第一篇:误GHOST情况数据恢复技巧
误GHOST情况数据恢复技巧
今天,给同事做系统的时候出现错误操作!导致系统安装后就剩下一个C盘,其他都没有了,也就是说整个磁盘就分了一个区,其他区的资料也跟着没有了。于是找资料。终于找到了方法!拿出来大家分享!
方法如下: 方法一:
(借助Diskgenius 一般5块钱的盘都会带这个工具。本人采用方法一解决问题!需要说明的是:要是 在软件搜索的时候请不要动鼠标,不然容易重新启动!请耐心等待。)
如果我们在恢复分区时这样选择:Local—Disk—from image。Ghost就认为我们现在所要进行的是把以前的硬盘备份映像文件(*.gho)恢复到整个硬盘(如图2)!显而易见,这样的选择操作所带来的结果仅仅只是把原来备份的某一个分区的备份映像文件恢复到整个硬盘。这就是开机后只有一个分区,而计算机又能正常启动的原因。
我们先来分析一个所有的逻辑盘有没有可以恢复的可能性。这里我们假定原硬盘的逻辑分区为4个,假设C盘为系统分区。
一、如果误将主分区C区的映像文件还原来整个硬盘
还原时Ghost将从硬盘的起始扇区开始写入数据,并根据使用者输入的硬盘容量参数重新定义硬盘分区表(Ghost选项中的默认容量为硬盘最大容量)。由于还原的数据大小受到原C区有效数据数据容量的限制,因此从硬盘的起始扇区开始还原的数据其覆盖范围不会超出原C区的边界,这就意味着原D、E、F区的所有数据应该是完好无损的,而此时看不到D、E、F区仅仅是因为Ghost修改了分区表而已,这种情况在恢复了主分区表后即能恢复所有逻辑盘。
二、如果误将逻辑D区的映像还原到整个硬盘
因原逻辑D盘没有安装操作系统,故硬盘不能启动,但可以从软驱或光驱启动,启动后只可以看到一个分区(即原逻辑D盘)及数据。这时分为两种情况:
1、如果原D区的有效数据容量小于原C区容量,则原C区数据被破坏,但D、E、F分区完好无损,可以恢复。
2、如果原D区的有效数据容量大于原C区容量,其还原数据的覆盖范围将超出原C区的范围并进入D我,因此不仅原C区数据被破坏,同时原D区数据也难以幸免于难,但原E、F分区数据完好无损,可以恢复。
三、如果误将逻辑E的映像还原到整个硬盘
1、如果原E区的有效数据容量小于原C区容量,则原C区数据被破坏,但D、E、F分区完好无损,可以恢复。
2、如果原E区的有效数据容量大于原C区的容量而小于C、D容量之和,其破坏范围为原C、D区,但原E、F区完好无损,可以恢复。其它情况可以依此类推。虽然不同的误操作都会有不同的结果,但有一点比较明确,那就是只要有“灾难”的发生,第一个被破坏的便是主C区及硬盘的主引导记录。而硬盘的主引导记录中又包含了硬盘主分区表,因此误操作后的结果往往是虽能正常启动,但逻辑盘数已改变,或硬盘根本就无法正常启动。这种结果与遭遇到CIH病毒破坏后的结果十分的相似。
通过以上分析我们可以得出这样的结论,只要某个(或几个)逻辑盘的整盘数据没有被重新覆盖,其可以恢复的可能性应该是相当大的,从实际情况来看几乎为100%。未遭破坏之逻辑盘数据恢复的关键是需要重新构造硬盘分区表。
在这里恢复类似硬盘数据,笔者强烈推荐您使用国产软件Disk Genius(DiskMan)。它具有强大的分区表重建功能,能恢复被破坏的分区表。首先用软盘引导计算机,然后在DOS系统下启动Disk Genius,打开Disk Genius后也会看到只有一个分区。这时选择“工具”菜单,然后选择“重建分区表”命令。在弹出的对话框中单击“继续”按钮。
运行下一步操作,在弹出的对话框中选“交互方式”
经过一阵搜索后,计算机就会找出丢失的分区,然后再选择“保留”命令。当搜索找出全部丢失的分区后,选择第一项菜单中的“退出”命令,退出Disk Genius。
重新启动计算机后所丢失的分区将会被恢复,而且数据也不会丢失
如果你的硬盘分区表也因为某种原因硬盘分区表被改写或严重破坏,引起硬盘和系统瘫痪,Disk Genius会通过未被破坏的分区引导记录信息重新建立分区表,该软件将首先搜索0柱面0磁头从2扇区开始的隐含扇区,寻找被改变或破坏的分区表。接下来搜索每个磁头的第一个扇区。搜索过程可以采用“自动方式”和“交互方式”两种方式进行。
自动方式保留发现的每一个分区,适用于大多数情况;交互方式对发现的每一个分区都给出提示,由用户选择是否保留。当自动方式重建分区表不正确时,可以采用交互方式重新搜索。等存盘后一切都好了,但是有时也不能保证百分之百正确恢复。所以保护分区表最保险的方法还是用它选备份分区信息,并且将Disk Genius作为必备工具软件,放到系统紧急启动盘上,有备无患,该软件大小仅有140KB左右,一张软盘即可存放。
顺便说一下这个强大的分区工具Disk Genius,diskgen 原名Disk Genius(DiskMan)该软件具有如下特点:
1.采用图形界面,支持鼠标操作。以图表的形式揭示了分区表的详细结构。2.全中文显示,自带汉字库,无须任何汉字系统支持。
3.支持多种系统分区,能建立如 UNIX、Linux、NTFS、OS2 等操作系统分区。4.可手工修改分区参数,并可对分区参数进行检查。5.可建立多达四个主DOS分区。
6.可在保留扩展分区的情况下删除主 DOS 分区,使您可以重新规划主 DOS 分区(即C盘)。7.可隐藏分区。
8.能查看硬盘任意扇区。
9.提供备份包括逻辑分区表及各分区引导记录在内的所有硬盘分区信息。10.具有分区表重建功能,能恢复被破坏的分区表;
11.所有操作在内存中进行,由用户自行存盘,可防止误操作。
利用Disk Genius这些强大的功能,你可以方便地维护自己的硬盘数据。
最后要提醒朋友们注意的是:如果硬盘发一故障大多数情况下都是“软”故障,尽量采用修复的方法,不要胡乱的格式化甚至低格这样危险的操作,而造成数据永久的丢失
由于使用Symantec Ghost软件进行分区恢复时,操作失误,错将光盘中备份的分区镜像文件(partition from image)当成硬盘镜像文件进行恢复(disk from image),造成分区表被重写,整个硬盘只有一个主分区,原4个硬盘分区及其数据全部丢失。由于硬盘中有大量实验数据和个人文档资料,情急之中就联系到了我,希望能够提供一点帮助。
Ghost操作错误导致数据丢失是非常常见的问题,一般情况下,在没有被覆盖的磁盘区域,完全可以通过easyrecovery、Finaldata、Rec4all、Golden Recovery等等常用数据恢复软件进行恢复,但是恢复过程较为冗长,并且很多软件不能识别中文文件名,以及恢复后的数据中删除文件、碎片文件、交叉链接文件混杂,挑选上也颇为头疼,因此首先考虑恢复分区,再次考虑恢复文件。,简单看了一下这台电脑当前的硬盘状况:只有一个C盘,容量为80G。我尝试用Norton Disk Doctor检查分区错误,结果分区正常,貌似分区表已经被重写。在用多种方式进行尝试后,决定冒险用Diskman的重建分区表功能进行分区表恢复操作。在DOS运行Diskman,首先将所有分区全部删除(起到初始化的目的),然后以“交互方式”重建分区表,在对柱面进行扫描过程中,每找到一次以往分区信息的同时,注意左边图形化磁盘分区信息是否和原磁盘分区信息一致,如果不一致,就继续查找。好在我今晚比较走运,在一段较为漫长的扫描和诸多提示之后,终于找到了尚未被清除的正确分区信息,存盘并重启电脑之后,4个硬盘分区又回来了。我在Patition Magic下检查了分区错误之后,在C盘安装了操作系统,进入系统后发现除受Ghost覆盖操作影响的C盘外,其他各分区数据均没有数据丢失现象,呵呵,终
Haigou总结:对于由于分区表错误引起的数据丢失,最好先考虑恢复分区,其次才是数据恢复;只要没有进行低级格式化(Lformat),并且没有进行写操作(文件粘贴拷贝),一般是很容易将误删除的文件恢复回来的,所以重要的是——不要慌张,不要往硬盘里拷贝东西!
方法二:(该方法本人没有测试,不过理论上应该是没有问题的 以备选用)
平时遇到的误Ghost情况有两种,一种是误用了带Ghost功能的XP安装盘,这种安装盘会重建分区表,把你的硬盘分为四个区,然后把XP系统Ghost到C盘;第二种是利用Ghost备份还原系统,本应把备份还原到C分区,但一不小心还原到整个硬盘上了。这两种操作的实质是一样的,都改写了硬盘的分区表,而且向硬盘覆盖了一些数据。从数据恢复的角度来看,C分区被覆盖了数据,国内由于没有深层恢复技术,基本被覆盖的数据是回不来的,但C分区之后的数据基本是可以完全恢复的。
举个例子加以说明,一块硬盘原来有三个分区,分别是C,D,E,D盘和E盘有重要数据。原打算用Ghost在C盘装上一个XP系统,但操作时不小心,把Ghost备份还原到了整个硬盘,这下子硬盘上只有一个C分区了。如下图所示意,这个硬盘共有16G,原先C盘8G,D和E各是4G,现在只有一个C盘,大小是16G
从上图可以看出,Ghost作了两件事情,一是覆盖了C盘的一部分空间,二是重写了分区表。除了被Ghost覆盖了一部分数据,其余的数据都毫发无损,我们只要能重建分区表,原来的D盘和E盘的数据就可以重见天日了。要重建分区表,关键是要知道第一个扩展分区起始的位置,找到了这个位置,所有的问题就都解决了。平时我解决这个问题,一般用Winhex,现把方法都写出来供大家参考。Winhex是个五星级的扇区编辑工具,虽然只有2M大小,但功能及其强大,什么分析分区表,分析DBR,计算偏移,簇链追踪都不在话下,是数据恢复工程师的保留武器。我们先请它出场,但使用Winhex要求对数据存储原理有一定了解,要不然看了Winhex的界面就崩溃的也不在少数。我们把要恢复的硬盘挂到另外一台计算机上,如下图所示,磁盘1就是要目标硬盘,现在它只有一个分区,我们要把它的分区恢复原状。
启动Winhex,在工具菜单中选择“磁盘编辑器”,如下图所示,选择打开第二块物理硬盘HD1(wmware搭的实验环境)。
Winhex打开了物理硬盘,如下图所示就是0扇区的内容,0扇区内容分为三部分,引导程序,分区表和55AA的结束标志。图中绿色部分就是分区表,由于现在硬盘中只有一个分区,因此分区表中只有一项。
好,现在我们要重建正确的分区表,分区表中要有两项,一项是对主分区C的描述,另一项是对扩展分区的描述。现在的关键是要找出扩展分区的起点,由于原硬盘的C分区大约是8000M,每个柱面的大小是255×63×512=8225280字节=7.8M,因此原扩展分区的起点大约是8000÷7.8=1025,也就是说扩展分区的起点在1025柱面附近。考虑到误差因素,我们放宽范围,让Winhex从950柱面开始搜索扩展分区的起始扇区。扩展分区的起始扇区有扩展分区表,而且扇区以55AA结束,我们根据这个特征可以指定搜索条件,具体思路是每个扇区512个字节,编号从0到511,我们让Winhex检索哪个扇区的510和511字节是55和AA,这个扇区就有可能是我们要找的扩展分区起始扇区。当然了,也有可能某个不相干的扇区也是以55AA结尾,那就要作进一步的筛选。一般情况下,扩展分区的起始扇区总是位于某个柱面的0磁头1扇区,这些条件我们都要加以利用。
好了,首先定位到950柱面0磁头1扇区,我们准备从这里开始搜索,在Winhex的“位置”菜单中选择“转到扇区”,如下图所示,填入参数是950/0/1。再次声明,950柱面只是一个凭经验估算的结果。
在Winhex“搜索”菜单中,选择“查找16进制数值”,如下图所示。
如下图所示,我们输入了搜索参数,搜索的16进制数值为55AA,搜索方向是向下,这是告诉Winhex从950柱面向后搜索。条件设为从偏移510开始,因为1个扇区有512字节,编号从0字节到511,55在510位置,AA在511位置。
搜索开始了,一会就找到了一个符合条件的扇区,到底是不是我们要照的扩展分区起始扇区呢?我们在Winhex的“查看”菜单中选择显示“详细资料面板“,这样就可以显示出扇区的LBA和CHS参数,如下图所示,这个扇区位于1019柱面254磁头63扇区。显然是一个NTFS分区的结束扇区,很有可能就是原C盘的最后一个扇区。这个扇区不是我们需要的,继续搜索!
再向下找到的扇区就很象我们的目标了,如下图所示,这个扇区中有一个分区表,而且位置在1020柱面0磁头1扇区,和我们估算的1025柱面相差无几,凭经验基本可以认定这就是我们要找的目标。
好了,假定我们找到的1020柱面0磁头1扇区就是扩展分区的起点,那我们就可以判断原先的C分区是从0柱面1磁头1扇区开始,到1019柱面254磁头63扇区结束。那扩展分区结束在什么地方呢?从分区表中的第二项可以知道答案,分区表的第二项描述了第二个扩展分区的起点和终点,第二个扩展分区的终点就是我们要找的扩展分区的结束位置。从分区表来看,第二个扩展分区的起点距当前扇区有7D 04 7E个扇区,大小是88 C8 AE个扇区。经过计算,扩展分区的终点是2087柱面254磁头63扇区。说到这儿,要对一些朋友说声抱歉了,这些计算涉及到分区原理,如果以前没有接触过,确实不容易看懂。我会抽时间写一些介绍数据恢复原理的文章。
经过计算,我们算出C分区从 0/1/1-1019/254/63,扩展分区从 1020/0/1-2087/254/63。有了这些参数,我们在硬盘0扇区的分区表中写出两项分区表,分别描述C分区和扩展分区就可以了。如下图所示,两项分区表的参数分别是 80 01 01 00 07 FE FF FF 3F 00 00 00 BD 08 FA 00和00 00 C1 FF 0F FE FF FF FC 08 FA 00 2C CD 05 01。修改完分区表后,保存设置,重启计算机。
重启计算机后,我们发现磁盘1中已经有了三个分区,如下图所示,其中F和G就是原先硬盘中的D和E,现在这两个分区应该可以正常访问,数据应该被100%恢复。
打开F盘看看,如下图所示,数据都回来了,用同样方法可以验证第三个分区的内容也被恢复了。现在硬盘中的第一个分区肯定不能访问了,但我们只要用Ghost备份对第一个分区执行一次恢复操作就可以了。至此,数据恢复成功完成!
第二篇:数据恢复基础知识
数据恢复基础知识
计算机上只有数据是最关键的,数据的丢失才是最大的损失。下面我来讲解一些数据恢复的基本知识。
首先申明一点,对于重要数据,备份数据才是防止数据丢失的根本方法,而数据恢复依赖于很多因素,很难完全恢复数据,一般是仅仅可以恢复部分数据。
数据恢复就是找回丢失的数据,例如彻底删除某个文件或文件夹,重新格式化磁盘,重新分区磁盘等等都会造成数据的丢失。更严重的数据丢失是存储介质硬件损坏,例如,硬盘不小心摔坏了、硬盘根本就不认了、硬盘有大量坏道等等。最值得注意的一点是,一旦意识到数据丢失了,立刻停止一些不必要的*作,误删、误格后,不要再往磁盘里写数据了!磁盘摔坏后,不要再加电了!磁盘出现坏道读不出来,不要反复读盘了等等。
硬盘故障大致可分为硬故障和软故障两大类。硬故障即PCBA板损坏、盘片划伤、芯片及其它原器件烧坏、断针断线、磁头音圈电机损坏等,是由于硬盘自身的机械零件或电子元器件损坏而引起。剧烈的震动、频繁开关机、电路短路、供电电压不稳定等比较容易引发硬盘物理性故障,硬件故障一般表现为CMOS不认硬盘,常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、磁头不对造成读写错误等现象,对上面描述的大部分情况,一般都要送到专门的数据恢复中心检测和恢复数据。硬盘软故障即硬盘数据结构由于某种原因,比如说病毒导致硬盘数据结构混乱甚至不可被识别而形成的故障。一般来说,主板BIOS硬盘自动检测(IDE HDD AUTO DETECTION)功能能够检测到硬盘参数,均为软故障。一般情况下,硬盘在发生故障时系统会在屏幕上显示一些提示信息,所以我们可以按照屏幕显示的提示信息找到故障原因,有针对性地实施解决方案。软故障包括误分区、误格式化、误删除、误克隆、MBR丢失、BOOT扇区丢失、病毒破坏、黑客攻击、分区信息丢失、RAID0磁盘阵列、RAID1磁盘阵列、RAID5磁盘阵列失效等因素造成的数据丢失。硬盘软故障相对于物理故障来说,更容易修复些,而它对数据的损坏程序也比硬盘物理故障来得轻些。
下面主要说明一下硬盘发生软故障后数据恢复的大概方法,部分原理可以用于优盘,光盘等的数据恢复。
基础知识-硬盘, 分区和文件系统的介绍
硬盘内部结构
关于硬盘结构的文章已经非常多了,不过真正要说清楚的话,就算专门出一本书也说不完,因此这里就不再从头细细讲述了。
硬盘最基本的组成部分是由坚硬金属材料制成的涂以磁性介质的盘片,不同容量硬盘的盘片数不等。每个盘片有两面,都可记录信息。盘片被分成许多扇形的区域,每个区域叫一个扇区,每个扇区可存储128×2的N次方(N=0.1.2.3)字节信息。在DOS中每扇区是128×2的2次方=512字节,盘片表面上以盘片中心为圆心,不同半径的同心圆称为磁道。硬盘中,不同盘片相同半径的磁道所组成的圆柱称为柱面。磁道与柱面都是表示不同半径的圆,在许多场合,磁道和柱面可以互换使用,我们知道,每个磁盘有两个面,每个面都有一个磁头,习惯用磁头号来区分。扇区,磁道(或柱面)和磁头数构成了硬盘结构的基本参数。在老式硬盘中,采用的都是这种比较古老的CHS(Cylinder/Head/Sector)结构体系。因为很久以前,在硬盘的容量还非常小的时候,人们采用与软盘类似的结构生产硬盘。也就是硬盘盘片的每一条磁道都具有相同的扇区数,由此产生了所谓的3D参数(Disk Geometry),即是磁头数(Heads)、柱面数(Cylinders)、扇区数(Sectors)以及相应的3D寻址方式。对于现在的新硬盘来说,都已经全部不采用这样的结构,而是采用了更加科学的结构方式,目前的硬盘都是线性寻址也就是直接使用扇区号来访问硬盘,137G以下的硬盘使用32位整数作为扇区号,而137G以上的硬盘使用48位整数作为扇区号。CHS结构体系
其中:磁头数表示硬盘总共有几个磁头,也就是有几面盘片,最大为255(用8个二进制位存储);柱面数表示硬盘每一面盘片上有几条磁道,最大为1023(用10个二进制位存储);扇区数表示每一条磁道上有几个扇区,最大为63(用6个二进制位存储);每个扇区一般是512个字节,理论上讲你可以取任何一个你喜欢的数值,但好像至今还没有发现取别的值的。所以磁盘最大容量为:
255×1023×63×512/1048576=8024MB(1M=1048576Bytes)或硬盘厂商常用的单位:
255×1023×63×512/1000000=8414MB(1M=1000000Bytes)
由于在老式硬盘的CHS结构体系中,每个磁道的扇区数相等,所以外道的记录密度要远低于内道,因此会浪费很多磁盘空间(软盘也是一样)。为了进一步提高硬盘容量,现在硬盘厂商都改用等密度结构生产硬盘。这也就是说,每个扇区的磁道长度相等,外圈磁道的扇区比内圈磁道多。采用这种结构后,硬盘不再具有实际的3D参数,寻址方式也改为线性寻址,即以扇区为单位进行寻址。而为了与使用3D寻址的老软件兼容(如使用BIOSInt13H接口的软件),厂商通常在硬盘控制器内部安装了一个地址翻译器,由它负责将老式3D参数翻译成新的线性参数。这也是为什么现在硬盘的3D参数可以有多种选择的原因(不同的工作模式可以对应不同的3D参数,如LBA、LARGE、NORMAL)。而随着磁盘密度的增加、机构的进一步复杂、功能和速度上的提高,如今的硬盘都会在磁盘里面划分出一个容量比较大的,称为“系统保留区”的区域,用于储存硬盘的各种信息、参数和控制程序,有的甚至把硬盘的Fireware也做到了系统保留区里面(原来这些信息都是储存在硬盘控制电路板的芯片上的)。这样虽然可以进一步简化生产的流程,加快生产速度和降低生产成本,但是从另一方面,却又大大增加了硬盘出现致命性损坏的几率和缩短了硬盘的使用寿命。
恢复数据的原理和方法
发觉硬盘故障,需要恢复数据的时候,第一步所要做的就是检测,判断磁盘的故障原因和数据损坏程度
只有明确磁盘的损坏程度和故障原因,才能采取正确的步骤恢复数据:
硬盘内部故障,表现形式一般是CMOS不能识别硬盘,硬盘异响,那么可能的故障原因物理磁道损坏、内电路芯片击穿、磁头损坏等等,可以采用的修复手段有:内电路检修、在超净间内打开盘腔修复,这种情况只能送到专业的数据恢复公司。
硬盘外电路故障,如果CMOS不能识别硬盘,硬盘无异响,那么可能的故障原因是外电路板损坏、芯片击穿、电压不稳烧毁等等,可以采取的手段是外电路检修,或者更换相同型号的硬盘的电路板,一般需要送到专业的数据恢复公司。
软故障,如果CMOS能识别硬盘,一般是硬盘软故障,破坏原因一般是系统错误造成数据丢失,误分区、误删除、误克隆、软件冲突、病毒破坏等等,可以采用的方法有专用数据恢复软件或者人工方式。
下面具体讲解软故障的数据恢复方法 1.确认数据丢失的故障原因
1.硬盘数据丢失,故障原因包括:
病毒破坏,误克隆,硬盘误格式化,分区表失丢,误删除文件,移动硬盘盘符认不出来(无法读取其中数据,硬盘零磁道损坏),硬盘误分区,盘片逻辑坏区,硬盘存在物理坏区。
2.文档数据损坏,如Office 系列数据文件损坏,Zip、MPEG、asf、RM 等文件数据损坏。
2.根据故障原因,采用相应的手段和步骤
1.备份数据,根据数据的重要程度,决定是否需要备份数据,备份数据的一般步骤是
1.卸下损坏硬盘,接到另外一台完好的机器,注意新机器上有足够的硬盘空间备份
2.使用ghost的原始模式(raw),一个扇区一个扇区的把损坏磁盘备份到一个镜像文件中。如果硬盘上有物理坏道,最好是采用ghost的方式制作一个磁盘镜像,然后所有的*作都在磁盘镜像上进行,这样可以最大限度的保护原始磁盘不被进一步损坏,可以最大限度的恢复数据。——我猜想作者是说把磁盘内容克龙到另一块磁盘上做恢复的做作,以避免在原磁盘的写*作。
3.修复硬盘数据。修复硬盘数据有2种类型,一种直接在原始硬盘修改,一种是把读出数据存储到其他的硬盘上。基本思路就是就是根据磁盘现有的信息最大限度的推断出丢失的分区和文件系统系统的信息,把受损的文件和系统还原,所以如果信息损失太多,那么是不可能恢复数据的。比如错误删除一个文件后,随即又拷贝了较大的文件过来,那么多半是被删除的文件被新拷贝过来的文件所覆盖,几乎是无法恢复了。
一个常识就是,如果想要恢复数据,那么不要在出问题的磁盘上运行scandisk或者Norton Disk Doctor等直接修复文件系统错误的软件,切记。
零磁道,MBR和分区表DPT:
零磁道处于硬盘上一个非常重要的位置,硬盘的主引导记录区(MBR)就在这个位置上。零磁道一旦受损,将使硬盘的主引导程序和分区表信息遭到严重破坏,从而导致硬盘无法自举。MBR:
当通过Fdisk或其他分区工具对硬盘进行分区时,分区软件会在硬盘0柱面0磁头1扇区建立MBR(Main Boot Record),即为主引导记录区,位于整个硬盘的第一个扇区,在总共512字节的主引导扇区中,主引导程序只占用了其中的446个字节,64个字节交给了DPT(Disk Partition Table硬盘分区表),最后两个字节(55 AA)属于分区结束标志。主引导程序的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序调入内存加以执行。DPT:
分区表DPT(Disk Partition Table),把硬盘空间划分为几个独立的连续的存储空间,也就是分区。分区表DPT则以80H或00H为开始标志,以55AAH为结束标志。分区表决定了硬盘中的分区数量,每个分区的起始及终止扇区、大小以及是否为活动分区等。
通过破坏DPT,即可轻易地损毁硬盘分区信息。分区表分为主分区表和扩展分区表。
主分区表位于硬盘MBR的后部。从1BEH字节开始,共占用64个字节,包含四个分区表项,这也就是为什么一个磁盘的主分区和扩展分区之和总共只能有四个的原因。每个分区表项的长度为16个字节,它包含一个分区的引导标志、系统标志、起始和结尾的柱面号、扇区号、磁头号以及本分区前面的扇区数和本分区所占用的扇区数。其中”引导标志”表明此分区是否可引导,即是否活动分区。当引导标志为”80″时,此分区为活动分区;”系统标志”决定了该分区的类型,如”06″为DOS FAT16分区,”0b”为DOS FAT32分,”63″为UNIX分区等;起始和结尾的柱面号、扇区号、磁头号指明了该分区的起始和终止位置。分区表项的16个字节分配如下: 第1字节: 引导标志
第2字节: 起始磁头
第3字节: 低6位为起始扇区, 高2位与第4字节为起始柱面 第4字节: 起始柱面的低8位 第5字节: 系统标志 第6字节: 终止磁头
第7字节: 低6位为终止扇区, 高2位与第8字节为终止柱面 第8字节: 终止柱面的低8位
第9-12字节: 该分区前的扇区数目 第13-16字节: 该分区占用的扇区数目
扩展分区作为一个主分区占用了主分区表的一个表项。在扩展分区起始位置所指示的扇区(即该分区的第一个扇区)中,包含有第一个逻辑分区表,同样从1BEH字节开始,每个分区表项占用16个字节。逻辑分区表一般包含两个分区表项,一个指向当前的逻辑分区,另一个则指向下一个扩展分区。下一个扩展分区的首扇区又包含了一个逻辑分区表,这样以此类推,扩展分区中就可以包含多个逻辑分区。为方便说明,我们把这一系列扩展分区和逻辑分区分别编号,主扩展分区为 1号扩展分区,第一个逻辑分区表所包含的两个分区分别标为 1号逻辑分区和 2号扩展分区,依次类推。
主分区表中的分区是主分区,而扩展分区表中的是逻辑分区,并且只能存在一个扩展分区。FS即文件系统,位于分区之内,用于管理分区中文件的存储以及各种信息,包括文件名字,大小,时间,实际占用的磁盘空间等。windows 目前常用的文件系统包括FAT12,FAT16,FAT32和NTFS系统。
DBR(Dos Boot Record)是*作系统引导记录区。它位于硬盘的每个分区的第一个扇区,是*作系统可以直接访问的第一个扇区,它一般包括一个位于该分区的*作系统的引导程序和相关的分区参数记录表。
簇,是文件系统中最小的数据存储单元,由若干个连续的扇区组成,硬盘的扇区的大小是512字节(几乎是用于所有的硬盘),也就是既是一个字节的文件也要分配给它1个簇的空间,剩余的空间都被浪费了,簇越小,那么对小文件的存储的效率越高,簇越大,文件访问的效率高,但是浪费空间比较严重。FAT(file allocation table)即文件分配表,记录了分区中簇的的使用情况,FAT表的大小与硬盘的分区的大小有关,为了数据安全起见,FAT一般做两个,二FAT为第一FAT的备份,用于FAT12,FAT16,和FAT32文件系统。
DIR是DIRECTORY即根目录区的简写,根目录区存储了文件系统的根目录中的文件或者目录的信息(包括文件的名字,大小,所在的磁盘空间等等),FAT12,FAT16的DIR紧接在第二FAT表之后,而FAT32的根目录区可以在分区的任何一个簇。MFT(Master File Table)是NTFS中存储有关文件的各种信息的数据结构,包括文件的大小,时间,所占据的数据空间等等。
以FAT32为例,FAT32分区的的0-2扇区为FAT32文件系统的DBR即引导扇区,3-5扇区为0-2扇区的备份。6-31扇区为空,32扇区开始为第一个FAT表,FAT表的大小与硬盘的分区的大小有关。随后是第2个FAT表,剩余的空间都是实际的文件所占用的,包括目录和文件。FAT32文件系统的根目录并不一定是数据区的第一个簇,它可以位于数据区的任何一个簇,这也是FAT32的根目录大小不在受255个文件限制的原因,这也是FAT32的文件名可以支持长文件名的原因之一。
分区表丢失,表现为硬盘原先所有分区或者部分分区没了,在磁盘管理器(winxp win2000 win2003)看到未分区的硬盘或者未分区的空间。有多种可能:
病毒,当年的cih病毒会用无效的数据填充分区表和第一个分区的数据,这种情况下,从前面介绍的分区的性质来看,c盘的数据很难恢复,而随后d盘和e盘等分区的实际数据并没有被破坏,而仅仅是分区表丢失而已,所以只要找到D盘和E盘等分区的正确的起始和结束位置,很容易恢复。
重新分区,使用fdisk对磁盘重新划分空间分布,那么原来的分区表被新的分区表取代,这个时候,同样是原来分区的数据没有损坏,仅仅是分区表指向了不正确的位置。
误删除文件的恢复
误删除文件的恢复的原理是什么呢?为什么删除文件后,又可以恢复回来?是不是所有的删除的文件都可以恢复?
当我们存储一个文件的时候,*作系统首先在一个记录所有空间使用情况的表格中,找到足够容纳我们的新文件的空间,然后把文件内容写到相对应的硬盘扇区上,最后在表格中标出该空间被占用了。
当我们删除一个文件的时候,一般并不对实际文件所占用的扇区进行*作,而是仅仅在该表格中指明那些空间是空白的了,可以分配给别的文件使用。在这个时候,被删除的文件的实际内容并没有受到破坏,可以恢复回来。如果我们删除一个文件后,又重新创建了一个文件,那么被删除文件所占用的扇区就有可能被新创建的文件所使用,这时候就无法恢复原来被删除的文件了。所以一旦错误的删除了文件,必须注意的就是不要对该文件所在的分区进行写*作了,否则有可能覆盖原来删除的文件,从而导致数据无法恢复。
对于误删除的文件,我们有很多选择,如finaldata,recover4all,easyrecovery,这些软件使用很简单,直接按照向导的指示就可以了。
下面介绍一种手工恢复被删除数据的方法,特别是使用这种自动化的方法恢复无效的时候,这种方法适合恢复有明显特征的结构简单的文件,如文本文件,如果格式复杂,就需要写一个类似的程序来恢复了。原理就是直接在分区中寻找被删除的文件的内容。
一个实例就是微软公司的vc6,vc6的ide有一个bug,一直没有修复,就是存储写好的程序代码的时候,偶然会弹出一个对话框说无法存储文件,这个时候必须再存一次才可以,如果你直接关闭vc6,就会发现刚才那个文件被删除了(这个bug是微软确认的,一直到vc6的sp5补丁也没有修复)。
我的一个朋友使用vc6的时候遇到了这个bug,而且他以为vc6出了问题,直接关闭了vc6,结果很费劲才调试好的很长的一的文件就失踪了。我首先试用了finaldata和easyrecovery,结果找出很多以前删除的文件,就是没有需要的。没有办法的情况下,只好使用强行搜索的方法了
1.运行winhex,选择tools菜单中的opendisk,选择误删除的文件所在的逻辑盘c盘,2.选择search菜单,使用find text命令,在打开的c盘上直接搜索程序代码中的特征串“增加了处理Reg_Expand_SZ”,3.经过一段时间后,把找到的代码所在扇区的前后几个扇区全部复制下来,拷贝到一个新的文件中,这样就找回了原来的代码。
对于恢复结构性很强的文档,如果自动化的方式不起作用,可以写一个小程序来搜索的同时加以判断,或者直接利用winhex提供的接口写一个脚本,如果数据很重要,这样的手段也是很需要的。如果文件分散在分区的多个位置,还需要根据文档的内部结构来重新组织文档,才能彻底恢复数据。
误格式化的原理也是非常类似,仅仅是快速格式化的时候,并没有覆盖原来的数据,所以可以恢复
第三篇:数据恢复保密协议
数据恢复保密协议
甲方:
乙方:中国人网络数据恢复中心
一、服务内容:
甲方委托乙方采用乙方掌握的相应技术恢复甲方所需有用的数据,尽量降低因数据丢失给甲方造成的损失。乙方所做的全部工作将依据如下条款。这里所讲的数据不包括操作系统和软件环境。乙方对甲方提供的硬盘仅作镜像操作,但仍需满足甲方要求的数据恢复。
二、付款
甲方同意乙方在本协议条款的约束下进行数据修复工作。甲方确认恢复出的数据是自己需要的数据,并且只有对该数据进行拷贝时,才支付服务费,其它的一切情况不收取服务费。
三、承诺条款
乙方不以任何形式和方式,向甲方提供任何百分之百的修复承诺。
四、保密条款:
甲方允许乙方使用该硬盘(或设备)中的任何信息用于数据恢复,乙方保证该信息的保密性,数据恢复之后,不论甲方是否拷贝数据,乙方都不能留下数据任何形式的备份。若因乙方原因造成甲方数据、信息泄漏,甲方有权追究乙方的法律责任。乙方不能以任何形式将甲方的相关信息加以披露。
五、免责条款:
甲方委托乙方修复的数据可能发生丢失,乙方不承担甲方数据损坏的责任及由于甲方数据损坏所导致或引发的任何连带责任,包括数据丢失,免除保修义务、商业损失、民事侵权或其他永久性损失及由此协议引起的偶发性、后续性、间接性损失。
六、不可预计的情况:
甲方和乙方承认,本协议因以下情况而终止,双方互不承担违约责任:
a:不可抗性的灾害;如地震,火灾等、战争、骚乱。
b:硬件或软件不可获得或失效。
C:战争、骚乱乙方在恢复数据的过程中,如果因为硬盘进一步的自然损坏(比如最开始为坏道,后来读数据造成硬盘故障进一步的老化和损坏,最终磁头损坏或不认盘),或则由于其他外界原因(如突然停电)等造成硬盘的进一步损坏而引起数据无法恢复。
七、恢复介质保管条款:
在乙方通知甲方数据恢复成功完成后5天之内或超过双方最初约定领取存储介质、设备、数据的约定期限,乙方负责再次敦促提醒甲方领取数据和介质。如果数据未恢复成功,乙方负责知会甲方并告诉实际情况。如果在乙方通知后超过一个月,甲方仍未前来领取,乙方将视甲方放弃介质和介质的数据恢复,可以对介质做任何处理,并可删除已恢复出来的任何数据。
八、本协议一经双方签定即已生效:本协议自签字盖章之日起生效。
九、本协议一式二份,甲乙双方各执一份,均具同等法律效力。
甲方签字:乙方签字:
联系电话:联系电话:
日 期:日 期:
第四篇:数据恢复实习报告
实验一
FAT32数据存储分析
一、实验内容
1、使用磁盘软件分析FAT32文件系统的分区引导扇区(DBR)、文件分配表(FAT)、文件目录表(FDT)。
2、学会使用常见数据恢复软件。
二、实验目的
1、进一步掌握和了解FAT32文件格式;
2、掌握常见磁盘软件的使用;
3、掌握常见数据恢复软件的使用;
4、提高动手操作能力。
三、实验要求
1、提前预习实验,认真阅读实验原理。
2、认真高效的完成实验,实验过程中服从实验室管理人 员以及实验指导老师的管理。
3、认真填写实验报告。
四、实验所需工具
1、Winhex:一款优秀的16进制查看与编辑器。
2、Easyrecovery:一款优秀的硬盘数据恢复工具,能够帮你恢复丢失的数据。
五、实验原理
1、硬盘结构 1.1硬盘物理结构 硬盘存储数据是根据电、磁转换原理实现的。硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成(图 1),其中盘片和磁头密封在无尘的金属壳中。
数据恢复实习报告 图 1 硬盘工作时,盘片以设计转速高速旋转,设置在盘片表面的磁头则在电路控制下径向移动到指定位置然后将数据存储或读取出来。当系统向硬盘写入数据时,磁头中“写数据”电流产生磁场使盘片表面磁性物质状态发生改变,并在写电流磁场消失后仍能保持,这样数据就存储下来了;当系统从硬盘中读数据时,磁头经过盘片指定区域,盘片表面磁场使磁头产生感应电流或线圈阻抗产生变化,经相关电路处理后还原成数据。
1.2硬盘逻辑结构
硬盘由很多盘片(platter)组成,每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有2N个面,对应2N个磁头(Heads),从0、1、2开始编号。每个盘片被划分成若干个同心圆磁道(逻辑上的,是不可见的。)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders),从外至里编号为0、1、2……每个盘片上的每个磁道又被划分为几十个扇区(Sector),通常的容量是512byte,并按照一定规则编号为1、2、3……形成Cylinders×Heads×Sector个扇区。
1.3、MBR(master boot record)扇区
计算机在按下POWER键以后,开始执行主板BIOS程序。进行完一系列检测和配置以后。开始按BIOS中设定的系统引导顺序引导系统。假定现在是硬盘。BIOS执行完自己的程序后如何 把执行权交给硬盘呢。交给硬盘后又执行存储在哪里的程序呢。其实,称为MBR的一段代码起着举足轻重的作用。MBR(masterboot record),即主引导记录,有时也称主引导扇区。位于整个硬盘的0 柱面0磁头1扇区(可以看作是硬盘的第一个扇区),BIOS在执行自己固有的程序以后就会jump到MBR中的第一条指令。将系统的控制权交由MBR来执行。在总共512byte的主引导记录中,MBR的引导程序占了其中的前446 个字节(偏移0H~偏移1BDH),随后的64 个字节(偏移1BEH~偏移1FDH)为DPT(DiskPartitionTable,硬盘分区表),最后的两个字节“55 AA”(偏移1FEH~偏移1FFH)是分区有效结束标志。
2、FAT32中各个组成的格式
其格式组织如下图:
2.1引导扇区(DBR)
DBR区(DOS BOOT RECORD)即操作系统引导记录区的意思,通常占用分区的第0扇区共512 个字节(特殊情况也要占用其它保留扇区,我们先说第0扇)。在这512 个字节中,其实又是由跳转指令,厂商标志和操作系统版本号,BPB(BIOS Parameter Block),扩展BPB,os引导程序,结束标志几部分组成。
2.2 文件分配表(FAT)
FAT 表(File Allocation Table 文件分配表),是Microsoft 在FAT 文件,系统中用于磁盘数据(文件)索引和定位引进的一种链式结构。假如把磁盘比作一本书,FAT 表可以认为相当于书中的目录,而文件就是各个章节的内容。但FAT 表的表示方法却与目录有很大的不同在FAT 文件系统中,文件的存储依照FAT 表制定的簇链式数据结构来进行。同时,FAT 文件系统将组织数据时使用的目录也抽象为文件,以简化对数据的管理。
2.3 文件目录表(FDT)
文件目录表是一个表示目录的特殊类型文件(现今通常称为文件夹)。它里面保存的每个文件或目录使用表中的32位条目表示。每个条目记录名字、扩展名、属性(档案、目录、隐藏、只读、系统和卷)、创建的日期和时间、文件/目录数据第一个簇的地址,最后是文件/目录的大小。除了FAT12和FAT16文件系统中的根目录表占据特殊的根目录区域位置之外,所有其它的目录表都存在数据区域。
3、FAT32的文件管理过程
当把一部分磁盘空间格式化为fat文件系统时,fat文件系统就将这个分区当成整块可分配的区域进行规划,以便于数据的存储。一般来讲,其划分形式如图2所示:
数据恢复实习报告 图 2
FAT 文件系统的目录结构其实是一颗有向的从根到叶的树,这里提到的有向是指对于FAT 分区内的任一文件(包括文件夹),均需从根目录寻址来找到。可以这样认为:目录存储结构的入口就是根目录。FAT 文件系统根据根目录来寻址其他文件(包括文件夹),故而根目录的位置必须在磁盘存取数据之前得以确定。FAT 文件系统就是根据分区的相关DBR参数与DBR 中存放的已经计算好的FAT 表(2 份)的大小来确定的。格式化以后,根目录的大小和位置其实都已经确定下来了:位置紧随FAT2之后,大小通常为32个扇区。根目录之后便是数据区第2 簇。
FAT文件系统支持文件按名存取,当需要访问文件时,FAT文件系统首先根据文件目录表(FDT)来获得此文件的首簇号,然后再根据文件分配表(FAT)中的簇链关系来寻址、定位整个文件,最后实现文件的正确存取。
六、实验过程及结果
本实验是在win7系统上以及文件系统为FAT32的计算机上进行。以下是实验过程:
1、利用winhex查看分区引导扇区(DBR)、文件分配表(FAT)、文件目录表(DFT).1.1打开winhex软件以及分区F如下图:
1.2查看F区详细技术报告:
1.3 查看F区引导扇区:
引导扇区详细内容:
1.4查看F区的文件分配表
1.4.1 文件分配表一(FAT1)
1.4.2文件分配表备份(FAT2)
1.5查看文件目录表(FDT)
1.6查看文件信息:
2、利用easyRecovery来恢复.事先在D盘创建了一个测试用的txt文件,删除后用easyRecovery进行恢复。
2.1启动easyrecovy 主界面:
磁盘诊断功能:
数据恢复功能:
文件修复:
邮件修复:
下面只做数据恢复功能实验。
2.2选择恢复的分区
选取数据恢复,选择分区:
2.3显示分区文件目录:
2.3设置过滤条件:
2.4选择:
2.5选择恢复目地目录:
2.6恢复报告:
2.7恢复结果:
十分成功的恢复了之前删除的文本文档,初步了解了easyrecovy的用法用途。
八、总结与感悟
本次实习主要是探讨FAT32文件系统的数据存储以及学会使用数据恢复软件进行磁盘的数据恢复,通过本次实习,我提高了自身的动手能力,大大加深了对FAT32文件系统的理解,掌握了FAT32文件的原理;并学会了使用数据恢复软件,提高了解决问题的能力。最后感谢老师对我们的指导!
第五篇:数据应急恢复工作制度
数据应急恢复工作制度
1、当确认计算机网络中心服务器出现故障时,由系统管理员按“数据备份恢复方案”进行系统恢复。
2、由信息科主任指定专人负责数据恢复,当人员变动时应有交接手续。
3、当网络线路不通时,网络维护人员应立即到场进行维护,当光纤损坏时立即使用备用光纤进行恢复,交换机出现故障时,应使用备用交换机。数据备份恢复后,应通知临床科室进行近期数据核对。
4、对每次的恢复细节应做好详细记录。
5、定期对全系统备份数据进行模拟恢复,以检查数据的可用性。
点击咨询 