应用数据恢复服务的人,经常遇到要从“突然消失”的分区返回数据。
数据丢失的原因可能非常不同:驱动器的电源和微码故障,驱动器重新分配的失败实验,病毒等等。在这篇文章中,我们将试图了解为什么我们看不到数据,以及如何通过DataExtractor功能恢复数据。
一点点理论让我们考虑一下磁盘上数据的典型组织,以了解操作系统无法访问数据的原因:
要获取操作系统所需的文件:
1) 读取首先扇区(MBR,LBA#0),从它知道首先分区从从扇区开始,它占用N个扇区;
2) 读取分区的首先扇区,找到NTFS引导的结构,了解我们正在处理的NTFS文件系统,并获得有关其元数据的一些信息;
3) 使用NTFS Boot中的信息找到文件系统的其他元数据,这将允许您显示文件结构。
因此,我们可以将元数据分为3种类型:
1) 有关磁盘空间分布的元数据。在本例中,它是MBR,但也可以是GPT、Apple Partition Scheme、LDM、LVM等。
2)文件系统中的入口点。它获取有关文件系统类型的信息,并且通常包含一些重要的设置。例如,它是引导NTFS,但也可以是FAT和ExFAT引导;EXT、XFS、UFS、ReiserFS.
3)文件系统的其余元数据——存储目录和文件.的地点、名称和属性信息的所有结构。它是NTFS的MFT,FAT12/16/32的FAT表和目录;EXT等的inode表。
如果这些类型的元数据中的一个或多个已损坏,则操作系统可能无法显示分区。
实际案例1) MBR干扰
如果您擦除了位于驱动器扇区0中的MBR,则可以在标准的Windows“磁盘管理”实用程序中看到类似的模式(未定位)。您将无法通过操作系统的标准工具看到分区,但有许多方法可以从数据提取程序(data Extractor)丢失的分区中获取数据:
首先,您可以手动通过典型签名找到分区的第一个扇区,通过插件(例如查看as->Boot NTFS)检查其正确性,并将其安装为虚拟分区。
或者,您可以运行“快速磁盘分析”(用于搜索丢失的文件系统的自动方法),它将自动完成。
2) 格式化驱动器(以及所有文件结构的可能损坏)
快速格式化后数据恢复的可能性和方法是另一篇文章的主题。然而,在某些情况下,一切都很简单。让我们考虑以下实验:在驱动器上已安装Ubuntu(它创建了一个EXT分区),然后将其插入装有Windows的计算机并格式化为NTFS。之后什么也不做驱动器,并把它的数据恢复公司。
为了澄清情况,让我们运行Raw恢复。原始恢复是一种专门的模式,用于查找用户数据(照片、文件等)和文件系统的元数据。搜索基于正则表达式和不同结构的内部验证算法,它不依赖于磁盘的逻辑组织(从什么文件系统以及它是如何整体的)。其他,它是文件雕刻。
在ext3文件系统中,所有分区空间都被划分为大小相等的组(可能除了最后一个)。所以有很大的机会找到主超级块的副本。另外,如果我们成功地从同一个分区中找到了几个超级块,那么文件系统的这种组织就可以精确地定义分区的开始。在此基础上增加虚拟分区的方法。方法在RAW恢复模式下从extX超级块的从中可用。同样,这样的方法可用于所有文件系统“入口点”(引导NTFS、超级块等)
这个消息用户经常看到而不是他们的数据,这些数据存储在flash驱动器或外部HDD的FAT文件系统。如果我们故意破坏主引导FAT,这就是我们将得到的结果。如果引导FAT的副本没有损坏,那么复合体内部的分区将被打开,而不需要任何操作。如果Boot的副本被损坏,您可以使用以上所有方法来恢复文件结构——Raw恢复、快速磁盘分析和手动搜索,并从十六进制编辑器查找虚拟分区。
总之,应该说,已经建立的文件系统可能存在问题,“快速分析”可以解决这个问题。为了做到这一点,有其他方法(例如,分区分析)。它们可以长时间运行,并且在磁盘上建立大量负载,因此它不会在“快速分析”下自动运行。
附件: 6.gif (2024-6-27 13:36:21, 11.32 KB) / 下载次数 34附件: 5.jpg (2024-6-27 13:36:21, 113.73 KB) / 下载次数 31附件: 4.jpg (2024-6-27 13:36:20, 182.47 KB) / 下载次数 39附件: 3.jpg (2024-6-27 13:36:20, 868.68 KB) / 下载次数 36附件: 2.png (2024-6-27 13:36:20, 157.8 KB) / 下载次数 35附件: 1.jpg (2024-6-27 13:36:19, 24.6 KB) / 下载次数 31| 欢迎光临 PC3000 军达成数据恢复论坛 (http://www.jundacheng.com/bbs/) | Powered by Discuz! X2 |