|
這是我們這里的一同行轉(zhuǎn)到我這里來的一個(gè)數(shù)據(jù)����,據(jù)客戶描述故障為:盤分了三個(gè)區(qū)在一次意外死機(jī)后重啟電腦后客戶繼續(xù)死機(jī)前的工作打開最后一個(gè)區(qū)(前兩個(gè)區(qū)是正常的)提示未格式化(其實(shí)大多數(shù)朋友知道這時(shí)的問題簡(jiǎn)單得多也許重建DBR后整個(gè)盤里面的數(shù)據(jù)都在,這里暫且就不談這種問題的解決方法了)�����,要命的是這時(shí)客戶鬼使神差地點(diǎn)擊了格式化了�����,結(jié)果大家當(dāng)然就知道了��,數(shù)據(jù)肯定是沒有了 ����。據(jù)轉(zhuǎn)到我這里的那同行說他用各種搜索軟件對(duì)整個(gè)區(qū)搜了好幾遍(這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了)��,當(dāng)然也搜到了很多數(shù)據(jù)��,盡管很亂但還能正常打開。最后客戶確認(rèn)搜出來數(shù)據(jù)大部份正常����,但客戶最重要的的一個(gè)壓縮文件損壞了,(據(jù)客戶說那壓縮文件是他多年搞設(shè)計(jì)購(gòu)買的素材庫(kù)的精華)��。大家知道壓縮文件損壞了是很難很難修復(fù)的了����。首先我用WINHEX把他搜出來的那個(gè)壓縮文件打開分析了下,文件頭亂了��,中間的數(shù)據(jù)也不正常��。無法修復(fù)�,只好從原盤著手了。竟然搜索軟件搜出來的是損壞的��,那就只有用手工來做了���,當(dāng)然用手工做這種格式化了的數(shù)據(jù)很費(fèi)時(shí)��,且計(jì)算量也很大�,只能針對(duì)像這樣的個(gè)別特重要的數(shù)據(jù)。 對(duì)原盤的那個(gè)格式化掉的分區(qū)做完鏡像后�,用WINHEX打開鏡像,設(shè)置鏡像文件為磁盤��。如下圖所示: 
分區(qū)是NTFS格式的�����,整個(gè)分區(qū)大小為25.4G�����。對(duì)NTFS分區(qū)格式研究過的朋友會(huì)知道����,在NTFS文件系統(tǒng)中,文件亦是按簇進(jìn)行分配的�, 文件通過主文件表MFT(Master File Table)來確定其在磁盤上的存儲(chǔ)位置、大小��、屬性等信息����。相當(dāng)于FAT系統(tǒng)下的FAT+FDT的功能�。每文件都有一個(gè)文件記錄�。其中第一個(gè)記錄就是MFT自己本身。我們轉(zhuǎn)到第一個(gè)文件記錄也就是MFT了直接點(diǎn)可以看到如下圖所示: 
通過第一個(gè)文件記錄往下觀察發(fā)現(xiàn)格式化了后對(duì)文件記錄沒有產(chǎn)生破壞���。那么這時(shí)我們就可以有一個(gè)恢復(fù)的思路了:找客記所說的那個(gè)壓縮文件的在MFT中的記錄��,再通過對(duì)文件記錄的分析來確定文件在磁盤中的位置及大小,就可以直接從中提出文件了��。想到做到�,據(jù)客戶告之,壓縮文件名為:源文件與素材�����。那好�,我們可以新建一個(gè)文本記事本只輸入壓縮文件名―――源文件與素材!保存��,再用WINHEX打開可以看到如下圖: 
然后再轉(zhuǎn)回來���,直接從第一個(gè)文件記錄往下開始搜索十六進(jìn)制數(shù)值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜索到了一個(gè)地方停下來了����,看看是不是那個(gè)壓縮文件的記錄呢看下圖: 
根據(jù)觀察可以看出正是客戶要的那個(gè)壓縮文件的記錄,那么我們又如何來確定這個(gè)壓縮文件在磁盤上的那一個(gè)扇區(qū)���?占用了多少的扇區(qū)呢�?這個(gè)就需要對(duì)NTFS格式有所了解了��。NTFS將文件作為屬性����、屬性值集合來處理,這一點(diǎn)與其他文件系統(tǒng)不一樣��?���?梢钥吹皆贛FT中用了不同顏色的段來區(qū)分, 
如上圖所標(biāo)記的�,第一個(gè)為文件記錄頭,第二個(gè)10H表示標(biāo)準(zhǔn)屬性��,第三個(gè)30H表示文件名屬性�����,最后一個(gè)80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了�����。這里我們只分析數(shù)據(jù)流屬性,其它屬性就不一一分析了��,可以查看相關(guān)資料��。每一個(gè)屬性都為兩部份:屬性頭和內(nèi)容�����。先來分析數(shù)據(jù)流屬性的屬性頭:從第1第4四個(gè)字節(jié)表示屬性的類型����,第5第8四個(gè)字節(jié)這里的值是48 00 00 00表示屬性的長(zhǎng)度(包括屬性頭和內(nèi)容)為72個(gè)字節(jié)��。從17到24共8個(gè)字節(jié)表示起始的VCN即虛擬簇號(hào)�����,第25到32共8個(gè)字節(jié)表示結(jié)束的VCN此處為2D7FH也就是 這個(gè)壓縮文件占用了11648個(gè)簇�。再往下分析從33到40共8個(gè)字節(jié)表示數(shù)據(jù)運(yùn)行的偏移。此處為40H也就是從第64個(gè)字節(jié)開始了��。我們就直接來分析數(shù)據(jù)運(yùn)行也只有這一個(gè)運(yùn)行32 80 2D D5 58 17所以起始的LCN即邏輯簇號(hào)為1758D5H=1530069��,長(zhǎng)度為2D80H=11648。接下來我們轉(zhuǎn)到1530069簇看 
第一個(gè)字節(jié)右鍵選塊開始�����,上面算出來了這個(gè)文件的大小為11648個(gè)簇�,也就是1530069+11648=1541717再轉(zhuǎn)到1541717簇,所在的扇區(qū)的上一扇區(qū)也就是文件的結(jié)尾了��。最后一個(gè)字節(jié)右鍵選塊結(jié)尾��。再在所選塊中右鍵編輯-復(fù)制扇區(qū)-到新文件即指點(diǎn)到路徑保存���。然后改擴(kuò)展名為RAR����。解壓成功 ��。至此恢復(fù)完成����。經(jīng)檢查沒有一個(gè)損壞。
--------------------------------------------
|
