數(shù)據(jù)恢復(fù)案例基本情況描述
一塊750G的硬盤,從2006年開始使用,用了大概8年的時間,某一天用戶電腦突然無法啟動,計算機找不到該硬盤。經(jīng)過本中心的數(shù)據(jù)恢復(fù)工程師檢測,是因為硬盤使用的年數(shù)太久,產(chǎn)生了很多的壞扇區(qū),其中前三個壞得比較嚴重,也就是常說的零磁道損壞,所以計算機無法識別該硬盤。為了恢復(fù)這塊硬盤中的數(shù)據(jù),采用做鏡像的方法(俄羅斯專業(yè)恢復(fù)軟件PC3K-UDMD),把故障盤的全部扇區(qū)鏡像到另一塊1TB盤中。
分區(qū)丟失的原因分析
把鏡像盤接到一臺好的電腦上,在磁盤管理中顯示的現(xiàn)象來看,“磁盤0”是一個“沒有初始化”的硬盤,如上圖所示,從這一點可以確定該硬盤的MBR結(jié)構(gòu)一定有問題。用WinHex打開這塊硬盤,發(fā)現(xiàn)MBR扇區(qū)果然是壞的。
這就是我們現(xiàn)在看到的MBR扇區(qū),進一步分析發(fā)現(xiàn),所有存放分區(qū)表的扇區(qū)都是壞的,可能是分區(qū)表所在扇區(qū)訪問頻率比較高,所以這些扇區(qū)都壞掉了。
恢復(fù)思路及方法
硬盤分區(qū)表所在的扇區(qū)數(shù)據(jù)全都是壞的,為了看到數(shù)據(jù),必須把分區(qū)表都修復(fù)好。
(1)修復(fù)MBR引導(dǎo)程序及結(jié)束標志
MBR扇區(qū)的結(jié)構(gòu)是由引導(dǎo)程序、WINDOWS磁盤簽名、分區(qū)表、結(jié)束標志四個部分組成。
第1步 復(fù)制引導(dǎo)程序和磁盤簽名。用WinHex打開一塊MBR結(jié)構(gòu)完好的硬盤,選中引導(dǎo)程序和磁盤簽名部分并且復(fù)制這段數(shù)值
第2步 寫入故障盤。再打開故障盤,把剛才復(fù)制的引導(dǎo)程序和磁盤簽名寫入故障盤的MBR扇區(qū),并把磁盤簽名的4個字節(jié)稍作修改。
第3步 寫入結(jié)束標志。把MBR最后兩個字節(jié)修改為“55 AA”
第4步 修復(fù)分區(qū)信息。
跳轉(zhuǎn)到硬盤的63號扇區(qū),看看DBR是否完好,用WinHex跳轉(zhuǎn)到63號扇區(qū),從BPB參數(shù)中可以看出該分區(qū)的大小,如是NTFS分區(qū),所填寫分區(qū)表時,這個數(shù)值要加1。
因為第一個分區(qū)裝有操作系統(tǒng),所以要激活,填寫“80H”:C/H/S參數(shù)已經(jīng)不起作用,所以隨便填,分區(qū)類型為FAT32,應(yīng)填寫“0CH”,分區(qū)開始位置為63號扇區(qū)十六進制為”3F 00 00 00”,分區(qū)大小為62926520個扇區(qū)十六進制為“B8 2E C0 03”,依次填入后存盤,第一個分區(qū)修復(fù)完畢。
(2)修復(fù)第二個分區(qū):將第一個分區(qū)的開始位置63加上其大小62926520,結(jié)果是62926583,這就是第二個分區(qū)開始扇區(qū)號。跳轉(zhuǎn)到此扇區(qū),發(fā)現(xiàn)這是一個擴展分區(qū)EBR,該分區(qū)的大小為251144082,填入計算好的數(shù)值。
到此為至所有的分區(qū)表都已數(shù)據(jù)修復(fù)完畢,將所做的修改存盤并重啟計算機,可以看到硬盤的四個分區(qū)都已恢復(fù)出來
沈陽數(shù)據(jù)恢復(fù) 
