數據恢復
今天要恢復的是嶽老師給的一塊虛擬硬盤,要我們把這塊硬盤的分區以及裏面存放的數據都找回來。我利用的工具是winhex。
首先用winhex打開要恢復的硬盤:
對硬盤進行分析。
根據所學到的知識我知道每個硬盤的前63(0-62號)個扇區是保留給系統用的,所以我們應該從63開始進行搜索如下圖所示;
觀察到在28H的地方看到了一組數據,從這點可以知道這個分區的格式是NTFS分區;還有就是該分區實際分區的大小4E 32 3F(這裏數字表示的大小比實際上的大小小1)這樣就能算出第一個分區的具體分區情況了!63扇區對應的是0柱面1磁頭1扇區;4E 32 3F轉換成10進制後的大小是5124671,那麼這個分區的結束的位置就是5124671+63=5124734,在winhex裏可以查看到它對應的是318柱面254磁頭63扇區。如下圖所示
那麼我們就知道他的第一個分區是:(chs:0/1/1—318/254/63;lba:63—5124734)
這樣我們又可以知道下個分區在哪開始,上面分析不錯的話那麼第2個分區的開始位置就是(chs:319/0/1--- ;lba:5124735--- )
我們在winhex中定位到5124735扇區,如下圖標記出的數據;
在20H的位置出現了一組數據,那麼我們可以知道的信息是:這個分區的格式是FAT分區,這個分區的大小是25 81 59(與實際大小是一樣的,這是和NTFS分區的區別所在)
這樣就能算出第2個分區的具體分區情況了!
5124735扇區對應的是319柱面0磁頭1扇區;25 81 59轉換成10進制後的大小是2457945,那麼這個分區的結束的位置就是5124735+2457945-1=7582679,在winhex裏可以查看到它對應的是471柱面254磁頭63扇區(這可以表示我算的應該正確,因爲每個分區都是在254磁頭63扇區結束的)。如下圖所示
那麼我們就知道他的第2個分區是:(chs:319/0/1—471/254/63;lba:5124735—7582679)
同理我們也就知道第3個分區從哪裏開始。(chs:472/0/1--- ;lba:7582680--- )
我們在winhex中定位到7582680扇區,如下圖標記出的數據;
在28H的位置出現了一組數據,那麼我們可以知道的信息是:這個分區的格式是NTFS分區,這個分區的大小是4B 02 B1
(這裏數字表示的大小比實際上的大小小1)
這樣就能算出第3個分區的具體分區情況了!
7582680扇區對應的是472柱面0磁頭1扇區;4B 02 B1轉換成10進制後的大小是4915889,那麼這個分區的結束的位置就是7582680+4915889=12498569,在winhex裏可以查看到它對應的是777柱面254磁頭63扇區(這可以表示我算的應該正確,因爲每個分區都是在254磁頭63扇區結束的)。如下圖所示
那麼我們就知道他的第3個分區是:(chs:472/0/1—471/254/63;lba: 7582680—12498569)
我們現在分析出啦分區的個數和大小,現在我們把分區表創建出來就成啦!!
第1個分區;(0/1/1—318/254/63;63—5124734)
第2個分區;(319/0/1--- 471/254/63 ;5124735---7582679 )
第3個分區:472/0/1---777/254/63 ;7582680---12498569 )
第1個分區表
00 01 01 00 07 FE 7F 3F 3F 00 00 00 40 32 4E 00
第2個分區表
00 00 41 3F 06 FE 7F D7 7F 32 4E 00 59 81 25 00
第3個分區表
00 00 41 D8 07 FE FF 09 D8 B3 73 00 B2 02 4B 00
現在我們來重建分區表
定位到63扇區,找到分區表的位置對其進行改寫,將以上算得的16進制數填寫到×××區域內。如下圖所示
重啓計算機後我們看到分區回來了!!
我們看看裏面的數據能看嗎!!!
好的,到此還算順利的完成了此次恢復。