硬碟的分區誤删除的恢複
這是老師給我們的一塊虛拟硬碟,上面老師做了一些手腳讓我們恢複,是以我們也不知道這塊硬碟上本來有什麼東西,我們打開磁盤管理器看到又一塊未指派的磁盤,這并不是沒有指派而是被我們把分區給删除了,接下來我們恢複分區并回複資料。
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_12416841476XNo.jpg"></a>
先用winhex這個工具打開這塊硬碟,因為每個分區都會保留63個扇區,是以第一個分區的起始應該從63開始,
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684149Ebet.jpg"></a>
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684153c0fl.jpg"></a>
在偏移CH28後的幾個位元組是NTFS檔案系統的扇區大小減一,如果是fat分區則在CH20處從這裡我們就知道了第一個分區的大小及類型
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684158EeEq.jpg"></a>
這個分區的大小是5124672個扇區,起始+大小—1=分區的結束位置,這樣我們也就知道了這個分區的結束位置,那這個分區的結束扇區的下一個扇區就是下一個分區開始。我們來轉到第一個分區的最後
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684161egKZ.jpg"></a>
這個分區結束在318柱面254磁頭63扇區。
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684165LAxd.jpg"></a>
那319柱面0磁頭1扇區就是第二個分區的開始,這個裡面在CH2這有數值,在CH28也有數值,那到底哪個是表示分區大小呢?我們來算一下後面的幾位算出來的值比我們的硬碟還大,是以不是,那就是CH20這的表示硬碟的,這也表示這個分區時fat分區,算出大小事2457945個扇區
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684170mEvb.jpg"></a>
我們來算出他的結束位置起始+大小-1
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684174nhmq.jpg"></a>
轉到最後位置
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684176OryT.jpg"></a>
這個分區的結束位置是471柱面254磁頭63扇區,那麼472柱面0磁頭1扇區就是第三個分區的開始看一下。
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684179s83P.jpg"></a>
是第三個分區的開始,而切這個分區時NTFS類型,我們可以算出這個分區的大小,也就是把16進制轉換成10進制再加1
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684184zIvY.jpg"></a>
算出大小後再算出結束的位置,然後轉到結束位置。
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684188IqMZ.jpg"></a>
結束位置是777柱面254磁頭63扇區
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684191EYSw.jpg"></a>
我們口分析完了,開始向分區表的MBR裡面寫入記錄。
第一個分區
00 01 01 00 07 FE 7F 3F 3F 00 00 00 40 32 4E 00
第二個分區
00 00 41 3F 06 FE 7F D7 7F 32 4E 00 59 81 25 00
第三個分區
00 00 41 D8 07 FE FF 09 D8 B3 73 00 B2 02 4B 00
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684196D4Y8.jpg"></a>
寫好以後儲存修改的内容,然後重新啟動一下計算機就會看到,多了三個分區
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684200Vi1G.jpg"></a>
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684202loxH.jpg"></a>
那這三個分區是否被删除過檔案呢?我們用一個易我資料恢複工具掃描一下,我們選擇格式化恢複
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_12416842050PBi.jpg"></a>
選擇我們要掃描的分區,
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684207id0S.jpg"></a>
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684209DFRn.jpg"></a>
輸出到c盤的根目錄下
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_12416842120IGB.jpg"></a>
完成
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684213jjDY.jpg"></a>
看到他找到的檔案,DOS7本來就有,又多了一個檔案夾
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_124168421515DR.jpg"></a>
掃描别的盤過程類似,在掃描F盤的時候掃描出了好多檔案
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684217MuYY.jpg"></a>
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684219GfZ1.jpg"></a>
打開找到的檔案,是不是找到很多。
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684222oD1z.jpg"></a>
F盤則跟E盤内容一樣。
<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684224W9if.jpg"></a>
是不是很神奇啊!!!!O(∩_∩)O~
本文轉自 liuyonglei 51CTO部落格,原文連結:http://blog.51cto.com/liuyonglei/155956,如需轉載請自行聯系原作者
![硬碟的壽命有多久?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)