硬盘分区恢复的报告

广东轻工职业技术学院硬盘分区恢复的报告项目名称：硬盘分区出错的恢复一、目的：1、了解MBR、EBR和DBR。2、学会恢复出错的硬盘分区。3、了解FAT32文件系统。二、仪器及设备计算机、虚拟机、Winhex软件等。三、步骤（一）、主分区表损坏的恢复MBR例子，通过如下步骤实现对分区错误的恢复：首先，添加一个新的磁盘，对其进行分区：在winhex中打开磁盘，使用Winhex对该磁盘的0扇区分区表进行备份，即主引导分区表的备份。如下图所示：计算机维修技术其次，将该盘的主引导扇区的分区表填充为“00”，如图所示：对填充后的分区表进行保存，刷新磁盘可见如下图，磁盘为未被分区的状态：广东轻工职业技术学院再在winhex中打开该磁盘，搜索全部的“55AA”有效标志，如下，可知该盘的第一个分区格式为FAT32，计算机维修技术现在已经知道磁盘的第一个分区是FAT32格式的，找到扇区的分区起始LBA地址，并将其复制给第一个分区，这样就恢复了第一个分区，如图：（分区起始LBA地址）广东轻工职业技术学院（填充分区格式及LBA地址）用第一个分区的大小扇区数加上63得到下一个分区的起始地址，再将其和转换为十六进制，再进行填充，如此类推来完成对剩余的分区进行恢复，如图：计算机维修技术最后，将磁盘驱动停用后，重新启动以刷新磁盘的分区，验证分区的恢复，如图所示：（二）、DBR损坏后的恢复如果一个分区的DBR损坏，试图打开该分区时会提示“未格式化”，并询问是否对其进行格式化，而格式化将会向磁盘中写入代码或对某些区域进行清零操作，因此，为了尽可能地挽救其中的数据，应该禁止对其进行格式化操作。在这里，我们以FAT32文件系统为例，进行FAT32文件系统DBR损坏后的恢复。广东轻工职业技术学院对于FAT32文件系统，如果只是DBR意外损坏，位于文件系统6号扇区的备份完好的情况下，可以使用备份DBR恢复主DBR；如果备份DBR也已经损坏，就需要根据分区中的数据存储情况重建其DBR来恢复其中的数据。而在此例中，我们制造的是DBR和FAT1被破坏的实验环境。首先向磁盘1中的第一个分区里拷入一些目录和文件，以营造数据存储环境。在这里，我们在其中拷入三个目录“目录1”、“目录2”、“目录3”，每个目录下都有一个文件。（磁盘1的第一个分区（F：））（F32根目录下的内容）（每个目录下的文件）计算机维修技术然后，我们将保留区域及FAT1中的内容全部清零，制造DBR和FAT1被破坏的实际情景。完毕后，将磁盘停用后再启用，发现该分区的卷标已经不再显示，试图打开分区时提示未格式化。这时候，在Winhex中的逻辑磁盘内选择该分区也无法将其打开，因此，我们选择打开物理磁盘，然后在打开的物理磁盘界面中单击按钮选择该分区将其打开，如图所示。广东轻工职业技术学院分区打开后，我们看到分区DBR已经不存在。现在，我们开始对该分区进行分析与恢复：1、进行尝试性搜索，以确定原文件系统的类型：通过搜索十六进制字节“F8FFFF”寻找FAT表，如果能找到FAT表，则说明原来的文件系统是FAT系列文件系统，然后根据FAT表的特征值进而判断是哪一种FAT类型。搜索十六进制“F8FFFF”时，设置如图所示。很快，在10024号扇区找到一个“F8FFFF”，如图所示。计算机维修技术因为FAT表的起始处是“F8FFFFOF”，故这个扇区的内容是一个FAT32的FAT表，说明原来的文件系统是FAT32。通常FAT1的起始处位于40号扇区以前，而我们搜索到的这个FAT表位置在10024号扇区，所以应该考虑它是FAT2，按F3键继续向下搜索，没有再次找到该值，说明这确实是FAT2的起始扇区。我们可以在表格中做一个简单的记录。（在表格中做记录）广东轻工职业技术学院（按“F3”继续向下搜索）（没有再次找到该值）计算机维修技术2、寻找根目录：寻找根目录是为了确定FAT2的大小，从而可用FAT2恢复FAT1。寻找根目录的方法有多种，第一种方法是搜索回收站，第二种方法是估算法，第三种方法是搜索卷标，第四种方法是搜索较早建立于根目录下的目录或文件名，在此，我们用第四种方法，在Winhex工具栏中单击搜索文本字符按钮，即可弹出文本搜索设置框，设置如图所示。设置完毕后单击OK按钮即可开始搜索，最终在20016号扇区找到“目录1”。同时还可以看到其他两个目录的目录项，如图所示。广东轻工职业技术学院我们将根目录添加进“分析”表格中，如图所示。现在，我们可以计算出FAT2的大小，进而算出FAT1的起始位置，如图所示。3、计算每簇大小扇区数。我们知道，为子目录分配的簇空间中，第一个目录项一定是一个“.”目录项，这个目录项用以描述该子目录本身，其中有一个参数描述了它现在所处的扇区的簇号（偏移Ｏｘ１４－Ｏｘ１５为簇号的高二位，偏移Ｏｘ１Ａ－Ｏｘ１Ｂ处为簇号的低二位）。我们利用两个子目录间的起始扇区号差和它们的簇号差，就可以计算出每个簇的大小扇区数。要搜索一个子目录，可以在Winhex中搜索位于扇区起始处的十六进制值“2Ｅ２０２０２０２０２０２０２０２０２０２０”，这是“．”后面跟随１０个空格的十六进制表现形式，其搜索设置框如图所示。第一个搜索到的子目录起始于２００３２号扇区，由第一个目录项可以获知该扇区所在的簇号，如图所示。计算机维修技术其实，我们现在已经可以利用该子目录的信息和根目录的信息计算出没粗的大小扇区数，如图所示。由于在实际案例中，有可能某个子目录的信息是过去某个文件系统遗留下来的，所以为了确保结果正确，首先应验证计算结果是否为２的整数次幂，如果不是２的整数次幂，结果一定是错误的。很明显，１６是２的整数次幂。另外，就是要多搜索几个子目录，根据不同子目录间的关系计算簇大小，已验证当前的结果是否正确。如图所示。４、从该分区的分区表项中获得其分区前隐含扇区数及分区大小扇区数。如图所示。广东轻工职业技术学院计算机维修技术5、重构文件系统。目前为止，我们已经得到了所有需要的参数：，可以重构文件系统了。首先，复制FAT2，然后转到32号扇区将其写入，重建FAT1。然后，复制一个FAT32的DBR扇区，写入0号扇区，再修改其中的参数，如图所示。修改完毕后，将其写入0号扇区。最后，将0号扇区复制一份，备份至6号扇区。6、重新识别硬盘。在这里，我们只需将磁盘1停用后再启用就可以了。如图所示。广东轻工职业技术学院四、个人心得陈小燕：没做这个项目之前，我对MBR、EBR、DBR以及文件系统一直都是一知半解的，而周婷也不比我好多少，也因此，在一开始做这个项目的时候，我们首先做的事情就是查找相关资料，先弄明白它们，再来着手硬盘分区的恢复。而经过查阅相关资料，反复细读课本之后，我终于对MBR、EBR、DBR以及FAT32文件系统有了一定的了解（如：使用DOS分区体系时，磁盘的第一个扇区，即0号扇区被称为主引导记录扇区，也称为主引导记录ＭＢＲ；文件系统的０号扇区，也称为ＤＢＲ扇区，是文件系统隐藏区域（也称为保留区）的一部分；MBR和DBR都以55AA结束，主要凭分区表部分来判断是否为MBR，因为DBR无分区表部分；可以这样来理解MBR、DBR、EBR：MBR是整个磁盘的，DBR是各自分区的，EBR只是起一个分区链表的作用等等），同时也理解了进行恢复操作的每个步骤，最后也成功地恢复了出错的硬盘分区。我主要负责录视频和整理报告。在进行硬盘分区恢复的过程中，我深刻认识并体会到理论知识的重要性。想要恢复出错的分区，首先就要对MBR、EBR、DBR的概念、数据结构及FAT32文件系统等有一定的了解（因为在我们的例子中是FAT32文件系统），只有在弄懂它们的情况下，才能针对不同的数据丢失情况进行分析并恢复。如：MBR的例子中，要了解并熟悉主分区表项数据结构，熟记几个分区标志类型值及其含义（Ox04——FAT16（小于32M）、Ox05——扩展分区（用于EBR扇区中）、Ox06——FAT16、Ox07——HPFS/NTFS、Ox0B与Ox0C——FAT32、Ox0F——扩展分区、Ox83——Linux），弄懂EBR的概念，熟记EBR数据结构，计算机维修技术牢记“ＥＢＲ中的４个分区表项只使用其中的两个，第一个描述一个二级文件系统分区，第二个分区表项描述出下一个二级扩展分区，且每个ＥＢＲ内的分区表项，描述二级文件系统分区的起始位置时是以该分区表所处的当前扇区为基准，描述下一个二级扩展分区的起始位置时则全是以主扩展分区的起始扇区为基准的，而主分区表内的各个表项描述每个分区的起始位置时都是以整个磁盘的物理０号扇区为基准的”，等等，才能分析计算出相应的参数重建主分区表；DBR的例子中，要牢记FAT文件系统整体布局，进行恢复时，首先应确定原文件系统的类型，可先搜索十六进制值“F8FFFF”尝试寻找FAT表，若找到则说明文件系统是FAT系列文件系统，再根据FAT表的起始处来确定是FAT32还是FAT16，若是FAT32，则FAT表的起始处是“F8FFFFOF”，若是FAT16则为“F8FFFFFF”，若FAT1损坏了，可根据“FAT区由两个大小相等、内容相同的FAT表组成——FAT1和FAT2”来利用FAT2恢复FAT1，再根据分区中的数据存储情况计算BPB参数从而重建DBR，重建FAT32的DBR需要以下几个参数：保留扇区数、FAT表个数、每FAT表大小扇区数、每簇扇区数、分区前隐含扇区数以及分区大小扇区数。因此，要熟悉并记牢引导扇区的数据结构，不过，实际上只要着重某些部分即可，如下图所示为FAT32文件系统的引导扇区，只需着重圈出来的部分即可。汇编指令，EB5890是FAT32分区的标志每簇扇区数保留扇区数FAT表个数隐藏扇区数文件系统扇区总数每个FAT表大小扇区数根目录起始簇号备份引导扇区的位置文件系统格式总之，做完此次的项目后，很多以前不懂的现在已弄懂了，对课本的知识也更熟悉、了解了，对硬盘分区出错的恢复的操作步骤也更熟悉了，收获挺多。周婷：这次的项目，我们做的是对硬盘分区的恢复（包含MBR和DBR的例子等），刚接到项目的时候没有思绪。不过在组长的组织与安排下，我们分工合作，先是查找相关的资料，对收集的资料进行整理后，进一步的了解MBR与DBR之后，我们开始着手于对硬盘的分区恢复项目。广东轻工职业技术学院首先，我们对项目的操作流程是录制了视频文件后，截取图片，进行步骤的文字讲解。其中，我的工作主要是做MBR例子的报告与对视频文件截图，并进行后期制作，并对其进行文字讲解。对于MBR的例子，由于是经过多次操作的，接触比较多一些，较为熟悉一点，所以觉得其过程相对比DBR的例子要简洁些。不过在此次项目的完成过程中，虽然我们是分工制作的，同样体会到的是对硬盘恢复这一项目并不是想象中的那么容易，也不是很难，主要还在于我们对它的理解，虽然手动的恢复操作是繁琐很多，但在这之中我们能够更近一步理解和体会到从失败到成功的一个过程，并不是想象的那样一次就做成功，在多次的修改之后，我们这一小组共同完成此次的项目，并完成报告及总结。不仅只是在于对项目的完成上，真正认识到自己实际操作的时候，才会去认真的理解每一个步骤。其次，在做报告这一块上，个人觉得此环节才是真正的考验，因为在这之中，也看到了自己有些地方的不足，对于操作熟悉了，但在解说上还是存在着一些的迷惑的地方，在学习中对知识点的理解还不够透彻。所以经过此次的项目，使我看到了自己在学习上的不足之处，之前在课堂是明白的知识点并没真正的消化透彻，还待加以完善。