有很多情况下,允许读取用户数据,但它很慢或驱动器有一个损坏的表面在用户区开始,作为结果无法扩展用户分区或需要大量的时间。
但是,如果客户现在需要他的数据,或者我们有驱动器操作的时间限制,因为它会损坏磁头/表面,如何处理这种情况…
在这篇文章中,我们将讨论这个问题以及可能的解决方案。
例如,我们在数据提取程序(Data Extractor)工具中创建了一个新任务,在开始时看到了很多问题扇区,DE无法识别NTFS分区。
基本上,如果驱动器没有物理问题,分区无法打开,我们可以启动快速磁盘分析选项或RAW恢复过程,并找到一个分区。
但如果驱动器表面有划痕,我们有时间限制,应该快速执行步骤。唯一的方法是尝试手动扩展分区。
在这篇文章中,我们将讨论一个NTFS分区的驱动器。
如果我们知道驱动器上只有1个NTFS分区,我们可以尝试通过RAW恢复或GREP签名找到NTFS引导文件。
在用户区域的结尾有一个引导副本,也可以用于建立虚拟分区。
但如果快速磁盘分析失败,并且我们没有引导和引导拷贝(扇区没有读取),那么我们可以尝试基于MFT表扩展分区。
MFT表(主文件表)是描述分区中所有用户文件的主文件。
首先16条记录是系统记录,它们不可用于操作系统,称为元数据。这些首先16条记录具有固定的LBA地址。
因此,我们首先需要在RAW恢复或GREP中找到MFT表的第一个记录。
如果驱动器有读取中问题,那么我们可以使用我们的知识。
对于驱动器上的首先NTFS分区,引导可以在LBA 63或LBA 2048(90%的情况),正如我们在上面看到的,首先MFT表具有首先记录的固定LBA,因此:
在LBA 63启动–MFT表从6291519 LBA开始
在LBA 2048启动–MFT表从6293504 LBA(6291519+(2048–63))开始
如何确定我们找到了MFT表的首先记录它在主体$中具有已知签名。0x0F0偏移处的M.F.T:
找到这个记录后,我们可以尝试扩展NTFS分区。让我们添加一个虚拟NTFS分区:
这里需要设置几个值:
初始LBA–预计为NTFS引导扇区的LBA(63或2048)。
最后一个LBA——它是最后一个分区扇区。假设我们在整个用户区域上只有一个分区,然后设置最后一个扇区值。
集群大小——正如我们所知,驱动器按集群写入数据(基本上是8)。
然后我们得到这个窗口:
我们应该填写三个字段“总扇区,MFT_Mirr_Cluster和MFT_Cluster。
扇区总数–设置最后一个LBA值
MFT_Mirr_Cluster–这是首先4条MFT记录的副本–设置任何值(但不是零)
MFT_Cluster–这是集群(而不是LBA)中首先MFT记录的值。
因此,我们知道首先MFT记录LBA是6293504减去2048引导LBA,除以簇大小8=786432首先MFT记录簇
换句话说:
在2048 LBA=(6293504–2048)/8中启动分区的首先MFT记录群集
在63 LBA=(6293504–63)/8中启动分区的首先MFT记录群集
因此,我们得到了一个虚拟NTFS分区,并可以执行不同的研究过程,如建立MFT数据位图,执行分区分析等。
在当前案例中,我们得到了一个包含所有文件和文件夹的完整分区结构。
注意:我们已经创建了一个虚拟分区。驱动器上未写任何内容。
在NTFS卷创建的非标准方法(通过虚拟机图片、嵌入式设备、dvr设备等)的情况下,本指南可能无法操作。
附件: 9.jpg (2024-6-24 14:56:10, 131.95 KB) / 下载次数 68附件: 8.jpg (2024-6-24 14:56:09, 69.01 KB) / 下载次数 65附件: 7.jpg (2024-6-24 14:56:09, 19.35 KB) / 下载次数 63附件: 6.jpg (2024-6-24 14:56:08, 48.99 KB) / 下载次数 64附件: 5.jpg (2024-6-24 14:56:08, 255.48 KB) / 下载次数 64附件: 4.jpg (2024-6-24 14:56:08, 130.62 KB) / 下载次数 61附件: 3.jpg (2024-6-24 14:56:08, 284.44 KB) / 下载次数 63附件: 2.jpg (2024-6-24 14:56:07, 32.74 KB) / 下载次数 59附件: 1.jpg (2024-6-24 14:56:07, 63.12 KB) / 下载次数 65| 欢迎光临 PC3000 军达成数据恢复论坛 (http://www.jundacheng.com/bbs/) | Powered by Discuz! X2 |