恢复误GHOST后的反思
华山剑客
昨天一个网友告急:一个160G的硬盘GHOST后变成一个分区,这个硬盘是个二手盘,他买来后将它平均分为4个分区,且都是NTFS分区,用Diskgen软件扫到有十几个分区,由于数据重要,不敢乱动。误GHOST的恢复关键就是恢复第0扇区的分区表,我个人认为:如果你对误GHOST前这个硬盘的分区情况(容量及分区格式)比较清楚的话,可以用分区表恢复软件(比如:Diskgen或分区表医生)来完成,如果不是很清楚或用上述软件不能恢复的话,才用WinHex手工恢复,当然不管采用什么方式恢复,最好先对要恢复的硬盘或分区做镜像。由于是远程,用Diskgen恢复不方便(这个软件要在DOS下运行),于是恢复过程如下:
方案一:用分区表医生恢复,结果没有找到,郁闷中………
方案二:按着用WinHex来找分区表信息,在一般的资料中都说,分区表信息位于硬盘的某一个柱面的第一扇区,在我的指导下,网友按这一条件来找,但网友最后告诉我:没有找到,让我更加郁闷…….,这还是第一次遇到。这时我想到WinHex中的有一个“扫描丢失的分区”这个功能,以前还没有用过它,于是要网友用它来扫,扫描到80%左右时提示硬盘有坏道,停止扫描,这时扫到10个分区(见下图)
方案一:用分区表医生恢复,结果没有找到,郁闷中………
方案二:按着用WinHex来找分区表信息,在一般的资料中都说,分区表信息位于硬盘的某一个柱面的第一扇区,在我的指导下,网友按这一条件来找,但网友最后告诉我:没有找到,让我更加郁闷…….,这还是第一次遇到。这时我想到WinHex中的有一个“扫描丢失的分区”这个功能,以前还没有用过它,于是要网友用它来扫,扫描到80%左右时提示硬盘有坏道,停止扫描,这时扫到10个分区(见下图)
根据网友提供的信息(160G的硬盘平均分成4个分区),37.3的分区是分析的对象,分区4、分区7、分区8和分区9都是37.3扇区,先看这4个分区的DBR,信息如下:
04分区(2594982扇区)
07分区(78140286扇区)
08分区(156280446扇区)
09分区(234420606扇区)
分析:
1、排除04分区:原因有两个,第一,这个分区是FAT32,网友提供的是NTFS;第二2594982扇区,如果是第二分区,那么第一个分区只有1、2G,与网友说的不符。
2、07、08、09分区可能是原来的D、E、F分区。因为分区格式都是NTFS,从DBR中看出每个分区的扇区数是78140096(用04A852C0换算成10进制),将扇区数换算成容量大约是37.26G
3、为了保险起见,再向前63个扇区看分析分区表的链接情况,做这一步的目的是论证第二步的判断。
1、排除04分区:原因有两个,第一,这个分区是FAT32,网友提供的是NTFS;第二2594982扇区,如果是第二分区,那么第一个分区只有1、2G,与网友说的不符。
2、07、08、09分区可能是原来的D、E、F分区。因为分区格式都是NTFS,从DBR中看出每个分区的扇区数是78140096(用04A852C0换算成10进制),将扇区数换算成容量大约是37.26G
3、为了保险起见,再向前63个扇区看分析分区表的链接情况,做这一步的目的是论证第二步的判断。
第78140223扇区
第156280383扇区
第234420543扇区
对关键数据进行分析:
第78140223扇区: 63 78140097
78140160 78140160
第156280383扇区:63 78140097
156280320 78140160
第234420543扇区:63 78140097
分析分区表的链接情况:第78140223扇区中的63+78140097=78140160,说明这个分区是这个硬盘的扩展分区的第一个逻辑分区,再分析这三个分区表的信息及链接情况,证明第二步的判断是正确的,分析结果如下图所示:
第78140223扇区: 63 78140097
78140160 78140160
第156280383扇区:63 78140097
156280320 78140160
第234420543扇区:63 78140097
分析分区表的链接情况:第78140223扇区中的63+78140097=78140160,说明这个分区是这个硬盘的扩展分区的第一个逻辑分区,再分析这三个分区表的信息及链接情况,证明第二步的判断是正确的,分析结果如下图所示:
重建分区表
分析正确后,现在关键就是重建第0扇区的分区表(我是根据分区表信息重建分区表,不是根据DBR,原因后面有说明),关键的数据是:
63 78140160
78140223 234420480(156280320+78140160=234420480)
最后用PTEDIT32(分区表编辑器)重建分区表,结果如下图:
分析正确后,现在关键就是重建第0扇区的分区表(我是根据分区表信息重建分区表,不是根据DBR,原因后面有说明),关键的数据是:
63 78140160
78140223 234420480(156280320+78140160=234420480)
最后用PTEDIT32(分区表编辑器)重建分区表,结果如下图:
用WinHex看到的效果如下图:
恢复后整个硬盘的分区表情况如下图:
重建分区表后,用PTEDIT32顺利打开后面的三个分区,然后再用WinHex打开这个硬盘的几个分区,能看到里面的内容(做这一步的目的是最后论证一下数据恢复是否成功),重新启动电脑,数据恢复成功!!
说明:这个数据恢复的难度其实并不大,我写这个案例的目的是想和大家探讨一下这个案例中有些数据的特殊性(也许是我太孤陋寡闻了!)及分区表恢复软件的恢复原理问题,错误之处,请各位指正!!
1、在《数据恢复(第二版)》中好像说过,分区表的信息在硬盘的某一个柱面的第一个扇区中(一时没有找到这段文字,以后找到再作说明),通过很多次观察发现是这样的,这还是第一次发现在硬盘的某一个柱面的第63扇区中,后来询问了那位网友是用什么软件分区的区,他说是一般的Windows xp安装碟,在安装时提示你安装系统到哪个分区时,选择删除当前分区,每个分区都选择删除当前分区,最后只有一个分区了,也就是大分区了,然后选择创建分区,160G硬盘,但显示149G,用149G除以4等于37.3G,37.3乘以1024 = ......MB,这样把一个硬盘重新分的4个区。大家可以看到后面三个分区表前面的字节不是00,因为原来这个位置有数据。
2、有的教程中提到根据DBR信息重建分区表,我做过多次观察,发现分区表中描述一个分区的扇区总数和DBR中描述的这个分区的扇区总数不完全一致(已排除前面隐藏的63个扇区及NTFS分区中DBR备份的一个隐藏扇区的因素!!这个案例中描述的是一样的。有兴趣的朋友可以多观察身边的几个硬盘看是不是这样的),不一致的原因可能在格式化时产生剩余扇区有关,一个硬盘在分区时有剩余扇区产生,同样的道理,一个分区在格式化时也有可能出现分区的剩余扇区(这是我自己命的名,呵呵!!比如一个FAT32的分区,如果在格式化时DBR中的“保留扇区数”和“每簇扇区数”用不同的值,就有可能出现剩余扇区,这只是我的一个猜测)。所以我一般重建分区表时一般是以分区表的信息重建,而不是根据DBR,DBR只是一个参考,用DBR的位置推算分区表的位置,然后判断这个分区是主分区还是扩展分区,最后决定如何在第0扇区中重建分区表。
3、对分区表恢复软件恢复原理的猜测:网友说用Diskgen软件扫到有十几个分区,这和用WinHex中的有一个“扫描丢失的分区”找到的结果一样,但分区表医生没有找到,可能是分区表医生是通过寻找硬盘某柱面的第一个扇区的55AA来恢复的,Diskgen和WinHex中 “扫描丢失的分区”是通过找每一个扇区的55AA。可以从这些软件恢复分区表所需要的时间来证实我的猜想。
2007年11月23日华山剑客写于湖北随州
1、在《数据恢复(第二版)》中好像说过,分区表的信息在硬盘的某一个柱面的第一个扇区中(一时没有找到这段文字,以后找到再作说明),通过很多次观察发现是这样的,这还是第一次发现在硬盘的某一个柱面的第63扇区中,后来询问了那位网友是用什么软件分区的区,他说是一般的Windows xp安装碟,在安装时提示你安装系统到哪个分区时,选择删除当前分区,每个分区都选择删除当前分区,最后只有一个分区了,也就是大分区了,然后选择创建分区,160G硬盘,但显示149G,用149G除以4等于37.3G,37.3乘以1024 = ......MB,这样把一个硬盘重新分的4个区。大家可以看到后面三个分区表前面的字节不是00,因为原来这个位置有数据。
2、有的教程中提到根据DBR信息重建分区表,我做过多次观察,发现分区表中描述一个分区的扇区总数和DBR中描述的这个分区的扇区总数不完全一致(已排除前面隐藏的63个扇区及NTFS分区中DBR备份的一个隐藏扇区的因素!!这个案例中描述的是一样的。有兴趣的朋友可以多观察身边的几个硬盘看是不是这样的),不一致的原因可能在格式化时产生剩余扇区有关,一个硬盘在分区时有剩余扇区产生,同样的道理,一个分区在格式化时也有可能出现分区的剩余扇区(这是我自己命的名,呵呵!!比如一个FAT32的分区,如果在格式化时DBR中的“保留扇区数”和“每簇扇区数”用不同的值,就有可能出现剩余扇区,这只是我的一个猜测)。所以我一般重建分区表时一般是以分区表的信息重建,而不是根据DBR,DBR只是一个参考,用DBR的位置推算分区表的位置,然后判断这个分区是主分区还是扩展分区,最后决定如何在第0扇区中重建分区表。
3、对分区表恢复软件恢复原理的猜测:网友说用Diskgen软件扫到有十几个分区,这和用WinHex中的有一个“扫描丢失的分区”找到的结果一样,但分区表医生没有找到,可能是分区表医生是通过寻找硬盘某柱面的第一个扇区的55AA来恢复的,Diskgen和WinHex中 “扫描丢失的分区”是通过找每一个扇区的55AA。可以从这些软件恢复分区表所需要的时间来证实我的猜想。
2007年11月23日华山剑客写于湖北随州