要求数据恢复服务的人经常要求从“丢失”的分区中恢复数据。此类丢失的原因可能有很多差异:驱动器故障,磁盘空间分配尝试失败,病毒等。
今天,我们将尝试找出为什么在这种情况下看不到数据,以及如何使用PC-3000硬件-软件系统来恢复数据。本文将使刚开始数据恢复第一步的人们受益。
让我们考虑驱动器上的典型数据组织,以弄清楚为什么我们无法通过操作系统工具访问数据。
磁盘空间分配的常见方案
要访问此处的文件,我们需要:
基本上,元数据可以分为3种类型:
在元数据类型为1或2的情况下,操作系统可能会停止显示分区。换句话说,我们将看到分区丢失的问题。
当您尝试打开损坏的启动FAT32分区时出现Windows消息
在大多数情况下,用户会看到此消息,而不是其存储在FAT文件系统中的闪存驱动器或外部HDD上的数据。这是我们损坏主FAT Boot所得到的。
说到分类,就是损坏文件系统入口点的情况。PC-3000系统知道引导副本的存储位置,因此,如果该副本没有损坏,Data Extractor内部的分区将打开,而无需执行任何其他操作。但是,这种情况并不那么有趣,因此让我们看一下两个FAT Boots都损坏的情况。结果,该分区将无法在Windows或数据提取器中打开。我们将尝试最简单的方法来获得结果-通过启动快速磁盘分析模式。
快速磁盘分析已找到FAT32文件系统
启动后立即添加了虚拟分区FAT32。在右侧,我们可以看到其中包含哪些数据。如果现在返回到Data Extractor文件浏览器,则那里已经有一个虚拟分区。我们现在可以保存数据。
无需赘述,我们可以说FAT Boot包含用于打开文件系统的非常重要的数据,但是FAT表和目录分析允许我们定义这些参数并构建人工FAT Boot。
我们发现的FAT32表使我们可以开始这样的分析。它也可以从原始恢复中启动,因为我们将在下一个示例中针对ExtX Superblock进行此操作。
快速磁盘分析是一种自动方法,用于查找“丢失的”文件系统。FAT32只是一种特殊情况,该模式旨在搜索所有受支持的文件系统。 |
此方法基于以下观察:
让我们考虑磁盘组织的另一个示例,以说明这些观察结果。
具有GPT,FAT32和HFS +分区的磁盘
如果我们处理未知磁盘,则有必要扫描磁盘开头和结尾的空间。如果找到有关分区位置的信息或能够恢复整个分区,则可以在搜索中添加接近分区开头和结尾的范围,因为很有可能找到相邻的范围一。
进行此类扫描的目的是找到文件系统或结构的入口点,这将使我们能够恢复有关分区的信息(在本示例中为FAT32表)。
快速磁盘分析将扫描最“有趣”的范围,并在扫描过程中自动将其放大。如果找到合适的结构,则将启动添加虚拟分区的方法。然后,所有恢复的分区都会显示在模式框中,在其中可以立即看到文件系统树。
“快速”格式化后恢复数据的可能性和方法是值得单独撰写的主题。但是,在某些情况下,它可能非常简单。让我们考虑这样一种情况:从计算机中提取出一个装有Ubuntu(默认情况下会创建EXT分区)的驱动器,然后将其连接到另一个装有Windows并格式化为NTFS的驱动器。此后,驱动器即被恢复。
在这种情况下,我们也可以像以前一样运行快速磁盘分析。但是,让我们尝试另一种方法–启动Raw Recovery来检出驱动器。
Raw Recovery是一种专用模式,用于搜索用户的数据(图像,文档等)和文件系统的元数据。搜索基于通过正则表达式以及检查各种结构的内部算法进行的分析,即,它不依赖于逻辑磁盘组织(那里有什么文件系统以及是否有损坏)。换句话说,该模式执行File Carving。 |
RAW恢复结果
NTFS分区以LBA:2048开头。EXT分区可能也从这里开始,但是我们不确定。进一步,我们发现了其他一些与NTFS相关的结构。在扇区264 192中,我们可以看到EXT文件系统的Superblock副本之一。让我们陈述一些有关EXT文件系统的重要事实:
这样的组织为我们提供了两种选择:
这些选项是添加虚拟分区方法的基础,该方法可从ExtX Superblock的上下文菜单中获得。
在ExtX Superblock上添加虚拟分区的运行方法
在我们的例子中,该方法很容易定义分区的开始位置,也就是扇区2048。如果返回文件浏览器,则会在此处看到一个新的虚拟分区,该分区可提供对数据的访问。在这种情况下,“虚拟性”是指数据提取器不是从磁盘结构中获取有关分区的开始,大小和类型及其入口点(超级块)的信息,而是将其存储在特定的数据库中。
数据提取浏览器中的Ext4虚拟分区
让我们总结一下上面的信息。
重新格式化后,包含新文件系统(NTFS)的结构将删除包含所需数据的EXT文件系统的入口点。原始恢复模式找到了EXT超级块。使用一种特定的方法,我们添加了虚拟分区并可以访问数据。
先前的方法(快速磁盘分析)也可以在此处应用。
Windows磁盘管理中具有已擦除MBR的驱动器
如果通常包含MBR的LBA = 0损坏(BAD扇区),则我们将在Windows磁盘管理中看到与上图类似的图片。现在,无法通过常规方式查看分区的数据。众所周知,我们可以使用快速磁盘分析和RAW恢复模式来解决问题。但是,让我们尝试另一种方式,即自动化程度最低的方式,以便更好地了解一切。
如果我们手动搜索分区,那么在大多数情况下,查找的第一位应该是它们的开始位置:LBA 63、2048、264192、409640或128、256、512等之二的幂。
在LBA-2048上引导NTFS
当打开扇区2048时,我们会看到典型的Boot NTFS签名-扇区开头的“ NTFS”行。让我们使用将扇区作为引导NTFS结构查看的选项(查看为…>引导NTFS),并查看相关字段是否有效。然后,我们从“服务”菜单中添加虚拟分区。
虚拟分区添加
之后,我们可以在Data Extractor文件浏览器中查看用户的数据。通过添加虚拟分区,我们跳过了从MBR或其他结构确定分区开始的步骤,因为我们清楚地设置了新分区的开始和类型。由于引导扇区和其他NTFS元数据是正确的,因此所有用户数据在数据提取器文件浏览器中都是可见的。
NTFS虚拟分区
技术支持:星拓网络