admin 管理员组文章数量: 1087139
2024年12月21日发(作者:css教程 雪峰)
详解使用R-Studio恢复数据之1:误分区后的恢复
本文来源于《数据重现--文件系统原理精解与数据恢复最佳实践》
R-Studio是一款功能比较强大的数据恢复软件,它的特点有如下几点:
1)
支持FAT系列、NTFS系列、UFS系列、ExtX等文件系统。
2)
参数设置非常灵活,使恢复人员可以根据不同的具体情况进行相应的设置,以最大可能地恢
复数据。
3)
支持远程恢复,可以通过网络恢复远程计算机中的数据。
4)
支持分区丢失、格式化、误删除等情况下的数据恢复。
5)
不只支持基本磁盘,还支持动态磁盘。
6)
支持RAID恢复,可以恢复跨区卷、RAID0、RAID1及RAID5的数据。
R-Studio也可以象Winhex一样不依赖于磁盘主引导扇区的“55AA”有效签名标志对分
区表进行识别并列举出各个分区。前面介绍MHDD时曾经提到,当某个分区的引导扇区恰好
处于坏道上,导致系统启动时因无法读取坏道上的信息而启动缓慢甚至无法进入系统时,可
以使用MHDD提供的“Switchmbr”命令清除主引导记录扇区的“55AA”标志,使操作系统将
磁盘视为未初始化而不再检索其分区表,从而可以顺利地进入操作系统。然后,就可以利用
R-Studio不依赖于“55AA”标志的特性恢复数据。
对于R-Studio的特性我们不再做更多的介绍,有兴趣的读者可以登陆
[url]/qtzl/qt2/[/url]网站查看R-Studio帮助文件的译文。下面我们来使
用它进行实际的恢复演示,读者对其有个基本的了解后,可以自行研究其强大的功能。
1.分区恢复
R-Studio可以通过对整个磁盘的扫描,利用智能检索技术搜索到的数据来确定现存的和
曾经存在过的分区以及它的文件系统格式。下面,我们以一个20GB容量的磁盘演示分区恢
复的过程。
首先在磁盘上建立三个分区,并向其中拷入数据。运行R-Studio后,程序可以自动识
别到硬盘,读取其分区表并列举出现存的分区。如图10.62所示。
我们用做实验的磁盘型号为IC25N020CSH201D2GACA20,R-Studio可以自动识别这个
型号。选中该磁盘后,在右侧的窗口中会给出该磁盘的型号、在系统中的设备号以及容量等
信息。
可以看到,该磁盘分为三个分区,第一个分区为FAT32文件系统,起始于31.5KB(63
号扇区)的位置,大小为3.9GB;第二个分区为NTFS文件系统,起始于3.9GB的位置,大
小为7.8GB;最后一个分区为FAT32文件系统,起始于11.7GB的位置,大小为6.9GB。双
击列举出的一个逻辑磁盘,就可以遍历该文件系统并以目录树的形式显示其中的目录及文件。
如图10.63所示,R-Studio列出了我们选择的第一个分区的数据。
第一个目录为元数据文件目录,其中存放的是文件系统的管理数据,对于FAT32来讲,
就是DBR及FAT表。Root为根目录,单击Root后,可以在右侧的窗口中显示出根目录下
所有的目录及文件。
接下来,我们将硬盘中的分区删除后重新建立了两个分区,以制造分区被破坏的现场。
然后开始恢复。
步骤1 扫描磁盘。要找到原来的分区,需要对整个磁盘进行扫描。因此,必须选择界
面中的物理磁盘进行操作,而不能选择一个逻辑分区。
在磁盘上右击,然后在弹出的菜单中单击Scan(扫描),如图10.64所示。
(起始)栏中输入扫描的起始位置,在Size栏中输入扫描的范围大小。输入数值时,
如果以扇区为单位,需要在输入的数值后加“S”,以MB为单位则加“MB”,以GB为
单位则加“GB”。
“File Systems”栏中为支持的文件系统类型,可以支持的类型有Linux的ExtX、Windows
的FAT和NTFS、苹果机的HFS以及Unix的UFS文件系统。单击其后的向下箭头可以在
下拉列表中选择想要寻找的文件系统类型。程序默认勾选所有的类型选项,应该根据实际情
况只保留可能存在的文件系统类型,以降低计算机的负载并提高扫描速度。在我们的演示中,
只有FAT及NTFS类型的文件系统,因此我们可以去掉其他的类型选项,只保留对这两种
文件系统类型的勾选。
“Extra Search for Known File Types”选项默认被勾选,勾选此项时,程序在扫描的过
程中会同时搜索已知文件类型的特征值,并在搜索结果中将搜索到的同类文件单独存放在一
个目录中。单击其后的“Known File Types”按钮可以查看程序所支持的文件类型种类。不
过,只有在文件系统破坏非常严重,文件的元数据信息全部丢失的情况下才需要使用这种恢
复方式。为了提高搜索速度,不建议勾选此项。如果确实需要以这种方式恢复时,我们建议
使用将在下一小节介绍的RAW恢复软件Recver My Files。
设置完毕并确认无误后,单击Scan按钮即开始扫描。如图10.66所示。
扫描的时间长短根据磁盘容量的大小、接口、扫描设置以及计算机的运算速度不同而有
所差异。
步骤2 查验扫描结果。扫描结束后,程序即列出所有可能存在的分区,并给出每个分
区的起始位置和大小。单击某个分区后,右侧的窗口中即会给出该分区的逻辑参数,如每
FAT项大小、簇大小、根目录起始簇、FAT1的起始位置及每FAT表的大小等。如图10.67
所示。
从图中可以看到,程序共搜索到了一个NTFS类型分区和四个FAT32分区。实际上,
这四个FAT32分区只是两个。那么,为什么会出现这种情况呢?
我们先来画一个示意图,如图10.68所示。
我们对磁盘原来的分区结构进行破坏并新建分区后,新建的第一个分区与原来的第一
个分区都是起始于磁盘的63号扇区,但分区后我们并没有对其进行格式化,这样,63号扇
区内就不会有任何内容。但位于磁盘69号扇区的原第一分区的DBR备份依然存在,FAT
表也完好无损。程序扫描时,首先在69号扇区找到一个DBR,根据这个DBR中的参数虚
拟一个分区并解释其中的数据。这个分区就是图10.67中显示的起始于34.5KB位置的FAT32
分区Recognized8。可想而知,这个分区以原来的DBR备份扇区做为分区的起始位置,将使
用FAT表、根目录等数据结构的位置相对地向后移6个扇区,也就不可能正确地解释其中
的数据。双击该逻辑磁盘后,程序即开始根据该分区的参数遍历整个分区,然后列表显示找
到的目录及文件。如图10.69所示。
从图10.69可以看到,虽然程序列出了该分区内的目录和文件,目录名和文件名也正确,
但这只是它根据搜索到的目录项列出的内容,因为扇区起始位置错误,根据目录项中描述的
子目录或文件的起始簇对其进行访问时,将无法访问到子目录或文件的正确起始位置。所以,
子目录名的前面显示为问号图标,因为对该目录进行访问时并没有在其中找到正确的内容,
在左侧窗口中单击一个带问号的子目录时,在右侧的窗口中将显示为空或乱码。
右侧窗口中的文件也一样,右击一个文件,在弹出的快捷菜单中选择View/Edit,可以
在一个十六进制编辑窗口中打开该文件,如果对该文件类型的特征值比较熟悉的话,能够判
断出该文件的文件头是否正确。我们选择打开了一个Word文档,很显示这不是一个正确的
Word文档的文件头(如图10.70所示),因为Word文档的文件头的前8个字节在十六进
制窗口中将显示为“D0CF11E0A1B11AE1”。
注意:R-Studio并不是由0开始对磁盘及分区中的扇区进行编号,而是由1开始。因此,
使用R-Studio与Winhex协同工作时应该注意,对于同一个扇区,在Winhex中的扇区号要
比R-Studio中的扇区号小1。
程序搜索的过程中,不只搜索DBR,还会搜索FAT的起始位置。因此,它在99号扇
区搜索到一个FAT表。但并没有DBR与该FAT表相对应(与之对应的63号扇区的DBR
被清空了),因此,程序就再虚拟一个分区,因为通过FAT表的位置并不能得知原DBR的
位置,所以程序就将分区的起始位置显示为该FAT表的起始位置,这就是图10.67中显示
的起始于49.5KB的FAT32分区Recognized7。由于这个分区的位置是正确的,所以它可以
正确地显示出其中的数据结构。如图10.71所示。
另外两个列出的FAT32分区是原三个分区的最后一个,与第一个分区不同的是,它的
DBR扇区与DBR备份都是完好的,程序扫描到原始DBR后根据其参数虚拟一个分区,也
就是图10.67中列出的Recognized6号分区。而这个分区的参数完全正确,能够正确链接到
FAT1,所以不会将此分区的起始位置显示为FAT表的起始位置。Recognized9号分区是程
序根据扫描到Recognized6号分区的DBR备份后虚拟出的一个分区,这个分区也无法正确
的解释其中的数据。
步骤3 恢复数据。在要恢复的目录或文件上右击,在弹出的快捷菜单中选择Recover,
或对要恢复的数据进行勾选后右击一个目录或文件,在弹出的快捷菜单中选择Recover
Marked(如图10.72所示),即可弹出保存路径选择对话框,选择好存放路径后单击OK按
钮即可将数据恢复至指定的位置。
使用
R-Studio
万能通用数据恢复法图文教
程
我们所指的万能数据恢复法,就是在待恢复存储介质没有硬件故障的情况下,使用数据恢
复软件全盘扫描,虽然扫描时间长了一些,但不用太关心分区大小及格式,什么故障类型,数据
恢复软件会自动将分区结构,分区大小,分区类型,删除的数据文件,丢失的数据文件,无链接
的单类型文件计算分析组合整理出来,你只需要挑选你要的数据即可。
R-Studio
数据恢复软件
就有这种强大功能,本文以
R-Studio
为例,介绍演示全硬盘扫描恢复数据的方法。
一块
160G
硬盘,客户描述是电脑系统故障,然后重新分区格式化安装。
20
天后,发现一
些需要的数据没有备份,于是寻求我们的帮助。我们将故障硬盘连接到电脑上,在我的电脑中可
看到共
4
个分区,格式为
FAT32
。
在我的电脑上右键单击
--
管理
--
然后进入磁盘管理,可以更加直观的了解现在结构,对后面
的数据恢复过程很有帮助。
通过磁盘管理,我们对故障硬盘当前的分区结构和盘符的分配,有了更直观的了解,请注
意区分本机硬盘和客户硬盘。
我们首先要了解故障硬盘当前分区的数据量,即对以前数据的覆盖破坏量。在磁盘管理中,
在每个盘符上
--
单击
--
右键
--
属性,这是客户硬盘当前第一个分区
H
盘的属性。剩余空间不多,
但客户声明本区为操作系统分区,数据不在这里。因此我们大致了解一下即可。
客户硬盘当前第二个分区
I
盘的属性
,
这个分区占用量为
4.86G
,这意味着对原来数据可能
有约
4.86G
的覆盖破坏量,是不是覆盖在原重要数据位置要看运气,还原分区后可具体分析。
客户硬盘第
3
、
4
个分区
K
盘和
L
盘已用空间都基本为空,这些位置的数据恢复效果将会
很好。
诊断了解客户硬盘状况完毕,下面开始数据恢复,这里我们使用
R-Studio
软件来恢复数据,
获取
R-Studio
后并安装运行。
客户需要的是重新分区格式化安装系统以前的数据,并且要求尽可能全部恢复,因为他不
记得原来数据放在什么位置,因此需要点击选择扫描恢复整个硬盘而不是分区。选择要恢复的硬
盘或分区,点击
R-Studio
的开始扫描图标。你可以根据硬盘型号、卷标、
文件系统、
开始位
置、
分区大小来正确确认。
点击开始扫描后,
R-Studio
弹出扫描设置窗口,一般采用默认选项即可,也可以去掉我们
不需要的文件系统,可加快分析速度。我们要扫描的是整个硬盘,所以从
0
位置开始,长度
14
9.1G
。
也可以精简
R-Studio
要分析的文件系统,
Windows
操作系统只可能是
FAT
和
NTFS
格式。
R-Studio
扫描速度很快。整个硬盘扫描到一半了,在这里可以看到数据分布、分区状况及
扫描进度,
160G
硬盘大约要
1
小时。
R-Studio
扫描完成,
OK
。
扫描结束后,将
R-Studio
的扫描信息保存一下是个好习惯,以后可以直接打开,无需再扫
描。
选择一个保存位置,注意!不要选择待恢复数据的硬盘上的分区!!
以后我们再次需要
R-Studio
的扫描信息时,可以打开扫描信息文件,这一点对数据恢复公
司很实用。
这是
R-Studio
扫描到的分区结构,分区大小、起始位置、文件系统等信息都分列出来。根
据每个分区的完整度,
R-Studio
分开显示不同的推荐级别,用绿色、橙色、红色表示,依次推
荐级别不同。
下面重点是怎样排除并挑选有可能是要恢复数据的分区。
我们首先排除那些与当前结构一样的扫描结果,排除后,我们分析剩余的分区结构,从最
高推荐等级绿色项中,可以看到从
48.8G
开始的,首尾相接完整的
4
个优质扫描分区,分别是
48.8+29.3=78.1
、
78.1+29.3=107.4
、
107.4+20.5=127.9
、
128+21.1=149.1
,直到硬盘尾部。这
样完全可以确认这是故障硬盘没有被分区格式化安装系统之前的结构,即硬盘的后
4
个分区。
确定完这
4
个分区结构,剩下的工作是寻在
48.8G
之前的空间原来有几个分区。
橙色部分里有一个从头起始,
19.5G
大小,与当前
FAT32
格式不同的
NTFS
结构,估计是
第一个分区。下面还有两项起始位置为
19.5G
左右,长度为
28.8G
的两个推荐项。两项起始位
置接近,长度一样,
19.5G+28.8G=48.3
结果接近
48.8G
。
至此,我们可以大致认为原来结构为
6
个区,为
19.5G
、
28.8G
、
29.3G
、
29.3G
、
20.5G
、
21.1G
排列结构。下面分别进入分区查看验证。
我们首先双击打开这个
R-Studio
命名为
Recognized17
的分区查看验证。
R-Studio
目录列表中可以看到完整的文件夹结构,红色带
x
和问号的文件夹是以前人为或
系统删除过的内容。
拖滚动条继续向下看,
R-Studio
命名的
Extra Found Files
文件夹里存放的是没有目录结
构、按文件类型归类的文件。再下面是父目录链丢失,
R-Studio
重命名的目录
$
。
有时如果在正常目录结构里没有找到我们需要的数据,就要到
Extra Found Files
文件夹
寻找挑选你要的文件类型,
R-Studio
将这些孤立的文件根据类型存放在一起。
我们继续查看挑选父目录名丢失的文件及文件夹。带红
X
的文件和目录表示以前删除的。
在文件目录多,删除整理频繁的电脑上,特别是
FAT32
分区格式,这些红
X
文件夹项非常多,
显得杂乱。这时就需要
R-Studio
过滤显示要恢复的目录。
点击
R-Studio
过滤图标,去掉不需要显示的内容,如是否显示空文件夹、是否显示已删除
的文件、是否显示正常存在文件夹。恢复文件删除的数据故障时,去掉正常存在文件夹,可以只
保留显示我们删除过的文件夹。在这里我们是恢复重新分区的数据,一般去掉显示空文件夹、显
示已删除的文件这两项。
过滤掉删除的和异常的文件夹,目录清晰多了。挑选需要的数据并勾选。在
R-Studio
窗口
底部状态栏里,显示挑选标记的文件信息,有文件、文件夹数量,还有标记总数据量。右边显示
的是可恢复的所有文件信息,挑选完成,点击恢复图标,开始导出。
选择设置导出数据存放目的地,其他选项默认即可。
选择导出位置,注意!不可是待恢复数据的硬盘分区。
恢复导出过程中,
R-Studio
将显示进度比,剩余文件量信息。
遇到目录重名时
R-Studio
会提示,有覆盖、重新命名、跳过、中断恢复几个选项。勾选总
是采用相同回答后,相同问题将不再提示。
我们继续打开其它分区查看恢复数据。这次我们打开一个
NTFS
结构的分区。
在
R-Studio
的目录列表中,也显示有以前删除过的文件夹,相对于
FAT32
,
NTFS
分区数
据恢复时目录结构要清晰得多。
现在我们分别打开
48.8 G
之前的两个分区查看恢复,首先打开第一个
19.5G
分区。
可以看到文件结构保留非常完整。这是因为之前为
NTFS
结构,重装系统使用的是
FAT32
,
不同的分区格式文件存放起始位置不一样。
这是硬盘原来第二个分区的目录列表,虽然目录有幸被保留下来了,但其子目录破坏严重,
链接不上。
这些都是
R-Studio
认为删除的目录,进去挑选一下,看看有没有想要的内容
继续向下,这些是
R-Studio
认为内容完整,但目录链丢失的项目
我们挑选一个双击打开
查看。
很幸运,还有能够打开的文件内容
使用
R-Studio
直接提取目录文件恢复数据
图文教程
直接提取目录文件数据恢复法,就是用数据恢复软件打开故障分区,直接提取目录数据,
该方法适合刚刚删除的文件目录、文件夹加密、目录权限错误、目录权限不够、目录文件被隐藏、
文件或目录损坏且无法读取等故障。
本文我们以数据恢复软件
R-Studio
来讲述直接提取数据。另一篇文章讲述用
16
进制编辑
工具
WinHex
来直接提取数据。
R-Studio
是常用的数据恢复软件,这里我们只讲述他的直接打开分区加载目录功能。首先
请获取安装
R-Studio
。
R-Studio
的主界面,非常直观,使用简单,在不同盘符双击即可打开分区文件列表。
当分区信息不完整或没有分配盘符时,
R-Studio
将显示卷标号或分区号。双击盘符,查找
删除的数据。
R-Studio
开始加载分析目录列表,加载过程将忽略目录文件夹权限和隐藏属性。
这是
R-Studio
所列出的目录结构,所有带红
X
的是删除或剪切过的目录文件,另外目录
链丢失的结构
R-Studio
会自动命名一个目录名称。
打开各个文件夹,查看
R-Studio
所列出的目录,
R-Studio
会忽略
NTFS
分区的权限属性
和目录文件夹的系统及隐藏属性,硬盘分区所有内容一览无遗。找到需要的数据,加以选择。
这些是丢失目录名称的文件夹,
R-Studio
为其重新命名为
$$$Folder
开头的名字。
选择你要导出的目录和文件,
R-Studio
的底部会有统计信息,包括文件数量和所选文件夹
的容量。注意目标盘剩余空间是否充足。
通过
R-Studio
的过滤设置,筛选所需文件。
不同的故障类型,按实际需要设置
R-Studio
的筛选显示数据,当恢复目录权限问题、分区
隐藏、文件夹加密等类型数据,我们需要将删除文件夹和空文件夹过滤掉,这样目录结构更加清
晰,所保留的将是完整所需数据。
这样清晰完整的多,特别是目录项多,经常删除文件的硬盘,
R-Studio
的过滤设置就显得
非常有用了。
选择要恢复的数据,这里我们假设目录权限问题,选择后点击
R-Studio
主界面上方的快捷
图标,导出我们标记选择的目录文件夹。
这里设置
R-Studio
数据恢复的输出选项,除了设置输出存放目录外,其他选项一般默认。
这里我们选择
E:
盘作为
R-Studio
的恢复导出数据的目的地。注意不能选择正在恢复故障分
区。还要注意你选择的目标盘空间是否充足。
点击
OK
后,确认恢复导出。其它选项一般默认。
R-Studio
开始恢复导出数据,底部显示进度条和剩余文件数和剩余数据量。
有时会有重名文件及目录,可选择覆盖数据,重新命名,跳过或放弃恢复退出。勾选自动
应答选框,以后遇到相同情况,
R-Studio
将不再提示。
查看恢复结果,完成用
R-Studio
直接导出数据的数据恢复工作。
R-Studio
恢复误删除误格式化分区
R-Studio
恢复误删除误格式化分区
在
R-Studio
中,恢复误格式化与误删除分区的恢复方法基本相同,唯一的区别是,格式化
对某个分区来说的,所以在恢复时候只需对误格式化的单个分区进行扫描就行勒。
我们这次的试验是把第三个分区由
FAT32
格式化成
NTFS
后进行恢复。由于我们知道原来
的文件系统为
FAT32
,所以在扫描设置对话框的文件系统栏中,只保留
FAT
类型即可,这样可
以避免一些不必要的系统开销。如果不能确定原来的文件系统是
FAT
还是
NTFS
,则需要对两
种文件系统类型都进行勾选。
扫描完成后,程序会列出找到的分区。实际上,格式化后的扫描恢复相当于限定一个扫描
的范围,在这个范围内寻找可能存在的分区。由于我们用于实验的磁盘进行过全盘清除数据的操
作,不存在以前分区的干扰信息,所以扫描完成后只显示有一个
FAT32
分区。如图
1
所示。
图
1.
格式化恢复
可以看到,程序显示
FAT32
文件系统起始于分区的
16KB
处,其实这也是一个
FAT
表的
起始位置。分区大小为
267.2MB
,对于分区大小的算法目前还不太了解,不过这并不影响我们
恢复其中的数据。
在搜索到的分区上双击即可将其打开,如图
2
所示。
图
2.
列举文件
经过验证,数据基本上没有破坏。这也同时验证了我们前面的分析,即
FAT32
文件系统格
式化成高版本
NTFS
后,数据恢复的可能性比较大。
我们向现在的
NTFS
分区拷入部分数据后再格式化成
FAT32
,其实也相当于将原来的
FA
T32
重新进行
FAT32
格式化。回顾我们前面分析格式化恢复时所讲的内容,
FAT32
的数据通常
位于分区前部,高版本
NTFS
的数据通常稍靠后一些,形成前后错开的情形。将
FAT32
格式化
成
NTFS
时没有破坏掉原
FAT32
的
FAT
表、根目录和数据。重新格式化成
FAT32
时,基本不
会破坏
NTFS
的数据,但却会破坏最初
FAT32
文件系统的
FAT
表和根目录。我们可以通过这个
实例同时验证
FAT32
分区重新进行
FAT32
格式化以及
NTFS
格式化成
FAT32
的恢复。
我们
不再详细讲述基本的操作,但需要提醒一点,因为我们知道格式化的过程是
FAT32
-
NTFS—F
AT32
,因此,需要找回原来的
FAT32
及
NTFS
中的数据,所以进行扫描设置时应该同时保留
F
AT
及
NTFS
文件系统类型选项。扫描结果如图
3
所示。
图
3.
格式化成
FAT32
后的恢复
可以看到,程序找到了两个
FAT32
和一个
NTFS
,其中一个
FAT32
是根据
DBR
备份扇区
的信息虚拟而成。我们双击起始位置为
0
的
FAT32
,结果如图
4
所示。
图
4.
原
FAT32
中的数据
可以看到,根目录下已经没有内容,因为使用与原
FAT32
分区相同的参数进行格式化时,
新旧分区中的逻辑位置都是相同的,为根目录分配的簇恰好与原
FAT32
的根目录重合,因此原
根目录内的内容被清空了,原来位于根目录中的子目录和文件的目录项都已经丢失。不过,子目
录的簇空间还仍然存在,程序搜索到这种子目录空间后即为其建立一个目录,用号码做为它的目
录名。子目录的簇空间中记录的下一级子目录及文件的目录项依然完好,所以可以列举出它们的
名字。但如果要正确地恢复数据,依赖于它们的存储是否连续,因为
FAT
表已经不存在了。
最严重的破坏是,原来直接存放在根目录下的所有
Word
文档全部丢失了。因为它们的目
录项直接存放在根目录的簇空间中,根目录被清空后,这些文件的目录项丢失,导致程序无法通
过目录项得知它们的存在。这些文件只能通过
RAW
方式恢复。同样,它们能否被成功恢复也取
决于存储的连续性。
我们再来看一下程序找到的
NTFS
文件系统,双击打开后如图
5
所示。
图
文件系统中的数据
可以看到,
NTFS
中的数据非常完好,说明一个高版本
NTFS
类型分区,如果数据量不是
很大的话,格式化成
FAT32
后,数据被破坏的程度是有限的。
最后,按照我们前面介绍的方法将数据导出即可完成恢复。
版权声明:本文标题:数据恢复-R-Studio专题文章教程 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1734850435a1599498.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论