本帖最后由 JDCTS5 于 2024-6-18 10:27 编辑
寻找丢失分区的3种方法 请求数据恢复服务的人经常请求从“丢失”的分区中恢复数据。造成这种损失的原因可能多种多样:驱动器故障、磁盘空间分配失败、病毒等。 今天,我们将试图找出为什么在这种情况下我们看不到数据,以及如何使用PC-3000硬件软件系统恢复数据。这篇文章将特别有益于那些刚刚开始在数据恢复中迈出第一步的人。
一点理论 让我们考虑驱动器上的典型数据组织,以找出为什么我们无法通过操作系统工具访问数据。
磁盘空间分配的常见方案 要访问此处的文件,我们需要: 1. 读取扇区0中的MBR,其中我们了解到某个分区从扇区2048开始,占用N个扇区; 2. 读取分区的扇区0,并在那里找到引导NTFS结构,以了解我们处理的是NTFS文件系统,因此我们可以获得一些关于其元数据的信息; 3. 查找文件系统的其他元数据,使用引导NTFS信息,显示用户的数据。 基本上,元数据可以分为3种类型: 1. 磁盘空间分配上的元数据。在我们的例子中,它是MBR,但GPT、Apple Partition Scheme、LDM和LVM结构等也可以包括在这里。 2. 文件系统入口点,它是获取有关文件系统类型的信息所必需的,并且通常包含一些重要参数。在我们的示例中,它是Boot NTFS,但Boot for FAT和ExFAT、Superblock for EXT、XFS、UFS和ReiserFS也属于这一类。 3. 文件系统的其他元数据-存储目录和文件.的地点、名称和属性信息的所有结构。这些是NTFS的MFT记录,FAT12/16/32的FAT表和目录,EXT的inode表等。 在元数据问题的类型1或类型2的案例下,OS可以停止显示分区。换句话说,我们将看到丢失分区的问题。 练习掌握数据恢复技能
«您需要格式化驱动器中的磁盘,然后才能使用它»
当您试图打开启动FAT32损坏的分区时,Windows消息 在大多数情况下,用户看到的是这条消息,而不是他们存储在flash驱动器或带有FAT文件系统的外部HDD上的数据。如果我们损坏了主FAT引导,这就是我们得到的。 说到分类,这是破坏文件系统入口点的案例。PC-3000系统知道引导副本的存储位置,因此,如果它没有损坏,数据提取程序(Data Extractor)内的分区将打开,而无需任何其他操作。然而,这个案例并没有那么有趣,所以让我们看看案例,两个FAT靴子都损坏了。因此,分区不会在Windows或数据提取程序(Data Extractor)中打开。我们将尝试最简单的方法来获得结果——启动快速磁盘分析模式。
快速磁盘分析找到FAT32文件系统 虚拟分区FAT32是在启动后立即添加的。在右边,我们可以看到它包含哪些数据。如果我们现在返回到数据提取程序(Data Extractor)文件资源管理器,那里已经有一个虚拟分区。我们现在可以保存数据了。 在不详细说明的情况下,我们可以说FAT引导包含打开文件系统的非常重要的数据,然而,FAT表和目录分析允许我们定义这些参数并建立一个人工FAT引导。 我们找到的FAT32表格允许我们开始这样的分析。它也可以从原始恢复启动,就像我们在下一个例子中为ExtX Superblock所做的那样。 快速磁盘分析是一种自动方法,用于查找“丢失”的文件系统。FAT32只是一种特殊的案例,该模式旨在搜索所有支持的文件系统。
|
该方法基于以下观察结果: § 分区通常彼此其他相邻,几乎完全覆盖磁盘,即分区之间的“间隙”以及从磁盘的“边缘”算起的边缘不超过数千个扇区; § 磁盘组织上的元数据(包括副本)位于磁盘的开始或结尾; § 文件系统及其副本的入口点通常位于分区的开始和结尾。 让我们考虑磁盘组织的另一个例子来说明这些观察结果。
具有GPT、FAT32和HFS+分区的磁盘 § GPT结构,即关于分区的信息,位于磁盘的开始和结尾(MBR表示唯一的磁盘大小的分区,通常在扇区0中的GPT结构之前写入); § FAT32分区的开始靠近磁盘的开始,其Boot(文件系统的入口点)位于分区的首先扇区; § HFS+分区几乎紧跟FAT32分区,其开始包含HFS+卷头–HFS+文件系统的入口点; § HFS+分区靠近磁盘的结尾结束,并且在分区的结尾存在HFS+卷头的拷贝; § GPT副本位于磁盘的结尾 如果我们处理一个未知的磁盘,扫描磁盘开始和结尾的空间是有意义的。如果找到有关分区位置的信息或能够恢复整个分区,则可以将靠近分区的开始和结尾的范围添加到搜索中,因为很有可能找到相邻的分区。 这种扫描的目的是找到文件系统或结构的入口点,这将使我们能够恢复有关分区的信息(在本例中是FAT32表)。 快速磁盘分析扫描最“有趣”的范围,并随着扫描的进行自动放大。如果找到正确的结构,则启动添加虚拟分区的方法。然后所有恢复的分区都显示在模式框中,文件系统目录树可以直接看到。 格式化后还有生命吗? “快速”格式化后恢复数据的可能性和方法是一个值得单独发表文章的主题。然而,在某些情况下,它可能非常简单。让我们考虑这样一个案例:一个安装了已安装Ubuntu(默认情况下创建EXT分区)的驱动器被从计算机中提取,然后连接到另一个安装有已安装Windows并格式化为NTFS的驱动器。在那之后,驱动器被带到恢复。 在这个案例中,我们也可以像以前一样运行Quick磁盘分析。但让我们尝试另一种方法——启动原始恢复来检查驱动器。 原始恢复是一种专门搜索用户数据(图片、文件等)和文件系统元数据的模式。搜索是基于正则表达式的分析以及检查各种结构的内部算法,即它不依赖于逻辑磁盘组织(那里有什么文件系统以及是否有任何损坏)。换句话说,该模式执行文件雕刻。
|
原始恢复结果 NTFS分区以LBA:2048开头。EXT分区可能也从这里开始,但我们不能确定。进一步,我们发现了几个其他NTFS-相关结构。在扇区264 192中,我们可以看到EXT文件系统的一个超级块副本。让我们陈述几个关于EXT文件系统的重要事实: § 为文件系统分配的空间被划分为相等的组(可能除了最后一组)。组的大小显示在超级块中。在本例中,它等于262144个扇区。 § 主超级块位于组0中,已移位到1024字节。 § 主超级块的副本在移位为0的一些其他组中写入。这是组1和其他群,它们的数量是3、5和7的幂。因此,数组的开始如下:0(+1024字节),1,3,5,7,9,25… § 不同分区的超级块很容易被写入其中的GUID识别。 这样的组织为我们提供了两种选择: § 如果主超级块损坏,则很有可能找到其副本; § 如果我们找到同一个分区的几个超级块,并定义它们在序列中的位置,我们就可以定义分区开始的确切位置。 这些选项是添加虚拟分区的方法的基础,该虚拟分区可从ExtX Superblock上的上下文菜单从获得。
在ExtX超级块上添加虚拟分区的运行方法 在我们的案例中,该方法很容易定义分区的开始——它也是扇区2048。如果我们返回到文件资源管理器,我们会在那里看到一个新虚拟分区,它提供对数据的访问。在这种案例中,“虚拟性”意味着数据提取程序(Data Extractor)不是从磁盘结构中获取关于分区的开始、大小和类型的信息,以及分区的入口点(超级块),而是将其存储在特定数据库中。
数据提取程序(Data Extractor)资源管理器中的Ext4虚拟分区 让我们总结一下上面的信息。 重新格式化后,包含所需数据的EXT文件系统的入口点被新文件系统(NTFS)的结构擦除。原始恢复模式找到EXT超级块。使用特定的方法,我们添加了虚拟分区并获得了对数据的访问权限。 前面的方法(快速磁盘分析)也可以应用于此。 无MBR
Windows磁盘管理中已擦除MBR的驱动器 如果通常包含MBR的LBA=0已损坏(BAD扇区),我们将在Windows磁盘管理中看到与上面屏幕截图类似的图片。现在,用传统的方法无法看到分区的数据。正如我们已经知道的,我们可以使用快速磁盘分析和RAW恢复模式来解决问题。但让我们尝试另一种方式,即最不自动化的方式,以便更好地了解一切是如何工作的。 如果我们手动搜索分区,在大多数情况下,首先查找的位置应该是它们的起始位置:LBA 63、2048、264192、409640或二次幂,如128、256、512等。
在LBA-2048启动NTFS 当我们打开扇区2048时,我们会看到引导NTFS的典型签名——扇区开始的“NTFS”行。让我们使用将扇区查看为引导NTFS结构的选项(查看为…>引导NTFS),并查看相关字段是否有效。然后我们从“服务”菜单添加一个虚拟分区。
虚拟分区添加 之后,我们可以在数据提取程序(data Extractor)文件资源管理器中查看用户的数据。通过添加虚拟分区,我们跳过了从MBR或其他结构中确定分区的开始的步骤,因为我们清楚地设置了新分区的开始和类型。由于引导扇区和其他NTFS元数据是修正的,所有用户数据在数据提取程序(data Extractor)文件资源管理器中都可见。
NTFS虚拟分区 我们从这篇文章中学到了什么? 由于逻辑损坏(错误的驱动器格式、病毒、软件错误等)或物理驱动器问题(坏驱动器、刮痕、磁头薄弱等),您可能会面临“丢失分区”的问题。在损坏的驱动器上经常会出现此问题。带数据提取程序(Data Extractor)的PC-3000系统是以最谨慎的方式处理损坏驱动器的唯一解决方案。 分区丢失的两个最常见的原因是: 1. 有关分区地点的信息已损坏(例如无法读取MBR) 2. 文件系统入口点已损坏(例如,Boot或Superblock被擦除) 带数据提取程序(Data Extractor)的PC-3000系统有多种解决方案。在本文中,我们讨论了如何: § 使用快速磁盘分析自动查找丢失的分区 § 从RAW恢复模式添加虚拟分区 § 从从 这些解决方案在实际任务中反复证明了其有效性。 如果您对本主题有任何其他问题,请随时发送至 ACE技术支持团队。如果您正在寻找专业的数据恢复解决方案,请随时与联系[url=]info@acelaboratory.com[/url] | 
发表于 2024-6-18 10:25:10
收藏