今入门电子数据恢复,磁盘使用的分区类型是MBR(现大多数电脑的C盘和D盘使用的分区类型是 GPT ,请勿用以下方法对其进行尝试,应该用使用MBR分区类型的磁盘进行操作),载入实验磁盘,右键此电脑打开管理中的磁盘管理,可看到加载入的磁盘2分成两个分区。
接下来将磁盘分区删除,新加卷右键点击删除
得到效果如下
糟糕,有重要文件呢,怎么办呀Σ(っ °Д °;)っ
别担心,恢复很简单!
前提是一定不能对这个磁盘做新建简单卷等其他会对磁盘进行写入或格式化的操作(在NTFS下格式化很多时候是无法恢复格式化前的数据的,FAT32则不然)
这里先熟悉NTFS文件系统,其安全性高,可使用EFS加密,是现在绝大多数电脑磁盘分区使用的文件系统,因此我们恢复磁盘时,首先明确其是使用NTFS文件系统的磁盘。
对于NTFS分区的DBR,我们只看前5行,此次恢复只需要使用文件系统总扇区数这个属性。
首先,用Winhex打开磁盘2
可以看到两个分区图标是灰色的,分区表全为00,说明磁盘有损坏,但是也说明分区并未真正消失,于是我们对分区表进行修复即可。
先熟悉分区表项属性
恢复分区关键在于分区正确填充分区类型值、分区起始扇区、分区总扇区数。
接下来我们查找第一个NTFS DBR扇区位置,十六进制查找输入55AA
PS:此处512=510表示是每512字节(一个扇区)忽略前510字节,只比较后两个字节进行查找
很快我们找到了第一个扇区
然后记下此DBR扇区位置:2048 总扇区数:47558655
接下来继续查找下一个MBR扇区位置,我们发现,即使做了优化,用十六进制查找还是非常的慢,这是因为第二个分区太大了,此时我们可以直接跳转查看,跳到2048+47558655**+1**(一定要+1,后面会说明原因,这是NTFS和FAT的区别之一)扇区,可以发现找到了第二个NTFS DBR扇区
记录下第二个DBR扇区位置:47560704 总扇区数:441071615
实际上,我们也可以通过逆向查找DBR扇区,将滑动条移到扇区末尾,向上查找55AA
也是同样可以找到的。
其实还有一种最简单的方法:直接点击分区就可以跳到相应分区的DBR扇区位置啦。
接下来填分区表,这边填数据有个技巧。
先选中数据区域,往数据解释器填入相应bit位的数值
再按回车即可填充十六进制数据
填完后效果如下
最后,千万要记得加分区表的分区类型值!!!
在两个分区表项的第五个字节都填入07(代表NTFS分区)
点击左上角保存按钮
进入磁盘管理,刷新磁盘管理
发现一个问题,第二个扇区未成功恢复,这是什么原因呢?
原来,第二个扇区边有两个一样的DBR扇区,其中一个是和第一个DBR扇区是一样的(NTFS分区末尾会有一个备份DBR,但这个扇区并没有被计入总扇区数,有时候ntfs的总扇区数可能会少好几个扇区,因此直接用扇区位置+扇区总数计算下一个DBR位置时要注意跳转到的下一个DBR扇区是否是正确的,一般要向下浮动观察),填扇区时误填47560703,此时只要将第二个扇区位置改为47560703+1=47560704即可。
再次保存,刷新磁盘管理
恢复成功!
