因为最近很多网友在问如何学数据恢复,从哪里学起等等问题?所以准备先写一些入门的知识,包括寻址的介绍,如何读懂mbr,还会写一些现在对数据恢复认识的误区。请大家等等吧。
网友的留言:(不过不知道他从哪找到我手机号的,奇怪)
大侠求救!
我的硬盘之前是分区表错误,导致,C盘D盘可以用,两个盘都是分5G,E盘F盘,E大概是30G吧,F盘就是剩下的。用GHOST恢复系统后,发现E盘有盘符在,但是打开说要格式化,F盘是自由空间,没有分区。之后我就重建分区表,结果只剩下一个C盘,其他盘都变为自由空间,之后我就重新按之前大概大小分区,D盘5G,E盘30G,F盘剩下的。我的硬盘是80G的。然后还格式化了。数据都没了,不知怎么找回,请大哥帮帮忙,教教我怎么恢复数据,我现在不敢往盘里写数据。急求大哥帮忙,万分感谢!
加上他qq后,问了具体情况,基本上和他说的差不多。远程连接过去,用diskedit看他的前63扇,看看有没有残留的信息,发现10、11、23、61扇都有分区表,但是算完了,再到指定的扇,发现都没有什么用。61扇如果是就好了,因为wyx病毒会在这里做一个分区表的备份。可是算完了,还是不对。这说明他做的几次操作影响的比较大。然后再用finaldata扫描物理硬盘,只找到他最后分的4个区,这个信息没有用。再用diskedit把0扇的55aa破坏,排除最后分区的干扰。再用finaldata扫描,还是4个区。这说明他后分区非常接近。
再用gatdataback进行逐扇区的扫描分区表残留信息,其实finaldata也可以做,但是我觉得比较慢。从gatdataback返回的多个信息中,一个一个排除错误的信息,最后确定20986623和83916063是对的。用diskedit跳到扇区一看,的确是dbr的信息,再用finaldata定位,确定是以前e和f的数据。这就ok啦。
开始手动16进制写0扇的第3和第4行,并且直接指向相应分区的dbr。第3行前12个字节写成:00 00 00 00 07 fe ff ff ff 3a 40 01,后四个字节从20986623dbr的位置复制就行了。第4行前12个字节写成:00 00 00 00 07 fe ff ff 1f 75 00 05,后四个字节从83916063dbr的位置复制就行了。其实如果e的逻辑分区表还在的话,可以直接写一行,按照扩展分区的写法,指向e的分区表,让他自动链出f来也可以。
最后,备份0扇的第2行现有的扩展信息到1扇,并且把0扇第2行删除,以免影响手动写的分区表信息。
在系统设备里面删除硬盘再加载,数据全部恢复。