 |
IT业热闻 |
|
|
|
| |
|
病毒预告 |
|
|
|
| |
|
热点文章 |
|
|
|
| | |
 |
| 数据恢复点滴经验谈 |
| |
| 来源:本站原创 发布时间:2006-3-6 14:00:40 点击次数: |
数据恢复是一个比较复杂的工作,需要实际操练和借鉴别人的经验,在这里我先开个头,分享自己的一些粗浅经验。
碰到丢数据的硬盘,首先要求用户提供基本信息。根据这些信息对症下药,这样才能更快更好的恢复数据,一般说来,要求的信息应该包含下面的信息:
1。数据怎么丢失的?(删除/格式化/删除分区/重建分区/分区类型转换/分区大小调整合并/分区表破坏/ghost失误)等,还要问问破坏后写入了多少数据了,这样能初步判断是否有救。
2。数据丢失的分区类型,分区的使用情况。一般说来,只有分区表破坏/ntfs删除/ntfs格式化/FAT32格式化成NTFS等少部分情况能完全恢复,其它情况大多不能做到完全恢复。
3。文件的删除方式只对FAT32有影响。因为FAT32分区如果直接点中文件删除,系统会把文件开始簇号的高16字节置0,这样用软件找到这些文件后恢复出来,很多时候文劲头都不正确,就是因为开始簇号不正确。这种情况需要手工尝试组合开始簇号恢复了,要么用按文件内容恢复,只是这样就没有文件名。
4。分区表问题。一般分区表出问题的情况是比较容易恢复的。平时多留心观察对重建分区表有很大帮助。
-----------------------------------------------------
1.一个分区表的问题
根据63扇区的信息,计算出下一个分区的位置,判断出2个分区都是主分区.如果能熟练编辑分区表的话,修改0扇区就应该能完全恢复.但我还是建议用户不要乱写分区表.
63(NTFS)扇区得出的扇区数目是10239999,这样下一个分区应该大约在63+10239999,63+10239999+1,63+10239999+63,63+10239999+63+1这4个位置上,分别读出看看参数是否正确。其中,如果下一个是主分区,那应该在63+10239999或63+10239999+1上,如果下一个是扩展分区,应该在63+10239999+63或63+10239999+63+1上(因为中间多了个虚拟分区表63个扇区)
一般正常分区的开始(dbr)里面的每扇区字节数是512
---------------------------------------------------
2. 一个快速计算分区的办法
有次碰到一个1T的raid5阵列的分区表坏了,里面5个200G的NTFS分区。客户用分区表重建工具进行到10%就死。
根据NTFS分区的特征,DBR备份放在分区的最后一个扇区。这样如果搜索到最后一个分区的DBR备份,就能轻易计算出前面分区的准确位置,而最后一个NTFS分区的DBR备份一般放在物理扇区的末尾。
在物理硬盘(阵列)的末尾10000内发现一个55AA标志,具体位置忘记了,此扇区标志成 A 。
根据这个DBR备份扇区 A 内的信息,得到这个NTFS分区的扇区总数 B . 这样就能计算出最后一个分区的开始扇区 C=A-B . 这样就能推出倒数第2个分区的DBR备份的位置 D=C-64(扩展分区) 或 D=C-1(主分区). 到此又可以倒推出前面分区来.
一般分区表问题都可以用工具扫描自动重建.只是这样有时候效率不高,很常见的分区表问题是硬盘前100扇区内没有任何有用的信息,这样就要全盘扫描很费时间. 如果平时能多留意分区表的一些特征,就能用最短时间恢复这类问题.
-------------------------------------------------------------
3. 一个U盘的例子
128M的U盘,前面一个90多M的FAT16分区,剩余的是加密区。用户重装系统时,不小心删除了前面的FAT16分区,然后又重建了一个FAT16分区。
我让用户做成镜像文件后分析,发现分区标指向第一个分区是63扇区,分区大小为87M,在磁盘管理里面显示这个U盘也是87M。我用软件把里面的数据导出来,发现好几个文件存放的位置大于这个分区的容量,就再次察看前63扇区。发现在32扇区有个DBR标志,接下来的FAT很明显是正常的。手工编辑MBR,修改了分区表,使之指向32扇区,大小也改成128M,结果用浏览器就能访问里面的数据。安全起见,我让用户把里面的数据备份后,重新分区和重新调整加密区。
这个例子让我觉得操作系统认U盘和硬盘是有一定区别的。似乎操作系统认一个U盘大小时是根据MBR里面的信息的,后来我试验,把这个U盘MBR里面分区大小改成2G,在磁盘管理里面看到的U盘也是2G。
---------------------------------------------------------------
4.一个文件删除的例子.
在qq里碰到一个朋友说media play删除一个文件,FDR找到了,只是文件长度是0,我看看开始簇号和开始扇区号,似乎是正确的,就让他在属性里改这个文件的长度,大于原来实际的文件长度,导出后居然能播放.他说别的软件没找到我想可能是文件长度为0不显示吧.
奇怪的是,为什么文件长度会变成0了.
---------------------------------------------------------------
5.一个word文件恢复的经验。
一个U盘,提示格式化。我得到镜像文件后看了看,里面的数据已经很乱了。分析后能恢复大部分word文件,但是有几个文件打不开(文件头都不对,怀疑数据已经写到别的地方去了)。只能用关键字搜索的方法。在文件名中取出几个比较特别的汉子比如 揭牌仪式 ,以unicode的方式搜索,查到几个纪录,发现居然这些关键字跑到别的文件去了。用WORD修复工具修复一下,可以看到里面的文本,正是用户要的内容。一般说来,WORD文件是用UNICOUDE方式编码的,很多公司的WORD文件标题在文件内容中都有,所以用关键字方法来搜索,应该能恢复的,只是比较花时间。这次经历是用FDR软件恢复的.
用别的软件恢复方法: 首先可以用Finaldata,easyrecory等找到文件,一般大部分能打开,只有少数打不开。根据打不开的文件名,挑出特别的关键字,用winhex来搜索,注意要以UNICODE方式编码哦,找到这些关键字所在的扇区(比如33222扇区),就从该扇区前面的若干扇区(自己手工察看调节,因为关键字在文件内容的中间,不是开始)比如33200扇区开始复制出若干连续扇区成文件,要保证文件内容都复制出来,最好存放成DOC扩展名。再用WORD文件修复工具(比如WordRepaire/DocRepaire)来修复保存的文件,就能看到里面的文本了。若这些修复工具要求文件要有文件头,可以自己手工加上文件头。 | |
| | | | |
