Диагностика NTFS.

[sss]

Все привет.

Уже третий день бьюсь, чувствую не могу справиться вроде бы с тривиальной задачей.
В общем принесли мне жесткий диск на 60 ГБ IDE с одним MBR разделом NTFS на весь диск.
После присоединения (XP) он получил букву D: и при загрузке (autochk) спросил проверить
том D: NTFS? Ну конечно да, отвечаю, идёт проверка - ошибок не найдено. Загрузился сеанс
пользователя тип файловой системы (в свойствах диска проводника) RAW. Ага, думаю -
поверхности хана (диску 8 лет). Не тут то было - mhdd показывает нормальные таймауты чтения.
Открываю Diskprobe, читаю MBR. Всё нормально. Загрузочный сектор NTFS в 63 секторе. Открываю
63 сектор - все настройки корректны: MFT и зеркальная MFT на местах (читаю отдельно), резервный
загрузочный сектор NTFS на месте. Причём данные с диска с помощью программ восстановления
я скопировал совсем без проблем (в принципе это означает что mft корректна).

Перечитываю Руссиновича:
- "NTFS распознаёт том, только если поля типа и имени определяют именно NTFS, а файлы
метаданных, описываемых загрузочной записью, находятся в согласованном состоянии".

Так вот наконец вопрос.  Как мне продиагностировать метаданные NTFS? Как узнать что именно
рассогласовано?

Буду рад любой идее. Если надо предоставлю копии секторов.

[RXL]

Проверь в MBR тип раздела: возможно он стоит как Hidden NTFS — надо изменить на NTFS.

[sss]

Проверь в MBR тип раздела: возможно он стоит как Hidden NTFS — надо изменить на NTFS.

Проверял - 0x07.. (NTFS)

Чего я только не делал. Уже и отладчик ядра подключил - думал вдруг драйвер NTFS чего в
отладочную консоль выведет. Тишина...
Перечитал кучу инфы - думал вдруг где в реестре есть параметр, который заставит его усиленно
протоколировать ошибки - к сожалению не нашёл.

[v2]

> Загрузился сеанс
пользователя тип файловой системы (в свойствах диска проводника) RAW

Было такое (RAW вместо двух ntfs разделов  - 1,5TB на Win7 - проверка autochk не запускалась) "полечилось" подсоединением в другой sata порт.

Что при подключении к другому компьютеру/ос?
Что показывает "Управление дисками"?  (попробовать изменить букву диска)

[sss]

> Загрузился сеанс...

Букву менял. Копию диска сделал.
Отформатировал (быстро) - диск доступен ОК.
Вернул назад.

Ночью курил мануалы..

...
и файл тома (volume file) с именем $Volume, который содержит имя тома, версию NTFS,
под которую отформатирован том и бит, устанавливаемый при каком-либо повреждении диска.
...

Сейчас идея появилась. А не указана ли там версия выше чем поддерживаемая в XP. Как на
зло работы по уши - некогда попробовать...

 

Добавлено через 11 минут и 47 секунд:

Что при подключении к другому компьютеру/ос?

Да вот подумываю подключить в w7... Но диск IDE и вариантов компов с w7 и IDE не так уж и много.
Не получиться - попробую через какой нибудь IDE->USB

[RXL]

Или использовать виртуальную машину с W7.

[sss]

Не получилось. Взял два сектора $Volume с "рабочего" записал в $Volume "мёртвого" - всё тоже самое..

Добавлено через 33 минуты и 33 секунды:
А вот результат проверки тома 

Код: (DOS)

C:\sys\NTFSInfo 1.0>chkdsk d: /f /x
Тип файловой системы: NTFS.

Проверка файлов (этап 1 из 3)...
Проверка файлов завершена.
Проверка индексов (этап 2 из 3)...
Проверка индексов завершена.
Проверка дескрипторов безопасности (этап 3 из 3)...
Проверка дескрипторов безопасности завершена.
CHKDSK проверяет журнал USN..
Завершена проверка журнала USN
Windows проверила файловую систему. Ошибок не обнаружено.

  58605088 КБ всего на диске.
  43317384 КБ в 61664 файлах.
     25744 КБ в 7088 индексах.
         0 КБ в поврежденных секторах.
    181616 КБ используется системой.
     65536 КБ занято под файл журнала.
  15080344 КБ свободно на диске.

Размер кластера:                   4096 байт.
Всего кластеров на диске:      14651272.
   3770086 кластеров на диске.

C:\sys\NTFSInfo 1.0>ntfsinfo.exe d:

NTFS Information Dump V1.01
Copyright (C) 1997 Mark Russinovich
http://www.sysinternals.com

Error obtaining NTFS information: STATUS_INVALID_PARAMETER


C:\sys\NTFSInfo 1.0>

Чем ещё протестировать?

[Sla]

И все же...
А если это диск просто тупо воткнуть в 1-й ide слот?
или поменять местами, системный, и проблемный.

[sss]

И все же...
А если это диск просто тупо воткнуть в 1-й ide слот?
или поменять местами, системный, и проблемный.

Попробую сейчас. И похоже пойду в w7 воткну..

Добавлено через 18 минут и 36 секунд:
Смена режима ide (master/slave, ide0/ide1) ни к чему не привела. Это и ожидалось - я там раньше писал,
что после форматирования диск работает ок..

Сейчас буду к w7 прикручивать. Вдруг у неё chkdsk более матёрый..

Добавлено через 42 минуты и 1 секунду:
win7 сказал "Отказано в доступе" !!!! Как я не подумал!!! Там наверное отказывать всем в ACL !

Добавлено через 18 часов, 3 минуты и 59 секунд:
Пишу ntfs viewer...

Добавлено через 25 дней, 7 часов, 56 минут и 10 секунд:
У корневого каталога обнаружил дополнительный атрибут - $LOGGED_UTILITY_STREAM используемый EFS. Получается корневой каталог системного диска зашифрован!  Не зашифрован, но была попытка зашифрования. Сейчас попробую удалить атрибут.

Не помогло. Но увидел что половина корневого каталога тома "перепахана" операцией шифрования (не уверен). В частности нет каталога windows.
Можно надуманно предположить -  драйвер проводил шифрование до тех пор, пока не зашифровал критичные для выполнения файлы.

Нда.. Буду думать что делать дальше.

Добавлено через 2 дня, 2 часа, 21 минуту и 40 секунд:
Обнаружил наличие атрибута $LOGGED_UTILITY_STREAM у корневых каталогов томов, подключённых (ранее подключаемых) к Windows 7. Надо будет проверить в других системах - похоже так можно детектировать был ли том NTFS ранее подключён к системе с Windows 7 (Wista?). Возвращаюсь к теме с дескриптором. Пытаюсь научиться читать файл $Secure.

[sss]

В общем не удалось вернуть работоспособность. Хотя наблюдаю несколько нехарактерных свойств служебных файлов.
В частности это отсутствие отдельного атрибута $SECURITY_DESCRIPTOR при наличии укороченной версии атрибута
$STANDARD_INFORMATION таких файлов, как $UsnJrnl, $ObjId (находящихся в каталоге $Extend (mftno = 0x0B)), что
исключает применение для поиска дескриптора безопасности по индексу $SII в потоке $SDS файла $Secure поля
$STANDARD_INFORMATION.ulSecurityId. Фу, выдохнул.. Продолжаю раскапывать, хотя  думал будет легче.

В процессе написал программу для прямого чтения NTFS с базовых MBR дисков.
Программа может использоваться для следующих целей:
1) Просмотр внутренней организации файлов в NTFS.
2) Чтение и анализ атрибутов  файлов.
3) Просмотр дескрипторов безопасности.
4) Файловый браузер.
Так как не используется системный сервис возникает возможность.
4) .. Причём, естественно, без оглядки на дескрипторы безопасности. Теперь понятно, почему
  администраторы обладают неотъемлемым правом овладевания файлами  (см. примечание).
5) Копирование эксклюзивно открытых файлов (кусты реестра, файлы подкачки и т.д.)
6) Анализ системы в условиях подозрения на стелс защиту вирусов (у меня комплекс наверное ).

Примечание: Программа открывает прямой поток в режиме только чтение.. Однако даже для режима только для чтения необходим
административный доступ.

md5(ntfsvr.exe) = 12709547457f1e00e662448addf310f2 (winmd5.exe)

[sss]

Привет.

Нашёл ещё одно неожиданное применение программы в XP...

Искал откуда запускается вирус у пользователя без административных прав. Выяснил, что это объект задание xxx.job, который лежит в  %WINDIR%\Tasks.
Естественно захотелось посмотреть безопасность этого каталога - каково же было моё удивление когда я увидел отсутствие вкладки безопасность
для этого каталога! Запустив ntfsvr я получил дескриптор и увидел вот это (XP):

 
Оказывается, прошедшие проверку могут создавать задания...