在数据恢复服务的过程中经常要求从“丢失”的分区中恢复数据。 丢失的原因可能有很多:驱动器故障,磁盘空间分配尝试失败,病毒等。
今天,我们将尝试找出为什么在这种情况下看不到数据,以及如何使用PC-3000硬件-软件系统来恢复数据。 本文将使刚开始数据恢复第一步的您受益。
一点理论
让我们考虑驱动器上的典型数据组织,以弄清楚为什么我们无法通过操作系统工具访问数据。
磁盘空间分配的常见方案
要访问此处的文件,我们需要:
- 读取扇区0中的MBR,我们得知某个分区从扇区2048开始并占用N个扇区;
- 读取分区的扇区0并在其中找到Boot NTFS结构,以了解我们已处理NTFS文件系统,因此我们可以获得有关其元数据的一些信息;
- 使用Boot NTFS信息查找文件系统的其他元数据,以显示用户的数据。
基本上,元数据可以分为3种类型:
- 元数据在磁盘空间上分配。在我们的示例中,它是MBR,但此处也可以包含GPT,Apple分区方案,LDM和LVM结构等。
- 文件系统入口点,它是获取有关文件系统类型的信息所必需的,并且通常包含一些重要参数。在我们的示例中,它是Boot NTFS,但是FAT和ExFAT的Boot,EXT,XFS,UFS和ReiserFS的Superblock也属于此类。
- 文件系统的其他元数据-所有结构,用于存储有关目录和文件的位置,名称以及属性的信息。这些是NTFS的MFT记录,FAT表和FAT12 / 16/32的目录,EXT的inode表等。
在元数据类型为1或2的情况下,操作系统可能会停止显示分区。换句话说,我们将看到分区丢失的问题。
练习掌握您的数据恢复技能
«您需要先在驱动器中格式化磁盘,然后才能使用它»
当您尝试打开损坏的启动FAT32分区时出现Windows消息
在大多数情况下,用户会看到此消息,而不是其存储在FAT文件系统中的闪存驱动器或外部HDD上的数据。 这是我们损坏主FAT Boot所得到的。
说到分类,就是损坏文件系统入口点的情况。 PC-3000系统知道引导副本的存储位置,因此,如果该副本没有损坏,则数据提取器中的分区将打开,而无需执行任何其他操作。 但是,这种情况并不是那么有趣,因此让我们看一下两个FAT Boots都损坏的情况。 结果,该分区将无法在Windows或数据提取器中打开。 我们将尝试最简单的方法来获得结果-通过启动快速磁盘分析模式。
快速磁盘分析已找到FAT32文件系统
启动后立即添加了虚拟分区FAT32。 在右侧,我们可以看到其中包含的数据。 如果现在返回到Data Extractor文件浏览器,则那里已经有一个虚拟分区。 我们现在可以保存数据。
无需赘述,可以说FAT Boot包含用于打开文件系统的重要数据,但是FAT表和目录分析允许我们定义这些参数并构建人工FAT Boot。
我们发现的FAT32表使我们可以开始这样的分析。 也可以从原始恢复中启动它,因为在下一个示例中,我们将为ExtX Superblock进行此操作。
快速磁盘分析是一种自动方法,用于查找“丢失”的文件系统。 FAT32只是一种特殊情况,该模式旨在搜索所有受支持的文件系统。 |
此方法基于以下观察:
- 分区通常彼此相邻放置,并且几乎完全覆盖磁盘,即分区之间的“间隙”以及磁盘“边缘”的边距不超过数千个扇区;
- 磁盘组织上的元数据(包括副本)位于磁盘的开头或结尾;
- 文件系统及其副本的入口点通常位于分区的开头和结尾。
让我们考虑另一个磁盘组织示例,以说明这些观察结果。
- 有关分区信息的GPT结构位于磁盘的开头和结尾(MBR表示唯一的磁盘大小的分区,通常在扇区0的GPT结构之前写入);
- FAT32分区的开始位置靠近磁盘的开头,并且其Boot(文件系统的入口)位于分区的第一个扇区中。
- HFS +分区几乎紧跟在FAT32分区之后,并且其开头包含HFS +卷标头-HFS +文件系统的入口点;
- HFS +分区在磁盘末尾附近结束,并且在分区的末尾有HFS +卷头的副本;
GPT副本位于磁盘的末尾
如果我们处理未知磁盘,则有必要在磁盘的开头和结尾处扫描空间。如果找到有关分区位置的信息或能够恢复整个分区,则可以在搜索中添加接近分区开头和结尾的范围,因为很有可能找到相邻的范围一。
进行此类扫描的目的是找到文件系统或结构的入口点,这将使我们能够恢复有关分区的信息(在本示例中为FAT32表)。
快速磁盘分析将扫描最“有趣”的范围,并在扫描过程中自动将其放大。如果找到合适的结构,则将启动添加虚拟分区的方法。然后,所有恢复的分区都会显示在模式框中,在其中可以立即看到文件系统树。
格式化后还能恢复吗?
“快速”格式化后恢复数据的可能性和方法是值得单独撰写的主题。但是,在某些情况下,它可能非常简单。让我们考虑这样一种情况:从计算机中提取安装了Ubuntu(默认情况下会创建EXT分区)的驱动器,然后将其连接到另一个装有Windows并格式化为NTFS的驱动器。此后,驱动器即被恢复。
在这种情况下,我们也可以像以前一样运行快速磁盘分析。但是,让我们尝试另一种方法–启动Raw Recovery来检出驱动器。
Raw Recovery是一种特殊模式,用于搜索用户的数据(图像,文档等)和文件系统的元数据。 搜索基于通过正则表达式以及检查各种结构的内部算法进行的分析,即,它不依赖于逻辑磁盘组织(那里有什么文件系统,是否有损坏)。 换句话说,该模式执行文件雕刻。 |
RAW恢复结果
NTFS分区以LBA:2048开头。EXT分区可能也从此处开始,但是我们不确定。进一步,我们发现了其他一些与NTFS相关的结构。在扇区264 192中,我们可以看到EXT文件系统的Superblock副本之一。让我们陈述一些有关EXT文件系统的重要事实:
- 为文件系统分配的空间分为相等的组(也许除了最后一个组)。组的大小在超级块中指示。在此示例中,它等于262144个扇区。
- 主超级块位于组0中,并移至1024字节。
- 主超级块的副本被写入其他一些移位为0的组中。这些是第1组和其他组,其数量是3、5和7的幂。因此,数组的开头如下:0( +1024字节),1、3、5、7、9、25,...
- 不同分区的超级块很容易被GUID识别,并写入其中。
这样的组织为我们提供了两种选择:
如果主超级块已损坏,则很有可能找到其副本;
如果我们找到相同分区的几个超级块并在序列中定义它们的位置,则可以定义分区开始位置的确切位置。
这些选项是添加虚拟分区方法的基础,该方法可从ExtX Superblock的上下文菜单中获得。
在ExtX Superblock上添加虚拟分区的运行方法
在我们的例子中,该方法很容易定义分区的开头-也是扇区2048。 如果返回文件浏览器,则会在此处看到一个新的虚拟分区,该分区可提供对数据的访问。 在这种情况下,“虚拟性”是指Data Extractor并非从磁盘结构中获取有关分区的开始,大小和类型及其入口点(超级块)的信息,而是将其存储在特定的数据库中 。
数据提取浏览器中的Ext4虚拟分区
让我们总结一下以上信息。
重新格式化后,包含新文件系统(NTFS)的结构将删除包含所需数据的EXT文件系统的入口点。 原始恢复模式找到了EXT超级块。 使用一种特定的方法,我们添加了虚拟分区并可以访问数据。
先前的方法(快速磁盘分析)也可以在此处应用。
没有MBR
Windows磁盘管理中具有已擦除MBR的驱动器
如果通常包含MBR的LBA = 0被损坏(BAD扇区),我们将在Windows磁盘管理中看到与上图类似的图片。 现在,无法通过常规方式查看分区的数据。 众所周知,我们可以使用快速磁盘分析和RAW恢复模式来解决问题。 但是,让我们尝试另一种方式,即自动化程度最低的方式,以更好地了解一切工作原理。
如果我们手动搜索分区,则在大多数情况下,查找的第一位应该是它们的开始位置:LBA 63、2048、264192、409640或128、256、512等等。
在LBA-2048上引导NTFS
当打开扇区2048时,我们会看到典型的Boot NTFS签名-扇区开头的“ NTFS”行。 让我们使用将扇区作为引导NTFS结构查看的选项(查看为…>引导NTFS),并查看相关字段是否有效。 然后,我们从“服务”菜单中添加虚拟分区。
虚拟分区添加
之后,我们可以在数据提取器文件浏览器中查看用户的数据。 通过添加虚拟分区,我们跳过了从MBR或其他结构确定分区开始的步骤,因为我们清楚地设置了新分区的开始和类型。 由于引导扇区和其他NTFS元数据是正确的,因此所有用户数据在数据提取器文件浏览器中都是可见的。
NTFS虚拟分区
我们从这篇文章中学到了什么?
由于逻辑损坏(错误的驱动器格式化,病毒,软件错误等)或物理驱动器问题(BAD扇区,刮擦,磁头脆弱等),您可能会遇到“分区丢失”的问题。它经常在损坏的驱动器上出现问题。带有数据提取器的PC-3000系统是唯一以最谨慎的方式处理损坏的驱动器的解决方案。
分区丢失的两个最常见原因:
- 有关分区位置的信息已损坏(例如,无法读取MBR)
- 文件系统入口点已损坏(例如,启动或超级块已删除)
带有数据提取器的PC-3000系统有几种解决方案。在本文中,我们讨论了如何:
- 使用快速磁盘分析来自动查找丢失的分区
- 从RAW恢复模式添加虚拟分区
- 从十六进制编辑器添加虚拟分区
这些解决方案已反复证明其在现实生活中的有效性。
如果您对此主题还有其他疑问,如果您正在寻找专业的数据恢复解决方案,请随时与我们联系技术支持团队。
评论