效率源数据恢复论坛

标题: 手工恢复引导扇区被覆盖的过程 [打印本页]

作者: 125810330 时间: 2009-11-30 22:17
标题: 手工恢复引导扇区被覆盖的过程
[table][tr][td]原硬盘C，D，E，F四个分区，被GHOST覆盖成一个分区，并且D盘的引导记录被覆盖，用数据恢复软件未查到D盘的数据，
讲一下手工恢复的过程：
1，定位D盘的跟目录地址。
因为原始分区C盘大约为1G多，所以先移动到1G的偏移位置，开始查找2E2020202020，可使用公式除512余零来查找。这个是文件夹开始的目录项，很快查到一个目录项记录，察看它所在的族号为5F7A。去除本身的族和第一个族就是根目录到这个文件夹目录的族的数量，再根据每个族为8个扇区计算根目录到这个文件夹的偏移量：
（ 5F7AH - 2H ）* 8H * 200H = 5F78000H
从文件夹目录的地址作为起始地址，向上跳，偏移为5F78000就是根目录的地址：569C1E00，上下翻看发现FAT表和跟目录几经被覆盖。
按照上面的方法多试验几个文件夹如果都定位跟目录为569C1E00就说明族的扇区数为8。
2，定位扩展分区表的位置：
首先查找E区的分区表起始地址，查找方法请参考手工恢复主分区表的过程一文。查到地址为FA867E00。
通过E盘的起始地址和跟目录的地址可计算出D盘的所有族的数量：
（ FA867E00H - 569C1E00H ）/ 8H / 200H = A3E80H
计算FAT表的容量，因为每个扇区可以纪录80H个族纪录由此可计算FAT表的容量。
A3E80H / 80H =147D
根据常规数据：隐藏扇区数3FH，保留扇区数20H，两个FAT表，计算D盘到跟目录的偏移地址：
（ 147D * 2 + 3F + 20 ）* 200H = 52B200H
在跟目录的偏移地址569C1E00向上跳偏移为52B200就是D盘分区的分区表的最大偏移地址，察看3D参数为176.2.7，因为原分区的保留扇区和FAT表的个数可能不同，所以定位扩展分区表的起始地址的3D数为176.0.1。偏移为56496000。
3，修改分区表：
修改主分区表和扩展分区表：（详细请参考手工恢复主分区表的过程一文）
主分区表：
80 01 01 00 0B FE 3F AF 3F 00 00 00 71 24 2B 00
00 00 01 B0 05 FE FF 13 B0 24 2B 00 64 05 96 00
扩展分区表：
00 01 01 BO 0B FE 7F FE 3F 00 00 00 50 1E 52 00
00 00 41 FF 05 FE FF 13 8F 1E 52 00 D5 E6 43 00
重新启动电脑发现C，D，E，F分区已经可以识别了，但D区打开出现错误提示。
4，手工恢复D盘启动扇区：
将E盘的启动扇区，拷贝到176.1.1的扇区位置更改如下数据：
每族的扇区数0XD：08
保留扇区数0X0E - 0X0F：20 00
总扇区数0X20 - 0X23：50 1E 52 00 ；（ FA867E00H - 56496000H - 7E00H ）/ 200H = 521E50H
每个FAT扇区数0X24 - 0X27：80 14 00 00（ 569C1E00- 56496000H - 7E00H - 4000H ）/ 200H / 2H = 1480H
修改后保存磁盘记录，在电脑里刷新一下，就可以打开D盘了。
5，恢复数据：
将两个FAT表清空，并在首地址写入 F8 FF FF 0F FF FF FF 7F FF FF FF 0F。保存好后用数据恢复软件扫描发现数据可以全部查到了

作者: hangtian 时间: 2010-9-6 10:39
标题: 回复：手工恢复引导扇区被覆盖的过程
精华

作者: wangqu406 时间: 2011-12-7 12:43
看不太懂

欢迎光临效率源数据恢复论坛 (http://bbs.xlysoft.net/)