|
這是我們這里的一同行轉(zhuǎn)到我這里來的一個數(shù)據(jù)�����,據(jù)客戶描述故障為:盤分了三個區(qū)在一次意外死機后重啟電腦后客戶繼續(xù)死機前的工作打開最后一個區(qū)(前兩個區(qū)是正常的)提示未格式化(其實大多數(shù)朋友知道這時的問題簡單得多也許重建DBR后整個盤里面的數(shù)據(jù)都在�,這里暫且就不談這種問題的解決方法了),要命的是這時客戶鬼使神差地點擊了格式化了��,結(jié)果大家當然就知道了�,數(shù)據(jù)肯定是沒有了 。據(jù)轉(zhuǎn)到我這里的那同行說他用各種搜索軟件對整個區(qū)搜了好幾遍(這也是大多數(shù)所謂專業(yè)的數(shù)據(jù)恢復(fù)商所用的恢復(fù)方法了)�,當然也搜到了很多數(shù)據(jù)�����,盡管很亂但還能正常打開����。最后客戶確認搜出來數(shù)據(jù)大部份正常����,但客戶最重要的的一個壓縮文件損壞了,(據(jù)客戶說那壓縮文件是他多年搞設(shè)計購買的素材庫的精華)�。大家知道壓縮文件損壞了是很難很難修復(fù)的了。首先我用WINHEX把他搜出來的那個壓縮文件打開分析了下��,文件頭亂了���,中間的數(shù)據(jù)也不正常。無法修復(fù)���,只好從原盤著手了�����。竟然搜索軟件搜出來的是損壞的�����,那就只有用手工來做了�,當然用手工做這種格式化了的數(shù)據(jù)很費時,且計算量也很大�,只能針對像這樣的個別特重要的數(shù)據(jù)。 對原盤的那個格式化掉的分區(qū)做完鏡像后����,用WINHEX打開鏡像,設(shè)置鏡像文件為磁盤�。如下圖所示: 
分區(qū)是NTFS格式的,整個分區(qū)大小為25.4G�。對NTFS分區(qū)格式研究過的朋友會知道,在NTFS文件系統(tǒng)中�����,文件亦是按簇進行分配的�����, 文件通過主文件表MFT(Master File Table)來確定其在磁盤上的存儲位置����、大小��、屬性等信息��。相當于FAT系統(tǒng)下的FAT+FDT的功能���。每文件都有一個文件記錄。其中第一個記錄就是MFT自己本身��。我們轉(zhuǎn)到第一個文件記錄也就是MFT了直接點可以看到如下圖所示: 
通過第一個文件記錄往下觀察發(fā)現(xiàn)格式化了后對文件記錄沒有產(chǎn)生破壞�。那么這時我們就可以有一個恢復(fù)的思路了:找客記所說的那個壓縮文件的在MFT中的記錄,再通過對文件記錄的分析來確定文件在磁盤中的位置及大小���,就可以直接從中提出文件了�。想到做到���,據(jù)客戶告之���,壓縮文件名為:源文件與素材�����。那好����,我們可以新建一個文本記事本只輸入壓縮文件名―――源文件與素材��!保存�����,再用WINHEX打開可以看到如下圖: 
然后再轉(zhuǎn)回來��,直接從第一個文件記錄往下開始搜索十六進制數(shù)值90 6E 87 65 F6 4E 0E 4E 20 7D 50 67搜索到了一個地方停下來了�,看看是不是那個壓縮文件的記錄呢看下圖: 
根據(jù)觀察可以看出正是客戶要的那個壓縮文件的記錄�,那么我們又如何來確定這個壓縮文件在磁盤上的那一個扇區(qū)?占用了多少的扇區(qū)呢��?這個就需要對NTFS格式有所了解了�����。NTFS將文件作為屬性��、屬性值集合來處理�����,這一點與其他文件系統(tǒng)不一樣���?���?梢钥吹皆贛FT中用了不同顏色的段來區(qū)分, 
如上圖所標記的���,第一個為文件記錄頭�����,第二個10H表示標準屬性�����,第三個30H表示文件名屬性�,最后一個80H表示數(shù)據(jù)流屬性也就是關(guān)鍵所在了���。這里我們只分析數(shù)據(jù)流屬性���,其它屬性就不一一分析了,可以查看相關(guān)資料�����。每一個屬性都為兩部份:屬性頭和內(nèi)容�����。先來分析數(shù)據(jù)流屬性的屬性頭:從第1第4四個字節(jié)表示屬性的類型����,第5第8四個字節(jié)這里的值是48 00 00 00表示屬性的長度(包括屬性頭和內(nèi)容)為72個字節(jié)。從17到24共8個字節(jié)表示起始的VCN即虛擬簇號���,第25到32共8個字節(jié)表示結(jié)束的VCN此處為2D7FH也就是 這個壓縮文件占用了11648個簇�����。再往下分析從33到40共8個字節(jié)表示數(shù)據(jù)運行的偏移��。此處為40H也就是從第64個字節(jié)開始了��。我們就直接來分析數(shù)據(jù)運行也只有這一個運行32 80 2D D5 58 17所以起始的LCN即邏輯簇號為1758D5H=1530069����,長度為2D80H=11648�����。接下來我們轉(zhuǎn)到1530069簇看 
第一個字節(jié)右鍵選塊開始,上面算出來了這個文件的大小為11648個簇����,也就是1530069+11648=1541717再轉(zhuǎn)到1541717簇,所在的扇區(qū)的上一扇區(qū)也就是文件的結(jié)尾了���。最后一個字節(jié)右鍵選塊結(jié)尾��。再在所選塊中右鍵編輯-復(fù)制扇區(qū)-到新文件即指點到路徑保存�。然后改擴展名為RAR���。解壓成功 ���。至此恢復(fù)完成。經(jīng)檢查沒有一個損壞�����。
--------------------------------------------
|
