两招轻松恢复误Ghost的硬盘

简介:
轻松恢复误 Ghost 的硬盘
最近接连帮朋友恢复了几块被误Ghost的硬盘,今天抽点时间写写处理过程,希望能给遇到此类问题的朋友一些参考。平时遇到的误Ghost情况有两种,一种是误用了带Ghost功能的XP安装盘,这种安装盘会重建分区表,把你的硬盘分为四个区,然后把XP系统GhostC盘;第二种是利用Ghost备份还原系统,本应把备份还原到C分区,但一不小心还原到整个硬盘上了。这两种操作的实质是一样的,都改写了硬盘的分区表,而且向硬盘覆盖了一些数据。从数据恢复的角度来看,C分区被覆盖了数据,国内由于没有深层恢复技术,基本被覆盖的数据是回不来的,但C分区之后的数据基本是可以完全恢复的。
举个例子加以说明,一块硬盘原来有三个分区,分别是CDED盘和E盘有重要数据。原打算用GhostC盘装上一个XP系统,但操作时不小心,把Ghost备份还原到了整个硬盘,这下子硬盘上只有一个C分区了。如下图所示意,这个硬盘共有 16G ,原先C 8G DE各是 4G ,现在只有一个C盘,大小是 16G
 
从上图可以看出,Ghost作了两件事情,一是覆盖了C盘的一部分空间,二是重写了分区表。除了被Ghost覆盖了一部分数据,其余的数据都毫发无损,我们只要能重建分区表,原来的D盘和E盘的数据就可以重见天日了。要重建分区表,关键是要知道第一个扩展分区起始的位置,找到了这个位置,所有的问题就都解决了。平时我解决这个问题,一般用WinhexDiskgen,现把两种方法都写出来供大家参考。
 
 Winhex
Winhex是个五星级的扇区编辑工具,虽然只有 2M 大小,但功能及其强大,什么分析分区表,分析DBR,计算偏移,簇链追踪都不在话下,是数据恢复工程师的保留武器。我们先请它出场,但使用Winhex要求对数据存储原理有一定了解(今天俺就不详细介绍原理了),要不然看了Winhex的界面就崩溃的也不在少数。
我们把要恢复的硬盘挂到另外一台计算机上,如下图所示,磁盘1就是要目标硬盘,现在它只有一个分区,我们要把它的分区恢复原状。
 
启动Winhex,在工具菜单中选择“磁盘编辑器”,如下图所示,选择打开第二块物理硬盘HD1wmware搭的实验环境)。
 
Winhex打开了物理硬盘,如下图所示就是0扇区的内容,0扇区内容分为三部分,引导程序,分区表和55AA的结束标志。图中绿色部分就是分区表,由于现在硬盘中只有一个分区,因此分区表中只有一项。
 
好,现在我们要重建正确的分区表,分区表中要有两项,一项是对主分区C的描述,另一项是对扩展分区的描述。现在的关键是要找出扩展分区的起点,由于原硬盘的C分区大约是 8000M ,每个柱面的大小是255×63×512=8225280字节= 7.8M ,因此原扩展分区的起点大约是8000÷7.81025,也就是说扩展分区的起点在1025柱面附近。考虑到误差因素,我们放宽范围,让Winhex950柱面开始搜索扩展分区的起始扇区。扩展分区的起始扇区有扩展分区表,而且扇区以55AA结束,我们根据这个特征可以指定搜索条件,具体思路是每个扇区512个字节,编号从0511,我们让Winhex检索哪个扇区的510511字节是55AA,这个扇区就有可能是我们要找的扩展分区起始扇区。当然了,也有可能某个不相干的扇区也是以55AA结尾,那就要作进一步的筛选。一般情况下,扩展分区的起始扇区总是位于某个柱面的0磁头1扇区,这些条件我们都要加以利用。
好了,首先定位到950柱面0磁头1扇区,我们准备从这里开始搜索,在Winhex的“位置”菜单中选择“转到扇区”,如下图所示,填入参数是950/0/1再次声明,950柱面只是一个凭经验估算的结果。
 
Winhex“搜索”菜单中,选择“查找16进制数值”,如下图所示。
 
如下图所示,我们输入了搜索参数,搜索的16进制数值为55AA,搜索方向是向下,这是告诉Winhex950柱面向后搜索。条件设为从偏移510开始,因为1个扇区有512字节,编号从0字节到51155510位置,AA511位置。
 
搜索开始了,一会就找到了一个符合条件的扇区,到底是不是我们要照的扩展分区起始扇区呢?我们在Winhex的“查看”菜单中选择显示“详细资料面板“,这样就可以显示出扇区的LBACHS参数,如下图所示,这个扇区位于1019柱面254磁头63扇区。显然是一个NTFS分区的结束扇区,很有可能就是原C盘的最后一个扇区。这个扇区不是我们需要的,继续搜索!
 
再向下找到的扇区就很象我们的目标了,如下图所示,这个扇区中有一个分区表,而且位置在1020柱面0磁头1扇区,和我们估算的1025柱面相差无几,凭经验基本可以认定这就是我们要找的目标。
好了,假定我们找到的1020柱面0磁头1扇区就是扩展分区的起点,那我们就可以判断原先的C分区是从0柱面1磁头1扇区开始,到1019柱面254磁头63扇区结束。那扩展分区结束在什么地方呢?从分区表中的第二项可以知道答案,分区表的第二项描述了第二个扩展分区的起点和终点,第二个扩展分区的终点就是我们要找的扩展分区的结束位置。从分区表来看,第二个扩展分区的起点距当前扇区有7D 04 7E个扇区,大小是 88 C 8 AE个扇区。经过计算,扩展分区的终点是2087柱面254磁头63扇区。说到这儿,要对一些朋友说声抱歉了,这些计算涉及到分区原理,如果以前没有接触过,确实不容易看懂。我会抽时间写一些介绍数据恢复原理的文章,现在大家如果理解起来有问题,可以参考第二种方法。
经过计算,我们算出C分区从  0/1/1 1019/254/63,扩展分区从 1020/0/12087/254/63。有了这些参数,我们在硬盘0扇区的分区表中写出两项分区表,分别描述C分区和扩展分区就可以了。如下图所示,两项分区表的参数分别是80 01 01 00 07 FE FF FF  3F  00 00 00 BD 08 FA 0000  00 C 1 FF  0F  FE FF FF FC 08 FA 00  2C  CD 05 01。修改完分区表后,保存设置,重启计算机。
重启计算机后,我们发现磁盘1中已经有了三个分区,如下图所示,其中FG就是原先硬盘中的DE,现在这两个分区应该可以正常访问,数据应该被100%恢复。
 
打开F盘看看,如下图所示,数据都回来了,用同样方法可以验证第三个分区的内容也被恢复了。现在硬盘中的第一个分区肯定不能访问了,但我们只要用Ghost备份对第一个分区执行一次恢复操作就可以了。至此,数据恢复成功完成!
 
以上这种方法适合了解分区原理的用户,如果您不了解分区表的参数含义,不用担心,您可以选择下一种方法。
 
 Diskgen
Diskgen是国内一款著名的分区恢复软件,它可以快速地进行分区表的重建,备份,恢复等工作,是进行分区恢复时的好帮手。尤其是它查找分区表时进行了优化,每个磁头只检查第一个扇区,因此查找速度很快,不过它的这个特性有时也会遇到麻烦,具体案例以后再给大家介绍。DiskgenDOS版本和Windows版本,用哪个都可以,我一般用的是深山红叶光盘中带的DOSDiskgen,我感觉已经够用了,记住,我们可以依靠工具但决不能依赖工具,工具不过是工程师思路的延伸而已。
把硬盘恢复到故障状态,在计算机中放入深山红叶的启动光盘,如下图所示,出现了深山红叶的启动界面,我们选择第二项“万用MS-DOS工具箱“。
 
进入DOS工具箱后,运行Diskgen,如下图所示。
 
启动Diskgen后,我们首先在“硬盘”菜单中选择第2硬盘,因为我们准备恢复的硬盘是计算机中的第二块硬盘。如下图所示,第二块硬盘中只有一个分区。我们准备重建分区表,在“工具”菜单中选择“重建分区表”。
 
Diskgen提醒要先对分区表进行备份,我们选择“继续”。
 
接下来选择工作方式,一定要选择“交互方式”,这样才能对恢复过程了然于胸。当然,如果实在不了解原理,用自动模式碰碰运气也未尝不可。
 
Diskgen首先找到了目前的第一个分区,这个分区结果是误Ghost后形成的,不是我们所希望的,因此选择“跳过”。
 
Diskgen继续向下搜索,速度很快,如果Diskgen找到了一些分区,但都离1025柱面较远,很有可能是以前分区遗留下来的,我们通通选择“跳过”。直到如下图所示,Diskgen找到了1020柱面的扩展分区,这是我们需要的,点击“保留”。这样,Diskgen在重建分区表时就会为这个扩展分区自动创建一个分区项。
 
扩展分区之前的 8G 空间还没有分区,我们点击硬盘的前 8G 未分区空间,在“分区”菜单中选择“新建分区”,如下图所示。
 
Diskman询问是否将扩展分区之前的空间都划给此分区,点击“确定”。
 
Diskgen询问是否将分区类型设为FAT,由于我们用Ghost还原时分区的文件系统应该是NTFS,因此选择“否”。
 
如下图所示,Diskgen要求手工输入分区类型,我们输入NTFS的代码07
 
如下图所示,分区重建完毕,新建了一个分区,找回了原来的扩展分区,存盘退出后重启计算机。
 
如下图所示,重启计算机后分区恢复了正常,第二个和第三个分区的数据都被恢复了。
 
总结:误Ghost形成的分区错误还是比较好处理的,只要将分区表正确重建,基本上C分区之后的数据都可以100%恢复。如果大家熟悉分区表参数,使用Winhex就可以完成任务,否则使用Diskgen辅助处理也是不错的。千万不要用Easyrecovery等工具扫描恢复,一是要花很长时间,另外扫描恢复的效果并不理想,至少不是100%恢复。恢复误Ghost只涉及分区,一般不涉及文件系统,除非你C盘有数据被Ghost覆盖了,那样的话可以用Easyrecovery碰碰运气。提醒一下,如果真的没有把握,可以联系俺,说不定能给您一些帮助,[email]yuelei1976@yahoo.com.cn[/email]





















本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/87334 ,如需转载请自行联系原作者

相关文章
|
运维 Windows
服务器数据恢复-服务器硬盘亮黄灯被踢,raid崩溃的数据恢复案例
服务器数据恢复环境: 一台3U的某品牌机架式服务器,Windows server操作系统,100块SAS硬盘组建RAID5阵列。 服务器故障: 服务器有一块硬盘盘的指示灯亮黄灯,这块盘被raid卡踢出后,raid阵列崩溃。
|
存储 文件存储
收藏帖!FreeNAS系统硬盘损坏更换教程,重组系统恢复数据
收藏帖!FreeNAS系统硬盘损坏更换教程,重组系统恢复数据
收藏帖!FreeNAS系统硬盘损坏更换教程,重组系统恢复数据
|
28天前
|
存储 算法 Linux
数据恢复软件恢复的数据打不开的原因与解决方法
数据恢复软件恢复的数据打不开的原因与解决方法
50 10
|
5月前
|
存储 监控 安全
内存卡数据恢复,3个方法帮你找回丢失的照片和视频
今天,针对内存卡数据恢复,本期做一个详细的归纳,分析常见的数据丢失原因、详细的数据恢复步骤、以及如何保护内存卡数据。
内存卡数据恢复,3个方法帮你找回丢失的照片和视频
|
7月前
|
数据挖掘
服务器数据恢复—服务器硬盘掉线,指示灯显示红色的数据恢复案例
一台服务器中有一组由多块硬盘组建的raid阵列,在运行过程中服务器突然崩溃,管理员检查服务器发现该服务器raid阵列中有两块硬盘的指示灯显示红色。于是,管理员重启服务器,服务器重启后,先离线的硬盘上线并开始自动同步数据,数据同步过程中管理员又将服务器强制关机。
服务器数据恢复—服务器硬盘掉线,指示灯显示红色的数据恢复案例
|
存储 Windows
不小心把u盘里的文件删除了怎么恢复丢失怎么办?,用什么数据恢复软件恢复
自从手机和电脑可以无线传输文件后,U盘就被遗忘在包里,偶尔看见,但基本上没再用过。昨天突然想看看U盘里还有什么文件资料,结果,插在电脑上却读不出来,这是怎么回事呢?u盘在电脑上读不出来数据怎么修复?紧急求救身边的懂电脑小哥哥,他教我一招,就轻松解决了这个难题。
272 0
不小心把u盘里的文件删除了怎么恢复丢失怎么办?,用什么数据恢复软件恢复
关于 移动硬盘数据丢失问题 的解决方法
关于 移动硬盘数据丢失问题 的解决方法
关于 移动硬盘数据丢失问题 的解决方法