home *** CD-ROM | disk | FTP | other *** search
/ Chip 2005 August / CHIP_CD_2005-08.iso / bonus / photo_rest / files / setup.exe / {app} / DOS / MANUALS / zarpartn.txt < prev   
Encoding:
Text File  |  2002-01-21  |  11.2 KB  |  230 lines
  1.                   Zero Assumption Recovery (ZAR) version 6.3
  2.                          Partition Finder (ZARPARTN)
  3.                                 USER'S MANUAL
  4.                    Copyright (C) Alexey V. Gubin, 1999-2002
  5.  
  6.                                *** PURPOSE ***
  7.  
  8.      ZAR  Partition  Finder allows you to scan through a physical disk looking
  9. for  pieces  of  information  that look like boot sectors or partition tables.
  10. Program  output  is  written  to  a  report  file.  This  file can be manually
  11. reviewed,  and  information  contained  in  it can be used to either rebuild a
  12. partition  table by hand or to specify ZARFAT analysis parameters. The program
  13. does not modify the partition table in any way.
  14.  
  15.      Two modes of operation are available for physical disks:
  16.      *  Fast  mode  (only  looks at predetermined locations that are likely to
  17. contain partitioning information).
  18.      * Full mode (checks all sectors on disk).
  19.  
  20.      Fast mode is not available for disk image files.
  21.  
  22.      Cuurent version of ZARPARTN looks for the following objects (only)
  23.      *  Partition  table  elements  (Master Boot Record and Extended Partition
  24. Pointers - EPP)
  25.      * FAT16 boot sectors
  26.      * FAT32 boot sectors
  27.      * NTFS  boot sectors
  28.      *  Windows  98/ME  \SUHDLOG.DAT  file, which contains MBR and boot sector
  29. copies  backed  up  for  Windows uninstallation (Note: SUHDLOG.DAT can only be
  30. found with "Full" scan mode).
  31.      *  Missing  objects  (if  a reference to an object exists, but the object
  32. itself is missing)
  33.  
  34.                             *** PROGRAM USAGE ***
  35.  
  36.      1.  Run ZARPARTN.EXE.
  37.  
  38.      2.  You  will  be prompted for a log file location. You can either accept
  39. default  path and file name, specify another file name, or enter "NUL" without
  40. quotes to disable logging feature. If you accept default path, make sure there
  41. is  at  least  500Kb of free space on disk you are going to write log file to.
  42. Please note that log file is not the same thing as a report file. When program
  43. runs,  execution  information  is  written  to  log  file (for troubleshooting
  44. purposes),  but  program  output  (about  boot  sectors found) is written to a
  45. report file.
  46.  
  47.      3.  Then,  you  will be prompted for a language you want to use. Select a
  48. language  from  list.  Note:  report  file will be written in the language you
  49. selected.
  50.  
  51.      4.  Select  a  physical  disk you want run ZARPARTN against. You can also
  52. load an disk image file to scan.
  53.  
  54.      5. After the disk is selected, the following warning message may appear:
  55. --------------------------------------------------------------------------------
  56. There is an error in a drive geometry info reported by BIOS.
  57. It is reported to be of 0 tracks, cylinders or sectors.
  58. Enter a Sectors Per Track value :
  59. --------------------------------------------------------------------------------
  60.  
  61.      This  can  be a case with modern BIOSes not reporting a drive geometry at
  62. all.  Common Sectors Per Track value for IDE disks with LBA translation is 63.
  63. You  can  verify it in BIOS Setup (for AWARD BIOS, check "Standard CMOS Setup"
  64. section  where  your  drives are listed; if you have AUTO mode there, try "IDE
  65. Hard  Hisk  Detection"  option, do not modify anything there, but write down a
  66. number   of  sectors  autodetection  reports  for  suggested  operation  mode,
  67. typically LBA).
  68.  
  69.      If  you  are  not  sure what number of sectors per track is on your disk,
  70. enter "1". This will force Full Mode scan (even if Fast Mode is selected) (see
  71. below).
  72.  
  73.      6.  As  soon as physical disk is selected, you need to configure options.
  74. Few options are available, namely:
  75.  
  76.      "Scan  Mode":  can  be either "Fast" or "Full".
  77.      "Fast"  mode  only  looks  at  predetermined  locations  on  disk,  where
  78. partitions  are  usually  stored  (namely, first sector of each track). "Full"
  79. mode  examines  each  sector of the disk. "Fast" mode is about 30 times faster
  80. than "Full", but it has the following limitations:
  81.      * It cannot be applied to disk image. Disk image requires "Full" mode.
  82.      * FAT32 backup boot sector will not be found in "Fast" mode.
  83.      * Windows SUHDLOG.DAT will not be found in "Fast" mode.
  84.      * If  Number  of  Sectors  Per  Track was manually set to 1 (see above),
  85. "Fast" mode is equal to "Full" mode.
  86.  
  87.      "Save copies of sectors": can be either "Yes" or "No".
  88.      When  enabled,  ZARPARTN  saves  copy  of  each  sector it detectes to be
  89. related  to  partitioning  and  boot process into a file (named as a number of
  90. sector).
  91.  
  92.      After options are set, select "Proceed".
  93.  
  94.      7. You will be asked about report file name and location. Again, choose a
  95. drive  with  plenty  free space on it (probably the same drive you put logfile
  96. on). Normally, 500Kb of space is enough for both log and report files.
  97.  
  98.      8.  The scan process starts as soon as report file is specified. Pressing
  99. any key during scan aborts it.
  100.  
  101.                           *** REPORT FILE FORMAT ***
  102.  
  103.      Generally, a report file looks like the following:
  104.  
  105. ********************************************************************************
  106. Sector 0 seems to contain  a Master Boot Record
  107. Partition layout as recorded in sector :
  108.      Filesystem type      Start           End         Rel Start      Abs Size
  109.                       Cyl Head  Sec   Cyl Head  Sec
  110.                FAT32   0    1    1    254  254   63          63    4096512
  111.           DOS EXTEND 255    0    1    786  254   63     4096575    8546580
  112.                Empty   0    0    0      0    0    0           0          0
  113.                Empty   0    0    0      0    0    0           0          0
  114. Information computed from the above data
  115.    Abs start     Abs size     Approximate volume size, Mb
  116.          63       4096512              2000.3
  117.     4096575       8546580              4173.1
  118.           0             0                 0.0
  119.           0             0                 0.0
  120. ********************************************************************************
  121. Sector 63 contains a FAT32 boot sector
  122. Volume label           : NO NAME
  123. OEM ID                 : MSWIN4.1
  124. Sectors per cluster    : 8
  125. Reserved sector(s)     : 32
  126. Sector(s) per FAT      : 3997
  127. Total sectors on disk  : 4096512
  128. Approx. volume size, Mb           : 2000.3
  129. ZAR: Disk area - start sector     : 63
  130. ZAR: Disk area - size in sectors  : 4096512
  131. ZAR: CF/SS pair                   : 8/8073
  132. ZAR: FAT start sector             : 95
  133. ZAR: FAT size in sectors          : 3997
  134. ********************************************************************************
  135. Sector 4096575 should contain a boot record, but nothing was found
  136. ********************************************************************************
  137.  
  138.      In  the  above example, 6.1 Gb hard disk was partitioned into two drives:
  139. 2.0  Gb primary FAT32 partition and 4.1 Gb FAT32 logical drive in the extended
  140. partition.  The  Master Boot Record correctly identifies the primary partition
  141. and  the  extended  partition.  The scan was aborted immediately after a first
  142. boot  sector  was  found,  resulting in a message about missing boot record in
  143. sector 4096575.
  144.  
  145.      Partition layout shows raw MBR information as follows:
  146.  
  147.      Filesystem type      Start           End         Rel Start      Abs Size
  148.                       Cyl Head  Sec   Cyl Head  Sec
  149.                FAT32   0    1    1    254  254   63          63    4096512
  150.           DOS EXTEND 255    0    1    786  254   63     4096575    8546580
  151.  
  152.      "Cyl/Head/Sec"   specifiy  start  and  end  of  the  partition  (absolute
  153. positions on disk). Notes:
  154.      1.  C/H/S  addressing  mode  uses  zero-based numbering for cylinders and
  155. heads  (first  head has number of 0), while sector numbers are 1-based (from 1
  156. to 63).
  157.      2. C/H/S addressing has a 8Gb limitation. If either partition starting or
  158. ending  sector  is  above  8Gb  boundary,  placeholders are written instead of
  159. actual C/H/S values. These placeholder values are 1023/254/63.
  160.  
  161.      "Rel  Start"  specifies a distance from the partition table sector to the
  162. first  sector of a volume. For this example, starting sector for primary FAT32
  163. partition is equal to (0 + 63), where 0 is a Master Boot Record sector number,
  164. and 63 is a "Rel Start" value.
  165.  
  166.      "Abs  Size"  specifies  a  number  of  sectors  for a volume (or multiple
  167. volumes contained in the extened partition).
  168.  
  169.      ZARPARTN computes some data from the partition table, namely
  170.      "Abs  start"  -  number  of  a first sector for a volume (see above, "Rel
  171. Start"). "Abs size" - same as a raw vaule, provided here just for convinience.
  172. These  two values can be entered in ZARFAT when specifying the area containing
  173. data to be recovered.
  174.  
  175.      CAUTION:  "Abs start" parameter is computed using an absolute Master Boot
  176. Sector position on a disk. In cases where backup sector is found (which is not
  177. on  actual boot sector position), these values will be incorrect. This applies
  178. to all boot sector backups, such as Norton Image files.
  179.  
  180.      "Approximate  volume  size,  Mb"  - can be used to identify volume by its
  181. size.
  182.  
  183.      Boot sector dump shows raw information as well as some data computed from
  184. it, with the following entries being most important:
  185.  
  186.      Sector 63 contains a FAT32 boot sector
  187. 1. Volume label            : NO NAME
  188. 2. Approx. volume size, Mb : 2000.3
  189.      Volume label and size are shown for volume identification only. Note that
  190. reported  volume  size is slightly greater than a "free space" value displayed
  191. in Windows.
  192.  
  193. 3. ZAR: Disk area - start sector     : 63
  194. 4. ZAR: Disk area - size in sectors  : 4096512
  195.      These  two  values  can  be  entered  in  ZARFAT when specifying the area
  196. containing data to be recovered.
  197.  
  198. 5. ZAR: CF/SS pair                   : 8/8073
  199.  
  200.      CF stands for Cluster Factor - number of sectors per cluster.
  201.      SS stands for Start Sector - sector number for cluster 0.
  202.      These  are  two  of  the  four  significant volume parameters. CF/SS pair
  203. controls how cluster-to-sector translations are performed.
  204.      These  two  values can be entered in ZARFAT instead of performing a CF/SS
  205. analysis.  It  is  however recommended (except for Windows NT/2000/XP mirrored
  206. FAT  volume)  that you should tell ZARFAT to use "Reduced Dataset Brute-Force"
  207. algorithm  (the default method to determine volume parameters; it will be used
  208. automatically if ZARFAT operates in "Simple Mode"). You should use boot-sector
  209. analysis results only as a last resort whan automatic determination fails.
  210.  
  211. 6. ZAR: FAT start sector             : 95
  212. 7. ZAR: FAT size in sectors          : 3997
  213.      These two values can be entered in ZARFAT if (and only if) its native FAT
  214. search fails (or if you want to override its result for some reason).
  215.  
  216.      CAUTION:  The  following  parameters  are computed using an absolute boot
  217. sector position on a disk:
  218. 1. ZAR: Disk area - start sector
  219. 2. ZAR: CF/SS pair
  220. 3. ZAR: FAT start sector
  221.      In cases where backup sector is found (which is not on actual boot sector
  222. position), these values will be incorrect. This applies to
  223.      1.  FAT32  backup  boot  sectors  (usually  placed  +6 sectors from their
  224. corresponding primary boot sectors)
  225.      2. Other boot sector backups, such as Norton Image files.
  226.  
  227.      Finally,  the information about missing partition/boot sectors is written
  228. in the report file.
  229.  
  230.