幻女free性zozo交孩交/亚洲成人直播/日本视频免费/国产国语videosex另类

NTFS數(shù)據(jù)恢復(fù)實戰(zhàn)

2013-11-30 17:23:29 來源:華軍數(shù)據(jù)恢復(fù) 作者:網(wǎng)站管理員 閱讀:

        根據(jù)外國統(tǒng)計機構(gòu)發(fā)布的信息,個人PC電腦操作系統(tǒng)市場份額統(tǒng)計,微軟WINDOWS的操作系統(tǒng)份額達到90%多,而微軟WINDOWS的操作系統(tǒng)使用的文件系統(tǒng),主流文件系統(tǒng)還是NTFS,下面筆者用案例向大家介紹NTFS數(shù)據(jù)恢復(fù)的實戰(zhàn)過程。

        數(shù)據(jù)丟失的具體故障為:盤分了三個區(qū)在一次意外死機后磁盤提示(前兩個區(qū)是正常的)提示未格式化(其實大多數(shù)朋友知道這時的問題簡單得多也許重建DBR后整個盤里面的數(shù)據(jù)都在,這里暫且就不談這種問題的解決方法了),要命的是這時已經(jīng)鬼使神差地點擊了格式化了,結(jié)果大家當(dāng)然就知道了,數(shù)據(jù)肯定是沒有了。據(jù)轉(zhuǎn)到我這里的那同行說他用各種搜索軟件對整個區(qū)搜了好幾遍(這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了),當(dāng)然也搜到了很多數(shù)據(jù),盡管很亂但還能正常打開。最后客戶確認(rèn)搜出來數(shù)據(jù)大部份正常,但最重要的的一個壓縮文件損壞了,大家知道壓縮文件損壞了是很難很難修復(fù)的了。首先我用WINHEX把他搜出來的那個壓縮文件打開分析了下,文件頭亂了,中間的數(shù)據(jù)也不正常。無法修復(fù),只好從原盤著手了。竟然搜索軟件搜出來的是損壞的,那就只有用手工來做了,當(dāng)然用手工做這種格式化了的數(shù)據(jù)很費時,且計算量也很大,只能針對像這樣的個別特重要的數(shù)據(jù)。

 
       對原盤的那個格式化掉的分區(qū)做完鏡像后,用WINHEX打開鏡像,設(shè)置鏡像文件為磁盤。如下圖所示:
 
 NTFS數(shù)據(jù)恢復(fù)實例
 
      分區(qū)是NTFS格式的,整個分區(qū)大小為25.4G。對NTFS分區(qū)格式研究過的朋友會知道,在NTFS文件系統(tǒng)中,文件亦是按簇進行分配的,文件通過主文件表MFT(Master File Table)來確定其在磁盤上的存儲位置、大小、屬性等信息。相當(dāng)于FAT系統(tǒng)下的FAT+FDT的功能。每文件都有一個文件記錄。其中第一個記錄就是MFT自己本身。我們轉(zhuǎn)到第一個文件記錄也就是MFT了直接點可以看到如下圖所示:
 
NTFS數(shù)據(jù)恢復(fù)實例
 
        通過第一個文件記錄往下觀察發(fā)現(xiàn)格式化了后對文件記錄沒有產(chǎn)生破壞。那么這時我們就可以有一個恢復(fù)的思路了:找到所說的那個壓縮文件的在MFT中的記錄,再通過對文件記錄的分析來確定文件在磁盤中的位置及大小,就可以直接從中提出文件了。想到做到,只知道一個壓縮文件的壓縮文件名為:源文件與素材。那好,我們可以新建一個文本記事本只輸入壓縮文件名―――源文件與素材!保存,再用WINHEX打開可以看到如下圖:
 
NTFS數(shù)據(jù)恢復(fù)實例
 
        然后再轉(zhuǎn)回來,直接從第一個文件記錄往下開始搜索十六進制數(shù)值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜索到了一個地方停下來了,看看是不是那個壓縮文件的記錄呢看下圖:
 
NTFS數(shù)據(jù)恢復(fù)實例
 
        根據(jù)觀察可以看出正是客戶要的那個壓縮文件的記錄,那么我們又如何來確定這個壓縮文件在磁盤上的那一個扇區(qū)?占用了多少的扇區(qū)呢?這個就需要對NTFS格式有所了解了。NTFS將文件作為屬性、屬性值集合來處理,這一點其他文件系統(tǒng)不一樣。可以看到在MFT中用了不同顏色的段來區(qū)分,
     
NTFS數(shù)據(jù)恢復(fù)實例
              
        如上圖所標(biāo)記的,第一個為文件記錄頭,第二個10H表示標(biāo)準(zhǔn)屬性,第三個30H表示文件名屬性,最后一個80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了。這里我們只分析數(shù)據(jù)流屬性,其它屬性就不一一分析了,可以查看相關(guān)資料。每一個屬性都為兩部份:屬性頭和內(nèi)容。先來分析數(shù)據(jù)流屬性的屬性頭:從第1第4四個字節(jié)表示屬性的類型,第5第8四個字節(jié)這里的值是48 00 00 00表示屬性的長度(包括屬性頭和內(nèi)容)為72個字節(jié)。從17到24共8個字節(jié)表示起始的VCN即虛擬簇號,第25到32共8個字節(jié)表示結(jié)束的VCN此處為2D7FH也就是 這個壓縮文件占用了11648個簇。再往下分析從33到40共8個字節(jié)表示數(shù)據(jù)運行的偏移。此處為40H也就是從第64個字節(jié)開始了。我們就直接來分析數(shù)據(jù)運行也只有這一個運行32 80 2D D5 58 17所以起始的LCN即邏輯簇號為1758D5H=1530069,長度為2D80H=11648。接下來我們轉(zhuǎn)到1530069簇看,第一個字節(jié)右鍵選塊開始,上面算出來這個文件的,如下圖:
 
 NTFS數(shù)據(jù)恢復(fù)實例
 
        大小為11648個簇,也就是1530069+11648=1541717再轉(zhuǎn)到1541717簇,所在的扇區(qū)的上一扇區(qū)也就是文件的結(jié)尾了。最后一個字節(jié)右鍵選塊結(jié)尾。再在所選塊中右鍵編輯-復(fù)制扇區(qū)-到新文件即指點到路徑保存。然后改擴展名為RAR。
        至此恢復(fù)完成。經(jīng)檢查沒有一個損壞的。
 
       假如您恢復(fù)不成功,或者資料不完整,可以將硬盤拿到我們?nèi)A軍行數(shù)據(jù)恢復(fù),我們有更加專業(yè)的數(shù)據(jù)恢復(fù)工程師為您服務(wù)!
  • 華軍行數(shù)據(jù)恢復(fù) - 最新圖文資訊
  • 最新資訊導(dǎo)讀
  • 推薦內(nèi)容
  • 熱點內(nèi)容
CopyRight2014-2016 華軍數(shù)據(jù)恢復(fù)中心 版權(quán)所有 浙ICP備15017254號-4 成功案例 | 華軍資訊 | 技術(shù)專題 | RSS地圖