数据恢复经验谈

夜风wlww · 发表于 2007-9-2 19:21:08

数据恢复是一个比较复杂的工作，需要实际操练和借鉴别人的经验，在这里我先开个头，分享自己的一些粗浅经验。

碰到丢数据的硬盘，首先要求用户提供基本信息。根据这些信息对症下药，这样才能更快更好的恢复数据，一般说来，要求的信息应该包含下面的信息：

1。数据怎么丢失的？（删除/格式化/删除分区/重建分区/分区类型转换/分区大小调整合并/分区表破坏/ghost失误）等，还要问问破坏后写入了多少数据了，这样能初步判断是否有救。
2。数据丢失的分区类型，分区的使用情况。一般说来，只有分区表破坏/ntfs删除/ntfs格式化/FAT32格式化成NTFS等少部分情况能完全恢复,其它情况大多不能做到完全恢复。
3。文件的删除方式只对FAT32有影响。因为FAT32分区如果直接点中文件删除，系统会把文件开始簇号的高16字节置0，这样用软件找到这些文件后恢复出来，很多时候文劲头都不正确，就是因为开始簇号不正确。这种情况需要手工尝试组合开始簇号恢复了，要么用按文件内容恢复，只是这样就没有文件名。
4。分区表问题。一般分区表出问题的情况是比较容易恢复的。平时多留心观察对重建分区表有很大帮助。

夜风wlww · 发表于 2007-9-2 19:21:29

1.一个分区表的问题

根据63扇区的信息,计算出下一个分区的位置,判断出2个分区都是主分区.如果能熟练编辑分区表的话,修改0扇区就应该能完全恢复.但我还是建议用户不要乱写分区表.

63(NTFS)扇区得出的扇区数目是10239999，这样下一个分区应该大约在63+10239999,63+10239999+1,63+10239999+63,63+10239999+63+1这4个位置上，分别读出看看参数是否正确。其中，如果下一个是主分区，那应该在63+10239999或63+10239999+1上，如果下一个是扩展分区，应该在63+10239999+63或63+10239999+63+1上（因为中间多了个虚拟分区表63个扇区）

一般正常分区的开始（dbr)里面的每扇区字节数是512

夜风wlww · 发表于 2007-9-2 19:21:49

2. 一个快速计算分区的办法

有次碰到一个1T的raid5阵列的分区表坏了，里面5个200G的NTFS分区。客户用分区表重建工具进行到10%就死。

根据NTFS分区的特征，DBR备份放在分区的最后一个扇区。这样如果搜索到最后一个分区的DBR备份，就能轻易计算出前面分区的准确位置，而最后一个NTFS分区的DBR备份一般放在物理扇区的末尾。

在物理硬盘（阵列）的末尾10000内发现一个55AA标志，具体位置忘记了,此扇区标志成 A 。

根据这个DBR备份扇区 A 内的信息，得到这个NTFS分区的扇区总数 B . 这样就能计算出最后一个分区的开始扇区 C=A-B . 这样就能推出倒数第2个分区的DBR备份的位置 D=C-64(扩展分区) 或 D=C-1(主分区). 到此又可以倒推出前面分区来.

一般分区表问题都可以用工具扫描自动重建.只是这样有时候效率不高,很常见的分区表问题是硬盘前100扇区内没有任何有用的信息,这样就要全盘扫描很费时间. 如果平时能多留意分区表的一些特征,就能用最短时间恢复这类问题.

夜风wlww · 发表于 2007-9-2 19:22:04

No.4

--------------------------------------------------------------------------------
3. 一个U盘的例子

128M的U盘，前面一个90多M的FAT16分区，剩余的是加密区。用户重装系统时，不小心删除了前面的FAT16分区，然后又重建了一个FAT16分区。

我让用户做成镜像文件后分析，发现分区标指向第一个分区是63扇区，分区大小为87M，在磁盘管理里面显示这个U盘也是87M。我用软件把里面的数据导出来，发现好几个文件存放的位置大于这个分区的容量，就再次察看前63扇区。发现在32扇区有个DBR标志，接下来的FAT很明显是正常的。手工编辑MBR，修改了分区表，使之指向32扇区，大小也改成128M，结果用浏览器就能访问里面的数据。安全起见，我让用户把里面的数据备份后，重新分区和重新调整加密区。

这个例子让我觉得操作系统认U盘和硬盘是有一定区别的。似乎操作系统认一个U盘大小时是根据MBR里面的信息的，后来我试验，把这个U盘MBR里面分区大小改成2G，在磁盘管理里面看到的U盘也是2G。

夜风wlww · 发表于 2007-9-2 19:22:40

一个word文件恢复的经验。

一个U盘，提示格式化。我得到镜像文件后看了看，里面的数据已经很乱了。分析后能恢复大部分word文件，但是有几个文件打不开（文件头都不对，怀疑数据已经写到别的地方去了）。只能用关键字搜索的方法。在文件名中取出几个比较特别的汉子比如揭牌仪式，以unicode的方式搜索，查到几个纪录，发现居然这些关键字跑到别的文件去了。用WORD修复工具修复一下，可以看到里面的文本，正是用户要的内容。一般说来，WORD文件是用UNICOUDE方式编码的，很多公司的WORD文件标题在文件内容中都有，所以用关键字方法来搜索，应该能恢复的，只是比较花时间。这次经历是用DataExplore软件恢复的.

用别的软件恢复方法: 首先可以用Finaldata,easyrecory等找到文件，一般大部分能打开，只有少数打不开。根据打不开的文件名，挑出特别的关键字，用winhex来搜索，注意要以UNICODE方式编码哦，找到这些关键字所在的扇区（比如33222扇区），就从该扇区前面的若干扇区（自己手工察看调节，因为关键字在文件内容的中间，不是开始）比如33200扇区开始复制出若干连续扇区成文件，要保证文件内容都复制出来,最好存放成DOC扩展名。再用WORD文件修复工具（比如WordRepaire/DocRepaire)来修复保存的文件，就能看到里面的文本了。若这些修复工具要求文件要有文件头，可以自己手工加上文件头。