《数据恢复案例大全》由会员分享,可在线阅读,更多相关《数据恢复案例大全(33页珍藏版)》请在金锄头文库上搜索。
1、CHS数据恢复数据恢复实验室电子期刊实验室电子期刊实验室电子期刊 第 2 期()案例 1 分区表丢失恢复分区表丢失恢复分区表丢失恢复 案例 2误格式化恢复误格式化恢复 案例 3文档碎片提取恢复文档碎片提取恢复 案例 4 RAID 阵列恢复阵列恢复 案例 5U 盘、SD 卡和 CF 卡等恢复卡等恢复 案例 6 坏道 PC 3000、XLY 等恢复等恢复 案例 7 开盘开盘开盘恢复恢复恢复 www.版权声明:电子文档由整理,版权归作者所有。未经作者允许严禁涂改、交易,如若发现追究法律连带责任。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 33 页 -案例 1.1 病毒破坏分区表案例
2、病毒破坏分区表案例案例1.2 分区表丢失恢复案例分区表丢失恢复案例 案例 1.3 一次最简单的数据恢复一次最简单的数据恢复一次最简单的数据恢复 www.版权声明:电子文档由整理,版权归作者所有。未经作者允许严禁涂改、交易,如若发现追究法律连带责任。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 33 页 -案例 1.1 病毒破坏分区表案例病毒破坏分区表案例(作者:CHS 图灵)故障硬盘型号:WD800BB 黑盘 出厂日期:末知 故障现象:MS XP操作系统,用户正常关机后无法启动 故障分析:由于用户反应之前在另外一家公司检测时说是有物理上的问题就直接接3K,磁头可就绪,然后认盘,
3、直接进DE让 DE解释分区,结果DE解释分区失败,难道是有坏道引起的.直接浏览SEC0,查看 MBR,发现 MBR 只要是数据为 0 的位置全部被插入了 ASCII 码“”,除此之外MBR 的 55AA标志也被修改.看来是分区表出了问题 处理过程:由于是分区表上的故障,直接使用分区表扫描软件很快发现了第一个逻辑区之外的三个逻辑区,重写后分区可以正常访问.至此数据恢复成功,虽然该案例比较简单,在处理完成之后继续对被破坏的MBR 进行了分析试着了解该病毒的破坏思路.先来看 MBR 的截图 www.名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 33 页 -病毒修改 1 红框中对第一个
4、分区(这里应该是63)所在 HEX值为 0 的进行了插入ASCII 码 的操作,这种情况下由于该处HEX 值变化而造成解释系统在定位时发生了错误,这也是DE解释出错的原因.病毒修改 2 第二个框中是扩展分区所在,病毒不仅仅对非0处进行插入 ASCII 码的操作,而且还对扩展分区的起始位置进行了写入随机HEX值的操作,经过对比发现该值很大,这样会造成解释系统在定位时由于LBA值超过本地硬盘的LBA值而报错 病毒修改 3 对 55AA标志进行了破坏,从图中可以看出这里是把最后的AA改成了 EA 病毒修改 4 对第 63 扇区所在的第一个逻辑盘的DBR 进行随机乱码写入,第一个逻辑盘为 FAT32系
5、统,病毒同时破坏了DBR 和备份 DBR 这种情况下如果再试着对55AA标志进行还原的简单操作肯定是恢复不了的,由此可见病毒的作者真的是很用心,把所有认为可利用的统统破坏。欢迎登陆论坛下 载附件。案例 1.2 分区表丢失恢复案例分区表丢失恢复案例(作者:CHS 图灵)故障硬盘型号:日 立 60G SATA 出厂日期:未知 故障现象:该硬盘为 IBM R60上使用,用户误使 安了一键恢复导致分区表 丢失 故障分析:用户能提供 的只是原来 包括隐藏 分区有三个逻辑区,现在变成了两个逻辑区(一个是正常的 50 多 G的逻辑区,一个是4G多点的隐藏区),用户在 安装系统后 又使用了一 段时间发现数据
6、丢失,之前 已经在一家本地另一家数据恢复公司处理过了,结果为 找到的文件无目录关系,很 多无法使用,用户对这种结果并不满意。经过检测发现,虽然用户使用较多时间但是现有的第一个逻辑区 东西并 不多(大概 10G左右),由于用户 须要的是原第二个逻辑区的数据初步判断 恢复的可 能性还是有的.先使用软件进行扫描,经过全盘扫描末发现分区,得到下面的结论:1、DBR及文件系统不 存在了,只 能使用 RAW 扫描 2、DBR的位置不在 柱面上,而很 多分区恢复软件 都是按住面 扫描的。处理过程:很明显这种故障现 象如果原 DBR存在且文件系统正常就可以完 美重现数据了。第 1 种情况也就是 RAW 扫描会
7、有很 多问题,如 文件归属关系丢失,有 碎片的文件可能无法正常浏览。试着使用脚本对现有的第一个逻辑区进行扫描DBR 的操作(未破坏之前用户说有 隐藏分区的 存在,如果是这样,隐藏分区的位置应该www.名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 33 页 -只是相同的,这里 判断出来用户应该是用 专门的工具做 的分区操作 否则隐藏 分区应该是不 存在的),经过 30 多分钟的扫描发现了 6 个 DBR 其中的 1 个 NTFS的 DBR 从位置上 判断应该为原逻辑 D盘,直接 回写分区表,这个时 候 WINHEX 已经能解释分区 内容了。停用再启用硬盘,磁盘 管理程序已 经识别
8、了该逻辑盘 并且可以正常浏览数据,至此恢复工作结束,经过和用户 核对数据 100%恢复!欢迎登陆论坛下 载附件。案例 1.3 一次最简单的数据恢复(作者:CHS 天问)某日报社的前总编辑的打来电话,说希捷 1.5TB 移动硬盘,不 小心把硬盘从机箱上摔下来,再 次插上去的时候电脑 就不识别了,里 面存放 了六七十年代的老照片,非常 珍贵,要求一定要恢复。接 到电话 的第一反应就是磁头被 摔坏了。加上后来 又通电,估计盘片也被划伤。由于 希捷 12 代硬盘开盘成功 率非常低,加上怀疑盘片划伤。准备放弃!在客户的一再要 求下,决定让客户拿过来试一下。拿到盘后,直接 拆开移 动硬盘 盒子,(祈祷,但
9、愿只是盒子摔 坏了)。直接接到 SATA 接口。通电,听声音,没有异响。随即怀疑到 了固件,如果 固件损坏,导致底层 数据错乱,也会 导致无法识别。排除故障的时 候总是这样,一 步一步猜测,再 排除。设备管理里扫描硬件改动,很快 便识别到 了这个硬盘,而且modle 号正常显示。再看磁盘 管理,显示该磁盘 未初始化。分析,有 两种可能,一是 固件损坏,导致底层 数据错乱。二,MBR 损坏,逻辑错误。winhex 打开,发现 MBR、分区表、DBR、似乎都 正常。但是为什么还是无法识别呢,陷入了沉思当中,重写 446个字节引导代码,重 新断点通电,问题 依旧。现在范围已 经完全 锁定,就是 0
10、扇区的问题。解 决方案,备份分区表。初始化磁盘,然后再把分区表写回去。就当准备初始化的时 候。发现 MBR 的结束标记似乎不对。仔细一看,现在的结 束标记是 56AA ,改 回 55AA。保存,重新通电,分区正常 打开,所有数据完 好。后话:做数据恢复一定要 细心,每个细节都得注意。欢迎登陆论坛下 载附件。www.版权声明:电子文档由整理,版权归作者所有。未经作者允许严禁涂改、交易,如若发现追究法律连带责任。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 33 页 -案例 2.1 RSTUDIO 的“软肋软肋”超过 100 万文件恢复的笨办法www.版权声明:电子文档由整理,版权
11、归作者所有。未经作者允许严禁涂改、交易,如若发现追究法律连带责任。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 33 页 -案例 2.1RSTUDIO 的“软肋软肋”超过 100 万文件恢复的笨办法万文件恢复的笨办法(作者:CHS 图灵)故障硬盘型号:三 星 120G本盘 出厂日期:末知 故障现象:正常使用的过 程中突然识别缓慢,然后进行了 格式化和写入 少量数据 故障分析:该硬盘是一个同行 转过来的,反应的情况是用软件扫描没有发现有用的数据。处理过程:由于同行 已经处理过,那么在处理的时 候就不打算用常规的方法。首先对该盘进行了扫描发现了一 些区域存在坏扇区,经过计算这些坏扇
12、区 都不在元文件所在的位置。用 RST U DIO进行扫描,在扫描完成后发现和同行说的一样,没有用户所 须的文件。仔细观察 了一下,终于发现了原因所在。该盘虽然仅有1多 G的可用空间,但是文件数量巨大,已经超过了 400 万,在这种情况下 RS U DIO软件是对当前扫描结果 加载到内存 来完成的,由于文件数量过多,内存不足导致 无法加载,从而看 到数据反而很 少。此问题也不 算是软件的 BUG,看来要 想处理就 得分片扫描了。具体的做法如下:对指定的区 域进行 RAW 扫描,扫描结 束后记录结束位置,每扫描一 段就提取一段。这样 RST UDIO有足够的内存来处理现有的操作。经过反复 次操作
13、终于完成了扫描。光是 JPG文件就有 G 之大,经过和用户 沟通其 所须数据全部恢复,至此数据恢复 工作结束!欢迎登陆论坛下 载附件。www.版权声明:电子文档由整理,版权归作者所有。未经作者允许严禁涂改、交易,如若发现追究法律连带责任。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 33 页 -案例 3.1 3.1 恢复恢复 CHK文件数据文件数据 案例 3.2 3.2 DOC XLSDOC XLS 覆盖恢复案例覆盖恢复案例 案例 3.3 3.3 XLS XLS覆盖恢复案例覆盖恢复案例 案例 3.4 3.4 XLSXLS碎片提取修复案例碎片提取修复案例 案例 3.5 3.5 一
14、个加密一个加密 XLS碎片提取重组案例碎片提取重组案例 www.版权声明:电子文档由整理,版权归作者所有。未经作者允许严禁涂改、交易,如若发现追究法律连带责任。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 33 页 -案例 3.2 DOC XLS 覆盖恢复案例(作者:CHS 图灵)故障硬盘型号:ST160 G出厂日期:末知 故障现象:用户在 我的文档放了大量的文件,重 装系统 4 5 天后发现数据 丢失 故障分析:重装前后的 文件系统 FAT32 最怕的就是 FAT32的这种情况,和用户沟通后得知他们单位的 网管已经使用软件扫描过,可 能是由于有一定的 专业知道的原因 吧,并没
15、有对源盘进行破坏.扫描的结果 得到了一部分 DO C和 XLS,但是有几个重要的 DO C和 XLS文件无法 找到处理过程:这个月估计是和覆盖对上了,全是这种FAT32的案例.还是说结果吧过程就略了,经过搜索定位 D O C 和 XLS,和上一个案例一样,都是部分恢复.想起来老马那句话扎堆 了,这个 月已经做了 4 5 个这样的案例了,而且是离的很近,真的是 扎堆了!过程略了,写出来 做个小小的纪念。欢迎登陆论坛下 载附件。www.名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 33 页 -案例 3.3 XLS 覆盖恢复案例(作者:CHS 图灵)故障硬盘型号:ST160 G出厂日
16、期:末知 故障现象:重装系统使用 20多天后用户发现原 桌面上的一个 XLS文件不见了 故障分析:原逻辑 C盘文件系统 FAT32,重 装后文件系统一样.由于 XLS文件不是很大且原来位置是系统盘所在,重新安装 系统后 又使用了 20多天,而该 XLS文件的创建时间比较早根据 FAT32的特性比较早创建 的文件的目录项一般比较靠前,以上情况大 致推断恢复的机 率并不高,有可 能是部分恢复,经过和用户 沟通后用户表 示可以接 受部分恢复的情况.下边开始分析 处理过程:先使用了软件扫描,和之前推断的一样,软件 甚至连文件目录项都没有发现,这就说明很有可 能是文件目录项已经不存在了,另外软件RAW 扫描的结果也不 乐观,没有发现 任何有价值的东西,这里 又得出结论,RAW 的扫描结果表 明 XLS的文件头很有可 能被覆盖了.和用户 交流后用户 提供了一些信息:部分 SHEET 表的表一些关键字,基于这些信息进行了 搜索定位,很快发现了XLS的结构文件经过和用户核实发现为 其所须,顺着这个结 构向上搜索定位又发现了最后一个 SHEET 表,再往上看很 明显不是 XLS的文件了,看来 到这个位置
