品牌机一键还原数据秒杀如何还原数据？

硬盘爱好者 · 发表于 2012-4-13 22:47:36

   品牌机一键还原数据秒杀如何还原数据？品牌机之数据援救行动，现在的电脑,很多品牌机都做了一键还原,方便快捷.这项服务,一方面给用户带来了方便,另一方面也留下了数据丢失的隐患!

   遇到一网友,原来电脑有4个盘(CDEF),因为系统慢的原因,使用一键还原重装了系统,后来才发现F盘里的重要资料没有拷出来,那个悔恨啊^_^!上网查了N个网站,下载了号称比较好的数据恢复软件(好像叫"易我XXXX",弄了2天),恢复出来一个XLS文件,打不开,文件发给我看了一下,指定是打不开的了,文件260多K,全部都是0,这样的文件能修复?!

   电脑一键还原,为什么会把4个盘变成一个盘,我不知道这样的功能设计出于什么样的考虑,难道不动分区表就不能做系统了?

不过,如果你对硬盘分区表有一定的认识的话,这样的损失就不会存在了!

首先来说说形形色色的一键还原,其实很多都是一键Ghost,还有的就是一键COPY备份分区,这样的操作过程,往往都是在第一个盘写入数据,其它盘上的数据应该没有破坏,一键还原后,找回丢失的文件是完全可能的!

再来说说如何在一键还原后找回丢失的文件,特别是针对N个盘变成了一个盘的情况!

拿前面的例子来说,如果要找回F盘上的文件,该怎么入手呢,用数据恢复软件,不要报太大希望,还是自己动手吧!

恢复思路：因为一键还原只操作了硬盘的前面部分，装个系统，最多写入了2G数据吧，所有位于10G后面的位置应该没有被覆盖，理论上扩展分区表链还在，只是主分区表部分被清除了，因此，只有找到扩展分区表的起始位置，在主分区表上新增加一个扩展分区指向该位置，调整主分区表中的容量及起始位置等参数，原来的分区结构就恢复了！F盘都出现了，还怕资料不出现么！下面的操作需要你了解分区表的相关知识，不然后果很严重！

操作步骤：
由于是通过网络远程恢复的，截图很麻烦，因此，文中提到的图均为本机实验图片。

特别提醒，在动分区表前，一定把现在的数据备份到安全的地方，操作失败后可以再写回来！

一、用软件打开故障硬盘，定位到分区表位置（ox1be-ox1cd），如下图

从该图可以看出，硬盘只有一个主分区，原来的扩展分区没有了。

二，搜索原来扩展分区的开始扇区

因为分区的的DBR特征比较明显，从DBR所在扇区也能推出扩展分区的起始扇区，因此，我们就搜索第一个扩展分区的DBR，对于分区是NTFS的，扇区的0x03处的四个字节的ASC码为NTFS，对于分区是FAT32的，扇区的某个位置也有特征字符串“FAT32”，这些都是搜索判断的依据，如图：

什么情况下能确定找到的扇区就是分区的DBR呢？扇区的最后两个字节为55AA，0x15处为介质类型，应该为F800，你对DBR越了解，你就越能判断正确。

找到分区的DBR如图：

该扇区位于20482938扇区，经确定是分区的DBR，从偏移1C处的4个字节为隐含扇区数，上图中的值为3F000000，隐含63个扇区，往前跳63个扇区，20482875扇区如下图：

.....

典型的虚拟分区表EBR！

三、在主分区表中增加扩展分区

在0x1D6处，四个字节填写分区的起始扇区，就是刚才我们找到的EBR所在扇区，指向它，后面的链都是完整的不用管。

在0x1DA处，四个字节填写分区的容量，填写所有扩展分区的扇区数（通过分区表链计算）。

在0x1CE处，填写00

在0x1CF-0x1D1处，分别填写分区的起始磁头，起始扇区，起始柱面（20482875扇区所在的磁头，扇区，柱面）

在0x1D2处，填写0F，表示分区类型为扩展分区。

在0x1D3-0x1D5处，填写分区的结束磁头，扇区及柱面（分区的起始位置已知，容量已知，结果位置就是两者相加，再换算成磁头，扇区及柱面）

可能有点晕，幸好现在的系统不管磁头扇区和柱面的值了，只要起始扇区值和容量对了就行，所以，不会换算也没有多大关系。

四、调整第一个分区的容量

因为故障硬盘变成了一个分区，所有的容量都在第一个分区，我们手工增加了一个扩展分区，第一个分区的容量就要缩小，它的容量就是扩展分区的起始扇区减去它自己的起始扇区，参考一个正常的分区表如图：

0x1c6:00 00 00 3F

0x1ca: 01 38 8a fc

0x1d6:01 38 8b3b

3f+01 38 8a fc = 01 38 8b3b=十进制20482875

五、保存更改

保存以上修改，关闭硬盘，再打开硬盘，软件已能正常识别后面的几个分区，F盘文件正常，通过资源管理器能够正常读写文件，想拷什么都行！

由于C盘现在的容量比原来小很多，而格式化时是按照原来的容量操作的，文件系统可能会有问题，因此在操作过程中始终没有打开C盘。

至此，文件已成功找回，重写原来备份的分区表进行还原，系统恢复原状。

总结：解决此类问题，需要重建原来的分区表链，而原来的分区表链仅仅是第一个点丢失了，因此，可以搜索存在的第二个点的位置，手工在分区表中增加一个点，然后修改参数指向第二个点，这样分区表链就修复了，原来的盘也就出现了！

可能会存在的问题：搜索第二个点（EBR位置）需要判断是不是正确的，硬盘要过N次分区后，可能会存在多个搜索结果！如果这个点找不准确，新建的表链就得不到想要的结果！