zoukankan      html  css  js  c++  java
  • 课堂数据恢复实战

               课堂数据恢复实战
                                                
    对扇区的定位有两种方法:其一是C/H/S;其二是LBA,即扇区的编号。操作系统一般用LBA来计算,更适合计算机的使用。
    C/H/S 相对比较直观,但是计算复杂或者说有的时候用C/H/S表示不出来,这时必须采用LBA,它的特点是计算简单,但是相对不直观,下面对这两种对分区的定位进行分析一下。
    首先,一个转化关系必须清晰:
    1柱面=255个盘片=255个磁道
    1扇区=512字节
    1磁道=63个扇区
    利用C/H/S计算,磁头从0到254磁头,扇区从1到63扇区;但是利用LBA计算的话,扇区从0开始计算,这是需要注意的地方。
    另一种方法:软件扫描:打开深山红叶,单击ms-dos工具箱dos 7.10.
    误删除分区实际上只是修改了扇区的MBR,对数据影响不大。只要分区的起始扇区和结束扇区确定后,分区表即可确定,一般情况下,硬盘的第一个扇区都是从63扇区开始,如果用C/H/S表示即从0磁头,1扇区,1柱面开始,结束于254磁头,63扇区。
    我用分区表数据分析工具winhex,打开winhex,转到第一个分区的起始扇区,带扩展分区和逻辑分区的磁盘结构如下:每个分区的起始都有一个63扇区,且第一个扩展分区和第二个扩展分区的表示如下。
     
    转到第一个分区的起始扇区,在28H位置记录的分区的大小,根据分区起始扇区+分区大小-1就可以得到分区的结束扇区。
    我认为定义分区为L,M,N.
     
     
    先看L分区,
    起始63扇区,结束扇区=63+1388AFC-1,注意:如果是NTFS分区,那么在28H位置记录的大小要比实际大小少一。所以实际大小是1388AFC,并且是按照分区表倒过来读的。
    L:C/H/S: 0/1/1—1274/254/63  LBA: 63---20482874   
    扩展1:1275/0/1—2609/254/63  20482875—41929649
    于是手写分区表为:
    00 01 01 00 07 FE FF FA
    3F 00 00 00 FC 8A 38 01
    这是L分区的分区表。
     
     
     
    转到扇区。
     
     
     

    分析M分区。
    C/H/S:1275/1/1—2039/254/63   LBA:20482938—32772599
    扩展2.32772600—41929649
    M的分区表为:
    00 01 C1 FF 07 FE FF FF
    7A 8B 38 01 7D 86 BB 00
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

    分析N分区:
    C/H/S:2040/1/1—2609/254/63     LBA:32772663-41929649 
    分区表:
    00 01 C1 FF 07 FE FF FF
    37 12 F4 01 7A B9 8B 00
     
     
     
     
     
     
     
     
     
     
     
     
     
     

    手写分区表后,恢复数据为“易我”,三个分区都正常。
     
     
     
    下面是软件扫描的方式。选择第二项。
     
     
     
    选择一块硬盘。
     
     
    输入diskgen。
     
     
    进入磁盘分析界面。选择我们要恢复的硬盘,然后点击工具---重建分区表,出现如下界面,点击继续。
     
     
    这里选择交互方式
     

    这里找到一个10G的分区,很可能是我们要找的,选择保留。

    这里找到一个0M的分区,显然不是要恢复的内容,因为我们的分区中有内容的。选择跳过。
     
     
    接下来又找到一个6G的分区,我选择保留。
     
     
     
    最后又找到一个4G的分区,选择保留。
     
     

    最后提示分区表重建完毕,点击确定。
     
    提示是否更新分区表,点是。
     
     
    最后存盘。重新启动。
     
    重新启动后,还需要为刚扫描的分区指定盘符。假如是L.M.N三个分区。
     
    打开相应的盘符,找到里面的数据是“易我”数据恢复工具。
     
     
     
     
    实战到此结束。



         本文转自shenleigang 51CTO博客,原文链接:http://blog.51cto.com/shenleigang/167594,如需转载请自行联系原作者



  • 相关阅读:
    C# MQTT M2MQTT
    C# MethodInvoker委托的使用
    linux打包/解压-tar
    linux挂载查看、添加与取消
    IE6、火狐不支持a:visited
    js和jquery中的触发事件
    MySQL5.7.9免安装版配置方法
    mysql数据库在Navicat Premium连接的时候出现1862错误
    mysql max_allowed_packet查询和修改
    服务器是windows时tomcat无法打印所有日志配置修改
  • 原文地址:https://www.cnblogs.com/twodog/p/12138700.html
Copyright © 2011-2022 走看看