办公中国打印机论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

打印机维修论坛vip
打印机维修视频 打印机维修教程
搜索
 现在加入本论坛VIP会员,
享更多论坛权限,点击查看!
开通VIP会员,赠送办公设备维修
培训视频教程光盘 (60张DVD)
[公告] 下载资料说明图解,下载前必看!
论坛积分说明,按照说明下载资料。
点这里论坛积分自动充值
客服QQ:454037456
精品广告位全面招租啦!联系我们
010-51650301/02,QQ:454037456
 
查看: 6347|回复: 18
打印 上一主题 下一主题

[原创] 一次手工恢复误GHOST严重损坏的分区实例(一)

[复制链接]

主题

帖子

7

积分

技术员

Rank: 1

积分
7
注册时间
2012-8-8
在线时间
小时
居住地
四川省 宜宾市
跳转到指定楼层
1#
发表于 2012-8-8 16:07:33 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
打印机复印机耗材配件
昨天下午,)接到一个客户,他介绍说他用GHOST安装系统,结果安装两三次系统都不能正常启动,然后用他原来系统的GHOST备份恢复,系统起来了,但系统中就只有一个C分区了,还有两个分区D和E不见了,让我给他恢复误GHOST前的E分区中的数据。想到这种问题一般都很简单,就是恢复一下分区表就完事了,所以也没有先远程看一下,就接了下来。
远程连接到客户电脑上,打开事先下载好的Winhex,再在Winhex中打开待恢复的硬盘,硬盘在Winhex显示就只有一个分区。根据经验,这种情况在Winhex中是看不到原来的分区的,于是决定先用PTDD扫描一遍看看再说。
用PTDD扫描分区信息,扫描完成后,只在硬盘的后面部分有一个原来的分区信息,大小为99.7G,这个分区可能就是原来的E分区。根据客户的描述,原来的三个分区是C分区45G左右,D分区25G左右,E分区230G左右。显然PTDD扫描出来的分区并不是原来的分区。但还是不死心,万一是客户记错了呢?于是重建这个分区。
接下来在Winhex中打开硬盘,此时在目录浏览器中显示出了刚才重建的那个分,但单击这个分区,跳转到它的起始扇区,结果发现这个扇区数据全是0,现在很明显重建的这个分区并不是客户的E分区。
看来用软件扫描不到原来的分区了,只得手工恢复了。
通常情况下,XP在分区时会将第一个分区分为主分区,甚于分区分为逻辑分区,盘D、E两分区很有可能是逻辑分区,于是首先尝试查找扩展分区表。在Winhex中打开待恢复硬盘,根据客户所说C分区大约45G,于是从40G位置开始,设置搜索条件为512=508,向下查找000055AA。通过一翻搜索,倒是搜索到一个扩展分区表,但经查看,却是PTDD中搜索到的那个分区,看来没有这两个分区的扩展分区表项。
搜索扩展分区表失败,接下来想到直接搜索DBR。搜索了一部分扇区后,想到PTDD都没能搜出来,这两个分区的DBR扇区应该是已被破坏没有了,于是停止了搜索。
由于客户要的是E分区的数据,E分区大小为230G左右,应该是NTFS文件系统。由于客户不清楚这个分区是什么文件系统,因此只有先按NTFS文件系统尝试。是NTFS文件系统就一定有$MFT这个原文件(当然前提是$MFT没被损坏),于是去搜索这个原文件的文件名的十六进制值24004D0046005400,这次从50G位置开始向后搜索,搜索到若干个24004D0046005400后,终于在155698795扇区找到了一个$MFT的文件记录。
接下来要确认这个扇区是$MFT还是$MFTMirr的起始扇区。由于$MFTMirr只是前四个MFT项的备份,因此只要确定一下155698795扇区之后的若干个连续扇区中的MFT项是不是超过四个就能基本确定155698795扇区是$MFT的起始扇区还是$MFTMirr的起始扇区了。于是搜索NTFS文件记录的特征字节值46494C45,结果在155698795扇区后的部分连续扇区中找到找到了二三十个MFT项,可以确定155698795扇区就是$MFT的起始扇区了,没再往下搜索了。在这些MFT项中随便找了几个文件名给客户看,确定了那就是原E分区的文件。
找到了$MFT的起始扇区,接下来的工作便是确定E分区的起始扇区号了。
首先计算簇大小。分别查看80属性偏移24字节处的8个字节的值(属性结束VCN)和偏移40字节处的8个字节值(属性内容分配大小)再用“属性内容分配大小/(属性结束VCN+1)/512”得到簇大小扇区数为8。这里对属性结束VCN和属性内容分配大小这两个值没做记录,只记得计算出来的簇大小扇区数了。
接下下需要根据$MFT的80属性中记录的$MFT起始簇号和从簇大小扇区数去反推E分区的DBR位置了。查看80属性的第一个运行,得出起始簇号为3754787(这个与常见的$MTF起始簇号786432还不一样),用3754787*8得到E分区的$MFT之的扇区总数为30038296(3754787*8=30038296),再用$MFT所在扇区号155698795减去30038296得出E分区的DBR扇区应在125660499(155698795-30038296=125660499)。


分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏

7

主题

2708

帖子

1万

积分

高级工程师

Rank: 4

积分
14924
注册时间
2012-4-6
在线时间
1254 小时
居住地
重庆市

雄鹰勋章热心会员勋章

2#
发表于 2012-8-9 09:17:13 | 只看该作者
打印机复印机耗材配件
楼主是专业的数据恢复师?
回复 支持 反对

使用道具 举报

7

主题

2708

帖子

1万

积分

高级工程师

Rank: 4

积分
14924
注册时间
2012-4-6
在线时间
1254 小时
居住地
重庆市

雄鹰勋章热心会员勋章

3#
发表于 2012-8-9 09:17:50 | 只看该作者
打印机复印机耗材配件
楼主是专业的数据恢复师吗?
回复 支持 反对

使用道具 举报

0

主题

15

帖子

937

积分

中级工程师

Rank: 3Rank: 3

积分
937
注册时间
2012-3-5
在线时间
6 小时
居住地
浙江省
4#
发表于 2012-8-15 08:34:44 | 只看该作者
打印机复印机耗材配件
牛逼,不说话,挺一个
回复 支持 反对

使用道具 举报

0

主题

50

帖子

154

积分

技术员

Rank: 1

积分
154
注册时间
2012-8-13
在线时间
30 小时
居住地
浙江省
5#
发表于 2012-8-24 08:16:06 | 只看该作者
打印机复印机耗材配件
我我我我完全看不懂!
回复 支持 反对

使用道具 举报

176

主题

1327

帖子

410

积分

初级工程师

Rank: 2

积分
410
注册时间
2011-1-10
在线时间
663 小时

优秀会员勋章资源贡献勋章雄鹰勋章阳光勋章优秀会员GG勋章热心宣传勋章

6#
发表于 2012-10-27 09:32:46 | 只看该作者
打印机复印机耗材配件
太专业了,看不懂哦
回复 支持 反对

使用道具 举报

1

主题

13

帖子

1

积分

技术员

Rank: 1

积分
1
注册时间
2009-11-9
在线时间
1 小时
7#
发表于 2013-11-23 19:07:53 | 只看该作者
打印机复印机耗材配件
学习了
回复 支持 反对

使用道具 举报

0

主题

26

帖子

65

积分

技术员

Rank: 1

积分
65
注册时间
2014-3-2
在线时间
6 小时
居住地
广东 肇庆市
8#
发表于 2014-3-2 17:35:35 | 只看该作者
打印机复印机耗材配件
高手
回复 支持 反对

使用道具 举报

0

主题

9

帖子

2

积分

技术员

Rank: 1

积分
2
注册时间
2014-8-12
在线时间
0 小时
居住地
内蒙古 呼和浩特市
9#
发表于 2014-8-12 07:26:56 | 只看该作者
打印机复印机耗材配件
学习了!经验教训啊!
回复 支持 反对

使用道具 举报

1

主题

26

帖子

9

积分

技术员

Rank: 1

积分
9
注册时间
2014-9-24
在线时间
6 小时
居住地
辽宁 大连市
10#
发表于 2014-9-24 15:16:46 | 只看该作者
打印机复印机耗材配件
理论上能找回的,不过太麻烦了,学习了
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

打印机论坛vip会员
办公中国打印机论坛VIP会员
打印机维修视频教程

客服QQ:454037456|开通vip会员|广告合作|手机版|Archiver|办公中国 ( 备案:京ICP备05009053号;北京市公安局备案:京公网安备110108002830号 )

GMT+8, 2019-11-15 02:32

Powered by Discuz!

©Comsenz Inc.

声明:本站[办公中国OACHN] 官方客服QQ:454037456,其它模仿我站均为假冒,与本站无任何关系!未经授权禁止转载、摘编、复制或建立镜像,如有违反,追究法律责任。
快速回复 返回顶部 返回列表
冰球突破11个红人多少倍