数据恢复经验总结

数据恢复经验总结

正规的数据恢复不会往要恢复数据的硬盘做任何写的操作，大都会备份一份再设法去恢复数据。只要在磁盘管理器里可以看到硬盘空间，应该可以用WINHEX对硬盘做镜像，然后对镜像实施数据恢复操作。

恢复是以恢复分区磁盘为上策，以搜索恢复文件为下策。

如果资料重要先，WINHEX打开，按ctrl+d，分区先做个镜像。

以前查找分区表，恢复分区表都是用DISKGEN。简单一点的分区表重建还是很不错的，但复杂情况的恢复一直没有什么心得。并且DISKGEN搜索分区表毕竟是软件自动为主，而自己掌握的分区表知识并没有找到可以让DISKGEN加速搜索的目的。

学习分区表知识，一定要学会使用WINHEX，借助WINHEX，手动查找恢复分区表，才能让知识真正成为自己的。

用WINHEX打开硬盘，直接定位到硬盘的最后一个扇区，然后，搜索十六进制数值0055AA，偏移位置512字节为单位的510字节，从当前位置向上面（前面）搜索。将“列出搜索结果”勾选上，这样可以生成位置报告。

过一会儿找到了0055AA，查看扇区数据，是NTFS的DBR扇区描述。直接应用摸板查看数据。

DBR扇区的恢复一般都是查找备用的DBR扇区，FAT32格式的磁盘，在格式化的时候，会在主DBR扇区后面第6个扇区位置上，保有一个备用的DBR扇区，NTFS则是在本磁盘的最后一个扇区保有一个备用DBR扇区，也就是下一个分区起始扇区的前一扇区，由于NTFS磁盘DBR扇区的BPB表是加了校验码的，因此恢复DBR扇区的关键就是BPB表的恢复问题，只要有正确的BPB表，DBR引导代码可以用本盘相同格式磁盘的DBR代码来拼凑，同样可以恢复出DBR扇区的内容，这里要引起注意的是，狭义的DBR指的是引导代码和信息提示代码这部分，并不包括BPB表，广义的DBR则可以理解为DBR扇区，为了不混淆概念，最好把DBR狭义表达，要表达包括BPB表整个扇区时，应该称为DBR扇区，MBR的表达也是一样，要表达MBR+DPT+系统签名+磁盘签名时，应该称为主引导扇区或MBR扇区，而不应该直称MBR。

要恢复扩展分区的D盘，可以先试着恢复DBR扇区，只有在DBR扇区恢复无果的情况下，才用文件恢复类软件来搜索并恢复之。

R-STUDIO一定要注册后才能发挥效能，功能是没说的了，我是只是用该软件来恢复丢失的文件，该软件支持多种分区格式，包括Linux和MAC分区，识别的文件类型也是非常多的，这个软件在使用上是有技巧的，慢慢摸索会有心得的。

用WINHEX搜索往往要用很长时间，我们希望搜索到一个命中以后，就可以开始分析命中扇区的信息，看看是否是我们关注的扇区内容，如果要等搜索完毕再开始分析，势必要等待一个很长的时间，有时是几个小时，这样做恢复实在是效率太低，我在使用WINHEX 的搜索功能时，对于NTFS磁盘分区，一般是采用从后往前搜索的方法，当发现有一个命中后，即刻终止搜索，此时这个命中就会列在命中目标的列表里，如果不终止，就要等待搜索全部完毕才会列出，终止的目的就是要提前获得这个列表，然后再次开始从第一个命中的下

一个扇区开始搜索，此后的命中，就会实时地列在列表中了，我们就可以与搜索同步，对所列命中扇区进行分析了，这是一个非常实用的技巧，在网上替网友恢复分区表时，用此方法经常奏效，常常是搜索还没进行到一半，我的分区恢复工作已经结束了，节省了大量的时间，这就是得益于WINHEX的这项功能支持，但我发现很多WINHEX版本并不支持这样的搜索，往往是第一次搜索可以搜到所有符合条件的命中，如果中间终止再开始搜索，则不会再有符合条件的命中被发现和列出了，这可能是Winhex的一个鲜为人知的BUG，为了实现这一操作，我发现WINHEX v14.2英文版可以实现这种操作，但14.2的不是法政版，无法浏览磁盘的目录和文件，因此我根据需要，用14.2来搜索，用15.4来浏览目录文件，怀疑那些汉化版在汉化过程中，将这项功能破坏了。后来发现了一个汉化版似乎可以支持多次搜索并命中，也可以浏览文件和目录，但由于文件保存不善，不慎丢失了，等有时间再去查找验证。

常用的几个数据恢复软件

1、Sectoreditor.exe ——用于对硬盘扇区进行查看和编辑

2、PTDD V3.5 ——用于快速搜索恢复标准结构的分区表

3、Diskgenius V3.2 ——用于搜索恢复标准和非标准结构的分区表和从临时分区结构中取得文件

4、WinHex ——用于对硬盘扇区进行查看、搜索和编辑，支持RAID

5、R-Studio V5.1 ——用于搜索丢失的文件，性能强悍，支持多种文件格式包括UNIX 格式，支持RAID

6、TeamViewer.exe ——用于辅助远程操作

设置DBR搜索条件，最好多加一个00字节，即搜索00 55 AA，这样可以过滤掉很多假DBR扇区，此外勾上列出搜索结果比较好，因为搜索到的DBR往往不止一个，会有好多DBR需要鉴别，因此多列几个出来，有利于恢复正确的分区。从后往前搜索适合恢复NTFS 格式的磁盘，对于Fat32格式的，还是要从前往后搜索更好。

搜索EBR也可以多加一个00字节，主要是用于过滤假DBR和假EBR扇区，减轻甄别时的工作量。

条件512=510的意思是在512个字节里搜索，从偏移510开始比对搜索内容，也就是从倒数第二个字节开始比对，这里是找所有最后55AA标志的扇区，通常这样的扇区是系统使用的扇区，MBR、EBR、DBR等扇区都有这个标志，找到这种扇区后，根据DBR的提示信息可以快速判断是不是DBR扇区，要精细判断，还是要根据BPB提供的数据，找到$FMT 表来验证。

用PTDD软件搜索不到DBR结构，经询问原来分区两个，均为NTFS分区并且是扩展分区，经用WinHex从硬盘后部往前搜索DBR扇区，1秒就找到了后一个磁盘的备份DBR，继而推算出分区表，原来两个分区都是主分区，第一磁盘的工作DBR被破坏，用备用DBR 恢复，然后手工计算并填写MBR扇区的主分区表，重新挂载该移动硬盘后，数据完美恢复。

磁盘阵列RAID数据抢救比较麻烦，需要重组原来的阵列，再来抢救数据，直接对硬盘进行恢复，只能恢复体积小于RAID一个存储块的文件。

恢复分区表等操作都是徒劳的，因为RAID0对硬盘数据实施的是多硬盘分布布局的，是将分区结构分布在两个硬盘上，不论数据还是分区结构，都是按块交替分布的，假如块定义的是64个扇区，那么在存储一个文件的时候，会把文件按64扇区大小，拆分成数块，奇数块存放在1号硬盘上，偶数块则存放在2号硬盘上，这样，你想恢复就很不容易了，在一