论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2394阅读
  • 0回复

[教程资料]数据恢复原理专贴之MBR分区分析(4)之分区删除恢复之二 [复制链接]

上一主题 下一主题
离线pony8000
 

发帖
53392
今日发帖
最后登录
2024-11-15
只看楼主 倒序阅读 使用道具 楼主  发表于: 2012-08-09 13:40:41
前面讲了只是破坏MBR的分区恢复,但实际上这种恢复比较少。

数据恢复原理专贴之MBR分区分析 之四--分区删除恢复之一
http://bbs.sdbeta.com/read-htm-tid-439304.html

现在看个特殊方法删除分区的数据恢复案例。
================================================
现在开始破坏。














至此分区全部删除完毕,相当彻底。
破坏完成。
================================================
现在打开winhex,看看0扇区的分区表模板。全是空了。分区表项也全是00H,大家看图。


现在开始恢复前的准备工作----查找各个分区的起始扇区
如下图:


除了0扇区的55AAH外,第一个查找到的地方是63扇区。如下图:


可以看出是NTFS分区,调用NTFS启动扇区模板(boot sector ntfs)。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_bd0e0a44d7ff92d.jpg[/img]
可以得到这个分区的大小为417626个扇区。
现在验证一下找到的这个分区是不是有效的。看操作:

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_207e90d9ad4d658.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_755f6fabf5b98f7.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_c3f6470d0084d3c.jpg[/img]
打开无误,没有提示出错。可以推测,这个开始地址是正确的。但是不是100%正确
姑且算是正确的。现在在这个分区开始的基础上跳过这个分区,也就是说从63扇区往后跳417626(65F5AH(这是十六进制值下同))(这是十六进制值)个扇区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_bfa5da4c62d9eee.jpg[/img]
到达417689扇区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_2bc4b86e60462ae.jpg[/img]
看这里也是个NTFS的起始扇区。通过NTFS的相关知识得知,这是个备份的扇区,和63扇区的数据一模一样。(这个以后讲到NTFS再说。)
按F3继续查找55AAH。
在417690扇区找到一个这样的标志。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_adfb318e7e5b1af.jpg[/img]
但是这个扇区除了结尾的55AAH外其余的数据都是00H。(这是主扩展分区的开始,后面会说到)
查找下一个55AAH。如下图:或者继续按F3。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_6ade0d194429e16.jpg[/img]
在417753扇区找到一个55AAH的标志,如下图。很明显是个NTFS分区的起始扇区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_00145171ceb1218.jpg[/img]
调用NTFS启动扇区模板,得到本分区扇区数:401561(62099H).

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_805b61c6ed02952.jpg[/img]
后跳401561个扇区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_111c9603d4c8c5f.jpg[/img]
现在到达这个分区的备份启动扇区。
按F3继续找下一个分区。
到达下一个扇区。这个扇区有点像MBR(0扇区)的数据,推测是扩展分区的开始。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_0eccf6c4e1a6a65.jpg[/img]
调用“Master Boot Record”模板得到下图:

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_90c06120c5676ea.jpg[/img]
得知下个分区开始于距这个扇区63扇区处(从本扇区往后跳63(3FH)个扇区)。
往后跳63个扇区看看。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_c3943cd7abaf992.jpg[/img]
到达819378扇区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_c933dfd6d34dfb7.jpg[/img]
可以看出这是个FAT32分区,调用FAT32启动扇区模板如上图。
得到本扇区数401562.
FAT32的备份启动扇区在本分区的第6扇区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_e1094ba33014e68.jpg[/img]
往后跳401562(6209Ah)个扇区。看看下个分区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_094b134ff298143.jpg[/img]
如上图:扩展分区的开始。
不重复了。看图:

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_97c7300f9347075.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_d770a6729f4de77.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_81c1ac26c2cf8a4.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_b5c75ad43071991.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_4dbb1b7f997861a.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_247cbeeba395a76.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_0cfcab15fe84d9e.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_2847b9c49feac9e.jpg[/img]
==============================================================================
得到的信息:

分区类型                            分区开始               分区大小
主分区/ntfs                          63                   417626+1
主扩展                                  417690                 xxxxxx
    主扩展中分区/ntfs          417753              401561+1
    主扩展中扩展                   819315        xxxxxx
    主扩展中分区/FAT32      819378        401562
    主扩展中扩展                   1220940        xxxxxx
    主扩展中分区/FAT16      1221003        401562
    主扩展中扩展                   1622565        xxxxxx
    主扩展中分区/ntfs            1622628        433691+1

注意:xxxxxx表示有待于计算。
=================================================================================

现在开始恢复:
有几种方法
1.根据分区进行恢复
2.完美恢复(包括扩展分区)

先看第一种:
在MBR区分区写入各个分区的开始和大小(注意:这样的话一次只能恢复4个分区。可以分多次进行恢复)。大家看图片。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_d4d752d7db3476c.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_486443ded729d9a.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_166bed78262a7f4.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_26a99a07dfcf00b.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_fcb840b4fa727ba.jpg[/img]
还差一个,把这4个分区的东东copy出来后再说。
保存后,这个磁盘断电,再重新加载。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_488b5ecd15e2d54.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_c04ceb7c740d3f5.jpg[/img]
现在开始复制这4个分区的数据。复制完后继续下一个分区。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_4cc3fe2f514b1a3.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_1ed3167ca6dcaef.jpg[/img]
清空分区表信息,保存。
现在写入第5个分区内容如图:

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_32dc7cdffc605a6.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_884db4f495c009f.jpg[/img]
保存,断电加电。重新加载。

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_06573cc423f2044.jpg[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1208/6_210844_d478b18e677a119.jpg[/img]
恢复完成。
图片比较多了,避免大家头痛,第二种方法后续。。。。。。。。。。。。。
精品软件:百度搜闪电软件园  最新软件百度搜:闪电下载吧
有问题联系 sdbeta@qq.com