home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2005 August / CHIP_CD_2005-08.iso / bonus / photo_rest / files / setup.exe / {app} / DOS / MANUALS / zarfat.txt

< prev

next >

Wrap

Text File  |  2002-01-21  |  23KB  |  461 lines

---

1.                   Zero Assumption Recovery (ZAR) version 6.3
2.                         FAT16/FAT32 recovery (ZARFAT)
3.                                 USER'S MANUAL
4.                      Copyright (C) Alexey V. Gubin, 1999-2002
5.  
6.                            *** ACKNOWLEDGEMENTS ***
7.  
8.      Thanks  to Alexey Ermoshkin for numerous ideas and for his great patience
9. during beta tests.
10.  
11.                                *** PURPOSE ***
12.  
13.      ZARFAT is a READ-ONLY data recovery program. It can be used in cases where
14. the drive was FDISKed, formatted, hit by virus or corrupted some other way.
15. Supported filesystems are
16.      * FAT16 (used by Windows 95/NT) and
17.      * FAT32 (used by Windows 95, 98, ME, 2000 and XP).
18.      * Long file names (LFN) are supported.
19.  
20.                          *** SYSTEM REQUIREMENTS ***
21.  
22.      * 386 or better processor
23.      * 4Mb memory + 2Mb memory per gigabyte of volume to recover
24.      * Additional disk device to store recovered data (preferably another HDD)
25.      * MS-DOS operating system or MS Windows 9x in DOS mode
26.      * HIMEM.SYS driver installed
27.  
28.  
29.                         *** DATA RECOVERY PROCESS ***
30.  
31.      It  is  recommended  that  you  print  this manual so you can refer to it
32. during the recovery process.
33.  
34.      Volume reconstruction basically consists of the following stages:
35.      1. Determining the area to be recovered and configuring options
36.      2. Pattern scanning of that area
37.      3. Reconstruction of disk parameters based on pattern scan results
38.      4. Reconstruction of FAT tables (if possible)
39.      5. Reconstruction of directory tree
40.      6. Recovering selected directories to another medium
41.      7. Renaming recovered files to their corresponding long names.
42.  
43.                 *** STAGE 0 - SETTING UP RECOVERY PROCESS ***
44.  
45.      ZAR  cannot  be  used from within any multitasking environment (including
46. Windows),  so  you  must  reboot from floppy disk or restart Windows in MS-DOS
47. mode.
48.  
49.                       0.1 - CHARACTER SET SPECIFICATION
50.  
51.      In  order  to  improve  recovery quality you must specify a character set
52. your  operating  system  uses  in  file names. Default values for English-only
53. systems  are  hardcoded  into  a  program.  Additional characters (Russian for
54. example)  should  be  written to file "CHARSET.DAT" and it should be put into
55. the same directory as ZAR executable files.
56.  
57.      WARNING:  if  you  skip  this  step and do not specify the character set,
58. files  and  directories  with  names containing local (non-English) characters
59. will be considered invalid and WILL NOT BE RECOVERED.
60.  
61.      For  English-only  system,  you should rename CHARSET.ENG (empty file) to
62. CHARSET.DAT
63.      For Russian-enabled system, you should use CHARSET.RUS
64.  
65.      To  create  your custom character set, just create a text file containing
66. the  characters  of  choice.  Then  save  it as CHARSET.DAT. This file will be
67. loaded and characters it contains will be added to default (English) character
68. set. Formatting of the text file does not matter, because CR/LF newline, space
69. and  tab  characters are removed when the file is loaded. You cannot remove or
70. modify the default (built-in) character set. This is by design.
71.  
72.                            0.2 - LOG FILE LOCATION
73.  
74.      Once  you  start  ZAR,  you will be asked about log file location. Please
75. note that log file can grow as large as 10 megabytes in size (for large disks)
76. and  it  is  written  to  quite  often. So if you want logging, you should put
77. logfile on a large and fast medium (I recommend using the same medium you plan
78. to  recover  data  to).  You  can press ENTER to accept default location (in a
79. ZAR.EXE directory), enter NUL to disable logging or enter your custom log file
80. name.
81.  
82.             *** STAGE 1 - DETERMINING THE AREA TO BE RECOVERED ***
83.  
84.      First  of  all  you  are  prompted  to select a physical disk you want to
85. recover.  ZAR  displays  a  list  of  compatible  disks  found,  showing their
86. parameters  (including capacity). Highlight the desired drive and hit "Enter".
87. Two additional options exists here:
88.  
89.      1. You can load the disk image from file. For more information about disk
90. images, see appendix A.
91.  
92.      2.  You  can  choose  to  load previously saved scan results. You will be
93. asked  about a file name later, because save file is only valid for a disk the
94. scan  was  run  on. After requesting a save file, you should select a disk (or
95. image  file)  matching  the  save file. Once the disk is selected, you will be
96. asked  about the save file name. Program checks the disk size stored in a save
97. file  against the size of a selected disk (or image) and displays a warning if
98. it detects a mismatch.
99.  
100.      If  the  physical  disk  is  selected,  program  will perform some simple
101. hardware  diagnostics  and  try  to  read  partition table to determine volume
102. layout.  If  partition  table  is  (at  least  partially) correct, the list of
103. available volumes will be displayed with the following information:
104.  
105. 1. Partition type ("Type")
106.      This  can be either PRI for primary partition or EXT for logical drive in
107. extended  partition.  This  field  is only provided for reference, and you can
108. ignore it if you are not familiar with these FDISK terms.
109.  
110. 2. Filesystem type for the partition ("OS / Filesystem type")
111.      This is a file system type as indicated by a partition table, and it will
112. be FAT16 or FAT32 in most cases.
113.  
114. 3. Active partition flag ("Active")
115.      This  is  "Yes" when the volume is used for OS startup. Otherwise "No" is
116. displayed.  Only  a  single partition (on physical disk) can be active, and it
117. must be primary ("PRI" partition type shown).
118.  
119. 4. Start offset, in megabytes ("Start at, Mb")
120.      This  is an offset of the first partition sector (form the start of disk)
121. in  megabytes.  In  most  cases it should be equal to the sum of sizes for all
122. previous volumes.
123.  
124. 5. Volume size, in megabytes ("Vol. Size, Mb")
125.      This is a volume size as indicated by partition table
126.  
127. 6. Boot sector signature status ("Boot Sig")
128.      Shows  if  the  volume boot sector looks correct. Can be either "Good" or
129. "Bad"
130.  
131.      A  number  of  tests is performed in attempt to check partition table for
132. consistency. Should these tests fail, a warning will be displayed stating that
133. partition table is untrustworthy and describing problems found.
134.      Possible causes include:
135.      1. Too much space left unallocated (this can be a false alarm).
136.      2. Volumes that are sized greater than a physical disk can hold.
137.      3. Some volumes overlapping each other.
138.      4.  Some  volumes  having  bogus records (such as end sector before start
139. sector) but still can be recognized.
140.      5. Some partition table records damaged beyond recognition.
141.  
142.                Case 1.1 - PARTITION TABLE EXISTS AND IS CORRECT
143.  
144.      This is a case when no messages about bad signatures are shown and volume
145. layout  shown  on the "Select partition to recover" screen is correct. In this
146. case  you  should  simply  select the volume you want to recover from the list
147. displayed.
148.  
149.        Case 1.2 - PARTITION TABLE IS DAMAGED OR CONTAINS INCORRECT DATA
150.  
151.      Systems  with  missing  (e.g.  overwritten)  partition  table exhibit the
152. following symptoms
153.      a.  Volumes,  which  are  known  to  be  on  the disk, are not shown when
154. operating system starts
155.      b.  ZAR  reports  that "Partition table sector 0 signature is bad" and/or
156. "Partition table seems to be damaged"
157.      c. ZAR shows no volumes on a "Select partition to recover" screen
158.  
159.      Systems  with  (partially)  corrupt partition table exhibit the following
160. symptoms
161.      a. Some volumes are not shown when operating system starts
162.      b.  ZAR reports that "Partition table sector N signature is bad" and N is
163. not zero
164.      c. ZAR shows incomplete or incorrect information about volumes
165.  
166.      You  may  also  want  to  specify volume layout manually after accidental
167. FDISKing  the  drive.  In  those  cases  partition table is valid but actually
168. contains wrong information.
169.  
170.      If  the  volume  you  want  to  recover  is  either  missing or displayed
171. incorrectly, you should manually select area for recovery. This can be done by
172. entering  values  for  start  sector  and  size of the volume. This values are
173. accepted  in  sectors or in megabytes (which are automatically recalculated to
174. sectors). Volume start offset (first sector) is usually a sum of sizes for all
175. volumes preceding the volume in question.
176.  
177. Assume as the example that there was a following partition layout:
178.      C: - 5 Gb volume (system startup)
179.      D: - 5 Gb volume
180.      E: - 10 Gb volume
181.      giving 20 Gb of total hard disk capacity
182.      Corresponding  start  offsets  will be 0 Mb for volume C:, 5000 Mb for D:
183. and  10000  Mb  for  E:.  It  is  recommended to subtract 10..100 Mb (to avoid
184. calculation  errors,  such  as a possible confusion between decimal and binary
185. megabytes), adding the same values to the volume size.
186.      Taking  the  above  into account, the following values should be used for
187. this example:
188.      C: - 0 Mb offset, 5000 Mb size
189.      D: - 4900 Mb offset, 5100 Mb size
190.      E: - 9900 Mb offset, 10100 Mb size.
191.  
192.  
193.      WARNING: Should you specify incorrect area to search in, the entire
194.      recovery will fail
195.  
196.                        *** INTERFACE TYPE SELECTION ***
197.  
198.      Starting with version 4.0.0 ZAR supports two operation modes, namely
199.  
200.      1. Simple mode
201.      In  a  simple  mode  all  options  are  set to default values (which were
202. deveploped  to fit a general usage patterns) and ZAR makes all decisions about
203. filesystem structures automatically (instead of asking for your confirmation).
204. Generally,  this  is  a recommended mode of operation. If you are using Simple
205. Mode,  scan  results  will be automatically saved upon scan completition (to a
206. file named AUTOXXXX.SAV in a current directory).
207.  
208.      If  you plan to use Simple Mode, continue reading starting from section 6
209. - "Recovering files".
210.  
211.      2. Advanced mode
212.      Advanced mode allows you to configure recovery options and influence upon
213. a recovery decisions. This options are usually useful for experts only.
214.  
215.                       *** CONFIGURING RECOVERY OPTIONS ***
216.  
217.      Once the disk area to scan has been determined, you'd be presented with a
218. list  of  the  following  options.  In  a  Simple  Mode,  default  values  are
219. automatically accepted.
220.  
221. 1. "Recover long file names". "Yes" or "No", "Yes" by default.
222.      This  toggles long file name information recording (see below for details
223. of  LFN  reconstruction process). You might want to disable this option if you
224. run out of memory.
225.  
226. 2. "Ignore case in long file names". "Yes" or "No", "No" by default.
227.      This  option  only  controls a recovery behaviour for LFNs witch fit into
228. 8.3  format  but  have  a specified letter case (for example "TeSt.LfN"). With
229. this  option  enabled  ("Yes"),  such a long names will not be recovered (case
230. will  be  converted  to  all-capitals). The above example will be converted to
231. "TEST.LFN".  With  this  option set to "No", the exact recovery of a long name
232. will be attempted.
233.  
234. 3. "Recover erased files". "Yes" or "No", "Yes" by default.
235.      This  option controls recovery of files erased prior to a disk crash. Not
236. of a much use, except for mass undeletions after virus attack.
237.  
238. 4. "LFN filtering mode". "Strict" or "Loose", "Loose" by default.
239.  Controls correctness checking on long file names.
240. MUST BE set to "Loose" if you want to recover erased files (see #2) and their
241. corresponding LFNs. In all other cases "Strict" is recommended.
242.  
243. 5. "Skip files when both FATs are bad". "Yes" or "No", "No" by default.
244.      With  this option set to "Yes", file will be skipped (not recovered) when
245. both  FAT  entries are incorrect. The default behaviour is to attempt recovery
246. (but the results are usually not good with fragmented volumes).
247.  
248. 6. "Allow N invalid symbols in names". Number from 0 to 11, 0 by default.
249.      Controls  how  many  invalid  characters  in  a  file/directory  name are
250. tolerated.  If a directory name exceeds the threshold, the directory can still
251. be  recovered  but  it  will be named "DIRxxx". If a file name is invalid, the
252. file  will not be recovered at all. All files and directory names discarded by
253. this rule are logged.
254.  
255. 7. "Skip files > X Mb, 0 - all files". Number from 0 to 2047, 100 by default.
256.      With  this  option  active  files  greater  than X Mb in size will not be
257. recovered.  Value  of  0 disables size checking. I consider the default 100 Mb
258. limit  to  be acceptable (swapfiles and MPEG/AVI videos are common examples of
259. what will be filtered out).
260.  
261. 8. "Simulation mode (DEBUG)". "Yes" or "No", "No" by default.
262.      This  option  is intended primarily for debugging purposes. It SHOULD NOT
263. be  used  during normal recovery run. If "Simulation" is set to "Yes" ZAR will
264. create  directories  and files requested, but NO DATA WILL BE WRITTEN to files
265. (they will be all of zero size). However, the logfile will be created.
266.  
267.      When options are configured, hit "Proceed"
268.  
269.                       *** STAGE 2 - PATTERN SCANNING ***
270.  
271.      Pattern  scanning  is  used  to  detect  all  recognizable pieces of data
272. remaining on volume. It is always a tradeoff between gathering as much data as
273. possible  (to  allow  for  successful recovery) and not to gather the infinite
274. quantity  (for  higher  analysis  speed).  Recognition for some types of disk
275. areas  is  mandatory  (these  are  system  structures,  namely Boot Record and
276. Directories).  You  can  disable  recognition  for  others, but it is strongly
277. recommended  that  you  leave  the  default  setting  (All enabled) and select
278. "Proceed".
279.      Program  scans  the area you selected during stage 1 and locates all data
280. pieces it can recognize. This information is then used in analysis.
281.  
282.                *** STAGE 3 - DISK PARAMETERS RECONSTRUCTION ***
283.  
284.      Locations  of  the  files  on volume are expressed in number of clusters,
285. while  the same locations on the physical disk should be expressed in sectors.
286. Number  of  sector  is  computed  from  the number of cluster by the following
287. simple formula:
288.  
289.                           Sector = CF * Cluster + SS
290.  
291.      where  CF (Cluster Factor) is number of sectors per cluster and SS (Start
292. Sector) is a sector number for cluster 0.
293.      When  volume is damaged, values of CF and SS are usually lost or corrupt,
294. so they are determined statistically based on pattern scan results.
295.  
296.      Automatic  CF  determination  procedure  simply tries all possible values
297. from  1  to  512  and  computes  a  number of errors for each value. The table
298. usually looks as follows
299.      CF = 1 gives 0% errors
300.      CF = 2 gives 0% errors
301.      CF = 4 gives 0% errors
302.      CF = 8 gives 50% errors
303.      CF = 16 gives 75% errors
304.      and so on.
305.      The  maximum  CF  value  that gives less than 20% errors (which can arise
306. from  old  data  and from pattern scanning errors) is considered good. You can
307. however   enter   a  broader  range  of  CFs  to  search,  if  you  know  that
308. autodetected value is incorrect.
309.  
310.      For each CF value in a selected range, Start Sector (SS) is guessed. This
311. includes enormous amount of computing effort and can take a long time (as long
312. as 20 minutes on older machines).
313.      When  it  is  finally  done,  you are to choose between several variants,
314. which  are  displayed with their corresponding relevance values. In most cases
315. you should select the first (default) variant (with maximum relevance).
316.  
317.                      *** STAGE 4 - FAT RECONSTRUCTION ***
318.  
319.      During  this  step  ZAR tries to identify where FATs are located on disk.
320. You will be prompted about FAT type. If you know exactly that volume was using
321. FAT16  or  FAT32,  specify  it.  Otherwise (or if you are not absolutely sure)
322. select  "Autodetect filesystem type". List of several (most relevant) variants
323. will be shown with the following information:
324.  
325. 1. FAT start sector and size ("StartSec/Size")
326.      These two parameters specify the location of the first FAT on the disk.
327.  
328. 2. "FAT type"
329.      Filesystem  type, can be either FAT16 or FAT32. Entries with FAT type not
330. matching the expected type (if known) are junk.
331.  
332. 3. Approximate volume size for this FAT size, in megabytes ("Volume size, Mb")
333.      Shows  approximate size of the volume, computed from FAT size and cluster
334. size.  This  can differ from actual volume size, but not more than by 1..2% of
335. volume size. Entries showing invalid size (e.g. 40Mb for 2Gb volume) are junk.
336.  
337. 4. FAT signature status ("Signature")
338.      This can be "Good", "Partial" or "Bad".
339.      "Good" means that correct signatures are found in both FAT copies,
340.      "Partial" - valid signature found only in one copy and
341.      "Bad" means that no signatures are valid.
342.  
343. 5. Boot sector approval ("Boot")
344.      Can  be either "Good" or "Bad", indicating if boot sector contains values
345. matching  this  entry. This, if present, is most reliable validity indication,
346. but if no approved entries exist it probably means that boot sector is damaged
347. beyond recognition.
348.  
349. 6. Match factor and relevance ("M.F./Rel.")
350.      These  parameters determine how good the solution proposed is. You should
351. usually select an entry with better relevance.
352.  
353.      There are two FAT copies on volume, and two entries are usually displayed
354. (in cases where FATs are intact)
355. One for the first copy:
356.      Start = ST
357.      Size = SZ
358.      "Both" signatures
359.      "Good" boot approval
360.      Relevance = R
361. and another for the second copy:
362.      Start = ST+SZ
363.      Size = SZ
364.      "Partial" signatures
365.      "Bad" boot approval
366.      Relevance = R/2
367. First of these should be selected.
368.  
369.      If  first  FAT  is  corrupt,  its  relevance  may be lower than expected.
370. Generally  if two variants are shown with matching volume sizes, identical FAT
371. size  and  StartSec for second one is equal to (StartSec + FAT size) for first
372. variant, then first variant should be selected.
373.  
374.      The list can be empty (if both FATs are damaged beyond recognition).
375.      In  these  cases  you  can  either enter parameters manually (if you know
376. them) or choose to discard FATs and continue recovery without FAT information.
377.  
378.                *** STAGE 5 - DIRECTORY TREE RECONSTRUCTION ***
379.  
380.      This  stage  is  fully automatic and you cannot interfere with a process.
381. During  the  reconstruction  process  the details are shown on screen, but you
382. should merely ignore them (they are recorded into the log file as well).
383.  
384.                       *** STAGE 6 - RECOVERING FILES ***
385.  
386.      When directory tree is refined, you are presented with a simple directory
387. tree  viewer.  Use  Up  and  Down  arrow  buttons to move through the list and
388. Spacebar to select/deselect directory.
389. The full list of the hotkeys available is provided in a bottom line of screen.
390.  
391.      "M" button allows you to specify a set of DOS-style file masks to include
392. or  exclude.  Allowed  wildcards  are  "*"  (any  number  (may be zero) of any
393. symbols)  and  "?"  (any  symbol,  exactly  one).  The  masks are processed as
394. follows:
395.      1.  All  "Exclude" masks are checked. If any of them matches, the file is
396. skipped.
397.      2.  All  "Include" masks are checked. If any of them matches, the file is
398. recovered.
399.      3.  If all "Exclude" and "Include" masks were checked but no decision can
400. still be made, the file is skipped.
401.      The default values are set to:
402.      Exclude *.TMP and *.SWP
403.      Include all other files (*.*)
404.  
405.      When done, press "S" to start recovery.
406.  
407.      You will be prompted about the target location where recovered files will
408. be stored.
409.  
410.      WARNING:  Never  copy  files  to  the volume you are recovering, as it is
411. likely to cause further damage!
412.  
413.      During the copy process the following information will be shown:
414.      * Total number of files requested.
415.      * Number of files copied
416.      * File name for the last copied file
417.      * Recovery method for the last copied file
418.  
419.      Recovery method can be one of these:
420.      * "FAT (both)" - means that both FAT chains for file were valid and used
421.      * "FAT (1st)" or "FAT (2nd)" - means that one FAT copy has invalid chain
422. for  this  file,  and  the  other  copy  provides information that seems to be
423. correct. The correct one was used.
424.      * "DIRECT" means that there is no valid FAT chains for the file. Recovery
425. is  still  attempted  on  the file, but it will likely to fail on a fragmented
426. drive.
427.  
428.  
429.                    *** STAGE 7 - RECOVERING LONG NAMES ***
430.  
431.      You  must  set  "Recover long file names" option to "Yes" to recover LFNs
432. (see  stage  1).
433.      During  file  copy  operation, long file name information is collected to
434. file  named LFNINFO.DAT. This file is stored in the directory you specified as
435. a  file  copy  destination. When copying is done, you should boot into Windows
436. (any  version  will  do,  but  it  must support the language used on a crashed
437. system), run FIXLFN.EXE and follow onscreen instructions.
438.  
439.      IMPORTANT:  Do  not  modify  the  recovered  data  location  (i.e. do not
440. rename/move files) before you run FIXLFN!
441.  
442.               *** APPENDIX A: Working with disk image files ***
443.  
444.      Raw  disk image is a sector-by-sector copy of either a physical disk or a
445. logical  volume  stored  in  file.  Raw images are limited to 2Gb in size (FAT
446. filesystem  limitation  on a file size). Image formats other than raw do exist
447. (for  example,  compressed  and/or  spanned over multiple files), but only raw
448. images are currently supported by ZAR.
449.  
450.      Working  with  image  is  not much different than working with the actual
451. disk.  You  should  select  "Use image in file" when prompted about a physical
452. disk  to  repair, and type the full image file name. If an image of a physical
453. disk  is  used, the subsequent actions are the same as for a physical disk. If
454. an image of a logical volume is used, the partition information shown (if any)
455. should  be  ignored and the whole image should be scanned ("There was only one
456. volume  on  disk,  so  I  want  to scan entire disk"). This is because logical
457. volume  image  does  not  contain any valid partition information but the boot
458. signature is valid, which can lead to a misinterpretation.
459.  
460.  
461.