Восстановление данных из chk-файлов

Бывало встаешь с утра, включаешь компьютер, всё идет своим чередом… И вдруг запускается ScanDisk. Ждём, пока он закончит работу, загружаемся до конца и видим, что части важных файлов нет :( Если никаких новых папок на своих дисках мы не увидели, не отчаиваемся, идем в «Мой компьютер – Сервис – Свойства папки – Вид» и ищем и ставим галку напротив «Показывать скрытые папки и файлы». Да, для сохранения дополнительной защиты ОС, не забудьте после завершения всех манипуляций вернуть это свойство в исходное состояние. Затем снова смотрим на содержимое наших дисков и что же мы видим? Появились какие-то непонятные папки FOUND.000, FOUND.001 и т.д., а в них файлы file0001.chk, file0002.chk… Что случилось?

Когда при некорректном выключении компьютера, сбое в работе файловой системы или по каким-то другим причинам Windows «думает» что могла нарушиться целостность файловой системы, она запускает ScanDisk. Эта программа отличается от софта для восстановления данных тем, что при обнаружении ошибок в файловой системе, просто исправляет их, а данные, которые не знает куда деть, рассовывает по chk-файлам. В процессе такой работы, уничтожаются «следы», которые могли бы быть использованы для прямого восстановления данных. Таким образом получается, что после того, как по разделу прошелся ScanDisk, вероятность успешного использования специального софта (восстановление данных программой R.saver, например) стремится к нулю, остаётся ковыряться в .chk-файлах, в надежде восстановить данные оттуда. Итак…

Утилита ScanDisk имеет множество параметров: scandisk.exe [drive: [drive: ...]|/all] [/checkonly | /autofix [/nosave] | /custom] [/surface] [/mono] [/nosummary]

Собственно целью данной статьи не является изучение параметров ScanDisk, поэтому рассматривать их все я не буду, а лишь покажу в каком случае мы получим наши заветные chk-файлы и что с ними впоследствии делать. Команда с:\> scandisk.exe проверит целостность файловой системы на текущем диске с:\ и позволит исправить обнаруженные ошибки.

При указании параметра /autofix, обнаруженные ошибки исправляются автоматически без предварительного запроса на разрешение. Параметр /nosave разрешает утилите ScanDisk удалять информацию, расположенную в потерянных областях (кластерах) диска. Если параметр /nosave не указан, информация из потерянных областей сохраняется в корневых каталогах соответствующих дисков в файлах FILEnnnn.chk, где "nnnn" – порядковый номер файла. В итоге на диске появляются такие файлы, как file0001.chk, file0002.chk и т.д.

По-умолчанию Windows вызывает Scandisk с параметром /autofix, поэтому мы и получаем эти файлы, которые содержат информацию, расположенную в потерянных областях (кластерах) диска.

Думаю теперь понятно, почему появляются эти злосчастные chk-файлы. Будем разбираться, что же с ними делать. Как уже было сказано, chk-файлы содержат информацию, расположенную в потерянных областях диска. Говоря простым языком – частично там могут находится те данные, которые вы не обнаружили после загрузки. Как же выполнить восстановление данных? Как получить безвозвратно утерянную коллекцию фотографий игрушечных покемонов из папье-маше или годами собиравшуюся коллекцию «Блатного тайваньского шансона»? :)

Итак, у нас в наличии папки с файлами file0001.chk, file0002.chk и т.д. Для дальнейших действий нам пока понадобится лишь текстовый редактор и определенные знания. Начнем с определения. Сигнатура файла – это константа, некий постоянный набор символов, позволяющий однозначно идентифицировать, какого типа данные содержатся в данном файле. Опять же, изъясняясь проще – это фрагмент кода в файле, по которому однозначно можно понять, что это за файл, какой программой он создан и другую информацию.

К примеру, exe-файл всегда начинается с символов «MZ», Rar-архив имеет в своём коде «Rar!» и т.д. Понимаете к чему я клоню? Правильно, посмотрев файл и изучив его сигнатуру, можно понять, что это за файл. Опять же, невозможно запомнить все сигнатуры, потому что не все так просто, как кажется на первый взгляд (например сигнатура файла формата png выглядит так «0x89504E470D0A1A0A» и запомнить ее явно проблематично, если Вы не Джонни Мнемоник, конечно!). Правда сигнатура – не единственное средство.

Ручная сортировка

Перейдем теперь непосредственно к практике. Берем первый попавшийся chk-файл, открываем его через текстовый редактор и смотрим на его содержимое. Кроме как нечто вроде «сћэк%Э ‘Ґcrm­-Ъ7€‡P 9 NЮёЫѓЋ}y=3» на протяжении всего файла не часто увидишь, поэтому беглый осмотр нам редко когда чего даст. Первым делом пытаемся увидеть знакомые сигнатуры. Увидели что-то знакомое? Отлично! Закрываем редактор, заменяем расширение файла с chk на то, которое мы узнали и радуемся результату, прыгаем на месте, хлопаем в ладоши! :)

Если повезло, файл корректно откроется соответствующей программой. Но это самый простой и удачный случай. Теперь же вернемся чуть назад. Знакомую сигнатуру мы не нашли. Что же делать дальше? Дальше начинаем методично, вручную просматривать содержимое файла и пытаемся почерпнуть оттуда полезную информацию. Что я понимаю под полезной? Ну, например, если мы нашли куски текста, то большая вероятность, что это файл Word или Excel, если что-то вроде «KONICA MINOLTA DIGITAL CAMERA», то, очевидно, это ваши фотографии либо видео с того же фотоаппарата с расширением mov (наиболее распространенное на данный момент, хотя многие уже пишут напрямую в avi) ну и т.д.

Имея на руках данную информацию мы можем отсортировать все chk-файлы по известным нам типам. Так же, имеет смысл обращать внимание на объем chk-файлов. Если файл занимает порядка 680-740 мегабайт, то скорее всего это фильм и можно просто подобрать нужное расширение (avi, mpeg и т.д.). Я вижу уже улыбку, расплывающуюся у тебя на лице от удовольствия и ощущения, что ты легко вернешь все файлы, но, к сожалению, это не так. Очень часто chk-файлы могут содержать не все, а лишь часть данных исходного файла. Например, после смены расширения chk-файла мы получаем битый doc или кусок картинки. В этих случаях, для получения удовлетворительных результатов, может потребоваться использование специализированных программам, предназначенных для восстановления данных из повреждённых файлов конкретных типов.

Тематика использования такого софта достаточно обширна, и выходит за рамки этой статьи. Если потребуется, информацию о программах, выполняющих восстановления данных из битых файлов конкретного типа можно найти с помощью поисковых систем. Так же в .chk-файлах может быть просто «мусор», который тебе не нужен.

Автоматическая сортировка

Вот, в принципе, и всё, целый один chk-файл мы опознали и вернули на место. Но ведь это только один файл, а их может быть порядка тысячи и более… Что же, просматривать все файлы вручную? Правильно! Конечно же нет… :) Благодарим Михаила Маврицина, который написал, с моей точки зрения, наиболее толковую из бесплатных программ для автоматической сортировки .chk. Итак, приветствуем нашего помощника – CHKParser32.

{mosimage}

После запуска программы перед нами предстает окно, показанное выше. Как можно видеть, функционально всё достаточно удобно, видно количество известных сигнатур, количество chk-файлов в сканируемой директории и, по окончании процесса, количество распознанных. Во время тестирования все файлы, которые я попытался «скормить» программе были успешно «проглочены» и распознаны. Программа работает очень быстро. Так же к плюсам можно отнести легкость расширения списка сигнатур. Для этого нужно лишь добавить строчку в ini-файл, идущий в комплекте с программой.

Я, например, при тестировании, в течении 5 минут изучил сигнатуры файлов типа mov и уже при следующем этапе тестирования программа легко их находила и распознавала. Если же хочется более подробно изучить работу программы, то милости прошу к её описанию. Как видно, потратив 2 минуты на работу с программой, мы экономим кучу времени, которое потратили бы на ручную сортировку. Однако не советую про нее забывать. Если все-таки программа не смогла распознать какие-то chk-файлы, рекомендую вручную их посмотреть, а не удалять, вдруг чего интересного разыщите! :)

Андрей Зельников, специально для rlab.ru.

Перепечатка или цитирование разрешены при условии указания ссылки вида Восстановление данных R.LAB на первоисточник.

Скорее всего GetDataBack смогла найти остатки информации о размещении файлов, и на её основе восстановить данные с именами и структурой каталогов. Вам повезло что файлы на диске были не фрагментированы, в противном случае они бы не открылись, так как чекдиск при лечении правит FAT таблицы, и это для фрагментированных файлов фатально.

Года 3-4 назад было такое дело — у старого харда Seagate на 80 ГБ, почти полностью забитого разнообразными данными, отказал какой-то из первых секторов и испортился заголовок файловой системы FAT32. При запуске windows по нему прошёлся CHKDSK и превратил его содержимое в 10000 файлов chk. К счастью, помогла программа Runtime GetDataBack - она обнаружила на диске резервный заголовок ФС и восстановила более 99% файлов вместе с именами и папками. Вот такая история. Диск был обработан Викторией, отформатирован в NTFS и работает до сих пор резервным хранилищем.

Спасибо. Доброе слово оно и кошке приятно :). Что уж говорить про людей :).

Специально зарегался, чтобы оставить благодарственный отзыв. Спасибо большое автору. Самая толковая и дельная статья из всего, что нашел по данной теме.

CHK файл это потерянная цепочка, а не файл в том виде как он был. После работы программы чек диск все потерянные цепочки сохраняются в файлы. Но было ли в цепочке что то полезное понять можно только визуально осмотрев её при помощи любого hex viewer'а либо воспользовавшись программой CHKParser. К сожалению она знает далеко не все типы файлов. Ну и конечно при визуальном осмотре в hex viewer'е нужно понимать что Вы должны увидеть что бы понять полезная ли информация в сохранённой цепочке или нет.

Здравствуйте. Я столкнулся с такой проблемой, все CHK-файлы при открытии текстовым редактором оказываются пустыми, хотя все имеют разный вес от нескольких Кб до нескольких Мб. Возможно ли восстановление таких файлов?

Пожалуйста.

Спасибо! Удалось восстановить около 50% файлов

Пожалуйста :).

Спасибо большое за полезную статью, я даже специально зарегистрировался для  этого! Использовал программу CHKParser32 - распознала больше половины объектов. А остальное уже исходя из подсказок сделаю :)