(版主: 无) 
- 12-24 10:31
- Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
-
abc
庶民
头衔 --
注册 07-12-24
来自
-
Data Extractor说明书(2)
4.4.2.4重新校验
方便用户在热交换后对硬盘进行唤醒
4.4.2.5硬盘软件复位
4.4.2.6硬盘硬件复位
4.4.2.7综合初始化
它包括了硬件复位、软件复位、初始化、重新校验
4.4.2.8校验
这项操作方便确定扇区的范围。包括坏扇区的范围
当恢复一个转换表出错的硬盘时,这项功能就可以发挥作用
在操作时,先设定扇区的范围值,然后点START,当前进度及结果会在窗口下方显示出来,这个结果有助于找到数据的偏移点。
举例说:如果你扫描的范围内发现一些扇区没有通过校验,你几乎就能确定这就是偏移点。
不幸的是,硬盘厂家对硬盘转换表及坏道表的定义是不公开的,保密的,所以这项操作不一定能成功。
从校验的结果可以找到很多有用的信息
4.4.2.9通过数据片段查找
这个模式是对误格式化的硬盘进行,用户可以修改目录中的关键词以方便查找,本软件也提供了一些帮助
4.4.2.10.1 EXPLORER浏览器
这个模式的主要目的是目标硬盘的数据结构的虚拟再现,它的名字叫EXPLORER是因为它的界面跟浏览器IE很相似。
4.4.2.10.2软件的界面如图(略)
4.4.2.10.3EXPLORER的对象及特性
通常情况下,显示出来的对象是硬盘的各项逻辑结构元素
如MBR
文件分配表
EPR
启动区
目录
文件
浏览器中的每一个对象,对应着一定的信息,可以进行一定的操作,通过鼠标右键或ALT+DOWN来展开菜单。
所有的对象都能用的操作方式是:扫描和查看第一个扇区
扫描的用意是重新读取对象的全部信息、并将新获取的信息反映出来,这对于各对象来说自然是十分有用的了。
查看第一个扇区是看指定对象的第一个扇区中的数据
除此外,还可以加上以下操作:
对象图
扇区列表
保存
对象图
对象图,允许查看硬盘上的目录和文件
扇区列表,可以看到指定的文件或目录的扇区链
保存,将指定对象进行存盘。
当恢复一个NTSF格式的硬盘时,将会看到显示MFT属性的选项
与启动分区相关的对象有着很严格的规定,不同的文件系统有不同的操作。
例如,对于FAT格式来说,可以有机会选择备份1还是备份2来进行下一步的操作,选择出
最佳的备份进行编辑存盘或加载进内存,载入内存,可以加快硬盘的拷贝速度。
对于NTFS格式来说,可以有两种方式可选:
针对记录显示MFT的属性
扫描MFT
要理解它的含义,需要了解一些与NTFS分区数据结构相关的基本知识,在NTFS分区中的数据结构要比FAT结构要复杂得多,用户必须了解以下几件事:
在NTFS中的数据要比FAT中要容易恢复,在任何一个NTFS分区中,包含有一些表MFT,里面带有文件的全部存放信息,而且还有表的镜像文件.
一部分的MFT表就完整的包含了对象的文件信息,如果你已经用浏览器打开了一个NTFS分区或文件夹,不要只把目光停留在你所看到的东西上,你不用去努力打开前15个MFT表,在很多情况下,即使你看不到任何分区信息,你也可以使用这个功能SCAN MFT扫描主文件分配表。
如果一部分MFT被破坏了,与之相关的数据就不能恢复了
根据记录显示MFT属性这一功能,可以通过窗口看到数据的处理过程,在某些情况下,特别是当转换表被破坏的情况下,会变得非常有用。
扫描MFT还可以根据现存的MFT记录和启动区的数据,帮助你建立一个虚拟分区。
图8是为MFT扫描输入参数
在扫描过程中,要注意随时停下,你有可能会看到你要找的文档信息,直接打开就行了,不用扫描完全部的MFT, 实在不行,只能扫描完全部了。
4.4.2.10.4工作在对象图模式
说到对象图,用户很容易想到硬盘数据结构的每一个对象,都很直观的按磁道的顺序显示在图中。
这个模式就是在这张图中进行虚拟的工作,它有助于理解数据对象是如何存放在磁盘上的,当执行数据拷贝模式时,可以看到拷贝的过程及当遇到坏区时,是如何填满数据的
在窗口的顶部有相关的地图指南按钮,通过这些按钮可以移动地图。
说到这个地图,有两个方面要记住:对象绝对是关联和相配的,坐标关系是否连续主要是看硬盘的损坏程度。当我们说到移动的时候,就意味着关联移动。
在这个窗口中间是对象的图形。用鼠标左键单击这个四方的图形,相应的关系就会显示出来,要注意区别交替删除的扇区系列。
4.4.2.10.5在恢复数据时如何使用这些模式
4.4.2.10.5.1数据映像功能
想有高效的使用这一功能,只有当硬盘出现局部坏区,但仍能读取足够的信息时才能采用,只需读取你所需的内容即可,不用读完全盘。
如果是物理损伤导致逻辑结构受损,用EXPLORER恢复不出数据结构时,建议将受损硬盘全盘拷贝到一个好盘上,然后再使用别的逻辑恢复方法。对于FAT分区的,更应如此。
用资源管理器有以下的特点:
用资源管理器中的数据是属于数据的副本。用户应该明白,查看和编辑就是创建数据副本。
一旦可以提前读出缺陷硬盘中的数据,不要减少这个数据的副本。
通常大量数据的恢复要求先恢复分区的逻辑结构的情况在整个数据恢复中的情况非常少。
在恢复破坏区的数据时,要花大量的时间去确定数据的可靠性。
在目前只支持FAT和NTFS结构的逻辑分析。
第一个特点是当用户轻微的纠正数据副本,然后重新扫描缺陷盘上相应的对象,不会在缺陷硬盘上产生一个报告,而改变的结果立即会显示出来。
下面是一个应用这个模式的简单的应用:
一个FAT分区的硬盘的引导扇区读取出错。结果文件分配表副本和关联表都遭到破坏。想打开根目录文件夹也打不开。然而,用扇区数据编辑模式(查看FATxx的引导部分),在检查了结果后我们填充正确的数据到相应的区域,然后重新扫描相应的对象,如果需要另外一些文件分配表副本,就要改变搜索的参数来查找。
在运行了几分钟后,我们就有了进一步打开文件夹的机会啦。
第二步分为两个方面。我们一开始就读出了这个数据并且有了这些数据的副本,数据的得失并不是偶然的现象,我们需要多次分析和理解这些数据,除非硬盘彻底坏掉了。
硬盘一旦不动,就象“死”了一样,我们用手指轻弹它,这样的方法很有效,这样可以增加我们读取数据的机会。
第三步也分为两个方面来应用,首先一个是有选择性的保存提取的数据的,把重要的数据保存在一个大容量的好硬盘中,这些数据有时是无价之宝,把那些无用的数据清除掉。
如果一个硬盘有相当多的物理坏道的话,是很浪费时间的(对于IBM的盘读取一个坏扇区要花8秒钟)。
4.4.2.10.5.2 在转换表恢复中的使用
在恢复转换表中使用EXPLORER,是当更新偏移表时,不需重启,就能看到重建分区表的变化时才有机会的。例如,当需要读1000号扇区的数据,从偏移表中看到从999号扇区开始,向前偏移了一个扇区,这样,1001号扇区才是我们真正要读取的。
在通过区段文件时,有机会或得这个文件的扇区链表(尽可能按对象模式图工作),并用偏移图和确定的部分来关联所有的没有确定的偏移。
4.4.2.10.5.3 数据逻辑结构恢复的使用
当一个实验的磁盘用Explorer模式有不明确的结果时,数据逻辑结构恢复模式的使用是纠正这个磁盘的基础。
很不幸的是,描述怎么样使用它是相当的困难,所以我们给一个实例:
从一个被 WIN95CIH病毒破坏的FAT32分区的硬盘中读取数据。
我们知道,这种病毒破坏主引导记录、文件分配表副本(没有机会进一步扩展)。
用系统的特定故障搜索文件分配表副本和文件分配表文件夹(开始模糊定义)。
我们编辑与分区表一样的零扇区(主引导记录),写一个关于分区的记录。
我们编辑第63扇区作为FAT32导入点(for simplicity it is possible to boot the approprate preparation from a file ).我们首先要知道文件分配表的副本的数量、存储的扇区的数量、文件分配表的大小,我们假定第一个副本是从95(63+32)开始,到第二个副本的最前面直接终止(用搜索模式查找)。
如果你在前面的数字方面没有什么错误的话,接着重新扫描这个磁盘,你将会看到正确的分区类型和第一个扇区根目录文件夹的位置。
充分确定了簇的大小和分区数据才可能去复制,连接了PC3000系统的硬盘是比较好做到的!
整个过程用时5分钟。这是一件相当简单的事情!
文件分配表被严重破坏(例如文件分配表全部被破坏)的分区的数据恢复是不可能实现的,然而,用户可以利用Explorer模式提供的数据结构中隐藏信息来帮忙。
更进一步来讲,计划从本质上发展这个综合的恢复逻辑结构的工具,然而,至少现在这个综合工具对于了解硬盘数据结构的人是非常有用的。
当用户按不同的键就实现不同的功能、输出一些象(“Easy Recovery”)这类数据恢复软件没有的结果。
4.5主要的操作模式
以下是三个主要的操作模式:
1、建立硬盘镜相文件模式
2、这个模式是把先前的镜相文件输出到一个与PC3000卡相连的另外一个硬盘上。
3、这个模式是从与PC3000卡相连的有缺陷的硬盘直接拷贝数据到另外一个作为第二主盘的硬盘上
用户的在所有的操作中有以下几点是相同的:
关闭被打开的任务。关闭任务开关会断开与PC3000卡相连的硬盘的连接。
连接与PC3000卡上的硬盘,硬盘上的数据会被读出或输出。
打开先前创造的任务。
用一个确切的模式操作读取或写下数据,改变参数,进一步来分析操作这个过程。
当你认为可以的时候关闭任务或结束进程。
从图形上看来这几个从缺陷盘上拷贝数据的模式非常简单:(图略)
在工作区的顶部有一个模式名称的标识。
在左侧的顶部是与PC3000卡相连的硬盘的参数。
在右侧的顶部显示的是对于某个单独模式的当前运行过程的关键信息。
在工作区中间显示的是程序进度的标志。
在工作区的右边有控制程序的按钮。
在工作区的底部显示的是当前寄存器上的硬盘的状态指示灯。
模式的控制特别的注意一下。这样,对数据的读写和输出的认识相对要简单一些,控制面版也是很相似,不同的是每一种动作输出的详细特性。
在所有的操作模式过程中,”start” “stop” “parameters” “statistics” “map” “repeat” 和”finish”.这些按钮的功能非常相似的:
“start”和”stop”按钮是允许和禁止进程的操作。
“finish”按钮关闭当前已经打开的任务。
“parameters”按钮允许用户查看和改变当前工作模式的参数。按下它会出现一个对应的改变参数的模式窗口。
“map”按钮可以开关扫描程的地图。
“repeat”按钮重新开始结束的改变了参数的进程
按钮的有效性取决于当前任务的执行的情况。例如,当正在扫描或输出时,按钮“parameters”是不可用的(灰色)。
4.5.1缺陷硬盘的映象文件的创建
这个是从缺陷硬盘中读出数据并保存在一个已经格式化的普通硬盘上的模式,在这个硬盘中创建一个最大为1G的二进制文件的文件夹(imgXXX.bin,XXX是文件的数目).最初,这个模式打算作为从缺陷硬盘中读取数据的主要模式。
它的主要优点是可以从缺陷硬盘中重复的读出最初的数据便于以后分析和恢复数据。
这个模式最根本的缺陷是很浪费时间,因为它是一对一的两个过程,扫描后然后输出,对于一个大于1G的盘大约要20-30分钟。也就是说,一个容量为30G的硬盘输出数据大约要12-15小时,大量的时间扫描会导致硬盘的破坏加深。
鉴于以上情况,在开始读取数据之前,扫描过程中的参数定义是非常重要的,扫描要达到什么样的目的,事先要明确,然后通过控制按钮“patameters”来设置必要的参数。
在按了这个按钮之后屏幕上会出现一个设置扫描参数的窗口:(图略)
在创建了一个任务后,所有的参数都作为一个默认的值被确定下来,改变这些参数必须要按”Apply”按钮来应用它们。
下面是扫描参数的列表:
参数名称
1 开始的LBA地址
1 结束的LBA地址
2 读取等待
3 电源开关
4 跳过的大小
5 重复读取
6 重复的准备
7 使用硬件重复
8 跳过读取失败的扇区
9 读取时忽略CRC(CRC 循环冗余码校验)
- 121.204.201.* 楼主
-
