Data Extractor快速参考

Data Extractor快速参考

Data Extractor快速参考

申请数据恢复服务的人经常被要求从“突然消失”的分区中恢复数据。

数据丢失的原因可能非常不同:驱动器的电源和微码故障、驱动器重新分配实验失败、病毒等。在本文中,我们将尝试了解为什么我们看不到数据以及如何通过DataExtractor功能恢复数据。

一点点理论

让我们考虑磁盘上数据的典型组织以了解操作系统无法访问数据的原因

Data Extractor快速参考

要获取文件,操作系统需要

1)读取第一个扇区(MBR,LBA#0),从中它知道第一个分区从2048个扇区开始它需要N个扇区;
2)读取分区的第一个扇区找到NTFS Boot的结构了解我们正在处理NTFS文件系统并获取有关其元数据的一些信息;
3)使用NTFS启动中的信息查找文件系统的其他元数据这将允许您显示文件结构。

因此,我们可以将元数据分为 3 种类型:

1) 有关磁盘空间分布的元数据。在这个例子中,它是 MBR,但也可以是 GPT、Apple Partition Scheme、LDM、LVM 等。
2) 文件系统中的入口点。它获取有关文件系统类型的信息,通常包含一些重要的设置。例如,它是 Boot NTFS,但它也可能是 Boot for FAT 和 ExFAT;用于 EXT、XFS、UFS、ReiserFS 的超级块。
3) 文件系统的其余元数据 – 存储有关目录和文件的位置、名称和属性信息的所有结构。它是 NTFS 的 MFT、FAT12/16/32 的 FAT 表和目录;用于 EXT 等的 inode 表。

如果其中一种或几种类型的元数据已损坏,则操作系统可能无法显示分区

实际案例

1) MBR干扰

Data Extractor快速参考

如果您擦除了位于 驱动器扇区 0 的 MBR, 则可以在标准 Windows“磁盘管理”实用程序中看到类似的模式(未定位)。您将无法通过操作系统的标准工具查看分区,但是有很多方法可以在Data Extractor中从丢失的分区中获取数据:

– 您可以通过典型签名手动找到分区的第一个扇区,通过插件检查其正确性(例如查看为 -> Boot NTFS)并将其挂载为虚拟分区。

Data Extractor快速参考

– 您也可以运行“快速磁盘分析” – 搜索丢失文件系统的自动方法 – 它会自动完成。

Data Extractor快速参考

2)格式化驱动器(以及所有文件结构的可能损坏)

快速格式化后数据恢复的可能性和方法是另一篇文章的主题。但是,在某些情况下,一切都很简单。让我们进行以下实验:在驱动器上 安装了 Ubuntu(它创建了一个 EXT 分区),然后将其插入装有 Windows 的计算机并以 NTFS 格式化。之后,对驱动器不执行任何操作,并将其带到数据恢复公司。

为了澄清情况,让我们运行 Raw recovery。 原始恢复查找用户数据照片、文档等)和文件系统元数据的专用模式搜索基于不同结构正则表达和内部验证算法它不依赖于磁盘的逻辑组织来自什么文件系统以及如何 整体)。换句话说,它是文件雕刻。

在 ext3 文件系统中,所有分区空间都被划分为大小相等的组(最后一个除外)。因此,有很大的机会找到主超级块的副本。此外, 如果我们成功地从 same 分区中找到几个超级块,文件系统的这种组织为我们提供了准确定义分区开始的可能性。基于此机会添加虚拟分区方法。该方法可在 RAW 恢复模式下从 extX 超级块的上下文菜单中获得。此外,这些方法可用于所有文件系统的“入口点”(引导 NTFS、超级块等)

Data Extractor快速参考

3)典型的“您需要在驱动器X中格式化磁盘:然后才能使用它”消息

Data Extractor快速参考

用户经常看到的是此消息 ,而不是他们的数据,这些数据存储在带有 FAT 文件系统的闪存驱动器外部 HDD 上。 如果我们故意搞砸引导 FAT我们将得到这样的结果。如果 Boot FAT 的副本未损坏,复合体内的分区打开,无需执行任何操作。如果 Boot 的副本损坏 – 您可以使用上述所有方法来恢复文件结构 – 原始生态、快速磁盘分析以及从十六进制编辑器中手动搜索和查找虚拟分区。

总之,应该说已经建立的文件系统可能有其问题,而“快速分析”可以解决这个问题。 为此,还有其他方法例如分区分析)。它们可以长时间运行并在磁盘产生沉重的负载,因此它不会在“快速分析”下自动运行

(0)
上一篇 2024年6月9日 19:49
下一篇 2024年6月9日 22:06

相关文章

工程师微信
联系我们

联系我们

24 小时服务热线:
18913587620
在线咨询:点击这里给我发消息
电话: 0512-68051520
地址:苏州市高新区滨河路588号赛格数码广场4楼4F61室
QQ

在线咨询:点击这里给我发消息

分享本页
返回顶部