NTFS分区上数据的特殊恢复方法探讨
Windows系统FAT32和NTFS分区文件删除的恢复方法的研究
Windows系统FAT32和NTFS分区文件删除的恢复方法的研究SYS PRACTICE 系统实践当前,Windows操作系统占据了计算机的90%以上的份额,其文件系统类型有两类,FAT32格式和NTFS格式,本文针对这两种文件系统下的数据恢复进行分析和讨论。
一、数据恢复基础(一)?文件系统。
文件系统是操作系统用于组织文件的方法,主要用来记录存储设备已用和未用的空间,维护目录与文件信息,文件系统与其文件组织形式息息相关,不同的文件系统,其逻辑组织方式也是不同的。
(二)?簇。
操作系统将簇作为文件存储的基本分配单位,簇的大小是在对硬盘进行格式化过程中由程序自动分配的,一个簇包含2n个扇区,不论文件有多小,其所占用的空间都是1簇。
二、 FAT32文件系统的数据恢复(一)?基本概念。
FAT32文件系统由DBR,FAT表和数据区构成,采用簇的管理方式管理,和FAT16文件系统相比,不再有固定的根目录区域,而是将根目录与其他目录、文件等一同视为“数据”。
1.?DBR扇区。
FAT32的DBR扇区位于分区所在扇区的首扇区,其数据结构由跳转指令(EB?58?90)、BPB参数值等参数构成。
重要的数值包含每扇区字节数、每簇扇区数、保留扇区数、FAT表个数等。
2.?FAT表。
FAT32文件系统的FAT表以“F8?FF?FF?0F”为FAT 表起始标志,以“FF?FF?FF?0F”为簇链结束标记。
FAT表记录着文件在分区中的分布情况,每个FAT表项占用4字节,如果该簇未被占用,则为“00?00?00?00”,如果该簇为文件的最后一簇,则为“FF?FF?FF?0F”,否则该簇就是文件所占用的下一个簇的簇号,如果该簇为坏簇,则为“F7?FF?FF?FF”。
3.FAT32文件目录项。
FAT32文件系统将根目录归入数据区进行管理,这样做的好处是不受限于目录项数,在需要增加空间时可以为其分配后续簇实现[1]。
FAT32文件系统中使用4个字节描述簇地址,为此FAT32使用0x14-15两个字节作为数据起始簇号高位,0x0A-0B两个字姐作为起始簇号的低位,在读取的时候采用低位在前高位在后的顺序进行读取,然后再转换为十进制数,即可得到目录的起始簇号。
NTFS被快速格式化成NTFS后数据恢复的研究
NTFS被快速格式化成NTFS后数据恢复的研究陈培德;王丽清;吴建平【摘要】快速格式化是高级格式化中的一种特殊形式.逻辑盘被快速格式化后数据能否恢复取决于快速格式化操作对原来文件系统中所存储数据的破坏程度.以Windows 7为平台,WinHex 15.08为分析工具,对NTFS文件系统结构进行分析,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统,通过快速格式化后与快速格式化前对元文件$MFT变化的对比,提出了恢复快速格式化前NTFS文件系统数据的基本思路、方法与步骤.实验结果表明,将逻辑盘由NTFS文件系统快速格式化成NTFS文件系统后,只要恢复格式化前的元文件$MFT的80H属性值,通过CHKDSK命令,便可以恢复被快速格式化破坏的NTFS文件系统结构,除部分数据被覆盖无法恢复外,其他未覆盖的数据均可全部恢复.【期刊名称】《计算机技术与发展》【年(卷),期】2018(028)008【总页数】5页(P191-195)【关键词】格式化;FAT32文件系统;NTFS文件系统;数据恢复【作者】陈培德;王丽清;吴建平【作者单位】云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223;云南大学信息学院,云南昆明 650223;云南省高校数字媒体技术重点实验室,云南昆明 650223【正文语种】中文【中图分类】TP311.120 引言格式化是指对磁盘或磁盘中的分区进行初始化的一种操作,这种操作通常会导致现有的磁盘或分区中所有的文件被清除。
格式化通常分为低级格式化和高级格式化[1]。
如果没有特别指明,对硬盘的格式化通常是指高级格式化。
外存储器在生产出来后,一般要经过低级格式化、分区和高级格式操作后,才能用来存储数据[1]。
低级格式化针对的是整个硬盘,一般由外存储器生产厂商来完成;而对外存储器的分区和高级格式化一般由销售商或者用户来完成,高级格式化针对的是某个分区。
数据恢复-R-Studio专题文章教程
详解使用R-Studio恢复数据之1:误分区后的恢复本文来源于《数据重现--文件系统原理精解与数据恢复最佳实践》R-Studio是一款功能比较强大的数据恢复软件,它的特点有如下几点:1)支持FAT系列、NTFS系列、UFS系列、ExtX等文件系统。
2)参数设置非常灵活,使恢复人员可以根据不同的具体情况进行相应的设置,以最大可能地恢复数据。
3)支持远程恢复,可以通过网络恢复远程计算机中的数据。
4)支持分区丢失、格式化、误删除等情况下的数据恢复。
5)不只支持基本磁盘,还支持动态磁盘。
6)支持RAID恢复,可以恢复跨区卷、RAID0、RAID1及RAID5的数据。
R-Studio也可以象Winhex一样不依赖于磁盘主引导扇区的“55AA”有效签名标志对分区表进行识别并列举出各个分区。
前面介绍MHDD时曾经提到,当某个分区的引导扇区恰好处于坏道上,导致系统启动时因无法读取坏道上的信息而启动缓慢甚至无法进入系统时,可以使用MHDD提供的“Switchmbr”命令清除主引导记录扇区的“55AA”标志,使操作系统将磁盘视为未初始化而不再检索其分区表,从而可以顺利地进入操作系统。
然后,就可以利用R-Studio不依赖于“55AA”标志的特性恢复数据。
对于R-Studio的特性我们不再做更多的介绍,有兴趣的读者可以登陆[url]/qtzl/qt2/[/url]网站查看R-Studio帮助文件的译文。
下面我们来使用它进行实际的恢复演示,读者对其有个基本的了解后,可以自行研究其强大的功能。
1.分区恢复R-Studio可以通过对整个磁盘的扫描,利用智能检索技术搜索到的数据来确定现存的和曾经存在过的分区以及它的文件系统格式。
下面,我们以一个20GB容量的磁盘演示分区恢复的过程。
首先在磁盘上建立三个分区,并向其中拷入数据。
运行R-Studio后,程序可以自动识别到硬盘,读取其分区表并列举出现存的分区。
如图10.62所示。
我们用做实验的磁盘型号为IC25N020CSH201D2GACA20,R-Studio可以自动识别这个型号。
fat32文件系统的数据恢复
五、小结
不要把数据直接恢复到源盘上。 数据丢失后,要严禁往需要恢复的分区里 面存新文件。 不要再次格式化分区。
文件或子目录的信息。其中包括了DOS的系统文件
(IO.SYS、MSDOS.SYS、和)的目录项。
文件目录项结构
文件目录。用于标识文件的基本属性(文件名、大小、文件的 位置等),每个文件占32字节。
文件名
文件所在位置
该文件大小
二、 文件删除后的变化
文件目录项的第一个字节被改为“E5” , 文件名的其他字节并没有变化 ;
FAT32文件系统由DOS引导记录(DBR)扇区、 FAT表、数据区三个部分组成。
FAT32把目录当做文件来管理,所以没有独立
的目录区,所有的文件目录项都是在数据区里面
的。
1.1 DBR分析
DBR(DOS BOOT RECORD,DOS引导记录),位于柱面0,磁头1, 扇区1,即逻辑扇区0 ; 它包括一个引导程序和一个BPB(本分区参数记录表 ); DOS 引导程序完成DOS系统文件(IO.SYS,MSDOS.SYS)的定 位与装载 ; BPB用来描述本DOS分区的磁盘信息,比如:本分 区的起始扇区、 结束扇区等等。 注意:搜索DBR的标志: FAT16的DBR:EB 3C 90,无备份的DBR FAT32的DBR:EB 58 90,有备份的DBR,通常在该分区 的第6扇区 NTFS的DBR: EB 52 90,有备份的DBR,通常在该分区的 最后一个扇区
2
BPB的结构
偏移地址
0BH
0DH 0EH
长度(字节)
2
1 2
意义
每个扇区的字节数,常取512。
每簇扇区数;可以是1, 2, 4, 8, 16, 32, 64, 128,取决于文件系统 格式及分区大小。 为操作系统保留的扇区数;FAT32时多为十进制的32,FAT16 时为1,有的格式化工具可能将它设为36或63。
不花钱不求人 硬盘数据恢复六大招
不花钱不求人硬盘数据恢复六大招硬盘有价而数据无价,现在越来越多的用户有这样的概念,但是只有在真正遇到数据危机时才会有切身的感受,尽管存储在各种磁盘中的计算机数据如此重要,但由于技术和工艺的原因,任何存储设备都存在毁损的风险。
运行环境的改变和恶化,违规操作或折磨式操作,病毒的破坏和黑客的入侵,以及难以避免的各种异常情况,都可能导致存储设备报废和软件系统崩溃。
不少朋友都认为,数据恢复是一项专业性很强的工作,需要对磁盘结构和文件系统有透彻的了解,真的有那么神秘么?其实针对一些简单的软件类数据丢失,我们自己动手就能解决问题,不仅可以省下一大笔费用,而且对自己的电脑水平的提高也是一个难得的机会。
今天小编就和大家聊一下关于一些数据回复的解决办法。
一旦遭遇数据危机,保持一份从容不迫的心态非常重要,出现手忙脚乱的情况则很可能造成更大的破坏,让本来可以恢复的数据变得无法挽救。
事实上,自己独立挽救万元价值的数据并非是天方谭谈,只要掌握一些操作技巧并方法得当,大家完全可能会扮演拯救数据危机的英雄角色。
■数据丢失,对症下药对症下药,哪些数据可以挽救?数据出现问题主要包括两大类:逻辑问题和硬件问题,相对应的恢复也分别称为软件恢复和硬件恢复。
软件恢复是指通过软件的方式进行数据修复,整个过程并不涉及硬件维修。
而导致数据丢失的原因往往是病毒感染、误格式化、误分区、误克隆、误删除、操作断电等。
软件类故障的特点为:无法进入操作系统、文件无法读取、文件无法被关联的应用程序打开、文件丢失、分区丢失、乱码显示等。
事实上,造成软件类数据丢失的原因十分复杂,每种情况都有特定的症状出现,或者多种症状同时出现。
一般情况下,只要数据区没有被彻底覆盖,个人用户通过一些特定的软件,基本上都可以顺利恢复。
以最普通的删除操作为例,实际上此时保存在硬盘中的文件并没有被完全覆盖掉,通过一些特定的软件方法,能够按照主引导区、分区、DBR、FAT,最后文件实体恢复的顺序来解决;当然也应客观承认的是,尽管软件类数据恢复有很多细节性的技巧与难以简单表达的经验,但是也的确存在现有软件恢复技术无能为力的情况。
巧用EasyRecovery恢复误格式化的磁盘分区
巧用EasyRecovery恢复误格式化的磁盘分区一、EasyRecovery数据恢复原理在步入主题前,我们有必要向大家介绍一下数据恢复的一些基本原理。
当我们利用Format命令或是DEL格式化分区或删除硬盘分区上的文件时,有经验的朋友都会知道此时硬盘上的数据并没有真正的被删除,文件的结构信息保留在了硬盘上,除非是写入新的数据将其覆盖。
明白这一点后,我们在操作时可要注意了,特别是在误格式化硬盘分区以后,千万不要再往这个分区中写入任何的数据文件,而要尽快利用软件修复误格的分区。
一旦写入新的数据后,新数据便会将已存在的数据覆盖掉!无论如何都找不回你想要的数据了,神仙也救不了你了,这一点一定要切记!!!如果你需要修复的分区恰恰是系统分区,也就是C盘,那么此时你首先做的应该是尽快退出系统,然后将硬盘取出,挂到另外一台机器上进行修复,并将修复好的数据保存在硬盘的其它分区上,然后再重新装系统。
因此我们极不推荐将重要的资料存放在系统盘上。
用EasyRecovery找回数据、文件的前提就是硬盘中还保留有文件的信息和数据块。
EasyRecovery使用复杂的模式识别技术找回分布在硬盘上不同地方的文件碎块,并根据统计信息对这些文件碎块进行重整。
接着EasyRecovery在内存中建立一个虚拟的文件系统并列出所有的文件和目录。
哪怕整个分区都不可见、或者硬盘上也只有非常少的分区维护信息,EasyRecovery仍然可以高质量地找回文件。
二、EasyRecovery 6.0功能简介笔者这次使用的是EasyRecovery 6.0版本,这个版本虽然并不是最新版,便功能也是十分强大。
EasyRecovery 6.0版提供了包括磁盘诊断、数据修复、文件修复、邮件修复等各种功能。
图1图2在磁盘诊断中(如图1),此软件可以对测试硬件潜在的故障(DRIVETESTS)、监测并报告潜在的硬盘驱动器故障(SMARTTESTS)、磁盘驱动器空间使用详细报告(SIZEMANAGER)、查找磁盘驱动器的条件设置(JUMPERVIEWER)、分析现存的文件系统结构(PARTITIONTESTS)和创建可引导诊断工具的紧急启动盘(DATAADVISOR)。
亲身体验用DiskGenius找回丢失的硬盘空间raw变成ntfs
用Disk Genius找回丢失的硬盘空间“我的硬盘空间丢了!17个GB!”接到朋友的求救电话,电脑医生小林、阿辉火速赶往事发现场。
主人自述:所购微机硬盘格式化后容量为38GB,共分C、D、E三个区,其中主分区C容量为5GB,扩展分区D、E平分余下空间,约16.5GB。
今天电脑开机后一切正常,但试图通过“我的电脑”选取E盘时,竟发现E盘神秘失踪。
现场情况:当前电脑操作系统为Windows 98,打开“我的电脑”,只显示硬盘盘符C、D,E盘显示为光驱(原为F盘)。
C、D盘容量、内容均正常,Windows 98操作系统工作也无异常。
初诊病因:硬盘分区被隐藏或系统显示信息错误望闻问切:目前,出于计算机安全考虑,许多软件都具有隐藏硬盘分区的功能,除了专门的加密软件外,常见的还有“Windows优化大师”、“超级魔法兔子设置”等。
经询问得知主人根本未进行过类似的设置,经查机内也没有该类软件,基本可排除人为隐藏硬盘分区的可能。
另外,是否是硬盘存在错误所致?用Windows 98下的磁盘扫描程序检查硬盘,未发现任何错误。
复诊病因:硬盘分区表被破坏望闻问切:硬盘分区表位于硬盘主引导扇区的后面,保存分区的引导标志、系统标志、起始和结尾柱面号、扇区号、磁头号等重要数据。
如果该分区表遭到破坏,将导致磁盘丢失等故障。
为了证实分区表是否完好,在DOS环境下运行硬盘分区软件FDISK,选择第4项“Display patition information”查看分区表信息。
信息显示当前硬盘容量为38GB,主分区为5GB,扩展分区中逻辑分区只有一个,容量为16.5GB。
这样硬盘显示的总容量与实际分区容量不相等,即另有16.5GB的空间无法识别,应该为硬盘分区表损坏所致。
救治措施:对患者实施“恢复硬盘分区表”手术医疗器械:DiskGenius(免费软件,可到下载)手术过程:1.在使用DiskGenius之前,首先要对系统进行“消毒”。
用DiskGenius恢复分区及文件的方法
用DiskGenius恢复分区及文件的方法最近在email及论坛中发现很多朋友在分区或文件丢失后恢复数据时不得要领,不知道如何操作才能恢复数据,甚至情急之下胡乱操作,造成无法挽回的损失。
这里对恢复数据过程中需要注意的问题及正确的恢复方法做进行说明。
一、恢复之前要注意的问题:1、发现问题后立即停止一切涉及到“写”的动作。
涉及到“写操作”的动作有很多,如保存文件、建立新文件、删除文件。
甚至操作系统的正常运行也会有大量的写操作,系统运行时会产生临时文件、网页缓存、文档访问记录、系统运行日志、QQ或MSN聊天记录等等,非常多。
不过这些写操作在默认情况下都是写到系统分区(一般情况下是 C 盘)的。
聊天记录一般保存在“我的文档”文件夹。
如果是系统盘(C盘)的文件丢失,最好的办法应该是立即关掉电脑电源(不是正常的关机,正常关机也可能会有写操作),然后再将硬盘挂到其它电脑上进行文件恢复。
挂到其它电脑上以后,也要注意关闭Windows的系统还原,不要随意打开问题硬盘上的文件。
因为打开文件的同时很可能会产生一些临时文件,造成二次破坏。
(注:可见平时养成将个人文件保存到非系统盘的习惯是多么的重要)2、自己不懂不要随意尝试。
很多用户丢失数据后非常焦急,很想立即恢复数据,于是就想方设法尝试各种数据恢复的方法。
所谓有病乱投医。
但由于自己没有这方面的经验,反而引起更严重的后果,导致数据彻底无法恢复。
如果数据非常重要,最好的办法还是将硬盘送到专业的数据恢复公司去恢复。
收费可能高点,但是数据无价呀。
数据恢复确实是需要很高的技术的。
3、不要格式化。
格式化是会破坏数据的!很可笑吧?这还用说?是的,需要说一下。
因为有很多用户并不明白“格式化”是什么意思,大概认为格式化就是使文件更整齐吧。
这是错误的,非常错误!有用户认为文件丢失后,用“误格式化后的文件恢复”功能恢复文件的成功率是很高的,所以先将分区格式化一下,再用这个功能就可以恢复数据了。
数据恢复技术详解-课件
10/2/2023
数据恢复技术
42
10/2/2023
数据恢复技术
43
案例6
2005年9月4日,某上市公司物流部门的RAID磁盘 阵列突然崩溃,此时阵列柜指示灯显示硬盘掉线。 由于整个RAID已经崩溃,因此管理员无法进入系 统,也就感到无从下手。在大脑一片空白的情况 下,还是主管请来了专业的数据恢复公司,最后 以单盘3000元的价格(总计8块硬盘,2.4万元)进行 数据恢复操作。RAID崩溃而导致的数据灾难在整 体数据恢复案例中大约占据11%,尽管比例不是 很高,但是收费却相当惊人。RAID数据灾难的症 状包括亮指示灯、RAID信息丢失、分区丢失、所 有硬盘变成单独硬盘(软RAID)等,这类故障的处 理方法比较复杂。
数据恢复技术
36
10/2/2023
数据恢复技术
37
10/2/2023
数据恢复技术
38
案例4
华南某设计院的一台服务器承担着整个设计院的存 储任务。2005年8月2日,由于管理员的误操作,将 2004全年的数据全部删除。由于当时删除的时 候 并不是放入“回收站”,而是直接删除,因此普 通 方法根本无法找回。为了找回这些数据,慌乱 之 中管理员使用了当时的Ghost备份文件来恢复,但 是恢复后发现还是没有需要的文件,并且把整 个
10/2/2023
数据恢复技术
22
案例3
东北地区某服装设计公司的SCSI单盘服务器 存储着整个公司的设计资料,原本就发现 该硬盘有轻微的坏道,但是并未引起管理 员重视,也没有做好备份工作。终于在2005 年7月13日,硬盘无法启动了,管理员尝试 格式化系统分区也宣告失败。
10/2/2023
数据恢复技术
与主引导区相比,分区表被破坏时的修复 相对要复杂一些。
硬盘损坏后恢复数据的几种方法nbsp误格式化硬盘数据的恢复
硬盘损坏后恢复数据的几种方法 误格式化硬盘数据的恢复214小游戏/一、硬盘的分区对于你手中硬盘来说,首先要做的事情就是分区了。
硬盘分区是否合理直接影响到以后工作的便利性和数据的安全性。
我们最常见到的分区表错误也是硬盘的最严重错误,不同错误的程度会造成不同的损失。
如果是没有活动分区标志,则计算机无法启动。
但从软驱或光驱引导系统后可对硬盘读写,可通过fdisk重置活动分区可进行修复。
如果是某一分区类型错误,会造成某一分区的丢失。
在一般情况下完成硬盘分区之后,会形成3种形式的分区状态;即主分区、扩展分区和非DOS分区。
在硬盘中非DOS分区(Non-DOSPartition)是一种特殊的分区形式,它是将硬盘中的一块区域单独划分出来供另一个操作系统使用,对主分区的操作系统来讲,是一块被划分出去的存储空间。
只有非DOS分区内的操作系统才能管理和使用这块存储区域,非DOS分区之外的系统一般不能对该分区内的数据进行访问。
主分区则是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。
其中的主引导程序是它的一部分,此段程序主要用于检测硬盘分区的正确性,并确定活动分区,负责把引导权移交给活动分区的DOS或其他操作系统。
此段程序损坏将无法从硬盘引导,但从软区或光区之后可对硬盘进行读写。
而扩展分区的概念是比较复杂的,极容易造成硬盘分区与逻辑磁盘混淆;分区表的第四个字节为分区类型值,正常的可引导的大于32mb的基本DOS分区值为06,扩展的DOS分区值是05。
如果把基本DOS分区类型改为05则无法启动系统,并且不能读写其中的数据。
如果把06改为DOS不识别的类型如efh,则DOS认为改分区不是DOS分区,当然无法读写。
很多人利用此类型值实现单个分区的加密技术,恢复原来的正确类型值即可使该分区恢复正常。
分区表中还有其他数据用于纪录分区的起始或终止地址。
这些数据的损坏将造成该分区的混乱或丢失,一般无法进行手工恢复,唯一的方法是用备份的分区表数据重新写回,或者从其他的相同类型的并且分区状况相同的硬盘上获取分区表数据,否则将导致其他的数据永久的丢失。
数据恢复是什么原理
数据恢复是什么原理数据恢复是将已经损坏、丢失或删除的数据从存储设备中找回来的过程。
数据恢复原理包括三个阶段:数据获取、数据分析和数据恢复。
数据获取需要先找到丢失的数据的物理位置,对于已经格式化的磁盘或者存储介质,需要对其进行扫描。
数据分析是针对扫描出来的数据,对其进行分析,判断其文件类型、损坏程度和位置等信息。
数据恢复是将经过数据获取和数据分析后确定可恢复的数据进行恢复。
数据恢复的原理包括:数据的存储原理、数据的物理结构原理和文件系统的工作原理。
1.数据的存储原理在计算机内存中,每个存储单位的大小是以比特(bit)、字节(byte)、千字节(KB)、兆字节(MB)、千兆字节(GB)或者太字节(TB)等统计单位标识的。
在存储设备上,数据是以物理存储单元的方式进行存储的。
这些物理存储单元可以分为扇区、磁块和磁道等基本存储单元。
当数据被写入硬盘时,操作系统将数据分成多个物理块,然后存储到硬盘的扇区中。
当需要读取数据时,操作系统会将硬盘上的扇区中的数据读取到内存中。
由此可见,每个存储单元都有一个唯一的物理地址和逻辑地址。
当存储设备中的某个物理存储单元坏掉时,存储在其中的文件可能会被损坏或丢失。
实际上,由于一些物理或逻辑原因,存储设备中的数据往往会存在损坏或者丢失的情况。
如果没有及时采取措施,这些丢失的数据可能会永久丢失。
2.数据的物理结构原理数据的物理结构是指存储设备中数据的排列方式。
存储设备中,数据采用随机分区、线性存储或者其他的排列方式进行组织。
在硬盘中,数据被组织为物理块,每个物理块包含数十个扇区。
操作系统会管理这些物理块,将文件分配到空闲的物理块中以保证安全性和数据完整性。
当硬盘的扇区损坏或者坏道(存在物理的坏处,无法访问和读取数据)出现时,操作系统可能分配新的物理块来代替原始的物理块或者采用数据恢复的方式将已经丢失的数据恢复出来。
然而,对于闪存体的存储结构,由于其特殊的物理性质(如闪存按块擦除),使得数据恢复方式与硬盘不同,一定程度上增加了数据恢复的难度。
数据恢复技术分析NTFS分区结构课件
一、NTFS分区结构
u 微软公司自推出Windows NT服务器操作系统以来, 就开发了一种与之对应的,可靠性和安全性都很 强的,可用于服务器操作系统的文件系统,即 NTFS。
u 它与FAT文件系统相比有许多优点:可恢复性、安 全性、保密性、数据容错、文件压缩、磁盘配额 管理等。
一、NTFS分区结构
二、主控文件表与元文件
u 在NTFS中承担管理控制信息的数据称为元数据, 用于记载文件属性信息、簇分配信息、以及加密、 配额、日志等。这些元数据分别被组织成文件, 称为元文件。
u 前面所提到的BOOT区域和MFT区域,也分别被组织 为两个重要的元文件: $Boot和$MFT。
u NTFS中有16个元文件,每个元文件都以美元符号 起头,以标示其特殊身份。这些元文件记录了分 区底层的结构信息,因此非常特殊而重要,被系 统保护起来,用户和应用程序不能访问它们。
u 请在自己的计算机(或虚拟机)上选择一个NTFS 分区,找到它的备份引导扇区位置,然后将其复 制到引导扇区位置。
三、引导扇区结构
NTFS的BPB
NTFS的DBR
三、引导扇区结构
偏移 00H 03H 0BH 0DH 15H 18H 1AH 1CH 24H 28H 30H 38H 40H 44H 48H 50H
长度
描述
3B 跳转指令(EBH 52H 90H),跳至54H处DBR部分
8B 文件系统和版本的OEM标志(NTFS)
三、引导扇区结构
u NTFS分区的0扇区是引导扇区,也叫DBR扇区,它 和后面的15个扇区(NTLDR区域)合起来构成BOOT 区域,也就是$Boot元文件。 $Boot元文件恒定从0 簇起始,占16个扇区。
u NTFS分区的引导扇区同FAT分区的引导扇区在结构 上非常相似,同样包含BPB,DBR和结束标志三个 部分,只是在BPB参数上有部分不同。由于所有的 结构信息都以元文件方式组织,因此在BPB中只包 含几个重要的参数。
数据恢复课程标准
《数据备份与恢复》课程标准课程代码:课程学分:6分总学时:80学时制订人:课程组制订日期:修订人:课程组修订日期:审定人:审定日期:一、前言1.课程性质数据备份与恢复是高职高专信息安全技术专业的主干课程,旨在培养学生的数据安全防护能力,使学生掌握在发生数据损害、遗失情况下的处理方法,达到能够选择和运用数据恢复工具进行数据恢复操作的基本要求,同时培养学生的方法能力、社会能力及职业素质。
学生在学习完本课程后,可从事数据存储备份、数据恢复、以及数字取证等相关工作。
2.设计思路本课程基于“工作过程系统化”设计理念,邀请行业专家对信息安全技术专业所涵盖的岗位群进行工作任务和职业能力分析,并以此为依据确定本课程的工作任务和课程内容。
我们根据数据恢复工程师及相关领域的工作内容和典型任务,设计若干个学习情境,实施项目情境化教学,以任务驱动方式,使学生掌握各类数据恢复、硬盘修复等相关专业知识和技能,达到会做、能做的目的。
同时培养学生的职业素质,锻炼学生的学习方法与社会能力。
3.典型任务数据恢复工程师根据维修前台提供的维修工单,在数据恢复操作间或者客户现场,按照专业要求为待维修的存储媒介(硬盘等)、计算机系统进行检测、维护和数据恢复工作,如果是硬盘硬件损坏导致数据无法读取,则还需进行硬盘修复工作。
数据恢复工程师的工作内容比较复杂,根据工作中所需求的技能种类、面向对象的不同,将工作任务分为磁盘结构及应用、磁盘分区表恢复、FAT分区数据恢复、NTFS分区数据恢复、其他数据恢复工具的应用、数据库修复、硬盘故障维修、磁盘阵列数据恢复等八大项目,它们能够完整的体现数据恢复工程师岗位所需的任务内容。
数据恢复工程师通常独立工作,但需要相互沟通和交流。
他们运用专业知识,使用专用的数据恢复工具、设备和数据恢复资料等,对文档、系统、数据库、存储介质等进行修复工作,对以硬盘为代表的存储媒介进行数据恢复和数据重组工作。
数据恢复工程师在工作时应遵循相应的操作规范,遵守相应的法律法规,和职场健康与安全标准,并对已完成的工作进行记录存档。
恢复误GHOST后的反思
恢复误GHOST后的反思昨天一个网友告急:一个160G的硬盘GHOST后变成一个分区,这个硬盘是个二手盘,他买来后将它平均分为4个分区,且都是NTFS分区,用Diskgen软件扫到有十几个分区,由于数据重要,不敢乱动。
误GHOST的恢复关键就是恢复第0扇区的分区表,我个人认为:如果你对误GHOST前这个硬盘的分区情况(容量及分区格式)比较清楚的话,可以用分区表恢复软件(比如:Diskgen或分区表医生)来完成,如果不是很清楚或用上述软件不能恢复的话,才用WinHex手工恢复,当然不管采用什么方式恢复,最好先对要恢复的硬盘或分区做镜像。
由于是远程,用Diskgen恢复不方便(这个软件要在DOS下运行),于是恢复过程如下:方案一:用分区表医生恢复,结果没有找到,郁闷中………方案二:按着用WinHex来找分区表信息,在一般的资料中都说,分区表信息位于硬盘的某一个柱面的第一扇区,在我的指导下,网友按这一条件来找,但网友最后告诉我:没有找到,让我更加郁闷…….,这还是第一次遇到。
这时我想到WinHex中的有一个“扫描丢失的分区”这个功能,以前还没有用过它,于是要网友用它来扫,扫描到80%左右时提示硬盘有坏道,停止扫描,这时扫到10个分区(见下图)根据网友提供的信息(160G的硬盘平均分成4个分区),37.3的分区是分析的对象,分区4、分区7、分区8和分区9都是37.3扇区,先看这4个分区的DBR,信息如下:04分区(2594982扇区)07分区(78140286扇区)08分区(156280446扇区)09分区(234420606扇区)分析:1、排除04分区:原因有两个,第一,这个分区是FAT32,网友提供的是NTFS;第二2594982扇区,如果是第二分区,那么第一个分区只有1、2G,与网友说的不符。
2、07、08、09分区可能是原来的D、E、F分区。
因为分区格式都是NTFS,从DBR中看出每个分区的扇区数是78140096(用04A852C0换算成10进制),将扇区数换算成容量大约是37.26G3、为了保险起见,再向前63个扇区看分析分区表的链接情况,做这一步的目的是论证第二步的判断。