|
Как узнать когда форматировался HDD
|
| Автор |
Сообщение |
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
 Добавлено: Пт, 07 Окт, 2011 10:06 Заголовок сообщения: Как узнать когда форматировался HDD |
 |
|
| Здравствуйте! Нехорошие люди на видеорегистраторе форматнули жесткий. Подскажите, пожалуйста, как можно узнать в какой день и в какое время была произведен формат. И вообще какой прогой можно узнать историю HDD? |
|
| Вернуться к началу |
|
 |
Alexei
Зарегистрирован: 19.01.2007
Сообщения: 254
Откуда: Рыбинск
|
| Добавлено: Пт, 07 Окт, 2011 10:59 Заголовок сообщения: |
|
|
sqwer
В видео регистраторах правда не во всех файловой системы в привычном ее виде - нет ( ну из xp файлы не увидеть). Самое простое, что приходит на ум смотреть как регистратор пишет инфу, и посмотреть когда была произведена последняя запись и считать это днем форматирования. Если там используется NTFS или FAT в winhex посмотреть дату создания файлов MFT и FAT соответственно. |
|
| Вернуться к началу |
|
|
gonzo
Зарегистрирован: 27.09.2005
Сообщения: 854
|
| Добавлено: Пт, 07 Окт, 2011 11:32 Заголовок сообщения: |
|
|
Там вроде линукс, и не простой, спросите Tomset, он мне помог однажды в таком вопросе, а многим и МНОГОЖДЫ ПОМОГАЕТ! Респект, С.В.  |
|
| Вернуться к началу |
|
|
Alexei
Зарегистрирован: 19.01.2007
Сообщения: 254
Откуда: Рыбинск
|
| Добавлено: Пт, 07 Окт, 2011 11:39 Заголовок сообщения: |
|
|
gonzo
А там черт ногу сломит  . У Robina проскальзывала статья, о том, что потоком пишет на диск. Те которые у меня были, в фате форматировались. Сейчас лежит диск из регистратора, сыплется, но не занимался, вопрос с ценой не определен. |
|
| Вернуться к началу |
|
|
gonzo
Зарегистрирован: 27.09.2005
Сообщения: 854
|
| Добавлено: Пт, 07 Окт, 2011 11:47 Заголовок сообщения: |
|
|
| Alexei писал(а): | gonzo
А там черт ногу сломит ... потоком пишет на диск. |
Ото ж! Таки потоком. Но как найти дату формата?! Я, лично, не в теме 
М.б. ГУРУ подскажут?... |
|
| Вернуться к началу |
|
|
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
| Добавлено: Пт, 07 Окт, 2011 11:47 Заголовок сообщения: |
|
|
| Дак вот проблема в том, что до того как он ко мне попал, один умелец пытался восстановить с него данные, что то получилось, а что нет... но хуже всего, что он форматнул после этого в NTFS. А как мне кажется в для видеорегистратора используется RAW. Но это только мое предположение. Так вот вопрос заключаетсяч как раз в том, что бы найти историю всех этих форматов. Насколько я понял, этот HDD еще до видеорегистратора использовался в компе. Для меня задача сложная - чем же можно посмотреть историю форматов... Может гдето лог какой сохраняется? |
|
| Вернуться к началу |
|
|
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
| Добавлено: Пт, 07 Окт, 2011 11:54 Заголовок сообщения: |
|
|
| Alexei писал(а): | sqwer
В видео регистраторах правда не во всех файловой системы в привычном ее виде - нет ( ну из xp файлы не увидеть). Самое простое, что приходит на ум смотреть как регистратор пишет инфу, и посмотреть когда была произведена последняя запись и считать это днем форматирования. Если там используется NTFS или FAT в winhex посмотреть дату создания файлов MFT и FAT соответственно. |
Дак вот проблема в том, что до того как он ко мне попал, один умелец пытался восстановить с него данные, что то получилось, а что нет... но хуже всего, что он форматнул после этого в NTFS. А как мне кажется в для видеорегистратора используется RAW. Но это только мое предположение. Так вот вопрос заключаетсяч как раз в том, что бы найти историю всех этих форматов. Насколько я понял, этот HDD еще до видеорегистратора использовался в компе. Для меня задача сложная - чем же можно посмотреть историю форматов... Может гдето лог какой сохраняется? |
|
| Вернуться к началу |
|
|
Alexei
Зарегистрирован: 19.01.2007
Сообщения: 254
Откуда: Рыбинск
|
| Добавлено: Пт, 07 Окт, 2011 12:07 Заголовок сообщения: |
|
|
sqwer
Нет не сохранился. Для диска это была обычная операция никак не связанная с его внутренней работой. Диску ведь все равно читать файл, писать его или форматироваться. Мысль одна Winhex смотреть, есть ли на диске данные. Если есть в регистратор ставим ДРУГОЙ жесткий диск, форматируем средствами регистратора, и записываем 2 или более фрагментов видео. Затем в winhex ом смотрим что назаписывал регистратор, пытаясь найти сигнатуру начала записи. Находим ее и тем же хексом восстанавливаем по сигнатуре файлы с отформатированного диска. Смотрим их и дата последнего кина считается датой форматирования. Примерно так |
|
| Вернуться к началу |
|
|
Alexei
Зарегистрирован: 19.01.2007
Сообщения: 254
Откуда: Рыбинск
|
| Добавлено: Пт, 07 Окт, 2011 12:11 Заголовок сообщения: |
|
|
sqwer
Мысль вторая - дождаться Tomset. |
|
| Вернуться к началу |
|
|
gonzo
Зарегистрирован: 27.09.2005
Сообщения: 854
|
| Добавлено: Пт, 07 Окт, 2011 12:48 Заголовок сообщения: |
|
|
| еще вариант, R-studio, после формата часто находит исходную инфу |
|
| Вернуться к началу |
|
|
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
| Добавлено: Пт, 07 Окт, 2011 13:09 Заголовок сообщения: |
|
|
| Alexei писал(а): | sqwer
Мысль вторая - дождаться Tomset. |
Ок! дождемся... но и первую мысль можно попробовать осмыслить) |
|
| Вернуться к началу |
|
|
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
| Добавлено: Пт, 07 Окт, 2011 13:10 Заголовок сообщения: |
|
|
| gonzo писал(а): | | еще вариант, R-studio, после формата часто находит исходную инфу |
дело не в инфе.... дело вычислить дату формата... |
|
| Вернуться к началу |
|
|
gonzo
Зарегистрирован: 27.09.2005
Сообщения: 854
|
| Добавлено: Пт, 07 Окт, 2011 13:31 Заголовок сообщения: |
|
|
sqwer
я в этом слаб, но само понятие "регистратор" наводит на мысль, что в конце записи м.б. интересующая вас инфа  |
|
| Вернуться к началу |
|
|
Alexei
Зарегистрирован: 19.01.2007
Сообщения: 254
Откуда: Рыбинск
|
| Добавлено: Пт, 07 Окт, 2011 13:56 Заголовок сообщения: |
|
|
gonzo
И я о том же . Это если предположить, что он работал до самого конца. |
|
| Вернуться к началу |
|
|
Serg_T
Зарегистрирован: 18.10.2005
Сообщения: 60
|
| Добавлено: Пт, 07 Окт, 2011 14:14 Заголовок сообщения: |
|
|
| Цитата: | | но хуже всего, что он форматнул после этого в NTFS |
так если я правильно понимаю надо узнать когда это произошло?
если так то
| Цитата: | | Если там используется NTFS или FAT в winhex посмотреть дату создания файлов MFT и FAT соответственно. |
|
|
| Вернуться к началу |
|
|
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
| Добавлено: Пт, 07 Окт, 2011 14:46 Заголовок сообщения: |
|
|
| Alexei писал(а): | gonzo
И я о том же . Это если предположить, что он работал до самого конца. |
ну да.... возвращаясь к вышесказанному... до меня уже пытались поднять инфу... возможно что то у них и вышло и форматнули диск в NTFS... сейчас я попробовал еще раз PDR глубокое сканирование... поднял какие то фотки, музыку, видео - это явно не отрегистратора - то есть до регистратора винт использовался на компе. Соответственно я пока не вижу когда регистратор сделал последнюю запись.... |
|
| Вернуться к началу |
|
|
gonzo
Зарегистрирован: 27.09.2005
Сообщения: 854
|
| Добавлено: Пт, 07 Окт, 2011 16:13 Заголовок сообщения: |
|
|
| sqwer писал(а): | | Alexei писал(а): | gonzo
И я о том же . Это если предположить, что он работал до самого конца. |
ну да.... возвращаясь к вышесказанному... до меня уже пытались поднять инфу... возможно что то у них и вышло и форматнули диск в NTFS... сейчас я попробовал еще раз PDR глубокое сканирование... поднял какие то фотки, музыку, видео - это явно не отрегистратора - то есть до регистратора винт использовался на компе. Соответственно я пока не вижу когда регистратор сделал последнюю запись.... |
Думаю, все наоборот.Кому-то надо было убить инфу на регистраторе, поэтому винт переформатили, причем грамотно, а потом создали NTFS раздел, напихали туда фигни, и потом просто форматнули, мол, че хотите? Там тока музон и фотки... |
|
| Вернуться к началу |
|
|
MyAr
Зарегистрирован: 15.11.2007
Сообщения: 47
|
| Добавлено: Пт, 07 Окт, 2011 16:24 Заголовок сообщения: |
|
|
| Я как то общался с техподдержкой регистратора (не помню фирму) и мне сказали, что тама нету файловой системы, пишется потоковое видео с метками, и все... Опять же, какой регистратор. Возможно где-то хранится последний записанный ... ну не знаю, ЛБА или ещё что... Чтоб при включении прибора (а разве его выключают) продолжить со следующего "места"... |
|
| Вернуться к началу |
|
|
Leo
Зарегистрирован: 12.04.2006
Сообщения: 156
Откуда: Chicago, IL, USA
|
| Добавлено: Сб, 08 Окт, 2011 04:14 Заголовок сообщения: Re: Как узнать когда форматировался HDD |
|
|
| sqwer писал(а): | | какой прогой можно узнать историю HDD? |
Любой дисковый редактор + придется немного своего писать. Тут главное не прога, а знание файловых систем и организации данных на этом регистраторе. Кое-что да, можно увидеть и просканив например R-Studio, по датам файлов и т.п. Но для серьезной экспертизы надо уметь локализовывать "слои" инфы по многим признакам и разделять их. Ну и работы я бы оценил этак на месяц, для очень хорошего специалиста (опытный DR с уклоном в forensics, я даже не знаю, есть ли такие в России).
И да, регистраторы все разные. Даже по моделям одного и того же изготовителя форматы хранения могут отличаться, то есть придется копать данный конкретный и писать под него софт.
И FAT - это не файл. |
|
| Вернуться к началу |
|
|
sqwer
Зарегистрирован: 07.10.2011
Сообщения: 7
|
| Добавлено: Вс, 09 Окт, 2011 21:12 Заголовок сообщения: |
|
|
| Большое всем спасибо, за помощь в решении данной проблемы! К сожалению, так до конца дело довести не удалось - регистратор нужен человеку для работы. Поэтому пришлось отдать. Но он остался доволен тем что удалось поднять даже чьи то фотки, как потом оказалось - это того самого горе-сотрудника. Дальше уже история умалчивает. Жаль конечно что нет достаточно простой проги, что бы видеть что и когда делалось с винтом. Может не только я коснулся такого вопроса. Еще раз всем большое спасибо за ваши советы!!! |
|
| Вернуться к началу |
|
|
|
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
Накопители. Восстановление информации и ремонт
