您当前的位置:首页>>技术中心>>数据恢复文章>>正文
 
Data Extractor说明书(1)
作者: 来源: 日期:2006-3-26 2:53:37  点击次数:

Data Extractor说明书

1.1软件介绍:

   Data Extractor是一个针对IDE硬盘的专业级数据恢复工具

本软件不仅对数据出错的无故障硬盘有效

还对以下故障类型的硬盘有专效:

*硬盘表面或磁头受损

*硬盘LBA参数与物理参数转换表出错

故障盘要求能完成初始化并能读出硬盘的型号,跳线必须跳在主盘的位置

对于故障硬盘的恢复数据,本软件有两种基本方式:

1.     将原盘数据整盘拷贝到另一个好盘上,然后在好盘上用恢复软件进行分析恢复

2.     用本软件的逻辑分析功能直接从故障盘恢复所要的数据。

这两种方式各有所长:

整盘拷贝能恢复磁盘表面或磁头故障的硬盘

当转换表出错时,用第二种方法更方便取出数据。

1.2硬件要求:

   本软件要求的电脑配置:P133以上CPU, 24M以上内存,一条ISA槽,WINDOWS98操作系统,主板要求能支持目前的大容量硬盘

1.3配件列表

   PC3000PRO卡

   电源模块

   Data Extactor安装盘

   信号线

   电源线

   软件说明书

   授权书

3开始

3.1软件安装,将光盘放入光驱,点击SETUP.EXE 或DATA EXTRACTOR.EXE进行安装,按默认提示进行,最后填入授权号码,注意大小写。

3.2 启动软件,点击桌面的DATA EXTRACTOR图标就可打开软件,注意不能有驻留内存的跟踪型软件。

4软件工作说明

4.1一般说明

   软件的工作信息都在窗口中出现,下方是硬盘的各种故障显示灯,可用键盘或鼠标操作。

4.2名词说明

   TASK 新任务 软件工作中的各种设置

   PROSESS 操作

   SCANING 扫描 从故障盘中读数据

   IMAGE    故障盘数据的映像文件

   EXPORT   将映像文件逐扇区拷贝到好盘中

   LBA       以逻辑方式表示数据地址

   SCANING MAP 以图形方式表示扫描结果

   EXPLORER 表示硬盘的逻辑结构的示意图

   TRANSLATOR 硬盘数据的逻辑地址及物理地址以及缺损区的转换表

4.3数据恢复的类型

   实际接到的恢复数据的情况有多种多样,本软件不是万能的,只有以下三种情况对本软件有效

   第一种情况当硬盘出现故障,但能进入工作状态,但读不出数据,原因有可能是坏道、磁头故障、或数据的读取通道故障,另外,更换磁头或盘片后读不出数据等等,都属于这种情况。

  第二种情况:当硬盘的LBA参数与物理参数的转换出错,或是坏道表出错、或是热交换后不能读出数据。

  第三种情况:包括了所有的数据结构损坏:如人为操作、意外断电、病毒破坏等,不包括磁盘阵列的数据

4.3.1从故障盘中全盘读取数据

  在这项任务中,数据从故障盘中拷贝到指定的目录中,本软件会运用先进的数据读取机制读出尽可能多的数据

  用户要注意的是:我们所说的编辑数据,指的是拷出来的数据

这个模式有个重要的功能:拷贝出来的数据会生成一个映像文件,从中可以查看数据的恢复情况,而且不用再对故障盘进行分析,这个特点对于严重故障的盘很有用。可以配合LOST &FOUND、 EASYRECOVERY等软件使用。

  在这个模式中,本软件读出的不光是好扇区中的数据,还包括有严重故障的磁道中的数据,与此同时,严格的纠错机制保证读出的数据尽量完好。

  尽管从坏扇区读取的数据存在有很多的不稳定性及甚至遇到错误,但本软件会谨慎的保留这些数据,为用户分析处理这些数据争取更多的机会。

   在很多情况下,全盘拷贝出来的数据并不完整(除非有镜像或其他情况)。本软件还有一个主要的功能就是从故障盘直接读取用户所要的数据,在这种情况下,EXPLOER模式就十分有用了。

    使用以上的工作模式是在用户通过本软件能查看到故障盘的数据逻辑结构的前题下进行的。用户不用将数据全部拷出,这样可以节省大量时间,尤其对大容量的硬盘或是有大量坏道的硬盘。只有当使用EXPLOER模式不能读出数据时,才用全盘拷贝的方法加上别的软件进行恢复。

4.3.2 在硬盘转换表出错的情况下的数据恢复

这个模式是当硬盘的逻辑结构出现错误,不能用EXPLOER方法恢复的情况下采用

本方法的前题是数据仍在硬盘中,可访问、没有遭到破坏,只是存放的LBA地址出现了偏离。

问题的关键在于如何将各偏离的数据段重新组合起来,这个有赖于对相关的数据结构及分配表(FAT NTFS)知识的了解,可以用EXPLOER方式来检验这种组合是否正确。

使用者必须知道将数据组合起来的方法,本软件使用一个偏移表来计算真实的LBA地址,以取代原盘中被破坏的转换表。EXPLORER模式用来检验每一个组合是否正确

注意在这个操作过程中,数据并没有产生一个新的备份,所有的变化都被记录到接在PC3000PRO卡所在的硬盘中了。

数据恢复的过程中,有可能甚至有时有必要使用这个模式来进行数据的搜索,以及扇区范围的校验。

有关更详细的恢复过程将在下面章节结合实例进行讲解。

4.3.3逻辑结构被破坏后的数据恢复

     在这种情况下,采用EXPLORER模式及综合模式从故障盘中尽可能多的提取信息,如果

有必要的话,使用本软件所带的逻辑恢复功能纠正硬盘的错误。

   在这种工作模式下,不另建立数据的拷贝,所有的更改将在原盘上进行,这是针对专业操作人员的,要十分小心。

   但从另一角度讲,这种冒险是有好处的,它可以快速修复一些小的故障,如MBR BR等,这样就可以用常规的方式将数据读出。

   如果你担心原盘数据的安全,你可以先建立一个数据的拷贝,然后在拷贝盘上进行各种恢复的操作,你可以使用EXPLORER模式只拷贝你所要的内容。

4.4 程序的主菜单

主菜单的内容:

任务

设置

服务

帮助

退出

各菜单的主要功能将在以下进行解释

4.4.1 TASK任务

当点击TASK,会出现新建、打开以及以前打开过的文件的记录

它可以建立以下三个主要的任务:

从故障盘中拷贝数据

从一个转换表出错的盘中恢复数据

从一个逻辑结构受损的盘中恢复数据

选择你所要的模式,回答相应问题后,你就会进入相关模式

当你建立一个目录后,所有该项操作的内容都会存入这个目录中

当执行一个拷贝的操作,你可以有两个选择:一个是建立映像文件,一个是直接拷贝到另一个好盘,需要注意的是映像文件一旦建立,就不可更改大小。

映像文件的名字将会是XXXX.bin,放在对应的TASK目录下,XXXX表示文件的扇区数LBA的大小。拷贝前请检查硬盘空间是否足够。

4.4.2 OPEN 打开

当打开一个映像文件时,要接好一个容量相同或大于原盘的好盘。如果硬盘的参数不合适的话,打开操作会被取消。

4.4.3INFO 信息

在这一项操作中,可以看到硬盘的型号、序列号、容量等各项参数

4.4.1.3先前打开过的文件列表

4.4.2 SERVICE 服务

4.4.2.1硬盘管理

这一项操作是为高级用户设定的,可以对硬盘进行一些有限的操作,以利于以后的数据恢复工作。

4.4.2.2电源管理

方便用户在操作时对硬盘的电源进行控制。

4.4.2.3 休眠

方便用户进行热交换操作

4.4.2.4重新校验

方便用户在热交换后对硬盘进行唤醒

4.4.2.5硬盘软件复位

4.4.2.6硬盘硬件复位

4.4.2.7综合初始化

它包括了硬件复位、软件复位、初始化、重新校验

4.4.2.8校验

这项操作方便确定扇区的范围。包括坏扇区的范围

当恢复一个转换表出错的硬盘时,这项功能就可以发挥作用

在操作时,先设定扇区的范围值,然后点START,当前进度及结果会在窗口下方显示出来,这个结果有助于找到数据的偏移点。

举例说:如果你扫描的范围内发现一些扇区没有通过校验,你几乎就能确定这就是偏移点。

不幸的是,硬盘厂家对硬盘转换表及坏道表的定义是不公开的,保密的,所以这项操作不一定能成功。

从校验的结果可以找到很多有用的信息

4.4.2.9通过数据片段查找

这个模式是对误格式化的硬盘进行,用户可以修改目录中的关键词以方便查找,本软件也提供了一些帮助

4.4.2.10.1 EXPLORER浏览器

这个模式的主要目的是目标硬盘的数据结构的虚拟再现,它的名字叫EXPLORER是因为它的界面跟浏览器IE很相似。

4.4.2.10.2软件的界面如图(略)

4.4.2.10.3EXPLORER的对象及特性

     通常情况下,显示出来的对象是硬盘的各项逻辑结构元素

MBR

文件分配表

EPR

启动区

目录

文件

浏览器中的每一个对象,对应着一定的信息,可以进行一定的操作,通过鼠标右键或ALT+DOWN来展开菜单。

所有的对象都能用的操作方式是:扫描和查看第一个扇区

扫描的用意是重新读取对象的全部信息、并将新获取的信息反映出来,这对于各对象来说自然是十分有用的了。

查看第一个扇区是看指定对象的第一个扇区中的数据

除此外,还可以加上以下操作:

对象图 

扇区列表

保存

对象图

对象图,允许查看硬盘上的目录和文件

扇区列表,可以看到指定的文件或目录的扇区链

保存,将指定对象进行存盘。

当恢复一个NTSF格式的硬盘时,将会看到显示MFT属性的选项

与启动分区相关的对象有着很严格的规定,不同的文件系统有不同的操作。

例如,对于FAT格式来说,可以有机会选择备份1还是备份2来进行下一步的操作,选择出

最佳的备份进行编辑存盘或加载进内存,载入内存,可以加快硬盘的拷贝速度。

对于NTFS格式来说,可以有两种方式可选:

针对记录显示MFT的属性

扫描MFT

要理解它的含义,需要了解一些与NTFS分区数据结构相关的基本知识,在NTFS分区中的数据结构要比FAT结构要复杂得多,用户必须了解以下几件事:

NTFS中的数据要比FAT中要容易恢复,在任何一个NTFS分区中,包含有一些表MFT,里面带有文件的全部存放信息,而且还有表的镜像文件.

一部分的MFT表就完整的包含了对象的文件信息,如果你已经用浏览器打开了一个NTFS分区或文件夹,不要只把目光停留在你所看到的东西上,你不用去努力打开前15个MFT表,在很多情况下,即使你看不到任何分区信息,你也可以使用这个功能SCAN MFT扫描主文件分配表。

如果一部分MFT被破坏了,与之相关的数据就不能恢复了

根据记录显示MFT属性这一功能,可以通过窗口看到数据的处理过程,在某些情况下,特别是当转换表被破坏的情况下,会变得非常有用。

扫描MFT还可以根据现存的MFT记录和启动区的数据,帮助你建立一个虚拟分区。

8是为MFT扫描输入参数

在扫描过程中,要注意随时停下,你有可能会看到你要找的文档信息,直接打开就行了,不用扫描完全部的MFT, 实在不行,只能扫描完全部了。

4.4.2.10.4工作在对象图模式

说到对象图,用户很容易想到硬盘数据结构的每一个对象,都很直观的按磁道的顺序显示在图中。

这个模式就是在这张图中进行虚拟的工作,它有助于理解数据对象是如何存放在磁盘上的,当执行数据拷贝模式时,可以看到拷贝的过程及当遇到坏区时,是如何填满数据的

在窗口的顶部有相关的地图指南按钮,通过这些按钮可以移动地图。

说到这个地图,有两个方面要记住:对象绝对是关联和相配的,坐标关系是否连续主要是看硬盘的损坏程度。当我们说到移动的时候,就意味着关联移动。

在这个窗口中间是对象的图形。用鼠标左键单击这个四方的图形,相应的关系就会显示出来,要注意区别交替删除的扇区系列。

4.4.2.10.5在恢复数据时如何使用这些模式

4.4.2.10.5.1数据映像功能

     想有高效的使用这一功能,只有当硬盘出现局部坏区,但仍能读取足够的信息时才能采用,只需读取你所需的内容即可,不用读完全盘。

如果是物理损伤导致逻辑结构受损,用EXPLORER恢复不出数据结构时,建议将受损硬盘全盘拷贝到一个好盘上,然后再使用别的逻辑恢复方法。对于FAT分区的,更应如此。

用资源管理器有以下的特点:

用资源管理器中的数据是属于数据的副本。用户应该明白,查看和编辑就是创建数据副本。

一旦可以提前读出缺陷硬盘中的数据,不要减少这个数据的副本。

通常大量数据的恢复要求先恢复分区的逻辑结构的情况在整个数据恢复中的情况非常少。

在恢复破坏区的数据时,要花大量的时间去确定数据的可靠性。

在目前只支持FAT和NTFS结构的逻辑分析。

第一个特点是当用户轻微的纠正数据副本,然后重新扫描缺陷盘上相应的对象,不会在缺陷硬盘上产生一个报告,而改变的结果立即会显示出来。

下面是一个应用这个模式的简单的应用:

一个FAT分区的硬盘的引导扇区读取出错。结果文件分配表副本和关联表都遭到破坏。想打开根目录文件夹也打不开。然而,用扇区数据编辑模式(查看FATxx的引导部分),在检查了结果后我们填充正确的数据到相应的区域,然后重新扫描相应的对象,如果需要另外一些文件分配表副本,就要改变搜索的参数来查找。

在运行了几分钟后,我们就有了进一步打开文件夹的机会啦。

第二步分为两个方面。我们一开始就读出了这个数据并且有了这些数据的副本,数据的得失并不是偶然的现象,我们需要多次分析和理解这些数据,除非硬盘彻底坏掉了。

硬盘一旦不动,就象“死”了一样,我们用手指轻弹它,这样的方法很有效,这样可以增加我们读取数据的机会。

第三步也分为两个方面来应用,首先一个是有选择性的保存提取的数据的,把重要的数据保存在一个大容量的好硬盘中,这些数据有时是无价之宝,把那些无用的数据清除掉。

如果一个硬盘有相当多的物理坏道的话,是很浪费时间的(对于IBM的盘读取一个坏扇区要花8秒钟)。

4.4.2.10.5.2 在转换表恢复中的使用

     在恢复转换表中使用EXPLORER,是当更新偏移表时,不需重启,就能看到重建分区表的变化时才有机会的。例如,当需要读1000号扇区的数据,从偏移表中看到从999号扇区开始,向前偏移了一个扇区,这样,1001号扇区才是我们真正要读取的。

在通过区段文件时,有机会或得这个文件的扇区链表(尽可能按对象模式图工作),并用偏移图和确定的部分来关联所有的没有确定的偏移。

4.4.2.10.5.3 数据逻辑结构恢复的使用

当一个实验的磁盘用Explorer模式有不明确的结果时,数据逻辑结构恢复模式的使用是纠正这个磁盘的基础。

很不幸的是,描述怎么样使用它是相当的困难,所以我们给一个实例:

从一个被 WIN95CIH病毒破坏的FAT32分区的硬盘中读取数据。

我们知道,这种病毒破坏主引导记录、文件分配表副本(没有机会进一步扩展)。

用系统的特定故障搜索文件分配表副本和文件分配表文件夹(开始模糊定义)。

我们编辑与分区表一样的零扇区(主引导记录),写一个关于分区的记录。

我们编辑第63扇区作为FAT32导入点(for simplicity it is possible to boot the approprate preparation from a file ).我们首先要知道文件分配表的副本的数量、存储的扇区的数量、文件分配表的大小,我们假定第一个副本是从95(63+32)开始,到第二个副本的最前面直接终止(用搜索模式查找)。

如果你在前面的数字方面没有什么错误的话,接着重新扫描这个磁盘,你将会看到正确的分区类型和第一个扇区根目录文件夹的位置。

充分确定了簇的大小和分区数据才可能去复制,连接了PC3000系统的硬盘是比较好做到的!

整个过程用时5分钟。这是一件相当简单的事情!

文件分配表被严重破坏(例如文件分配表全部被破坏)的分区的数据恢复是不可能实现的,然而,用户可以利用Explorer模式提供的数据结构中隐藏信息来帮忙。

更进一步来讲,计划从本质上发展这个综合的恢复逻辑结构的工具,然而,至少现在这个综合工具对于了解硬盘数据结构的人是非常有用的。

当用户按不同的键就实现不同的功能、输出一些象(“Easy Recovery”)这类数据恢复软件没有的结果。

4.5主要的操作模式

以下是三个主要的操作模式:

1、建立硬盘镜相文件模式

2、这个模式是把先前的镜相文件输出到一个与PC3000卡相连的另外一个硬盘上。

3、这个模式是从与PC3000卡相连的有缺陷的硬盘直接拷贝数据到另外一个作为第二主盘的硬盘上

用户的在所有的操作中有以下几点是相同的:

关闭被打开的任务。关闭任务开关会断开与PC3000卡相连的硬盘的连接。

连接与PC3000卡上的硬盘,硬盘上的数据会被读出或输出。

打开先前创造的任务。

用一个确切的模式操作读取或写下数据,改变参数,进一步来分析操作这个过程。

当你认为可以的时候关闭任务或结束进程。

从图形上看来这几个从缺陷盘上拷贝数据的模式非常简单:(图略)

在工作区的顶部有一个模式名称的标识。

在左侧的顶部是与PC3000卡相连的硬盘的参数。

在右侧的顶部显示的是对于某个单独模式的当前运行过程的关键信息。

在工作区中间显示的是程序进度的标志。

在工作区的右边有控制程序的按钮。

在工作区的底部显示的是当前寄存器上的硬盘的状态指示灯。

模式的控制特别的注意一下。这样,对数据的读写和输出的认识相对要简单一些,控制面版也是很相似,不同的是每一种动作输出的详细特性。

在所有的操作模式过程中,”start” “stop” “parameters” “statistics” “map” “repeat” 和”finish”.这些按钮的功能非常相似的:

start”和”stop”按钮是允许和禁止进程的操作。

 “finish”按钮关闭当前已经打开的任务。

parameters”按钮允许用户查看和改变当前工作模式的参数。按下它会出现一个对应的改变参数的模式窗口。

map”按钮可以开关扫描程的地图。

repeat”按钮重新开始结束的改变了参数的进程

按钮的有效性取决于当前任务的执行的情况。例如,当正在扫描或输出时,按钮“parameters”是不可用的(灰色)。

4.5.1缺陷硬盘的映象文件的创建

这个是从缺陷硬盘中读出数据并保存在一个已经格式化的普通硬盘上的模式,在这个硬盘中创建一个最大为1G的二进制文件的文件夹(imgXXX.bin,XXX是文件的数目).最初,这个模式打算作为从缺陷硬盘中读取数据的主要模式。

它的主要优点是可以从缺陷硬盘中重复的读出最初的数据便于以后分析和恢复数据

这个模式最根本的缺陷是很浪费时间,因为它是一对一的两个过程,扫描后然后输出,对于一个大于1G的盘大约要20-30分钟。也就是说,一个容量为30G的硬盘输出数据大约要12-15小时,大量的时间扫描会导致硬盘的破坏加深。

   鉴于以上情况,在开始读取数据之前,扫描过程中的参数定义是非常重要的,扫描要达到什么样的目的,事先要明确,然后通过控制按钮“patameters”来设置必要的参数。

在按了这个按钮之后屏幕上会出现一个设置扫描参数的窗口:(图略)

在创建了一个任务后,所有的参数都作为一个默认的值被确定下来,改变这些参数必须要按”Apply”按钮来应用它们。

下面是扫描参数的列表:

     参数名称

1           开始的LBA地址

1           结束的LBA地址

2           读取等待

3           电源开关

4           跳过的大小

5           重复读取

6           重复的准备

7           使用硬件重复

8           跳过读取失败的扇区

9           读取时忽略CRC(CRC 循环冗余码校验)

定义你要读取的缺陷盘的扇区范围

“读取等待“参数定义读取硬盘的响应时间,单位为毫秒。如果读取失败,15秒后将会出现一个信息框或按钮,允许结束等待。

“电源开关”参数的设置单位是毫秒,设置当停止读取缺陷硬盘是电源自动开关的时间间隔,这主要是提供一个自动开关硬盘电源的环境。

“跳过的大小“是设置当等待读取硬盘时,读不出来硬盘自动断开电源时,为了加快读取,只有跳过,这时的扇区的大小,这个参数主要是针对破坏严重的硬盘,例如磁头坏了。

“重复读取”参数是设置读取错误的扇区而企图重复去读取它的次数,然而,有一点要注意的是,如果这个参数的次数超过3次,即使可能已经成功的读取了,分析统计的大量可信数据将被保存下来。

“重复的准备”参数用来设置读取那些即将受损的硬盘扇区的重复次数,这个参数仅仅用于万一“跳过坏扇区”没有确定时。

“读取时忽略CRC“对于扫描大量坏扇区的硬盘很有用。如果没有循环冗余码校验,读取数据就要快得多啦!当然,这样读取数据的可靠性就要差一些。

以下作为一个分开的部分,就是万一程序不能进入准备的模式来使用的:

1 硬盘电源开关

2 硬件重启

3 程序重启

4 初始化

5 重新校准

   这些参数是在硬盘确定的时间没有进入事先准备的模式定义的执行方式。

   为了程序执行得顺利,我们要从上到下按顺序设定好这些参数,换句话来说,程序执行的环境依赖于我们设定的参数结构。

例如,如果程序一开始硬盘就开始敲盘,这时“开关硬盘电源”的功能显得非常重要啦。

   这一点是非常有用的,万一在扫描一个大硬盘的时候我们没有注意到程序的进度而这个硬盘突然不退出工作模式开始敲盘,接着就会敲坏盘,如果这时我们不能及时把硬盘从这种环境中断开,以后取出数据是不可能的。

   在默认的情况下,这些设置所有的点都是打开的。然而,用户可以通过自己对某一特定的情形的判断来改变这些设置。

4.5.2把镜相的数据输出到另一个好硬盘上

   记录器模式运行后,从缺陷硬盘被读出的数据被作为文件的形式保存在当前任的子目录中。

   连一个容量差不多或比它容量大的盘到这个PC3000的功能卡上再打开相应的任务。

   表面上看来这个模式与前面的没有什么不同,唯一的本质区别在联了一个好的硬盘和这

个模式运行的意义(一个是从缺陷硬盘上读取数据然后保存成文件,一个是把文件区对区的拷贝到另一个好盘上)。

  假如联接的硬盘是一个真正的好硬盘的话,出现的参数设置列表项目很少的,只有从先前保存文件拷贝扇区的开始的LBA和结束的LBA .

细微的差别在于当一个扇区没有被读取时(出现错误或跳过的情况)可能数据会被重新排列,按下输出参数设置“跳过坏扇区”的按钮时对于你来说是非常有用的:(图略)

按下输出窗口参数设置下面的按钮时,每种情况都被写到好的硬盘上。

按下“默认”按钮,所有的参数按系统默认的设置。

按下“应用”和“拒绝”按钮就表时不要求特别的注释。

在你确定用默认的设置参数然后按下“开始”按钮时,数据将会成功的输出到硬盘上,除非你中途打断它。

一旦你按了“完成”按钮时,任务将会被关闭。

4.5.3不用建立镜相从联接的缺陷硬盘拷贝数据到另一个硬盘上

   这种工作模式与上面模式描述的是不同的,它不是把PC-3000的卡上的缺陷硬盘读成文件,而是直接拷贝到第二主硬盘上。

这种模式的根本好处是节省时间,然而用户却失去了重复读取缺陷硬盘数据并输出到另一硬盘的机会。

要用这个模式,通常在开机之前首先要接一个和缺陷硬盘容量相当或还要大的硬盘在电脑的第二条IDE线上,并把硬盘设成第二主盘,在设备管理器的硬盘项中断开第二硬盘,这样就断开了操作系统对这个硬盘的控制,连接第二硬盘的端口被关闭。这样DE程序就可以直接控制这个硬盘了。

如果这些要求没有达到,按这个“开始”钮,就会出现第二主盘硬盘初始化出错的提示框,而且出错的指示灯还会亮起来!

用户要记住一点的是,重启电脑操作系统后,操作系统都能认出第二硬盘并且禁止程序占用它的端口。这样就要求我们打开硬件管理器来关闭这个硬盘,然后扫描的数据才对顺利的拷贝到第二硬盘上。

必须要按以说的要求去做是这个模式的麻烦的地方,然而这种模式对于大容量硬盘的数据恢复是节约成倍的时间,这对于我们来说才是重要的。

4.5.4从含有损坏硬盘扇区的硬盘上恢复文件

首先,操作者应该明白,这种模式是给操作者一个从损坏的硬盘中取出数据的机会。

一旦我们在检测硬盘时,这个检测恢复模式因为硬盘损坏或其它原因不能运行,这时我们可以用热交换法从硬盘中读取数据(比如说硬盘给加上了密码的情况就可以这样)。

如果说你第一次是100%的能恢复硬盘中的数据的时候,第二次你用了不恰当的方法可能数据全部失去,恢复不了。

有两种主要的方法:就是列一个方法清单去恢复数据,或者是让模仿程序去恢复。

第一种方法并不是很普遍,因为它首先要求对某个硬盘特别了解,况且没有数据丢失恢复的情况可能性不大。

第二种方法是普遍的,因此被大多数人采用。

然而,这种方法也是有个根本的缺点:就是要求对恢复文件的磁盘格式有一定的认识,比如说FAT分区和NTFS分区。一提到数据恢复我们就会想到DE。

目前,这种综合结构的数据恢复是通过交互式的方式来实现的。现在正在开发一种对于FAT分区和NTFS分区的自动恢复数据的综合功能,这种功能要另外付费。然而,凭经验,这种效果完全可以通过我们目前的这种综合性的工具来实现的。

在介绍这种模式恢复数据的技巧之前,给你以下几点建议:

如果你用热交换法读取了缺陷硬盘中的数据,你要第一时间拷贝出这些数据到另外一个好盘。

最好是关掉自动屏蔽硬盘坏道的功能。否则会在读取这些坏道时会产生一个反向的影相,那样的话最主要的环境就会发生改变。

如果你不能达到以上的要求,你最好把所有的数据拷贝到一个好的盘上,就算的自动屏障坏道的情况发生,你已经有了另外一个稳定分析数据的环境,当然,在这种情况下丢失数据也是完全可能的。

以上给的忠告是理解DE的实际基础,数据恢复是一个纯粹逻辑分析的过程,也就是要找到一个防止信息丢失的方法,这就要求数据的结构和位置不能被改变。

按以上要求接一个硬盘,然后使用PC3000或相似的程序。

操作的结果是,WD的硬盘不能达到预期的要求,在这种请况下你应该用PC3000,因为在这种请况下逻辑恢复是不可能的,需要用PC3000去搜索IDNF扇区然后直接恢复它。

最后,我们来描述一下这个模式。表面上这个模式和硬盘结构逻辑图模式的唯一不同在于工作区的左边有个变化的列表。(图15略)

在这里不可去详细的描述工作模式的每一个完整的界面,因此根据实际情况举例说明。

一块硬盘有两个FAT分区,然而打开时检测不到主引导记录(MBR)。

用户一定要明确两个关键问题:第一——从移位图可以知道所有的数据都在硬盘上,所有的数据在检测程序的帮助下是可以取出来的。不用在成百上千的扇区中去搜索这个移位情况,坚持画一个图是非常有必要的。每次确信加进图中的一条条信息的位置没有错。

   换句话来说,应该按以下的顺序来操作:

找到硬盘不符合要求的位置(首先看第一个扇区)

确定有多少个扇区与要求的结构发生变化

确定每个位置的正确性

下面有一个哪些数据可以利用画图原理。数据是由两个因数来确定,一个是文件系统的特征,一个是文件确切的开始的位置。

换而言之,用下面的知识可以确定移位的大小:

MBR

BR

分区表副本

文件夹

WORD、EXCEL、ZIP、RAR、EXE、DLL文件等

上面这个表从本质上讲要靠用户的经验来扩展。

下面这一点认识对于我们以后非常重要:在相同数量的扇区中发现了两个完全相同的移位,这种请况一定要仔细的考虑一下,是不是数据存在两个移位之间。

因此,大都数移位的情况将添加到图中,少数数据区没有特别的位移主要靠我们来观察。

现在还是回到我们的实例上来。

如果没有检测出MBR,意味着零扇区不合位置要求,接着我们用模板搜索模式来确定他的新位置。

我们假定它在扇区2的位置,也就是说真正的零扇区向前移动了两个扇区的位置,接着我们打开移位图然后加进从LBA=0开始移位的值是2。之后,我们就开始用对硬盘扫描的方法。

在资源管理器中MBR的位置出现相应的目标。

我们看一下右边类似WINDOWS中的资源管理器,第一个分区是从第63扇区开始的,假

定第二个分区是从LBA4000000开始.

我们用资源管理器打开第一个分区.

如果打不开,我们就可以用搜索模式来帮忙找到第一个引导扇区.如果有两个扇区移位了,我们把它加进移位表中.

这里值得注意的是,如果在图中有多条LBA数值少于选中的一个时,那么这些移位已经被加进了移位表中了.也就是就说,第一个扇区移位的最小整数不是2个扇区,而是4个扇区.

一个硬盘开始和结束最小整数的图形对我们非常方便的,我们不希望有相当多的偏移来每一个都搞一个新的图形,所以相同的甚至更多的LBA的扇区都可以用一个规律性的设置来达到要求.

当我们正确的加进了分类项目后,再扫描,相应位置的引导扇区的第一个字目录就会显示出来.

更进一步来说,对文件分配表副本的理解是很有必要的.我们通过查看引导扇区的相应类型就可以知道它们的数量和位置.我们可以这样计算一下,开始扇区的第一个副本按照偏移量代替引导扇区,这个副本的大小在引导扇区有一个详细的列表.我们记下这个数值,然后用搜索模式在预定的范围中查找每一个副本可能的偏移.如果有偏移的,就加进相应的表中,注意一下后来加进的分类对偏移的影响.

为了对文件夹的位置有个清楚的了解,我们选择通过资源管理器”查看第一扇区”向前或向后查找合适的对象,来确定它的真正位置.如果它有偏移的话,就加进偏移表中.很遗憾的是,在文件分配表的根目录文件夹中没有准确的信息,需要去确定每行等于32(构成文件夹的最小整数)的字节的数量.

在文件分配表中找到至少一个没有偏移的副本是非常有必要的,我们选择这个没有偏移的副本,有了这个没有偏移的副本,我们恢复文件分配表是没有问题的,否则是很麻烦的啦.

如果我们发现这个硬盘没有数据,那么你可能要查看坏道然后综合分析它的结构,可能发现坏道也有偏移,例如在第一个文件分配表副本存在的扇区范围中,2个扇区就发现了两个坏道,很有可能是你需要的扇区.当然这样的情况很少发生.例如,有4个扇区发生偏移了,发现其中仅仅有两个是坏的扇区.厂家定义的坏道与我们确认的坏道有细微的差别的.在这种情况下我们就不得不搜索偏移的扇区,用假设法来比较副本之间的差别来鉴定它们(很多情况下它们是不完整的).

在得到了至少一个文件分配表副本之后,你可以继续进行文件分配表的恢复工作.

下一步是对移位图中的连贯性说明.

连续执行下面各项操作:

打开根目录文件夹.

排列有关联的对象清单加时开始的扇区

在这个有关联的对象清单里查找文件夹中的元素,如果找到合适的对象或者明显和清晰的数据结构,用查看第一扇区的方法查看,核对一下有没有发生偏移.

如果显示确实发生偏移,移这些扇区到移位图中;

用查看第一个扇区的方法或者重新扫描查看移位后扇区中的对象的正确性。

万一在拷贝后发现某个文件有问题,这就意味着扇区被文件点用的部分的位移不是很特别,那就需要用观察特定对象图的模式来观察它,必要的时候就在图上纠正它的位移。

如果不经过简单的纠正,恢复过来的数据千奇百怪,这样没有一种合适的工具可以确定它们的正确性,建议你保存好这个移位图直到分析完数据为止。

分区的恢复原理比上面描述的要简单得多。

我们提供数据恢复的原理和这个工具,成功与否要靠使用者的经验,专业水平和直觉。

如果你留意的话,在硬盘上可以看到相应的分区上的数据结构,这样你就可以得到恰

当的找到数据结构的经验。

4.6以扫描图方式运行

这种辅助图在所有的主要模式中是最容易理解的。

按相应模式中按控制面板上的“MAP”按钮就可以开始以扫描图方式运行啦。

在每一个特定的环境中如果编辑了某一扇区的话,就没有机会从缺陷盘中读取数据了。

这种模式的主要目的是要给用户通过对参数的改变对数据有个综合评估的机会。

例如在第一次扫描发现了许多错误后,我们可以改变参数来纠正。

此外,我们有机会描图模式时能通过鼠标右键来运行模式外的一些程序。

以下是右键菜单和功能的介绍:

通过选定扇区来查看和编辑数据(前后的菜单或双击鼠标)。

把一个区域的数据作为一个文件保存。

建立选定区域和文件的关系。

编辑、拷贝、输出数据都是建立在镜相的数据的基础上的。

在程序的后续版本中这样的功能还要大大加强。

4.6.1地图指南

在鼠标和键盘的帮助下,地图指南可以被调出来。

用“TAB”键可以在扫描图上垂直的移动,用“UP”“DOWN”“HOME”“END”这些键可以翻页。

用鼠标拖动程序的面板是很容易的。

4.6.2图例

”图例”按钮时,一个信息框会出现在屏幕上,这个信息框上有各种颜色代表在地图上代表的信息.

4.6.3查看和编辑读取的数据

这种模式主要是想要查看和编辑某一读取的扇区的镜相.

通过在地图上双击鼠标相应的扇区或通过地图的控制菜单都可以激活这个模式.

在你执行了这个动作时,将会出现如下的编辑模式窗口:(图略)

在这个窗口的顶部,有一些功能键,你可以导出你需要的扇区的数据.

在窗口的左边,所有的数据都用十进六数的方式查看和编辑,在右边是符号的示例.

在编辑时用鼠标和键盘同样有效.可以直接在窗口上编辑.

4.6.3.1数据菜单

数据菜单经常会在大量的导入的数据的窗口中出现.以下是它的子菜单

4.6.3.1.1重新导入

这个菜单允许重新导入镜相的数据到编辑窗口中,例如,你已经改变了数据,但是不想保存,想恢复到的据的初始状态,这时就可以用这个菜单的功能来实现啦.

4.6.3.1.2保存所作的修改

这个菜单是把你所作的修改保存下来.用这个菜单时你要注意的是,你将改变你唯一的源数据(除了你的缺陷硬盘之外).

4.6.3.1.3从文件中导入

用这个菜单,你可以导入一个外部的数据文件到这个编辑窗口中.当程序问你是否保存更改是,要记住,这是你唯一的数据副本啊.

4.6.3.1.4保存在一个文件里

  这个菜单是最安全的操作,作用是让你把当前操作编辑的扇区作为一个512字节的文件保存下来.

 

上一篇:Data Extractor说明书(2)
下一篇:数据恢复的方法

  北京总部: 4006-505-646
  上 海 部: 021-58358765
  深 圳 部: 0755-83692929
  浙 江 部: 13666673722
  其它地区: 4006-505-646

经典案例
藁城市东街百货-EFS文件解密成
中央电视台新闻评论部-苹果分
promise乔鼎硬盘阵列数据恢复成
麒麟童文化-苹果分区无法打开,
NAS 8100服务器数据恢复成功 
Liteon-重建一组RAID时,不小
濮阳市地方税务局-CHKDSK后数据
北京市海淀区华夏心理培训学校
台湾HD公司-FreeBSD Nas无法启
NCR公司-硬盘数据恢复成功 
解决方案
硬盘出现异响应急处理
raid磁盘阵列OFFLINE后的应急方
磁盘未被格式化,是否格式化数据
误GHOST、误一键恢复灾难应急方
误删除、误格式化数据灾难应急
LINUX FSCK数据出错灾难应急方
北亚数据恢复 - 联系我们 - 关于北亚 - 友情链接 - 网站地图 - RSS聚合 
版权所有 北京北亚数据恢复中心
24小时免费咨询电话:4006-505-646 或 800-810-580
公司地址:北京市海淀区永丰基地丰慧中路7号新材料创业大厦B座205室