查找丢失分区的 3 种方法

要求数据恢复服务的人通常要求从“丢失”的分区中恢复数据。造成此类损失的原因可能多种多样：驱动器故障、磁盘空间分配尝试失败、病毒等。

今天我们将尝试找出为什么在这种情况下我们看不到数据以及我们如何使用 PC-3000 硬件软件系统来恢复它。本文将特别有益于那些刚刚开始在数据恢复方面迈出第一步的人。

一点理论

让我们考虑驱动器上的典型数据组织，以找出我们无法通过操作系统工具访问数据的原因。

常见的磁盘空间分配方案

要访问此处的文件，我们需要：

1. 读取0扇区的MBR，得知某个分区从2048扇区开始，占用N个扇区；
2. 读取分区的扇区 0 并在那里找到 Boot NTFS 结构以了解我们处理的是 NTFS 文件系统，因此我们可以获得有关其元数据的一些信息；
3. 找到文件系统的其他元数据，使用 Boot NTFS 信息，显示用户的数据。

基本上，元数据可以分为3种类型：

1. 磁盘空间分配的元数据。在我们的示例中，它是 MBR，但 GPT、Apple Partition Scheme、LDM 和 LVM 结构等也可以包含在此处。
2. 获取文件系统类型信息所必需的文件系统入口点，通常包含一些重要参数。在我们的示例中，它是 Boot NTFS，但 Boot for FAT 和 ExFAT、Superblock for EXT、XFS、UFS 和 ReiserFS 也属于这一类。
3. 文件系统的其他元数据——所有结构，存储有关目录和文件的位置、名称和属性的信息。这些是 NTFS 的 MFT 记录、FAT12/16/32 的 FAT 表和目录、EXT 的 inode 表等。

在元数据问题的类型 1 或类型 2 的情况下，操作系统可能会停止显示分区。换句话说，我们将看到丢失分区的问题。

练习掌握您的数据恢复技能 

«您需要先格式化驱动器中的磁盘才能使用它»

当您尝试打开引导 FAT32 损坏的分区时的 Windows 消息

在大多数情况下，用户会看到此消息而不是他们的数据，这些数据存储在带有 FAT 文件系统的闪存驱动器或外部 HDD 上。如果我们损坏主 FAT 引导，这就是我们得到的结果。

说到分类，这就是破坏文件系统入口点的情况。PC-3000 系统知道启动副本的存储位置，因此，如果它没有损坏，Data Extractor 内的分区将打开而无需任何其他操作。但是，这个案例并没有那么有趣，那么我们来看看两个 FAT Boots 都损坏的案例。因此，分区不会在 Windows 或数据提取器中打开。我们将尝试获得结果的最简单方法——通过启动快速磁盘分析模式。

快速磁盘分析发现FAT32文件系统

启动后立即添加了虚拟分区 FAT32。在右侧，我们可以看到它包含哪些数据。如果我们现在返回到 Data Extractor 文件资源管理器，那里已经有一个虚拟分区。我们现在可以保存数据了。

无需赘述，我们可以说 FAT Boot 包含打开文件系统的非常重要的数据，但是，FAT 表和目录分析允许我们定义这些参数并构建人工 FAT Boot。

我们发现的 FAT32 表允许我们开始这样的分析。它也可以从原始恢复启动，因为我们将在下一个示例中为 ExtX Superblock 执行此操作。

该方法基于以下观察：

• 分区通常彼此相邻并几乎完全覆盖磁盘，即分区之间的“间隙”以及磁盘“边缘”的边距不超过数千个扇区；
• 磁盘组织（包括副本）上的元数据位于磁盘的开头或结尾；
• 文件系统及其副本的入口点通常位于分区的开头和结尾。

为了说明这些观察结果，让我们考虑磁盘组织的另一个示例。

带有 GPT、FAT32 和 HFS+ 分区的磁盘

• 分区信息的GPT结构位于磁盘的开头和结尾（MBR表示唯一的磁盘大小分区，通常写在扇区0的GPT结构之前）；
• FAT32分区的开头靠近磁盘的开头，它的Boot——文件系统的入口点——位于分区的第一个扇区；
• HFS+ 分区几乎紧跟在 FAT32 分区之后，其开头包含 HFS+ 卷头——HFS+ 文件系统的入口点；
• HFS+分区靠近磁盘的末尾，在分区的末尾有一个HFS+卷头的副本；
• GPT 副本位于磁盘的末尾

如果我们处理一个未知的磁盘，扫描磁盘开头和结尾的空间是有意义的。如果您找到有关分区位置的信息或能够恢复整个分区，那么您可以将靠近分区开头和结尾的范围添加到您的搜索中，因为很有可能找到相邻的一。

此类扫描的目的是找到文件系统或结构的入口点，这将使我们能够恢复有关分区的信息（在本例中为 FAT32 表）。

快速磁盘分析扫描最“有趣”的范围，并随着扫描的进行自动放大。如果找到合适的结构，则启动添加虚拟分区的方法。然后所有恢复的分区都显示在模式框架中，可以立即看到文件系统树。

格式化后还有生命吗？

“快速”格式化后恢复数据的可能性和方法是一个值得单独写一篇文章的话题。然而，在某些情况下，它可能非常简单。让我们考虑这样一种情况：从计算机中提取安装了 Ubuntu（默认创建 EXT 分区）的驱动器，然后连接到另一个安装了 Windows 并格式化为 NTFS 的驱动器。在那之后，驱动器被带到恢复中。

在这种情况下，我们也可以像以前一样运行快速磁盘分析。但是让我们尝试另一种方法 – 启动原始恢复以检查驱动器。

RAW 恢复结果

NTFS 分区以 LBA: 2048 开头。EXT 分区可能也从这里开始，但我们不能确定。进一步，我们发现了其他几个与 NTFS 相关的结构。在扇区 264 192 中，我们可以看到 EXT 文件系统的超级块副本之一。让我们陈述几个关于 EXT 文件系统的重要事实：

• 为文件系统分配的空间被分成相等的组（也许除了最后一组）。组的大小在超级块中指示。在本例中，它等于 262144 个扇区。
• 主超级块位于组 0 中并移动到 1024 字节。
• 主超级块的副本被写入其他一些移位 0 的组中。这些是组 1 和其他组，它们的数量是 3、5 和 7 的幂。因此数组的开头如下： 0 ( +1024 字节), 1, 3, 5, 7, 9, 25, …
• 不同分区的超级块很容易通过GUID识别，写在其中。

这样的组织为我们提供了两种选择：

• 如果主超级块损坏，则很有可能找到它的副本；
• 如果我们找到同一分区的几个超级块并定义它们在序列中的位置，我们就可以定义分区开始的确切位置。

这些选项是添加虚拟分区方法的基础，该方法可从 ExtX Superblock 的上下文菜单中获得。

在ExtX Superblock上添加虚拟分区的运行方法

在我们的例子中，该方法很容易定义了分区的开始——它也是扇区 2048。如果我们返回到文件资源管理器，我们会在那里看到一个新的虚拟分区，它提供对数据的访问。在这种情况下，“虚拟性”意味着 Data Extractor 不是从磁盘结构中获取有关分区的开始、大小和类型以及其入口点（超级块）的信息，而是将其存储在特定的数据库中.

Data Extractor Explorer 中的 Ext4 虚拟分区

让我们总结一下上面的信息。

重新格式化后，包含所需数据的 EXT 文件系统的入口点被新文件系统 (NTFS) 的结构擦除。原始恢复模式找到了 EXT 超级块。使用特定方法，我们添加了虚拟分区并访问了数据。

前面的方法（快速磁盘分析）也可以在这里应用。

无 MBR

Windows 磁盘管理中已擦除 MBR 的驱动器

如果通常包含 MBR 的 LBA = 0 已损坏（BAD 扇区），我们将在 Windows 磁盘管理中看到与上面屏幕截图类似的图片。现在无法通过常规方式查看分区的数据。众所周知，我们可以使用快速磁盘分析和 RAW 恢复模式来解决这些问题。但是让我们尝试另一种方式，一种自动化程度最低的方式，以便更好地了解一切是如何工作的。

如果我们手动搜索分区，在大多数情况下，首先要查找的位置应该是它们的开始位置：LBA 63、2048、264192、409640 或 2 的幂，例如 128、256、512 等。

在 LBA-2048 处启动 NTFS

当我们打开扇区 2048 时，我们看到了 Boot NTFS 的典型特征——扇区开头的“NTFS”行。让我们使用将扇区查看为 Boot NTFS 结构的选项（View as…> Boot NTFS），并查看相关字段是否有效。然后我们从“服务”菜单中添加一个虚拟分区。

添加虚拟分区

之后，我们可以在 Data Extractor 文件资源管理器中看到用户的数据。通过添加虚拟分区，我们跳过了从 MBR 或其他结构确定分区开始的步骤，因为我们清楚地设置了新分区的开始和类型。由于引导扇区和其他 NTFS 元数据是正确的，因此所有用户数据都在数据提取器文件资源管理器中可见。

NTFS虚拟分区

我们从文章中学到了什么？

由于逻辑损坏（错误的驱动器格式化、病毒、软件错误等）或物理驱动器问题（坏扇区、划痕、磁头弱等），您可能会面临“丢失分区”的问题。它经常出现在损坏的驱动器上。带数据提取器的 PC-3000 系统是唯一以最谨慎的方式处理损坏驱动器的解决方案。

分区丢失有两个最常见的原因：

1. 分区位置信息已损坏（例如无法读取MBR）
2. 文件系统入口点损坏（例如引导或超级块被擦除）

带有数据提取器的 PC-3000 系统有几个解决这个问题的方法。在本文中，我们讨论了如何：

• 使用快速磁盘分析自动查找丢失的分区
• 从 RAW 恢复模式添加虚拟分区
• 从十六进制编辑器添加虚拟分区

这些解决方案在现实生活中反复证明了它们的有效性。

未经允许不得转载：成都数据恢复|服务器数据恢复|数据库修复|解密-零磁道数据恢复中心 » 查找丢失分区的 3 种方法