本帖最后由 军达成技术支持1 于 2012-9-16 10:45 编辑
4.8.1. 建立数据区域拷贝 如果您在建立任务时勾选了“Make data copy 建立数据拷贝”项,那么该模式就时任务的 主要窗口,在对被检测硬盘上的某一数据区域进行逐扇区拷贝(从 LBA 到 LBA)时使用该 模式。 但要记住,“建立数据拷贝”选项适用于拷贝数据的所有模式,当需要读取某一扇区的 数据时,程序会首先检查该扇区的数据是否已经读取过(示意图)。如果还没有读取过,程 序将读取该数据,并将其拷贝到目标设备上,同时在示意图上表示出该扇区的情况;如果该 扇区之前已经读取过,程序将从先前建立的拷贝上读取而并非再次访问故障硬盘。 在该模式下,软件对故障硬盘的数据区域建立逐扇区拷贝。拷贝可能保存在任务子目录 的映像文件中,也可能立即保存到与 PC-3000 卡的 ATA1 端口相连的硬盘上,再或保存到与 标准端口相连的硬盘上,拷贝保存的位置在建立任务时设置。 在建立数据拷贝的模式中,窗口包括主菜单,快捷工具条,显示任务与进程信息的信息 面板和一个包含“Log”和“Map” 标签的面板。 模式的窗口如图 41 所示:
图 41 建立数据拷贝
Data Extractor PCI 该模式的快捷按钮有 5 组,如图 42:
图 42. 建立数据拷贝模式下的快捷按钮
l l
电源控制; 任务参数与信息(参数、信息、统计); 附加模式(资源管理器、GREP 搜索、表面检查、将任务看作一个驱动器); 拷贝过程控制(开始/中断 退出任务。
开始拷贝之前,您要对参数进行设置(“任务参数”按钮),并单击“开始”按钮。 要放弃拷贝,单击“取消”按钮。 “取消”按钮的操作可能并不会立即执行,有时它会在一段时间之后再终止进程。这是 因为在对故障硬盘进行操作时,结束某一操作需要一定的时间。 进程状态显示在信息面板中,程序 Log 中还有当前进程的附加信息。在任务执行过程中, 您可以在示意图标签中据图例查看拷贝的结果。 请查看在主任务的“主菜单”→ “选项”菜单中对模式设置窗口及其特性和参数的描述。 在“数据恢复的主窗口”章节描述了该模式所有面板的功能和操作方法。 在使用拷贝模式时,不能转到其它模式。您只能查看任务信息、拷贝统计和对参数进行 编辑。 34
Data Extractor PCI 4.8.2. “资源管理器”模式 该模式的主要目的是显示被检测硬盘上数据的逻辑结构,并在提示和修改信息中对用户 操作提供帮助。 该模式的窗口外观与 Windows 的资源管理器相似,左边窗格是一个树状图,右边窗格中 显示器条目列表、图标和右键菜单,故也将其命名为资源管理器。 但是,它与 Windows 资源管理器的相似性仅限于此。其显示信息的内容和结构须精确反 映硬盘上数据的组织状况(类型、位置、关联,等等)。除了“保存”以外,其采用的方法, 也应遵从数据恢复任务的需要—查看对象的初始扇区、搜索对象扇区的相关列表,等等。 依据任务设置,资源管理器可以作为主要模式或辅助模式。但该模式总是处于可访问状 态,即使其作为辅助模式时,您也可以把它当作主要模式来使用。例如,当磁盘上有着大量 的坏扇区,且已经选中“建立数据拷贝”时,该模式也可以用于快速选定需拷贝的数据,这 样就无需对整个硬盘建立拷贝。 4.8.2.1. 外观、控制与浏览 模式的窗口外观如图 43 所示:
图 “资源管理器”外观 左侧框架中显示了构成逻辑数据结构的对象列表;右侧框架中是树状结构中当前选定对 象的子对象列表。您可以使用鼠标或键盘对两个列表的内容进行浏览并在它们之间切换。任 意列表中所选定对象的可执行操作都可从右键菜单中调用(一些操作还有快捷键)。 快捷工具条位于列表上方。 列表下方是信息面板,显示树状结构中所选定对象的附加信息。 窗口下部包括 Log 标签,拷贝示意图 Map 标签和扇区检查,标签结构由任务设置决定。 如果您在创建任务时选中了“建立虚拟译码表”选项,您还将在对象列表的右侧看到一 个“Table of shifts 偏移量表”,该表将在“创建虚拟译码表”中详细描述。
Data Extractor PCI 4.8.2.2. “资源管理器”模式的快捷工具条 快捷钮有五组: l 对连接到 ATA0 端口硬盘的电源管理; l 任务参数与相关信息; l 附加任务模式; l 当前进程管理(“终止”按钮); l 退出该模式。 对资源管理器管理面板和当前执行进程的按钮应当特别注意(此段作业本人实际演练未 见其功能,插图暂时沿用原俄文版文档中的): “列表类型”按钮可以控制对象列表的外观,按下它将显示一个菜单,在此您可以选择 列表的 Table 表格、Lists 列表、icon 图标视图。如选定 Table 视图,您还可以改变列表中对 象的排列顺序,用鼠标左键单击文件头所在的列即可实现,单击一次进行升序排列,双击进 行降序排列。 “终止”按钮用于停止资源管理器正在执行的任意进程(打开目录、拷贝,等等)。 安排该按钮但是却没有“开始”按钮是因为:由于对故障硬盘或逻辑结构损坏的硬盘进 行操作可能会导致完全未曾预料的情况发生(无休止循环、拷贝一个极其庞大且有错误的文 件、读取大面积损坏的区域),这时必须终止该操作进程。 工作区的下方是进程面板,用于显示资源管理器模式下所有进程的信息。对该面板应予 特别注意,因为它与数据恢复密切相关。主要原因是:在数据恢复的进程中,您可能会遇到 完全未曾预料的问题,这些问题来自硬盘的物理故障或逻辑结构的损坏,这将进一步导致资 源管理器进行逻辑分析时出现故障。 可能出现问题的这些特性决定了两个基本要求: l 必要时能够最大限度地获取当前执行进程的进度信息(要能够了解正在读取哪个 扇区); l 能够随时终止任意进程。 为满足上述要求,该面板包含三部分:输出 Log 和服务信息的窗口,“终止”按钮,和 一个控制关于当前运行进程数据水平的滑块。 用于输出 Log 和服务信息的窗口就无需多讲了。 36
Data Extractor PCI “终止”按钮用来结束当前运行的进程,请注意在 Windows 操作系统下,该资源管理器 是采用多线程模式的,因此按下“终止”按钮将终止当前的活动进程(例如:打开目录,文 件拷贝,读取 FAT 表,等等)。鉴于对故障硬盘执行操作的一些特性,某些进程(读取扇区, 无论是否成功)应以特定的方式终止。否则,您必须关闭硬盘电源,稍后再予接通,等等。 因此有时按下“终止”按钮并不会立即显示可见的结果(信息窗口中的相关消息,硬盘运行 的停止,等等)。这时,应多按几次“终止”按钮。 调试信息滑块可以控制关于进程进度的输出数据量。滑块处于顶端时表示输出完整的信 息,处于底端时不予输出信息,处于中间位置时输出相应多少的信息。 4.8.2.3. 资源管理器对象及其操作细节 按定义,资源管理器列表面板中显示的对象都是硬盘的逻辑结构元素:
资源管理器面板显示的每种对象类型旁边都有其自身的图标,在对象的右键菜单中有对 其的文本说明和可执行的操作。操作列表是由对象的类型和该对象所属的文件系统类型决定 的,可以使用“Alt+Down”快捷键,也可以使用右键菜单。 因这些图标对于每个使用 Windows 操作系统的用户来说都相当熟悉,或者其含义易于从 对其的说明中了解,在此只对方法作一些说明。 “Scan 扫描”和“View the first sector 查看初始扇区”方法是所有上列对象共有的。 “Scan 扫描”表示再次读取(或第一次读取)与选定对象有关的信息,并更新其子对象 列表。当然,每种对象类型的信息都不相同(硬盘的 0 扇区—MBR,文件系统为目录定义的 相应扇区列表,等等)。 “查看初始扇区”命令用于查看选定对象初始扇区的数据。 不论在哪种文件系统下,表示目录和文件的对象,其右键菜单几乎都是一致的,除了以 上所述的方法,还有以下几种: l Map 对象示意图; l Save 保存。 使用“Map 对象示意图”可以查看(分区,目录或磁盘上某一文件)的位置图示,请参 阅相关章节对该模式的详细描述。 使用“Save 保存”命令,用户可以将选定对象(文件或目录及其内容)保存到标准驱动 器上。 如果是在对 NTFS 文件系统操作,程序还提供了“MFT_Record 显示 MFT 记 录属性”的方法,方法用于将选定对象相关的 MFT 主文件表记录以文本形式输出到 Log 中。 对于与分区的引导扇区相关的对象,其方法有很大的区别,这些对象有着适用于所有分 区类型的方法。 Data Extractor PCI 对于 FAT 分区: l 可以选定进一步操作使用的 FAT 拷贝,或者甚至不再考虑 FAT 数据; l 可以查看选定 FAT 拷贝的示意图; l 对于 FAT32,还可以使用包含引导扇区拷贝的扇区数据对分区进行操作; l 可以显示(或隐藏)已删除的目录或文件; l 可以查看扇区链的示意图,使用激活的 FAT 拷贝从初始扇区开始搜索。这在文 件不能显示在资源管理器中且其初始扇区已经找到的情况下可能相当有用,譬如 使用搜索系统时; l 可以对“丢失”的目录执行搜索操作。 对于 NTFS 分区: l 可以将 MFT 元素的属性输出到 Log 记录; l 可以对 MFT 进行扫描。 4.8.2.4. 数据恢复过程中的模式特性 4.8.2.4.1 对故障硬盘进行操作时,该模式的效率主要是由这样一个假设和事实决定的—故障硬盘 通常还是包含足够多的可访问信息,可以不必对整个硬盘的数据进行拷贝,而只需选择提取 必要的部分,这样做速度相对较快。 如果物理故障引起的逻辑结构损坏情况非常严重,且资源管理器模式不能恢复其逻辑结 构,我们建议将故障硬盘(或分区)的所有数据拷贝到功能正常的硬盘上,然后再使用其它 工具进行逻辑恢复。对于 FAT 分区尤其如此,因为对 NTFS 文件系统,MFT 使得用户可以检 索到所有与数据结构有关的保留信息。 这种情况下资源管理器模式的使用有如下的特性: l 资源管理器对数据拷贝进行操作,记住,对数据的查看和编辑都是对先前建立的 或使用该模式的过程中正在建立的数据拷贝进行的; l 当该模式需要先前已经读取过的数据时,是从数据拷贝读取而非访问故障硬盘; l 与硬盘上的数据总量相比,恢复分区的逻辑结构所需的数据量相对较小; l 因为某些对于任意过程(例如目录扫描)都必要的数据可能处于故障区域,这就 带来两个问题:执行过程的时间很长,且获得的数据不一定可靠; l 目前该软件只支持对 FAT 和 NTFS 分区进行逻辑分析。 第一个大多数情况下的特性是,使得在只对数据拷贝进行少量的修改后,重新扫描相应 的对象就可以访问必要的用户数据。该过程并不往故障硬盘上记录任何信息,且修改的结果 也立即可见。 这里有一个资源管理器该用途的特例: 在读取某 FAT 分区的引导扇区时出现了错误,与 FAT 拷贝的数目和簇大小相关的信息 被破坏了,尝试打开根目录的操作失败。因此,应当使用扇区编辑器,看作 FATXX 的 Boot 引导扇区,在相应的字段输入正确值,然后立即检查结果,重新扫描相应对象,在对 FAT 和 其它必要数据进行搜索时应当采用 GREP 搜索。 最终,在几分钟后,我们就可能进一步打开分区的逻辑结构。 第二个特性有两个有用的方面。首先,已拷贝过的数据不会丢失,因为它保存在数据拷 贝中。因此,不会出现诸如“Lost & Found”和其它类似软件出现的问题。即当程序对故障硬 盘执行了几次读取操作之后,对其进行分析,但当最终确定了数据结构和位置之后,硬盘再 也打不开了,因为它已经变得完全不可操作且无法修复。 其次,这种操作数据的方法最大限度地减少了对故障硬盘的访问。这对硬盘即将丧失功 能的情况下尤其重要,因为这大大增加了您在完成对所需数据的拷贝之前硬盘保持功能的可 能性。 第三种特性也有两个有帮助的方面。其中主要的是它能大大节省提取所需数据的时间, 38
Data Extractor PCI 因为对数据的拷贝是选择性的,考虑到现在的硬盘都具有很大的容量,且对大多数用户和软 件来说,真正有用的数据与垃圾数据的比例很小,这一点就更加明显。如果硬盘的损坏极其 严重,那么节省的时间可能相当可观(IBM 硬盘读取一个故障扇区所需的时间将近 8 秒)。 并且,再一次地,该方法最大限度减少了对故障硬盘的访问。 4.8.2.4.2 资源管理器模式可用于创建虚拟译码表,因为不需要重启电脑就能在修正偏移量表时快 速查看重建的逻辑结构的变化情况。 这种情况下,程序从源硬盘上读取数据时会用到上述表格中的信息。 因此,如果需要读取 1000 号扇区的数据,根据偏移量表的记录,999 号扇区先前偏移了 1 个扇区,那么,程序实际读取的是 1001 号扇区的数据。 此外,对于分段存储的文件,您可以通过搜索扇区链的列表来查找该文件(可能需要用 到对象示意图),将其与偏移量表进行比较,看哪些部分位于程序还未完全确定其偏移量的 扇区范围之内。 4.8.2.4.3 资源管理器模式可用于恢复数据的逻辑结构,因为使用它可以在已检查过的硬盘上修改 数据,且可以立即用该模式查看到结果。 遗憾的是,很难描述所有可能的情况,在此仅举一个例子。 从包含 FAT32 分区且被感染了 CIH 病毒的硬盘上恢复数据。 我们知道,该病毒会破坏 MBR、BOOT,通常还会破坏第一个 FAT 拷贝,再往后破坏就 没有时间了。 你应当使用 GREP 搜索来查找 FAT 拷贝和 FAT 目录,以确定簇的大致起始位置。 然后将 0 号扇区 MBR 作为分区表,将分区记录称为 1。 将 63 号扇区作为 FAT32 的引导扇区(为简化过程,您可以从文件载入相应的例子), 确定 FAT 拷贝的数量 1,因为拷贝 1 开始于 95(63+32)号扇区且在下 1 扇区之前结束,然 后将保留扇区数加上 FAT 拷贝的大小(32+大小)。 如果计算无误,重新扫描磁盘时,就可以看到相应分区类型的记录,且根目录的位置(初 始扇区)也是正确的。 然后就可以确定簇的大小(用 8、16、32、64 去试配),分区数据也可以访问和拷贝, 您甚至可以将硬盘通过 PC3000 让系统识别。 全部操作只用了 5 分钟,诚然,这是够简单的情况。 在该软件的后续版本中,还将大力开发 FAT 分区的逻辑恢复特性。 该版本中,要改换操作,用户按下按钮,让 Easy Recovery 之类的程序操作并得出结果, 还不能实现。 4.8.3. 创建虚拟译码表 该模式用于硬盘的地址译码表损坏情况下的数据恢复。 当硬盘上的数据可以访问且未受损坏,但部分数据的地址发生了偏移,且偏移量从硬盘 LBA 的开始到末尾逐渐增大,这就是硬盘的译码表损坏了。 这种情况下数据恢复的主要概念就是为对话模式中出现的偏移量创建相应的示意图。对 此,该软件使用了关于硬盘和特定分区(FAT 与 NTFS)的逻辑数据组织的知识。 对 FAT 分区,有几种自动搜索目录和文件偏移量的方法。 用户应当了解怎样使用最终建立的偏移量示意图。这种情况下,“Data Extractor”使用 了偏移量示意图(表)来计算真实的 LBA 值并建立虚拟的地址译码表。资源管理器模式用于 确定偏移量并检查示意图修改的结果,因为它能立即显示输入修正值之后产生的结果。一个 例子就是,当添加下一个偏移量之后会立即在屏幕上打开器完整的子目录。 在为地址译码表损坏的硬盘恢复数据时,建议使用 GREP 搜索和对扇区范围的检查模式。 该模式被称之为带有补充方法的条件模式,在创建任务时,您应当勾选“Create virtual
Data Extractor PCI translator 创建虚拟译码表”。 创建虚拟译码表所用到的工具列表: l 资源管理器中的偏移量表面板; l 偏移量输入字段,添加偏移量的按钮,和转到 Log 面板“HEX”标签偏移量搜索 模式的按钮; l FAT 分区的 Boot 扇区的右键菜单中的译码表恢复方法。 资源管理器是创建虚拟译码表的主要模式,使用它可以访问上述所有的特性和模式。 手册的“数据恢复”章节描述了创建虚拟译码表的原理和实例。 4.8.3.1. 偏移量表 程序创建一个偏移量表,并在运行资源管理器模式时使用它打开结点,拷贝,生成对象 示意图等等。 当您试图创建虚拟译码表时,该表处于可访问状态并显示在资源管理器树状对象列表的 右侧。 该表格有一个右键菜单,再次可以对表中的记录进行添加,清除或压缩操作。关于使用 压缩的方法,应当说是极个别的,同使用表有关。 当资源管理器需要读取特定扇区,且偏移量表中有记录,那么程序就会找到其 LBA 小于 或等于须读取扇区 LBA 的最近记录,使用该记录的偏移量值来读取扇区。因此,例如要读取 LBA = 1000(假设偏移量表中最近的记录为 999 号扇区,偏移量为+5 扇区),程序实际读取 的是 1005 扇区。 如果表中 2 个以上的连续记录(LBA 递增)具有相同的偏移量,您可以保留第一条和最 后一条记录,这样做并不会影响资源管理器操作的结果。 但是,要记住,表格中记录的数量越大,添加一条错误记录(无效偏移量)所产生的影 响就越小,所以建议只在对偏移量的搜索和添加过程完成后才对偏移量表进行压缩。 4.8.3.2. 搜索与添加偏移量 如果您选中了“创建虚拟译码表”选项,就可以使用 Log 标签中“HEX”面板上的一个 调用该方法。可以使用 GREP 来搜索 HEX 标签上指定扇区附近的扇区,并检查其是否符合所 需的标准(例如特定类型的目录或文件),然后添加偏移量。 该模式在“辅助模式”章节进行详细描述。 4.8.3.3. 为 FAT 分区自动搜索并添加偏移量的方法 这些方法可以从 FAT 分区的“Boot sector”对象的右键菜单中调用。 使用这些方法时应按照编号的顺序来进行。 4.8.3.3.1 在 FAT 拷贝中搜索偏移量 只有当 2 个 FAT 表的区域都出现偏移时才能使用此方法。您可以用分区示意图检查第一 个 FAT 拷贝的起始位置和根目录位置(簇的起始位置),以便对此做出判断。如果至少有一 个拷贝没有包含偏移量,就可以开始使用该拷贝而无需在另一个拷贝中寻找偏移量。 只有当 FAT 拷贝中偏移量的方向是向前时该方法才有用。 使用该模式能够发现 FAT 表区域内的偏移量并将其添加到表中。 4.8.3.3.2 在 FAT 子目录中搜索偏移量 模式是基于 FAT 目录一个非常有用的性质,它包含了其位置有关的信息(簇的数目), 这样,用户就可以将其与期望位置相比较来确定偏移量。 此模式只有在根目录位置正确(考虑到先前添加的偏移量)时才能使用。 它的搜索参数视特定的情况而定(图 45)。
40
Data Extractor PCI 图 45. 在 FAT 目录中搜索偏移量参数的输入窗口 搜索的深度由偏移量的大小而定。在搜索目录的偏移量时,增加搜索深度并不会导致错 误,只是会增加搜索时间。 搜索方向由偏移量的类型而定,例如译码表信息被擦除,就应向前搜索;采用了“热交 换”过程的则应由供方硬盘决定是向前还是既向前又向后搜索。 该搜索的结果会增加偏移量表中的记录数目。 该方法可以连续使用几次,因为前一趟搜索会修正后续搜索的条件,所以后续搜索会发 现新的偏移量。在该过程末尾,程序会将添加了的偏移量数目记录到 Log 中去。 如果最后一趟搜索结束后并未添加任何记录,该过程就会结束。 4.8.3.3.3 我们建议在目录的偏移量搜索之后在使用此方法。因为文件头是按其标识符来搜索的, 它并不包含位置信息。 因此还有一个要求,就是不应太大的搜索深度。否则,如果同一类型的几个文件,其位 置非常接近,在确定它们的实际位置时,就有可能会出错,并在偏移量表中添加无效记录。 4.8.4. 数据拷贝输出 该模式用于将另一任务创建的数据拷贝输出为映像文件。 要进入该模式,您可以创建一个与“File image”设备相关的任务。在创建任务时,程序 会让您选择存放映像文件的目录和任务参数的文件。 该模式的界面很简单,无需作特别说明。使用菜单或快捷按钮打开任务参数的编辑窗口, 确定须输出的扇区范围边界,点击“► 开始”按钮,然后等待该过程完成即可。 |