2021-05-12 11:00:58
兩招恢復誤GHOST的硬碟
兩招恢復誤GHOST的硬碟
步驟/方法
-
01
平時遇到的誤情況有兩種,一種是誤用了帶功能的XP安裝盤,這種安裝盤會重建分割區表,把你的硬碟分為四個區,然後把XP系統到C槽;第二種是利用備份還原系統,本應把備份還原到C分割區,但一不小心還原到整個硬碟上了。這兩種操作的實質是一樣的,都改寫了硬碟的分割區表,而且向硬碟覆蓋了一些資料。從資料恢復的角度來看,C分割區被覆蓋了資料,國內由於沒有深層恢復技術,基本被覆蓋的資料是回不來的,但C分割區之後的資料基本是可以完全恢復的。
舉個例子加以說明,一塊硬碟原來有三個分割區,分別是C,D,E,D槽和E槽有重要資料。原打算用在C槽裝上一個XP系統,但操作時不小心,把備份還原到了整個硬碟,這下子硬碟上只有一個C分割區了。如下圖所示意,這個硬碟共有16G,原先C槽8G,D和E各是4G,現在只有一個C槽,大小是16G。
從上圖可以看出,作了兩件事情,一是覆蓋了C槽的一部分空間,二是重寫了分割區表。除了被覆蓋了一部分資料,其餘的資料都毫髮無失真,我們只要能重建分割區表,原來的D槽和E槽的資料就可以重見天日了。要重建分割區表,關鍵是要知道第一個擴充套件分割區起始的位置,找到了這個位置,所有的問題就都解決了。平時我解決這個問題,一般用Winhex或Diskgen,現把兩種方法都寫出來供大家參考。 -
02
一 Winhex
Winhex是個五星級的磁區編輯工具,雖然只有2M大小,但功能及其強大,什麼分析分割區表,分析DBR,計算偏移,簇鏈追蹤都不在話下,是資料恢復工程師的保留武器。我們先請它出場,但使用Winhex要求對資料儲存原理有一定了解(今天俺就不詳細介紹原理了),要不然看了Winhex的介面就崩潰的也不在少數。
我們把要恢復的硬碟掛到另外一臺計算機上,如下圖所示,磁碟1就是要目標硬碟,現在它只有一個分割區,我們要把它的分割區恢復原狀。
啟動Winhex,在工具選單中選擇「磁碟編輯器」,如下圖所示,選擇開啟第二塊物理硬碟HD1(wmware搭的實驗環境)。
Winhex開啟了物理硬碟,如下圖所示就是0磁區的內容,0磁區內容分為三部分,載入程式,分割區表和55AA的結束標誌。圖中綠色部分就是分割區表,由於現在硬碟中只有一個分割區,因此分割區表中只有一項。
好,現在我們要重建正確的分割區表,分割區表中要有兩項,一項是對主分割區C的描述,另一項是對擴充套件分割區的描述。現在的關鍵是要找出擴充套件分割區的起點,由於原硬碟的C分割區大約是8000M,每個柱面的大小是255×63×512=8225280位元組=7.8M,因此原擴充套件分割區的起點大約是8000÷7.8=1025,也就是說擴充套件分割區的起點在1025柱面附近。考慮到誤差因素,我們放寬範圍,讓Winhex從950柱面開始搜尋擴充套件分割區的起始磁區。擴充套件分割區的起始磁區 -
03
有擴充套件分割區表,而且磁區以55AA結束,我們根據這個特徵可以指定搜尋條件,具體思路是每個磁區512個位元組,編號從0到511,我們讓Winhex檢索哪個磁區的510和511位元組是55和AA,這個磁區就有可能是我們要找的擴充套件分割區起始磁區。當然了,也有可能某個不相干的磁區也是以55AA結尾,那就要作進一步的篩選。一般情況下,擴充套件分割區的起始磁區總是位於某個柱面的0磁頭1磁區,這些條件我們都要加以利用。
好了,首先定位到950柱面0磁頭1磁區,我們準備從這裡開始搜尋,在Winhex的「位置」選單中選擇「轉到磁區」,如下圖所示,填入引數是950/0/1。再次宣告,950柱面只是一個憑經驗估算的結果。
在Winhex「搜尋」選單中,選擇「查詢16進位制數值」,如下圖所示。
如下圖所示,我們輸入了搜尋引數,搜尋的16進位制數值為55AA,搜尋方向是向下,這是告訴Winhex從950柱面向後搜尋。條件設為從偏移510開始,因為1個磁區有512位元組,編號從0位元組到511,55在510位置,AA在511位置。
搜尋開始了,一會就找到了一個符合條件的磁區,到底是不是我們要照的擴充套件分割區起始磁區呢?我們在Winhex的「檢視」選單中選擇顯示「詳細資料面板「,這樣就可以顯示出磁區的LBA和CHS引數,如下圖所示,這個磁區位於1019柱面254磁頭63磁區。顯然是一個NTFS分割區的結束磁區,很有可能就是原C槽的最後一個磁區。這個磁區不是我們需要的,繼續搜尋!
再向下找到的磁區就很象我們的目標了,如下圖所示,這個磁區中有一個分割區表,而且位置在1020柱面0磁頭1磁區,和我們估算的1025柱面相差無幾,憑經驗基本可以認定這就是我們要找的目標。
好了,假定我們找到的1020柱面0磁頭1磁區就是擴充套件分割區的起點,那我們就可以判斷原先的C分割區是從0柱面1磁頭1磁區開始,到1019柱面254磁頭63磁區結束。那擴充套件分割區結束在什麼地方呢?從分割區表中的第二項可以知道答案,分割區表的第二項描述了第二個擴充套件分割區的起點和終點,第二個擴充套件分割區的終點就是我們要找的擴充套件分割區的結束位置。從分割區表來看,第二個擴充套件分割區的起點距當前磁區有7D 04 7E個磁區,大小是88 C8 AE個磁區。經過計算,擴充套件分割區的終點是2087柱面254磁頭63磁區。說到這兒,要對一些朋友說聲抱歉了,這些計算涉及到分割區原理,如果以前沒有接觸過,確實不容易看懂。現在大家如果理解起來有問題,可以參考第二種方法。
經過計算,我們算出C分割區從 0/1/1-1019/254/63,擴充套件分割區從 1020/0/1-2087/254/63。有了這些引數,我們在硬碟0磁區的分割區表中寫出兩項分割區表,分別描述C分割區和擴充套件分割區就可以了。如下圖所示,兩項分割區表的引數分別是 80 01 01 00 07 FE FF FF 3F 00 00 00 BD 08 FA 00和00 00 C1 FF 0F FE FF FF FC 08 FA 00 2C CD 05 01。修改完分割區表後,儲存設定,重啟計算機。
重啟計算機後,我們發現磁碟1中已經有了三個分割區,如下圖所示,其中F和G就是原先硬碟中的D和E,現在這兩個分割區應該可以正常存取,資料應該被100%恢復。
開啟F槽看看,如下圖所示,資料都回來了,用同樣方法可以驗證第三個分割區的內容也被恢復了。現在硬碟中的第一個分割區肯定不能存取了,但我們只要用備份對第一個分割區執行一次恢復操作就可以了。至此,資料恢復成功完成!
以上這種方法適合瞭解分割區原理的使用者,如果您不瞭解分割區表的引數含義,不用擔心,您可以選擇下一種方法。 -
04
二 Diskgen
Diskgen是國內一款著名的分割區恢復軟體,它可以快速地進行分割區表的重建,備份,恢復等工作,是進行分割區恢復時的好幫手。尤其是它查詢分割區表時進行了優化,每個磁頭只檢查第一個磁區,因此查詢速度很快,不過它的這個特性有時也會遇到麻煩。Diskgen有DOS版本和Windows版本,用哪個都可以,我一般用的是深山紅葉光碟中帶的DOS版Diskgen,我感覺已經夠用了,記住,我們可以依靠工具但決不能依賴工具,工具不過是工程師思路的延伸而已。
把硬碟恢復到故障狀態,在計算機中放入深山紅葉的啟動光碟,如下圖所示,出現了深山紅葉的啟動介面,我們選擇第二項「萬用MS-DOS工具箱「。
進入DOS工具箱後,執行Diskgen,如下圖所示。
啟動Diskgen後,我們首先在「硬碟」選單中選擇第2硬碟,因為我們準備恢復的硬碟是計算機中的第二塊硬碟。如下圖所示,第二塊硬碟中只有一個分割區。我們準備重建分割區表,在「工具」選單中選擇「重建分割區表」。
Diskgen提醒要先對分割區表進行備份,我們選擇「繼續」。
接下來選擇工作方式,一定要選擇「互動方式」,這樣才能對恢復過程瞭然於胸。當然,如果實在不瞭解原理,用自動模式碰碰運氣也未嘗不可。
Diskgen首先找到了目前的第一個分割區,這個分割區結果是誤後形成的,不是我們所希望的,因此選擇「跳過」。 -
05
Diskgen繼續向下搜尋,速度很快,如果Diskgen找到了一些分割區,但都離1025柱面較遠,很有可能是以前分割區遺留下來的,我們通通選擇「跳過」。直到如下圖所示,Diskgen找到了1020柱面的擴充套件分割區,這是我們需要的,點選「保留」。這樣,Diskgen在重建分割區表時就會為這個擴充套件分割區自動建立一個分割區項。
擴充套件分割區之前的8G空間還沒有分割區,我們點選硬碟的前8G未分割區空間,在「分割區」選單中選擇「新建分割區」,如下圖所示。
Diskman詢問是否將擴充套件分割區之前的空間都劃給此分割區,點選「確定」。
Diskgen詢問是否將分割區型別設為FAT,由於我們用還原時分割區的檔案系統應該是NTFS,因此選擇「否」。t="99" border="0" />
如下圖所示,Diskgen要求手工輸入分割區型別,我們輸入NTFS的程式碼07。
如下圖所示,分割區重建完畢,新建了一個分割區,找回了原來的擴充套件分割區,存檔退出後重啟計算機。
如下圖所示,重啟計算機後分割區恢復了正常,第二個和第三個分割區的資料都被恢復了。 -
06
總結:誤形成的分割區錯誤還是比較好處理的,只要將分割區表正確重建,基本上C分割區之後的資料都可以100%恢復。如果大家熟悉分割區表引數,使用Winhex就可以完成任務,否則使用Diskgen輔助處理也是不錯的。千萬不要用Easyrecovery等工具掃描恢復,一是要花很長時間,另外掃描恢復的效果並不理想,至少不是100%恢復。恢復誤只涉及分割區,一般不涉及檔案系統,除非你C槽有資料被覆蓋了,那樣的話可以用Easyrecovery碰碰運氣。
- End
相關文章
-
7+2強化供電!599元梅捷SY-狂龍H510M圖賞
除了廣為人知的Z590和B560之外,英特爾還發布了入門級的H510晶片組,也是上一代H410晶片組的升級版。 在相容性方面,H510晶片組與Z590晶片組和B560晶片組沒有什麼區別,都可以相容1
2021-05-10 19:00:28
-
支援5333高頻記憶體!技嘉小雕PRO B560M主機板圖賞
Intel第十一代酷睿已經上市,新架構帶來了巨大的IPC提升幅度,同時,Intel還開放了B560/H570主機板的記憶體超頻功能,這使得主流玩家也可以輕鬆享受高頻記憶體帶來的流暢遊戲體驗。
2021-05-09 16:00:04
-
24K純金!微星MEG Z590 ACE GOLD EDITION戰神至臻圖賞
顯示卡、散熱器、風扇都能玩RGB,機箱中,主機板幾乎是最不起眼的存在。 而近日,微星推出了一款亮眼的主機板,首次用上了24K純金設計,它就是MEG Z590 ACE戰神至臻,一起來瞧瞧。 MEG
2021-05-07 22:00:14