但是,如果客户现在需要他的数据,或者我们受到硬盘的时间限制,因为它会继续损坏磁头或盘片表面,如何处理这种情况……
在本文中,我们将讨论这个问题以及可能的解决方案。
例如,我们在Data Extractor工具中创建了一个新任务,并在开始时看到很多无法读取的扇区,DE无法识别NTFS分区。
基本上,如果驱动器没有物理问题并且分区无法打开,我们可以启动快速磁盘分析选项或RAW恢复程序并找到分区。
但是如果硬盘盘片表面有划痕,我们有时间限制,应该快速执行步骤。唯一的方法是尝试手动扩展分区。
在本文中,我们将讨论一个NTFS分区的硬盘。
如果我们知道驱动器上只有1个NTFS分区,我们可以尝试通过RAW恢复或GREP签名来找到NTFS引导文件。
在用户区域末尾有一个引导副本,也可用于构建虚拟分区。
但是,如果快速磁盘分析失败并且我们没有启动和引导复制(扇区不读取),那么我们可以尝试基于MFT表扩展分区。
MFT表(主文件表)是描述分区中所有用户文件的主文件。
前16个记录是系统,它们不可用于OS,因此称为元数据。这些前16个记录具有固定的LBA地址。
因此,首先我们需要在RAW恢复或GREP中找到MFT表的第一条记录。
如果驱动器读取有问题,那么我们可以使用我们的知识。
对于驱动器上的第一个NTFS分区,引导可以位于LBA 63或LBA 2048(90%的情况),正如我们在第一个MFT表格上方看到的,第一条记录具有固定的LBA,因此:
在LBA 63引导 – MFT表从6291519 LBA开始
LBA 2048引导 – MFT表从6293504 LBA开始(6291519 +(2048 – 63))
如何确定我们发现了MFT表的第一条记录?- 它在自身上有一个已知的签名$ .MFT在0x0F0偏移量:
找到这条记录后,我们可以尝试扩展NTFS分区。我们添加一个虚拟NTFS分区:
这里需要设置几个值:
初始LBA – 预计NTFS引导扇区(63或2048)的LBA。
最终LBA – 它是分区的最后一个扇区。让我们假设在整个用户区域只有一个分区,然后设置最后一个扇区值。
簇大小 – 正如我们所知,驱动器按簇写入数据(基本上是8)。
然后我们得到这个窗口:
我们应该填写三个字段“Total sectors,MFT_Mirr_Cluster和MFT_Cluster”。
总扇区数 – 设置最后的LBA值
MFT_Mirr_Cluster – 这是前4个MFT记录的副本 – 设置任何值(但不能为零)
MFT_Cluster – 这是第一个MFT记录的簇号(不是LBA)的值。
因此,我们知道第一个MFT记录LBA是6293504减去2048引导LBA并按簇大小8 = 786432为第一个MFT记录簇
换一种说法:
对于2048 LBA引导分区的第一个MFT记录簇=(6293504–2048)/ 8
对于63LBA引导分区的第一个MFT记录簇=(6293504–63)/ 8
因此,我们得到一个虚拟的NTFS分区,并可以执行不同的研究过程,如构建MFT映射,执行分区分析等。
在目前的情况下,我们获得了包含所有文件和文件夹的整个分区结构
注意:我们已经创建了一个虚拟分区。没有在硬盘上写入任何内容。
本指南可能不适用于创建NTFS卷的非标准方式(通过虚拟机映像,嵌入式设备,dvr设备等)
本文由苏州盘首发布 Admin,转载请务必保留本文链接:https://www.fixssd.cn/11398.html