Полезные ссылки
- DumpIt– создание дампа физической памяти Windows.
- Live RAM Capturer– создание дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
- FTK Imager– просмотр и клонирование носителей данных в Windows.
- FTK Imager CLI for Mac OS– консольная версия утилиты FTK Imager для mac
- EnCase Forensic Imager– утилита для создания доказательных файлов EnCase.
- EWF MetaEditorутилита для редактирования метаданных EWF (E01).
- Forensics Acquisition of Websites– браузер для захвата веб-страниц для проведения расследований.
- Mail Viewer– просмотр почты Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
- bstrings– поиск в двоичных данных, умеет работать с регулярными выражениями.
- floss– утилита для автоматической деобфускации данных из двоичных файлов вредоносных программ.
- Defraser– поиск полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
- bulk_extractor— поиск e-mail, IP-адресов, телефонов в файлах на диске.
- Encryption Analyzer– анализ защищенных паролем и зашифрованных файлов.
- photorec— извлечение данных и файлов изображений.
- Forensic Image Viewer– получение данных из изображений.
- iPBA2– анализ резервных копий iOS.
- SAFT– поиск SMS, журналов звонков и контактов на Android-устройствах.
- KeeFarce— извлечение паролей KeePass из памяти.
- Rekall— анализ дампов RAM.
- volatility— анализ образов физической памяти.
- RecuperaBit— восстановление NTFS-данных.
- python-ntfs— анализ NTFS-данных.
- chrome-url-dumper— извлечение данных из Google Chrome.
- hindsight— анализ истории Google Chrome/Chromium.
Что такое папка FOUND.000, почему появляется и можно ли её удалить
Иногда случается непредвиденное завершение работы Windows – выдернули из розетки, отключили электричество и т.п. При следующей загрузке система обычно запускает утилиту проверки файловой системы, которая называется ChkDsk. Эта утилита проверяет файловую систему на всех имеющихся накопителях и пытается восстановить поврежденную информацию.
И вот после успешной загрузки вы и можете обнаружить на диске некие каталоги с именем FOUND и номером. Папка FOUND.000 может появиться и на флешке, а иногда их и несколько – с номерами 001, 002 и т.д.
Иногда они довольно большие или их много, и тогда возникает вопрос, что с ними делать и можно ли их удалять, так как они явно созданы системой для каких-то своих целей.
Назначение и возможность удаления папки FOUND.000.
FOUND.000 – что это за папка и почему появляется?
Такая загадочная директория есть на большинстве компьютеров, иногда и на разных дисках и даже по нескольку штук. Дело в том, что рано или поздно любая система терпит крах и запускается с утилитой проверки файловой системы. Именно она и создаёт эти директории.
Когда ChkDsk сканирует диск и находит поврежденные сектора, то пытается прочитать из них файлы. Потом они сохраняются в директорию с названием FOUND, в файлах с названиями FILE0000.CHK, где цифры идут по порядку.
Однако они не удаляются автоматически, и пользователь может тоже попытаться что-нибудь из них извлечь. Если директория FOUND.000 появилась на системном диске C, то в ней скорее всего окажутся и некоторые системные файлы, нужные для работы Windows.
Поиск папки FOUND
Если вы прямо сейчас попробуете найти на своих дисках такие директории, то это не получится. Дело в том, что они системные и скрытые, и по умолчанию их не видно в обычном проводнике.
Конечно, если воспользоваться каким-нибудь файловым менеджером, например, Total Commander, он покажет и скрытые директории, и скрытые файлы, так же, как и обычные. Но можно и проводник настроить, чтобы он показывал всё. Для этого зайдите в панель управления и выберите «Параметры папок».
В появившемся окне на вкладке «Вид» в списке «Дополнительные параметры» снимите галочку с «Скрывать защищенные системные файлы» и включите «Показывать скрытые файлы, папки и диски». Затем нажмите «Применить» или «Ок». Теперь вы сможете открыть такие папки, как FOUND.
000 и множество других, которые до этого были не видны. Но не рекомендуем что-то в них трогать, а тем более удалять или переименовывать.
Восстановление файлов из FOUND
Так как файлы вида FILE0000.CHK представляют собой подобие архивов, то наверняка есть программы, которые могут извлечь из них что-нибудь полезное. Да, такие программы существуют, и их много. Все они имеют разные возможности, но особо на них рассчитывать не стоит – иногда они оказываются бессильны. Самые популярные:
- UnCHK – определяет 25 форматов файлов. Может их считать из CHK и сохранить в то же место, где они были до аварии. Можно добавлять новые форматы и задавать разные способы сканирования.
- CHK-Back – распознаёт 20 форматов с возможностью расширения списка. Но сохраняет извлеченную информацию не на прежнее место, а туда, куда укажет пользователь.
- CHK-Mate – распознаёт 40 расширений, в том числе музыку, изображения, почту. Сохраняет во вложенный каталог «ChkBack Results».
Повторим – даже эти мощные инструменты не гарантируют, что получится извлечь информацию даже частично, так как восстановить файлы из директорий FOUND.000 и прочих довольно сложно. Их приходится вытаскивать буквально по байтам.
Удаление FOUND или содержимого
После того, как вы попробовали что-нибудь извлечь из этих каталогов, их можно удалить. Для системы они не нужны, и она не будет больше к ним обращаться, так как утилита ChkDsk уже с ними работала.
Просто, если они существуют, и случится новая авария, создадутся новые директории с таким же названием и другими порядковыми номерами. Поэтому вы можете совершенно спокойно удалить FOUND.000 и прочие папки с таким же названием, и всё их содержимое.
Однако это может оказаться сделать не так просто – система препятствует удалению служебных папок или файлов. Обойти это можно разными способами:
- Загрузить компьютер с какого-нибудь диска или флешки с образом Live-CD и произвести удаление.
- Установить программу Unlocker, которая позволяет снимать защиту и удалять даже системные директории.
- На флешке всё проще – можно её просто отформатировать, предварительно скопировав всю нужную информацию в другое место.
Удаление этих папок никак не повлияет на работу компьютера, но иногда позволяет освободить немало дискового пространства.
Восстановленные фрагменты файлов chk как открыть
FOUND.000 — что за папка?
Случается, что нежданно-негаданно, на жестком диске или флешке появляется скрытая системная папка с названием FOUND.000, в ней файлы с расширением CHK. Некоторые пользователи сразу думают, что это является признаком заражения компьютера вирусами. На самом деле, появление папки FOUND.
000 связано с работой системной утилиты CHKDSK — эта программа входит в состав операционной системы Windows и предназначена для проверки и исправления ошибок на жестких дисках и флешках.
Согласно интернет-источникам, CHKDSK содержит ошибку как минимум в Windows 2000, Windows XP Home (SP3), Windows 2003 Server, Windows Vista (SP1).
Причина появления папки FOUND.000
Программа CHKDSK, обычно запускается в автоматическом режиме после внезапной перезагрузки компьютера. Такая перезагрузка вполне может произойти, если компьютер не оборудован бесперебойным источником питания.
После внезапной перезагрузки ПК, может нарушится файловая структура операционной системы — CHKDSK проверяет файловую структуру и пытается восстановить файлы и папки если они повреждены. Подвох заключается в том, что алгоритм работы утилиты не идеален и она способна «наломать дров».
Ситуация усугубляется тем, что программа может вносить некорректные изменения в файловую структуру, не делая при этом никаких резервных копий, т.е. отменить действия уже нельзя.
https://youtube.com/watch?v=rCEsES_6Da4
При самом негативном сценарии, ценные файлы могут быть безвозвратно удалены с диска. В лучшем случае, CHKDSK сохранит данные в скрытую папку FOUND.000 (.001, .002 и т.д.), а сами файлы примут вид типа: FILE0000.CHK, FILE0001.CHK и т.д. К счастью, как правило, содержимое файлов не повреждается и удается добраться до их содержимого.
Поскольку папка FOUND.000 является не только скрытой, но и системной, она не будет отображаться стандартными средствами Windows, даже если включить отображение скрытых файлов и папок. Увидеть её можно при помощи файлового менеджера Total Commander, если в его настройках (Конфигурация — Настройки — Содержимое полей) выставлены галочки «Показывать скрытые файлы» и «Показывать системные файлы».
В конкретном случае, в корневом каталоге флешки, только папка FOUND.000 и файл AUTORUN.INF.
В файле с расширением CHK могут храниться данный любых типов (текстовые документы, картинки, музыка, видео и т.д.), а также программы.
Как восстановить файлы из FOUND.000?
К сожалению, Windows не в состоянии самостоятельно определить содержимое файлов CHK (ОС Ubuntu, большую часть таких файлов открывает без проблем). По этой причине, у файлов надо менять расширение, чтобы Windows знала, при помощи каких программ их открывать. Если в файле хранится фотография, то тогда расширение файла должно быть JPG.
Если на флешке хранились только фотографии, тогда можно поменять расширение с CHK на JPG сразу у всех файлов средствами Total Commander. Если же на диске хранилось большое количество файлов разного типа, то проще воспользоваться программами, которые сами распознают какая информация хранится в файле и соответствующим образом изменят расширение.
Одной из таких программ является unCHKfree (скачать 35 Кб). У программы русский интерфейс, она не требует установки на компьютер и проста в работе. Достаточно выполнить три шага:
- Указать путь к папке с файлами CHK;
- Выбрать способ восстановления: «Восстановить файлы в этой же папке» или «Восстановить файлы разложить их по папкам с расширениями»;
- Нажать на кнопку «Старт».
Внимание! Программа unCHKfree не видит папку FOUND.000, так как она скрытая и системная. По этой причине, файлы CHK лучше загрузить на любой локальный диск в специально созданную папку
Программа unCHKfree специально предназначена для восстановления информация из файлов с расширением CHK
Программа unCHKfree специально предназначена для восстановления информация из файлов с расширением CHK
unCHKfree без проблем распознала файлы с фотографиями и изменила у них расширение на JPG. Программа не смогла распознать около 3% процентов файлов — расширение у них не изменилось и осталось CHK. Файлы с презентациями PowerPoint, были распознаны как вордовские документы (с расширением DOC).
Красной рамкой обведен файл, содержимое которого программа не смогла определить. Зелёной рамкой выделен файл с презентацией PowerPoint, распознанный программой как документ Word
Расширения неправильно распознанных файлов можно изменить «вручную» средствами Total Commander, т.е. у файлов с презентациями изменить расширение на PPT.
К сожалению, программа не в состоянии восстановить исходные имена файлов — часть наиболее ценных файлов, явно придется переименовывать.
FOUND 000 что это за папка, удалять её или восстановить?
Здравствуйте. Если Вы решили просмотреть скрытые файлы на Ваших дисках, то могли заметить появление элемента FOUND 000. Что это за папка, зачем она нужна и стоит ли её удалять? На все эти вопросы я отвечу в данной статье.
Причины появления
Такой объект создается не только на жестком диске, но и на твердотельных SSD накопителях и USB носителях. Внутри папки FOUND 000 обязательно находиться файл FILE0000.CHK (цифры могут отличаться от нулей). Обычно пользователи просто удаляют её или же просто оставляют всё как есть, даже не пытаясь разобраться в теме. Предлагаю исправить эту оплошность.
Рекомендую: Что такое System Volume Information?
Стоит отметить, что указанный каталог и все его содержимое являются скрытыми в обычном режиме. Поэтому, чтобы их увидеть, следует в панели управления перейти в «Параметры Проводника» и там на вкладке «Вид» активировать опцию «Показывать скрытые…». Советую прочесть подробную инструкцию по данному вопросу.
Папка FOUND.000 создается системной утилитой, которая выполняет проверку накопителей на предмет ошибок. Я уже рассказывал об этой процедуре ранее. Сканирование может запускаться как в ручном режиме, так и автоматически (если Windows обнаружила повреждения таблицы файлов).
А все элементы, которые Вы видите внутри каталога, имеют окончание «CHK» и содержат в себе блоки данных, в которые вносились исправления. То есть, встроенные средства Виндовс не удаляют эти элементы, а помещают их в скрытое хранилище.
Вот яркий пример. Вы копировали информацию с HDD на флешку, и внезапно компьютер выключился. Таким образом файловая система повредилась. Когда Вы запустите проверку утилитой CHKDSK, она найдет такие ошибки, постарается внести исправления. А участки, которые повредились будут записаны в FILE0000.CHK внутри каталога FOUND.000.
Восстановление FOUND 000
Многие спрашивают, возможно ли произвести восстановление контента из указанной папки. Увы, чаще всего это совершенно бесполезная затея. Приходится просто удалить объект, занимающий место на диске. Но есть вероятность успешного исхода, которая зависит от причин сбоя.
Рекомендую применять сторонние приложения, среди которых самым эффективным считается:
Скачать
Скачать
Если они не помогут, значит – дело гиблое. Хотя, вы еще можете попробовать одну из программ для восстановления удаленной информации. (мой Вам совет — начните с Hetman Recovery). Но, как показывает практика, подобные телодвижения малоэффективны.
Файлы CHK на Android устройствах
Возможно, при просмотре файлов на карте памяти или внутреннем накопителе своего телефона / планшета, Вы обнаружите эту папку. Скорее всего, она появилась после подключения гаджета к компьютеру
Если предполагаете, что ничего важного там нет, можете смело удалять. В обратном случае, попытайтесь соединиться с ПК и там FILE0000 CHK попробовать «реанимировать» (как восстановить, я рассказывал выше)
Что представляет собой папка FOUND.000 и можно ли ее удалить?
Некорректное завершение работы системы Windows может привести к невозможности загрузки компьютера без проверки системных файлов. Результатом сканирования жёстких дисков или твердотельных накопителей становится восстановление работоспособности системы.
Но иногда после этого в системном или любом другом разделе может появиться папка FOUND.000. Пользователь замечает её только при включенном режиме отображения скрытых объектов.
Внутри такой папки находятся файлы с расширением CHK, вызывающие определённые вопросы – в том числе, и что с ними делать, можно ли восстановить или удалить.
Причины появления директории FOUND
Появление каталога FOUND.000 (а вместе с ним и FOUND.001, 002 и дальше по списку) связано с работой встроенной утилиты CHKDSK. Восстанавливая диск после сбоя, она избавляется от найденной в повреждённых секторах информации. Удалённые данные обычно можно найти внутри папки FOUND.000 и похожих директорий с другими номерами.
Минусом такого способа сохранения сведений заключается в невозможности узнать, в каком месте находился файл раньше, и восстановить его с помощью других утилит типа Recuva. Единственный способ решения проблемы – попытка восстановления данных из FOUND.000, применяя специализированное программное обеспечение. Но для начала эти каталоги следует найти.
Поиск папки FOUND
Обнаружить восстановленную CHKDSK папку и находящиеся внутри файлы с расширением .CHK можно на том же диске, где произошёл сбой. Это может быть и раздел HDD или SSD, и даже флешка, подключенная к компьютеру во время сбоя. Расположение на диске C может говорить о потере каких-то системных данных.
В обычном режиме отображения данных информация остаётся невидимой пользователю. Для поиска папки FOUND.000 включают в настройках операционной системы отображение скрытых файлов (папок) Windows 10 (7, 8). Для удобства можете использовать программу Total Commander или похожий файловый менеджер.
Восстановление файлов из FOUND
Восстановить информацию, которую содержит папка FOUND.000, не получится без применения сторонних утилит типа UnCHK, CHK-Mate и Chk-Back. Но даже они не дают стопроцентной гарантии восстановления. Часть информации останется не восстановленной и после попытки использования специальных программ подлежит удалению, чтобы не занимать лишнее место на диске.
Возможности UnCHK позволяют восстанавливать из формата CHK до 25 видов других расширений – изображений, системной информации, аудио и видео. Удачная попытка убирает файлы из папки, возвращая на свои места.
Полезной функцией утилиты является добавление в список новых форматов для распознавания и восстановления. Можно выбрать в ней и способ сканирования, которому подвергается папка FOUND.
000, от проверки распознанных подписей до контроля перекрёстных ссылок.
Применяют для работы с папкой FOUND.000 в Windows и утилиту Chk-Back, работающую с 40 расширениями. Она способна восстановить изображения, документы, файлы электронных почтовых ящиков, музыку и видео. Информация из каталога перемещается в расположенную здесь же папку «ChkBack Results».
Удаление папки FOUND или ее содержимого
Применив все эффективные программы для восстановления информации, можно удалить папку FOUND.000 – содержащиеся в ней сведения вряд ли получится вернуть. Стирать желательно не отдельный файл, а всю директорию. Если в процессе удаления возникают проблемы, можно воспользоваться такими способами:
- флешку просто форматируют, предварительно перенеся все ценные сведения в другое место;
- для системных дисков стоит использовать утилиту Unlocker, удаляющую любые данные;
- убрать FOUND.000 из любого раздела поможет программа Malwarebytes Anti-Malware, предназначенная для поиска и удаления ошибок и вирусов.
Иногда даже помощь специальных программ не позволяет стереть информацию из каталога. В этом избавиться от папки помогут специалисты. Хотя можно оставить каталог на том же месте и не обращать внимания.
Появление папки FOUND.000 на диске компьютера под управлением Windows означает попытку восстановления данных утилитой CHKDSK. Информацию следует попытаться восстановить с помощью специального ПО. Если восстановление не удалось, каталог можно удалить с диска.
Папка found 000 и файлы file0000 chk – что это такое и зачем нужны
В один прекрасный момент, зайдя на флешку или дисковый накопитель, можно увидеть папку — FOUND.000, а в ней файлик FILE0000.CHK. Увидеть их можно только при включении функции отображения скрытых файлов. Так зачем эти данные нужны? В этом нам и предстоит разобраться.
Это явление встречается в операционной системе Windows любой версии, но какой в этом смысл? Кстати, не спешите сразу удалять папку с файлом, на самом деле это не вирус, а расширение CHK явно указывает на утилиту CHKDSK для работы с дисками.
Зачем нужна папка FOUND.000
Папку FOUND.000 создает встроенное средство для проверки дисков CHKDSK (подробнее об использовании в инструкции Как проверить жесткий диск в Windows) при запуске проверки вручную или во время автоматического обслуживания системы в том случае, когда на диске оказались повреждения файловой системы.
Содержащиеся в папке FOUND.000 файлы с расширением .CHK — фрагменты поврежденных данных на диске, которые были исправлены: т.е. CHKDSK не удаляет их, а сохраняет в указанную папку при исправлении ошибок.
Например, у вас копировался какой-то файл, но внезапно выключили электричество. При проверке диска, CHKDSK обнаружит повреждения файловой системы, исправит их, а фрагмент файла поместит в виде файла FILE0000.CHK в папку FOUND.000 на том диске, на который осуществлялось копирование.
Как восстановить файлы из FOUND.000?
К сожалению, Windows не в состоянии самостоятельно определить содержимое файлов CHK (ОС Ubuntu, большую часть таких файлов открывает без проблем). По этой причине, у файлов надо менять расширение, чтобы Windows знала, при помощи каких программ их открывать. Если в файле хранится фотография, то тогда расширение файла должно быть JPG.
Если на флешке хранились только фотографии, тогда можно поменять расширение с CHK на JPG сразу у всех файлов средствами Total Commander. Если же на диске хранилось большое количество файлов разного типа, то проще воспользоваться программами, которые сами распознают какая информация хранится в файле и соответствующим образом изменят расширение.
Одной из таких программ является unCHKfree (скачать 35 Кб). У программы русский интерфейс, она не требует установки на компьютер и проста в работе. Достаточно выполнить три шага:
- Указать путь к папке с файлами CHK;
- Выбрать способ восстановления: «Восстановить файлы в этой же папке» или «Восстановить файлы разложить их по папкам с расширениями»;
- Нажать на кнопку «Старт».
Программа unCHKfree специально предназначена для восстановления информация из файлов с расширением CHK
unCHKfree без проблем распознала файлы с фотографиями и изменила у них расширение на JPG. Программа не смогла распознать около 3% процентов файлов — расширение у них не изменилось и осталось CHK. Файлы с презентациями PowerPoint, были распознаны как вордовские документы (с расширением DOC).
Красной рамкой обведен файл, содержимое которого программа не смогла определить. Зелёной рамкой выделен файл с презентацией PowerPoint, распознанный программой как документ Word
Расширения неправильно распознанных файлов можно изменить «вручную» средствами Total Commander, т.е. у файлов с презентациями изменить расширение на PPT.
К сожалению, программа не в состоянии восстановить исходные имена файлов — часть наиболее ценных файлов, явно придется переименовывать.
FOUND.000: Что это за папка и можно ли её удалить?
К примеру, вы играете в игру и выскакивает резко синий экран и ПК перезагружается. Система Windows автоматически запускает chkdsk при загрузке ПК, чтобы исправить ошибки на жестком диске, флешке или SSD. Она находит поврежденные файлы и восстанавливает их, а фрагмент файла в виде FILE0000.CHK поместит в папку Found.000 на том диске, где и нашла этот файл. Папка также появляется, когда вы вручную запускаете инструмент chkdsk для исправления какого-либо локального диска (тома). Вы запустили на диске E:, значит папка появится на этом диске E. Папку Found.000 вы можете увидеть и на своей SD-карте памяти в телефоне Android, так как скорее всего вы подключали эту SD-карту к ноутбуку или компьютеру и пытались вручную исправить ошибки при помощи команды chkdsk.
Восстановление файлов из FOUND
Так как файлы вида FILE0000.CHK представляют собой подобие архивов, то наверняка есть программы, которые могут извлечь из них что-нибудь полезное. Да, такие программы существуют, и их много. Все они имеют разные возможности, но особо на них рассчитывать не стоит – иногда они оказываются бессильны. Самые популярные:
- UnCHK – определяет 25 форматов файлов. Может их считать из CHK и сохранить в то же место, где они были до аварии. Можно добавлять новые форматы и задавать разные способы сканирования.
- CHK-Back – распознаёт 20 форматов с возможностью расширения списка. Но сохраняет извлеченную информацию не на прежнее место, а туда, куда укажет пользователь.
- CHK-Mate – распознаёт 40 расширений, в том числе музыку, изображения, почту. Сохраняет во вложенный каталог «ChkBack Results».
Повторим – даже эти мощные инструменты не гарантируют, что получится извлечь информацию даже частично, так как восстановить файлы из директорий FOUND.000 и прочих довольно сложно. Их приходится вытаскивать буквально по байтам.
Можно ли восстановить файлы chk
При помощи некоторых программ и приложений можно попробовать восстановить содержимое дефективных фрагментов файлов chk в папке found.000. В ряде случаев эти настойчивые попытки приводят к успешным результатам.
Для того, чтобы восстановить содержимое скрытых chk-файлов, можно воспользоваться такими программами, как UnCHK, FileCHK, Recuva, DiskDigger, Chkparser32, Chkrepair.
Рассмотрим принципы работы некоторых их этих программ.
Утилита UnCHK
Программа для операционной системы Windows — UnCHK — имеет русскоязычный интерфейс и понятна русскоговорящим пользователям.
Программа не способна увидеть и прочитать папку со скрытым содержимым, поэтому вам необходимо создать новую директорию и переместить туда все желаемые файлы из папки found.000.
Теперь выберите необходимые файлы и нажмите кнопку «Старт». Процесс восстановления файлов займет от нескольких минут до нескольких часов. Это зависит от специфики восстанавливаемого объекта и формата файлов, который вы пытаетесь восстановить. Файлы автоматически распределяются по новым папкам, в зависимости от формата утерянных данных.
Recuva – программа для восстановления удаленных файлов
После того, как программа Recuva установлена, нужно выбрать тип и местоположение файлов, которые вы хотите восстановить (формат chk выбрать нельзя, но можно указать All types). Включенная опция Deep scan в настройках поможет выполнить восстановление более качественно.
После того, как процесс сканирования завершится, программа отображает все обнаруженные файлы. Красным цветом отмечаются файлы, которые уже не подлежат восстановлению. Желтым отмечены те файлы, восстановление которых возможно только частично. Файлы, отмеченные зеленой меткой, доступны для полного восстановления.
Прежде, чем нажать на кнопку восстановления, выберите конечную папку, в которую будут помещены результаты.
Инструкция, как восстановить файлы в Recuva