品牌机一键还原数据秒杀 如何还原数据?
品牌机一键还原数据秒杀 如何还原数据?品牌机之数据援救行动,现在的电脑,很多品牌机都做了一键还原,方便快捷.这项服务,一方面给用户带来了方便,另一方面也留下了数据丢失的隐患!遇到一网友,原来电脑有4个盘(CDEF),因为系统慢的原因,使用一键还原重装了系统,后来才发现F盘里的重要资料没有拷出来,那个悔恨啊^_^!上网查了N个网站,下载了号称比较好的数据恢复软件(好像叫"易我XXXX",弄了2天),恢复出来一个XLS文件,打不开,文件发给我看了一下,指定是打不开的了,文件260多K,全部都是0,这样的文件能修复?!
电脑一键还原,为什么会把4个盘变成一个盘,我不知道这样的功能设计出于什么样的考虑,难道不动分区表就不能做系统了?
不过,如果你对硬盘分区表有一定的认识的话,这样的损失就不会存在了!
首先来说说形形色色的一键还原,其实很多都是一键Ghost,还有的就是一键COPY备份分区,这样的操作过程,往往都是在第一个盘写入数据,其它盘上的数据应该没有破坏,一键还原后,找回丢失的文件是完全可能的!
再来说说如何在一键还原后找回丢失的文件,特别是针对N个盘变成了一个盘的情况!
拿前面的例子来说,如果要找回F盘上的文件,该怎么入手呢,用数据恢复软件,不要报太大希望,还是自己动手吧!
恢复思路:因为一键还原只操作了硬盘的前面部分,装个系统,最多写入了2G数据吧,所有位于10G后面的位置应该没有被覆盖,理论上扩展分区表链还在,只是主分区表部分被清除了,因此,只有找到扩展分区表的起始位置,在主分区表上新增加一个扩展分区指向该位置,调整主分区表中的容量及起始位置等参数,原来的分区结构就恢复了!F盘都出现了,还怕资料不出现么!下面的操作需要你了解分区表的相关知识,不然后果很严重!
操作步骤:
由于是通过网络远程恢复的,截图很麻烦,因此,文中提到的图均为本机实验图片。
特别提醒,在动分区表前,一定把现在的数据备份到安全的地方,操作失败后可以再写回来!
一、用软件打开故障硬盘,定位到分区表位置(ox1be-ox1cd),如下图
从该图可以看出,硬盘只有一个主分区,原来的扩展分区没有了。
二,搜索原来扩展分区的开始扇区
因为分区的的DBR特征比较明显,从DBR所在扇区也能推出扩展分区的起始扇区,因此,我们就搜索第一个扩展分区的DBR,对于分区是NTFS的,扇区的0x03处的四个字节的ASC码为NTFS,对于分区是FAT32的,扇区的某个位置也有特征字符串“FAT32”,这些都是搜索判断的依据,如图:
什么情况下能确定找到的扇区就是分区的DBR呢?扇区的最后两个字节为55AA,0x15处为介质类型,应该为F800,你对DBR越了解,你就越能判断正确。
找到分区的DBR如图:
该扇区位于20482938扇区,经确定是分区的DBR,从偏移1C处的4个字节为隐含扇区数,上图中的值为3F000000,隐含63个扇区,往前跳63个扇区,20482875扇区如下图:
.....
典型的虚拟分区表EBR!
三、在主分区表中增加扩展分区
在0x1D6处,四个字节填写分区的起始扇区,就是刚才我们找到的EBR所在扇区,指向它,后面的链都是完整的不用管。
在0x1DA处,四个字节填写分区的容量,填写所有扩展分区的扇区数(通过分区表链计算)。
在0x1CE处,填写00
在0x1CF-0x1D1处,分别填写分区的起始磁头,起始扇区,起始柱面(20482875扇区所在的磁头,扇区,柱面)
在0x1D2处,填写0F,表示分区类型为扩展分区。
在0x1D3-0x1D5处,填写分区的结束磁头,扇区及柱面(分区的起始位置已知,容量已知,结果位置就是两者相加,再换算成磁头,扇区及柱面)
可能有点晕,幸好现在的系统不管磁头扇区和柱面的值了,只要起始扇区值和容量对了就行,所以,不会换算也没有多大关系。
四、调整第一个分区的容量
因为故障硬盘变成了一个分区,所有的容量都在第一个分区,我们手工增加了一个扩展分区,第一个分区的容量就要缩小,它的容量就是扩展分区的起始扇区减去它自己的起始扇区,参考一个正常的分区表如图:
0x1c6:00 00 00 3F
0x1ca: 01 38 8a fc
0x1d6:01 38 8b3b
3f+01 38 8a fc = 01 38 8b3b=十进制20482875
五、保存更改
保存以上修改,关闭硬盘,再打开硬盘,软件已能正常识别后面的几个分区,F盘文件正常,通过资源管理器能够正常读写文件,想拷什么都行!
由于C盘现在的容量比原来小很多,而格式化时是按照原来的容量操作的,文件系统可能会有问题,因此在操作过程中始终没有打开C盘。
至此,文件已成功找回,重写原来备份的分区表进行还原,系统恢复原状。
总结:解决此类问题,需要重建原来的分区表链,而原来的分区表链仅仅是第一个点丢失了,因此,可以搜索存在的第二个点的位置,手工在分区表中增加一个点,然后修改参数指向第二个点,这样分区表链就修复了,原来的盘也就出现了!
可能会存在的问题:搜索第二个点(EBR位置)需要判断是不是正确的,硬盘要过N次分区后,可能会存在多个搜索结果!如果这个点找不准确,新建的表链就得不到想要的结果! 这个资料好像不适合我耶
1:用软件打开 什么软件啊
2:定位到分区表位置(ox1be-ox1cd)我在下面图中没有找到 1be-1cd...为什么从上面那个图片就可以看出来只有一个分区了 ?
后面的 我看不懂了 就没看了.. 分区恢复很熟路啊 虽然好多软件现在都能实现自动扫描分区,但是有些情况手工的精准度还是要高点
页:
[1]