因為最近很多網友在問如何學數據恢復,從哪裡學起等等問題?所以準備先寫一些入門的知識,包括尋址的介紹,如何讀懂mbr,還會寫一些現在對數據恢復認識的誤區。請大家等等吧。
網友的留言:(不過不知道他從哪找到我手機號的,奇怪)
大俠求救!
我的硬盤之前是分區表錯誤,導致,C盤D盤可以用,兩個盤都是分5G,E盤F盤,E大概是30G吧,F盤就是剩下的。用 GHOST恢復系統後,發現E盤有盤符在,但是打開說要格式化,F盤是自由空間,沒有分區。之後我就重建分區表,結果只剩下一個C盤,其他盤都變為自由空 間,之後我就重新按之前大概大小分區,D盤5G,E盤30G,F盤剩下的。我的硬盤是80G的。然後還格式化了。數據都沒了,不知怎麼找回,請大哥幫幫 忙,教教我怎麼恢複數據,我現在不敢往盤裡寫數據。急求大哥幫忙,萬分感謝!
加上他qq後,問了具體情況,基本上和他說的差不多。遠程連接過去,用diskedit看他的前63扇,看看有沒有殘留的信息,發現10、11、 23、61扇都有分區表,但是算完了,再到指定的扇,發現都沒有什麼用。61扇如果是就好了,因為wyx病毒會在這裡做一個分區表的備份。可是算完了,還 是不對。這說明他做的幾次操作影響的比較大。然後再用finaldata掃瞄物理硬盤,只找到他最後分的4個區,這個信息沒有用。再用diskedit把 0扇的55aa破壞,排除最後分區的干擾。再用finaldata掃瞄,還是4個區。這說明他後分區非常接近。
再用gatdataback進行逐扇區的掃瞄分區表殘留信息,其實finaldata也可以做,但是我覺得比較慢。從gatdataback返回的 多個信息中,一個一個排除錯誤的信息,最後確定20986623和83916063是對的。用diskedit跳到扇區一看,的確是dbr的信息,再用 finaldata定位,確定是以前e和f的數據。這就ok啦。
開始手動16進制寫0扇的第3和第4行,並且直接指向相應分區的dbr。第3行前12個字節寫成:00 00 00 00 07 fe ff ff ff 3a 40 01,後四個字節從20986623dbr的位置複製就行了。第4行前12個字節寫成:00 00 00 00 07 fe ff ff 1f 75 00 05,後四個字節從83916063dbr的位置複製就行了。其實如果e的邏輯分區表還在的話,可以直接寫一行,按照擴展分區的寫法,指向e的分區表,讓 他自動鏈出f來也可以。
最後,備份0扇的第2行現有的擴展信息到1扇,並且把0扇第2行刪除,以免影響手動寫的分區表信息。
在系統設備裡面刪除硬盤再加載,數據全部恢復。
轉自http://gaoshuang78.blog.sohu.com/
發表文章
0 意見: