2015-05-29 52 views
0

爲了縮短冗長的故事:我克隆了一個損壞的NTFS硬盤(損壞的$ MFT根條目)並啓動到我的本機窗口中以執行chkdsk運行。不完整的chkdsk日誌文件

在啓動時,Windows執行了不需要的chkdsk運行。 chkdsk運行通過相當成功。不幸的是,chkdsk日誌似乎不完整。

get-winevent -FilterHashTable @{logname="Application"; id="1001"}| ?{$_.providername –match "wininit"} | fl timecreated, message 

因此我不能夠做出該聲明多少能集羣(:

我從事件查看器,並直接與下面的命令電源外殼讀取日誌與事件ID 1001不)由chkdsk運行恢復。日誌由274行組成,似乎在進程中間被破壞。

[ . . .] 
Einige Cluster, die vom Attribut vom Typ 0x80 und der Instanzkennung 0x1 
in der Datei 0xfbf2 belegt sind, werden bereits verwendet. 
Beschädigter Attributeintrag (128, "") wird 
vom Datensatzsegment 64498 gelöscht. 
Der Attributeintrag vom Typ 0x80 und mit der Instanzkennung 0x1 ist 
von 0x3ac8559 an für möglicherweise 0x5 Cluster quer verbunden. 
Einige Cluster, die vom Attribut vom Typ 0x80 und der Instanzkennung 0x1 
in der Datei 0xfbf3 belegt sind, werden bereits verwendet. 
Beschädigter Attributeintrag (128, "") wird 
vom Datensatzsegment 64499 gelöscht. 
Der Attributeintrag vom Typ 0x80 und mit der Instanzkennung 0x1 ist 
von 0x3ac855e an für möglicherweise 0x5 Cluster quer verbunden. 
Einige Cluster, die vom Attribut vom Typ 0x80 und der Instanzkennung 0x1 
in der Datei 0xfbf4 belegt sind, werden bereits verwen 

問: 是否有一個地方可以記錄給予額外的資源? 274行後日志可能被破壞的原因是什麼?

+1

該郵件有多少個字符?事件日誌消息的大小是[限制](https://msdn.microsoft.com/EN-US/library/windows/desktop/aa363679.aspx)。 –

+0

所以大小隻有〜16KB - 這似乎是一個非常合理的價值極限!? Get-Content chkdsklog.txt | Measure-Object -word -line -character = Lines 268/Words 2279/Characters Property 15839 – kn0x

+0

事件日誌消息的限制是31839個字符,所以您的問題似乎是由其他內容引起的。 –

回答

0

一個很好的理由可能是硬道理上的壞道。 因此,您可以嘗試使用Hiren的bootCd來嘗試解決此問題,它附帶了大量有用的工具。 另一個原因可能是病毒,因爲您的舊窗口仍然存在於該硬盤中。 在Hiren的bootCD裏面有與該系統一起構建的CloneDisk程序。 無論如何,在備份整個驅動器時,您將不得不保留一個相同或更大容量的驅動器,以備用於備份,除此之外別無其他。你必須有真正的選擇:一個裸硬盤或一個外置硬盤。 我希望這會有用。