數(shù)據(jù)恢復(fù)案例

本文格式為Word版，下載可任意編輯——數(shù)據(jù)恢復(fù)案例案例1.佳能相機(jī)EOS5DCF卡提醒格式化恢復(fù)成功

今天客戶(hù)拿來(lái)相機(jī)說(shuō)卡提醒格式化想要里面的視頻，插在電腦上一看的確提醒格式化，按著杜老師教的用Winhex開(kāi)啟一看MBR還在DBR全部變成FF了探尋F8FF只找到FAT表2FAT1只剩下后面部分了分析了一下FAT表2很完整并得知為FAT32文件系統(tǒng)。接著探尋2E20到根目錄看一下有一個(gè)名為DCIM的文件目錄項(xiàng)且沒(méi)有損壞接著到3號(hào)簇和4號(hào)簇5號(hào)簇看一下都沒(méi)發(fā)現(xiàn)問(wèn)題計(jì)算簇大小為64Sec,接著計(jì)算FAT表大小為3811Sec利用FAT表大小得知分區(qū)扇區(qū)總數(shù)為31219584好了接著從別的硬盤(pán)Copy一個(gè)FAT32分區(qū)的DBR分別填入以上參數(shù)簇大小64SecFAT大小3811Sec和分區(qū)大小31219548Sec保存彈出從新插拔一下進(jìn)我的電腦已經(jīng)可以開(kāi)啟了數(shù)據(jù)恢復(fù)成功。

總結(jié)：需要對(duì)分區(qū)結(jié)構(gòu)、基礎(chǔ)知識(shí)穩(wěn)固。利用winhex軟件

案例2.加1減1，數(shù)據(jù)恢復(fù)有時(shí)就是這么簡(jiǎn)單！

昨日去辦事情，偶遇一客戶(hù)。手機(jī)8GB卡由于熱插拔導(dǎo)致提醒“未格式化〞。

找了一臺(tái)電腦下了一個(gè)WINHEX。

開(kāi)啟U盤(pán)，發(fā)現(xiàn)分區(qū)開(kāi)始位置沒(méi)有DBR，而DBR卻被向下移動(dòng)了一個(gè)扇區(qū)。

這個(gè)很簡(jiǎn)單，我并沒(méi)有把DBR向上復(fù)制，而是把分區(qū)的開(kāi)始扇區(qū)號(hào)加了一個(gè)“里的保存扇區(qū)減去一個(gè)“

1〞，把DBR

1〞。好了，點(diǎn)保存，WINHEX提醒IO錯(cuò)誤。

最終解決了IO錯(cuò)誤，彈出卡，然后再插入，分區(qū)正常開(kāi)啟，數(shù)據(jù)很完整。

IO問(wèn)題是tf卡有保護(hù)總結(jié)：靈活利用知識(shí)

案例3最近流行的U盤(pán)病毒，導(dǎo)致WORD打不開(kāi)的恢復(fù)方法

最近接到幾個(gè)U盤(pán).問(wèn)題基本都是一樣,里面的WORD文件基本是打不開(kāi)的,原本以為是什么大問(wèn)題,可能想著要設(shè)計(jì)到重組碎片,價(jià)格就報(bào)了幾百元,計(jì)劃不弄,后來(lái)我就隨便用WINHEX開(kāi)啟看了一下,發(fā)現(xiàn)文件頭的前面每6個(gè)字節(jié)都破壞.我就開(kāi)啟個(gè)好的WORD把前面6個(gè)字節(jié)覆蓋到壞的里面.文件就可以正常開(kāi)啟.我運(yùn)氣還是算好，去年老遇到前面的扇區(qū)很有規(guī)律的被覆蓋。

雖然這個(gè)沒(méi)有什么技術(shù)含量.希望可以對(duì)其他人有幫助?？偨Y(jié)：文件損壞，分析文件結(jié)構(gòu)損壞規(guī)律

案例4

實(shí)際數(shù)據(jù)恢復(fù)案例-手工修復(fù)FAT32文件系統(tǒng)

找來(lái)的一篇好文章，拿出來(lái)跟大家共享！

今天接到一個(gè)朋友的客戶(hù)做數(shù)據(jù)恢復(fù)，原來(lái)是4個(gè)分區(qū)CDEF。客戶(hù)由于覺(jué)得C盤(pán)小，利用PQ分區(qū)大師將D盤(pán)部分區(qū)域劃分給C盤(pán)，重啟系統(tǒng)后，原CDF三個(gè)分區(qū)數(shù)據(jù)正常，E盤(pán)分區(qū)找不到。朋友用R-Studio掃描全盤(pán)，E盤(pán)數(shù)據(jù)始終找不到。

拿到盤(pán)后看到狀況如下，用Winhex查看發(fā)現(xiàn)分區(qū)4只是聯(lián)想硬盤(pán)中的隱蔽分區(qū)（用來(lái)還原系統(tǒng)的，不在客戶(hù)所說(shuō)的四個(gè)分區(qū)中）。分區(qū)3文件結(jié)構(gòu)和磁盤(pán)大小都正常正常。分區(qū)2的DBR顯示大小和實(shí)際大小不一致只有80GB，所以初步判斷客戶(hù)需要的E盤(pán)應(yīng)當(dāng)是和原來(lái)D盤(pán)合并成了現(xiàn)在的分區(qū)2。但假使僅僅是簡(jiǎn)單的合并利用R-Studio應(yīng)當(dāng)可以直接掃描出來(lái)，現(xiàn)在卻沒(méi)能正常掃描到，需要進(jìn)一步分析。

磁盤(pán)分區(qū)分布圖

根據(jù)分區(qū)2DBR顯示大小找到實(shí)際終止位置，在194579343扇區(qū)發(fā)現(xiàn)了一個(gè)NTFS的DBR，但是這只是個(gè)孤立的DBR沒(méi)有緊接著并沒(méi)有NTLDR，可能是個(gè)備份。而且繼續(xù)向下查找，發(fā)現(xiàn)一個(gè)FAT32分區(qū)的DBR。

繼續(xù)向下分析，在194579351位置發(fā)現(xiàn)了NTFSINDX文件，并且向下發(fā)現(xiàn)了更多的NTFS分區(qū)信息。本來(lái)以為這只是個(gè)孤立的事件。但在向下查找過(guò)程中意外發(fā)現(xiàn)了類(lèi)似FAT表的數(shù)據(jù)，找到頭部，發(fā)現(xiàn)竟然然是一個(gè)完整FAT表，而表后是目錄項(xiàng)。然后對(duì)剛剛發(fā)現(xiàn)的那個(gè)FAT32DBR進(jìn)行解析，假使把這個(gè)FAT32DBR當(dāng)成備份的話(huà)，剛剛看到的這個(gè)FAT應(yīng)當(dāng)是FAT2。而且顯示的分區(qū)大小和到分區(qū)3之間的扇區(qū)數(shù)相等。而且從分區(qū)3開(kāi)始的位置，從后向前找NTFS分區(qū)備份，也未能找到，說(shuō)明丟失的E盤(pán)應(yīng)當(dāng)是FAT32分區(qū)。

通過(guò)以上分析我猜測(cè)，丟失的分區(qū)正是個(gè)FAT32分區(qū)，分區(qū)DBR和FAT1在PQ移動(dòng)過(guò)程中被覆蓋掉，現(xiàn)在盤(pán)上發(fā)現(xiàn)NTFSDBR的位置正好是原來(lái)FAT32DBR的位置。根據(jù)這個(gè)想法，把備份FAT32DBR貼回，計(jì)算FAT1的實(shí)際位置，將FAT2還原到FAT1，如表恢復(fù)后所示。

用Winehx展開(kāi)當(dāng)前恢復(fù)的分區(qū)，數(shù)據(jù)正常訪(fǎng)問(wèn)，用工具恢復(fù)數(shù)據(jù)，恢復(fù)完成。

總結(jié)：

1、不能盲目相信恢復(fù)工具，在文件系統(tǒng)關(guān)鍵信息丟失的狀況下，恢復(fù)工具無(wú)法智能分析出文件系統(tǒng)結(jié)構(gòu)；

2、使用PQ工具是一定要注意備份當(dāng)前數(shù)據(jù)；3、對(duì)文件系統(tǒng)結(jié)構(gòu)要十分熟悉。

案例6

硬盤(pán)在電腦上無(wú)法識(shí)別到盤(pán)符故障1

硬盤(pán)檢測(cè)不到有好多問(wèn)題：就先講一個(gè)很常見(jiàn)的問(wèn)題。對(duì)新手很有用今天接到一個(gè)ST80G的臺(tái)式機(jī)硬盤(pán)，把故障盤(pán)接到電腦上，電腦就好像死機(jī)一樣，故障盤(pán)拔了電腦有可以正常使用，原本一般我遇到這樣的問(wèn)題大部份是壞道導(dǎo)致，當(dāng)然也有其他問(wèn)題也會(huì)導(dǎo)致以后案列中會(huì)講到,我用MHDD檢測(cè)沒(méi)有發(fā)現(xiàn)任何壞道，用指令看也是正常的，然后又用SPFDISK查看分區(qū)表也是正常的，后來(lái)沒(méi)有方法，我就在DOS下用SPFDISK這個(gè)命令把分區(qū)給刪除。在插到電腦上，電腦沒(méi)有死機(jī)了。winhex開(kāi)啟后，分區(qū)都看不見(jiàn)。當(dāng)然要做的是把分區(qū)表信息填好，分區(qū)表出來(lái)以后直接用WINHEX拷數(shù)據(jù)出來(lái)就可以。假使不用WINHEX把數(shù)據(jù)拷出來(lái)。重新啟動(dòng)電腦一樣會(huì)卡死。所以這個(gè)方法是很使用的。數(shù)據(jù)拷完重新分下區(qū)硬盤(pán)就可以正常使用了。

案例7通過(guò)查找$MFT反推DBR位置手工構(gòu)建DBR——一次手工恢復(fù)誤GHOST嚴(yán)重?fù)p壞的分區(qū)實(shí)例

兩天前下午，我在淘寶店（）接到一個(gè)客戶(hù)，他介紹說(shuō)他用GHOST安裝系統(tǒng)，結(jié)果安裝兩三次系統(tǒng)都不能正常啟動(dòng)，然后用他原來(lái)系統(tǒng)的GHOST備份恢復(fù)，系統(tǒng)起來(lái)了，但系統(tǒng)中就只有一個(gè)C分區(qū)了，還有兩個(gè)分區(qū)D和E不見(jiàn)了，讓我給他恢復(fù)原來(lái)E分區(qū)中的數(shù)據(jù)。想到這種問(wèn)題一般都很簡(jiǎn)單，就是恢復(fù)一下分區(qū)表就完事了，所以也沒(méi)有先遠(yuǎn)程看一下，就接了下來(lái)。

遠(yuǎn)程連接到客戶(hù)電腦上，開(kāi)啟事先讓客戶(hù)下載好的Winhex，再在

Winhex中開(kāi)啟待恢復(fù)的硬盤(pán)，硬盤(pán)在Winhex顯示就只有一個(gè)分區(qū)。根據(jù)經(jīng)驗(yàn)，這種狀況在Winhex中是看不到原來(lái)的分區(qū)的，于是決定先用PTDD掃描一遍看看再說(shuō)。

用PTDD掃描分區(qū)信息，掃描完成后，只在硬盤(pán)的后面部分有一個(gè)原來(lái)的分區(qū)信息，大小為99.7G，這個(gè)分區(qū)可能就是原來(lái)的E分區(qū)。根據(jù)客戶(hù)的描述，原來(lái)的三個(gè)分區(qū)是C分區(qū)45G左右，D分區(qū)25G左右，E分區(qū)230G左右。顯然PTDD掃描出來(lái)的分區(qū)并不是原來(lái)的分區(qū)。但還是不死心，萬(wàn)一是客戶(hù)記錯(cuò)了呢？于是重建這個(gè)分區(qū)。

接下來(lái)在Winhex中開(kāi)啟硬盤(pán)，此時(shí)在目錄瀏覽器中顯示出了方才重建的那個(gè)分，但單擊這個(gè)分區(qū)，跳轉(zhuǎn)到它的起始扇區(qū)，結(jié)果發(fā)現(xiàn)這個(gè)扇區(qū)數(shù)據(jù)全是0，現(xiàn)在很明顯重建的這個(gè)分區(qū)并不是客戶(hù)的E分區(qū)?？磥?lái)用軟件掃描不到原來(lái)的分區(qū)了，只得手工恢復(fù)了。

尋常狀況下，XP在分區(qū)時(shí)會(huì)將第一個(gè)分區(qū)分為主分區(qū)，其余分區(qū)分為規(guī)律分區(qū)，D、E兩分區(qū)很有可能是規(guī)律分區(qū)，于是首先嘗試查找擴(kuò)展分區(qū)表。在Winhex中開(kāi)啟待恢復(fù)硬盤(pán)，根據(jù)客戶(hù)所說(shuō)C分區(qū)大約45G，于是從40G位置開(kāi)始，設(shè)置探尋條件為512＝508，向下查找000055AA。通過(guò)一翻探尋