數據恢復技術中很多是經驗,基礎的知識很重要,不過要融入到你的分析當中去。
今天一個朋友的硬盤數據丟了,原因是他覺得系統比較慢,就讓手下的技術的技術幫他重新做一下系統,結果拿回來一看,這技術幫他重新分區了,以前e盤的數據全沒拉。(當然,都重新分區了,數據還能有?)
分 析設備:80G筆記本硬盤,ide口的。以前的分區情況大概是4個區,c,d,e,f。數據都放在了e區。以前分區大小大概是10G,15G,30G,剩 下。重新分區後一樣是4個區,大小大概是15G,20G,20G,剩下。重新分區後c裝了個系統,d上面拷貝了有些工具軟件,8G左右,ntfs格式的。
分析思路:這種情況比較常見,情況一般,不是很嚴重(如果分區大小和以前一樣,就比較嚴重,恢復起來比較麻煩)。其實,這個情況可以看 成,就是在以前的4個分區表中,又插了3個分區表,主分區表覆蓋了而已。找到以前e區大概在25G左右的分區表,進行計算,然後寫到現在主分區表的第3個 位置行就可以了。不過也要看看那8G左右的工具軟件是否會給數據帶來影響,因為其存放的位置困難在15G到35G之間,而以前的e區是在25G-55G之 間。
恢復過程:用finaldata掃瞄整個硬盤,會出現7個信息表,找到25G的那個,看他的扇區位置。注意,這裡看的是信息表的 位置,也叫boot區,不是邏輯分區表。用diskedit找到25g左右的那個信息表,看一下是否正常。確定e的格式,把這個扇區位置和容量進行10進 制到16進制的換算。然後寫到0扇的第3信息行中。重新加載硬盤,就會看到多出一個30G的分區,裡面的數據直接拷貝就可以了。
恢復結果:數據完全恢復。
總 結:這種情況比較多,也類似於ghost的誤操作造成的數據丟失。這種方法是恢複數據最快的。(有些人會說,用finaldata或者 easyrecovery也可以恢復。但是,軟件只能恢復5%左右的情況,這種情況算很規律的情況了,複雜的就不行了。而且你要來回拷貝也需要很長時間。 寫分區表到恢複數據,我用了2分鐘不到。)
其他:案例之中有看不懂的術語,和不明白如何進行計算的,不用急,因為你還不會數據恢復的基礎,很大知識不知道。這是案例部分,會逐漸更新,其中涉及到的基礎知識,也會單獨的更新的。別著急,慢慢看。
轉自http://gaoshuang78.blog.sohu.com/
0 意見: