Data Extractor快速参考
申请数据恢复服务的人经常被要求从“突然消失”的分区中恢复数据。
数据丢失的原因可能非常不同:驱动器的电源和微码故障、驱动器重新分配实验失败、病毒等。在本文中,我们将尝试了解为什么我们看不到数据以及如何通过DataExtractor功能恢复数据。
一点点理论
让我们考虑磁盘上数据的典型组织,以了解操作系统无法访问数据的原因。
要获取文件,操作系统需要:
1)读取第一个扇区(MBR,LBA#0),从中它知道第一个分区从2048个扇区开始,它需要N个扇区;
2)读取分区的第一个扇区,找到NTFS Boot的结构,了解我们正在处理NTFS文件系统并获取有关其元数据的一些信息;
3)使用NTFS启动中的信息查找文件系统的其他元数据,这将允许您显示文件结构。
因此,我们可以将元数据分为 3 种类型:
1) 有关磁盘空间分布的元数据。在这个例子中,它是 MBR,但也可以是 GPT、Apple Partition Scheme、LDM、LVM 等。
2) 文件系统中的入口点。它获取有关文件系统类型的信息,通常包含一些重要的设置。例如,它是 Boot NTFS,但它也可能是 Boot for FAT 和 ExFAT;用于 EXT、XFS、UFS、ReiserFS 的超级块。
3) 文件系统的其余元数据 – 存储有关目录和文件的位置、名称和属性信息的所有结构。它是 NTFS 的 MFT、FAT12/16/32 的 FAT 表和目录;用于 EXT 等的 inode 表。
如果其中一种或几种类型的元数据已损坏,则操作系统可能无法显示分区。
实际案例
1) MBR干扰
如果您擦除了位于 驱动器扇区 0 的 MBR, 则可以在标准 Windows“磁盘管理”实用程序中看到类似的模式(未定位)。您将无法通过操作系统的标准工具查看分区,但是有很多方法可以在Data Extractor中从丢失的分区中获取数据:
– 您可以通过典型签名手动找到分区的第一个扇区,通过插件检查其正确性(例如查看为 -> Boot NTFS)并将其挂载为虚拟分区。
– 您也可以运行“快速磁盘分析” – 搜索丢失文件系统的自动方法 – 它会自动完成。
2)格式化驱动器(以及所有文件结构的可能损坏)
快速格式化后数据恢复的可能性和方法是另一篇文章的主题。但是,在某些情况下,一切都很简单。让我们进行以下实验:在驱动器上 安装了 Ubuntu(它创建了一个 EXT 分区),然后将其插入装有 Windows 的计算机并以 NTFS 格式化。之后,对驱动器不执行任何操作,并将其带到数据恢复公司。
为了澄清情况,让我们运行 Raw recovery。 原始恢复是查找用户数据(照片、文档等)和文件系统元数据的专用模式。搜索基于不同结构的正则表达式和内部验证算法,它不依赖于磁盘的逻辑组织(来自什么文件系统以及如何 整体)。换句话说,它是文件雕刻。
在 ext3 文件系统中,所有分区空间都被划分为大小相等的组(最后一个除外)。因此,有很大的机会找到主超级块的副本。此外, 如果我们成功地从 same 分区中找到几个超级块,文件系统的这种组织为我们提供了准确定义分区开始的可能性。基于此机会添加虚拟分区方法。该方法可在 RAW 恢复模式下从 extX 超级块的上下文菜单中获得。此外,这些方法可用于所有文件系统的“入口点”(引导 NTFS、超级块等)
3)典型的“您需要在驱动器X中格式化磁盘:然后才能使用它”消息
用户经常看到的是此消息 ,而不是他们的数据,这些数据存储在带有 FAT 文件系统的闪存驱动器或外部 HDD 上。 如果我们故意搞砸主引导 FAT,我们将得到这样的结果。如果 Boot FAT 的副本未损坏,则复合体内的分区将打开,无需执行任何操作。如果 Boot 的副本损坏 – 您可以使用上述所有方法来恢复文件结构 – 原始生态、快速磁盘分析以及从十六进制编辑器中手动搜索和查找虚拟分区。
总之,应该说已经建立的文件系统可能有其问题,而“快速分析”可以解决这个问题。 为此,还有其他方法(例如,分区分析)。它们可以长时间运行并在磁盘上产生沉重的负载,因此它不会在“快速分析”下自动运行。