前2天幫一個大連的朋友做了一個恢復,情況比較典型。
他的客戶的硬盤,80G,大概對半分的,2個ntfs分區,第2個分區突然變成了raw格式。大連的哥們拿到硬盤後,先是finaldata,不 行,easyrecovery,也不行。最後沒有辦法用的是easyrecovery的raw格式。做出了照片,但是都沒有目錄和名稱,並且錄像的視頻文 件只有幾個。
對於一般的分區變成raw格式的,軟件是基本上做不出來。很多人認為easyrecovery的raw格式是專門做這種情況的,這個認為是完全錯誤 的。其實,easy的raw格式是非常少用到的,基本上是在絕望的時候才用。原因有幾點,一是出來的數據根本沒有目錄和名稱,能接受這樣恢復結果的客戶很 少。二是很多特出格式無法用raw格式做,雖然可以定義格式但是太過複雜。
傳了個遠控程序和diskedit過去,遠程連接上,用diskedit看了一下他的分區情況,0扇沒有什麼問題,分的是2個主dos,所以沒有擴 展分區表。直接跳到第2個分區的信息表位置。發現上一扇是第1個分區的信息表備份。那這個扇區應該就是第2個分區的信息表了,不過全部變成了f6。直接跳 到最後一扇,運氣比較好,有一個信息表,把這個扇區直接覆蓋到f6那個扇區。在硬件設備中將硬盤卸載重新加載,數據沒有直接出現。說明,不光的信息表的問 題,後面還有問題。這個時候用easyrecovery掃就能看到第2個分區是ntfs的了,20分鐘後,目錄是出來了,照片也ok,但是還是沒有錄像。 很奇怪啊,懷疑是easyrecovery重組能力的問題。因為手動改了第2個分區的信息表,強製成了ntfs,所以又傳了一個getdataback過 去,能拿到ntfs的信息就好辦些,直接掃,20分鐘,列完目錄後發現多了個p的目錄,照片,錄像,全ok啦,一個不少。整個遠程恢復,1小時左右。
在數據恢復中有一點大家很容易誤解,就是很多人任務數據恢復是依靠軟件。我負責任的說軟件只能做5%左右的情況,由於情況的複雜性,很多情況都做不了。有這樣錯誤認識的人主要是不會手動寫分區表這些基礎,沒有人教,很難入門,所以也就只能折騰折騰軟件。
軟件有很多情況下,根本掃瞄不到任何東西,讓你無從下手。所以建議大家還是要從分區結構,分區表,信息表,規則,算法,聯繫等等方面入手學習。轉自http://gaoshuang78.blog.sohu.com/
發表文章
0 意見: