DE说明书(8)
本帖最后由 军达成技术支持1 于 2012-9-16 10:52 编辑4.9.1. 使用对象示意图当提到对象示意图时,要记住,硬盘的每个逻辑结构对象都存在于磁盘上且有一份特定的位置示意图,即一个扇区系列。该模式用于对示意图进行可视操作。它使用户更易理解磁盘的实际对象位置,其分段存储,以及从故障硬盘上建立数据拷贝的结果(未读出扇区、拷贝时出错的扇区,等等)。该模式的窗口如图 46 所示:
Data Extractor PCI图 46 查看对象示意图窗口上部有信息行和按钮,可以用来浏览示意图。对浏览器,要提到两个方面:每个对象都有相对坐标和磁盘上位置的绝对坐标,相对坐标是连续的,线性的(例如在 1000 个扇区范围内,相对坐标是从 0 到 999),而 LBA 的绝对坐标直接由磁盘的划分方式决定,可以是任意值。要提到浏览,都是指的相对坐标。窗口中部显示的是对象示意图,在扇区块上单击鼠标的左键会显示其相对坐标和绝对坐标。为区分单独的扇区链,采用了虚线字体。示意图下方是扇区链的列表。在查看某个对象的示意图时,如果扇区链具有实际值,“About”字段会显示其相关信息,例如“分区示意图”等。您可以对每个扇区链进行单独操作,但您不能通过双击鼠标到达链的起始位置,应当将其作为文件保存到磁盘或从文件载入。这些操作可从列表的右键菜单中调用。窗口下部有 Log 标签和扇区查看标签,如果扇区查看标签处于激活状态,它将显示单击选定的或通过移动到其扇区链选中的扇区内容。如果您要建立虚拟译码表,使用分区示意图和“HEX”标签可以将数据链放在正确位置,这对进一步恢复数据非常重要(MFT 起始位置,等等)。4.9.2. 表面检查使用该模式,用户可以对某范围的扇区进行检查并找到导致错误或大大降低检查速度的扇区。从地址译码表损坏的硬盘上恢复数据时,假设您是对源硬盘操作而非拷贝进行操作的,检查模式可能非常有用。要执行检查操作,您应当设置需要检查的扇区范围,然后点击“► 开始”按钮,“当前LBA”与滑快显示了过程的进度,检查的结果将添加到工作区的下部表格窗口中。结果信息可能非常有用,因为用这种方法找到的扇区与偏移量有着很大的相关性。42
Data Extractor PCI例如,如果您发现某一范围的扇区发生了偏移,且偏移量与检查失败的山区数量相对应,那么很有可能这些扇区刚好与偏移量相匹配。也有可能并非完全相关,因为硬盘厂商在建立坏扇区列表时使用的标准并不都在译码表中采用,很可能这些标准比简单的检查过程所采用的坏扇区判断标准更严格。从可靠性来说,当然是检查过程发现的坏扇区更加可靠。检查过程速度减慢并不一定意味着出现了坏扇区。检查的结果于任务数据存放在一起,可以随时使用。4.9.3. GREP 搜索这是程序的主要搜索模式。它可以对扇区数据进行多种搜索,查找那些与相应的参考表格中选作搜索标准的规范表达式相匹配的结果。模式的窗口外形如图 47 所示:图 47. GREP 搜索
快捷工具条很简单,只包含了 3 个按钮:
退出。
要进行搜索过程,您应当指定搜索范围,搜索步长(如果您要查找以簇排列的数据,那么搜索步长就应与簇的大小相等,这样可以加快搜索过程),从参考范本中选定搜索标准并定义其在近一步搜索中的使用。要选定搜索标准,可使用规范表达式列表的右键菜单中的“Add 添加”项。相中该项键打开一个窗口,其中列出了所有的规范表达式,在此您可以使用“Select 选定”(Alt+Enter)命令快速确定搜索标准的列表。
Data Extractor PCI您可以使用右键菜单或双击其对应记录来确定是否在搜索中使用选定的标准。当然,您可以选中所有标准,但为节省时间,最好只激活必要的条目。激活的条目数量越大,这些条目越复杂,搜索过程就越慢,尤其当复杂的标准未予包含指向所需数据位置的直接指针时。您可使用结果列表的右键菜单对列表按类型(标准)进行分组,也可继续对扇区进行查看(编辑)操作。Data Extractor PCI4.9.5. 原始恢复该方法主要的思路是:在知道了文件头,但不知道文件的位置信息时,基于文件连续存放的假设对其进行恢复。换言之,如果程序发现了已知类型的两个文件头,如果没有关于其准确位置的信息—FAT、MFT 记录,等等,我们就可以假定文件的类型是由第一个文件决定的,其大小可以从两个文件头的 LBA 差值计算出来。假设并不总是正确的,有可能对文件头的识别是错误的,文件也可能是分段存储的,等等。此外,我们也不知道其文件名,创建日期和目录位置。但是,在没有别种方法的情况下,能够恢复一些信息总比丢失全部信息要好一些。注意,恢复的结果很大程度上取决于特定的情况:文件头是否包含必要的记录;硬盘是怎样划分的;所需文件的大小又多少。在不同情况下,成功恢复文件的几率可能在 0~70%不等。当逻辑结构的损坏确实非常严重,或者您没有任何文件系统的逻辑恢复工具,就需要用到此方法。此模式的窗口外形与 GREP 搜索模式非常相似(图 49)。图 49. 原始恢复有 2 个基本差别:l 无需选定搜索标准,其列表由原始恢复的参考范本确定;l 搜索的结果会产生一系列可以供拷贝的文件,文件按其初始扇区命名,扩展名由其类型决定。如果程序从标准列表的右键菜单拷贝了某一类型的所有文件,将会
Data Extractor PCI建立以扩展名命名的子目录。另一个重要的特性是该模式下错误的文件开始标识可能会导致数据丢失。这可由案例来说明:程序找到了同类型的多个文件标题,文件头的标题简单又没有明显的特点,但用户说到(或您自己确信),说检查的硬盘上并没有该类型的文件。这就意味着搜索结果无效,且可能导致计算其它重要文件的大小时出错,所以必须删除这些文件,程序会自动重新计算所有的大小。您可能会尝试从搜索标准中排除这些类型,但这样做可能在特定情况下产生相反的效果。例如某些情况下这些文件可能仍然会出现在磁盘上(稀有的档案文件类型,等等),所以最好是对该过程进行控制。正确设置扫描起点和扫描步长可以帮助用户最大限度地减少错误您节省大量的时间。注意!扫描应从已知的簇起点开始,扫描的步长应当采用相等于簇的大小。如果您还未获得这些信息,那么在步长为 1 的情况下搜索到的任意可靠的文件头都可以作为第一个参数,对第二个参数可以使用最小默认簇的大小,例如,对 FAT 系统其最小默认簇的大小是 8 个扇区。对“找到的类别”和“搜索结果”列表中的条目执行的操作可从相应的右键菜单中调用。该模式可从“Service → Original recover”菜单项启动,也可以从资源管理器相应对象的菜单项中调用,但是二者有区别:对于资源管理器对象“分区表位置”,程序会设置搜索范围(分区),但对“Boot”,还需设置搜索步长,即簇的大小。4.9.6. 搜索丢失的文件和目录该 Find files 过程可从 NTFS 和 FAT 分区 Boot 扇区和任意目录的右键菜单调用,用于在FAT 分区内搜索由于某些原因不能在资源管理器中访问的文件和目录。例如,当根目录损坏后,与其关联的所有子目录都无法访问。为恢复访问,就需要运行该过程。该过程运行时会在“Lost&Found 丢失并找到”的相应位置上建立一个目录来存放丢失的目录,丢失的目录以其各自的初始扇区命名。46
Data Extractor PCI
菜单中可以选文件还是目录,还可以对 Data 日期和 Size 尺寸作过滤。点击
OK
,进
入搜索界面。模式的视觉界面很简单:l 进程管理—“放弃”按钮;l 退出过程—“退出”按钮;l 程序将信息输出到显示面板和 Log。4.9.7. MFT 扫描为了更好地理解后面的描述,下面给出了关于 NTFS 分区数据结构的必要注解。与 FAT 相比,NTFS 分区的数据组织方式要复杂的多,再次我们不讨论细节,用户应当了解几个基本方面:对 NTFS,数据恢复要比 FAT 分区简单;任何 分区都包含一个存放目录和文件位置的特别的基本表格(MFT- Master FileTable),表格中包含了磁盘数据包括表格本身的所有信息(2 个拷贝,主要的一个位于 4 号扇区,以及一个 Mirror 镜像);一项单独的 MFT 记录完整地描述了一个特定的文件系统对象,某些情况下甚至保存了该对象的数据;如果您在资源管理器中打开一个 NTFS 分区却没有看到任何信息,就意味着您没有从前15 个 MFT 服务记录(与根目录很相似)或选定目录的索引记录中读取到任何信息。很有可能相当大部分(如果不是全部)未读取的数据可以用“扫描 MFT”命令恢复;如果某特定的 MFT 损坏,与其关联的数据就不能恢复。
Data Extractor PCI使用“查看特定 MFT 记录的属性”命令可以查看程序窗口中的号码所选定的 MFT 元素的属性。有时这可能非常有用,尤其是地址译码表损坏的时候。“Scan MFT 扫描 MFT”使用主 MFT 记录(或至少 MFT 镜像)中的信息或引导扇区数据来扫描整个 MFT(假定整个分区都由 MFT 记录组成,前两趟中程序扫描 MFT 占据的磁盘区域,最后一趟扫描整个分区),并为所有找到的对象创建虚拟文件系统的树状结构(图 51)。图 51 设置 MFT 扫描参数请记住在扫描的过程中,您可以随时终止该过程,也可以在任何位置恢复该过程。可能在扫描前 100 个(或 2000 个中的前 1000 个)MFT 记录后就已找到具有完整索引结构的必要元素,这样您就可以打开它,不必继续扫描就可以访问需要的数据。扫描前应当首先设置参数,该过程的程序窗口与搜索丢失的 FAT 目录的程序窗口看起来完全一致。该命令为选定的分区重建一个虚拟文件系统,程序无法找到其父目录的文件和目录都将添加到“Lost&Found”人造目录中。4.9.8. 逻辑扫描在资源管理器“PC3000 ATA0”对象的右键菜单中可以启动 Logical scan 命令。该模式用于对所检查的硬盘的某一区域进行完整的搜索,查找参数设置时所选择的与文件系统类型相关的特定数据结构,目前程序仅支持对 NTFS 文件系统的搜索和分析,对于 FAT和 Ext2(3)系统的同样方法将在开发完成和完备的测试之后添加到本软件中。我们建议仅在硬盘功能完好且其逻辑结构的损坏极其严重(具有逻辑故障或具有物理故障硬盘的拷贝)的情况下使用该模式。对于具有物理故障的硬盘(扇区损坏、不能读取),您可以结合“建立数据拷贝”选项来使用该模式,但是您应当考虑这样做的时间消耗。也许,对整个硬盘(分区)建立拷贝然后对拷贝进行操作效果更好对于严重逻辑故障,我们在此是指使用程序提供的较简单的方法不能恢复数据的情况,除了“原始恢复”—这是可行方法中最后考虑的一种。该方法的一个最大的缺点是:需要完整的读取扫描的数据区域并对结果进行冗长复杂的分析。对一个功能完全正常的硬盘,原数据的搜索可能需要几个小时,也可能需要 24 小时,这取决于硬盘的容量、转速,需读取和搜索的数据量。48
Data Extractor PCI该方法明显的优势是在恢复损坏的逻辑结构时,具有很高的效率,甚至在原文件系统之上已安装了一个或几个新的文件系统的情况下。该模式完全是自动进行的。只在确定扫描区域和扫描目标时需要用户的输入(图 52)。可见该模式的目的首先是在硬盘发生严重逻辑故障时为用户提供帮助。在这种情况下,用户不能完全理解和描述故障特性,进而不能采取特定措施排除故障,也不能仅使用程序提供的其它工具来读取用户数据。但请注意,该“自动”进行的模式在特定情况下都是既有优点也有缺点的。目前还不能由用户选择文件系统,因为当前版本只支持 NTFS 文件系统的逻辑扫描。设置参数后,该模式开始工作。模式的窗口外观与“搜索丢失的目录”和“扫描 MFT”模式的窗口相似,窗口显示“停止”和 Log。该模式执行的操作可以细分为两个重要部分—数据搜索和数据处理。首先,程序对选定范围内的扇区进行搜索,如果之前您已经启动过搜索命令,且搜索的区域包含在现在要搜索的范围内,那么在该过程中将跳过这些已搜索的区域,如果程序很快的完成了对大范围的搜索,您不必感到惊奇。搜索过程结束,程序就开始处理数据。如果您放弃了搜索过程,软件将让您决定是否对已搜索到的数据进行处理。程序的该反应是由如下事实决定的,即数据处理的最终结果在很大程度上依赖于所有找到的数据,有时一个未读取的扇区可能导致完全不同的结果,有时还会导致关于数据组织的结论错误。故而您必须对该情况做出个别的选择。由于这个问题,程序在进行新的数据分析之前会删除之前的所有处理结果,以便建立基于所有已发现记录的新数据模型。如果程序已经找到足够的数据用于建立虚拟文件系统,那么处理(模式)完成后相应的对象将出现在资源管理器模式下。4.9.9. 拷贝某区域的扇区这是一种辅助模式。如果您已选中“建立数据拷贝”选项,可以从任务窗口的“Service”菜单中调用它。命令用于从任务的源设备拷贝一定范围的数据输出到目标设备中,但起始位置可以不同。例如,使用该模式可以将特定分区的一个数据区域拷贝到另一个硬盘不同的初始 LBA 位置。如果需要,您可以使用该模式将几个不同设备上的数据逐扇区拷贝到另一硬盘上。
Data Extractor PCI该模式的另一个局限是它并不建立和使用拷贝示意图,只是部分使用任务设置信息。这意味着您必须记住以下几点:l 如果您建立了一个数据拷贝及其示意图,然后使用该模式,该数据拷贝可能损坏;l 如果您拷贝了一个特定的范围,然后进入资源管理器模式或启动搜索过程(与读取数据相关的任务过程),可以修改拷贝区域的数据。图 53. 从区域拷贝到区域的参数设置在对话框中您可以设置区域拷贝的参数。模式的窗口与“扫描 MFT”相似。
页:
[1]