U盘数据恢复笔记(2)
本帖最后由 天堂雨 于 2023-7-13 23:10 编辑在上一个贴子中,已查看U盘,发现无法正常打开,但用R-STUDIO可以找到文件
下面用WINHEX分析看看磁盘
可以看到有一个磁盘分了一个EXFAT分区
磁盘引导扇区共计64K,其中第一扇区512字节中有描述信息
Inval id partition table
Error loading operating system
Missing operatV4.5system
技术细节报告显示:
移动存储介质 7
型号: Generic Flash Disk
序列号: 47B7****
固件版本号: 8.01
Bus: USB
总容量: 251,658,240,000 字节 = 234 GB
每扇区字节数: 512
扇区统计: 491,520,000
Read consistency: no anomalies detected
分区类型: MBR
Disk signature: 92185DC7
未分区空间: 0 扇区
分区 1
扇区 128 - 491,519,999
分区表: 扇区 0
文件系统: exFAT
总容量: 251,658,174,464 字节 = 234 GB
扇区统计: 491,519,872
每扇区字节数: 512
每簇字节数: 131,072
空余簇: 1,068,421 = 56% 空余
簇总数: 1,919,927
序列号: 4ACE14C6 (hex)
序列号: C614CE4A (hex, rev)
序列号: 3323252298 (dec, rev)
未使用的 分区间隙 空间:
扇区 0 - 127 (64.0 KB)
= 64.0 KB
使用模板管理器查看MBR主引导记录
查看EXFAT分区,
初步看来分区下的信息如下:
1.首扇区(0扇区)分区引导记录记录和数据是正常的.
2.第1扇区至23扇区可能数据异常,第12扇区是0扇区备份数据已损坏.
3.FAT文件分配表看起来是正常的
文件分配表项目0:F8FFFFFF,表示磁盘类型是硬盘
文件分配表项目1:FFFFFFFF,保留
文件分配表项目2和3:03000000和FFFFFFFF,表示文件分配表占用第2簇和第3簇.
3.簇位图$Bitmap和大写字符$UpCase和根目录未能正常显示,看来已损坏.
正常U盘见下图
查看分区首扇区(0扇区)分区引导记录参数
可见根目录在第5簇,每簇256个扇区(2^8=256),每扇区512字节(2^9=512).
每簇共计131072字节(512*256=131072).
转到第5簇根目录扇区,未能发现有效的目录项目,也没有簇位图$Bitmap和大写字母$Upcase,没有卷标项目,没有一般文件目录项目.
据此可判定根目录已损坏导致无法显示目录文件.
根据参数共计有1919927簇,在簇位图每位代表一簇,每8簇占1字节,共计1919927/8+1=239991字节,占用2簇,转到2簇3簇,查看可认为是$Bitmap簇位图.
$Bitmap簇位图之后是$UpCase大写字符表,转到4簇,其符合簇位图的形式.
簇位图$Bitmap在2-3簇
大写字符$UpCase在第4簇
因此数据恢复的思路为修改第5簇根目录项目数据项,正确记载簇位图$Bitmap,大写字符表$Upcase,卷标项目,以及设法恢复丢失的根目录文件夹项和根目录文件.
由于根目录已损坏,相应的根目录文件名和根目录文件也无法恢复,只能自行重新命名.
感谢分享 厉害。
多谢分享。
可以搞个博客,以供更多的网友学习折腾:lol 好像很专业 本帖最后由 toyton 于 2023-7-15 08:59 编辑
发重复了,不好意思,昨天网络好像卡了一下:dizzy: 写了这么热闹,数据都恢复出来了吗? 建议用磁盘精灵重新搜索一遍看看有没有有用的分区表,这样恢复起来更快捷。 本帖最后由 天堂雨 于 2023-7-28 15:29 编辑
听风者 发表于 2023-7-16 18:21
写了这么热闹,数据都恢复出来了吗?
数据大部分恢复了.
建议可以从以下53本数据恢复类的图书找几本看看.
收藏备用,谢谢分享 感觉很厉害。学不会,术业有专攻,佩服中。 给U盘治病和给人治病差不多。比如,要有诊断工具,要询问病史,要有大致套路。
有工具有套路,病人可以给自己治病吗?也不是完全不行,但还是交给楼主这样的专家更快更安全。 本帖最后由 天堂雨 于 2023-7-28 16:06 编辑
读书有方法,分层次阅读法讲究泛读、略读、精读.
泛读,就是随意浏览,感兴趣呢,就继续往下读,不感兴趣呢,就中止阅读。
略读呢,就是将泛读时选出的书,通读一遍。
精读,将略读时选出的可以精读的章节,逐字逐句阅读。
浏览完50多本,可选感兴趣的书精读,按图索骥就可以尝试自行恢复数据.
不差钱还着急要数据的主,可学冠_希式做法找专业机构维修及恢复数据的;P.
略读图书
本帖最后由 天堂雨 于 2023-7-28 16:39 编辑略读,就是将泛读时选出的书,通读一遍.
阅读图书目录也是可以的.
比如2010年出版的《数据恢复技术深度揭秘》
封面
书名
内容简介
序言
前言
目录页
第一篇 数据恢复入门与进阶知识储备
第一章 计算机中数据的记录方法
第二章 现代硬盘的结构揭秘
第三章 学习及研究数据恢复的基本工具
第二篇 逻辑类数据恢复技术揭秘
第四章 Windows 系统的数据恢复技术
4.1 Windows 系统的MBR 磁盘分区
4.1.1 主引导记录MBR 的结构和作用
1.MBR 的结构
2.MBR 的作用
(1)引导程序的作用
(2)Windows 磁盘签名的作用
(3)分区表的作用
(4)结束标志的作用
4.1.2 主磁盘分区的结构分析
4.1.3 扩展分区的结构分析
4.1.4 MBR 及EBR 被破坏的分区恢复实例
1.案例基本情况描述
2.分区丢失的原因分析
3.恢复思路及方法
(1)修复MBR 引导程序及结束标志
① 复制法。
第 1 步复制引导程序和磁盘签名。
第 2 步写入故障盘。
第 3 步写入结束标志。
第 4 步清空分区表部分。
② DOS 命令法。
③ “初始化”法。
(2)修复第一个分区
(3)修复第二个分区
(4)修复第三个分区
(5)修复第四个分区
4.1.5 分区误删除的恢复实例
1.案例基本情况描述
2.恢复思路及方法
(1)手工分析后用WinHex 重建
(2)用WinHex 的自动分析功能重建
(3)用专用分区恢复软件重建
4.1.6 系统误Ghost 后的分区恢复实例
1.案例基本情况描述
2.恢复思路及方法
4.2 Windows 系统的动态磁盘卷
4.2.1 动态磁盘概述
4.2.2 动态磁盘卷的种类及创建方法
4.2.3 动态磁盘LDM 结构原理详解
4.2.3.1 动态磁盘的结构布局
4.2.3.2 动态磁盘的私有头
4.2.3.3 动态磁盘的LDM 数据库
4.2.3.4 动态磁盘的实例分析
4.2.4 MBR 磁盘误转换为动态磁盘的恢复实例
4.2.5 动态磁盘扩展卷丢失的恢复实例
4.3 Windows 系统的GPT 磁盘分区
4.3.1 GPT 磁盘分区基本介绍
4.3.2 GPT 磁盘分区的创建方法
4.3.3 GPT 磁盘分区的结构原理
4.3.4 GPT 磁盘分区丢失的恢复实例
4.4 FAT16 文件系统详解
4.4.1 FAT16 文件系统结构总览
4.4.2 FAT16 文件系统的DBR 分析
4.4.3 FAT16 文件系统的FAT 表分析
4.4.4 FAT16 文件系统的FDT 分析
4.4.5 FAT16 文件系统目录项分析
4.4.6 FAT16 文件系统根目录与子目录的管理
4.4.8 FAT16 文件系统误格式化的分析
4.4.9 FAT16 文件系统DBR 手工重建的实例
4.5 FAT32 文件系统详解
4.5.1 FAT32 文件系统结构总览
4.5.3 FAT32 文件系统的FAT 表分析
4.5.5 FAT32 文件系统目录项分析
4.5.6 FAT32 文件系统根目录与子目录的管理
4.5.7 FAT32 文件系统删除文件的分析
4.5.8 FAT32 文件系统删除文件后目录项起始簇号高位清零的分析
4.5.9 FAT32 文件系统误格式化的分析
4.5.10 FAT32 文件系统DBR 破坏的恢复实例
4.5.11 FAT32 分区文件乱码的手工恢复实例
4.5.12 FAT32 分区被苹果电脑误格式化后的完美恢复实例
4.6 NTFS 文件系统详解
4.6.1 NTFS 文件系统基本介绍
4.6.2 NTFS 文件系统结构总览
4.6.3 NTFS 文件系统引导扇区分析
4.6.4 元文件$MFT 分析
4.6.5 文件记录分析
4.6.6 10H 属性分析
4.6.7 20H 属性分析
4.6.8 30H 属性分析
4.6.9 40H 属性分析
4.6.10 50H 属性分析
4.6.11 60H 属性分析
4.6.12 70H 属性分析
4.6.13 80H 属性分析
4.6.14 90H 属性分析
4.6.15 A0H 属性分析
4.6.16 B0H 属性分析
4.6.17 C0H 属性分析
4.6.18 D0H 属性分析
4.6.19 E0H 属性分析
4.6.20 100H 属性分析
4.6.21 元文件$MFTMirr 分析
4.6.22 元文件$LogFile 分析
4.6.23 元文件$Volume 分析
4.6.25 元文件$Root 分析
4.6.27 元文件$Boot 分析
4.6.28 元文件$BadClus 分析
4.6.29 元文件$Secure 分析
4.6.30 元文件$UpCase 分析
4.6.31 元文件$Extend 分析
4.6.34 元文件$Reparse 分析
4.6.35 元文件$UsnJrnl 分析
4.6.36 NTFS 的索引结构分析
4.6.37 手工遍历NTFS 的B+树
4.6.38 NTFS 的EFS 加密分析
4.6.39 NTFS 文件系统删除文件的分析
4.6.40 NTFS 文件系统格式化的分析
4.6.41 NTFS 文件系统DBR 手工重建的实例
4.7 ExFAT 文件系统详解
4.7.1 ExFAT 文件系统基本介绍
4.7.2 ExFAT 文件系统结构总览
4.7.3 ExFAT 文件系统的DBR 分析
4.7.4 ExFAT 文件系统的FAT 表分析
4.7.5 ExFAT 文件系统的簇位图文件分析
4.7.6 ExFAT 文件系统的大写字符文件分析
4.7.7 ExFAT 文件系统的目录项分析
4.7.8 ExFAT 文件系统根目录与子目录的管理
4.7.9 ExFAT 文件系统删除文件的分析
4.7.10 ExFAT 文件系统误格式化的分析
4.7.11 ExFAT 文件系统DBR 手工重建的实例
4.7.12 能够支持ExFAT 文件系统的恢复工具
4.8 Windows 系统RAID 恢复技术详解
4.8.1 RAID 基础知识介绍
4.8.2 RAID 级别详解
4.8.3 硬RAID 实现方法
4.8.4 软RAID 实现方法
4.8.5 RAID 数据恢复原理
4.8.6 RAID 起始扇区的分析方法
4.8.7 RAID 条带大小的分析方法
4.8.8 RAID 成员盘的盘序分析
4.8.9 RAID-5 校验方向的分析方法
4.8.10 RAID-5 数据同步与异步的分析方法
4.8.11 RAID 恢复工具一:WinHex
4.8.12 RAID 恢复工具二:R-studio
4.8.13 RAID 恢复工具三:Raid Reconstructor
4.8.14 RAID 恢复工具四:FileScav
4.8.15 RAID 恢复工具五:UFS Explorer
4.8.16 RAID 恢复工具六:Getway Raid Recovery
4.8.17 服务器专业硬盘与数据恢复工作机的连接方法
4.8.18 RAID 恢复实例一:Dell 服务器RAID-5 实例分析
4.8.19 RAID 恢复实例二:HP 服务器RAID-5 双循环实例分析
第五章 UNIX 系统的数据恢复技术
第六章 Apple 系统的数据恢复技术
第七章 Linux 系统的数据恢复技术
第三篇 物理类数据恢复技术揭秘
第八章 硬盘物理故障的种类及判定
第九章 硬盘电路板故障的数据恢复方法
第十章 硬盘磁头组件故障的数据恢复方法
第十一章 硬盘主轴电机故障的数据恢复方法
第十二章 硬盘盘片故障的数据恢复方法
第十三章 硬盘固件故障的数据恢复方法
第14章 优盘物理故障的数据恢复方法
14.1 优盘物理故障的表现及分类
14.1.1 优盘物理故障的表现
14.1.2 优盘物理故障的分类
1.优盘的结构原理
2.优盘的物理故障分类
14.2 优盘物理故障的修复
14.2.1 补焊
14.2.2 替换晶振
14.2.3 替换主控芯片
14.2.4 替换闪存芯片
14.3 用PC-3000 Flash 直接提取闪存芯片的数据
14.3.1 PC-3000 Flash 的工作原理
14.3.2 提取闪存芯片的数据
参考文献
附件是上楼12本图书的目录,有需要的可付积分下载.也同在论坛中查找相关的方法找到图书目录的网络下载途径.
天堂雨 发表于 2023-7-28 16:17
本帖最后由 天堂雨 于 2023-7-28 16:39 编辑
略读,就是将泛读时选出的书,通读一遍.
阅读图书目录也是可 ...
这本书有第二版
https://book.douban.com/subject/30446020/
https://yd.51zhy.cn/ebook/web/newBook/queryNewBookById?id=525703
页:
[1]