迅维网

标题: 西部WDC WD5000AAKX硬盘数据恢复案例 [打印本页]

作者: ptmanager 时间: 2018-10-10 15:18
标题: 西部WDC WD5000AAKX硬盘数据恢复案例

西部WDC WD5000AAKX硬盘数据恢复案例

　　今天接修的是一块西部WDC WD5000AAKX-22ERMAO(466 GB, ATA)硬盘，下面附图。

　　1、接到故障硬盘，首先我们连接数据恢复平台，连接后观察硬盘型号，打开磁盘管理检查硬盘状态，这张硬盘我接入之后，提示初始化，也就是说此硬盘是未初始化状态的，再经客户描述可断定此硬盘是由于病毒破坏造成的故障，且不是系统分区硬盘，故障破坏区域可能增大。

　　2、了解故障表现后，打开底层编辑软件来查找具体故障，首先检查MBR，MBR全部丢失，硬盘不显示分区，那我们要先恢复分区，NTFS,FAT32的分区表及备份方式不一样，客户称全部都是NTFS分区，且有3个主分区，一个扩展分区，扩展分区中包括一个逻辑分区。

　　3、确定是NTFS分区后，制定实施恢复方案，全盘倒搜55AA，寻找最后一分区的DBR BAK，搜索内容55AA；搜索目标向上（up）；搜索条件512=510，寻找到P4的DBR BAK后，再进行下一步操作。

　　4、找到DBR BAK后，寻找P4的DBR位置，用备份位置减去分区大小即P4的DBR位置。故用976773119（P4备份位置）-261634047（P4分区大小）=715139072（P4 DBR位置）。

　　5、找到P4的DBR位置后，将备份黏贴到DBR位置处，继续向上搜索55AA，条件不变。

　　6、找到一个EBR即扩展MBR，就是说明P4是一个扩展分区，继续向上搜索55AA找到P3 DBR BAK。

　　7、因为P3的DBR BAK在EBR上方一个扇区位置，所以判断P3是一个主分区，则我们找到10C这个位置，就是P3的DBR位置，找到P3的DBR位置后，将备份黏贴到DBR处。

　　8、重复步骤7将P2和P1的DBR还原，这里讲一下我说的位置减大小在P3/P2/P1这类的主分区也可以适用，只是寻找10C来确定DBR位置是主分区的一个便捷方法，正常逻辑还是用位置减大小来寻找DBR位置。

　　9、填写完DBR后，我们填写MBR，在这先只填P1的MBR部分（因为P1的MBR部分填写完整后，其他分区的DBR也会呈现在软件里），P1分区DBR位置填写在C06位置，大小填写在C0A位置，大小从DBR的208位置+1可以获得。

　　10、用以上方法填写四个分区的MBR，P4分区的位置是填写EBR的位置，因为逻辑分区是在扩展分区里存在的。

　　11、保存后，我们看到P4的EXT为未知状态，所以检查P4的DBR是否有误，发现003位置错误，应该是4E，所以我们更改回来，保存后分区恢复完整，数据恢复完成。

本案例由迅维网会员（何天朗）提供

作者: ybq755 时间: 2018-10-10 16:19
这种情况可以用分区医生修复啊，或者直接扫描丢失的分区

作者: he1030 时间: 2018-10-10 16:45
用PTDD也能解决！

作者: 太原维修 时间: 2018-10-21 11:03
多谢楼主分享。。。。。。。。。。也谢谢两位回帖的。。。。。。。。。。。。。

作者: 极致科技 时间: 2018-10-23 05:25
手工搞显示了维修人员对数据分区结构的了解，这高级恢复的必备知识，一味的用工具，底层的东西一无了解是不能解决疑难问题的。

作者: 红色童年 时间: 2018-11-9 08:14

很多笔记本维修的基本都是“桥工”三板斧，数据恢复也只会换头…… 一到逻辑部分就头大。。。。

楼主很棒的！赞

作者: 残浪 时间: 2018-11-9 08:33
这个一般用软件搞，除了RAID要分析一下，其它的分析用处不大

作者: 邱慎红 时间: 2018-11-10 09:48
确实，用软件就可以，不要这么复杂，但楼主的功力可以的。

作者: 安静的森林zx 时间: 2018-11-10 17:47
楼主，您是不是先从上往下搜索过，MBR和DBR都被清零了，才逆向填写填写的，如果备份区数据异常，拿软件是不容易恢复的，像最后一个分区出现NTFS明码错误，这个地方很容易被更改。不知道软件可不可以恢复过来。

作者: 周师傅手机维修 时间: 2018-12-7 14:21
这个一般用软件搞，除了RAID要分析一下，其它的分析用处不大

欢迎光临迅维网 (https://www.chinafix.com/)