案例基本情况描述:用户的一块硬盘原来有四个分区,由于一次误操作,其中一个分区被删除,目前硬盘的分区结构如图4-67所示。
图4-67 丢失分区后硬盘的分区结构
恢复思路及方法:分区误删除后的恢复,主要就是对分区表进行重建。重建的方法很多,可以手工分析后用WinHex重建,或者用WinHex的自动分析功能重建,也可以用专用分区恢复软件重建。
手工分析后用WinHex重建
手工分析后用WinHex重建这是一种最基本的方法,也是读者最应该掌握的方法。这种方法考验基本功的扎实程度,如果基本功扎实,恢复的成功率在各种方法中是最高的。
用WinHex打开该硬盘,其MBR如图4-68所示。
图4-68 MBR扇区的内容
打开MBR的模板,其内容如图4-69所示。
图4-69 MBR的模板
从模板的分区表数值中可以看出两个分区表项都是正常的。
接下来跳转到主扩展分区的开始位置,也就是EBR1所在扇区,即1 638 630扇区,这个值在MBR分区表第二项中可以看到。
用WinHex跳转到硬盘的1 638 630号扇区,其内容如图4-70所示。
图4-70 1 638 630号扇区的EBR1
打开该扇区的模板,其内容如图4-71所示。
图4-71 EBR1的模板
仔细分析EBR1中的两个分区表项,就可以发现问题所在了,按照扩展分区的结构原理,EBR1的第一个分区表项管理逻辑驱动器1,其开始扇区号(图4-71中的①)与分区总扇区数(图4-71中的②)之和,应该等于子扩展分区1的开始扇区号(图4-71中的③)。①与②之和为1 847 475,而③的数值为3 887 730,明显不相等,所以这里出了问题。
按照③所描述的子扩展分区的开始扇区号3 887 730找到该子扩展分区的开始位置,其内容如图4-72所示。
图4-72 子扩展分区的开始扇区
该扇区是一个EBR,其中的分区表只使用了一个分区表项,显然这是最后一个逻辑驱动器的EBR扇区,也就是EBR3,其管理的是硬盘最后一个分区。
分析到这里可以发现,EBR1的指针直接指向了EBR3,把EBR2跳过去了,而丢失的那个分区正是由EBR2管理的,EBR2被跳过去也就不起作用了,这正是分区丢失的原因所在。
分析出原因了,现在找到EBR2所在扇区看看其分区表信息。EBR2的起始扇区也就是图4-71中的①与②之和,即1 847 475扇区,这是一个相对扇区号,将其转换为绝对扇区号,跳转过去,其内容如图4-73所示。
图4-73 EBR2的内容
可以看到EBR2中的分区表还存在,并没有被系统清除,其模板信息如图4-74所示。
图4-74 EBR2的模板
EBR2的结构完好无损,所以只要将EBR1的指针指向EBR2所在扇区,其分区表就会被系统读取,那么丢失的分区就恢复成功了。
如何让EBR1的指针指向EBR2所在扇区呢,很简单,只需修改EBR1的分区表项2即可,也就是图4-71中的③和④中的两个数值。
图4-71中的③数值应该是图4-71中的①与②之和,即1 847 475扇区;而4-71中④的值则应该是图4-74中的①与②之和,即2 040 195扇区。
计算完成后跳转到EBR1处,用模板修改这两个数值,如图4-75所示。
图4-75 修改EBR1的分区表项2
修改完成后存盘并重启计算机,丢失的分区出现了,数据完好无损,分区结构如图4-76所示。
图4-76 分区恢复成功
用WinHex的自动分析功能重建
WinHex中有一项功能,能够自动扫描丢失的分区,该功能在“工具”菜单中,如图4-77所示。
图4-77 “扫描丢失的分区”菜单
执行该功能后,WinHex就开始自动扫描丢失的分区,如图4-78所示。
图4-78 自动扫描丢失的分区
这种方法准确率不高,读者可以自行尝试完成恢复。
用专用分区恢复软件重建
有很多软件可以对丢失的分区进行恢复,这些工具都属于傻瓜式软件,使用方法很简单,不需要使用者具备分区恢复的基本功。
这些傻瓜式工具恢复成功率不是太高,特别是在分区结构比较复杂的情况下,很难恢复成功,所以专业的数据恢复工程师根本不用这些工具,本书也不推荐读者使用这类工具,要想成为一名专业的数据恢复技术人员,应该更加注重独立的分析能力的培养。
这里以“分区表医生”为例,简单讲解其恢复分区的用法。
运行“分区表医生”,其主界面如图4-79所示。
图4-79 “分区表医生”主界面
在图4-79所示的①处选择待恢复的硬盘,如图4-80所示。
图4-80 选择待恢复的硬盘
选中待恢复的硬盘后的界面如图4-81所示。
图4-81中描述为“自由”的分区就是丢失的分区。
图4-81 选中待恢复硬盘后的界面
现在可以开始恢复丢失的分区了,选择“操作”菜单中的“重建分区表”命令,如图4-82所示。
图4-82 “重建分区表”命令
选择“重建分区表”命令后出现如图4-83所示的对话框。
图4-83 “重建分区表”选项
这里有两种方式可选:自动和交互。自动的方式不用操作者干预,工具将根据分析的结果自行恢复分区。
这种方式成功率不高,如果恢复不好还会破坏原有数据。
交互的方式可以让操作者参与选择要恢复的分区,效果会稍好一些,但如果操作者选择错误,同样无法恢复成功,并且会破坏硬盘原有数据。
选择“交互”模式,然后单击“下一步”按钮,软件就开始扫描分区了,扫描完出现的结果如图4-84所示。
图4-84 扫描完出现的结果
到了这里就需要操作者选择想恢复的分区是哪一个了。工具在硬盘中一共找到五个分区,选择前四个分区,只要在其前面的方框中打钩即可,如图4-85所示。
图4-85 选中需要恢复的分区
选中需要恢复的分区后单击“下一步”按钮,这时出现提示信息,如图4-86所示。
图4-86 提示信息
单击“完成”按钮,并对修改进行存盘,就完成了分区的恢复。