要求数据恢复服务的人经常要求从“丢失”的分区中恢复数据。此类丢失的原因可能有很多差异:驱动器故障,磁盘空间分配尝试失败,病毒等。
今天,我们将尝试找出为什么在这种情况下看不到数据,以及如何使用PC-3000硬件-软件系统来恢复数据。本文将使刚开始数据恢复第一步的人们受益。
一点理论
让我们考虑驱动器上的典型数据组织,以弄清楚为什么我们无法通过操作系统工具访问数据。
磁盘空间分配的常见方案
要访问此处的文件,我们需要:
读取扇区0中的MBR,我们了解到某个分区从扇区2048开始并占用了N个扇区;
读取分区的扇区0并找到那里的Boot NTFS结构,以了解我们已经处理了NTFS文件系统,因此我们可以获得有关其元数据的一些信息;
使用引导NTFS信息查找文件系统的其他元数据,以显示用户的数据。
基本上,元数据可以分为3种类型:
元数据在磁盘空间上分配。在我们的示例中,它是MBR,但是这里也可以包括GPT,Apple Partition Scheme,LDM和LVM结构等。
文件系统入口点,它是获取有关文件系统类型的信息所必需的,并且通常包含一些重要参数。在我们的示例中,它是Boot NTFS,但是FAT和ExFAT的Boot,EXT,XFS,UFS和ReiserFS的Superblock也属于此类。
文件系统的其他元数据-所有结构,用于存储有关目录和文件的位置,名称以及属性的信息。这些是NTFS的MFT记录,FAT表和FAT12 / 16/32的目录,EXT的inode表等。
在元数据类型为1或2的情况下,操作系统可能会停止显示分区。换句话说,我们将看到分区丢失的问题。
练习掌握数据恢复技能
«您需要先在驱动器中格式化磁盘,然后才能使用它»
当您尝试打开损坏的启动FAT32分区时出现Windows消息
在大多数情况下,用户会看到此消息,而不是其存储在FAT文件系统中的闪存驱动器或外部HDD上的数据。这是我们损坏主FAT Boot所得到的。
说到分类,就是损坏文件系统入口点的情况。PC-3000系统知道引导副本的存储位置,因此,如果该副本没有损坏,Data Extractor内部的分区将打开,而无需执行任何其他操作。但是,这种情况并不那么有趣,因此让我们看一下两个FAT Boots都损坏的情况。结果,该分区将无法在Windows或数据提取器中打开。我们将尝试最简单的方法来获得结果-通过启动快速磁盘分析模式。
快速磁盘分析已找到FAT32文件系统
启动后立即添加了虚拟分区FAT32。在右侧,我们可以看到其中包含哪些数据。如果现在返回到Data Extractor文件浏览器,则那里已经有一个虚拟分区。我们现在可以保存数据。
无需赘述,我们可以说FAT Boot包含用于打开文件系统的非常重要的数据,但是FAT表和目录分析允许我们定义这些参数并构建人工FAT Boot。
我们发现的FAT32表使我们可以开始这样的分析。它也可以从原始恢复中启动,因为我们将在下一个示例中针对ExtX Superblock进行此操作。
快速磁盘分析是一种自动方法,用于查找“丢失的”文件系统。FAT32只是一种特殊情况,该模式旨在搜索所有受支持的文件系统。
此方法基于以下观察:
分区通常彼此相邻,并且几乎完全覆盖磁盘,即分区之间的“间隙”以及磁盘“边缘”的边距不超过数千个扇区;
磁盘组织(包括副本)上的元数据位于磁盘的开头或结尾;
文件系统及其副本的入口点通常位于分区的开头和结尾。
让我们考虑磁盘组织的另一个示例,以说明这些观察结果。
具有GPT,FAT32和HFS +分区的磁盘
有关分区信息的GPT结构位于磁盘的开头和结尾(MBR表示唯一的磁盘大小分区,通常在扇区0的GPT结构之前写入);
FAT32分区的开始位置靠近磁盘的开头,并且其Boot(文件系统的入口点)位于分区的第一个扇区中。
HFS +分区几乎紧跟在FAT32分区之后,并且其开头包含HFS +卷标头-HFS +文件系统的入口点;
HFS +分区在磁盘末尾附近结束,并且在分区的末尾有HFS +卷头的副本;
GPT副本位于磁盘的末尾
如果我们处理未知磁盘,则有必要扫描磁盘开头和结尾的空间。如果找到有关分区位置的信息或能够恢复整个分区,则可以在搜索中添加接近分区开头和结尾的范围,因为很有可能找到相邻的范围一。
进行此类扫描的目的是找到文件系统或结构的入口点,这将使我们能够恢复有关分区的信息(在本示例中为FAT32表)。
快速磁盘分析将扫描最“有趣”的范围,并在扫描过程中自动将其放大。如果找到合适的结构,则将启动添加虚拟分区的方法。然后,所有恢复的分区都会显示在模式框中,在其中可以立即看到文件系统树。
格式化后还有生命吗?
“快速”格式化后恢复数据的可能性和方法是值得单独撰写的主题。但是,在某些情况下,它可能非常简单。让我们考虑这样一种情况:从计算机中提取出一个装有Ubuntu(默认情况下会创建EXT分区)的驱动器,然后将其连接到另一个装有Windows并格式化为NTFS的驱动器。此后,驱动器即被恢复。
在这种情况下,我们也可以像以前一样运行快速磁盘分析。但是,让我们尝试另一种方法–启动Raw Recovery来检出驱动器。
Raw Recovery是一种专用模式,用于搜索用户的数据(图像,文档等)和文件系统的元数据。搜索基于通过正则表达式以及检查各种结构的内部算法进行的分析,即,它不依赖于逻辑磁盘组织(那里有什么文件系统以及是否有损坏)。换句话说,该模式执行。
RAW恢复结果
NTFS分区以LBA:2048开头。EXT分区可能也从这里开始,但是我们不确定。进一步,我们发现了其他一些与NTFS相关的结构。在扇区264 192中,我们可以看到EXT文件系统的Superblock副本之一。让我们陈述一些有关EXT文件系统的重要事实:
为文件系统分配的空间分为相等的组(也许除了最后一个组)。组的大小在超级块中指示。在此示例中,它等于262144个扇区。
主超级块位于组0中,并移位到1024个字节。
主超级块的副本被写入移位为0的其他一些组中。它们是组1和其他组,其数量是3、5和7的幂。因此,数组的开头如下:0( +1024字节),1、3、5、7、9、25,...
不同分区的超级块很容易被GUID识别并写入其中。
这样的组织为我们提供了两种选择:
如果主超级块已损坏,则很有可能找到其副本;
如果我们找到同一分区的几个超级块,并在序列中定义它们的位置,则可以定义分区开始的确切位置。
这些选项是添加虚拟分区方法的基础,该方法可从ExtX Superblock的上下文菜单中获得。
在ExtX Superblock上添加虚拟分区的运行方法
在我们的例子中,该方法很容易定义分区的开始位置,也就是扇区2048。如果返回文件浏览器,则会在此处看到一个新的虚拟分区,该分区可提供对数据的访问。在这种情况下,“虚拟性”是指数据提取器不是从磁盘结构中获取有关分区的开始,大小和类型及其入口点(超级块)的信息,而是将其存储在特定的数据库中。
数据提取浏览器中的Ext4虚拟分区
让我们总结一下上面的信息。
重新格式化后,包含新文件系统(NTFS)的结构将删除包含所需数据的EXT文件系统的入口点。原始恢复模式找到了EXT超级块。使用一种特定的方法,我们添加了虚拟分区并可以访问数据。
先前的方法(快速磁盘分析)也可以在此处应用。
没有MBR
Windows磁盘管理中具有已擦除MBR的驱动器
如果通常包含MBR的LBA = 0损坏(BAD扇区),则我们将在Windows磁盘管理中看到与上图类似的图片。现在,无法通过常规方式查看分区的数据。众所周知,我们可以使用快速磁盘分析和RAW恢复模式来解决问题。但是,让我们尝试另一种方式,即自动化程度最低的方式,以便更好地了解一切。
如果我们手动搜索分区,那么在大多数情况下,查找的第一位应该是它们的开始位置:LBA 63、2048、264192、409640或128、256、512等之二的幂。
在LBA-2048上引导NTFS
当打开扇区2048时,我们会看到典型的Boot NTFS签名-扇区开头的“ NTFS”行。让我们使用将扇区作为引导NTFS结构查看的选项(查看为…>引导NTFS),并查看相关字段是否有效。然后,我们从“服务”菜单中添加虚拟分区。
虚拟分区添加
之后,我们可以在Data Extractor文件浏览器中查看用户的数据。通过添加虚拟分区,我们跳过了从MBR或其他结构确定分区开始的步骤,因为我们清楚地设置了新分区的开始和类型。由于引导扇区和其他NTFS元数据是正确的,因此所有用户数据在数据提取器文件浏览器中都是可见的。
NTFS虚拟分区
1732
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
