實際數據恢復案例-手工修復FAT32文件系統
今天接到一個朋友的客戶做數據恢復,原來是4個分區CDEF。客戶由於覺得C盤小,利用PQ分區大師將D盤部分區域劃分給C盤,重啓系統後,原C D F三個分區數據正常,E盤分區找不到。朋友用R-Studio掃描全盤,E盤數據始終找不到。
拿到盤後看到情況如下,用Winhex查看發現分區4只是聯想硬盤中的隱藏分區(用來還原系統的,不在客戶所說的四個分區中)。分區 3 文件結構和磁盤大小都正常正常。分區2的DBR顯示大小和實際大小不一致只有80GB,所以初步判斷客戶需要的E盤應該是和原來D盤合併成了現在的分區2。但如果僅僅是簡單的合併 利用R-Studio應該可以直接掃描出來,現在卻沒能正常掃描到,需要進一步分析。
![wps_clip_image-361[4]](http://hi.csdn.net/attachment/201004/30/0_1272631867T9UJ.gif "wps_clip_image-361[4]")
磁盤分區分佈圖
根據分區2DBR顯示大小找到實際結束位置,在194579343扇區發現了一個NTFS的DBR,但是這只是個孤立的DBR沒有緊接着並沒有NTLDR,可能是個備份。而且繼續向下查找,發現一個FAT32分區的DBR。
![1PCT0(OV[~0IFI)R4Y]VJGS](http://hi.csdn.net/attachment/201004/30/0_1272631871Tzng.gif "1PCT0(OV[~0IFI)R4Y]VJGS")
繼續向下分析,在194579351 位置發現了 NTFS INDX文件,並且向下發現了更多的NTFS分區信息。本來以爲這只是個孤立的事件。但在向下查找過程中意外發現了類似 FAT表的數據,找到頭部,發現居然然是 一個完整FAT表,而表後是目錄項。然後對剛剛發現的那個 FAT32 DBR進行解析,如果把這個FAT32 DBR 當成備份的話,剛剛看到的這個FAT應該是FAT2。而且顯示的分區大小和到分區3之間的扇區數相等。而且從分區3開始的位置,從後向前找NTFS分區備份,也未能找到,說明丟失的E盤應該是FAT32分區。
通過以上分析我猜測,丟失的分區正是個FAT32分區,分區DBR和 FAT1 在PQ移動過程中被覆蓋掉,現在盤上發現NTFS DBR的位置正好是原來 FAT32DBR的位置。
根據這個想法,把備份FAT32 DBR 貼回,計算FAT1的實際位置,將FAT2還原到FAT1,如表 恢復後 所示。
用Winehx 展開當前恢復的分區,數據正常訪問,用工具恢復數據,恢復完成。
總結:
1、不能盲目相信恢復工具,在文件系統關鍵信息丟失的情況下,恢復工具無法智能分析出文件系統結構;
2、使用PQ工具是一定要注意備份當前數據;
3、對文件系統結構要非常熟悉。
http://blog.csdn.net/lllearning/archive/2010/05/16/5598340.aspx
原帖位置: