论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 3598阅读
  • 5回复

[教程资料]分区恢复之-----误ghost后做数据恢复的黑幕 [复制链接]

上一主题 下一主题
离线闪电
 

发帖
27990
今日发帖
最后登录
2024-12-25
只看楼主 倒序阅读 使用道具 楼主  发表于: 2013-01-13 23:24:26
   如果你的硬盘Ghost后成为一个分区后,这时千万不要着急,应用区的教程足让你自己动手恢复出除C盘外DEF等盘的数据,要是感觉操作太复杂,上电脑城付费做也是可以的。
       但是电脑城里人员复杂,如果遇到黑心的数据恢复商家,给你修改一些磁盘的数据然后给你报个高高的价格例如RMB2000等,如果个人能接受最好,如果感觉价位太高,再去别的家检测,别的家数据恢复商不一定能给你把分区恢复回来。
      这时如果数据特别重要,那就黑定你了。
      看下面的例子你就会知道数据恢复软件不是万能的。它再聪明也不如人聪明。


=========================================================
案例由来


以磁盘1为例说明情况,看看你是怎么被黑的。
此时磁盘1分为4个主分区。


现在打开winhex看看这个磁盘的分区情况。


如上图:这四个分区的起始扇区已经在winhex中显示出来了。

下图是模拟误Ghost成为一个大的C盘的情形:





  
现在整个磁盘成了一个大的C盘是FAT32分区原来的四个分区都不见了,以上是故障再现。

=============================    

如果不动手脚看下面的几个工具,都能完美的回复DEF盘的数据。
一般常用的是Diskgenius,PTDD,FinalData,Winhex。

恢复开始
diskgenius









[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_9a8b97fe024be59.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_933dbddff347452.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_aed1e07a712aa26.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_ca7e13320343dbf.png[/img]      

Diskgenius除了第一个分区其他的分区数据都恢复了。
====================
这回看finaldata的能力。

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_d2eeb35cb60bd3b.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_b278eb0e32a0646.png[/img]

找到了3个分区,就是误Ghost后的DEF盘
如果要恢复某一个分区的数据看下图:


[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_209ae5cf9e6a07d.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_abe2ca4ac50e5e4.png[/img]

数据也能恢复。
====================
下面看ptdd的
注意:PTDD只能恢复基于Xp以前(基于柱面对齐)的分区,win7的基于4k对齐的分区是无能为力的。

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_5dcfbf5de665a8f.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_c2fee4024441afd.png[/img]
选择交互模式,不建议用自动模式。

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_704fb6a18848a38.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_aaf4926969d7f3b.png[/img]
找到3个分区。恢复能力不错!
========================
下面看winhex的

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_201f446a3890f9b.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_755e94c48cfd544.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_c3fb2b3eea25666.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_c90cca76782bb2e.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_59dbd16f1e37a08.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_f35a1cfe6f1b4d1.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_00dbed71b3c43a1.png[/img]
也可以找到3个分区。这个小功能也超级给力。
====================

现在看看黑心商贩是如何让数据恢复软件失效的吧。

开始操作客户数据(黑幕开始

还记得一开始我们记下的分区开始地址吗?

现在把每个分区的开始地址(DBR)进行修改
EBxx90改成BBxx90(xx随NTFS和FAT16/FAT32的不同而不同。)
55AA改成55BB
并保存到磁盘。完工。

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_37701b2964bf20d.png[/img]
修改第一个分区的DBR

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_82c23f3167efcfc.png[/img]
修改第二个分区的DBR

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_469b7ae242fa830.png[/img]
修改第三个分区的DBR

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_bde259bf6b80296.png[/img]
修改第四个分区的DBR

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_5fb0ba45427484b.png[/img]

修改完毕后,保存到磁盘。

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_d37e63fcf99c1cd.png[/img]

现在重新加载这个修改后的磁盘。
=====================
看看数据恢复软件的恢复能力
先看看最牛的PTDD(可惜啊不支持win7的4k分区)

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_299ac9f63dc9c35.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_eb835a24d31ed98.png[/img]
ok找回分区,赞一个!

下面看FinalData的:

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_c8fb0106ed92bf2.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_7e96e5f378f9aee.png[/img]

没有找到!!


下面看diskgenius的

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_c147b7caa92f2d9.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_13c9f34bbb01e1f.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_71b17c96f962a01.png[/img]

也失效了!!

下面看winhex的小功能:

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_4db4f604174a3c5.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_4d311f0ff575f9b.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_5fb35fa650bbaca.png[/img]

[img]http://bbs.crsky.com/1236983883/Mon_1301/6_210844_29e8067ce4141b1.png[/img]
同样也不行了。


=================================================================
点到为止吧,数据恢复还有好多黑幕。这样的人为钱熏昏了头脑,值得大家唾弃!

以一句圣经经文结束:



引用


因为主的眼看顾义人,主的耳听他们的祈祷。惟有行恶的人,主向他们变脸。
彼得前书 3:12
1条评分电魂+8
zhb_3448 电魂 +8 闪电联盟因你而精彩! 2013-01-15
百度一下“闪电软件园”,惊喜等着您哦!
┖───────────────┘┕━━━━┛  

离线zhb_3448

发帖
59686
今日发帖
最后登录
2016-12-13
只看该作者 沙发  发表于: 2013-01-15 13:56:57
还有水印

主队让半球高水,一般不能要主队!
凡是开半一的盘,一般不能要下盘!
凡是开一球或一球球半的盘,一般不能要上盘!
凡是开一球半以上的盘,一般不能要下盘!
离线池语和风

发帖
194585
今日发帖
最后登录
2023-08-25
只看该作者 板凳  发表于: 2013-01-20 23:29:31
很好的教程啊
离线加贝518

发帖
26274
今日发帖
最后登录
2015-10-24
只看该作者 地板  发表于: 2013-01-23 08:24:59
比较复杂,DISK应该简单些
离线safedog_cn
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 地下室  发表于: 2013-01-23 11:43:46
好多,看完了,感谢分享
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 5 发表于: 2013-01-23 23:38:03
很感谢你的教程