数据恢复案例

《数据恢复案例》由会员分享，可在线阅读，更多相关《数据恢复案例（26页珍藏版）》请在装配图网上搜索。

1、案例1.佳能相机EOS5D CF卡 提示格式化 恢复成功今天客户拿来相机说 卡提示格式化 想要里面的视频，插在电脑上一看 的确提示格式化，按着杜老师教的用Winhex打开一看MBR 还在DBR全部变成FF了搜索F8FF 只找到FAT表2 FAT1 只剩下后面部分了分析了一下FAT表2很完整并得知为FAT32文件系统。接着搜索2E20 到根目录看一下 有一个名为DCIM的文件目录项 且没有损坏接着到3号簇和4号簇5号簇看一下都没发现问题计算簇大小为64Sec , 接着计算FAT表大小 为3811Sec 利用FAT表大小得知 分区扇区总数为31219584 好了 接着从别的硬盘Copy一个FAT3

2、2 分区的DBR 分别填入以上参数簇大小64SecFAT大小3811Sec和分区大小31219548Sec保存弹出从新插拔一下 进我的电脑已经可以打开了 数据恢复成功。总结：需要对分区结构、基础知识牢固。利用winhex软件案例2. 加1减1，数据恢复有时就是这么简单！昨日去办事情，偶遇一客户。手机8GB卡由于热插拔导致提示“未格式化”。找了一台电脑下了一个WINHEX。打开U盘，发现分区开始位置没有DBR，而DBR却被向下移动了一个扇区。这个很简单，我并没有把DBR向上复制，而是把分区的开始扇区号加了一个“1”，把DBR里的保留扇区减去一个“1”。好了，点保存，WINHEX提示IO错误。最终

3、解决了IO错误，弹出卡，然后再插入，分区正常打开，数据很完整。IO问题是tf卡有保护总结：灵活利用知识案例3最近流行的U盘病毒，导致WORD打不开的恢复方法最近接到几个U盘.问题基本都是一样,里面的WORD文件基本是打不开的,原本以为是什么大问题,可能想着要设计到重组碎片,价格就报了几百元,打算不弄,后来我就随便用WINHEX打开看了一下,发现文件头的前面每6个字节都破坏.我就打开个好的WORD把前面6个字节覆盖到坏的里面.文件就可以正常打开.我运气还是算好，去年老遇到前面的扇区很有规律的被覆盖。虽然这个没有什么技术含量.希望可以对其他人有帮助。总结：文件损坏，分析文件结构损坏规律案例4实际数

4、据恢复案例-手工修复FAT32文件系统 找来的一篇好文章，拿出来跟大家分享！ 今天接到一个朋友的客户做数据恢复，原来是4个分区CDEF。客户由于觉得C盘小，利用PQ分区大师将D盘部分区域划分给C盘，重启系统后，原C D F三个分区数据正常，E盘分区找不到。朋友用R-Studio扫描全盘，E盘数据始终找不到。 拿到盘后看到情况如下，用Winhex查看发现分区4只是联想硬盘中的隐藏分区（用来还原系统的，不在客户所说的四个分区中）。分区 3 文件结构和磁盘大小都正常正常。分区2的DBR显示大小和实际大小不一致只有80GB，所以初步判断客户需要的E盘应该是和原来D盘合并成了现在的分区2。但如果仅仅是简

5、单的合并 利用R-Studio应该可以直接扫描出来，现在却没能正常扫描到，需要进一步分析。磁盘分区分布图 根据分区2DBR显示大小找到实际结束位置，在194579343扇区发现了一个NTFS的DBR，但是这只是个孤立的DBR没有紧接着并没有NTLDR，可能是个备份。而且继续向下查找，发现一个FAT32分区的DBR。 继续向下分析，在194579351 位置发现了 NTFS INDX文件，并且向下发现了更多的NTFS分区信息。本来以为这只是个孤立的事件。但在向下查找过程中意外发现了类似 FAT表的数据，找到头部，发现居然然是 一个完整FAT表，而表后是目录项。然后对刚刚发现的那个 FAT32 D

6、BR进行解析，如果把这个FAT32 DBR 当成备份的话，刚刚看到的这个FAT应该是FAT2。而且显示的分区大小和到分区3之间的扇区数相等。而且从分区3开始的位置，从后向前找NTFS分区备份，也未能找到，说明丢失的E盘应该是FAT32分区。 通过以上分析我猜测，丢失的分区正是个FAT32分区，分区DBR和 FAT1 在PQ移动过程中被覆盖掉，现在盘上发现NTFS DBR的位置正好是原来 FAT32DBR的位置。根据这个想法，把备份FAT32 DBR 贴回，计算FAT1的实际位置，将FAT2还原到FAT1，如表 恢复后 所示。用Winehx 展开当前恢复的分区，数据正常访问，用工具恢复数据，恢复

7、完成。总结：1、不能盲目相信恢复工具，在文件系统关键信息丢失的情况下，恢复工具无法智能分析出文件系统结构；2、使用PQ工具是一定要注意备份当前数据；3、对文件系统结构要非常熟悉。案例6硬盘在电脑上无法识别到盘符故障1硬盘检测不到有很多问题：就先讲一个很常见的问题。对新手很有用今天接到一个ST 80G的台式机硬盘，把故障盘接到电脑上，电脑就好像死机一样，故障盘拔了电脑有可以正常使用，原本一般我遇到这样的问题大部份是坏道导致，当然也有其他问题也会导致以后案列中会讲到, 我用MHDD检测没有发现任何坏道，用指令看也是正常的，然后又用SPFDISK查看分区表也是正常的，后来没有办法，我就在DOS下用S

8、PFDISK这个命令把分区给删除。在插到电脑上，电脑没有死机了。winhex打开后，分区都看不见。当然要做的是把分区表信息填好，分区表出来以后直接用WINHEX拷数据出来就可以。如果不用WINHEX把数据拷出来。重新启动电脑一样会卡死。所以这个方法是很使用的。数据拷完重新分下区硬盘就可以正常使用了。案例7通过查找$MFT反推DBR位置手工构建DBR一次手工恢复误GHOST严重损坏的分区实例两天前下午，我在淘宝店（）接到一个客户，他介绍说他用GHOST安装系统，结果安装两三次系统都不能正常启动，然后用他原来系统的GHOST备份恢复，系统起来了，但系统中就只有一个C分区了，还有两个分区D和E不见了

9、，让我给他恢复原来E分区中的数据。想到这种问题一般都很简单，就是恢复一下分区表就完事了，所以也没有先远程看一下，就接了下来。远程连接到客户电脑上，打开事先让客户下载好的Winhex，再在Winhex中打开待恢复的硬盘，硬盘在Winhex显示就只有一个分区。根据经验，这种情况在Winhex中是看不到原来的分区的，于是决定先用PTDD扫描一遍看看再说。用PTDD扫描分区信息，扫描完成后，只在硬盘的后面部分有一个原来的分区信息，大小为99.7G，这个分区可能就是原来的E分区。根据客户的描述，原来的三个分区是C分区45G左右，D分区25G左右，E分区230G左右。显然PTDD扫描出来的分区并不是原来的

10、分区。但还是不死心，万一是客户记错了呢？于是重建这个分区。接下来在Winhex中打开硬盘，此时在目录浏览器中显示出了刚才重建的那个分，但单击这个分区，跳转到它的起始扇区，结果发现这个扇区数据全是0，现在很明显重建的这个分区并不是客户的E分区。看来用软件扫描不到原来的分区了，只得手工恢复了。通常情况下，XP在分区时会将第一个分区分为主分区，其余分区分为逻辑分区，D、E两分区很有可能是逻辑分区，于是首先尝试查找扩展分区表。在Winhex中打开待恢复硬盘，根据客户所说C分区大约45G，于是从40G位置开始，设置搜索条件为512508，向下查找000055AA。通过一翻搜索，倒是搜索到一个扩展分区表，

11、但经查看，却是PTDD中搜索到的那个分区，看来没有这两个分区的扩展分区表项。搜索扩展分区表失败，接下来想到直接搜索DBR。搜索了一部分扇区后，想到PTDD都没能搜出来，这两个分区的DBR扇区应该是已被破坏没有了，于是停止了搜索。由于客户要的是E分区的数据，E分区大小为230G左右，应该是NTFS文件系统。由于客户不清楚这个分区是什么文件系统，因此只有先按NTFS文件系统尝试。是NTFS文件系统就一定有$MFT这个原文件（当然前提是$MFT没被损坏），于是去搜索这个原文件的文件名的十六进制值24004D0046005400，这次从50G位置开始向后搜索，搜索到若干个24004D004600540

12、0后，终于在155698795扇区找到了一个$MFT的文件记录。接下来要确认这个扇区是$MFT还是$MFTMirr的起始扇区。由于$MFTMirr只是前四个MFT项的备份，因此只要确定一下155698795扇区之后的若干个连续扇区中的MFT项是不是超过四个就能基本确定155698795扇区是$MFT的起始扇区还是$MFTMirr的起始扇区了。于是搜索NTFS文件记录的特征字节值46494C45，结果在155698795扇区后的部分连续扇区中找到找到了二三十个MFT项，可以确定155698795扇区就是$MFT的起始扇区了，没再往下搜索了。在这些MFT项中随便找了几个文件名给客户看，确定了那就是

13、原E分区的文件。找到了$MFT的起始扇区，接下来的工作便是确定E分区的起始扇区号了。而E分区的起始扇区号只有通过$MFT的起始簇号和簇大小扇区数去反推。首先计算簇大小。分别查看80属性182F字节处的8个字节的值（属性结束VCN）和282F字节值（属性内容分配大小）再用“属性内容分配大小/（属性结束VCN+1）/512”得到簇大小扇区数为8（其实NTFS文件系统的簇大小一般都是8，这里只是为了确认一下）。这里对属性结束VCN和属性内容分配大小这两个值没做记录，只记得计算出来的簇大小扇区数了。接下来需要根据$MFT的80属性中记录的$MFT起始簇号和从簇大小扇区数去反推E分区的DBR位置了。查看

14、80属性的第一个运行，得出起始簇号为3754787（这个与常见的$MTF起始簇号786432还不一样）。由于NTFS文件系统的0号簇是从DBR开始的，因此用3754787*8得到E分区的$MFT距DBR的扇区总数为30038296（3754787*830038296），再用$MFT所在扇区号155698795减去30038296得出E分区的DBR扇区应在125660499（15569879530038296125660499）。跳转到125660499扇区，这个扇区有数据，但显然不是原来E分区的DBR，看来只有在这个扇区把写一个DBR。为以防万一，先把125660499扇区做一个备份。首先拷贝

15、一个正常的NTFS的DBR到125660499扇区，接下来要修改的几个参数有：簇大小（前面已计算为8）、隐藏扇区数（即该分区前的扇区数，就为125660499），分区大小扇区数，$MFT起始簇号（为3754787），$MFTMirr起始扇区号。现在还差两个参数：分区大小扇区数和$MFTMirr起始扇区号不知道。先查$MFTMirr起始扇区号。$MFTMirr的文件记录项是$MFT的后面一个MFT记录项，跳转到155698797扇区查看该扇区中的文件记录项，从文件名属性（30属性）可看到它确是$MFTMirr的文件记录项，查看80属性运行列表，得出它的起始簇为23979812。然后确定分区大小值

16、。根据客户所说E分区是最后一个分区，于是只需将后面的全部扇区全分配给E分区就行了，在这里我也没全部分配，从目录浏览器中看到有一个未分区空间起始扇区为625137282，与硬盘总扇区数相差不过数千扇区，于是便以它为E分区结束位置。则E分区大小扇区数取625137281125660499499476782。跳转到125660499扇区，用NTFS的引导扇区模板修改以上参数（分区大小扇区数为499476781，一会儿在分区表中分区大小填写为499476782）后保存，DBR就写好了。最后要做的就是写分区表了。分区表的三个主要参数分别为分区类型（NTFS为07），分区起始扇区号和分区大小扇区数。经客户

17、同意，D分区不要了，只要把C分区和原来的E分区的分区表写出来就好了。确定C分区和原来的E分区的起始扇区和分区大小就可以了。C分区起始已有了的，为63，大小为原E分区起始扇区12566049963125660436。E分区起始即为125660499，大小为499476782（因为DBR的备份位于分区的最后一个扇区，这个要比DBR中描述的多1）。得到这些参数后，把两个分区表写上就行了。跳转到63扇区，修改C分区DBR中的分区大小值为125660435（C分区也是NTFS格式，因此这个值比分区表中描述的少1）。最后，跳转到125660499扇区，将该扇区中的DBR数据拷贝下来写到625137281扇

18、区做一个DBR备份。修复到此就结束了。在Winhex关闭硬盘，重新打开硬盘，分别打开两个分区，第一个分区就是原来的系统了，经客户确认，第二个分区就是原来的E分区的数据。经客户重启计算机，确定数据完全正确，至此本次恢复完毕。由于远程操作太慢，此次恢复竟然用了6小时左右时间。顺便抛出一下问题大小讨论一下：一般情况下，误GHOST后造成只有一个分区的情况下是不会损坏后两分区分的DBR的，而且客户的系统分区有45G左右，一个XP系统怎么也不会有45G吧，也就是说应该不会覆盖掉后两个分区的DBR，这两个分区的DBR怎么会损坏呢？这个问题到现在我都还没弄明白。Ntfs手动修复删除文件对于数据恢复来说，虽然

19、文件删除后所有的数据运行都能够在残留的MFT中找到，但是数据运行的个数越少即文件碎片越少或者没有碎片，文件被覆盖的可能性就越小，数据恢复的概率也就越高。以下是手工恢复NTFS卷中误删除文件的过程。1. 需要恢复的文件NTFS卷中一个文件被删除时，其MFT并没有被删除，前面已经介绍过，这里以恢复一个NTFS卷中一删除的文件为例，假设在用户的NTFS卷D盘中有一个名为photo的目录，该目录下有一个名为“penquan.jpg”的文件，如图5-1所示。假设用户不小心将此文件删除。图5-1 NTFS卷中将被删除的文件2. 找到要恢复文件的MFT首先通过WinHex选择文件所在的逻辑磁盘将其打开，如图

20、5-2所示。图5-2 选择磁盘分区打开磁盘的分区后找到该分区的MFT，如图5-3所示。 图5-3 转到MFT的起始位置3. 恢复数据找到分区的$MFT后，通过文件名查找文件的MFT，如图5-4所示。图5-4 查找文件的MFT查找到的结果如图5-5所示。图5-5 已删除文件的MFT先来看看MFT头，偏移15.16H为0表示该文件已经被删除了，系统根据这个标志来决定建立新文件时是否能够覆盖这个MFT而创建自己的MFT。10H属性就不分析了，除非希望恢复的文件所有的时间属性和以前一样，用户对此要求一般没有那么高，所以跳过10H属性不分析。30H属性这里也不分析。关键是要分析80H属性，即数据属性，在

21、该属性所有的描述中，对恢复数据最有用的信息有两个，一个是偏移00C12DD160H开始的8个字节的属性是该文件的实际大小506E，单位是字节。还有一个地方是偏移00C12DD170H开始的数据运行位置描述，这里为十六进制数41H 06H 83H 0BH 90H 00H。其中41H定义了其后面有1个字节表示该文件的数据运行所占的簇的个数，4个字节表示该数据运行的起始逻辑簇号，这里定义了其运行占用了06个簇，其起始逻辑簇号为900B83H。知道了起始簇号和数据运行的真实大小，甚至知道运行所占的簇的个数，要恢复文件数据就很容易了。在WinHex中选择“位置”|“转换到扇区”命令，打开对话框，在“簇”

22、文本框中输入9440131（900B83H转换后的十进制数），然后单击确定，即可找到数据的起始位置，其中FFH DBH是.jpg照片的文件头标志。在找到的数据起始位置右击，选择“选块开始”命令。如图5-6所示。图5-6 文件的起始位置继续在WinHex中选择“位置”|“转换偏移量”命令，打开“转到偏移量”对话框输入20590（506EH转换成十进制数）如图5-7所示。图5-7 转换偏移量单击确定后会跳到文件的结尾位置，单击右键选择“选块结尾”命令，如图5-8所示，即可完全的选择到用户要恢复的文件数据。图5-8 找到文件的结束位置选中所有要恢复的数据内容后，在选中的任意块上右击，选择“编辑”|“

23、复制选块”|“进入新文件”命令如图5-9所示。图5-9 复制所有数据然后将文件命名并保存到指定的路径，如图5-10所示。图5-10 保存文件保存成功后，关闭WinHex，按照刚才保存的路径打开文件，数据恢复成功，图5-11是恢复后的文件。图5-11 文件恢复成功案例Oultlook文件修复今天接到一个网友的求助 ，说是一个outlook.bft文件恢复出来打不开 。问我怎么办。说实在 的，这样的问题还没弄过，但是 ，数据恢复 ，异曲同工，我于是远程了他。将他 的损坏 的这个文件用outlook打开，提示损坏。用winhex查看 其结构 ，发现其文件尾丢失， 复制好的文件尾 ，并修改相应参数后，

24、问题解决。佳能照片损坏恢复案例存储介质：4GSD卡佳能数码相机故障描述：朋友介绍，照片在相机上显示正常，所有图片均能预览，但拷到电脑上后，部分照片打不开，如图1所示：图1. 名为IMG_0683.JPG的大小为3965K的图片无法打开于是朋友就把拷出来的照片又全部拷回去，以期能重新打开，后果可想而知，进一步扩大了照片损害程度。恢复软件：WinHex、FinalData恢复思路：由于损坏图片较大，初步判断为文件头损坏，手动修复文件头即可。恢复过程：现以图片IMG_0683.JPG为例，简要描述恢复过程。首先，用Winhex做磁盘镜像，避免进一步损坏数据。把损坏文件拷到本地，共58张（正常文件已被

25、朋友剪切到本地），如图2所示：图2.58张损坏的图片用Winhex打开IMG_0683.JPG，如图3所示图3. Winhex打开IMG_0683.JPG打开后吓我一跳，前面近1M的数据几乎都是有规律的数字，显然是被篡改了，恢复并不像预想的改改文件头那么简单了。曾试过N多次把好的JPG文件头以不同长度拷到损坏文件，均不见成效。在近乎绝望时我想到了FinalData，于是用FinalData恢复磁盘上所有文件，果然有新发现！在恢复出来的照片中通过对比58张损坏文件，发现有12张可用文件！至此成功恢复12张，还剩46张待恢复。接下来才是真正的恢复！在“Deleted Files”下面出现一个的“.

26、JPG”文件夹，里面全是大小一样，以所在扇区号命名的.JPG文件，如图4所示：图4. 用FinalData恢复的355个大小为1036K的JPG文件细心的我通过对比已损坏文件与.JPG下的文件属性，发现：两者图片尺寸相等为4000X3000，图2中的照片“修改日期”竟然有20张与图4中的“相片拍摄日期”完全一样！而且有预览，但只能打开一半，如：图2中的IMG_0683.JPG同图4中的#69655.JPG。图5、图片#69655.JPG只能打开一半于是我大胆猜想：图4中那20张日期相同的图片极有可能是从原图片中复制而来，原图中随机填充乱码。那是不是把#69655.JPG的数据覆盖IMG_068

27、3.JPG的前半部就好了呢？说做就做，用Winhex分别打开#69655.JPG和IMG_0683.JPG，如图6所示：图6，用Winhex打开#69655.JPG复制#69655.JPG中的16进制数据，写入（不是粘帖）到IMG_0683.JPG中，保存。再打开IMG_0683.JPG如下图7：图7，恢复好的IMG_0683.JPG恢复成功！分别用此法恢复另外19张图片。至此58张图片共恢复32张，其它由于数据被覆盖，无法恢复。恢复心得：数据丢失不可怕，千万别回写数据，此案例中，若朋友别把损坏数据重新拷到卡上，说不定就能全部恢复了。前段时间，接到一某大型医院的数据恢复单子。因为是设备连电脑的

28、，现在硬盘出现坏道，且连系统都无法进入，要求恢复到能够使用到某检测软件。因为仪器是德国进口，而且已经联系不上，估计是关门了。现在软件备份也没有了。麻烦呀*)_未经本人允许不得转发+ 首先上MHDD检测，16，000，000之前坏道大概上100个且不是连续的，上PC3K，直接做硬盘对拷。拷贝完成之后发现C为raw，意料之中的了。D盘文件全在，但是D盘资料是没用的，客户只要求需要恢复到系统的检测软件能够正常使用。无奈之下，只有把拷贝好的硬盘挂电脑做副盘，然后用自己的XP系统进去做扫描，一段时间之后，扫描完毕。然后用windows xp的安装盘进去做安装修复。结果提示找不到原来的系统。把硬盘做主盘看

29、了一下硬盘启动提示什么先，结果提示c:windowssysstem32configsystem文件丢失，好了，直接拷贝一个好的xp的下面的system文件进去，结果xp能够看到滚动条了，兴奋啊。但是刚有画面出来就提示系统的当前的密码与之前的不对。不到3秒就自动重启。反复这样的重启，安全模式也一样。想想，试着找c:windowsrepair下面的文件是否存在，结果还真的有，结果把其下面的文件全部拷贝到c:windowssystem32config下面，然后把system.bak直接改成原来的system文件，覆盖了。OK，系统能进去了，只是提示windows注册要激活而已，想想那台机器是某品牌机

30、器，所以也不着急了，直接用光盘启动做个ghost备份现。下一步就是到客户那，把新硬盘挂上去，OK顺利进入XP，而且野没有提示xp需要激活，开心呀。顺利进入XP，打开软件，进入客户的检测软件，运行，一切正常。客户使用了大概30分钟，很满意，和以前一模一样。至此，数据恢复加修复完成。某客户送来U盘恢复数据，客户描述，昨天还用的好好的，早上就发现打不开了，里面有很重要的文档资料，废话不说，上图看情况。3 U/ z- R |( f/ Bk6 3 VW: j# 6 H. |; k7 v地球人都知道，提示要格式化，说明DBR有问题了$ ) B% q6 hi- n6 ?2 N打开WINHEX查看一下DBR看

31、看; k1 gZ9 s6 G9 P N& F9 f5 Z+ ?T |% x/ k5 s# m& h# p5 - 仔细查看了一下DBR，开始标志肯定是错误了，在不远的地方发现了一个开始标志，会不会就是这个呢？ fc( j% R6 s9 P) z7 n ( ) / M/ ) 7 K, M# v. J ?4 w4 N0 _t- A通过仔细查看，确实是一个完整的DBR2 % R9 u+ ?# ? z% X) X! Q看来，是DBR偏移了。$ % o3 B L) V# N* I5 C7 4 r& - B& m5 g- U2 V7 Y; F# W n& M% 7 m/ N; O$ L) |6 e( g把DBR移回正确位置，保存好，就能正常看到文件了。, Jz2 U, z4 i4 y4 : M. N$ L