数据恢复实例

数据恢复

今天要恢复的是岳老师给的一块虚拟硬盘，要我们把这块硬盘的分区以及里面存放的数据都找回来。我利用的工具是winhex。

首先用winhex打开要恢复的硬盘：

对硬盘进行分析。

根据所学到的知识我知道每个硬盘的前63（0-62号）个扇区是保留给系统用的，所以我们应该从63开始进行搜索如下图所示；

观察到在28H的地方看到了一组数据，从这点可以知道这个分区的格式是NTFS分区；还有就是该分区实际分区的大小4E 32 3F（这里数字表示的大小比实际上的大小小1）这样就能算出第一个分区的具体分区情况了！63扇区对应的是0柱面1磁头1扇区；4E 32 3F转换成10进制后的大小是5124671，那么这个分区的结束的位置就是5124671+63=5124734，在winhex里可以查看到它对应的是318柱面254磁头63扇区。如下图所示

那么我们就知道他的第一个分区是：（chs:0/1/1—318/254/63;lba:63—5124734）

这样我们又可以知道下个分区在哪开始，上面分析不错的话那么第2个分区的开始位置就是(chs：319/0/1--- ;lba：5124735--- )

我们在winhex中定位到5124735扇区，如下图标记出的数据；

在20H的位置出现了一组数据，那么我们可以知道的信息是：这个分区的格式是FAT分区，这个分区的大小是25 81 59（与实际大小是一样的，这是和NTFS分区的区别所在）

这样就能算出第2个分区的具体分区情况了！

5124735扇区对应的是319柱面0磁头1扇区；25 81 59转换成10进制后的大小是2457945，那么这个分区的结束的位置就是5124735+2457945-1=7582679，在winhex里可以查看到它对应的是471柱面254磁头63扇区（这可以表示我算的应该正确，因为每个分区都是在254磁头63扇区结束的）。如下图所示

那么我们就知道他的第2个分区是：（chs:319/0/1—471/254/63;lba:5124735—7582679）

同理我们也就知道第3个分区从哪里开始。（chs：472/0/1--- ;lba：7582680--- ）

我们在winhex中定位到7582680扇区，如下图标记出的数据；

在28H的位置出现了一组数据，那么我们可以知道的信息是：这个分区的格式是NTFS分区，这个分区的大小是4B 02 B1

（这里数字表示的大小比实际上的大小小1）

这样就能算出第3个分区的具体分区情况了！

7582680扇区对应的是472柱面0磁头1扇区；4B 02 B1转换成10进制后的大小是4915889，那么这个分区的结束的位置就是7582680+4915889=12498569，在winhex里可以查看到它对应的是777柱面254磁头63扇区（这可以表示我算的应该正确，因为每个分区都是在254磁头63扇区结束的）。如下图所示

那么我们就知道他的第3个分区是：（chs:472/0/1—471/254/63;lba: 7582680—12498569）

我们现在分析出啦分区的个数和大小，现在我们把分区表创建出来就成啦！！

第1个分区；（0/1/1—318/254/63;63—5124734）

第2个分区；(319/0/1--- 471/254/63 ;5124735---7582679 )

第3个分区：472/0/1---777/254/63 ;7582680---12498569 ）

第1个分区表

00 01 01 00 07 FE 7F 3F 3F 00 00 00 40 32 4E 00

第2个分区表

00 00 41 3F 06 FE 7F D7 7F 32 4E 00 59 81 25 00

第3个分区表

00 00 41 D8 07 FE FF 09 D8 B3 73 00 B2 02 4B 00

现在我们来重建分区表

定位到63扇区，找到分区表的位置对其进行改写，将以上算得的16进制数填写到×××区域内。如下图所示

重启计算机后我们看到分区回来了！！

我们看看里面的数据能看吗！！！

好的，到此还算顺利的完成了此次恢复。