请选择 进入手机版 | 继续访问电脑版

PC3000 军达成数据恢复论坛

 找回密码
 立即注册
查看: 1802|回复: 1

找到丢失的分区的3种方法 [复制链接]

Rank: 8Rank: 8

  • TA的每日心情
    开心
    2021-12-28 15:01:23
  • 签到天数: 1 天

    [LV.1]初来乍到

    金钱
    10000
    元宝
    13833
    专业度
    10030

    优秀版主 论坛元老

    发表于 2019-12-12 20:38:37 |显示全部楼层

    要求数据恢复服务的人经常要求从“丢失”的分区中恢复数据。此类丢失的原因可能有很多差异:驱动器故障,磁盘空间分配尝试失败,病毒等。

    今天,我们将尝试找出为什么在这种情况下看不到数据,以及如何使用PC-3000硬件-软件系统来恢复数据。本文将使刚开始数据恢复第一步的人们受益。

    一点理论

    让我们考虑驱动器上的典型数据组织,以弄清楚为什么我们无法通过操作系统工具访问数据。

    磁盘空间分配的常见方案

    要访问此处的文件,我们需要:

    • 读取扇区0中的MBR,我们了解到某个分区从扇区2048开始并占用了N个扇区;
    • 读取分区的扇区0并找到那里的Boot NTFS结构,以了解我们已经处理了NTFS文件系统,因此我们可以获得有关其元数据的一些信息;
    • 使用引导NTFS信息查找文件系统的其他元数据,以显示用户的数据。

    基本上,元数据可以分为3种类型:

    • 元数据在磁盘空间上分配。在我们的示例中,它是MBR,但是这里也可以包括GPT,Apple Partition Scheme,LDM和LVM结构等。
    • 文件系统入口点,它是获取有关文件系统类型的信息所必需的,并且通常包含一些重要参数。在我们的示例中,它是Boot NTFS,但是FAT和ExFAT的Boot,EXT,XFS,UFS和ReiserFS的Superblock也属于此类。  
    • 文件系统的其他元数据-所有结构,用于存储有关目录和文件的位置,名称以及属性的信息。这些是NTFS的MFT记录,FAT表和FAT12 / 16/32的目录,EXT的inode表等。

    在元数据类型为1或2的情况下,操作系统可能会停止显示分区。换句话说,我们将看到分区丢失的问题。


    练习掌握数据恢复技能 «您需要先在驱动器中格式化磁盘,然后才能使用它»

    当您尝试打开损坏的启动FAT32分区时出现Windows消息

    在大多数情况下,用户会看到此消息,而不是其存储在FAT文件系统中的闪存驱动器或外部HDD上的数据。这是我们损坏主FAT Boot所得到的。

    说到分类,就是损坏文件系统入口点的情况。PC-3000系统知道引导副本的存储位置,因此,如果该副本没有损坏,Data Extractor内部的分区将打开,而无需执行任何其他操作。但是,这种情况并不那么有趣,因此让我们看一下两个FAT Boots都损坏的情况。结果,该分区将无法在Windows或数据提取器中打开。我们将尝试最简单的方法来获得结果-通过启动快速磁盘分析模式。

    快速磁盘分析已找到FAT32文件系统

    启动后立即添加了虚拟分区FAT32。在右侧,我们可以看到其中包含哪些数据。如果现在返回到Data Extractor文件浏览器,则那里已经有一个虚拟分区。我们现在可以保存数据。

    无需赘述,我们可以说FAT Boot包含用于打开文件系统的非常重要的数据,但是FAT表和目录分析允许我们定义这些参数并构建人工FAT Boot。

    我们发现的FAT32表使我们可以开始这样的分析。它也可以从原始恢复中启动,因为我们将在下一个示例中针对ExtX Superblock进行此操作。

    快速磁盘分析是一种自动方法,用于查找“丢失的”文件系统。FAT32只是一种特殊情况,该模式旨在搜索所有受支持的文件系统。


    此方法基于以下观察:

    • 分区通常彼此相邻,并且几乎完全覆盖磁盘,即分区之间的“间隙”以及磁盘“边缘”的边距不超过数千个扇区;
    • 磁盘组织(包括副本)上的元数据位于磁盘的开头或结尾;
    • 文件系统及其副本的入口点通常位于分区的开头和结尾。

    让我们考虑磁盘组织的另一个示例,以说明这些观察结果。

    具有GPT,FAT32和HFS +分区的磁盘

    • 有关分区信息的GPT结构位于磁盘的开头和结尾(MBR表示唯一的磁盘大小分区,通常在扇区0的GPT结构之前写入);
    • FAT32分区的开始位置靠近磁盘的开头,并且其Boot(文件系统的入口点)位于分区的第一个扇区中。
    • HFS +分区几乎紧跟在FAT32分区之后,并且其开头包含HFS +卷标头-HFS +文件系统的入口点;
    • HFS +分区在磁盘末尾附近结束,并且在分区的末尾有HFS +卷头的副本;
    • GPT副本位于磁盘的末尾

    如果我们处理未知磁盘,则有必要扫描磁盘开头和结尾的空间。如果找到有关分区位置的信息或能够恢复整个分区,则可以在搜索中添加接近分区开头和结尾的范围,因为很有可能找到相邻的范围一。

    进行此类扫描的目的是找到文件系统或结构的入口点,这将使我们能够恢复有关分区的信息(在本示例中为FAT32表)。  

    快速磁盘分析将扫描最“有趣”的范围,并在扫描过程中自动将其放大。如果找到合适的结构,则将启动添加虚拟分区的方法。然后,所有恢复的分区都会显示在模式框中,在其中可以立即看到文件系统树。


    格式化后还有生命吗?

    “快速”格式化后恢复数据的可能性和方法是值得单独撰写的主题。但是,在某些情况下,它可能非常简单。让我们考虑这样一种情况:从计算机中提取出一个装有Ubuntu(默认情况下会创建EXT分区)的驱动器,然后将其连接到另一个装有Windows并格式化为NTFS的驱动器。此后,驱动器即被恢复。

    在这种情况下,我们也可以像以前一样运行快速磁盘分析。但是,让我们尝试另一种方法–启动Raw Recovery来检出驱动器。

    Raw Recovery是一种专用模式,用于搜索用户的数据(图像,文档等)和文件系统的元数据。搜索基于通过正则表达式以及检查各种结构的内部算法进行的分析,即,它不依赖于逻辑磁盘组织(那里有什么文件系统以及是否有损坏)。换句话说,该模式执行File Carving

    RAW恢复结果

    NTFS分区以LBA:2048开头。EXT分区可能也从这里开始,但是我们不确定。进一步,我们发现了其他一些与NTFS相关的结构。在扇区264 192中,我们可以看到EXT文件系统的Superblock副本之一。让我们陈述一些有关EXT文件系统的重要事实:

    • 为文件系统分配的空间分为相等的组(也许除了最后一个组)。组的大小在超级块中指示。在此示例中,它等于262144个扇区。
    • 主超级块位于组0中,并移位到1024个字节。
    • 主超级块的副本被写入移位为0的其他一些组中。它们是组1和其他组,其数量是3、5和7的幂。因此,数组的开头如下:0( +1024字节),1、3、5、7、9、25,...
    • 不同分区的超级块很容易被GUID识别并写入其中。

    这样的组织为我们提供了两种选择:

    • 如果主超级块已损坏,则很有可能找到其副本;
    • 如果我们找到同一分区的几个超级块,并在序列中定义它们的位置,则可以定义分区开始的确切位置。

    这些选项是添加虚拟分区方法的基础,该方法可从ExtX Superblock的上下文菜单中获得。

    在ExtX Superblock上添加虚拟分区的运行方法

    在我们的例子中,该方法很容易定义分区的开始位置,也就是扇区2048。如果返回文件浏览器,则会在此处看到一个新的虚拟分区,该分区可提供对数据的访问。在这种情况下,“虚拟性”是指数据提取器不是从磁盘结构中获取有关分区的开始,大小和类型及其入口点(超级块)的信息,而是将其存储在特定的数据库中。

    数据提取浏览器中的Ext4虚拟分区

    让我们总结一下上面的信息。

    重新格式化后,包含新文件系统(NTFS)的结构将删除包含所需数据的EXT文件系统的入口点。原始恢复模式找到了EXT超级块。使用一种特定的方法,我们添加了虚拟分区并可以访问数据。

    先前的方法(快速磁盘分析)也可以在此处应用。

    没有MBR

    Windows磁盘管理中具有已擦除MBR的驱动器

    如果通常包含MBR的LBA = 0损坏(BAD扇区),则我们将在Windows磁盘管理中看到与上图类似的图片。现在,无法通过常规方式查看分区的数据。众所周知,我们可以使用快速磁盘分析和RAW恢复模式来解决问题。但是,让我们尝试另一种方式,即自动化程度最低的方式,以便更好地了解一切。

    如果我们手动搜索分区,那么在大多数情况下,查找的第一位应该是它们的开始位置:LBA 63、2048、264192、409640或128、256、512等之二的幂。

    在LBA-2048上引导NTFS

    当打开扇区2048时,我们会看到典型的Boot NTFS签名-扇区开头的“ NTFS”行。让我们使用将扇区作为引导NTFS结构查看的选项(查看为…>引导NTFS),并查看相关字段是否有效。然后,我们从“服务”菜单中添加虚拟分区。

    虚拟分区添加

    之后,我们可以在Data Extractor文件浏览器中查看用户的数据。通过添加虚拟分区,我们跳过了从MBR或其他结构确定分区开始的步骤,因为我们清楚地设置了新分区的开始和类型。由于引导扇区和其他NTFS元数据是正确的,因此所有用户数据在数据提取器文件浏览器中都是可见的。

    NTFS虚拟分区

    我们从这篇文章中学到了什么?

    由于逻辑损坏(错误的驱动器格式化,病毒,软件错误等)或物理驱动器问题(BAD扇区,刮擦,磁头脆弱等),您可能会遇到“分区丢失”的问题。它经常在损坏的驱动器上出现问题。带有数据提取器的PC-3000系统是唯一以最谨慎的方式处理损坏的驱动器的解决方案。

    分区丢失的两个最常见原因是:

    • 有关分区位置的信息已损坏(例如,无法读取MBR)
    • 文件系统入口点已损坏(例如,擦除了Boot或Superblock)

    带有数据提取器的PC-3000系统有几种解决方案。在本文中,我们讨论了如何:

    • 使用快速磁盘分析来自动查找丢失的分区
    • 从RAW恢复模式添加虚拟分区
    • 从十六进制编辑器添加虚拟分区

    这些解决方案已反复证明其在现实生活中的有效性。


    使用道具 举报

    Rank: 6Rank: 6

    该用户从未签到

    金钱
    0
    元宝
    1946
    专业度
    0
    发表于 2023-7-26 15:24:21 |显示全部楼层
    学习一下先

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    Archiver|手机版|PC3000 数据恢复 ( 京ICP备09023376号-1 )

    GMT+8, 2024-3-29 06:40 , Processed in 0.142263 second(s), 13 queries .

    Powered by Discuz! X2

    © 2001-2011 Comsenz Inc.

    回顶部