申请数据恢复服务的人经常被要求从“突然消失”的分区返回数据。
数据丢失的原因可能非常不同:
驱动器的电源和微码故障,硬盘重新分区,病毒等。 在本文中,我们将尝试理解为什么我们无法看到数据以及如何通过DataExtractor功能恢复数据。
一点理论
让我们考虑磁盘上基础的数据组织,以了解操作系统无法访问数据的原因。
要获取操作系统需要的文件:
1)读取第一个扇区(MBR,LBA#0),从中知道第一个分区从2048扇区开始并占用N个扇区;
2)读取分区的第一个扇区,找到NTFS Boot的结构,了解我们正在处理NTFS文件系统并获取有关其元数据的一些信息;
3)使用NTFS Boot中的信息查找文件系统的其他元数据,这将允许您显示文件结构。
所以我们可以将元数据分成3种类型:
1)有关磁盘空间分布的元数据。在这个例子中它是MBR,但也可以是GPT,Apple分区方案,LDM,LVM等。
2)文件系统中的入口点。它获取有关文件系统类型的信息,通常包含一些重要设置。例如。它是Boot NTFS,也可以是FAT和ExFAT的Boot; EXT,XFS,UFS,ReiserFS的超级块。
3)文件系统的其余元数据 – 存储有关目录和文件的位置,名称和属性的信息的所有结构。它是用于NTFS,FAT表和FAT12 / 16/32目录的MFT; EXT的inode表等等。
如果这些类型元数据中的一个或多个元数据被破坏,则操作系统可能无法显示分区。
实际案例
1)MBR干扰
如果您擦除了位于驱动器扇区0中的MBR,则可以在标准Windows“磁盘管理”实用程序中看到类似的模式(未分配)。 您将无法通过操作系统的标准工具查看分区,但有许多方法可以从Data Extractor中丢失分区获取数据:
– 您可以通过典型签名手动查找分区的第一个扇区,通过插件检查其正确性(例如,查看为 – >引导NTFS)并将其安装为虚拟分区。
– 您也可以运行“快速磁盘分析” – 搜索丢失文件系统的自动方法 – 它将自动完成。
2)格式化驱动器(以及所有文件结构可能的损坏)
快速格式化后数据恢复的可能性和方法是单独文章的主题。但是,在某些情况下,一切都很简单。让我们考虑以下实验:在硬盘上安装了Ubuntu(它创建了一个EXT分区),然后将它插入带有Windows的计算机并在NTFS中格式化。之后,对驱动器不做任何事情并将其带到数据恢复公司。
为了澄清这种情况,让我们运行Raw恢复。原始恢复是专用模式,用于查找文件系统的用户数据(照片,文档等)和元数据。搜索基于不同结构的正则表达式和内部验证算法,它不依赖于磁盘的逻辑组织(来自哪个文件系统及其整体)。换句话说,它是按文件类型恢复的。
在ext3文件系统中,所有分区空间被分成大小相等的组(除了最后一个)。所以很有可能找到主要超级块的副本。如果我们成功地从同一个分区找到了几个超级块,那么这个文件系统组织可以让我们准确地定义分区的开始。在此机会上添加虚拟分区方法是基于的。在RAW恢复模式下,可以从extX超级块的上下文菜单中获得方法。此类方法也可用于所有文件系统“入口点”(引导NTFS,超级块等)
3)典型的“您需要在驱动器X中格式化磁盘:在使用它之前”消息
用户经常看到此消息而不是他们的数据,这些数据存储在具有FAT文件系统的闪存驱动器或外部HDD上。 如果我们故意弄乱主要的引导FAT,这就是我们将得到的。 如果Boot FAT的副本没有损坏,那么复合体内的分区将在没有任何操作的情况下打开。 如果Boot的副本已损坏 – 您可以使用以上所有方法来恢复文件结构 – 原始恢复,快速磁盘分析和手动搜索以及从十六进制编辑器中查找虚拟分区。
总之,应该说已经建立的文件系统可能存在问题,“快速分析”可以解决这个问题。 为此,还有其他方法(例如,分区分析)。 它们可以运行很长时间并在磁盘上产生很大的负载,因此它不会在“快速分析”下自动运行。
未经允许不得转载:苏州盘首数据恢复 » PC-3000 Data Extractor简单的逻辑故障数据恢复案例