寻找丢失分区的3种方法

发布时间:2025-12-02 19:39:00 作者:ACE LAB 来源:
原文地址:https://blog.acelab.eu.com/3-ways-to-find-the-lost-partitions.html

请求数据恢复服务的人们经常要求从"丢失的"分区中恢复数据。这种丢失的原因可能多种多样:驱动器故障、磁盘空间分配尝试失败、病毒等。Eks硬盘123

今天,我们将尝试找出在这种情况下为什么我们无法看到数据,以及如何使用PC-3000硬件-软件系统恢复它。本文尤其对那些刚刚开始迈出数据恢复第一步的人有益。Eks硬盘123

Eks硬盘123

一点理论

让我们考虑一下驱动器上典型的数据组织方式,以弄清楚为什么我们无法通过操作系统工具访问数据。Eks硬盘123

Eks硬盘123

磁盘空间分配的通用方案Eks硬盘123

要访问此处的文件,我们需要:Eks硬盘123

  1. 读取扇区0中的MBR,从中我们了解到某个分区从扇区2048开始并占用N个扇区;Eks硬盘123

  2. 读取该分区的扇区0并在那里找到Boot NTFS结构,以了解我们正在处理NTFS文件系统,这样我们就可以获取有关其元数据的一些信息;Eks硬盘123

  3. 使用Boot NTFS信息找到文件系统的其他元数据,以显示用户数据。Eks硬盘123

基本上,元数据可以分为3种类型:Eks硬盘123

  1. 关于磁盘空间分配的元数据。在我们的示例中,它是MBR,但GPT、Apple分区方案、LDM和LVM结构等也可以归入此类。Eks硬盘123

  2. 文件系统入口点,这对于获取文件系统类型信息是必需的,并且通常包含一些重要参数。在我们的示例中,它是Boot NTFS,但FAT和ExFAT的Boot、EXT、XFS、UFS和ReiserFS的Superblock也属于此类。Eks硬盘123

  3. 文件系统的其他元数据——所有存储有关目录和文件位置、名称和属性信息的结构。这些是NTFS的MFT记录、FAT12/16/32的FAT表和目录、EXT的inode表等。Eks硬盘123

如果出现类型1或类型2的元数据问题,操作系统可能会停止显示分区。换句话说,我们将看到分区丢失的问题。Eks硬盘123

实践以掌握您的数据恢复技能

«使用驱动器中的磁盘之前需要将其格式化»

Eks硬盘123

当您尝试打开具有损坏的Boot FAT32的分区时,Windows显示的消息Eks硬盘123

在大多数情况下,用户看到此消息而不是他们存储在带有FAT文件系统的U盘或外部硬盘上的数据。如果我们损坏了主FAT引导扇区,就会出现这种情况。Eks硬盘123

从分类上讲,这是文件系统入口点损坏的情况。PC-3000系统知道Boot副本存储在哪里,因此,如果它没有损坏,Data Extractor内的分区将无需任何额外操作即可打开。然而,这种情况并不那么有趣,所以让我们看看两个FAT引导扇区都损坏的情况。结果,分区在Windows和Data Extractor中都无法打开。我们将尝试最简单的方法来获得结果——通过启动快速磁盘分析模式。Eks硬盘123

Eks硬盘123

快速磁盘分析已找到FAT32文件系统Eks硬盘123

启动后立即添加了虚拟分区FAT32。在右侧,我们可以看到它包含的数据。如果我们现在返回Data Extractor文件资源管理器,那里已经会有一个虚拟分区。我们现在可以保存数据了。Eks硬盘123

在不深入细节的情况下,我们可以说FAT引导扇区包含对于打开文件系统相当重要的数据,尽管如此,FAT表和目录分析使我们能够定义这些参数并构建一个人工的FAT引导扇区。Eks硬盘123

我们找到的FAT32表使我们能够开始这样的分析。它也可以从原始恢复中启动,就像我们将在下一个示例中为ExtX Superblock所做的那样。Eks硬盘123

 
快速磁盘分析是一种自动方法,用于查找"丢失的"文件系统。FAT32只是一个特例,该模式旨在搜索所有支持的文件系统。

这种方法基于以下观察:Eks硬盘123

  • 分区通常彼此相邻,并且几乎完全覆盖磁盘,即分区之间的"间隙"以及磁盘"边缘"的空白通常不超过几千个扇区;Eks硬盘123

  • 关于磁盘组织的元数据(包括副本)位于磁盘的开头或结尾;Eks硬盘123

  • 文件系统的入口点及其副本通常位于分区的开头和结尾。Eks硬盘123

让我们考虑另一个磁盘组织的例子来说明这些观察。Eks硬盘123

Eks硬盘123

具有GPT、FAT32和HFS+分区的磁盘Eks硬盘123

  • 包含分区信息的GPT结构位于磁盘的开头和结尾(指示唯一磁盘大小分区的MBR通常写在扇区0的GPT结构之前);Eks硬盘123

  • FAT32分区的开头接近磁盘的开头,其引导扇区——文件系统的入口点——位于分区的第一个扇区;Eks硬盘123

  • HFS+分区几乎紧接在FAT32分区之后,其开头包含HFS+卷头——HFS+文件系统的入口点;Eks硬盘123

  • HFS+分区结束接近磁盘的结尾,并且在分区的末尾有一个HFS+卷头的副本;Eks硬盘123

  • GPT副本位于磁盘的末尾Eks硬盘123

如果我们处理一个未知磁盘,扫描磁盘开头和结尾的空间是有意义的。如果您找到了关于分区位置的信息或者能够恢复整个分区,那么您可以将接近分区开头和结尾的范围添加到您的搜索中,因为很有可能找到相邻的分区。Eks硬盘123

这种扫描的目的是找到文件系统的入口点或者能够让我们恢复分区信息的结构(在这个例子中是FAT32表)。Eks硬盘123

快速磁盘分析扫描最"有趣"的范围,并随着扫描的进行自动扩大范围。如果找到合适的结构,则会启动添加虚拟分区的方法。然后所有恢复的分区会显示在模式框架中,在那里可以立即看到文件系统树。Eks硬盘123

格式化后还有数据吗?

"快速"格式化后恢复数据的可能性和方法是一个值得单独写一篇文章的话题。然而,在某些情况下,它可以相当简单。让我们考虑这样一种情况:一个装有Ubuntu(默认创建EXT分区)的驱动器从计算机中取出,然后连接到另一台装有Windows的计算机并被格式化为NTFS。之后,该驱动器立即被送去恢复。Eks硬盘123

在这种情况下,我们也可以像之前那样运行快速磁盘分析。但让我们尝试另一种方式——启动原始恢复来检查驱动器。Eks硬盘123

 
原始恢复是一种专门模式,用于搜索用户数据(图像、文档等)和文件系统的元数据。搜索基于正则表达式分析以及检查各种结构的内部算法,即它不依赖于逻辑磁盘组织(那里有什么文件系统以及是否有任何损坏)。换句话说,该模式执行 文件雕刻

Eks硬盘123

原始恢复结果Eks硬盘123

NTFS分区从LBA:2048开始。EXT分区可能也从这里开始,但我们无法确定。进一步我们发现其他几个与NTFS相关的结构。在扇区264192,我们可以看到EXT文件系统的一个Superblock副本。让我们陈述关于EXT文件系统的几个重要事实:Eks硬盘123

  • 为文件系统分配的空间被分成相等的组(也许最后一个除外)。组的大小在Superblock中指明。在此示例中,它等于262144个扇区。Eks硬盘123

  • 主超级块位于组0中,并偏移1024字节。Eks硬盘123

  • 主超级块的副本写入其他一些组中,偏移量为0。这些是组1以及其他组,其编号是3、5和7的幂。因此,数组的开头如下:0(+1024字节)、1、3、5、7、9、25、……Eks硬盘123

  • 不同分区的超级块很容易通过写入其中的GUID来识别。Eks硬盘123

这种组织为我们提供了两个选项:Eks硬盘123

  • 如果主超级块损坏,很有可能找到其副本;Eks硬盘123

  • 如果我们找到同一分区的几个超级块并定义它们在序列中的位置,我们可以定义分区开头的确切位置。Eks硬盘123

这些选项是基于从ExtX Superblock的上下文菜单中可用的添加虚拟分区方法的基础。Eks硬盘123

Eks硬盘123

正在运行的基于ExtX Superblock添加虚拟分区的方法Eks硬盘123

在我们的案例中,该方法轻松定义了分区的开头——也是扇区2048。如果我们返回到文件资源管理器,我们会看到那里有一个新的虚拟分区,它提供了对数据的访问。在这种情况下,"虚拟性"意味着Data Extractor获取关于分区开头、大小和类型的信息,以及其入口点(Superblock),不是从磁盘结构中,而是将其存储在特定的数据库中。Eks硬盘123

Eks硬盘123

Data Extractor资源管理器中的Ext4虚拟分区Eks硬盘123

让我们总结一下上面的信息。Eks硬盘123

重新格式化后,包含所需数据的EXT文件系统的入口点被新文件系统(NTFS)的结构擦除。原始恢复模式找到了EXT Superblocks。使用特定方法,我们添加了虚拟分区并获得了对数据的访问权限。Eks硬盘123

之前的方法(快速磁盘分析)也可以在这里应用。Eks硬盘123

没有MBR的情况

Eks硬盘123

Windows磁盘管理中MBR被擦除的驱动器Eks硬盘123

如果通常包含MBR的LBA = 0损坏(坏扇区),我们将在Windows磁盘管理中看到类似于上面屏幕截图的画面。现在无法通过常规方法查看该分区中的数据。正如我们已经知道的,我们可以使用快速磁盘分析和原始恢复模式来解决这些问题。但让我们尝试另一种方式,自动化程度最低的方式,以便更好地理解一切是如何工作的。Eks硬盘123

如果我们手动搜索分区,首先应该查看它们在大多数情况下开始的位置:LBA 63、2048、264192、409640或2的幂,如128、256、512等。Eks硬盘123

Eks硬盘123

LBA-2048处的Boot NTFSEks硬盘123

当我们打开扇区2048时,我们看到Boot NTFS的典型签名——扇区开头的"NTFS"行。让我们使用将扇区视为Boot NTFS结构的选项(查看为…> Boot NTFS),并看到相关字段是有效的。然后我们从"服务"菜单添加一个虚拟分区。Eks硬盘123

Eks硬盘123

添加虚拟分区Eks硬盘123

之后,我们可以在Data Extractor文件资源管理器中看到用户数据。通过添加虚拟分区,我们跳过了从MBR或其他结构确定分区开头的步骤,因为我们明确设置了新分区的开头和类型。由于引导扇区和其他NTFS元数据是正确的,所有用户数据在Data Extractor文件资源管理器中都是可见的。Eks硬盘123

Eks硬盘123

NTFS虚拟分区Eks硬盘123

我们从文章中学到了什么?

由于逻辑损坏(错误的驱动器格式化、病毒、软件错误等)或物理驱动器问题(坏扇区、划痕、磁头弱等),您可能会遇到"分区丢失"的问题。这在损坏的驱动器上是一个相当常见的问题。而带有Data Extractor的PC-3000系统是以最谨慎的方式处理损坏驱动器的唯一解决方案。Eks硬盘123

分区丢失有两个最常见的原因:Eks硬盘123

  1. 关于分区位置的信息损坏(例如,无法读取MBR)Eks硬盘123

  2. 文件系统入口点损坏(例如,引导扇区或超级块被擦除)Eks硬盘123

带有Data Extractor的PC-3000系统有几种解决此问题的方法。在本文中,我们讨论了如何:Eks硬盘123

  • 使用快速磁盘分析自动查找丢失的分区Eks硬盘123

  • 从原始恢复模式添加虚拟分区Eks硬盘123

  • 从十六进制编辑器添加虚拟分区Eks硬盘123

这些解决方案在实际任务中反复证明了其有效性。Eks硬盘123

如果您对此主题有任何其他问题,请随时发送给 ACE技术支持团队。如果您正在寻找专业的数据恢复解决方案,请随时通过 [email protected]联系我们。Eks硬盘123

标签:

相关文章

    无相关信息