实际数据恢复案例-手工修复FAT32文件系统

实际数据恢复案例-手工修复FAT32文件系统

      今天接到一个朋友的客户做数据恢复，原来是4个分区CDEF。客户由于觉得C盘小，利用PQ分区大师将D盘部分区域划分给C盘，重启系统后，原C D F三个分区数据正常，E盘分区找不到。朋友用R-Studio扫描全盘，E盘数据始终找不到。

     拿到盘后看到情况如下，用Winhex查看发现分区4只是联想硬盘中的隐藏分区（用来还原系统的，不在客户所说的四个分区中）。分区 3 文件结构和磁盘大小都正常正常。分区2的DBR显示大小和实际大小不一致只有80GB，所以初步判断客户需要的E盘应该是和原来D盘合并成了现在的分区2。但如果仅仅是简单的合并 利用R-Studio应该可以直接扫描出来，现在却没能正常扫描到，需要进一步分析。





磁盘分区分布图

      根据分区2DBR显示大小找到实际结束位置，在194579343扇区发现了一个NTFS的DBR，但是这只是个孤立的DBR没有紧接着并没有NTLDR，可能是个备份。而且继续向下查找，发现一个FAT32分区的DBR。













      继续向下分析，在194579351 位置发现了 NTFS INDX文件，并且向下发现了更多的NTFS分区信息。本来以为这只是个孤立的事件。但在向下查找过程中意外发现了类似 FAT表的数据，找到头部，发现居然然是 一个完整FAT表，而表后是目录项。然后对刚刚发现的那个 FAT32 DBR进行解析，如果把这个FAT32 DBR 当成备份的话，刚刚看到的这个FAT应该是FAT2。而且显示的分区大小和到分区3之间的扇区数相等。而且从分区3开始的位置，从后向前找NTFS分区备份，也未能找到，说明丢失的E盘应该是FAT32分区。

    通过以上分析我猜测，丢失的分区正是个FAT32分区，分区DBR和 FAT1 在PQ移动过程中被覆盖掉，现在盘上发现NTFS DBR的位置正好是原来 FAT32DBR的位置。

根据这个想法，把备份FAT32 DBR 贴回，计算FAT1的实际位置，将FAT2还原到FAT1，如表 恢复后 所示。

用Winehx 展开当前恢复的分区，数据正常访问，用工具恢复数据，恢复完成。





总结：

1、不能盲目相信恢复工具，在文件系统关键信息丢失的情况下，恢复工具无法智能分析出文件系统结构；

2、使用PQ工具是一定要注意备份当前数据；

3、对文件系统结构要非常熟悉。

 

 

http://blog.csdn.net/lllearning/archive/2010/05/16/5598340.aspx

原帖位置：