數據恢復分類:硬恢復和軟恢復。所謂硬恢復就是硬盤出現物理性損傷,比如有盤體壞道、電路板芯片燒毀、盤體異響,等故障,由此所導致的普通用戶不容易取出裡面數據,那麼我們將它修好,同時又保留裡面的數據或後來恢復裡面的數據,這些都叫數據恢復,只不過這些故障有容易的和困難的之分;所謂軟恢復,就是硬盤本身沒有物理損傷,而是由於人為或者病毒破壞所造成的數據丟失(比如誤格式化,誤分區),那麼這樣的數據恢復就叫軟恢復。
這裡呢,我們主要介紹軟恢復,因為硬恢復還需要購買一些工具設備(比如pc3000,電烙鐵,各種芯片、電路板),而且還需要懂一點點電路基礎,我們這裡所講到的所有的知識,涉及面廣,層次深,既有數據結構原理,為我們手工准確恢復數據提供依據,又有各種數據恢復軟件的使用方法及技巧,為我們快速恢復數據提供便利,而且所有軟件均為網上下載,不需要我們投資一分錢。
數據恢復的前提:數據不能被二次破壞、覆蓋!
關於數碼與碼制:
關於二進制、十六進制、八進制它們之間的轉換我不想多說,因為他對我們數據恢復來說幫助不大,而且很容易把我們繞暈。如果你感興趣想多了解一些,可以到百度裡面去搜一下,這方面資料已經很多了,就不需要我再多說了。
數據恢復我們主要用十六進制編輯器:Winhex (數據恢復首選軟件)
我們先了解一下數據結構:
下面是一個分了三個區的整個硬盤的數據結構
MBR
C盤
EBR
D盤
EBR
E盤
MBR,即主引導紀錄,位於整個硬盤的0柱面0磁道1扇區,共占用了63個扇區,但實際只使用了1個扇區(512字節)。在總共512字節的主引導記錄中,MBR又可分為三部分:第一部分:引導代碼,占用了446個字節;第二部分:分區表,占用了64字節;第三部分:55AA,結束標志,占用了兩個字節。後面我們要說的用winhex軟件來恢復誤分區,主要就是恢復第二部分:分區表。
引導代碼的作用:就是讓硬盤具備可以引導的功能。如果引導代碼丟失,分區表還在,那麼這個硬盤作為從盤所有分區數據都還在,只是這個硬盤自己不能夠用來啟動進系統了。如果要恢復引導代碼,可以用DOS下的命令:FDISK /MBR;這個命令只是用來恢復引導代碼,不會引起分區改變,丟失數據。另外,也可以用工具軟件,比如DISKGEN、WINHEX等。
但分區表如果丟失,後果就是整個硬盤一個分區沒有,就好象剛買來一個新硬盤沒有分過區一樣。是很多病毒喜歡破壞的區域。
EBR,也叫做擴展MBR(Extended MBR)。因為主引導記錄MBR最多只能描述4個分區項,如果想要在一個硬盤上分多於4個區,就要采用擴展MBR的辦法。
MBR、EBR是分區產生的。
比如MBR和EBR各都占用63個扇區,C盤占用1435329個扇區……那麼數據結構如下表:
63
1435329
63
1435329
63
1253889
MBR
C盤
EBR
D盤
EBR
E盤
擴展分區
而每一個分區又由DBR、FAT1、FAT2、DIR、DATA5部分組成:比如C 盤的數據結構:
C 盤
DBR
FAT1
FAT2
DIR
DATA
Winhex
Winhex是使用最多的一款工具軟件,是在Windows下運行的十六進制編輯軟件,此軟件功能非常強大,有完善的分區管理功能和文件管理功能,能自動分析分區鏈和文件簇鏈,能對硬盤進行不同方式不同程度的備份,甚至克隆整個硬盤;它能夠編輯任何一種文件類型的二進制內容(用十六進制顯示)其磁盤編輯器可以編輯物理磁盤或邏輯磁盤的任意扇區,是手工恢復數據的首選工具軟件。
首先要安裝Winhex,安裝完了就可以啟動winhex了,啟動畫面如下:首先出現的是啟動中心對話框。
這裡我們要對磁盤進行操作,就選擇“打開磁盤”,出現“編輯磁盤”對話框:
在這個對話框裡,我們可以選擇對單個分區打開,也可以對整個硬盤打開,HD0是我現在正用的西部數據40G系統盤,HD1是我們要分析的硬盤,邁拓2G。這裡我們就選擇打開HD1整個硬盤,再點確定.然後我們就看到了Winhex的整個工作界面。
最上面的是菜單欄和工具欄,下面最大的窗口是工作區,現在看到的是硬盤的第一個扇區的內容,以十六進制進行顯示,並在右邊顯示相應的ASCII碼,右邊是詳細資源面板,分為五個部分:狀態、容量、當前位置、窗口情況和剪貼板情況。這些情況對把握整個硬盤的情況非常有幫助。另外,在其上單擊鼠標右鍵,可以將詳細資源面板與窗口對換位置,或關閉資源面板。(如果關閉了資源面板可以通過“察看”菜單——“顯示”命令——“詳細資源面板”來打開)。
最下面一欄是非常有用的輔助信息,如當前扇區/總扇區數目……等
向下拉拉滾動條,可以看到一個灰色的橫槓,每到一個橫槓為一個扇區,一個扇區共512字節,每兩個數字為一個字節,比如00。
下面我們來分析一下MBR,因為前面我們說過,前446個字節為引導代碼,對我們來說沒有意義,這裡我們只分析分區表中的64個字節。
分區表64個字節,一共可以描述4個分區表項,每一個分區表項可以描述一個主分區或一個擴展分區(比如上面的分區表,第一個分區表項描述主分區C盤,第二個分區表項描述擴展分區,第三第四個分區表項填零未用)
每一個分區表項各占16個字節,各字節含義如下:(H表示16進制)
字節位置
內容及含義
第1字節
引導標志。若值為80H表示活動分區;若值為00H表示非活動分區。
第2、3、4字節
本分區的起始磁頭號、扇區號、柱面號
第5字節
分區類型符:
00H——表示該分區未用
06H——FAT16基本分區
0BH——FAT32基本分區
05H——擴展分區
07H——NTFS分區
0FH——(LBA模式)擴展分區
83H—— Linux分區
第6、7、8字節
本分區的結束磁頭號、扇區號、柱面號
第9、10、11、12字節
本分區之前已用了的扇區數
第13、14、15、16字節
本分區的總扇區數
