1

トピック: 誤ってゼロフィルし直後に停止したHDDからのサルベージ

HDDをゼロフィルフォーマットしようとして、別のHDDをフォーマットしてしまいました。いつもは何度も確認するのですが、起きて間もない頭は確認はしたものの起きていなかったようです。その前に再起動やらいろいろやったので大丈夫かと思ったのですが、甘かったようです。

対象のHDDは動画のTSファイルの倉庫でGPT NTFS 1パーティションです。停止まで数秒なので数MBか数十MBだと思いますが、管理領域を埋めるには十分でエクスプローラーから開けなくなりました。

TestDiskで「EFI GPT」選択でみると画像のようにMS Dataとなっていてファイルは読めません。駄目元で一応Deeper Searchをやりましたが、やはりファイルが読めるようなパーティションはみつかりません。

当方はファイルサルベージはだいたいRecuvaかZARなのですが、Recuvaはファイルシステムの破損からフォーマットしないと無理なので、ZARを使ったら、スキャンの段階ではほとんどのファイルはサルベージできそうだったのですが、サルベージしてみると多くのファイルが開始終了などがずれているか異なるようになっています。

ファイルシステムの破損から管理領域の指定からずれている印象なので、試しにPhotoRecで数百GB読み出すとZARのものと全く同じサイズの正しい動画が回収できます。(ZARの同じサイズのものは正常な復元ではありません。)そういう意味ではファイルシステムさえ何とかできればZARで割と簡単にサルベージできそうなのですが、ファイルシステムを修復となるとクィックフォーマットでいいようにも思うのですが、必要以上に書き換えそうでどうしたものかと思います。TestDiskで適切な変更は可能でしょうか。

このHDDは直に録画ではなく、ほかのHDDからの転送なのでPhotoRecで数百GBみた限りでは詳細に確認したわけではありませんが、20GB超の動画も含めてほとんどはサルベージできている印象です。(過去の経験からこのようなときのために断片化を防ぐために極力そのようにしています。)なのでファイルシステム破損からのずれを何とかできなければ、PhotoRecとZARからのファイルをつき合わせてになりそうですが、これで完全に復旧できるかはわかりません。

したがってできればファイルシステムの破損からのずれを修復したいのですが、可能でしょうか。

Post's attachments

111.jpg, 136.81 kb, 677 x 492
111.jpg 136.81 kb, 14 downloads since 2022-04-24 

2222.jpg, 90.17 kb, 677 x 492
2222.jpg 90.17 kb, 16 downloads since 2022-04-24 

3333.jpg, 100.07 kb, 677 x 492
3333.jpg 100.07 kb, 15 downloads since 2022-04-24 

2

Re: 誤ってゼロフィルし直後に停止したHDDからのサルベージ

ファイルシステムに関する重要な情報は領域の先頭部分に集中しているので、
ゼロフィルを実行したのであれば、短時間であったとしても元通りには戻せないと思います。
もちろん、TestDiskを使ってもです。

本件はMFTがかなり上書きされているでしょうから、
ファイル復元ソフトを使うにしても、MFTの情報をもとにしたファイルの復元は避けるべきです。
データの完全性を求めるのであればなおさら。
これはつまり、ファイル名やフォルダ構造の復元はあきらめることを意味します。

従って、書かれているようにPhotoRecを使ってファイルを復元することをおすすめします。
ZARはよく知りませんが、ちょっと調べてみた限りでは機能が中途半端なように思います。
このケースでは、いわゆるクラスタスキャンに特化したツールであるPhotoRecが最善だと思います。

3

Re: 誤ってゼロフィルし直後に停止したHDDからのサルベージ

管理人さま、返答ありがとうございます。

とりあえず、PhotorecとZARで回収をはじめました。Photorecですべて読み出し、ZARで読み出したファイルとサイズを照合して、接合の有無を確認するため、接合した場合に生じるドロップを確認したところ、元々転送したファイルでは数ファイル以外は正常でした。正常でないファイルは元々上書きなどのファイルと思われます。少数あった直に複数同時録画のものは多少断片化していることもあり、正常なものは復元できませんでした。

>ZARはよく知りませんが、ちょっと調べてみた限りでは機能が中途半端なように思います。

私もZARは10年くらい使用しているのですが、マニュアルも読んだこともなく、設定は不良セクタの扱いの設定を意識していたくらいで、日本語化もされていないからかあまり解説サイトもなかったように思います。

これを機にメーカーサイトでマニュアルを読んだのですが、本来、スキャンでは自動的にクィックスキャンの後に必要ならフルスキャンとなるのですが、今回はクィックスキャンのみで終了していました。過去の経験ではクィックスキャンのみで終了したのはありませんでした。

そこで手動でフルスキャンしてみると、MFTを含むファイル構造は先頭にあるのみで、フルスキャン後に回収されたファイルの中身もクィックスキャンと変わらないようでした。

使用していたバージョンは2015年のBuild11だったので、最新版のものをインストールしてみてスキャンしてみたのですが、どういうわけか同じパラメータ設定でもスキャンのリードレートがどうやっても2015年の半分程度でまたクィックスキャンの領域も長めで2015年のものでは30分程度だったのが、最新版では2時間半もかかりました。

それで結果がよければいいのですが、回収対象の同時録画のファイルなども2015年のものでは多少断片が接合した程度のものもゼロファイルとなり、今回に限れば改善となっていませんでした。

原因が取捨の基準が厳しくなったのか、アルゴリズム自体に大きく変更があったのかわかりませんが、今回だけで断定はできないものの、バージョンアップが今回には適していないようです。

これは危惧していたことなのですが、一般的にソフトウェアのバージョンアップは必ずしも性能の改善とはならず、復元ソフトもバージョンアップで何が改善されたのかわかりにくく、例外ではないと思っていたのですが、ZARの場合は最初に使っていたものに比べて2015年のものは復元能力が大幅に向上していて、多言語対応で日本語ファイル名などの復元可能になったこともあって、バージョンアップに迷いはありませんでした。しかし、今回の件でバージョンアップが正しいのか疑問です。

PhotorecやTestDiskもバージョンアップでソフトウェアのサイズが減少したときもあり、長時間や空き容量などを要することもあって、復元能力が向上しているのか否か比較や判断も難しく、毎回どのバージョンを使うべきか考えてしまいます。管理人さまはバージョンアップに関して何か基準をお持ちでしょうか。

ファイナルデータは試用版でもプレビューできるとあったので試用してみましたが、TSファイルは対象外でした。MiniTool Power Data Recoveryは1GBまで復元可能というので試してみましたが、試用版は復元不可に変更されたようです。

ZARが無料版でも4フォルダまでファイル数制限なしというのも太っ腹なのかもしれませんが、試用版で全く復元できないのでは性能をみることもできずでは商業的な面もあるのでしょうが、性能に関して判断できませんでした。

PhotorecとZARで可能なことはやったので、できるだけMFTを変更しないと思われるクィックフォーマットを行い、ZARの2005年のものでスキャンしたところ、ファイル構造の変化はあったものの、復元されたファイルに関しては結果は変わらないようでした。

フォーマットでRecuvaでスキャン可能になったので、フルスキャンしたところ、7割強のファイルが回収できました。その中にはPhotorec、ZARで復元できなかったファイルのほとんどは復元できたので、おそらく復元が不完全な1、2ファイル以外は完全に回収できたようです。

問題はこれらの再構成ですが、Photorecはデータを書き出しに近いので、日付などの変更も大変でやや不安な面もあり、Recuvaは上書きなどの情報もあり、その分、復元率も低くなるのですが、復元ファイルは一定の信頼はあるものの、やはり復元なのでどちらを優先するか考えてしまいます。どちらも実際には中身は同じように思うのですが、これだけ大規模な復旧は久々で、管理人さまは複数のソフトの場合、優先順位はどのようにお考えでしょうか。

わからないのはゼロフィルの影響です。それによってファイル構造が破壊されたのはわかるのですが、Photorecで回収されたファイルの総容量と大まかな記憶がおそらくほぼ同じであることから考えると、大きくゼロで埋められたとは思えず、ZARではデータの指定先が間違ってはいるものの、ゼロで埋められているのであればまったく復元できないでしょうし、正確なサイズでとりあえず復元されています。

RecuvaはZARほど復元率が高くないため、7割くらいもMFTがゼロで埋められた影響なのかというと回収されたファイルの総量から疑問です。ただMFTに問題がないならフォーマット後もZARでうまく回収できなかったのもよくわからず、単にソフトウェアの設計の違いともいえますが、あらためてMFTがどのような設定なのかと思いました。

ゼロフィルでファイルシステムが壊れているため、MFTのバックアップから復元される処理が行われず、そのあたりをソフトウェアによって読みにいくかいかないかの違いのようにも思ったりもしますが、MFTに関しての理解が浅いため、推測の域をでません。

管理人さまはどのようにお考えでしょうか。

4

Re: 誤ってゼロフィルし直後に停止したHDDからのサルベージ

まず、存在するのはMFTのバックアップではなく、MFTのミラーです。
これは、エラーをロールバックするためにあるもので、上書きを防ぐものではありません。
頻繁にアクセスするため、両方とも領域の先頭部分に位置しています。
従って、MFTの上書きは数秒もあれば十分です。
存在していたファイルに関する大元の情報は失われていると考えるべきです。
領域内には、縁の切れたデータが散在している状態です。
また、MFTは上書きされていても、ディレクトリエントリの情報は残っていると思います。


cm さんのコメント:

管理人さまはバージョンアップに関して何か基準をお持ちでしょうか。

よく使うソフトは旧バージョンのインストーラ等も保存していますね。
現在のHDDの容量からすれば、大したデータサイズでもないので。


cm さんのコメント:

ファイナルデータは試用版でもプレビューできるとあったので試用してみましたが、TSファイルは対象外でした。

ファイナルデータはTSファイルにも対応しています。
たとえば、
高度な復元 > 設定 > ファイルの種類 > サウンド/ムービー > TS - 動画ファイル
とあります。


cm さんのコメント:

どちらも実際には中身は同じように思うのですが、これだけ大規模な復旧は久々で、管理人さまは複数のソフトの場合、優先順位はどのようにお考えでしょうか。

基本的に、複数ソフトの併用はしません。
試してみることはありますが、適していないと判断すれば使いません。
サイトでも書いているとおり、基本はファイナルデータ、データの取得が主ならPhotoRecです。
これには理由があります。

ファイル復元ソフトには、大きく分けて2通りのものがあります。

  • 復元するファイルを選択してからスキャンする

  • スキャンしてから復元するファイルを選ぶ

私がよく使うのは前者です。
ファイナルデータ、PhotoRecは両方とも可能ですが、
基本的には設定してからスキャンする、つまり前者のファイル復元ソフトです。
一方、最近商業的に成功していると思われるファイル復元ソフトは、
全自動でスキャンした結果からファイルを選ぶものが多いです。
誰にでも使いやすい面はありますが、逆はできなかったりします。

ファイルシステムの破損が進んだ状態では、データの優先度がはっきりしません。
データの優先度がわかるのは、その記憶装置を使っていたユーザーだけです。
事前に優先すべきファイルがわかっていれば、
特定のファイルのデータのみを優先して、それ以外のデータは無視することができます。
領域が重複しているデータも、優先度がはっきりします。
この前提がないと、あれもこれも確保する折衷案を取らざるを得ません。
結局、得られるデータは中途半端になります。
これはファイル名に関しても同じで、
ファイル名を優先すれば、ファイル名の情報は残っていても、
ファイルとしては意味のないデータが検出されることになります。
だからファイナルデータの高度な復元では、スキャン後に照合してるみたいですけどね。

データが重要であれば、対象のファイルだけを選択してファイルを復元することが極めて有効です。
優先度とはそういうものです。
ファイルが同じかどうかは、ハッシュ値で比較すればいいと思います。