|
|
发表于 2009-3-19 22:42:32
|
显示全部楼层
问题解决了,放上来解决方法和思路,算是个案例吧,大家一起分享。
1、先说一下情况,ghost从文件到硬盘了,这样变了成了一个大的分区。和我写的案例一样。但是,他用了几个软件都找不到任何分区信息(他的分区特殊,后面我会说的),而且有疑问,就是在网上搜的看人家的同样的情况用软件都能恢复,为什么他的不行。
2、先解释他的疑问,为什么一样的情况,用一样的方法不能恢复。其实大家认为情况都一样,那一样的方法应该可以恢复。但是,其实数据恢复中很少有一样的情况的,因为每个人的硬盘不一样,分区情况不一样,使用情况不一样,其实只是破坏的情况一样而已,还有可能破坏后的操作不一样。所以千万别大破坏情况一样这个问题放大成情况一样。对每一个情况还是要具体分析,分析的就是丢失前的情况,丢失的过程操作,丢失后的情况。
3、再说操作过程。用qq远程过去,的确是一个320g的硬盘,一个320g的分区。先传一个finaldata,看看能不能扫到以前d区的dbr,finaldata能快速的扫每柱的1头1扇,找dbr比较方便,这个我在其他的文章中提到过。在这之前已经问清楚情况了,320g硬盘,分6个区,50G,50G,50G,50G,30G,剩下,都是fat32的(这个后面证明提供的信息都是错误的)。2分钟后finaldata无法找到d的dbr,也没有找到任何分区,说明和他说的情况一样。传一个winhex过去,看一下头。先把0扇的55aa抹了,排除finaldata受到的干扰后,在用finaldata扫。同时看1-62有没有残留的信息。1-8扇有信息,其他是空,1-8扇非常乱,1扇有个表,看了一下也许有用,等finaldata重扫后,如果不行可以试着算过去。其他几扇都是软件的安装残留信息,甚至还有ext2的信息,说明这个盘用的比较乱。2分钟后,finaldata还是没有找到任何信息。从1扇中算到一个10240124扇可能是个头,用winhex跳过去一看,直接是个ntfs的dbr,用finaldata直接定位,很快出来了目录,说明有效。让他看了一下,说是d盘的。好,开始写0扇的信息。0扇的信息现在没有什么用,没有必要备份了。很多人说以前写的资料都不知道具体怎么写的,这次写详细些。先从102401024的dbr中把第3行9-12这4个表示分区大小的字节复制过来,放到0扇第一行的13-16这4个字节的位置上,然后把102401024换成16进制反向写到0扇的9-12这4个字节上,作为直接指向d盘dbr。10到16进制和反向写就不用写那么详细了吧,不懂的人自己补一下基础吧。写完了1行是00 00 00 00 07 FE FF FF 00 08 350C 00 80 1A 06,一会我把写的4行的截图放上来,大家自己算吧。写完第一行,别忘了把55 AA写回去。然后在磁盘管理里面把硬盘卸载了,再加载。这个分区的数据马上就出来了。
4、后面根据d的信息,算到e,发现所有的分区表都破坏了。而且更奇怪的是每个分区的dbr都是在分区表后的2048字节,不是在后63。不知道他最开始是怎么分出来的?这种情况写每个分区表也行,直接指向每个分区的dbr也可以。这时候他说只要4个区就ok,以前的c和最后一个无所谓。这就方便了,mbr的4行正好够用。算到每个dbr,吧大小拿出来,然后把位置换成16进制,一个一个写就ok了。整个写的过程大概10分钟就完成了。数据全部恢复。
5、这是最后我写的mbr的4行。
[ 本帖最后由 gaoshuang78 于 2009-3-19 22:43 编辑 ] |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
wdmarvel 汉化版 2.2 2.3
EFS解密工具 (支持重装后解密)H-EFS Reco
trex西数维修dos版分享,不知道违规吗?如
RAID数据恢复技术揭秘_第1章:RAID技术详解
磁盘阵列技术原理分析
求解,关于硬盘扫描时不时出现绿道的问题
ST语心定制希捷专修-小改版,改掉几处错误
sediv安装说明
三星M2固态硬盘不识别数据恢复![《硬盘玩家.数据备份恢复与急救完全手册》(徐刚)扫描版[PDF]](data/attachment/block/43/4307a77199117785891f6f9028e4eb45.jpg)
《硬盘玩家.数据备份恢复与急救完全手册》(