课堂数据恢复实战

           课堂数据恢复实战

                                            
对扇区的定位有两种方法：其一是C/H/S;其二是LBA，即扇区的编号。操作系统一般用LBA来计算，更适合计算机的使用。
C/H/S 相对比较直观，但是计算复杂或者说有的时候用C/H/S表示不出来，这时必须采用LBA，它的特点是计算简单，但是相对不直观，下面对这两种对分区的定位进行分析一下。
首先，一个转化关系必须清晰：
1柱面=255个盘片=255个磁道
1扇区=512字节
1磁道=63个扇区
利用C/H/S计算，磁头从0到254磁头，扇区从1到63扇区；但是利用LBA计算的话，扇区从0开始计算，这是需要注意的地方。
另一种方法：软件扫描：打开深山红叶，单击ms-dos工具箱dos 7.10.
误删除分区实际上只是修改了扇区的MBR,对数据影响不大。只要分区的起始扇区和结束扇区确定后，分区表即可确定，一般情况下，硬盘的第一个扇区都是从63扇区开始，如果用C/H/S表示即从0磁头，1扇区，1柱面开始，结束于254磁头，63扇区。
我用分区表数据分析工具winhex，打开winhex，转到第一个分区的起始扇区，带扩展分区和逻辑分区的磁盘结构如下：每个分区的起始都有一个63扇区，且第一个扩展分区和第二个扩展分区的表示如下。
 
转到第一个分区的起始扇区，在28H位置记录的分区的大小，根据分区起始扇区+分区大小-1就可以得到分区的结束扇区。
我认为定义分区为L,M,N.

 

 

先看L分区，
起始63扇区，结束扇区=63+1388AFC-1,注意：如果是NTFS分区，那么在28H位置记录的大小要比实际大小少一。所以实际大小是1388AFC,并且是按照分区表倒过来读的。
L:C/H/S: 0/1/1—1274/254/63  LBA: 63---20482874   
扩展1：1275/0/1—2609/254/63  20482875—41929649
于是手写分区表为：
00 01 01 00 07 FE FF FA
3F 00 00 00 FC 8A 38 01
这是L分区的分区表。

 

 

 

转到扇区。

 

 

 

分析M分区。
C/H/S:1275/1/1—2039/254/63   LBA:20482938—32772599
扩展2.32772600—41929649
M的分区表为：
00 01 C1 FF 07 FE FF FF
7A 8B 38 01 7D 86 BB 00

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

分析N分区：
C/H/S:2040/1/1—2609/254/63     LBA:32772663-41929649 
分区表：
00 01 C1 FF 07 FE FF FF
37 12 F4 01 7A B9 8B 00
 

 

 

 

 

 

 

 

 

 

 

 

 

 

手写分区表后，恢复数据为“易我”，三个分区都正常。

 

 

 

下面是软件扫描的方式。选择第二项。

 

 

 

选择一块硬盘。

 

 

输入diskgen。

 

 

进入磁盘分析界面。选择我们要恢复的硬盘，然后点击工具---重建分区表，出现如下界面，点击继续。
 

 

这里选择交互方式

 

这里找到一个10G的分区，很可能是我们要找的，选择保留。

这里找到一个0M的分区，显然不是要恢复的内容，因为我们的分区中有内容的。选择跳过。
 

 

接下来又找到一个6G的分区，我选择保留。

 

 

 
最后又找到一个4G的分区，选择保留。

 

 

最后提示分区表重建完毕，点击确定。

 

提示是否更新分区表，点是。
 

 

最后存盘。重新启动。

 

重新启动后，还需要为刚扫描的分区指定盘符。假如是L.M.N三个分区。

 

打开相应的盘符，找到里面的数据是“易我”数据恢复工具。

 

 

 

 

实战到此结束。

     本文转自shenleigang 51CTO博客，原文链接：http://blog.51cto.com/shenleigang/167594，如需转载请自行联系原作者