数据恢复案例

本文格式为Word版，下载可任意编辑——数据恢复案例案例1.佳能相机EOS5DCF卡提醒格式化恢复成功

今天客户拿来相机说卡提醒格式化想要里面的视频，插在电脑上一看的确提醒格式化，按着杜老师教的用Winhex开启一看MBR还在DBR全部变成FF了探寻F8FF只找到FAT表2FAT1只剩下后面部分了分析了一下FAT表2很完整并得知为FAT32文件系统。接着探寻2E20到根目录看一下有一个名为DCIM的文件目录项且没有损坏接着到3号簇和4号簇5号簇看一下都没发现问题计算簇大小为64Sec,接着计算FAT表大小为3811Sec利用FAT表大小得知分区扇区总数为31219584好了接着从别的硬盘Copy一个FAT32分区的DBR分别填入以上参数簇大小64SecFAT大小3811Sec和分区大小31219548Sec保存弹出从新插拔一下进我的电脑已经可以开启了数据恢复成功。

总结：需要对分区结构、基础知识稳固。利用winhex软件

案例2.加1减1，数据恢复有时就是这么简单！

昨日去办事情，偶遇一客户。手机8GB卡由于热插拔导致提醒“未格式化〞。

找了一台电脑下了一个WINHEX。

开启U盘，发现分区开始位置没有DBR，而DBR却被向下移动了一个扇区。

这个很简单，我并没有把DBR向上复制，而是把分区的开始扇区号加了一个“里的保存扇区减去一个“

1〞，把DBR

1〞。好了，点保存，WINHEX提醒IO错误。

最终解决了IO错误，弹出卡，然后再插入，分区正常开启，数据很完整。

IO问题是tf卡有保护总结：灵活利用知识

案例3最近流行的U盘病毒，导致WORD打不开的恢复方法

最近接到几个U盘.问题基本都是一样,里面的WORD文件基本是打不开的,原本以为是什么大问题,可能想着要设计到重组碎片,价格就报了几百元,计划不弄,后来我就随便用WINHEX开启看了一下,发现文件头的前面每6个字节都破坏.我就开启个好的WORD把前面6个字节覆盖到坏的里面.文件就可以正常开启.我运气还是算好，去年老遇到前面的扇区很有规律的被覆盖。

虽然这个没有什么技术含量.希望可以对其他人有帮助。总结：文件损坏，分析文件结构损坏规律

案例4

实际数据恢复案例-手工修复FAT32文件系统

找来的一篇好文章，拿出来跟大家共享！

今天接到一个朋友的客户做数据恢复，原来是4个分区CDEF。客户由于觉得C盘小，利用PQ分区大师将D盘部分区域划分给C盘，重启系统后，原CDF三个分区数据正常，E盘分区找不到。朋友用R-Studio扫描全盘，E盘数据始终找不到。

拿到盘后看到状况如下，用Winhex查看发现分区4只是联想硬盘中的隐蔽分区（用来还原系统的，不在客户所说的四个分区中）。分区3文件结构和磁盘大小都正常正常。分区2的DBR显示大小和实际大小不一致只有80GB，所以初步判断客户需要的E盘应当是和原来D盘合并成了现在的分区2。但假使仅仅是简单的合并利用R-Studio应当可以直接扫描出来，现在却没能正常扫描到，需要进一步分析。

磁盘分区分布图

根据分区2DBR显示大小找到实际终止位置，在194579343扇区发现了一个NTFS的DBR，但是这只是个孤立的DBR没有紧接着并没有NTLDR，可能是个备份。而且继续向下查找，发现一个FAT32分区的DBR。

继续向下分析，在194579351位置发现了NTFSINDX文件，并且向下发现了更多的NTFS分区信息。本来以为这只是个孤立的事件。但在向下查找过程中意外发现了类似FAT表的数据，找到头部，发现竟然然是一个完整FAT表，而表后是目录项。然后对刚刚发现的那个FAT32DBR进行解析，假使把这个FAT32DBR当成备份的话，刚刚看到的这个FAT应当是FAT2。而且显示的分区大小和到分区3之间的扇区数相等。而且从分区3开始的位置，从后向前找NTFS分区备份，也未能找到，说明丢失的E盘应当是FAT32分区。

通过以上分析我猜测，丢失的分区正是个FAT32分区，分区DBR和FAT1在PQ移动过程中被覆盖掉，现在盘上发现NTFSDBR的位置正好是原来FAT32DBR的位置。根据这个想法，把备份FAT32DBR贴回，计算FAT1的实际位置，将FAT2还原到FAT1，如表恢复后所示。

用Winehx展开当前恢复的分区，数据正常访问，用工具恢复数据，恢复完成。

总结：

1、不能盲目相信恢复工具，在文件系统关键信息丢失的状况下，恢复工具无法智能分析出文件系统结构；

2、使用PQ工具是一定要注意备份当前数据；3、对文件系统结构要十分熟悉。

案例6

硬盘在电脑上无法识别到盘符故障1

硬盘检测不到有好多问题：就先讲一个很常见的问题。对新手很有用今天接到一个ST80G的台式机硬盘，把故障盘接到电脑上，电脑就好像死机一样，故障盘拔了电脑有可以正常使用，原本一般我遇到这样的问题大部份是坏道导致，当然也有其他问题也会导致以后案列中会讲到,我用MHDD检测没有发现任何坏道，用指令看也是正常的，然后又用SPFDISK查看分区表也是正常的，后来没有方法，我就在DOS下用SPFDISK这个命令把分区给删除。在插到电脑上，电脑没有死机了。winhex开启后，分区都看不见。当然要做的是把分区表信息填好，分区表出来以后直接用WINHEX拷数据出来就可以。假使不用WINHEX把数据拷出来。重新启动电脑一样会卡死。所以这个方法是很使用的。数据拷完重新分下区硬盘就可以正常使用了。

案例7通过查找$MFT反推DBR位置手工构建DBR——一次手工恢复误GHOST严重损坏的分区实例

两天前下午，我在淘宝店（）接到一个客户，他介绍说他用GHOST安装系统，结果安装两三次系统都不能正常启动，然后用他原来系统的GHOST备份恢复，系统起来了，但系统中就只有一个C分区了，还有两个分区D和E不见了，让我给他恢复原来E分区中的数据。想到这种问题一般都很简单，就是恢复一下分区表就完事了，所以也没有先远程看一下，就接了下来。

远程连接到客户电脑上，开启事先让客户下载好的Winhex，再在

Winhex中开启待恢复的硬盘，硬盘在Winhex显示就只有一个分区。根据经验，这种状况在Winhex中是看不到原来的分区的，于是决定先用PTDD扫描一遍看看再说。

用PTDD扫描分区信息，扫描完成后，只在硬盘的后面部分有一个原来的分区信息，大小为99.7G，这个分区可能就是原来的E分区。根据客户的描述，原来的三个分区是C分区45G左右，D分区25G左右，E分区230G左右。显然PTDD扫描出来的分区并不是原来的分区。但还是不死心，万一是客户记错了呢？于是重建这个分区。

接下来在Winhex中开启硬盘，此时在目录浏览器中显示出了方才重建的那个分，但单击这个分区，跳转到它的起始扇区，结果发现这个扇区数据全是0，现在很明显重建的这个分区并不是客户的E分区。看来用软件扫描不到原来的分区了，只得手工恢复了。

寻常状况下，XP在分区时会将第一个分区分为主分区，其余分区分为规律分区，D、E两分区很有可能是规律分区，于是首先尝试查找扩展分区表。在Winhex中开启待恢复硬盘，根据客户所说C分区大约45G，于是从40G位置开始，设置探寻条件为512＝508，向下查找000055AA。通过一翻探寻