一次恢復硬盤數據的經歷

odinhuang

昨天中午一个朋友拿着一个4G的硬碟来找我，说起动后看不到分区，但是里面有一个程式里面有关于公司的一些比较重要的资料，dbf格式的资料库，公司比较小，没有多少人懂电脑，也没有备份。我帮助他找到了大部分资料，还是有一份资料丢失了。现在我把这一次的体会写出来，给其他朋友增加一点经验，由于当时没有截图，我现在写的时候是凭着记忆写的，而且那块硬碟已经拿走，不可能重现当时的情况了，所以我就多说几句来弥补这一点，图都是事例性质的，不是当时修复的抓图。 ( P; T! Y5 d& B6 G       ) V  Y1 u8 ?4 N0 a      上午的时候他打电话问我如何恢复资料，我就和他简单说了几句，说用easy recovery 试一试，中午他拿着硬碟找上门来，要我帮他。他告诉我说用easy recovery 6只找到一些古怪的档案，如.mpg等等没有用处的东西。 * T& R7 R1 J3 p* d  y/ i2 V( [       首先我把他的硬碟接到我的机器上，然后我是这么做的：        1 大概瞭解硬碟的情况，询问硬碟损坏的原因。   h  V2 N& E0 C* Z1 {( Y         他告诉我说开启机器，发现无法启动，主板似乎没有自检，怀疑主板坏了，换了一块主板，发现只能在bios里面找到硬碟，而不能进入系统，接到别的机器上，也看不到分区。我说可能就是分区表丢了，若果仅仅是分区表丢了的话比较简单。 1 F1 \" A! G8 E, T      2粗略检视硬碟资料。执行winhex或是RunTimes的磁碟工具diskexplorer，（其他的可以进行磁碟编辑的软体也可以），如图winhex_edit.png，选中需要的物理硬碟，申明一点，贴图时候那块硬碟不在了，所以这里仅仅是作个例子说一说。然后拖曳卷动条，浏览一遍整个硬碟，可以看到一些有意义的字串，还可以见到大批的零资料，当然更多的是看不懂的内容。这个没有关系，至少目前说明硬碟没有什么明显的物理损坏，或是逻辑坏道。        3 自动寻找。用Easy recovery 6里面的工具试图自动找到分区，失败了。 ( V" w% j; g, z+ w6 G$ W& {6 F0 S2 e       4 试图重建分区表。检视第一个扇区也就是MBR的内容，发现一塌糊涂，分区表完全损坏。若果仅仅是分区表损坏，完全可以通过搜寻分区，然后根据分区的偏移重建分区表。 ' J5 A6 r& n, n0 h% J9 d      5瞭解分区情况，如硬碟分几个区，每个分区大概多大，分区格式是什么。继续询问，瞭解到机器大概是99年左右买的，装的是win98，不知道几个分区，不知道分区格式是fat16还是fat32，不知道那个关键程式装在那个分区，不知道那个关键程式的目录名字，头晕，一问三不知阿，不过至少知道是fat格式，不是ntfs格式，而且很可能是fat32的分区格式（纯属猜测）。根据经验，一般第一个分区从第64个扇区开始，这个扇区是分区的第一个扇区，对于fat来说，是引导扇区，里面存储着BPB资料。从起始扇区一直浏览到第64个扇区，前面的扇区资料都很混乱，不像是空白的样子，怀疑被病毒改写了，看这样的症状，猜测是类似CIH的病毒，损坏bios，导致主板不能启动，同时搞乱C盘的资料。一直到远远超过了64个扇区的时候，也没有看到看起来可能是fat的引导扇区的扇区。直接搜寻扇区尾部的55AA（引导扇区的标志资料），搜寻了一会，似乎没有找到引导扇区。       6寻找根目录。找不到引导扇区，无法定位分区的开始，从而无法定位fat档案分配表的位置。换个思路，根路径就在fat后面，挨着fat阿，所以决定搜寻根路径。看看我的win98的根目录，有MSDOS这个档案名字，于是搜寻MSDOS这个字串，很幸运，找到了，在大约第16700个扇区里面，然后倒退几个扇区，发现了fat表，fat表一般是排序很整齐的资料，你开启你自己的硬碟，看看fat的16进位表示，就知道这个很整齐大概是什么样子了。这样看来，第一个分区大概在硬碟的8M左右的位置开始的。找一个磁碟编辑工具，如RunTimes的磁碟工具diskexplorer，从根路径扇区的开始位置用根路径的模式检视，熟悉的档案名字出现了，说明这里确实是根路径所在的扇区。检视fat表，似乎前面部分的fat损坏了一部分，而后面的比较完好，同时还是没有找到引导扇区，看来引导扇区被破坏了。        7 再一次自动寻找。根据前面的讯息，已经可以推算出大部分的讯息了，但是手动劳工比较辛苦，还是试一试自动化的工具哦。 再一次执行Easy recovery 6，使用Data recovery 里面的AdvancedRecovery工具，如图advanced_recovery.png所示，当硬碟上没有分区讯息时候，红色箭头所指的Advanced Options按钮是可以选取设定的。第一次自动寻找的时候，就是使用了预设的设定，所以搜寻失败，根据前面的分析，设定搜寻范围从16000个扇区开始，分区类型选取fat32，fat的符合模式选取忽略fat表（预设时候是最佳符合），然后就可以看到Easy recovery 6不断的显示出寻找的档案。       8 汇出重要资料。 可以说Easy recovery6得恢复还是比较成功的，恢复出了相当多的目录结构，关键是我看到了lock2000目录，这就是我们要寻找的重要资料目录。其他没有关系的资料就不要了。存储lock2000目录后，开启dbf资料库，发现大部分资料库完全恢复，少部分在最后面出现了乱码，也就是最后面的资料不太对。         最后，总共历时1个小时。基本上，资料恢复是成功的，不能恢复的部分估计是因为fat表的损坏导致Easy recovery 6接错了档案的尾部。得到的教训是，充分利用自动化工具，但是，随着大硬碟的增多，自动化工具扫瞄一次非常费时间，当然4g的硬碟很小，也是比较慢的。所以要注意收集讯息，讯息收集越充分，提供给自动化工具的讯息越多，资料恢复的可能也越大。