home *** CD-ROM | disk | FTP | other *** search
/ Chip 2005 August / CHIP_CD_2005-08.iso / bonus / photo_rest / files / setup.exe / {app} / DOS / MANUALS / zarntfs.txt < prev    next >
Encoding:
Text File  |  2002-01-21  |  13.9 KB  |  289 lines
  1.                   Zero Assumption Recovery (ZAR) version 6.3
  2.                            NTFS recovery (ZARNTFS)
  3.                                 USER'S MANUAL
  4.                    Copyright (C) Alexey V. Gubin, 1999-2002
  5.  
  6.                          *** SYSTEM REQUIREMENTS ***
  7.  
  8.      * 386 or better processor
  9.      * 4Mb memory + 1Mb memory per gigabyte of volume to recover
  10.      * Additional disk device to store recovered data (preferably another HDD)
  11.      * MS-DOS operating system or MS Windows 9x in DOS mode
  12.      * HIMEM.SYS driver installed
  13.  
  14.                         *** DATA RECOVERY PROCESS ***
  15.  
  16.      It  is  recommended  that  you  print  this manual so you can refer to it
  17. during the recovery process.
  18.  
  19.      Volume reconstruction basically consists of the following stages:
  20.      1. Determining the area to be recovered and configuring options
  21.      2. Pattern scanning of that area
  22.      3. Reconstruction of disk parameters based on pattern scan results
  23.      4. Reconstruction of directory tree
  24.      5. Recovering selected directories to another medium
  25.      6. Restoring long file names
  26.  
  27.  
  28.                 *** STAGE 0 - SETTING UP RECOVERY PROCESS ***
  29.  
  30.      ZAR  cannot  be  used from within any multitasking environment (including
  31. Windows),  so  you  must  reboot from floppy disk or restart Windows in MS-DOS
  32. mode.
  33.  
  34.                            0.2 - LOG FILE LOCATION
  35.  
  36.      Once  you  start  ZAR,  you will be asked about log file location. Please
  37. note that log file can grow as large as 10 megabytes in size (for large disks)
  38. and  it  is  written  to  quite  often. So if you want logging, you should put
  39. logfile on a large and fast medium (I recommend using the same medium you plan
  40. to  recover  data  to).  You  can press ENTER to accept default location (in a
  41. ZAR.EXE directory), enter NUL to disable logging or enter your custom log file
  42. name.
  43.  
  44.             *** STAGE 1 - DETERMINING THE AREA TO BE RECOVERED ***
  45.  
  46.      First  of  all  you  are  prompted  to select a physical disk you want to
  47. recover.  ZAR  displays  a  list  of  compatible  disks  found,  showing their
  48. parameters  (including capacity). Highlight the desired drive and hit "Enter".
  49. Two additional options exist here:
  50.  
  51.      1. You can load the disk image from file. For more information about disk
  52. images, see appendix A in ZARFAT.TXT manual.
  53.  
  54.      2.  You  can  choose  to  load previously saved scan results. You will be
  55. asked  about a file name later, because save file is only valid for a disk the
  56. scan  was  run  on. After requesting a save file, you should select a disk (or
  57. image  file)  matching  the  save file. Once the disk is selected, you will be
  58. asked  about the save file name. Program checks the disk size stored in a save
  59. file  against the size of a selected disk (or image) and displays a warning if
  60. it detects a mismatch.
  61.  
  62.      If  the  physical  disk  is  selected,  program  will perform some simple
  63. hardware  diagnostics  and  try  to  read  partition table to determine volume
  64. layout.  If  partition  table  is  (at  least  partially) correct, the list of
  65. available volumes will be displayed with the following information:
  66.  
  67. 1. Partition type ("Type")
  68.      This  can be either PRI for primary partition or EXT for logical drive in
  69. extended  partition.  This  field  is only provided for reference, and you can
  70. ignore it if you are not familiar with these FDISK terms.
  71.  
  72. 2. Filesystem type for the partition ("OS / Filesystem type")
  73.      This  is  a file system type as indicated by a partition table. For NTFS,
  74. "NTFS,  HPFS  or QNX" is reported, because all these filesystems have the same
  75. type identifier value in Partition Table.
  76.  
  77. 3. Active partition flag ("Active")
  78.      This  is  "Yes" when the volume is used for OS startup. Otherwise "No" is
  79. displayed.  Only  a  single partition (on physical disk) can be active, and it
  80. must be primary ("PRI" partition type shown).
  81.  
  82. 4. Start offset, in megabytes ("Start at, Mb")
  83.      This  is an offset of the first partition sector (form the start of disk)
  84. in  megabytes.  In  most  cases it should be equal to the sum of sizes for all
  85. previous volumes.
  86.  
  87. 5. Volume size, in megabytes ("Vol. Size, Mb")
  88.      This is a volume size as indicated by partition table
  89.  
  90. 6. Boot sector signature status ("Boot Sig")
  91.      Shows  if  the  volume boot sector looks correct. Can be either "Good" or
  92. "Bad"
  93.  
  94.      A  number  of  tests is performed in attempt to check partition table for
  95. consistency. Should these tests fail, a warning will be displayed stating that
  96. partition table is untrustworthy and describing problems found.
  97.      Possible causes include:
  98.      1. Too much space left unallocated (this can be a false alarm).
  99.      2. Volumes that are sized greater than a physical disk can hold.
  100.      3. Some volumes overlapping each other.
  101.      4.  Some  volumes  having  bogus records (such as end sector before start
  102. sector) but still can be recognized.
  103.      5. Some partition table records damaged beyond recognition.
  104.  
  105.                Case 1.1 - PARTITION TABLE EXISTS AND IS CORRECT
  106.  
  107.      This is a case when no messages about bad signatures are shown and volume
  108. layout  shown  on the "Select partition to recover" screen is correct. In this
  109. case  you  should  simply  select the volume you want to recover from the list
  110. displayed.
  111.  
  112.        Case 1.2 - PARTITION TABLE IS DAMAGED OR CONTAINS INCORRECT DATA
  113.  
  114.      Systems  with  missing  (e.g.  overwritten)  partition  table exhibit the
  115. following symptoms
  116.      a.  Volumes,  which  are  known  to  be  on  the disk, are not shown when
  117. operating system starts
  118.      b.  ZAR  reports  that "Partition table sector 0 signature is bad" and/or
  119. "Partition table seems to be damaged"
  120.      c. ZAR shows no volumes on a "Select partition to recover" screen
  121.  
  122.      Systems  with  (partially)  corrupt partition table exhibit the following
  123. symptoms
  124.      a. Some volumes are not shown when operating system starts
  125.      b.  ZAR reports that "Partition table sector N signature is bad" and N is
  126. not zero
  127.      c. ZAR shows incomplete or incorrect information about volumes
  128.  
  129.      You  may  also  want  to  specify volume layout manually after accidental
  130. FDISKing  the  drive.  In  those  cases  partition table is valid but actually
  131. contains wrong information.
  132.  
  133.      If  the  volume  you  want  to  recover  is  either  missing or displayed
  134. incorrectly, you should manually select area for recovery. This can be done by
  135. entering  values  for  start  sector  and  size of the volume. This values are
  136. accepted  in  sectors or in megabytes (which are automatically recalculated to
  137. sectors). Volume start offset (first sector) is usually a sum of sizes for all
  138. volumes preceding the volume in question.
  139.  
  140. Assume as the example that there was a following partition layout:
  141.      C: - 5 Gb volume (system startup)
  142.      D: - 5 Gb volume
  143.      E: - 10 Gb volume
  144.      giving 20 Gb of total hard disk capacity
  145.      Corresponding  start  offsets  will be 0 Mb for volume C:, 5000 Mb for D:
  146. and  10000  Mb  for  E:.  It  is  recommended to subtract 10..100 Mb (to avoid
  147. calculation  errors,  such  as a possible confusion between decimal and binary
  148. megabytes), adding the same values to the volume size.
  149.      Taking  the  above  into account, the following values should be used for
  150. this example:
  151.      C: - 0 Mb offset, 5000 Mb size
  152.      D: - 4900 Mb offset, 5100 Mb size
  153.      E: - 9900 Mb offset, 10100 Mb size.
  154.  
  155.  
  156.      WARNING: Should you specify incorrect area to search in, the entire
  157.      recovery will fail.
  158.  
  159.                       *** STAGE 2 - PATTERN SCANNING ***
  160.  
  161.      Pattern  scanning  is  used  to  detect  all  recognizable pieces of data
  162. remaining on volume. It is always a tradeoff between gathering as much data as
  163. possible  (to  allow  for  successful recovery) and not to gather the infinite
  164. quantity  (for  higher  analysis  speed).  Recognition  for some types of disk
  165. areas  is mandatory (these are system structures). You can disable recognition
  166. for  others, but it is strongly recommended that you leave the default setting
  167. (All enabled) and select "Proceed".
  168.      Program  scans  the area you selected during stage 1 and locates all data
  169. pieces it can recognize. This information is then used in analysis.
  170.  
  171.                      *** CONFIGURING RECOVERY OPTIONS ***
  172.  
  173. There are the following options available in ZARNTFS:
  174.  
  175. 1. "Recover long file names". "Yes" or "No", "Yes" by default.
  176.      This  toggles long file name information recording (see STAGE 6 below for
  177. details of LFN reconstruction process).
  178.  
  179. 2. "Recover erased files". "Yes" or "No", "Yes" by default.
  180.      This  option controls recovery of files erased prior to a disk crash. Not
  181. of a much use, except for mass undeletions after virus attack.
  182.  
  183. 3. "Skip files > X Mb, 0 - all files". Number from 0 to 2047, 100 by default.
  184.      With  this  option  active  files  greater  than X Mb in size will not be
  185. recovered.  Value  of  0 disables size checking. I consider the default 100 Mb
  186. limit  to  be acceptable (swapfiles and MPEG/AVI videos are common examples of
  187. what will be filtered out).
  188.  
  189. 4. "Simulation mode (DEBUG)". "Yes" or "No", "No" by default.
  190.      This  option  is intended primarily for debugging purposes. It SHOULD NOT
  191. be  used  during normal recovery run. If "Simulation" is set to "Yes" ZAR will
  192. create  directories  and files requested, but NO DATA WILL BE WRITTEN to files
  193. (they will be all of zero size). However, the logfile will be created.
  194.  
  195.      When options are configured, hit "Proceed"
  196.  
  197.                *** STAGE 3 - DISK PARAMETERS RECONSTRUCTION ***
  198.  
  199.      NTFS has 3 significant volume parameters, namely
  200.      1.  FRS size - size of a so-called "File Record Segment", an entry in the
  201. volume  Master  File Table (MFT), which describes a file or directory. At least
  202. one FRS is recorded into MFT for each file.
  203.      2. Cluster Factor (CF) - a number of sectors per cluster.
  204.      3. Start Sector (SS) - sector number for cluster number 0.
  205.  
  206.      All MFT records on volume have the same FRS size, so its determination is
  207. very  simple.  ZARNTFS  will  show the table which lists all possible FRS size
  208. values,  along  with  their  "Relevance". In this case "Relevance" is simply a
  209. percentage  of  records  having  this  FRS  size.  You  should choose the most
  210. relevant  value from list (it is already highlighted as default choice, so
  211. in most cases you only need to press Enter).
  212.  
  213.      CF  and  SS  understanding  (and  determination)  is  a  little  bit more
  214. difficult.
  215.      Locations  of  the  files  on volume are expressed in number of clusters,
  216. while  the same locations on the physical disk should be expressed in sectors.
  217. Number  of  sector  is  computed  from  the number of cluster by the following
  218. simple formula:
  219.  
  220.                           Sector = CF * Cluster + SS
  221.  
  222.      where  CF (Cluster Factor) is number of sectors per cluster and SS (Start
  223. Sector) is a sector number for cluster 0.
  224.      When  volume is damaged, values of CF and SS are usually lost or corrupt,
  225. so they are determined statistically based on pattern scan results.
  226.  
  227.      Automatic  CF  determination  procedure  simply tries all possible values
  228. from  1  to  16  and  computes  a  number of errors for each value. The table
  229. usually looks as follows
  230.      CF = 1 gives 0% errors
  231.      CF = 2 gives 0% errors
  232.      CF = 4 gives 0% errors
  233.      CF = 8 gives 50% errors
  234.      CF = 16 gives 75% errors
  235.      and so on.
  236.      The  maximum  CF  value  that gives less than 20% errors (which can arise
  237. from  old  data  and from pattern scanning errors) is considered good. You can
  238. however   enter   a  broader  range  of  CFs  to  search,  if  you  know  that
  239. autodetected value is incorrect.
  240.  
  241.      For  each  CF  value  in  a selected range, Start Sector (SS) is guessed.
  242. Total  execution time for this stage is limited to approximately 3 minutes per
  243. each CF value tested.
  244.  
  245.      When  it  is  finally  done,  you are to choose between several variants,
  246. which  are  displayed with their corresponding relevance values. In most cases
  247. you should select the first (default) variant (with maximum relevance).
  248.  
  249.                *** STAGE 4 - DIRECTORY TREE RECONSTRUCTION ***
  250.  
  251.      This  step  is  fully  automatic and you cannot interfere with a process.
  252. During  the  reconstruction  process  the details are shown on screen, but you
  253. should merely ignore them (they are recorded into the log file as well).
  254.  
  255.                      *** STAGE 5 - RECOVERING FILES ***
  256.  
  257.      When directory tree is refined, you are presented with a simple directory
  258. tree  viewer.  The  viewer tries to find the most readable form of a directory
  259. name  to  display.  When  a long name is available for a directory, it will be
  260. shown.  ZARNTFS  shows  a number of files in the directory following its name.
  261. Use  Up  and  Down  arrow  buttons  to  move  through the list and Spacebar to
  262. select/deselect   directory.  The  full  list  of  the  hotkeys  available  is
  263. provided in a bottom line of screen.
  264.  
  265.      When done, press "S" to start recovery.
  266.  
  267.      You will be prompted about the target location where recovered files will
  268. be stored.
  269.  
  270.      WARNING:  Never  copy  files  to  the volume you are recovering, as it is
  271. likely to cause further damage!
  272.  
  273.      During the copy process the following information will be shown:
  274.      * Total number of files requested.
  275.      * Number of files copied
  276.      * File name and size for the file being copied.
  277.      * Some technical information (like filesystem flags for the file).
  278.  
  279.                    *** STAGE 6 - RECOVERING LONG NAMES ***
  280.  
  281.      During  file  copy  operation, long file name information is collected to
  282. file  named LFNINFO.DAT. This file is stored in the directory you specified as
  283. a  file  copy  destination. When copying is done, you should boot into Windows
  284. (any  version  will  do,  but  it  must support the language used on a crashed
  285. system), run FIXLFN.EXE and follow onscreen instructions.
  286.  
  287.      IMPORTANT:  Do  not  modify  the  recovered  data  location  (i.e. do not
  288. rename/move files) before you run FIXLFN!
  289.