案例1.佳能相机EOS5D CF卡 提示格式化 恢复成功
今天客户拿来相机说 卡提示格式化 想要里面的视频,插在电脑上一看 的确提示格式化,按着杜老师教的用Winhex打开一看 MBR 还在 DBR全部变成FF了 搜索F8FF 只找到FAT表2 FAT1 只剩下后面部分了 分析了一下FAT表2 很完整 并得知为FAT32文件系统。接着搜索2E20 到根目录看一下 有一个名为DCIM的文件目录项 且没有损坏 接着到3号簇 和4号簇 5号簇看一下 都没发现问题 计算簇大小为64Sec , 接着计算FAT表大小 为3811Sec 利用FAT表大小得知 分区扇区总数为31219584 好了 接着从别的硬盘Copy一个FAT32 分区的DBR 分别填入以上参数 簇大小64Sec FAT大小3811Sec 和分区大小31219548Sec 保存弹出 从新插拔一下 进我的电脑 已经可以打开了 数据恢复成功。
总结:需要对分区结构、基础知识牢固。利用winhex软件
案例2. 加1减1,数据恢复有时就是这么简单!
昨日去办事情,偶遇一客户。手机8GB卡由于热插拔导致提示“未格式化”。
找了一台电脑下了一个WINHEX。
打开U盘,发现分区开始位置没有DBR,而DBR却被向下移动了一个扇区。
这个很简单,我并没有把DBR向上复制,而是把分区的开始扇区号加了一个“里的保留扇区减去一个“
1”,把DBR
1”。好了,点保存,WINHEX提示IO错误。
最终解决了IO错误,弹出卡,然后再插入,分区正常打开,数据很完整。
IO问题是tf卡有保护 总结:灵活利用知识
案例3最近流行的U盘病毒,导致WORD打不开的恢复方法
最近接到几个U盘.问题基本都是一样,里面的WORD文件基本是打不开的,原本以为是什么大问题,可能想着要设计到重组碎片,价格就报了几百元,打算不弄,后来我就随便用WINHEX打开看了一下,发现文件头的前面每6个字节都破坏.我就打开个好的WORD把前面6个字节覆盖到坏的里面.文件就可以正常打开.我运气还是算好,去年老遇到前面的扇区很有规律的被覆盖。
虽然这个没有什么技术含量.希望可以对其他人有帮助。 总结:文件损坏,分析文件结构损坏规律
案例4
实际数据恢复案例-手工修复FAT32文件系统
找来的一篇好文章,拿出来跟大家分享!
今天接到一个朋友的客户做数据恢复,原来是4个分区CDEF。客户由于觉得C盘小,利用PQ分区大师将D盘部分区域划分给C盘,重启系统后,原C D F三个分区数据正常,E盘分区找不到。朋友用R-Studio扫描全盘,E盘数据始终找不到。
拿到盘后看到情况如下,用Winhex查看发现分区4只是联想硬盘中的隐藏分区(用来还原系统的,不在客户所说的四个分区中)。分区 3 文件结构和磁盘大小都正常正常。分区2的DBR显示大小和实际大小不一致只有80GB,所以初步判断客户需要的E盘应该是和原来D盘合并成了现在的分区2。但如果仅仅是简单的合并 利用R-Studio应该可以直接扫描出来,现在却没能正常扫描到,需要进一步分析。
磁盘分区分布图
根据分区2DBR显示大小找到实际结束位置,在194579343扇区发现了一个NTFS的DBR,但是这只是个孤立的DBR没有紧接着并没有NTLDR,可能是个备份。而且继续向下查找,发现一个FAT32分区的DBR。
继续向下分析,在194579351 位置发现了 NTFS INDX文件,并且向下发现了更多的NTFS分区信息。本来以为这只是个孤立的事件。但在向下查找过程中意外发现了类似 FAT表的数据,找到头部,发现居然然是 一个完整FAT表,而表后是目录项。然后对刚刚发现的那个 FAT32 DBR进行解析,如果把这个FAT32 DBR 当成备份的话,刚刚看到的这个FAT应该是FAT2。而且显示的分区大小和到分区3之间的扇区数相等。而且从分区3开始的位置,从后向前找NTFS分区备份,也未能找到,说明丢失的E盘应该是FAT32分区。
通过以上分析我猜测,丢失的分区正是个FAT32分区,分区DBR和 FAT1 在PQ移动过程中被覆盖掉,现在盘上发现NTFS DBR的位置正好是原来 FAT32DBR的位置。 根据这个想法,把备份FAT32 DBR 贴回,计算FAT1的实际位置,将FAT2还原到FAT1,如表 恢复后 所示。
用Winehx 展开当前恢复的分区,数据正常访问,用工具恢复数据,恢复完成。
总结:
1、不能盲目相信恢复工具,在文件系统关键信息丢失的情况下,恢复工具无法智能分析出文件系统结构;
2、使用PQ工具是一定要注意备份当前数据; 3、对文件系统结构要非常熟悉。
案例6
硬盘在电脑上无法识别到盘符故障1
硬盘检测不到有很多问题:就先讲一个很常见的问题。对新手很有用今天接到一个ST 80G的台式机硬盘,把故障盘接到电脑上,电脑就好像死机一样,故障盘拔了电脑有可以正常使用,原本一般我遇到这样的问题大部份是坏道导致,当然也有其他问题也会导致以后案列中会讲到, 我用MHDD检测没有发现任何坏道,用指令看也是正常的,然后又用SPFDISK查看分区表也是正常的,后来没有办法,我就在DOS下用SPFDISK这个命令把分区给删除。在插到电脑上,电脑没有死机了。winhex打开后,分区都看不见。当然要做的是把分区表信息填好,分区表出来以后直接用WINHEX拷数据出来就可以。如果不用WINHEX把数据拷出来。重新启动电脑一样会卡死。所以这个方法是很使用的。数据拷完重新分下区硬盘就可以正常使用了。
案例7通过查找$MFT反推DBR位置手工构建DBR ——一次手工恢复误GHOST严重损坏的分区实例
两天前下午,我在淘宝店(zck699.taobao.com)接到一个客户,他介绍说他用GHOST安装系统,结果安装两三次系统都不能正常启动,然后用他原来系统的GHOST备份恢复,系统起来了,但系统中就只有一个C分区了,还有两个分区D和E不见了,让我给他恢复原来E分区中的数据。想到这种问题一般都很简单,就是恢复一下分区表就完事了,所以也没有先远程看一下,就接了下来。
远程连接到客户电脑上,打开事先让客户下载好的Winhex,再在
Winhex中打开待恢复的硬盘,硬盘在Winhex显示就只有一个分区。根据经验,这种情况在Winhex中是看不到原来的分区的,于是决定先用PTDD扫描一遍看看再说。
用PTDD扫描分区信息,扫描完成后,只在硬盘的后面部分有一个原来的分区信息,大小为99.7G,这个分区可能就是原来的E分区。根据客户的描述,原来的三个分区是C分区45G左右,D分区25G左右,E分区230G左右。显然PTDD扫描出来的分区并不是原来的分区。但还是不死心,万一是客户记错了呢?于是重建这个分区。
接下来在Winhex中打开硬盘,此时在目录浏览器中显示出了刚才重建的那个分,但单击这个分区,跳转到它的起始扇区,结果发现这个扇区数据全是0,现在很明显重建的这个分区并不是客户的E分区。 看来用软件扫描不到原来的分区了,只得手工恢复了。
通常情况下,XP在分区时会将第一个分区分为主分区,其余分区分为逻辑分区,D、E两分区很有可能是逻辑分区,于是首先尝试查找扩展分区表。在Winhex中打开待恢复硬盘,根据客户所说C分区大约45G,于是从40G位置开始,设置搜索条件为512=508,向下查找000055AA。通过一翻搜索,倒是搜索到一个扩展分区表,但经查看,却是PTDD中搜索到的那个分区,看来没有这两个分区的扩展分区表项。 搜索扩展分区表失败,接下来想到直接搜索DBR。搜索了一部分扇区后,想到PTDD都没能搜出来,这两个分区的DBR扇区应该是已被破坏没有了,于是停止了搜索。
由于客户要的是E分区的数据,E分区大小为230G左右,应该是