[转载] 手工恢复引导扇区被覆盖的过程

[复制链接]
  • TA的每日心情
    难过
    2013-2-15 09:50
  • 签到天数: 1 天

    [LV.1]布衣百姓

    4

    主题

    51

    回帖

    1031

    积分

    [INTOHARD]营长

    Rank: 6Rank: 6

    积分
    1031
    QQ
    发表于 2009-11-29 11:43:53 | 显示全部楼层 |阅读模式
    原硬盘C,D,E,F四个分区,被GHOST覆盖成一个分区,并且D盘的引导记录被覆盖,用数据恢复软件未查到D盘的数据,

    讲一下手工恢复的过程:
    1,定位D盘的跟目录地址。
    因为原始分区C盘大约为1G多,所以先移动到1G的偏移位置,开始查找2E2020202020,可使用公式除512余零来查找。这个是文件夹开始的目录项,很快查到一个目录项记录,察看它所在的族号为5F7A。去除本身的族和第一个族就是根目录到这个文件夹目录的族的数量,再根据每个族为8个扇区计算根目录到这个文件夹的偏移量:
    ( 5F7AH - 2H )* 8H * 200H = 5F78000H
    从文件夹目录的地址作为起始地址,向上跳,偏移为5F78000就是根目录的地址:569C1E00,上下翻看发现FAT表和跟目录几经被覆盖。
    按照上面的方法多试验几个文件夹如果都定位跟目录为569C1E00就说明族的扇区数为8。

    2,定位扩展分区表的位置:
    首先查找E区的分区表起始地址,查找方法请参考手工恢复主分区表的过程一文。查到地址为FA867E00。
    通过E盘的起始地址和跟目录的地址可计算出D盘的所有族的数量:
    ( FA867E00H - 569C1E00H )/ 8H / 200H = A3E80H

    计算FAT表的容量,因为每个扇区可以纪录80H个族纪录由此可计算FAT表的容量。
    A3E80H / 80H =147D

    根据常规数据:隐藏扇区数3FH,保留扇区数20H,两个FAT表,计算D盘到跟目录的偏移地址:
    ( 147D * 2 + 3F + 20 )* 200H = 52B200H

    在跟目录的偏移地址569C1E00向上跳偏移为52B200就是D盘分区的分区表的最大偏移地址,察看3D参数为176.2.7,因为原分区的保留扇区和FAT表的个数可能不同,所以定位扩展分区表的起始地址的3D数为176.0.1。偏移为56496000。

    3,修改分区表:
    修改主分区表和扩展分区表:(详细请参考手工恢复主分区表的过程一文)

    主分区表:
    80 01 01 00 0B FE 3F AF 3F 00 00 00 71 24 2B 00
    00 00 01 B0 05 FE FF 13 B0 24 2B 00 64 05 96 00

    扩展分区表:
    00 01 01 BO 0B FE 7F FE 3F 00 00 00 50 1E 52 00
    00 00 41 FF 05 FE FF 13 8F 1E 52 00 D5 E6 43 00

    重新启动电脑发现C,D,E,F分区已经可以识别了,但D区打开出现错误提示。
    4,手工恢复D盘启动扇区:
    将E盘的启动扇区,拷贝到176.1.1的扇区位置更改如下数据:

    每族的扇区数0XD:08
    保留扇区数0X0E - 0X0F:20 00
    总扇区数0X20 - 0X23:50 1E 52 00 ;( FA867E00H - 56496000H - 7E00H )/ 200H = 521E50H   
    每个FAT扇区数0X24 - 0X27:80 14 00 00( 569C1E00- 56496000H - 7E00H - 4000H )/ 200H / 2H = 1480H

    修改后保存磁盘记录,在电脑里刷新一下,就可以打开D盘了。

    5,恢复数据:
    将两个FAT表清空,并在首地址写入 F8 FF FF 0F FF FF FF 7F FF FF FF 0F。保存好后用数据恢复软件扫描发现数据可以全部查到了
    转自:http://user.qzone.qq.com/289193307

    该用户从未签到

    5

    主题

    362

    回帖

    195

    积分

    [INTOHARD]班长

    Rank: 2

    积分
    195
    发表于 2010-1-17 16:20:40 | 显示全部楼层
    太复杂了,有点不懂
  • TA的每日心情
    开心
    2015-8-1 07:19
  • 签到天数: 15 天

    [LV.4]七品知县

    2

    主题

    954

    回帖

    1万

    积分

    [INTOHARD]团长

    Rank: 8Rank: 8

    积分
    14100
    发表于 2010-1-17 16:34:19 | 显示全部楼层
    不错,谢谢分享

    该用户从未签到

    5

    主题

    340

    回帖

    563

    积分

    [INTOHARD]连长

    Rank: 4

    积分
    563
    QQ
    发表于 2010-2-18 17:38:10 | 显示全部楼层
    哎呀 有简单的不

    该用户从未签到

    0

    主题

    289

    回帖

    191

    积分

    [INTOHARD]班长

    Rank: 2

    积分
    191
    发表于 2010-6-1 10:44:07 | 显示全部楼层
    哎呀 有简单的不

    该用户从未签到

    0

    主题

    45

    回帖

    24

    积分

    [INTOHARD]工兵

    Rank: 1

    积分
    24
    发表于 2010-10-30 13:15:43 | 显示全部楼层
    太复杂了,有点不懂
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    0

    主题

    45

    回帖

    24

    积分

    [INTOHARD]工兵

    Rank: 1

    积分
    24
    发表于 2010-10-30 13:15:55 | 显示全部楼层
    不错,谢谢分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2022-5-14 22:26
  • 签到天数: 112 天

    [LV.6]五品郎中

    8

    主题

    540

    回帖

    906

    积分

    [INTOHARD]连长

    Rank: 4

    积分
    906
    发表于 2010-11-26 13:22:21 | 显示全部楼层
    太复杂了,有点不懂
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    0

    主题

    59

    回帖

    110

    积分

    [INTOHARD]班长

    Rank: 2

    积分
    110
    发表于 2011-2-26 12:12:32 | 显示全部楼层
    太复杂了,有点不懂
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    0

    主题

    477

    回帖

    2837

    积分

    [INTOHARD]工兵

    Rank: 1

    积分
    2837
    发表于 2011-7-16 19:24:18 | 显示全部楼层
    恢复成功了没有呀,还是软件简单哈
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表