数据恢复 杭州站:杭州市文三路388号钱江科技大厦1016室  电话:0571-85121630 房先生
  数据恢复 温州站:飞霞南路朝霞大楼B幢一楼中五号  电话:0577-88844613 叶先生
  数据恢复 宁波站:海曙区药行街31号灵桥广场4楼C12 电话:0574-87196361 单先生
IT业热闻  
 
·思科IOS系统存在漏洞 计划
·互联网散布黄图 青海首起黑
·黑客盗走“哈利·波特”大
·美五角大楼国防部遭网络攻
·金山毒霸6增强版未获销售许
·Vista发布6个月共有27个安
·微软新补丁与Outlook冲突 
·电话支付种类繁多市场发展
·黑客瞄准谷歌商业广告 故伎
·美国农业部网站数据库漏洞
更多...
病毒预告  
 
·中国2006年度安全报告 新病
·“爱慕波”和“QQ谍”
·“戴得乐”和“搀嘴夫”
·电脑病毒“挪威客”又现新
·IE+雅虎邮件=新安全漏洞?小
·微软联手熊猫反病毒 推Pro
·Linux与视窗谁更安全?最新
·病毒引发的异常现象
更多...
热点文章  
 

·IBM机器报错信息及解决方法
·谈谈硬盘出现物理坏道的迹
·数据恢复点滴经验谈
·Google购买以色列博士生搜
·ibm600x/600e电池电芯更换
·硬盘数据拯救全攻略
·硬盘零磁道与分区表的修复
·微软最新安全补丁不完善 惠
·故障硬盘数据拯救全攻略
·硬盘的数据结构

数据恢复点滴经验谈 
 
来源:本站原创 发布时间:2006-3-6 14:00:40 点击次数: 
数据恢复是一个比较复杂的工作,需要实际操练和借鉴别人的经验,在这里我先开个头,分享自己的一些粗浅经验。


碰到丢数据的硬盘,首先要求用户提供基本信息。根据这些信息对症下药,这样才能更快更好的恢复数据,一般说来,要求的信息应该包含下面的信息:

1。数据怎么丢失的?(删除/格式化/删除分区/重建分区/分区类型转换/分区大小调整合并/分区表破坏/ghost失误)等,还要问问破坏后写入了多少数据了,这样能初步判断是否有救。
2。数据丢失的分区类型,分区的使用情况。一般说来,只有分区表破坏/ntfs删除/ntfs格式化/FAT32格式化成NTFS等少部分情况能完全恢复,其它情况大多不能做到完全恢复。
3。文件的删除方式只对FAT32有影响。因为FAT32分区如果直接点中文件删除,系统会把文件开始簇号的高16字节置0,这样用软件找到这些文件后恢复出来,很多时候文劲头都不正确,就是因为开始簇号不正确。这种情况需要手工尝试组合开始簇号恢复了,要么用按文件内容恢复,只是这样就没有文件名。
4。分区表问题。一般分区表出问题的情况是比较容易恢复的。平时多留心观察对重建分区表有很大帮助。
-----------------------------------------------------
1.一个分区表的问题

根据63扇区的信息,计算出下一个分区的位置,判断出2个分区都是主分区.如果能熟练编辑分区表的话,修改0扇区就应该能完全恢复.但我还是建议用户不要乱写分区表.

63(NTFS)扇区得出的扇区数目是10239999,这样下一个分区应该大约在63+10239999,63+10239999+1,63+10239999+63,63+10239999+63+1这4个位置上,分别读出看看参数是否正确。其中,如果下一个是主分区,那应该在63+10239999或63+10239999+1上,如果下一个是扩展分区,应该在63+10239999+63或63+10239999+63+1上(因为中间多了个虚拟分区表63个扇区)

一般正常分区的开始(dbr)里面的每扇区字节数是512
---------------------------------------------------
2. 一个快速计算分区的办法

有次碰到一个1T的raid5阵列的分区表坏了,里面5个200G的NTFS分区。客户用分区表重建工具进行到10%就死。

根据NTFS分区的特征,DBR备份放在分区的最后一个扇区。这样如果搜索到最后一个分区的DBR备份,就能轻易计算出前面分区的准确位置,而最后一个NTFS分区的DBR备份一般放在物理扇区的末尾。

在物理硬盘(阵列)的末尾10000内发现一个55AA标志,具体位置忘记了,此扇区标志成 A 。

根据这个DBR备份扇区 A 内的信息,得到这个NTFS分区的扇区总数 B . 这样就能计算出最后一个分区的开始扇区 C=A-B . 这样就能推出倒数第2个分区的DBR备份的位置 D=C-64(扩展分区) 或 D=C-1(主分区). 到此又可以倒推出前面分区来.

一般分区表问题都可以用工具扫描自动重建.只是这样有时候效率不高,很常见的分区表问题是硬盘前100扇区内没有任何有用的信息,这样就要全盘扫描很费时间. 如果平时能多留意分区表的一些特征,就能用最短时间恢复这类问题.
-------------------------------------------------------------
3. 一个U盘的例子

128M的U盘,前面一个90多M的FAT16分区,剩余的是加密区。用户重装系统时,不小心删除了前面的FAT16分区,然后又重建了一个FAT16分区。

我让用户做成镜像文件后分析,发现分区标指向第一个分区是63扇区,分区大小为87M,在磁盘管理里面显示这个U盘也是87M。我用软件把里面的数据导出来,发现好几个文件存放的位置大于这个分区的容量,就再次察看前63扇区。发现在32扇区有个DBR标志,接下来的FAT很明显是正常的。手工编辑MBR,修改了分区表,使之指向32扇区,大小也改成128M,结果用浏览器就能访问里面的数据。安全起见,我让用户把里面的数据备份后,重新分区和重新调整加密区。

这个例子让我觉得操作系统认U盘和硬盘是有一定区别的。似乎操作系统认一个U盘大小时是根据MBR里面的信息的,后来我试验,把这个U盘MBR里面分区大小改成2G,在磁盘管理里面看到的U盘也是2G。
---------------------------------------------------------------
4.一个文件删除的例子.

在qq里碰到一个朋友说media play删除一个文件,FDR找到了,只是文件长度是0,我看看开始簇号和开始扇区号,似乎是正确的,就让他在属性里改这个文件的长度,大于原来实际的文件长度,导出后居然能播放.他说别的软件没找到我想可能是文件长度为0不显示吧.

奇怪的是,为什么文件长度会变成0了.
---------------------------------------------------------------
5.一个word文件恢复的经验。

一个U盘,提示格式化。我得到镜像文件后看了看,里面的数据已经很乱了。分析后能恢复大部分word文件,但是有几个文件打不开(文件头都不对,怀疑数据已经写到别的地方去了)。只能用关键字搜索的方法。在文件名中取出几个比较特别的汉子比如 揭牌仪式 ,以unicode的方式搜索,查到几个纪录,发现居然这些关键字跑到别的文件去了。用WORD修复工具修复一下,可以看到里面的文本,正是用户要的内容。一般说来,WORD文件是用UNICOUDE方式编码的,很多公司的WORD文件标题在文件内容中都有,所以用关键字方法来搜索,应该能恢复的,只是比较花时间。这次经历是用FDR软件恢复的.

用别的软件恢复方法: 首先可以用Finaldata,easyrecory等找到文件,一般大部分能打开,只有少数打不开。根据打不开的文件名,挑出特别的关键字,用winhex来搜索,注意要以UNICODE方式编码哦,找到这些关键字所在的扇区(比如33222扇区),就从该扇区前面的若干扇区(自己手工察看调节,因为关键字在文件内容的中间,不是开始)比如33200扇区开始复制出若干连续扇区成文件,要保证文件内容都复制出来,最好存放成DOC扩展名。再用WORD文件修复工具(比如WordRepaire/DocRepaire)来修复保存的文件,就能看到里面的文本了。若这些修复工具要求文件要有文件头,可以自己手工加上文件头。
会员名称:
密码:匿名 ·注册·忘记密码?
评论内容:
(最多300个字符)
  查看评论
关于我们 | 联系我们 | 网站地图 | 友情链接 | 订单查询
杭州回天数据恢复中心:杭州市文三路388号钱江科技大厦1016室 客服热线:0571-85125595 85121630
Copyright © 2001-2008 回天数据恢复中心 All Rights Reserved E-mail:webmaster@tzwr.com
浙ICP05036415号