在磁盘的分区布局改变后,要恢复原分区中的数据,无论是采用手工重建还是使用软件进行扫描恢复,都必须先重构原来的分区布局结构。手工重建是直接针对存储介质进行写入修改,软件扫描则是虚拟出原来的分区布局。
因分区问题导致的数据丢失,建议首先考虑手工恢复。因为如果磁盘容量比较大,进行全盘扫描寻找原来的分区会比较费时。判断是否有可能、并进一步通过手工恢复原有分区有一定的技巧,那就是使用
FinalData
软件。
我们都知道,在
DOS
分区体系中,
C/H/S
寻址方式下的一个柱面不允许跨越分区。也就是说,分区信息一定位于某个柱面的起始扇区。大多数的软件在扫描时是对整个硬盘的所有扇区进行扫描,而
FinalData
则是首先对柱面的起始扇区进行扫描,以搜索可能存在的分区信息,找到分区信息后再根据需要对某个分区进行逐扇区扫描,这就使得它寻找分区信息的速度非常快。我们可以利用这一点来迅速地判断是否有可能手工恢复分区表,并利用它搜索到的信息快速地找到各个分区的起始位置。
我们以一个
40GB
的硬盘为例,将其划分为四个分区并进行了格式化,每个分区都设置了卷标。如图
10.24
所示。
然后,将各个分区删除,重新建立一个主分区,并将该分区格式化。如图10.25所示。
由于新建了一个主分区并进行了格式化,因此,现有的一个分区与原来的第二个分区间没有任何的位置相连关系,也就无法得知第二个分区的起始位置。所以,我们只能通过搜索的方式来寻找。
步骤1 启动FinalData,在主界面中单击【文件】|【打开】,如图10.26所示。然后会弹出选择驱动器对话框。
步骤2 在选择驱动器对话框中有两个选项卡,一是“逻辑驱动器”选项卡,另一个是“物理驱动器”选项卡,因为我们要搜索整个物理硬盘,所以选择“物理驱动器”,并在其中选择我们要操作的磁盘“硬盘3”,如图10.27所示。
步骤3 单击【确定】后,程序即开始查找分区。如图10.28所示。
步骤4 对搜索结果进行分析。搜索过程很快结束,结束后列表显示找到的分区,如果要让程序继续在某个分区中寻找并恢复数据,可以将其选定后单击【确定】。但我们所需要的只是目前看到的这个分区列表。如图10.29所示。
我们根据FinalData搜索到的分区信息画出磁盘的分区布局示意图,如图10.30所示。
可以看到,FinalData找到了四个分区,第一个分区后有一部分未使用空间。但第一个分区并非我们所要寻找的原第一个分区。因为原来第一个分区的信息已经不存在了,FinalData在这一步操作中只是寻找尚存的分区信息并根据这些信息给出磁盘中可能存在的分区。现在看来,是有希望通过手工重建分区表恢复后三个分区的数据的。
下面我们要做的是重建分区表,FinalData并没有给出确切的分区起始扇区位置,而是以MB的形式给出,这个值是不可能精确到准确的扇区位置的。但我们可以通过这个值计算出某个分区的大致起始位置,然后再搜索55AA,这样就可以很快地找到我们需要的信息位置了。
步骤5 重建分区表。首先来寻找第二个分区的起始位置,它的大致位置是10001MB×2048= 20482048,因此我们跳转到20482048号扇区向前、向后搜索(通常我们要找的位置都是位于其后),很快在20482875号扇区找到一个“55AA”标志,但该扇区中除了“55AA”标志外没有其他内容,这有可能是一个干扰信息位置,但也不要忘记,我们对所有的分区执行了删除操作,因此也可能是分区表项被删除所致。按F3键继续向下搜索,在20482938号扇区找到一个FAT32的DBR扇区,由其BPB参数中得知该分区的大小为10233342个扇区,与我们要寻找的原第二个分区大小基本吻合。由第二个分区的起始位置和大小可以计算出下一个分区的大致位置…最后我们得到三个分区的准确起始位置、分区类型及大小如表10.2所示。
表10.2 找到的分区
|
分区
|
起始扇区号
|
分区类型
|
分区大小扇区数
|
|
1
|
不考虑
|
~
|
~
|
|
2
|
20482938
|
FAT32
|
10233342
|
|
3
|
30716343
|
NTFS
|
22523067
|
|
4
|
53239473
|
NTFS
|
24884622
|
在前面的过程中,我们没有述及扩展分区表,其实第二个分区的起始位置加上它的大小扇区数后,得到的扇区位置就是一下个扩展分区表所在的扇区,但因为删除分区过程中会删除分区表项,因此扩展分区表已经基本上失去了作用。因此,我们可以找到各个文件系统分区的起始位置及其大小,然后在主分区表中直接构建指向它的主分区表项即可。这就是数据恢复中需要的灵活性,因为我们最终的目的是恢复数据,而不是修复分区表链接关系,所以把时间浪费在手工修复繁琐复杂的扩展分区表上是没有意义的。
根据表10.2中的参数重建主分区表后,后三个分区完整再现。如图10.31所示。
提示:对于第一个分区的数据,可以使用软件对其进行扫描恢复,类似情况下的恢复,我们将在后面介绍数据恢复软件的使用时进行讲解。
节选自《数据重现--文件系统原理精解与数据恢复最佳实践》
本文转自老骥伏枥51CTO博客,原文链接:
http://blog.51cto.com/sjhfml/135162
,如需转载请自行联系原作者
