|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
昨天中午一个朋友拿着一个4G的硬碟来找我,说起动后看不到分区,但是里面有一个程式里面有关于公司的一些比较重要的资料,dbf格式的资料库,公司比较小,没有多少人懂电脑,也没有备份。我帮助他找到了大部分资料,还是有一份资料丢失了。现在我把这一次的体会写出来,给其他朋友增加一点经验,由于当时没有截图,我现在写的时候是凭着记忆写的,而且那块硬碟已经拿走,不可能重现当时的情况了,所以我就多说几句来弥补这一点,图都是事例性质的,不是当时修复的抓图。: s f: j4 Z/ n- q) O, i
r/ v# N4 G) U0 q( N6 I+ T% b+ n 上午的时候他打电话问我如何恢复资料,我就和他简单说了几句,说用easy recovery 试一试,中午他拿着硬碟找上门来,要我帮他。他告诉我说用easy recovery 6只找到一些古怪的档案,如.mpg等等没有用处的东西。
, N3 R! ~/ c5 i+ E' c$ W7 J4 H+ ^: [ 首先我把他的硬碟接到我的机器上,然后我是这么做的:
" z% \ L4 H# e* R 1 大概瞭解硬碟的情况,询问硬碟损坏的原因。5 ?' k$ z% E% n3 H5 p
他告诉我说开启机器,发现无法启动,主板似乎没有自检,怀疑主板坏了,换了一块主板,发现只能在bios里面找到硬碟,而不能进入系统,接到别的机器上,也看不到分区。我说可能就是分区表丢了,若果仅仅是分区表丢了的话比较简单。( w- K3 w( \: \1 R; J: {
2粗略检视硬碟资料。执行winhex或是RunTimes的磁碟工具diskexplorer,(其他的可以进行磁碟编辑的软体也可以),如图winhex_edit.png,选中需要的物理硬碟,申明一点,贴图时候那块硬碟不在了,所以这里仅仅是作个例子说一说。然后拖曳卷动条,浏览一遍整个硬碟,可以看到一些有意义的字串,还可以见到大批的零资料,当然更多的是看不懂的内容。这个没有关系,至少目前说明硬碟没有什么明显的物理损坏,或是逻辑坏道。
# P- r5 }) G6 w, C9 B 3 自动寻找。用Easy recovery 6里面的工具试图自动找到分区,失败了。/ t& A3 W# v2 S1 h- Q( p- `$ m
4 试图重建分区表。检视第一个扇区也就是MBR的内容,发现一塌糊涂,分区表完全损坏。若果仅仅是分区表损坏,完全可以通过搜寻分区,然后根据分区的偏移重建分区表。
% u% G! J, }' d- v4 I% g 5瞭解分区情况,如硬碟分几个区,每个分区大概多大,分区格式是什么。继续询问,瞭解到机器大概是99年左右买的,装的是win98,不知道几个分区,不知道分区格式是fat16还是fat32,不知道那个关键程式装在那个分区,不知道那个关键程式的目录名字,头晕,一问三不知阿,不过至少知道是fat格式,不是ntfs格式,而且很可能是fat32的分区格式(纯属猜测)。根据经验,一般第一个分区从第64个扇区开始,这个扇区是分区的第一个扇区,对于fat来说,是引导扇区,里面存储着BPB资料。从起始扇区一直浏览到第64个扇区,前面的扇区资料都很混乱,不像是空白的样子,怀疑被病毒改写了,看这样的症状,猜测是类似CIH的病毒,损坏bios,导致主板不能启动,同时搞乱C盘的资料。一直到远远超过了64个扇区的时候,也没有看到看起来可能是fat的引导扇区的扇区。直接搜寻扇区尾部的55AA(引导扇区的标志资料),搜寻了一会,似乎没有找到引导扇区。
- J% }+ A4 n ]9 s 6寻找根目录。找不到引导扇区,无法定位分区的开始,从而无法定位fat档案分配表的位置。换个思路,根路径就在fat后面,挨着fat阿,所以决定搜寻根路径。看看我的win98的根目录,有MSDOS这个档案名字,于是搜寻MSDOS这个字串,很幸运,找到了,在大约第16700个扇区里面,然后倒退几个扇区,发现了fat表,fat表一般是排序很整齐的资料,你开启你自己的硬碟,看看fat的16进位表示,就知道这个很整齐大概是什么样子了。这样看来,第一个分区大概在硬碟的8M左右的位置开始的。找一个磁碟编辑工具,如RunTimes的磁碟工具diskexplorer,从根路径扇区的开始位置用根路径的模式检视,熟悉的档案名字出现了,说明这里确实是根路径所在的扇区。检视fat表,似乎前面部分的fat损坏了一部分,而后面的比较完好,同时还是没有找到引导扇区,看来引导扇区被破坏了。
( r2 z9 Y/ `3 u, t) K) K3 X 7 再一次自动寻找。根据前面的讯息,已经可以推算出大部分的讯息了,但是手动劳工比较辛苦,还是试一试自动化的工具哦。- B. T1 o2 h' T0 ]3 A
再一次执行Easy recovery 6,使用Data recovery 里面的AdvancedRecovery工具,如图advanced_recovery.png所示,当硬碟上没有分区讯息时候,红色箭头所指的Advanced Options按钮是可以选取设定的。第一次自动寻找的时候,就是使用了预设的设定,所以搜寻失败,根据前面的分析,设定搜寻范围从16000个扇区开始,分区类型选取fat32,fat的符合模式选取忽略fat表(预设时候是最佳符合),然后就可以看到Easy recovery 6不断的显示出寻找的档案。7 G; c7 _% F* a& q
8 汇出重要资料。 可以说Easy recovery6得恢复还是比较成功的,恢复出了相当多的目录结构,关键是我看到了lock2000目录,这就是我们要寻找的重要资料目录。其他没有关系的资料就不要了。存储lock2000目录后,开启dbf资料库,发现大部分资料库完全恢复,少部分在最后面出现了乱码,也就是最后面的资料不太对。% ]) ^& Y3 V$ o, Z8 b/ V6 P5 F
6 c: B( Z# M( W" l: m 最后,总共历时1个小时。基本上,资料恢复是成功的,不能恢复的部分估计是因为fat表的损坏导致Easy recovery 6接错了档案的尾部。得到的教训是,充分利用自动化工具,但是,随着大硬碟的增多,自动化工具扫瞄一次非常费时间,当然4g的硬碟很小,也是比较慢的。所以要注意收集讯息,讯息收集越充分,提供给自动化工具的讯息越多,资料恢复的可能也越大。2 L7 T5 V9 h/ ^# @% T) R& T; a
|
|
|
发表于 2007-2-18 02:36:58