование раздела и затем выдает список обнаруженных объектов (если таковые имеются).
После этого вы можете попытаться восстановить их, действуя по той же схеме, которая используется в утилитах DeletedRecovery и AdvancedRecovery.
Восстановление данных с помощью RawRecovery
Утилиту RawRecovery рекомендуется использовать для работы с разделами, в которых нарушена структура каталогов. Этот инструмент обычно используют в тех случаях, когда ни одна из рассмотренных выше утилит не дала положительного результата.
RawRecovery позволяет просматривать поврежденные разделы, используя алгоритм поиска сигнатуры файла. В базе данных последняя версии RawRecovery содержится более 200 сигнатур наиболее популярных типов файлов.
При поиске известных сигнатур в заголовках файлов RawRecovery последовательно считывает все сектора диска. Наиболее вероятно успешное восстановление либо маленьких файлов, не превышающих размер одного кластера, либо файлов, размещенных в смежных кластерах. Разумеется, таких файлов будет тем больше, чем регулярнее выполняется дефрагментация дисков.
ВНИМАНИЕ ____________________
Дефрагментация диска, произведенная после потери данных, не улучшает, а лишь усугубляет ситуацию, поскольку при этом происходит перезапись содержимого кластеров.
Чтобы повысить скорость работы RawRecovery, целесообразно ограничить перечень анализируемых типов файлов. Для этого в первом окне утилиты щелкните на кнопке File Types (Типы файлов) и в открывшемся окне оставьте флажки только для тех типов файлов, которые вас интересуют (рис. 6.21).
Рис. 6.21. Список поддерживаемых типов файлов
Вы можете пополнить базу сигнатур RawRecovery. Для этого щелкните на кнопке Add (Добавить) и в дополнительном окне введите значение сигнатуры, тип файла (расширение) и величину смещения сигнатуры относительно начала файла (Offset).
Необходимо иметь в виду, что анализ диска с помощью RawRecovery – процедура весьма длительная и даже для небольшого числа типов файлов при достаточно мощном процессоре может занять не один десяток минут. Правда, RawRecovery отображает в специальном окне текущее состояние процесса поиска (имя последнего найденного файла, общее число найденных файлов, оставшееся время до завершения поиска). Если интересующий вас файл найден, можно щелкнуть в этом окне на кнопке Cancel (Отменить). После дополнительного подтверждения RawRecovery выведет список найденных файлов.
После этого вы можете попытаться восстановить любой из них описанным выше способом.
Категории File Repair
Как уже было сказано, утилиты из этих категорий предназначены для восстановления файлов, созданных приложениями из семейства MS Office (Word, Access, Excel, PowerPoint, Outlook), а также для восстановления ZIP-архивов.
В отличие от утилит, рассмотренных выше, утилиты категории File Repair должны восстанавливать не удаленные, а поврежденные файлы. То есть такие, которые доступны файловой системе, но не могут быть открыты с помощью ассоциированных с ними приложений.
Технология применения всех этих инструментов проста, но малоэффективна. Если у файла, подлежащего восстановлению, поврежден заголовок (сигнатура) или изменено содержимое на уровне двоичного кода, утилиты File Repair оказываются бессильны. Да, они способны привести файл к такому состоянию, что он может быть открыт в ассоциированном приложении, однако содержимое файла при этом оказывается потерянным.
Тем не менее, вероятно, существуют такие виды повреждений, с которыми утилиты File Repair справляются. Поэтому ниже приведены краткие пояснения по работе с ними. Порядок их применения одинаков и рассмотрен на примере утилиты WordRepair.
На первом шаге следует выбрать один или несколько файлов соответствующего типа, которые требуется «починить» (рис. 6.22).
С помощью переключателя Repaired Files Folder (Папка для восстановленных файлов) требуется указать, будет ли восстановленный файл перезаписан по прежнему адресу либо помещен в другую папку.
На втором (и последнем) шаге WordRepair выполняет восстановление нарушенной структуры файла и затем выдает отчет о проделанной работе.
По умолчанию WordRepair в процессе работы создает три типа файлов:
резервную копию испорченного файла (.bak);
собственно восстановленный файл (.doc);
«спасительный» файл, или Salvage File (.sal), который по замыслу разработчиков должен содержать текстовое содержимое, извлеченное из поврежденного файла.
Вы можете отказаться от создания «спасительного» файла, щелкнув на кнопке Properties (Свойства) и затем сняв в окне настроек соответствующий флажок.
Рис. 6.22.Список поддерживаемых типов файлов
СОВЕТ
Иногда документ Word удается восстановить без помощи утилит. Чтобыповысить шан-сытакого восстановления, почаще сохраняйте редактируемый документ, используя кнопку Сохранить на панели инструментов. При каждом таком сохранении Word создает в той же папке скрытый файл с именем вида ~WRL3816.tmp. Такой файл является полной копией редактируемого документа. Чтобыего открыть с помощью Word, достаточно изменить расширение. tmp на. doc. Обычно Word удаляет tmp-файлы при закрытии документа, однако при аварийном завершении работыWord или системыв целом они зачастую остаются на диске.
Восстановление данных на сменных носителях
Сменные носители (гибкие диски, CD, DVD, смарт-карты) зачастую сами служат для хранения резервных копий. Однако они вполне могут содержать и весьма ценные оригиналы. Наиболее показательный пример – компакт-диск с компьютерной игрой, который может находиться «в деле» по нескольку часов ежедневно. Не меньшую ценность для владельца цифровой камеры представляют снимки, записанные на смарт-карту, а для владельцев накопителей типа Flash Drive – данные, скачанные на работе из Интернета. Кроме того, существуют защищенные компакт-диски и DVD, с которых нельзя получить работоспособную копию. Поэтому наличие в вашем арсенале программ, способных восстанавливать данные на сменных носителях, может оказаться весьма кстати.
Некоторые из универсальных программ восстановления способны работать со сменными накопителями. Однако в наиболее сложных ситуациях лучше все-таки применять специализированные инструменты. Ниже рассматриваются несколько таких инструментов.
Программы компании Naltech
Компания Naltech Software (www.naltech.com) специализируется на создании инструментальных средств, предназначенных для восстановления данных на сменных носителях. До недавнего времени она предлагала два «узкоспециализированных» инструмента: CD Data Rescue – для восстановления данных на поврежденных компакт-дисках, и DVD Data Rescue. Однако теперь появилась программа Multi Data Rescue, которая объединяет возможности двух названных и умеет делать кое-что еще – спасать мультимедийные файлы на сменных носителях других типов (картах памяти практически всех модификаций – SM, CF, SD/MMC, XD, Memory Stick и на сменных дисках).
ПРИМЕЧАНИЕ ____________________
Все перечисленные выше программы компании Naltech Software распространяются как условно-бесплатные (shareware). С помощью бесплатных версий вы можете читать и даже просматривать поврежденные файлы, но не можете сохранять их на альтернативном носителе.
Основные возможности
Multi Data Rescue позволяет восстанавливать потерянные файлы и папки на поврежденных (в частности, на поцарапанных) или дефектных компакт-дисках и DVD всех типов: CD-ROM, CD-R, CD-RW, DVD-R, DVD-RW, DVD+R, DVD+RW и DVD-RAM. Для перезаписываемых носителей (CD-RW, DVD-RW, DVD+RW и DVD-RAM) существует возможность восстановления данных, потерянных в результате «быстрого» форматирования носителя.
Вместе с тем, как и ее предшественницы, из весьма обширного числа форматов
CD/DVD (Data CD, Audio CD, Video CD, DVD-Video и т. д.) Multi Data Rescue
поддерживает только один формат – Data CD (или Data DVD), используемый для записи на сменные носители «простых» компьютерных данных, в виде произвольного набора файлов и папок.
Зато при работе с такими данными Multi Data Rescue поддерживает все существующие на сегодняшний день типы файловых систем для сменных носителей:
ISO9660 – особенность файловой системы ISO9660 состоит в том, что в ней разрешены только короткие имена файлов (8 символов для имени файла и еще 3 – для расширения); имя папки также не может превышать 8 символов; в именах файлов и папок могут использоваться только английские буквы от A до Z, цифры 0–9 и символ подчеркивания (_); максимальная глубина вложенности папок ограничена 8 уровнями (включая корневую папку);
Joliet – это расширенный вариант ISO9660, разработанный Microsoft с целью обеспечения поддержки длинных имен файлов и кодировки символов Unicode;
при использовании файловой системы Joliet разрешается записывать файлы с именами длиной до 64 символов, включая пробелы; диск, записанный в формате Joliet, может быть прочитан только на компьютере с операционной системой Windows;
UDF 1.5 (Universal Disk Format) – файловая система, используемая для записи CD/DVD в так называемом пакетном режиме (Packet CD – для компакт-дисков и Mount Rainier/EasyWrite – для DVD); применение такой файловой системы позволяет работать с CD/DVD при записи и удалении данных как с жестким или гибким диском.
Кроме того, Multi Data Rescue способен работать с мультисессиоными дисками, то есть с такими, данные на которые записаны за несколько сессий (несколькими «порциями»). Вы можете выбрать необходимую сессию и сканировать только относящиеся к ней файлы, а не весь диск.
Multi Data Rescue умеет автоматически распознавать файловую систему, использованную для записи данных, и подбирать наиболее подходящий режим работы для анализа и восстановления данных. Всего предусмотрено четыре базовых режима:
Mode A – применяется, если диск записан в стандарте ISO9660 или Joliet;
Mode B – используется, если диск записан в файловой системе UDF 1.5;
UltraRescue Mode – режим для восстановления носителей с высокой степенью повреждения данных;
Digital Media Mode – применяется при восстановлении мультимедийных файлов с карт памяти, съемных дисков и устройств Flash Drive.
После того как Multi Data Rescue сформирует по результатам сканирования носителя список файлов и папок, вы можете сохранить любой из найденных объектов на жестком диске.
Multi Data Rescue обеспечивает возможность адаптации процесса поиска имеющихся на CD данных к состоянию исследуемого диска. Предусмотрены четыре метода поиска:
Good – для дисков с незначительными повреждениями;
Fair – для дисков с повреждениями «средней тяжести»;
Poor – для сильно поврежденных дисков;
Bad – для дисков, с которыми жестко обращались владельцы.
В рамках каждого метода поиска данных существует возможность управления параметрами работы программы.
ПРИМЕЧАНИЕ
В компьютерных периодических изданиях или в Интернете вы можете встретить совет: читаемость CD/DVD можно восстановить, отполировав их поверхность с помощью специальных паст (или иных подручных средств). Иногда шлифовка действительно помогает, однако этот процесс требует наличия определенных навыков, поэтому лучше доверить его выполнение специалисту.
Интерфейс и порядок работы
Процесс восстановления данных с помощью Multi Data Rescue состоит из следующих основных шагов.
1. Выбор и активизация устройства.
2. Выбор режим работы, соответствующего формату носителя.
3. Сканирование носителя.
4. Выбор файлов и папок, подлежащих восстановлению.
5. Обработка (собственно восстановление) выбранных объектов.
6. Запись восстановленных данных на жесткий диск.
Первые два шага могут быть выполнены с помощью мастера, который запускается автоматически после загрузки Multi Data Rescue (рис. 6.23).
Рис. 6.53. Подготовительные действия могут быть выполнены с помощью мастера
Вы можете отказаться от услуг мастера, щелкнув в левом нижнем углу окна на кнопке Exit (Выход). Это целесообразно сделать в том случае, если исследуемый компакт-диск имеет серьезные повреждения, а вы располагаете достаточным опытом в использовании Multi Data Rescue. Выбрав носитель с помощью мастера, следует щелкнуть в основном окне программы на кнопке Scan (Сканировать), расположенной справа от вкладок переключения режимов (рис. 6.24).
Рис. 6.24. Основное окно Multi Data Rescue
Для выполнения процедуры восстановления без участия мастера в основном окне Multi Data Rescue имеются следующие элементы управления:
кнопка Device (Устройство) – открывает дополнительное окно для выбора и активизации устройства с восстанавливаемым носителем;
кнопка Autodetect (Автоматическое распознавание) – инициирует процесс сканирования компакт-диска с целью определения его формата; по завершении сканирования выдается рекомендация по выбору режима работы Multi Data Rescue;
вкладки Mode A, Mode В, UltraRescue, DigitalMedia – обеспечивают переключение на соответствующий режим работы Multi Data Rescue; основную часть каждой вкладки занимает список файлов, предназначенных для восстановления; список формируется пользователем и непосредственно после завершения сканирования компакт-диска он пуст;
вертикальная группа кнопок, расположенная справа от вкладок режимов, – обеспечивает настройку параметров сканирования; состав кнопок для каждого из режимов свой; соответствующие им параметры сканирования будут рассмотрены в двух следующих подразделах;
кнопка Add Files (Добавить файлы) – открывает дополнительное окно, с помощью которого производится формирование списка объектов, подлежащих восстановлению;
кнопка Dst Folder (Папка назначения) – открывает окно проводника, с помощью которого выполняется выбор адреса записи восстановленных объектов;
кнопка Go (Поехали) – активизирует процесс восстановления выбранных в списке объектов;
группа элементов управления в нижней части окна – обеспечивают настройку алгоритма сканирования; эти элементы описаны ниже.
ВНИМАНИЕ
Работа Multi Data Rescue существенно зависит от правильного выбора режима. В частности, программа не сможет идентифицировать файлына сканируемом носителе, если будет установлен неподходящий режим. Поэтому, если выне увереныв выборе режима, используйте функцию Autodetect до начала сканирования.
Настройка параметров сканирования
В последней на сегодняшний день версии Multi Data Rescue (1.1) процедура настройки общих параметров сканирования компакт-диска максимально упрощена. Пользователю достаточно щелкнуть на одной из четырех кнопок, расположенных в правом нижнем углу окна (рис. 6.25), чтобы установить набор параметров, соответствующий состоянию CD.
Рис. 6.25. Кнопки быстрой настройки параметров сканирования
Выбранному варианту сканирования соответствует определенное положение ползунковых регуляторов и кнопок-переключателей, расположенных в левой нижней части окна. При желании и наличии опыта вы можете установить с помощью этих элементов управления собственное сочетание параметров сканирования CD:
регулятор FeedBack Level (Уровень обратной связи) – управляет работой специального алгоритма восстановления FeedBack; чем выше установленный уровень, тем более тщательно выполняется анализ данных; применение алгоритма FeedBack существенно замедляет работу CD Data Rescue, поэтому рекомендуется начинать с минимального уровня, и лишь в случае неудачи постепенно его увеличивать;
регулятор Retry Level (Число попыток) – определяет число попыток, которые должен выполнить CD Data Rescue при коррекции ошибок, используя соответствующие алгоритмы восстановления;
кнопка Paths (Пути) – определяет, будет ли воспроизведена иерархия папок восстанавливаемых файлов при их записи по новому адресу (в папку назначения); если кнопка нажата, то иерархия не воспроизводится, и файл записывается непосредственно в папку назначения;
кнопка OverWrite (Перезапись) – определяет поведение CD Data Rescue, когда в папку назначения требуется записать несколько одноименных файлов; если кнопка нажата, новый файл заменяет предыдущий с таким же именем; если отжата, то новый файл будет переименован;
кнопка OverRescue – управляет включением-выключением одноименной технологии, позволяющей восстанавливать файлы, один или несколько кластеров которых не подлежат восстановлению (то есть когда нарушена внутренняя структура файла); процент восстановленных данных зависит от числа поврежденных кластеров файла и его размера; например, для документа Word размером 2 Мбайт с несколькими поврежденными кластерами технология OverRescue позволяет сохранить до 99 % первоначального файла;
кнопка Rename (Переименовать) – управляет поведением Multi Data Rescue, когда для некоторых поврежденных файлов не удалось определить их первоначальное имя, и Multi Data Rescue назначил им имена типа unnamedOOOl, unnamed0002 и т. д.; если кнопка нажата, то Multi Data Rescue попытается определить тип файла по его содержимому и добавить к имени расширение, например unnamed0001.doc.
ПРИМЕЧАНИЕ ____________________
Все кнопки настройки параметров, описанные выше, работают по принципу более традиционных элементов управления – флажков. Состояние кнопки «нажата» соответствует установленному флажку, состояние «отжата» – сброшенному флажку.
Отдельную группу образуют кнопки Consistency Check Threshold (Порог проверки состояния – рис. 6.26). Они работают как группа переключателей и определяют уровень «требовательности» Multi Data Rescue к состоянию считываемых данных. По умолчанию используется низкий порог (кнопка Low), но если считанные данные оказываются с ошибками, следует поднять порог до среднего (кнопка Med) или высокого (кнопка High) уровня.
Рис. 6.26. Кнопки установки порога проверки состояния данных
Восстановление данных в режиме А
Данный режим должен использоваться при восстановлении данных на дисках Data CD/DVD, записанных в форматах ISO-9660 или Joliet. Первый шаг процедуры восстановления – это сканирование диска с целью определения его файловой структуры. Чтобы начать сканирование, щелкните на кнопке Scan (Сканировать), расположенной в вертикальной группе кнопок (рис. 6.27).
Рис. 6.27. Кнопки управления сканированием в режиме А
Предварительные результаты сканирования (число сессий диска и общее число файлов) отображаются в поле справа от кнопок управления сканированием.
Если на диске имеется несколько сессий, можно выбрать для более подробного анализа любую из них. Для этого щелкните на кнопке Session (сессия)ивдо-полнительном окне выберите нужную сессию (рис. 6.28).
Рис. 6.28. Окно для выбора сессии
Расположенные ниже кнопки Auto (Автоматически) и Names (Имена) обеспечивают выбор режима обработки имен файлов и папок на сканируемом диске: при нажатой кнопке Auto программа переносит в свой буфер имена считываемых объектов без изменения; если нажата кнопка Names, то имена преобразуются в соответствии со стандартом ISO-9660. Это означает, что каждый недопустимый символ заменяется символом подчеркивания, затем число символов перед точкой урезается до 8, а число символов после точки – до 3.
Рассмотрим эффект от использования режима Names на примере. Предположим, что вы переписали папку с файлами с жесткого диска на CD в формате ISO-9660. Если папка содержала вложенные папки или файлы с длинными именами, то в процессе записи компакт-диска программа прожига может исказить такие имена до неузнаваемости (рис. 6.29).
Стандартными средствами операционной системы ни один объект с подобным именем открыть невозможно. После сканирования диска Multi Data Rescue в режиме Auto картина остается практически без изменений (рис. 6.30).
Рис. 6.29.Результат приведения длинных имен к стандарту ISO-9660
Рис. 6.30.Результат сканирования диска в режиме Auto
Правда, Multi Data Rescue позволяет открывать папки с некорректными именами, но для нормальной работы они все равно будут непригодны.
После сканирования диска в режиме Names объекты получают вполне приличные имена (рис. 4.31), под которыми их можно сохранить на жестком диске.
Рис. 6.31. Результат сканирования диска в режиме Names
Вернемся к процедуре восстановления. После завершения сканирования диска вы должны сформировать список объектов, подлежащих восстановлению. Для этого выполните следующие действия.
1. Щелкните на кнопке Add Files и в одноименном дополнительном окне (именно оно было показано на рис. 6.30 и 6.31) выберите нужные объекты (для выбора нескольких файлов используйте клавиши Ctrl и Shift); если вы хотите восстановить какую-либо папку полностью, предварительно щелкните на кнопке Select Folders (Выбор папок).
2. Завершив выбор, щелкните на кнопке Add to List (Добавить в список), расположенной в правом нижнем углу окна; после этого окно Add Files закроется, и все выбранные объекты будут представлены на вкладке Mode A основного окна.
Чтобы пополнить список, повторите описанные выше действия.
Чтобы удалить некоторые или все объекты из списка восстановления, используйте кнопки Delete selected files (удалить выбранные файлы) и Delete all files (удалить все файлы).
ПРИМЕЧАНИЕ
При формировании списка восстановления надо учитывать следующие особенности: все объекты, включенные в список, восстанавливаются за один прием; восстановленные объекты удаляются из списка.
После того как список будет сформирован, щелкните на кнопке Dst Folder, чтобы выбрать папку для сохранения восстанавливаемых объектов. Затем щелкните на кнопке Go, чтобы начать восстановление. На экране появится диалоговое окно, отображающее состояние процесса восстановления.
Обратите внимание, что в этом окне выводится информация об ошибкахиочис-ле успешных попыток применения технологии OverRescue. Именно наличие ошибок при восстановлении файлов является указанием на то, что следует применить технологию OverRescue и выполнить восстановление повторно.
Итоговые результаты восстановления отображаются еще в одном окне – Processing Finished (Завершение обработки). Для каждого файла в нем выводится резюме (рис. 6.32).
Рис. 6.32. Результаты процесса восстановления
Возможные варианты:
OK – файл восстановлен успешно (по мнению программы);
OverRescue – файл восстановлен с применением технологии OverRescue;
ERROR – файл не удалось восстановить; рекомендуется повторить попытку с применением технологии OverRescue;
SIZE ER – файл после восстановления имеет нулевой размер; рекомендуется повторить попытку с усиленными значениями параметров работы Multi Data Rescue;
CANCELED – восстановление прервано пользователем;
NOTFOUND – файл не найден на диске; рекомендуется извлечь и повторно вставить диск в дисковод;
WRITE ER – проблемы при записи файла на жесткий диск; наиболее вероятная причина – недостаточно свободного места на HDD.
Окно Processing Finished интересно также тем, что с его помощью можно оценить качество восстановления конкретного файла. Для этого следует выбрать файл в списке и щелкнуть на кнопке Preview (Предварительный просмотр). В зависимости от типа файла и успешности его восстановления вы можете увидеть (рис. 6.33):
текстовое содержимое файла в кодировке ANSI (для файлов форматов TXT, HTML, CSS и т. п.);
графическое содержимое файла (для файлов BMP и JPEG);
шестнадцатеричное представление файла (для всех других типов файлов).
Рис. 6.33.Предварительный просмотр восстановленных файлов
Восстановление данных в режиме В
Данный режим должен применяться при восстановлении данных на дисках, записанных с использованием файловой системы UDF. Первый шаг процедуры восстановления, как и при работе в режиме А, – это сканирование диска с целью определения его файловой структуры. Чтобы начать сканирование, щелкните на кнопке Scan (Сканировать), расположенной в вертикальной группе кнопок (рис. 6.34).
Рис. 6.34. Кнопки управления сканированием в режиме В
Предварительные результаты сканирования отображаются в поле справа от кнопок управления сканированием.
Кнопки управления параметрами сканирования в режиме В имеют следующее назначение:
All/Last (Все/последняя) – позволяют выбрать сессии, которые требуется сканировать; ограниченный выбор объясняется тем, что при записи диска в пакетном режиме каждая последующая сессия содержит описание дерева папок и файлов из всех предыдущих сессий. Следовательно, в большинстве случаев для получения сведений о структуре файловой системы достаточно исследовать лишь последнюю сессию, и лишь в случае неудачи можно попробовать собрать сведения на основе предыдущих сессий;
Auto/Normall/Full (Автоматическое/обычное/полное) – позволяют выбрать режим сканирования диска; в «обычном» режиме Multi Data Rescue собирает сведения только о тех файлах, которые (по мнению программы) подлежат восстановлению. В режиме «полного» сканирования сведения собираются обо всех папках и файлах, имеющихся на диске. В режиме «автоматического» сканирования Multi Data Rescue сама выбирает наиболее подходящий режим;
All Files (Все файлы) – определяет поведение Multi Data Rescue в отношении объектов, помещенных в результате сканирования в две специальные папки: Unattached Item (Несвязанные элементы) и Unnamed Item (Безымянные элементы).
В первую папку – Unattached Item – Multi Data Rescue помещает файлы и папки нижних уровней, которые по той или иной причине потеряли своих «родителей». Во вторую папку – Unnamed Item – программа помещает объекты с некорректными именами. Физически таких папок на диске нет, и Multi Data Rescue добавляет их в дерево каталогов лишь в списке объектов, подлежащих восстановлению (рис. 6.35).
Если вы захотите восстановить содержимое диска полностью, то при отжатой кнопке All Files программа Multi Data Rescue игнорирует все объекты, включенные ею в папки Unattached Item и Unnamed Item. Если же кнопка нажата, то содержимое этих папок также будет восстановлено (по возможности).
В остальном процедура восстановления данных в режиме В аналогична рассмотренной для режима А.
ПРИМЕЧАНИЕ
Multi Data Rescue способна в некоторых случаях восстанавливать данные на диске, записанном в пакетном режиме, после «быстрого» форматирования компакт-диска. Для этого требуется проводить сканирование CD в режиме Full. Обнаруженные объекты будут помещены в папки Unattached Item и Unnamed Item.
Восстановление данных в режиме UltraRescue
Еще раз повторим, что режим UltraRescue предназначен для восстановления значительно поврежденных дисков. Разумеется, вы можете применять егоивдру-гих случаях, однако применение этого режима предполагает более тщательный анализ носителя и, соответственно, требует больших затрат времени. Для управления работой программы в этом режиме используется свой набор кнопок, отображаемых в середине окна (рис. 6.36).
Технология работы в этом режиме в целом аналогична работе в режимах A и B: сначала программа выполняет сканирование диска в выбранном устройстве, затем вы формируете список из найденных объектов и после этого пытаетесь сохранить интересующие вас файлы и папки на другом носителе.
При этом режим UltraRescue позволяет исследовать диски, записанные с использованием всех поддерживаемых программой файловых систем, включая UDF.
Рис. 6.36. Кнопки управления сканированием CD в режиме UltraRescue
Еще одна особенность режима UltraRescue состоит в том, что перед началом сканирования вы можете указать, файлы какого типа требуется искать. Чтобы выполнить соответствующую настройку, щелкните на кнопке Config (Конфигурация) и в дополнительном окне (рис. 6.37) щелкните на кнопках, соответствующих нужным категориям файлов. Например, для отбора файлов, поддерживаемых пакетом MS Office, следует щелкнуть на кнопке Office.
Рис. 6.37. Окно для отбора категорий восстанавливаемых файлов
После определения набора интересующих файлов можно оперативно переходить от выборочного сканирования диска к полному и обратно с помощью кнопок Checked (Отмеченные) и All Files (Все файлы).
Кнопки Auto, Normal и Full позволяют корректировать алгоритм поиска и восстановления. По умолчанию рекомендуется использовать режим Auto. Если же он не дает желаемого результата или нужный файл имеет очень большой размер, следует попробовать воспользоваться режимами Normal и Full.
Восстановление данных в режиме DigitalMedia
Для управления сканированием в режиме DigitalMedia предназначены шесть кнопок, разделенные (условно) на три группы (рис. 6.38):
в первую входит единственная кнопка – Config (Конфигурация), которая используется, как и при работе в режиме UltraRescue, для отбора категорий восстанавливаемых файлов; щелкнув на ней, вы сможете в дополнительном окне (рис. 6.39) указать категории данных, которые вас интересуют; обратите внимание, что предусмотрены два отдельных набора вариантов – для цифровых камер (Digital Cameras) и для съемных дисков и накопителей Flash Drive;
во вторую группу входят две кнопки – Normal и Forced; с их помощью можно управлять параметрами алгоритма сканирования и восстановления файлов изображений; в большинстве случаев вполне достаточно режима Normal,по-скольку включение режима Forced приводит, как правило, к обнаружению совершенно испорченных файлов (точнее, того, что от них осталось);
Рис. 6.38. Кнопки управления сканированием CD в режиме DigitalMedia
Рис. 6.39. Отбор категорий файлов в режиме DigitalMedia
кнопки Auto, Normal и Full образуют третью группу; они имеют то же предназначение, что и для режима UltraRescue.
Установив параметры сканирования, щелкните на кнопке Scan, чтобы получить вначале список обнаруженных съемных дисков (в их число входят и гибкие диски).
Дальнейшая работа по извлечению поврежденных файлов выполняется таким же образом, как и в других режимах.
Программа IsoBuster
IsoBuster – это продукт компании Smart Projects, владельцем которой (и, собственно, единственным штатным сотрудником) является Peter Van Hove. IsoBuster практически ни в чем не уступает рассмотренной выше программе CD Data Rescue, а по некоторым параметрам даже превосходит ее.
Основные возможности
Последняя на момент написания книги версия IsoBuster (1.8) обладает следующими функциональными возможностями:
распознавание большинства существующих форматов CD и DVD, в том числе: для CD – это Data CD (включая пакетные CD), CD-DA, CD-Text, CD-i, Video CD, Super Video CD, CD-ROM, CD-ROM XA, записанные как на носители CD-R, так и на CD-RW; для DVD – это DVD-ROM, DVD-Video, DVD+VR, DVD+VRW, DVD-VR, DVD-VM записанные на носителях DVD-RAM, DVD-R, DVD-RW, DVD+R, DVD+RW, а также на двухслойных дисках DVD+R DL, DVD-R DL и DVD+RW Dual Layer;
анализ дисков, записанных в режиме Mount Rainier, причем не только с использованием приводов, поддерживающих режим Mount Rainier, но и на устройствах без встроенной поддержки этого режима;
восстановление данных на дисках, поврежденных в процессе записи (например, в результате так называемого «опустошения буфера»);
восстановление данных на дисках DVD+RW после их очистки или быстрого форматирования;
извлечение данных, записанных в формате MPG, с дисков Video CD и Super
Video CD;
сканирование поверхности дисков CD/DVD с целью выявления физических ошибок чтения;
посекторное считывание данных с диска (по заказу пользователя) и их представление в шестнадцатеричном коде (это обеспечивает возможность «ручного» восстановления данных в наиболее тяжелых случаях);
«сырое» чтение данных (в режиме RAW) с целью последующего определения их «дальнейшей судьбы»;
поиск и восстановление поврежденных графических файлов, записанных на CD с цифровых камер;
автоматическое определение типа (расширения) поврежденного файла на основе анализа его содержимого;
умение работать не только с физическими дисками, но и файлами образов, хранимыми на HDD; поддерживаются файлы образов, создаваемые всеми наиболее распространенными программами прожига (в том числе Nero, Roxio Creator, CloneCD);
вычисление контрольной суммы файлов образа (для последующей проверки их целостности);
преобразование исходного файла образа в формат ISO;
создание файла образа на основе считанных с диска данных, а также создание индексной карты (Cue-sheet, файла в формате CUE);
воспроизведение найденных на диске звуковых дорожек.
При всем при этом IsoBuster обладает простым в освоении интерфейсом, который, как уже было сказано, существует и в русскоязычном варианте (всего поддерживается 41 язык).
Порядок работы
Интерфейс IsoBuster не требует пространного описания, а потому перейдем сразу к процедуре восстановления данных с помощью IsoBuster.
Она состоит из следующих основных шагов.
1. В раскрывающемся списке, расположенном в верхней части основного окна программы (рис. 6.40), выберите CD/DVD привод с восстанавливаемым диском. Если диск имеется только в одном из приводов компьютера, то IsoBuster приступит к сканированию автоматически, сразу после запуска (сканирование длится считанные секунды).
ПРИМЕЧАНИЕ
Если требуется восстановить файл образа, хранящийся на жестком диске, выберите в меню Файл команду Открыть файл-образ; затем с помощью дополнительного окна укажите нужный файл.
2. Используя дерево файловой структуры диска, представленное в левой панели основного окна, выберите сессию, дорожку, папку или отдельный файл, подлежащие восстановлению.
3. В правой панели окна щелкните правой клавишей мыши на значке найденного объекта и в контекстном меню выберите режим работы, в соответствии с которым должно выполняться восстановление.
4. В дополнительном окне укажите, куда должны быть переписаны восстановленные данные.
ПРИМЕЧАНИЕ
Если выполняется восстановление файла образа, хранящегося на жестком диске, необходимо указать для записи восстановленного варианта папку, отличную от той, где хранится образ-оригинал (лучше, если это будет вообще другой жесткий или логический диск). В противном случае восстанавливаемые данные могут оказаться повреждены еще сильнее.
Рис. 6.40. Основное окно программы IsoBuster
Если в результате первоначального сканирования IsoBuster не смог обнаружить интересующие вас данные, то вы можете заставить его повторить сканирование в одном из «усиленных» режимов. Поскольку зачастую трудно предположить, где именно расположены на диске искомые данные, то весьма полезной может оказаться следующая процедура:
Рис. 6.41. Выбор «усиленного» режима сканирования
1. В левой панели окна выделите «корень» диска и щелкните на нем правой клавишей мыши.
2. В контекстном меню выберите команду Find missing files and folders (Искать отсутствующие файлы и папки) (рис. 6.41).
Необходимо иметь в виду, что поиск данных в таком режиме занимает много времени, поскольку IsoBuster применяет в этом случае посекторное чтение диска. Причем для плохо читаемых секторов может выполняться неоднократное обращение. Чтобы несколько ускорить процесс, можно ограничить число попыток повторного чтения. Для этого выполните следующие действия.
1. В меню Настройки выберите пункт Обмен данными и в открывшемся окне перейдите на вкладку Параметрычтения (рис. 6.42).
2. С помощью двух ползунковых регуляторов установите приемлемое число попыток чтения. Обратите также внимание, не разрешено ли ожидание ответа привода (флажок Activate delays – задать задержку); если флажок установлен, сбросьте его; либо, по крайней мере, сократите время ожидания.
Рис. 6.42. Установка параметров чтения данных
Если даже после указанных настроек у вас не хватает терпения дождаться окончания процедуры сканирования, вы можете ее прервать, щелкнув в окне индикатора состояния процесса на кнопке Отменить. В отличие от многих других программ, здесь это не приведет к потере найденных до сего момента данных: программа выведет в окне сведения о тех файлах и папках, которые она успел найти. Они будут представлены в категории Потерянные и найденные (рис. 6.43).
Варианты действий с данными
В связи с многообразием вариантов, предоставляемых IsoBuster при выборе способов дальнейших действий над восстанавливаемыми данными, рассмотрим эти варианты подробнее.
Рис. 6.43. Представление данных, найденных в «усиленном» режиме
Прежде всего необходимо отметить, что в контекстном меню восстанавливаемого объекта одна из команд, как правило, выделена жирным шрифтом. Это вариант действий, оптимальный с точки зрения самого IsoBuster, исходя из типа и состояния объекта.
Для большинства файлов в контекстном меню обычно доступны три команды:
Извлечь <имя файла> – копия восстанавливаемого файла будет записана по указанному адресу (он вводится в дополнительном окне);
Выполнить – файл будет открыт с помощью ассоциированного приложения (временная копия файла создается в папке, используемой IsoBuster по умолчанию);
Извлечь и выполнить – файл будет открыт с помощью ассоциированного приложения, однако перед этим потребуется указать, куда записать его восстановленную копию.
Для файлов и папок общими являются три команды:
Извлечь как Raw и преобразовать в пользовательские данные – поблочное (по-секторное) извлечение данных, причем с диска извлекается не только «пользовательская», но и служебная информация (в частности, биты синхронизации и корректирующий код); после этого IsoBuster выполняет отбор данных пользователя и предлагает сохранить их на жестком диске;
Извлечь и отфильтровать только M2F2 Mpeg кадры – такой вариант обработки целесообразно использовать только в том случае, если вы предполагаете, что восстанавливаемая папка (или дорожка) содержит видеоданные в формате MPEG и эти данные требуется восстановить в исходном формате;
Извлечь Raw-данные (2352байт/блок) – поблочное чтение «сырых» данных без последующей обработки; режим целесообразно использовать при восстановлении образа диска.
Для папок, помимо трех приведенных выше команд, доступна также команда Извлечь <имя папки> – копия папки (со всем ее содержимым) будет записана по указанному адресу (он вводится в дополнительном окне).
Кроме того, в контекстном меню папки имеются команда Открыть папку и каскадное меню Дерево папок и файловая информация. Команды этого меню позволяют формировать (и при необходимости сохранять в текстовом файле) сведения об иерархии восстанавливаемых каталогов.
Для сессии в контекстном меню доступны две группы специфических команд. Каждая из этих групп имеет свое название:
Извлечь Session <Содержимое> – в нее входят команды, похожие по названию и по сути на команды обработки папок; отличие состоит в том, что извлеченные данные сохраняются в виде файла образа с расширением. iso либо в виде двоичного файла (.bin); для диска CD-DA возможно также сохранение восстановленной сессии в виде набора WAV-файлов;
Извлечь Session <Образ> – входящие в нее команды аналогичны командам из первой группы, с тем лишь ограничением, что они не позволяют преобразовывать музыкальные дорожки сессии в WAV-файлы.
Для треков (дорожек) могут использоваться такие же группы команд извлечения с последующим сохранением дорожки в виде файла образа.
Если трек диска представляет собой звуковую дорожку диска CD-DA (то есть файл. cda), то для него доступны две специфические команды:
Воспроизвести аудио – воспроизведение выполняется непосредственно CD/ DVD-приводом в аналоговом формате.
Извлечь аудио в Wave-файл – преобразование дорожки в WAV-файл и его запись по указанному адресу.
Для сессий и дорожек имеется одна общая команда – Извлечь диапазон. Особенность ее выполнения состоит в том, что с помощью дополнительного диалогового окна можно указать номера секторов диска, подлежащих восстановлению. Извлеченные секторы записываются в один двоичный файл (.bin).
Наконец, для всех типов объектов доступна команда Просмотр секторов. Выбрав ее, вы увидите на экране окно, содержащее покадровое представление содержимого первого сектора файла (папки, дорожки) в шестнадцатеричном коде (рис. 6.44).
С помощью элементов управления, имеющихся в окне, можно переходить от одного сектора к другому, изменять режим просмотра и сохранять содержимое секторов на диске в виде файлов в формате RTF или TXT.
Подготовленные пользователи могут в достаточно широком диапазоне изменять технологические настройки IsoBuster, открыв с помощью команд меню Настройки одну из многочисленных групп параметров. Например, на вкладке Файлы-образы (рис. 6.45) можно задать необходимость разбиения образов большого размера на несколько файлов, а также заставить программу вычислить контрольную сумму для файла-образа.
Рис. 6.44. Представление содержимого первого сектора файла в шестнадцатеричном коде Рис.
6.45. Представление данных, найденных в «усиленном» режиме
Программа PC Inspector Smart Recovery
Программа PC Inspector Smart Recovery обладает по меньшей мере двумя несомненными достоинствами: она совершенно бесплатна (freeware) и чрезвычайно проста в использовании. Кроме того, на веб-сайте производителя, компании PC Inspector (www.pcinspector.de) имеется русскоязычный раздел.
PC Inspector Smart Recovery (в дальнейшем для краткости – Smart Recovery) распознает данные, записанные на картах памяти Flash Card, Smart Media, SONY Memory Stick, IBM Micro Drive, Multimedia Card и Secure Digital Card, на устройствах Flash Drive, на компакт-дисках, гибких дисках и, наконец, на жестких дисках (в том числе с файловой системой NTFS).
Однако все-таки основная специализация Smart Recovery – это восстановление файлов на смарт-картах, используемых для хранения мультимедийных данных. Именно поэтому Smart Recovery поддерживает лишь относительно небольшое число форматов файлов: JPG, TIF, CRW, Fuji RAF, Olympus ORF, видеофайлы AVI и QuickTime MOV, а также аудиофайлы WAV и DSS Audio.
Для восстановления данных требуется выполнить всего четыре шага.
1. Выбрать устройство, подлежащее исследованию.
2. Выбрать тип файлов, которые следует восстановить.
3. Указать папку для сохранения и имя восстановленного файла.
4. Активизировать процедуру сканирования носителя.
Все перечисленные действия выполняются в единственном окне программы. Оно разделено на три части, каждая из которых соответствует одному из трех подготовительных этапов (рис. 6.46):
раздел Select Device (Выбор устройства) содержит раскрывающийся список с перечнем подключенных к компьютеру устройств хранения данных и три информационных поля: Media (Носитель), Size (Емкость) и Drive State (Состояние устройства); в поле Media могут использоваться следующие условные обозначения:
Removable – любое динамически подключаемое устройство (цифровая камера, устройство чтения смарт-карт, Flash Drive), а также гибкий диск;
Hard Disk – любой жесткий диск;
CD-ROM – любой компакт-диск (в том числе CD-RW в формате Packet CD);
раздел Select Format Type (Выбор формата) содержит раскрывающийся список с перечнем поддерживаемых форматов файлов, а также группу из трех переключателей, с помощью которых вы можете указать параметры восстановления файлов JPEG:
Automatic (Автоматически) – Smart Recovery сам выбирает наиболее подходящий вариант;
With Thumbnails (С миниатюрой) – в восстанавливаемый файл будут включены дополнительные данные (уменьшенный вариант изображения)
Without Thumbnails (Без миниатюры) – дополнительные данные в восстанавливаемый файл не включаются;
Рис. 6.46.Окно программы PC Inspector Smart Recovery
раздел Select Destination (Выбор расположения) – содержит поле с кнопкой, позволяющее указать адрес для записи восстанавливаемых файлов и их имена; следует иметь в виду, что выбранное имя будет использовано для всех восстановленных файлов (с добавлением к имени порядкового номера файла).
ВНИМАНИЕ ____________________
При выборе папки для записи восстановленных файлов следует иметь в виду, что их размер может оказаться больше размера файла-оригнала.
Если имеющаяся у вас модель цифровой камеры распознается Windows как логическое устройство, можно разрешить Smart Recovery работать непосредственно с камерой, без извлечения смарт-карты. В противном случае вам потребуется использовать для работы со смарт-картой соответствующее считывающее устройство.
Для инициализации процесса восстановления требуется щелкнуть на кнопке Start (Начать), расположенной в правом нижнем углу окна программы.
Как только Smart Recovery удается восстановить файл заданного типа, он сразу записывает его в указанную вами папку. Благодаря этому вы можете отслеживать процесс восстановления не только с помощью информационных полей, имеющихся в разделе Progress (Изменение) основного окна программы, но и просматривая содержимое восстановленных файлов. Как только нужный вам файл будет восстановлен, вы можете завершить процесс, щелкнув на кнопке Cancel (Отменить).
Если ни один файл восстановить не удастся, Smart Recovery предложит выполнить углубленное обследование носителя (сканирование в режиме Intensive Mode).
Для включения такого режима вручную, до начала сканирования накопителя, откройте меню File (Файл), выберите команду Settings (Установки) и установите переключатель режима в соответствующее положение.
ПРИМЕЧАНИЕ ____________________
Углубленное обследование необходимо, в частности, при сканировании жесткого диска с файловой системой NTFS.
В качестве дополнительной сервисной функции Smart Recovery предлагает возможность проверить сканируемый носитель данных посекторно. Эта функция особенно полезна для предупреждения внезапного выхода из строя смарт-карты. Для включения функции откройте меню Function (Функция) и выберите команду Check media (Проверить носитель). Результаты проверки отображаются в разделе Media check (Проверка носителя) окна программы.
Глава 7
Восстановление данных на жестких дисках
Вот, наконец, мы и подошли к описанию ситуации, при возникновении которой даже опытные пользователи начинают слегка волноваться.
Восстановление логической структуры диска
К повреждениям логической структуры жесткого диска относятся:
повреждение или удаление главной загрузочной записи;
повреждение или удаление таблицы разделов;
повреждение или удаление одной либо нескольких загрузочных записей основных разделов;
повреждение таблиц разделов на дополнительном разделе;
ошибочное изменение размера либо удаление раздела или логического диска.
Для успешного устранения перечисленных проблем полезно знать причины их возникновения, а также иметь определенный запас терпения и хладнокровия.
ПРИМЕЧАНИЕ
Вам потребуется значительно меньше времени и терпения, если высумеете вспомнить хотя бы самые основные параметры диска: количество, порядок следования и размеры разделов, а также тип файловой системы на каждом из них.
Восстановление главной загрузочной записи
Прежде всего необходимо определить причину повреждения загрузочных секторов. Если оно вызвано оплошностью пользователя или сбоем в работе программ или оборудования, можно переходить непосредственно к процедуре восстановления. Если же повреждение загрузочных секторов произошло вследствие деятельности вируса или другой вредоносной программы, предварительно необходимо «найти и уничтожить» злоумышленника.
ПРИМЕЧАНИЕ ____________________
«Лечение» секторов необходимо производить только при условии отсутствия вируса в оперативной памяти. Если копия вируса в памяти не обезврежена, то вполне вероятно, что вирус повторно заразит гибкий диск или винчестер после удаления кода вируса.
Теперь собственно о процедуре восстановления. Как вы знаете, главная загрузочная запись (MBR) присутствует на любом сконфигурированном физическом диске. Однако код программы начальной загрузки в MBR зависит от того, какой ОС создавалась главная загрузочная запись. То есть MBR, созданная при инсталляции Windows 98, отличается от MBR, созданной при инсталляции Windows XP или Linux (подробнее об этом см. главу 5, раздел «Устранение проблем с загрузкой системы»). Содержимое загрузочной записи раздела зависит, кроме того, от типа созданной на этом разделе файловой системы. При выборе средств для восстановления MBR и BR разделов обязательно следует учитывать указанные факторы. Поэтому процедуры восстановления MBR и BR рассмотрены ниже раздельно для Windows 98 и Windows XP.
Восстановление MBR для Windows 98
Прежде чем пытаться восстановить MBR, следует убедиться в необходимости этой процедуры. Для проверки состояния MBR целесообразно использовать утилиту Norton DiskEdit.
ПРИМЕЧАНИЕ
Несмотря на появление все новых программных инструментов для «лечения» файловых систем, многие опытные пользователи предпочитают применять для исправления серьезных ошибок программу Norton DiskEdit. Объясняется это тем, что DiskEdit предоставляет удобные средства просмотра всех элементов структурыфайловой системыи, кроме того, способна предотвратить некорректные изменения этих элементов в процессе восстановления. По указанной причине мыбудем использовать в качестве иллюстраций к излагаемому материалу «снимки» структуры файловой системы, полученные с помощью DiskEdit. Это поможет вам одновременно осваивать возможности DiskEdit.
Чтобы получить доступ ко всем функциям DiskEdit, требуется запустить программу в режиме DOS. Поэтому предварительно необходимо подготовить загрузочный гибкий диск.
СОВЕТ ____________________
Если имеющаяся в вашем распоряжении версия DiskEdit записана на компакт-диске, следует иметь «стандартный» вариант загрузочного гибкого диска, обеспечивающий поддержку CD-привода. Если же предполагается запускать DiskEdit с гибкого диска, можно либо создать «усеченный» вариант загрузочного диска и записать на него файл DiskEdit.exe (он занимает около 700 Кбайт), либо подготовить отдельный гибкий диск с DiskEdit.
Чтобы выбрать с помощью DiskEdit жесткий диск, подлежащий проверке, выполните следующие действия.
1. Загрузите компьютер с гибкого диска в режиме DOS и запустите программу DiskEdit; программа предупредит вас, что она работает в режиме Read Only (Только чтение) с целью защиты данных от случайного редактирования (как изменить режим работы, сказано далее).
2. Щелкните на кнопке Continue (Продолжить), чтобы продолжить работу. Disk-Edit выполнит сканирование дисков с целью определения структуры файловой системы.
3. После завершения сканирования DiskEdit выведет на экран список обнаруженных устройств (рис. 7.1). По умолчанию DiskEdit отображает список логических дисков. Если же таблица разделов повреждена настолько, что ни один из логических дисков не опознан, выводится список обнаруженных физических дисков.
4. В списке Type (Тип) поставьте переключатель в положение Physical Disk (Физический диск).
5. В списке устройств выберите физический диск, который требуется исследовать.
Рис. 7.1.Список устройств, обнаруженных DiskEdit
Физически MBR занимает самый первый сектор жесткого диска (цилиндр 0, головка 0, сектор 1).
ПРИМЕЧАНИЕ
В дальнейшем для краткости будем использовать следующие обозначения: C номер цилиндра, Н – номер головки, S – номер сектора.
Чтобы перейти к нужному сектору, выполните следующие действия.
1. В меню Object (Объект) выберите пункт Physical Sector (Физический сектор).
2. В дополнительном окне (рис. 7.2) введите номер сектора и щелкните на кнопке OK.
Рис. 7.2.Выбор физического сектора
По умолчанию DiskEdit отображает содержимое сектора в шестнадцатеричном коде (режим as Hex) (рис. 7.3).
Рис. 7.3. Представление MBR в шестнадцатеричном коде
В этом представлении каждая пара шестнадцатеричных цифр соответствует одному байту.
ВНИМАНИЕ
Если значение некоторого параметра занимает более одного байта, то в шестнадцате-ричном представлении параметра его старший байт расположен справа, а младший – слева. Например, сигнатура завершения таблицыразделов, АА55, в шестнадцатеричном представлении выглядит как 55 АА.
Первые байты сектора должна занимать программа начальной загрузки. Визуально отличить «нормальную» программу от поврежденной весьма сложно (особенно в том случае, если вы ее вообще первый раз видите). В качестве косвенного признака исправного состояния программы начальной загрузки может служить наличие в ней текстовых диагностических сообщений (типа Geom. Hard. Disk). Их можно увидеть в крайнем правом столбце окна, который содержит символьное (текстовое) представление данных. Еще один косвенный признак – это размер программы. Она должна занимать приблизительно три четверти сектора (446 байт, или 1BE байт в шестнадцатеричной системе) и отделяться от таблицы разделов нулевыми байтами.
Распределение пространства первого сектора жесткого диска представлено в табл. 7.1.
Наконец, наличие корректной таблицы разделов может говорить о том, что первый сектор (сектор 0) в целом не поврежден (или поврежден незначительно). О том, как оценить состояние PT, сказано далее.
Если вы считаете, что программа начальной загрузки требует «лечения», можно использовать следующие методы:
если имеется электронная копия MBR («снятая», например, с аналогичного жесткого диска), можно заменить ею испорченную MBR;
выйти из DiskEdit и в командной строке ввести инструкцию FDISK /MBR; это
приведет к обновлению MBR, но таблица разделов останется в прежнем виде;
при наличии «эталонного» варианта программы, записанного, например, на листе бумаги, и незначительных искажениях можно отредактировать MBR вручную.
В большинстве случаев для восстановления MBR достаточно обновить ее командой FDISK /MBR. Процедура состоит из следующих действий.
1. С помощью программы BIOS Setup убедитесь, что в качестве первого загрузочного устройства указан дисковод FDD.
2. Загрузите компьютер с помощью загрузочного гибкого диска.
3. В командной строке введите FDISK /MBR.
4. Извлеките гибкий диск и выполните перезагрузку системы.
ВНИМАНИЕ
Будьте осторожныпри использовании FDISK /MBR, если повреждение MBR обусловлено воздействием вируса. Дело в том, что эта команда заново переписывает код программы-загрузчика системы и не изменяет таблицу разделов (Partition Table). Если вирус шифрует Partition Table или использует нестандартные способы заражения, FDISK /MBR может привести к полной потере информации на диске. Поэтому перед запуском FDISK /MBR убедитесь в корректности Partition Table. Для этого требуется загрузиться с незара-женного гибкого DOS-диска и проверить корректность этой таблицы(процедура проверки и восстановления PT описана в подразделе «Восстановление таблицыразделов»).
При использовании FDISK необходимо учитывать, что данная утилита не может работать с дисками объемом больше 64 Гбайт.
Чтобы произвести «ручную» правку MBR, необходимо перевести DiskEdit в режим редактирования. Для этого выполните следующие действия.
1. В меню Tools (Сервис) основного окна выберите пункт Configuration (Конфигурация).
2. В открывшейся панели настроек снимите флажок возле пункта Read Only (Только чтение) и щелкните на кнопке OK.
ПРИМЕЧАНИЕ
Для изменения состояния флажков и переключателей в DiskEdit следует использовать клавишу <Пробел>.
После дополнительного подтверждения о смене режима DiskEdit сохранит новые параметры и выполнит повторное сканирование диска. Чтобы вернуться к первому сектору, выполните еще раз описанную выше последовательность действий.
Восстановление MBR для Windows XP
С помощью DOS-команды FDISK /MBR невозможно восстановить MBR, созданную при инсталляции Windows XP.
Для решения этой задачи следует использовать команду fixmbr, которая доступна из консоли восстановления Windows XP. Команда имеет следующий формат:
fixmbr [имя_диска], где имя_диска – это обозначение диска, на который требуется записать новую MBR. Имя диска может выглядеть следующим образом: \Device\HardDisk0.
Так новая MBR записывается на указанный диск: fixmbr \Device\HardDisk0.
ПРИМЕЧАНИЕ
Для получения имени диска можно воспользоваться командой map, которая также доступна в среде Консоли восстановления (рис. 7.4).
Рис. 7.4. Представление имен дисков командой map
ВНИМАНИЕ
Если параметр имя_устройства не указан, новая MBR будет записана на диск, с которого загружается основная ОС.
Если при выполнении команды fixmbr будет обнаружена неправильная или нестандартная подпись таблицы разделов, то на экран выводится запрос подтверждения продолжения работы. Если доступ к дискам осуществляется без сбоев, то на запрос следует ответить отрицательно.
ВНИМАНИЕ
Запись новой MBR на диск с системным разделом может привести к повреждению таблиц разделов, в результате чего разделы могут стать недоступными.
Проверка и восстановление таблицы разделов
Чтобы оценить состояние таблицы разделов (PT), выполните следующие действия.
1. С помощью DiskEdit откройте первый сектор диска, как было описано ранее.
2. В меню View (Вид) выберите пункт as Partition Table (в виде таблицы разделов).
Информация, которая появится на экране, существенно зависит от состояния PT. В любом случае DiskEdit попытается представить данные, расположенные там, где должна находиться PT, в виде таблицы. Если PT более или менее корректна, то она должна выглядеть приблизительно так, как показано на рис. 7.5.
Рис. 7.5. Представление таблицы разделов в текстовой форме
Столбцы таблицы, выводимой DiskEdit, означают следующее:
System (Система) – тип файловой системы или раздела; расширенный (дополнительный) раздел обозначается как EXTNDx; элемент дополнительной таблицы разделов, ссылающийся на следующий логический диск, имеет метку EXTEND;
Boot (Загрузка) – признак загрузочного раздела; если раздел является загрузочным, для него выводится значение Yes, в противном случае – No;
Starting Location (Начальное положение) – адрес первого сектора раздела, заданный номером головки, цилиндра и сектора;
Ending Location (Конечное положение) – адрес последнего сектора раздела, заданный номером головки, цилиндра и сектора;
Relative Sectors (Относительный сектор) – номер первого сектора раздела в соответствии с адресацией LBA (то есть при «сквозной» нумерации по головкам, цилиндрам и секторам);
Number of Sectors (Количество секторов) – размер раздела, измеренный в секторах (напомним, сектор имеет размер 512 байт).
Чтобы просмотреть цепочку ссылок на логические диски, размещенные внутри расширенного раздела, выполните следующие действия.
1. Переместите курсор в строку, соответствующую расширенному разделу.
2. В меню Link (Ссылка) выберите пункт Partition (Раздел).
3. Если в столбце System появился элемент-ссылка (с меткой EXTEND), повторите для него шаги1и2, чтобы перейти к следующему логическому диску (рис. 7.6).
Рис. 7.6. Просмотр дополнительныхтаблиц разделов в текстовой форме
Если отображаемые DiskEdit параметры PT говорят о наличии ошибок в ней и вам известна геометрия разделов жесткого диска, то можете отредактировать записи PT «вручную» (то есть с помощью DiskEdit), прямо в таблице.
Если же повреждения PT столь велики, что представленная в таблице информация вообще не поддается разумной интерпретации, можно попробовать другой метод анализа. Откройте PT в виде шестнадцатеричного кода (для этого выберите команду View as Hex) и сравните содержащиеся в PT данные с приведенными в табл. 7.2.
Из всех перечисленных полей некое предопределенное значение может иметь лишь байт, содержащий код типа раздела. Например, для первичного раздела с файловой системой FAT32 этот код должен быть равен 0Ch, для логического диска с FAT32 в расширенном разделе он равен 0Bh, а для NTFS – 07h.
СОВЕТ
Достаточно обширный список наиболее распространенных кодов вы можете получить, если в программе ParagonPartitionManager вы берете для какого-либо раздела команду Изменить partition id (рис. 7.7).
Сектор таблицы логических дисков, в отличие от сектора главной загрузочной записи, практически пуст. Все байты в нем от начала и до байта со смещением 1BDh включительно должны содержать нулевое значение. Начиная со следующего байта (со смещением 1BEh) располагается дополнительная таблица разделов (Extended PT), состоящая из двух элементов. В конце сектора располагается уже знакомая вам сигнатура – значение AA55h. Структура элементов Extended PT полностью аналогична структуре элементов основной таблицы разделов.
В некоторых (особо тяжелых) случаях можно использовать следующий довольно экстремальный метод, который, впрочем, часто дает положительные результаты.
1. С помощью DiskEdit скопируйте в загрузочный сектор восстанавливаемого диска содержимое MBR и Partition Table с любого исправного диска. Затем, очистив (прописав нулями) все записи PT, кроме первой, отредактируйте ее, внеся заведомо искаженную информацию о конечном размещении раздела (например, 9999-й цилиндр) и общем количестве секторов (например, 99999999).
2. После этого запустите утилиту DiskDoctor, которая, как и DiskEdit, входит в набор Norton Utilities.
3. Начните проверку восстанавливаемого диска, щелкнув последовательно в двух окнах на кнопках Diagnose Disk и Diagnose (рис. 7.8).
Рис. 7.8. Стартовые окнаутилиты DiskDoctor
4. На запрос об устранении найденных в Partition Table ошибок ответьте согласием, щелкнув на кнопке Yes (рис. 7.9).
Рис. 7.9. Несмотря на грозное предупреждение DiskDoctor, соглашайтесь на все
5. После внесения исправлений в искусственно созданную вами таблицу разделов DiskDoctor предложит поиск возможных дополнительных DOS-разделов (то есть разделов с файловой системой семейства FAT). Дайте согласие на это, и если данные на диске не повреждены, дополнительный раздел будет найден и после вашего подтверждения восстановлен.
Как правило, после перезагрузки компьютера данные дополнительного раздела становятся доступны без дополнительных восстановительных операций.
Восстановление удаленных и «потерянных» разделов
Разделы и логические диски могут быть «потеряны» в результате повреждения таблицы разделов (PT). Поэтому зачастую процедуры «ремонта» PT и восстановления «потерянных» разделов являются звеньями одной цепи: восстановив одну из записей PT, можно отыскать на диске следующий раздел, внести его данные в соответствующую запись PT и так далее.
Ситуация несколько усложняется в том случае, если были удалены сами разделы (например, с помощью программ типа Paragon Partition Manager) либо если был отформатирован весь жесткий диск.
Особый случай – это потеря разделов в результате преобразования динамических томов в базовые.
Однако технология восстановления удаленных и «потерянных» разделов зависит не столько от причины утраты, сколько от того, является (являлся) ли удаленный раздел системным. Если нет, то все операции по восстановлению раздела можно производить непосредственно в среде ОС Windows. Причем если это Windows ХР, то в качестве основного инструмента можно использовать утилиту Управление дисками. Для Windows 98 потребуется программа, способная создавать разделы и логические диски без изменения области данных раздела. Таковыми являются, в частности, Norton Partition Magic и упоминавшийся Paragon Partition Manager (но не утилита FDISK, которая при сканировании доступного дискового пространства прописывает в первый сектор на каждом треке код F6, что приводит к потере информации в этих секторах).
Кроме того, необходимо будет вспомнить (и чем точнее, тем лучше) размер восстанавливаемого раздела.
Итак, для восстановления утраченного несистемного раздела без потери хранящихся на нем данных выполните следующие действия.
1. Создайте заново на его месте раздел такого же точно размера, не выполняя форматирование нового раздела.
2. В нулевой сектор раздела поместите копию загрузочной записи (BR) «бывшего» раздела (как ее найти и что собой представляет BR, рассказано в следующем подразделе).
Кроме того, весьма мощными средствами по отысканию и восстановлению «пропавших» разделов обладают программы Drive Rescue и EasyRecovery, рассмотренные в главе 6.
Восстановление данных в файловой системе FAT32
Порядок проверки состояния файловой системы в общем случае зависит от характера повреждения. Например, нет необходимости разбираться с MBR, если поврежден корневой каталог логического диска или таблица FAT. Тем не менее, если вы не можете определить причину неработоспособности системы или по общему характеру ситуации создалось впечатление, что «все пропало», лучше начинать диагностику с «самого верха».
Будем считать, что с помощью материала предыдущего раздела все проблемы с MBR успешно преодолены. В таком случае порядок проверки состояния разделов, представленных в таблице разделов, должен быть следующим.
1. Проверка загрузочной записи (Boot Record) раздела (логического диска).
2. Проверка состояния корневого каталога.
3. Исследование таблицы размещения файлов (FAT).
4. Проверка состояния вложенных папок и файлов.
Проверка и восстановление Boot Record
Загрузочная запись раздела (как и логического диска в дополнительном разделе) располагается в первом секторе этого раздела (в пределах раздела этот сектор имеет относительный номер 0).
Как уже было сказано, содержимое загрузочной записи зависит от типа операци– онной системы, которая должна загружаться с этого диска (если он является системным), и от типа файловой системы, под которую отформатирован раздел.
Тем не менее в любом случае BR содержит две области данных: программу на– чальной загрузки операционной системы и блок параметров BIOS (BIOS Para– meter Block, BPB).
С помощью программы DiskEdit можно перейти на интересующий вас сектор загрузочной записи двумя способами.
Первый способ доступен, если в PT все сведения корректны. В этом случае можнопросто выбрать в таблице нужный диск, а затем в меню Link выбрать ко манду Partition.DiskEdit выведет на экран содержимое всего сектора BR в текстовом виде (рис. 7.10).
Второй способ предполагает использование сведений, полученных при просмотре таблицы разделов, а точнее – абсолютного адреса первого сектора.
Выполните следующие действия.
1. Используя текстовое представление таблицы разделов, доберитесь по ссылкам до нужного диска.
2. Чтобы получить абсолютный адрес первого сектора диска, сложите относительный номер первого сектора диска, представленный в столбце Relative Sectors (в строке ссылки EXTEND), с абсолютным номером первого сектора предшествующего диска; например, для цепочки дисков, показанной на рис. 7.6, адрес первого сектора логического диска с FAT32 будет равен: 8 193 150 + 63 = = 8 193 213; для следующего диска с FAT32: 24 579 450 + 8 193 213 = 32 772 663.
3. В меню Object выберите пункт Physical Sector.
4. В дополнительном окне введите номер первого сектора диска и щелкните на кнопке OK.
ПРИМЕЧАНИЕ ____________________
В действительности число, указанное в столбце Relative Sectors, – это размер (в секторах) предшествующего диска (раздела), и называть его относительным номером первого сектора следующего диска вынуждает лишь наименование этого столбца таблицы.
DiskEdit выведет на экран содержимое всего сектора BR в шестнадцатеричном коде (рис. 7.11).
Рис. 7.11. Представление первого сектора логического диска в шестнадцатеричном коде
Чтобы получить текстовое представление только блока BPB, выполните следующие действия.
1. Выделите четвертый байт от начала сектора (первые три байта сектора занимает команда перехода на начало программы загрузки), как показано на рис. 7.11.
2. В меню View выберите пункт as Boot Record(32) (в виде загрузочной записи для FAT32).
Распределение пространства первого сектора логического диска представлено в табл. 7.3.
ПРИМЕЧАНИЕ
Поля BPB со смещением от начала сектора 44 байта и более на первом экране утилиты DiskEdit не умещаются. Чтобы ихувидеть, воспользуйтесь полосой прокрутки.
Восстановление BR системного и/или загрузочного раздела для Windows 98 может быть выполнено в «ручном» либо в «автоматическом» режиме.
ПРИМЕЧАНИЕ ____________________
Восстановление загрузочной записи системного раздела необходимо производить, загрузив систему с помощью загрузочного гибкого диска. Для других разделов соблюдение этого требования не обязательно, но желательно.
Для «автоматического» решения проблемы можно воспользоваться одной из двух команд:
SYS <букеа диска> – обеспечивает запись BR в загрузочный сектор раздела, а также копирование в корневой каталог трех системных файлов: Msdos.sys, Io.sys и Command.com;
FORMAT <букеа диска> – обеспечивает формирование файловой структуры указанного раздела диска с воссозданием BR, чистых таблиц FAT и корневого каталога (Root Directory); область данных при этом не затрагивается.
Если же восстановление загрузочной записи при помощи команд SYS и FDISK невозможно, следует попробовать заменить загрузочный сектор либо его резервной копией, взятой из сектора 6 этого же раздела, либо (в крайнем случае) копией загрузочной записи другого раздела, имеющего идентичную геометрию.
Для выполнения процедуры замены целесообразно использовать утилиту Norton DiskEdit. С ее помощью выполните следующие действия.
1. После того как DiskEdit завершит сканирование и выведет на экран список обнаруженных устройств, в списке Type (Тип) поставьте переключатель в положение Physical Disk (Физический диск).
2. В списке устройств выберите физический диск, который требуется исследовать.
3. В меню View (Вид) выберите пункт as Partition Table (в виде таблицы разделов).
4. В строке таблицы разделов, соответствующей восстанавливаемому разделу, посмотрите и запишите номер первого сектора раздела (значение в столбце Relative Sectors). Если вас интересует логический диск на дополнительном разделе, доберитесь до нужной записи в соответствующей дополнительной таблице разделов, как было описано выше.
5. К зафиксированному номеру сектора прибавьте 6, чтобы получить абсолютный номер сектора с резервной копией BR.
6. В меню Object выберите пункт Physical sector.
7. В дополнительном окне (рис. 7.12) введите в поле Starting Sector (Начальный сектор) вычисленный номер резервного загрузочного сектора, а в поле Number of Sectors (Количество секторов) – значение 1 и щелкните на кнопке OK^u получите шестнадцатеричное представление резервного загрузочного сектора.
Рис. 7.12. Переход к резервной копии загрузочного сектора
8. Чтобы убедиться в целостности резервного сектора, переключитесь в текстовый режим просмотра, и затем вернитесь к шестнадцатеричному представлению.
9. В меню Tools с помощью команды Configuration переведите DiskEdit в режим редактирования.
10. В меню Edit выберите команду Mark (Пометить) и затем с помощью клавиш управления курсором выделите содержимое всего сектора (если сектор был открыт правильно, DiskEdit не пустит вас за его пределы).
Рис. 7.13. Выбор типа заменяемого объекта
11. В меню Tools выберите команду Write Object To… (Записать объект в…)ивдо-полнительном окне (рис. 7.13) переведите переключатель в положение To Sectors… (В секторы…). Обратите внимание, что если вы выберите здесь вариант To Physical sectors. (В физические секторы.), то в следующем окне вам придется указывать адрес восстанавливаемого загрузочного сектора в адресации CHS.
12. В следующем окне (рис. 7.14) введите в поле Starting Sector (Начальный сектор) относительный адрес восстанавливаемого загрузочного сектора (он равен 0) и в ответ на запрос DiskEdit подтвердите свои намерения. Загрузочный сектор будет заменен его копией.
Рис. 7.14. Последний шаг в замене загрузочного сектора
Чтобы убедиться в успешности выполненной процедуры, откройте восстановленный загрузочный сектор в текстовом режиме и проверьте значения полей в соответствии с табл. 7.3.
Исследование корневого каталога
Вслед за загрузочной записью находятся две копии таблицы размещения файлов FAT и корневой каталог. Переходить к исследованию FAT имеет смысл лишь в том случае, когда соответствующий раздел (или логический диск) корректно опознается системой, то есть и в таблице разделов для него представлены корректные сведения, и загрузочная запись диска корректна.
Поэтому для исследования внутренней структуры раздела целесообразно использовать другой режим DiskEdit – работу с логическими устройствами (Logical disk).
Для перехода в новый режим выберите в меню Object пункт Drive (Устройство). После того как DiskEdit завершит сканирование, установите переключатель режимов в положение Logical disks и затем выберите в списке логических дисков тот, с которым вы собираетесь работать (рис. 7.15).
Рис. 7.15. Список логических дисков
После этого DiskEdit начнет сканирование диска с целью определения структуры файловой системы и построения полного дерева папок и файлов. Чтобы получить сведения о FAT и корневом каталоге, не обязательно дожидаться полного завершения сканирования, можно его прервать через несколько секунд после начала, нажав клавишу Esc. После получения от вас подтверждения о прекращении сканирования DiskEdit выведет на экран содержимое корневого каталога в текстовой форме (рис. 7.16).
Рис. 7.16. Корневой каталог
Если DiskEdit по какой-то причине не смог самостоятельно обнаружить корневой каталог, попробуйте перейти к нему по относительному адресу его первого сектора. Номер этого сектора можно определить по значению поля First cluster of Root блока BPB. Кроме того, при поиске корневого каталога необходимо учитывать следующее.
Корневой каталог (как и любой другой каталог в FAT32) содержит 32-байтовые элементы – дескрипторы, описывающие файлы и вложенные каталоги.
Первый дескриптор корневого каталога содержит сведения о логическом диске (точнее говоря, о самом корневом каталоге), в том числе: метку тома, дату и время создания, атрибуты каталога как элемента файловой системы. Остальные дескрипторы, хранящиеся в корневом каталоге, содержат большее количество сведений о связанных с ними элементах данных. Все они не умещаются на одном экране DiskEdit. Для их пролистывания следует использовать команду More (Еще), расположенную в строке меню окна.
Мы ограничимся описанием лишь наиболее важных полей дескриптора, которые представлены на первом экране:
Name – имя элемента данных (файла или папки); если элемент данных отмечен как удаленный, то в качестве первого символа имени используется байт E5 (в текстовом формате DiskEdit заменяет его буквой х);
Ext – расширение файла (для папок это поле пусто);
ID – тип элемента данных; возможные значения:
Vol – том;
Dir – каталог;
LFN – аббревиатура от Long File Name, длинное имя файла (об LFN см. главу 3, раздел «Выбор имен папок и файлов»);
File – файл;
Erased – удален (указывается только для файлов);
Del LFN – удаленное длинное имя (признак устанавливается после переименования файла или папки);
Size – размер (в байтах);
Date – дата создания или изменения;
Time – время создания или изменения;
Cluster – номер первого кластера;
A, R, S, H, D, V – атрибуты элемента данных (архивный, только чтение, системный, скрытый, каталог, том); значения всех атрибутов хранятся в одном байте дескриптора.
Чтобы просмотреть содержимое какого-либо вложенного каталога, переместите курсор в соответствующую строку и нажмите клавишу Enter.
Если сведения о корневом (или вложенном) каталоге, представленные DiskEdit, кажутся вам «подозрительными», можно попробовать интерпретировать записанные в нем данные самостоятельно, переключившись в режим просмотра шестна-дцатеричного кода. Для этого в меню View выберите пункт as Hex. Формат дескриптора каталога представлен в табл. 7.4.
Анализируя полученную информацию, вы можете обнаружить подозрительные изменения в полях размера файла, даты и времени. При необходимости их можно исправить «вручную».
Кроме того, для каждого файла в столбце Cluster отображается номер распределенного ему первого кластера. Следует просмотреть весь каталог до конца: необходимо проверить, что в каталоге отсутствуют посторонние данные. Они могут быть записаны туда вирусом.
Если перейти в режим неформатированного просмотра, можно убедиться, что свободные элементы каталога содержат нулевые значения. Если же после свободных элементов находятся какие-либо данные, существует очень большая вероятность того, что они записаны туда вирусом или системой защиты программ от несанкционированного копирования (если исследуемый каталог содержит такие программы).
В том случае, когда каталог поврежден полностью или частично, ссылки на описанные в нем файлы будут потеряны. Если вы найдете тем или иным способом секторы, содержащие нужный вам файл с разрушенным дескриптором, то, пользуясь описанной ниже методикой, сможете восстановить дескриптор и получить доступ к файлу.
Процедура основана на использовании функций DiskEdit по поиску различных элементов файловой системы FAT.
Например, чтобы найти потерянные каталоги (такие, на которые нет ссылок из других каталогов, в том числе из корневого), требуется выполнить следующее.
1. В меню Tools выберите команду Find Object (Найти объект), а в дополнительном меню выберите вариант Subdirectory (Подкаталог).
2. Программа DiskEdit просматривает секторы диска в поисках такого, в начале которого находится последовательность байтов 2Е 20 20 20 20 20 20 20 20 20 20. Эта последовательность соответствует дескриптору, содержащему ссылку каталога на себя самого.
3. Нажимая комбинацию клавиш Ctrl+G, вы можете продолжить поиск нужного каталога, пока не найдете тот, который содержит интересующие вас файлы.
4. Как только нужный каталог найден, необходимо записать физический адрес сектора диска, содержащего каталог, а затем найти либо вычислить номер кластера, соответствующего каталогу.
Для поиска номера кластера, в котором располагается найденный каталог, перейдите в режим текстового просмотра каталога, выбрав в меню View пункт as Directory. Затем в меню Link выберите команду Cluster chain (fat) (Цепочка кластеров (fat)). На экране появится содержимое таблицы FAT в текстовом режиме просмотра, при этом искомый номер кластера будет выделен.
Зная номер кластера потерянного каталога, можно создать новый дескриптор каталога, например, в корневом каталоге диска, и сделать в этом дескрипторе ссылку на найденный каталог. После этого потерянный каталог вновь станет доступным.
Исследование FAT
Между загрузочным сектором и таблицей размещения файлов FAT могут находиться зарезервированные секторы, которые являются служебными для файловой системы или не используются.
Количество секторов, зарезервированных на логическом диске, можно узнать из блока параметров BIOS (BPB или Extended BPB, в зависимости от версии операционной системы). Искомое значение находится в поле Reserved sectors at beginning этого блока (смещение 3 байта).
Если зарезервирован только один сектор, то первая копия таблицы размещения файлов FAT располагается сразу вслед за загрузочным сектором. Именно загрузочный сектор в данном случае и является зарезервированным.
Когда зарезервировано несколько секторов, между загрузочным сектором и первой копией таблицы FAT может находиться еще несколько секторов, содержащих нулевые значения. Если компьютер заражен вирусом, в этих секторах может быть спрятано тело вируса или копия оригинальной загрузочной записи, замещенной вирусом.
Информация, представленная в корневом каталоге, должна соответствовать сведениям о распределении кластеров области данных, хранящимся в обеих копиях FAT.
Чтобы сравнить значения полей Cluster и Size дескриптора некоторого элемента данных с информацией в FAT, выполните следующие действия.
1. Откройте в текстовом режиме корневой каталог интересующего вас логического диска и переместите курсор в соответствующую строку.
2. В меню Link выберите команду Cluster chain (Цепочка кластеров).
DiskEdit откроет первую копию FAT и выделит в ней черным прямоугольником номер первого кластера объекта, а также подсветит красным все остальные распределенные объекту кластеры (рис. 7.17).
Визуально таблица размещения файлов должна содержать в основном монотонно изменяющиеся последовательности номеров кластеров, нулевые значения, соответствующие свободным кластерам, а также значение 0xFFFF (0xFFF для FAT12 или 0xFFFFFFFF для FAT32), которое является признаком конца цепочки кластеров.
В результате программной ошибки или работы вируса таблица FAT может быть либо полностью разрушена, либо изменена (например, зашифрована или прописана нулями). Если цепочка кластеров для нужного вам файла разрушена частично или полностью, восстановление такого файла может стать непростой задачей. В этом случае можно попробовать воспользоваться инструментами восстановления данных, рассмотренными в четвертой главе книги.
Рис. 7.17. Просмотр FAT
Если они не помогут, вновь вернитесь к работе с DiskEdit. Чтобы найти таблицу FAT не по адресу, а по ее содержимому, выполните следующее.
Выберите в меню Tools команду Find Object и затем строку FAT. Программа DiskEdit выполнит поиск первой копии таблицы FAT и отобразит ее дамп, выделив в нем первые три байта.
Если теперь сместить текстовый курсор вниз или нажать клавишу PgDn, а затем выбрать повторно в меню Tools команду Find Object FAT еще раз, будет найдена вторая копия таблицы FAT.
Если любая из копий таблицы FAT корректна, то для быстрого перехода к одной из них можно использовать имеющиеся в меню Object команды 1st FAT и 2nd FAT.
Восстановление данных в файловой системе NTFS
Как вы уже знаете из материала главы 3, файловая система NTFS содержит целый ряд механизмов, призванных повысить надежность хранения данных. Это, в свою очередь, ведет к существенному усложнению структуры NTFS по сравнению с FAT32. Даже детальное изучение структуры записей, хранящихся в MFT (главной таблице файлов), не гарантирует возможность восстановления данных «вручную».
Ситуация усугубляется тем, что на сегодняшний день практически отсутствуют инструменты, обеспечивающие удобные средства просмотра и редактирования MFT.
По указанной причине мы ограничим круг рассматриваемых вопросов следующими ситуациями:
восстановление элемента таблицы разделов, содержащего сведения об NTFS-разделе;
восстановление загрузочного сектора логического диска с NTFS;
восстановление служебной информации в MFT.
Перечисленные задачи можно решить посредством совместного использования уже знакомых вам инструментов: Norton DiskEdit и Paragon Partition Manager, а также утилиты Partition Table Editor, входящей в состав пакета Norton PartitionMagic.
Восстановление элемента таблицы разделов
Имеется в виду ситуация, когда операционной системе Windows XP при загрузке не удается опознать логический диск с NTFS вследствие повреждения описывающего его (диск) элемента таблицы разделов. Чтобы получить более полное представление о возникшей ситуации, целесообразно запустить утилиту Norton Partition Table Editor.
ПРИМЕЧАНИЕ
Утилита Norton Partition Table Editor (в дальнейшем для краткости будем называть ее PTEdit) состоит из единственного исполняемого файла – PTEDIT.exe. Ее особенность состоит в том, что она при запуске обеспечивает перевод системыв однозадачный режим (за счет загрузки собственной DOS). Однако для работыс NTFS-разделами ее лучше запускать либо из средыWindows 98, либо из среды «настоящей» MS DOS, например, с гибкого диска. Размер файла PTEDIT.exe – около 500 Кбайт.
После запуска PTEdit на экране появится диалоговое окно, с помощью которого можно просмотреть и отредактировать основные параметры любого элемента таблицы разделов выбранного физического диска (рис. 7.18).
Выбор физического диска выполняется с помощью раскрывающегося списка Hard Disk (Жесткий диск).
Строки расположенной ниже таблицы соответствуют четырем элементам основной таблицы разделов. В столбцах выводятся следующие сведения:
Type (Тип) – тип файловой системы или раздела; отображается в виде шест-надцатеричного кода;
Boot (Загрузка) – признак загрузочного раздела; для загрузочного активного раздела, как вы знаете, должно быть указано значение 80;
Starting (Начальное положение) – адрес первого сектора раздела, заданный
номером цилиндра (Cyl), головки (Head) и сектора (Sector);
Ending (Конечное положение) – адрес последнего сектора раздела, также заданный номером цилиндра, головки и сектора;
Sectors Before (Предшествует секторов) – количество секторов жесткого диска, предшествующих первому сектору раздела в соответствии с адресацией LBA (то есть при «сквозной» нумерации по головкам и цилиндрам);
Sectors (Секторов) – размер раздела, измеренный в секторах.
Рис. 7.18. Стартовое окно утилиты Partition Table Editor
Чтобы просмотреть цепочку дополнительных таблиц расширенного раздела (EPBR), выполните следующие действия.
1. Переместите курсор в строку, соответствующую расширенному разделу (его код равен 0Fh).
2. Щелкните на кнопке Goto EPBR (Перейти на EPBR), расположенной под таблицей.
Если вы знаете, что восстанавливаемый NTFS-раздел находится на прежнем месте, но в соответствующей ему строке указан неверный тип раздела, вы можете попробовать установить корректное значение принудительно. Для этого щелкните на кнопке Set Type (установить тип) и в открывшемся окне выберите требуемое значение (рис. 7.19). Для раздела NTFS оно равно 07h.
Если вам известны корректные значения других параметров раздела и они отличаются от представленных в таблице, вы можете (предварительно запомнив или записав на бумаге текущие значения) ввести их в поля таблицы. Чтобы внесенные изменения были записаны на диск, щелкните на кнопке Save Change (Сохранить изменения).
Рис. 7.19.Можно принудительно установить требуемый тип раздела
СОВЕТ
Если восстанавливаемый раздел вообще опознается как пустой, можно попробовать создать на его месте новый, такого же типа, как у восстанавливаемого раздела, и (обязательно!) точно такого же размера. Для выполнения этой процедуры можно использовать либо Paragon Partition Manager, либо Norton PartitionMagic (о работе с ними рассказано в третьей главе).
Восстановление загрузочного сектора раздела NTFS
Состав информации, содержащейся в загрузочном секторе раздела NTFS, во многом аналогичен составу информации в загрузочном секторе раздела FAT32: в его первых трех байтах записана команда перехода на программу начальной загрузки ОС, затем идет код файловой системы, а вслед за ним – поля блока параметров BIOS (BPB). Чтобы оценить корректность содержимого загрузочного сектора раздела NTFS, переместите курсор в строку соответствующего раздела и щелкните на кнопке Boot Record (Загрузочная запись), расположенной под таблицей (см. рис. 7.18). В дополнительном окне будет представлено содержимое BPB в текстовом формате (рис. 7.20).
По сравнению с BPB раздела FAT32 здесь присутствуют следующие специфические поля:
Total NTFS Sectors (Всего секторов в NTFS) – общее число секторов в разделе;
MFT Start Cluster (Начальный кластер MFT) – номер первого кластера таблицы MFT;
MFT Mirror Start Cluster (Начальный кластер зеркала MFT) – номер первого кластера копии таблицы MFT;
Clusters per FRS (Кластеров в FRS) – размер одной записи таблицы MFT (в кластерах);
Clusters per Index Block (Кластеров в индексном блоке) – размер индексного блока (в кластерах).
Рис. 7.20. Диалоговое окно NTFS Boot Record
Если повреждения незначительны, можно отредактировать значения полей непосредственно в окне NTFS Boot Record. После внесения изменений щелкните на кнопке Write (Записать), чтобы перенести их на диск.
Если загрузочный сектор поврежден существенно или вам неизвестны корректные значения полей, следует заменить загрузочный сектор его резервной копией. Для версии NTFS, используемой в Windows XP, копия загрузочного сектора хранится в самом последнем секторе логического диска.
Операцию копирования сектора можно выполнить либо с помощью Norton Disk-Edit, либо с помощью Paragon Partition Manager (точнее, с помощью входящей в него утилиты Просмотр секторов). Следует отметить, что в данном случае второй вариант даже предпочтительнее, поскольку Partition Manager «знаком» с NTFS лучше, чем Norton DiskEdit.
Итак, чтобы заменить загрузочный сектор NTFS его резервной копией с помощью утилиты Просмотр секторов, выполните следующие действия.
1. После загрузки Paragon Partition Manager щелкните правой клавишей мыши на изображении восстанавливаемого раздела и выберите в контекстном меню пункт Посмотреть сектора.
2. В окне утилиты Просмотр секторов (рис. 7.21) введите в редактируемом поле Абсолютный сектор|Наберите выражение для оценки: номер последнего сектора раздела (он отображается справа от раскрывающегося списка) и нажмите клавишу Enter.
3. Щелкните на кнопке Сохранить, расположенной в правой части окна утилиты, и в дополнительном окне укажите адрес и имя двоичного (.bin) файла, в который следует записать содержимое сектора.
4. Вернитесь к нулевому (загрузочному) сектору раздела, введя 0 в поле Абсолютный сектор|Наберите выражение для оценки:.
5. Щелкните на кнопке Настройки и в дополнительном окне установите флажок Разрешить запись. После того как вы закроете окно, станет доступна кнопка Восстановить.
6. Щелкните на кнопке Восстановить и в открывшемся окне укажите bin-файл, из которого следует считать содержимое сектора.
Рис. 7.21. Представление загрузочного сектора в окне утилиты Просмотр секторов
После двух подтверждений с вашей стороны о корректности замены будет выполнена запись на диск.
В том случае, если повреждена и резервная копия загрузочного сектора, остается только один выход: отредактировать содержимое загрузочного сектора вручную. Для выполнения этой операции также пригодна утилита Просмотр секторов, но можно использовать и Norton DiskEdit. Распределение пространства загрузочного сектора логического диска NTFS представлено в табл. 7.5.
Для успешного проведения восстановительных работ в разделе NTFS необходимо определить его геометрию, которая характеризуется набором следующих параметров:
размер сектора (в байтах);
размер кластера (в секторах);
номера начального кластера таблицы MFT и ее копии;
размер записи таблицы MFT (в кластерах).
Первый из названных параметров полностью аналогичен одноименному параметру для раздела FAT32.
Что касается размера кластера, то, как и для FAT32, он зависит от объема раздела, но может быть изменен пользователем при форматировании раздела (либо с помощью соответствующих функций таких инструментов, как Norton PartitionMagic или Paragon Partition Manager, рассмотренных в главе 3).
Восстановление служебной информации в MFT
Как вы уже знаете, таблица MFT представляет собой метафайл с именем $MFT, в котором хранятся записи с атрибутами других метафайлов и записи с атрибутами файлов пользователя (подробнее о логической структуре MFT см. главу 3).
Для разделов объемом в несколько гигабайт и при большом количестве файлов данных размеры MFT могут достигать десятков мегабайт. При этом граница MFT может изменяться динамически в зависимости от объема записанных на диск данных и наличия свободного пространства.
Кроме того, каждый файл в NTFS может иметь собственный набор атрибутов (об этом также достаточно подробно говорилось в главе 3); некоторые из них задаются самим пользователем.
Все это существенно затрудняет анализ и восстановление MFT на уровне отдельных записей.
Тем не менее в случае повреждения MFT вы можете попытаться восстановить записи, относящиеся к метафайлам, а затем поручить восстановление файлов и папок одному из программных инструментов, рассмотренных в четвертой главе.
Поиск таблицы MFT
Номер первого кластера таблицы MFT содержится в поле Clusters to MFT загрузочного сектора. Если вам удалось его восстановить, то с помощью утилиты Просмотр секторов можно перейти на этот кластер и проверить корректность записей, относящихся к метафайлам.
Для перехода по номеру кластера выполните следующие действия.
1. Откройте первый (загрузочный) сектор диска.
2. В разделе Абсолютный сектор, в поле Наберите выражение для оценки введите формулу для вычисления номера первого сектора MFT: x, где – это размер кластера, записанный в поле Sectors per Cluster (например: 40 000 х 8, рис. 7.22)
3. Нажмите клавишу Enter.
Характерные признаки «исправной» MFT:
каждая запись начинается со слова FILE0, размещенного в первых пяти байтах сектора;
для большинства записей метафайлов в байтах со смещением F2h хранится имя метафайла, которое всегда начинается с символа $;
первая запись описывает сам метафайл $MFT.
Последовательность размещения записей других метафайлов приведена в табл. 7.6.
Далее в файле $MFT следуют записи с информацией обо всех остальных файлах и каталогах.
В том случае, если поле Clusters to MFT загрузочного сектора повреждено или переход по номеру кластера привел «неизвестно куда», можно попробовать доверить поиск MFT самой утилите Просмотр секторов.
Для этого щелкните на кнопке Перейти и в открывшемся меню (рис. 7.23) выберите команду NTFS4MFT. Обратите внимание, что здесь же указан номер сектора (относительно начала раздела), с которого начинается MFT.
Рис. 7.23.Поиск таблицы MFT с помощью утилиты Просмотр секторов
Если и этот прием не даст результата, остается последний выход: вернуться к работе с программой Norton DiskEdit и попытаться найти таблицу MFT с помощью полнотекстового поиска по разделу. В качестве ключа поиска можно использовать имя метафайла – $MFT. Однако при этом следует учитывать, что имена файлов в NTFS представлены в двухбайтовой кодировке UNICODE, а Norton DiskEdit работает с однобайтовым кодом ASCII.
Если основная таблица MFT повреждена, следует проверить состояние ее копии. Напомним, что в NTFS не предусмотрено создание полной копии MFT. Сокращенная копия, MFT Mirror, содержит лишь первые четыре записи из основной таблицы, относящиеся к метафайлам $MFT, $MFTMirr, $LogFile и $Volume.
Напомним также, что копия MFT в версии NTFS для Windows XP всегда расположена в середине раздела. Поэтому если в загрузочной записи адрес ее начала отсутствует, несложно его вычислить исходя из числа секторов раздела.
Можно также попробовать перейти к сектору с копией MFT с помощью утилиты Просмотр секторов, воспользовавшись командой NTFS MFT зеркальный из меню Перейти (см. рис. 7.23).
Если копия уцелела, необходимо отыскать ее последний сектор и затем перенести содержимое «зеркала» в соответствующие секторы, отведенные под основную MFT.
С помощью утилиты Просмотр секторов эта операция выполняется таким же образом, как и перенос копии загрузочного сектора.
Размер и структура записи таблицы MFT
С учетом сказанного выше большое значение имеет правильное определение размера записи таблицы MFT. Его значение хранится в поле Clusters per FRS загрузочного сектора.
Многие дисковые утилиты, в том числе PTEdit, отображают это значение как десятичное целое положительное число в диапазоне 0-255 (обычно равное 246, см. рис. 7.20). В действительности это значение следует рассматривать как шест-надцатеричное целое со знаком, в котором старший разряд отводится для представления знака. Если число положительно (то есть в десятичном представлении меньше 128), то оно означает количество кластеров, занимаемых одной записью таблицы MFT. Если же число отрицательное (больше десятичного 127), то для определения размера записи MFT нужно использовать следующую формулу:
FRS= 2(256 – Clusters_Per_FRS)
Здесь FRS – количество байтов, занимаемых записью MFT, а Clusters_Per_FRS – значение поля Clusters per FRS.
Например, если в поле Clusters per FRS представлено значение 246 (то есть шест-надцатеричное F6), то в приведенной выше формуле показатель степени 2 будет равен 10, а для FRS получим значение 1024, то есть размер записи MFT составляет 1 Кбайт. Аналогично значение поля Clusters per FRS, равное 245 (F5h), соответствует размеру записи MFT, равному 2 -------
| Библиотека iknigi.net
|-------
|
-------
= 2048 байт, или 2 Кбайт.
Запись MFT содержит список областей переменной длины, каждая из которых соответствует одному из атрибутов файла. Размер этого списка и состав хранящихся в нем атрибутов для каждого файла может быть своим.
Если все атрибуты файла или каталога не помещаются в базовой записи, создается одна или несколько дополнительных записей. При этом базовая запись содержит атрибут, в котором перечислены все атрибуты данного файла и каталога, а также указание, в каких именно записях (базовой или дополнительных) хранятся те или иные атрибуты.
Каждая запись MFT состоит из заголовка фиксированного формата, вслед за которым идет список атрибутов переменной длины. Приступая к исследованию записи MFT, сначала нужно проанализировать ее заголовок. Формат заголовка записи MFT представлен в табл. 7.7.
Несколько слов по поводу так называемого массива корректировки. Перед сохранением записи MFT операционная система заменяет последние два байта каждого сектора специальным значением – шаблоном корректировки, который должен быть одинаковым для всех секторов одной записи MFT, но различаться для разных записей MFT. Оригинальное содержимое последних байтов секторов записи MFT сохраняется во второй и последующих ячейках (два байта) массива корректировки. В первую ячейку массива при этом записывается значение шаблона корректировки.
Процедура «ручного» побайтного восстановления записей MFT может потребовать кропотливого труда в течение нескольких часов (если не больше). Решиться на такой шаг можно лишь в случае потери действительно «жизненно важных» данных. Альтернативный способ – обратиться к услугам специальных служб восстановления. Их адреса можно найти в Интернете. Разумеется, доверить свои данные можно далеко не всем. К числу служб восстановления, имеющих достаточно высокий авторитет, можно отнести, в частности, службу компании Ontrack, создателя описанного в книге пакета для восстановления данных EasyRecovery.