|
|
[table][tr][td]原硬盘C,D,E,F四个分区,被GHOST覆盖成一个分区,并且D盘的引导记录被覆盖,用数据恢复软件未查到D盘的数据,
讲一下手工恢复的过程:
1,定位D盘的跟目录地址。
因为原始分区C盘大约为1G多,所以先移动到1G的偏移位置,开始查找2E2020202020,可使用公式除512余零来查找。这个是文件夹开始的目录项,很快查到一个目录项记录,察看它所在的族号为5F7A。去除本身的族和第一个族就是根目录到这个文件夹目录的族的数量,再根据每个族为8个扇区计算根目录到这个文件夹的偏移量:
( 5F7AH - 2H )* 8H * 200H = 5F78000H
从文件夹目录的地址作为起始地址,向上跳,偏移为5F78000就是根目录的地址:569C1E00,上下翻看发现FAT表和跟目录几经被覆盖。
按照上面的方法多试验几个文件夹如果都定位跟目录为569C1E00就说明族的扇区数为8。
2,定位扩展分区表的位置:
首先查找E区的分区表起始地址,查找方法请参考手工恢复主分区表的过程一文。查到地址为FA867E00。
通过E盘的起始地址和跟目录的地址可计算出D盘的所有族的数量:
( FA867E00H - 569C1E00H )/ 8H / 200H = A3E80H
计算FAT表的容量,因为每个扇区可以纪录80H个族纪录由此可计算FAT表的容量。
A3E80H / 80H =147D
根据常规数据:隐藏扇区数3FH,保留扇区数20H,两个FAT表,计算D盘到跟目录的偏移地址:
( 147D * 2 + 3F + 20 )* 200H = 52B200H
在跟目录的偏移地址569C1E00向上跳偏移为52B200就是D盘分区的分区表的最大偏移地址,察看3D参数为176.2.7,因为原分区的保留扇区和FAT表的个数可能不同,所以定位扩展分区表的起始地址的3D数为176.0.1。偏移为56496000。
3,修改分区表:
修改主分区表和扩展分区表:(详细请参考手工恢复主分区表的过程一文)
主分区表:
80 01 01 00 0B FE 3F AF 3F 00 00 00 71 24 2B 00
00 00 01 B0 05 FE FF 13 B0 24 2B 00 64 05 96 00
扩展分区表:
00 01 01 BO 0B FE 7F FE 3F 00 00 00 50 1E 52 00
00 00 41 FF 05 FE FF 13 8F 1E 52 00 D5 E6 43 00
重新启动电脑发现C,D,E,F分区已经可以识别了,但D区打开出现错误提示。
4,手工恢复D盘启动扇区:
将E盘的启动扇区,拷贝到176.1.1的扇区位置更改如下数据:
每族的扇区数0XD:08
保留扇区数0X0E - 0X0F:20 00
总扇区数0X20 - 0X23:50 1E 52 00 ;( FA867E00H - 56496000H - 7E00H )/ 200H = 521E50H
每个FAT扇区数0X24 - 0X27:80 14 00 00( 569C1E00- 56496000H - 7E00H - 4000H )/ 200H / 2H = 1480H
修改后保存磁盘记录,在电脑里刷新一下,就可以打开D盘了。
5,恢复数据:
将两个FAT表清空,并在首地址写入 F8 FF FF 0F FF FF FF 7F FF FF FF 0F。保存好后用数据恢复软件扫描发现数据可以全部查到了
|
|
/3 
发表于 2009-11-30 22:17:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
