前几天老师留作业,让恢复虚拟硬盘的数据,给出的信息就是有两个FAT32分区和两个NTFS分区,至于是主分区还是扩展分区,那可没告诉我们。我晚上开始弄的,结果弄到晚上1点,愣是没一点思路,不知道该怎么恢复,躺在想着问题3点了都没睡着,不过也有些思路了,早上7点就开始弄,结果恢复了两个FAT32分区,后面的两个NTFS分区,怎么也不能恢复,我开始以为我计算错了,后来又算了一次,还是那样,没想出问题所在。下午,去班里面,利用老师没开始讲课的时间,又做了一次,竟然花了20多分就恢复了3个分区,感叹啊!不过后来老师也说了,即使用恢复软件扫,也只能扫到3个分区,,因为人家做手脚了,防的就是恢复软件,我当时听了老师的话,感觉老师也太…….  

好了,下面我就带大家一起分析一下老师的那块硬盘,有什么不妥之处,欢迎大家留言提出来,毕竟我也是新手。在分析之前,先了解一些必要的知识,http://yuelei.blog.51cto.com/202879/88553 这是我老师的博客,里面介绍分区表的内容,我不再写了,那里介绍的很详细了,而且有实例,容易理解。我用Winhex打开那块硬盘,如图

 

从上图,我也可以看到MBR主引导记录)被清空了,想必大家也知道了MBR内有什么内容了,有四个分区。那我们先来找第一个的FAT32的起始扇区,其实就是第一个分区从哪开始的,大家看我的图上的操作,打开FAT32的启动扇区,如图

 

 

我们看到起始扇区是63,那知道结束扇区的话,这个区容易恢复吧。是的,FAT32NTFS一样它都告诉我们结束扇区了,如图

 

         就是FAT32的结束扇区,它跟实际大小是一样的,这点和NTFS不同的,这个位置也是固定的,以后大家找就到这个位置。第一个FAT32分区的起始扇区是63 ,结束扇区数是8193087,那么这个分区扇区的大小8193149.是我们接着看第二个FAT32分区。还是打开它的启动扇区,如图这个

         上面显示的起始扇区是8193150,这么说来,这个区应该是个主分区了,不是扩展分区。结束扇区是10249470 ,分区大小是18442619.如图

      好了,第二个分区起始和结束的扇区,都知道了,也能恢复了。下面看第三个分区(NTFS区)跟上面的一样都是查看起始分区,如图

 

    大家注意到没,这次的起始扇区数和前几个有什么不同,这次它在第二个FAT32分区的大小扇区上加了一个1和一个63.     18442619+1+63=18442683   看到这,大家应该知道这个区是扩展分区了吧,不明白的再去看我老师博客。结束扇区是12289662,如图

 

    看到这,大家可能认为第四个分区,也是这样恢复的,如果是这样就好了,不过那样的话,也太简单的,老师是不会轻易让我们做出来的。我给大家打开启动扇区,让大家看看,如图

        是的没有结束扇区。不过看起始扇区数,我们知道这最后一个区也是扩展分区, 最后一个分区起始扇区知道了,结束扇区也有了,如图

 

应该可以恢复的,可是我算了一晚上,还是没恢复了,不过,就算出来了,也的填写DBR。老师提醒过,说是把DBR恢复了,就可以恢复第四个分区。要不,恢复分区也打不开文件的。大家以后算扇区一定要仔细点,本人在算的时候,弄错好多次,硬盘恢复分析也到这结束了。