恢复误删除数据

恢复被误删除或误格式化硬盘
对一块我们读不出来数据的硬盘,我们要知道数据在硬盘里面的存储原理,硬盘的分区原理,具体分析参考岳 老师的博客(http://yuelei.blog.51cto.com)。
我们用winhex硬盘数据恢复工具分析,我们进入63扇区,63扇区能给我们的信息是这个分区的大小和这个分区的分区类型(FAT或是NTFS,而我们知道,FAT又分FAT16FAT32两种,因为FAT16的系统保留扇区数为2FAT32的系统保留扇区数为38,所以我们可以轻松判断它是FAT16还是FAT32了;FAT16在分区表中用06表示,FAT320B 0C 表示,NTFS07表示,拓展分区用 0F 05表示;以55AA结束的要么是分区表,要么是引导记录;分区表的第一个分区的起始若是08则代表此分区可引导,是00则代表此分区不可引导。分区表记录本分区的大小和下一个分区的大小;引导记录记录的是分区的大小和分区类型;每块硬盘可以有三个主分区,一个拓展分区,拓展分区里可以有n个逻辑分区,主分区共一个分区表,所有每个逻辑分区都各有一个分区表。
下面我们来分析一块未知情况的硬盘:
winhex打开,我们看到分区已经被删除了
 
但是我们知道,数据时还在的,它在等待我们把他们拯救出来。如图,我们进入63扇区
 
看看引导记录的部分吧
 
看到的明显不同于分区表,那么就一定是引导记录了。
首先,我们又需要判断一下它是什么分区了。看偏移量。
 
(注意:看是在二八处有数据还是二零处有数据,二八偏移记录比实际要小一,这是我们判断分区格式和分区大小的关键
 
2 0 偏移,说明是FAT分区。可是,问题还有,是FAT16还是FAT32呢?
 
 
我们还不知道是FAT16还是FAT32,所以我们试着加上系统保留的扇区数去寻找答案(632能看到系统扇区被写入F8 FF FF 0F 就说明是FAT166338能看到系统扇区被写入F8 FF FF 0F 就说明是FAT32)。
我们实际得到的是FAT32
 
现在,大小和分区类型已经知道了,可以写入分区表了
我们根据公式:结束位置 = 起始 + 大小― 得到下一个分区的开始,因为它们是连续的。
我们用计数器算出第二分区表所在,并且能查看到分区类型和大小。 说明是 NTFS 分分区类型
 
不是分区表,说明是引导记录
 
再看偏移,得出大小是 3E 82 3F ,NTFS类型。
 
 
所以,分析第二分区完毕,把所得信息写入主分区表
 
根据前面的经验,我们来到第三个分区,它的所在是前两个个扇区的大小之和,我们看到的竟然是・・・?? 00 !!!哎・・!!!这就对了!我们只看到最后一个 55AA 结束,如果说是引导记录的话,我们在里面应该看到一些数据才是啊,并且二八偏移或是二零偏移处应该有大小记录啊。所以我们判断它是一个分区表。怎么会又有分区表了呢?这!!就是拓展分区了,因为主分区是只有一个分区表的。
 
既然是要恢复数据,那么我们现在能做的就是把数据写上去了,那   有人问了,写在哪里呢?
一块硬盘最多只能有三个个主分区,一个拓展分区。而我们用 16 个字节来描述一个分区,一共 64 字节,它们所有都依次排在 55AA 的前面,如图
 
但是我们现在需要的是这个拓展分区里面的逻辑分区的大小和个数。来分析吧!
用上面提到的公式我们得到这个逻辑分区的大小和分区类型
 
 
 
 
这样我们就又可以把得到的信息写入拓展分区表了
 
 
在第一个逻辑分区的基础上,我们可以分析下一个未知的分区了。
如图,来到第二个逻辑分区的分区表中,它已经填好了。
但是我们得把它本身的大小 + 分区表本身的大小写入第一个逻辑分区的分区表中。
 
现在我们知道了整个拓展分区的大小了,就把它写入第一个主分区的分区表里吧。
 
 
好了 ,接近尾声。
保存一下更改过的记录就哦了。
注意:以为主分区表和拓展分区表都已经写入正确数据,所以都需要保存!!!
之后,我们重启动计算机来使其生效,并且进行检验。
 
进入系统后,我们打开磁盘管理服务。
 
而后我们只要给每个盘区换一个自己喜欢的名字就行了
相关文章
相关标签/搜索