案例分享（高爽）-重分区后的数据恢复

gaoshuang78 · 发表于 2010-2-9 21:22:08

论坛兄弟的提问：我的硬盘中毒过后被全部删了，重新分区，重新做的系统，我现在想要恢复的是后面的分区的那部份，里面的RAR文件、图片、音乐、电影、文本文档、word文档等，有几个这类文件比较重要呀，所以请大家帮帮忙呀，我用DataExplore数据恢复大师V2.53破解版全能看到，能恢复回来，文件大小一样的，但就是打不开呀，大哥些，能给我说下咋解决吗？谢咯了

问题分析清楚了，做个案例，大家共享。

问题重新描述：楼主320g的盘，4个区，中病毒后f盘没有了（在pe中看的），cde正常，f的变成未分配空间。因为系统进不去了，所以楼主用pe重新分了4个区，装了系统，d盘装了几个恢复软件，扫描出来的文件存到移动硬盘上了。开始4个区可能是40 60 80 110，现在的是30，60，80，120。楼主要以前e和f的数据。

情况分析：因为楼主分区和重做系统对ef的数据都不会有影响，扫出来的又直接存到移动硬盘上了，所以ef不会有覆盖，应该100%恢复，当然，如果要确定f还要看当时病毒怎么破坏的。同时楼主2次的分区大小不一样，所以ebr应该错开了，这降低了恢复的难度，恢复应该不成问题。（楼主说扫出来的文件和rar打不开，完全是恢复的方法就不对）

恢复操作：
  1、给楼主一个TeamViewerQS，传了一个winhex给他。用TeamViewer远程过去。
  2、用winhex开他的盘，分析。0，63都正常（肯定的），1到62没有留下残存的信息。
  3、到磁盘尾，没有最后一个区的dbr备份，从后往前55aa搜索，1秒钟命中dbr备份。
  4、命中后看dbr的第3行9到12字节，直接4位解释看出分区大小，110g和120g还是差不少的
  5、发现大概是110g大小，初步确定就是以前要找的f的dbr备份，直接用现在位置减大小后跳到dbr
6、看一下ebr是不是正常，然后直接虚拟起分区，磁盘工具中的作为分区起始位置（这个方法快，但很少有人知道怎么用，作为分区快速判断非常有效，我的其他文章中也有提到怎么用）
  7、虚拟分区后，winhex中就多了一个区，打开，楼主确定是以前f的数据。
  8、f找到了，e就更容易了。分区确认完整后，直接在mbr中写2行就ok啦。
  9、整个恢复过程应该控制在3分钟之内。

其他：因为楼主想free，考虑到其他兄弟的生意，我只给楼主分析清楚和做了看了数据，没有实际写。不过，楼主还是很诚恳，也很好学的。留个信息吧，f的dbr在396007424，其他的兄弟可以省点事。楼主想学也可以从这个位置入手，能不能写出来就要看你的水平和造化了。

原帖链接：http://bbs.intohard.com/thread-69625-1-1.html