资源预览内容
第1页 / 共18页
第2页 / 共18页
第3页 / 共18页
第4页 / 共18页
第5页 / 共18页
第6页 / 共18页
第7页 / 共18页
第8页 / 共18页
第9页 / 共18页
第10页 / 共18页
亲,该文档总共18页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
对 MFT偏移 的修正 -亲历一次数据修复MFT , 数据 , 偏移, 亲历写这个帖子是分享下自己的一次经历,以下这个帖子是我所遇到的问题,顺便介绍下,那个是我的马甲. 还有,请版主看到时,暂时不要删我帖子,因为文章好长,好多截图,我必须占楼.大学 250G的数据估计没了(已修复不少.)【电信】 http:/bbs.gdut.cn/NGPXBBS/bbsindex?t=1&b=tcon?board=Software&start=0&th=1259903042 【教育网】http:/bbs.gdut.edu.cn/NGPXBBS/bbsindex?t=1&b=tcon?board=Software&start=0&th=1259903042 前阵子,我在一次正常开机后,打开QQ空间,突然系统死机。点击鼠标无反应,按键ctrl+alt+del想杀进程确无反应,于是只好按主机reset键强制重启,结果RP爆发,百年一遇,重启后,无法进XP系统,用PE光盘进,发现C盘和 E盘都提示“文件或目录损坏且无法读取”,于是用ptdd 重建 mbr,仍进不了系统。重启又进入PE ,发现此250G的 5 个分区的硬盘中,E盘反而可以正常读取了,其他分区出现上面那个提示。用PTDD重建分区表,没解决。后来在网上搜过“文件或目录损坏且无法读取”的解决方法,最多提到的是chkdsk /f, 但是在 PE里,提示无法识别ntfs 。于是只好把硬盘挂载到室友的电脑里,用chkdsk /f修复,修复后我在Xp双击这些分区,原来的C盘, F 盘 G盘依旧无法进入,还是那个错误提示。而D盘可以了。后来挂载到我电脑另一个硬盘的linux里,竟然能进F和 G盘,里面有FOUND.000这类文件夹,在里面找到了不少修复回来的文件,随机在不同目录点了几个都能用。于是接下来要解决的问题有: 1.同样全部是ntfs系统,为什么XP无法读取F 和 G分区,而linux可以?(虽然不可以在 windows 里读取,但至少在linux下可以把数据导出备份,成功了一点点) 2.如果从数据修复的角度看,现在只剩下C分区了。头疼 , PTDD,DISKGEN ,还有用过一些磁盘错误扫描,都检查不出什么错误。(这里明显我是病急乱投医, )名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 18 页 - - - - - - - - - 本着不修复好不罢休的精神吧,虽然C分区的数据真的没有了也不至于损失多惨重,可恰好我可以在另一个硬盘linux里的虚拟机里的XP上网,所以也不需要急用电脑而不得不重装系统。(双系统的好处之一o(_)o )之后是上网找专业论坛,搜索期刊。顺便做下广告,我觉得中国硬盘基地技术论坛不错。我也是第一次从这里知道可以用winhex 修复数据。并且也通过搜索得知我的故障可能是MFT有错。在里面看过一句话,“你要是不会手动 16 进制写 mft ,不知道他的规则,计算方式。就别费劲了,你从现在学,学3 个月有可能能学会”。天啊,估计我没这耐性,更主要是我还有不少事情做, 不过我试着去了解吧,趁机能懂点东西也不错。于是,从一开始不懂mft ,然后慢慢的去了解ntfs的文件系统, 其实一共也不需花多少时间,中间快20 天都忙着考试和找工。这里还有个小插曲,因为看过这方面的书,那时候印象较深,还去笔试面试了一个数据修复公司,吹吹自己会用 winhex 和其他修复软件,通过了。说1 月中旬给个回复去不去,去的话开始实习了,不过待遇感觉太低所以不想了的。毕竟生活压力吧,还有综合考虑兴趣与待遇,还有发展。说点硬盘 ntfs文件系统的,或许很多人也听过了。之前我没怎么了解,后来借此机会也趁机学学了。硬盘由引导扇区(Boot Sector)与各分区组成。不超过四个主分区,原因是主引导记录(MBR )里的分区表里只有64 字节,一共只可描述4 个分区表项,从winhex里看,描述一个分区表项用16 字节。有人可以分七八个分区是因为用到扩展分区,现在我们的普遍分法是一个主分区+一个扩展分区,然后扩展分区又是由相应的EBR (即扩展MBR )里的分区表来描述。一个以盘为主分区,为扩展分区的硬盘数据结构如下所示:关于主引导记录MBR 。一般都占用63 个扇区,即从第0-62 扇区(这里有个例外,虚拟机里我看过只有56 个扇区),而实际有写入内容的一般只有一个扇区,及常说的0 柱面 0 磁道1 扇区。 1 个扇区 512 字节, MBR 其实分三部分,1. 引导代码446 节 2. 分区表 64 字节 3.结束标记 55AA,及 2 个字节。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 18 页 - - - - - - - - - 如果,两蓝色竖线把第一个扇区划分为三部分,及上述的MBR 三部分。两蓝竖线间为分区表。每16 字节为一个分区表项,两个紧挨着的数字为一个字节。第一个分区中:第一个红色框内80 代表活动分区。绿色框01 01 00代表磁头号、扇区号、柱面号。第一个蓝色框07 代表 NTFS分区。紧接着三条绿横线,分别是本分区结束磁头号、扇区号、柱面号,然后是本分区之前已用的扇区数(3F000000,必须倒过来,即0000003F,转为 10 进制 63,即 MBR 要占用 63 扇区,注意MBR 是不属于磁盘第一个分区! ),最后是本分区的总扇区数(E5588101, 倒过来, 018158E5, 即是 25254117 个扇区,25254117*512/1024/1024/1024=12.04G)第二个分区:第二个红色框00 表示非活动区。绿色框00 C1 FF 代表磁头号、扇区号、柱面号。第二个蓝色框0F 代表扩展分区。三条绿线所表达的也与上面相同。(注意这里的第二个分区代表扩展分区,切勿与通常的D盘相混淆!)因无其他主分区,所以第三、第四个分区表项为0。最后以 55AA结尾,代表MBR 结束。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 18 页 - - - - - - - - - Re: 对 MFT 偏移 的修正-亲历一次数据修复到这里,给道题目,如何知道D 盘的 EBR 在哪里?很简单,从第一个分区表项得知,第一个分区有25254117 个扇区,而在第一个分区前的 MBR 有 63 个扇区,因为整个硬盘扇区数从0 记起,所以MBR 扇区数 +第一个分区扇区数 =63+25254117=25254180 ,即通过转到25254180 扇区即可。这里就是D 盘前面的 EBR 了。对红线进行分析 (红线前面446 个字节,因为是扩展分区, 不需要启动代码, 用 0 填充):名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 18 页 - - - - - - - - - 00:非活动分区01 C1 FF 起始磁头号、扇区号、柱面号07:NTFS 分区FE FF FF:本分区结束磁头号、扇区号、 柱面号。 其实可以发现, 实际不需要理会这一项,所有分区表项都用这三个字节来表示本分区结束磁头、扇区和柱面的。3F 00 00 00:如前面分析MBR ,倒过来是00 00 00 3F ,即 63 个扇区。8D 0D 23 03: 倒过来是 03 23 0D 8D, 转为 10 进制是 52628877,即本分区有52628877 扇区, 25.09G。为计算第二个EBR 在哪里只需将前面的“MBR扇区数 +第一个分区扇区数”+“EBR 扇区数+第二个分区扇区数”略去对后面几个分区的计算。刚刚是对 MBR ,EBR( EBR 实际与 MBR 类似,只是少了启动代码)的分析,现在对具体分区分析(以修复好的C 盘为例)。通过翻阅资料得知,NTFS 文件系统的结构是- 修改 :海山原于 Jan 1 22:54:06 修改本文 FROM: 222.200.98.60 修改 :海山原于 Jan 2 13:38:57 修改本文 FROM: 222.200.98.60名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 18 页 - - - - - - - - - TOP 板凳 回复海山原 (楼主 )发表于2010-1-1 22:48 | 只看该作者无论是山珍海味,还是街边小食,只要喜欢,就是美食。吃前有期待、吃后有回味。美食不仅仅是简单的味觉感受,更是一种精神享受。南国飘香“ 识饮识食 ” ,有色,有味,有劲!引领饮食风潮,体验乐享生活!点击这里,分享你的美食吧_Re: 对 MFT 偏移的修正-亲历一次数据修复如何进入具体分区呢?选择winhex 里的 “ 工具 打开磁盘 ” ,选中相应物理磁盘即可打开。我的硬盘(修复好后)显示如下:双击想要看的分区即可,如partition 1, 进入名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 18 页 - - - - - - - - - 会看到很多此分区的文件,甚至包括一些即使你在文件夹选项里勾选“ 显示隐藏文件 ” 都无法看到的文件。比如以$开头的文件。每个NTFS 分区中都有这种文件,如下:注意: MFT 里的 11 到 15 号记录是为以后的元数据文件保留的。以上是的截图来自网上,补充下 $Boot 、$MFT 、$MFTMirr的一些资料, 因为此次修复与这几个有关。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 18 页 - - - - - - - - - - 修改 :海山原于 Jan 1 22:55:25 修改本文 FROM: 222.200.98.60 修改 :海山原于 Jan 1 22:57:24 修改本文 FROM: 222.200.98.60TOP 地板 回复海山原 (楼主 )发表于2010-1-1 22:48 | 只看该作者无论是山珍海味,还是街边小食,只要喜欢,就是美食。吃前有期待、吃后有回味。美食不仅仅是简单的味觉感受,更是一种精神享受。南国飘香“ 识饮识食 ” ,有色,有味,有劲!引领饮食风潮,体验乐享生活!点击这里,分享你的美食吧_Re: 对 MFT 偏移的修正-亲历一次数据修复$Boot:NTFS 的卷启动扇区,也叫分区启动扇区,卷启动记录等。虽叫扇区,其实包含了 16 个磁盘扇区( 8KB ) ,即你看到的 $Boot 文件大小是8KB 。在 winhex 里双击相应的分区后,进去看到的该分区的第一个扇区就是$Boot 所占的第一个分区。包含了 BIOS 参数块( BIOS Parameter Bloce ,即 BPB)和卷启动代码。BPB 里包含此分区基本信息,如分区格式,大小等。至于卷启动代码,是表示如何装载WIN NT ,2000 等系统的NTLDR ,把控制权交给它,得以继续装载系统其他部分。对于 $Boot 里的 BPB 用以下的截图说明下, 彩色部分就是BPB, 对于 $MFT 文件,就是从 BPB 里定位的! !这句话很重要。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 18 页 - - - - - - - - - 而我自己 C 盘的情况是对比这里的说明:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 18 页 - - - - - - - - - 图中第一条蓝色粗线是表示$MFT 第一簇簇号, 00 00 0C 00 00 00 00 00 ,倒过来是00000000000C0000, 即 16 进制 C0000 转为 10 进制是 786432, 表示 MFT 在第 786432簇 (注意这里表示的是相对于本分区的簇数,而不是整个硬盘) 。 接下来,转去 786432簇,看看是不是名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 18 页 - - - - - - - - - 通过 Go To Sector 到 786432,与单击 $MFT 去到的扇区都是一样的。说明定位没错。接下来看下 $MFT 吧- 修改 :海山原于 Jan 1 23:01:08 修改本文 FROM: 222.200.98.60TOP 地下室回复海山原 (楼主 )发表于2010-1-1 22:48 | 只看该作者无论是山珍海味,还是街边小食,只要喜欢,就是美食。吃前有期待、吃后有回味。美食不仅仅是简单的味觉感受,更是一种精神享受。南国飘香“ 识饮识食 ” ,有色,有味,有劲!引领饮食风潮,体验乐享生活!点击这里,分享你的美食吧_Re: 对 MFT 偏移的修正-亲历一次数据修复$MFT : (Master File Table )文件。主文件列表。此文件是NTFS 分区中最重要的文件,记录了分区中所有文件(包括 $MFT 自身) 的基本信息。 通过 $MFT 就可以访问分区中的所有文件和系统数据。$MFT 由多个 MFT 记录单元组成,每一个文件的描述占用一到多个(一个不够的情况下)$MFT 记录单元。其中前十二个记录单元中记录着这里的十二个系统文件的信息。每个记录单元记录着文件的建立时间、在分区中的位置、长度、属性、文件名等信息。 MFT 中的第一个记录就是$MFT 自身, 编号为 0。每个文件记录占用1KB ,即两个扇区。识别一项 MFT 的起始很简单, 看开头的4 个字节是否46 49 4C 45 , 其相应的ASCII码是 FILE 。现在就看MFT 怎样记录其本身$MFT 吧。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 18 页 - - - - - - - - - 同理,MFT 的镜像 $MFTMirr用同样的方法也可以计算得出和定位,$MFTMirr是对MFT 里的重要文件备份,只有4K,即备份了4 个文件记录单元而已。其实说了上面这些,还没涉及到故障的解决,有人会说,明明可以在winhex 里选中$MFT 就定位了,为何这般复杂,实际上,我此次故障,就是遇到MFT 偏移了!说了前面这么多,只是为NTFS 文件系统结构做个很大概的描述,实际上真的很复杂。- 修改 :海山原于 Jan 1 23:03:10 修改本文 FROM: 222.200.98.60TOP 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 18 页 - - - - - - - - - 下水道回复海山原 (楼主 )发表于2010-1-1 22:48 | 只看该作者无论是山珍海味,还是街边小食,只要喜欢,就是美食。吃前有期待、吃后有回味。美食不仅仅是简单的味觉感受,更是一种精神享受。南国飘香“ 识饮识食 ” ,有色,有味,有劲!引领饮食风潮,体验乐享生活!点击这里,分享你的美食吧_Re: 对 MFT 偏移的修正-亲历一次数据修复在故障处理前,我双击C 盘出现了这种情况:看来问题跟这个MFT 是有些关系了的 进去后,傻眼了,没有其他的文件,只有以下这几个,郁闷。方法一:用前面的方法,从分区引导扇区计算出MFT 位置。所以,证明前面说的不算名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 18 页 - - - - - - - - - 是废话。方法二:留意提示,看到了offset C0000000 和 offset 18158E000 字样,那就过去看看吧。发现 C0000000 里,不是一项文件记录的起始,文件记录的其实,一定是“46 49 4C 45 ”开头的,仔细找下,很明显偏移两行了! !这就是故障所在。MFT 里的第一项文件记录正是 MFT 本身,而现在本身位置都记录错了,如何定位其余文件呢?所以,此分区下的所有文件不可见!接下来尝试修复了。至于另外一个18158E000,其实可以猜测到是$MFTMirr的Re: 对 MFT 偏移的修正-亲历一次数据修复其实我曾经想过找相关MFT 的修复软件试下,但始终觉得会否因软件“ 误判 ” ,反而搞乱了。 毕竟对于数据修复,一般是“ 只需一次成功,不许多次失败的” 。还是手动吧其实到这里我已经找到了故障所在,和处理方法了, 只是即使想手动也有点下不了手 期间在学校某个地方做过一次实验,也是一件坏事呃,把它的某个分区,用 winhex 写 0 了写 0 了是什么概念应该猜到吧。不过也自私庆幸幸好不是在自己的硬盘这样操作!这款软件是有一定危险性的。拿修复 $MFTMirr举例吧 $MFT 的我忘了截图。找到18158E000 的那个扇区里(可以看到偏移了三行)选中 46 49 4C 45 开头的一段数据,多大好呢,我是一直选到非 0 的末尾,后面全0 的就不选了。原因:记录一个文件其实有时候不需要用到 1KB 的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 18 页 - - - - - - - - - 粘贴到正确位置就这样,手工的找,手工的修复,看到就修复,反正间隔1KB 就一个记录 所幸不是很多, 10 来个而已。保存退出,重启 以为应该好了,默默的等待一种喜悦。结果启动不了。没办法,只好到另一个硬盘的linux 里进去看, 久违的那个分区是出现了,可是挂载不了, 如名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 18 页 - - - - - - - - - 图提示:有点郁闷, 现在只好把硬盘挂到室友的XP 下去 chkdsk 下了,懒了,不想再研究了。结果,在室友那里chkdsk 修复后,把硬盘挂回自己电脑,启动,见到了久违的XP和久违的桌面! ! !我成功了! !也许对于牛人来说,这不算什么,但是毕竟对于我,因为是通过自己努力去尝试的,所以,有点成就感吧。- 修改 :海山原于 Jan 1 23:09:34 修改本文 FROM: 222.200.98.60TOP 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 18 页 - - - - - - - - - 奈何桥回复海山原 (楼主 )发表于2010-1-1 22:48 | 只看该作者无论是山珍海味,还是街边小食,只要喜欢,就是美食。吃前有期待、吃后有回味。美食不仅仅是简单的味觉感受,更是一种精神享受。南国飘香“ 识饮识食 ” ,有色,有味,有劲!引领饮食风潮,体验乐享生活!点击这里,分享你的美食吧_Re: 对 MFT 偏移 的修正-亲历一次数据修复写到这里基本完了.不过仍然有我不明白的地方,文中可能有些表述不当,还请指正下的,比较仅仅一个文件系统,还只是NTFS,都够研究很长时间了。我现在存在的疑问是:1.为什么有两个分区F 和 G,是 NTFS 的,在 linux 下可以是识别并正常读取里面的文件,但是在windows XP 里不行。这是我至今还未解决的疑问。2.在我用 winhex 修复并重启后, 虽然在和linux 下读取不了, 但是在 winhex 里是可以看到完整的文件的,并且没有found.000 这个文件夹,如果我此时导出文件,相信文件位置不会出现错乱。但是用 chkdsk 扫描修复后, 为什么多出这么多零碎的文件放进 found.000 里了 . - 修改 :海山原于 Jan 1 23:17:15 修改本文 FROM: 222.200.98.60TOP 地狱回复海山原 (楼主 )发表于2010-1-1 22:49 | 只看该作者无论是山珍海味,还是街边小食,只要喜欢,就是美食。吃前有期待、吃后有回味。美食不仅仅是简单的味觉感受,更是一种精神享受。南国飘香“ 识饮识食 ” ,有色,有味,有劲!引领饮食风潮,体验乐享生活!点击这里,分享你的美食吧_名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 18 页 - - - - - - - - - Re: 对 MFT 偏移 的修正-亲历一次数据修复此次事件的总结:1.一开始尝试修复时,重建 MBR , 重建分区表, 都是很傻的做法。 当时病急乱投医.当硬盘出现误操作而又想尽力恢复数据时,切忌再往里头写数据,最好是先把硬盘拆下来,再到网上,或相关书本查询。2.硬盘数据修复,一般是只许一次成功,不许多次失败。所以,在方案的取舍,切忌一个个的试,最好有其他硬件模拟试验。我以前曾经误操作而用一个XP 镜像覆盖全盘,后来用移动硬盘试过可以用PTDD 重建分区表,做过实验了,也就有大的把握确定成功率。3.任何事情,只要投入时间,愿意琢磨下,即使不成功,也多少有点回报的。像我在某个网站看到的那句话,说“ 你要是不会手动16 进制写 mft ,不知道他的规则,计算方式。就别费劲了,你从现在学,学3 个月有可能能学会” 看到后确实有点打击,不过其实现在我还没懂多少,至少能取回数据了。- 修改 :海山原于 Jan 1 23:25:46 修改本文 FROM: 222.200.98.60名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 18 页 - - - - - - - - -
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号