U盘数据恢复笔记(2)

天堂雨

在上一个贴子中,已查看U盘,发现无法正常打开,但用R-STUDIO可以找到文件

下面用WINHEX分析看看磁盘

可以看到有一个磁盘分了一个EXFAT分区
磁盘引导扇区共计64K,其中第一扇区512字节中有描述信息

Inval id partition table
Error loading operating system
Missing operatV4.5system
技术细节报告显示:


移动存储介质 7
型号: Generic Flash Disk
序列号: 47B7****
固件版本号: 8.01
Bus: USB

总容量: 251,658,240,000 字节 = 234 GB
每扇区字节数: 512
扇区统计: 491,520,000
Read consistency: no anomalies detected

分区类型: MBR
Disk signature: 92185DC7
未分区空间: 0 扇区

分区 1
扇区 128 - 491,519,999
分区表: 扇区 0
文件系统： exFAT
总容量: 251,658,174,464 字节 = 234 GB
扇区统计: 491,519,872
每扇区字节数: 512
每簇字节数: 131,072
空余簇: 1,068,421 = 56% 空余
簇总数: 1,919,927
序列号: 4ACE14C6 (hex)
序列号: C614CE4A (hex, rev)
序列号: 3323252298 (dec, rev)

未使用的 分区间隙 空间:
扇区 0 - 127 (64.0 KB)
= 64.0 KB


使用模板管理器查看MBR主引导记录

查看EXFAT分区,

初步看来分区下的信息如下:
1.首扇区(0扇区)分区引导记录记录和数据是正常的.

2.第1扇区至23扇区可能数据异常,第12扇区是0扇区备份数据已损坏.

3.FAT文件分配表看起来是正常的

文件分配表项目0:F8FFFFFF,表示磁盘类型是硬盘
文件分配表项目1:FFFFFFFF,保留
文件分配表项目2和3:03000000和FFFFFFFF,表示文件分配表占用第2簇和第3簇.


3.簇位图$Bitmap和大写字符$UpCase和根目录未能正常显示,看来已损坏.
正常U盘见下图

查看分区首扇区(0扇区)分区引导记录参数
可见根目录在第5簇,每簇256个扇区(2^8=256),每扇区512字节(2^9=512).
每簇共计131072字节(512*256=131072).





转到第5簇根目录扇区,未能发现有效的目录项目,也没有簇位图$Bitmap和大写字母$Upcase,没有卷标项目,没有一般文件目录项目.
据此可判定根目录已损坏导致无法显示目录文件.
根据参数共计有1919927簇,在簇位图每位代表一簇,每8簇占1字节,共计1919927/8+1=239991字节,占用2簇,转到2簇3簇,查看可认为是$Bitmap簇位图.
$Bitmap簇位图之后是$UpCase大写字符表,转到4簇,其符合簇位图的形式.


簇位图$Bitmap在2-3簇

大写字符$UpCase在第4簇


因此数据恢复的思路为修改第5簇根目录项目数据项,正确记载簇位图$Bitmap,大写字符表$Upcase,卷标项目,以及设法恢复丢失的根目录文件夹项和根目录文件.
由于根目录已损坏,相应的根目录文件名和根目录文件也无法恢复,只能自行重新命名.

NMR

感谢分享              

cocowind

厉害。

多谢分享。

可以搞个博客，以供更多的网友学习折腾

toyton

好像很专业

toyton

发重复了，不好意思，昨天网络好像卡了一下

听风者

写了这么热闹，数据都恢复出来了吗？

听风者

建议用磁盘精灵重新搜索一遍看看有没有有用的分区表，这样恢复起来更快捷。

天堂雨

听风者 发表于 2023-7-16 18:21
写了这么热闹，数据都恢复出来了吗？

数据大部分恢复了.
建议可以从以下53本数据恢复类的图书找几本看看.

agent124

收藏备用，谢谢分享                 

linfangsh

感觉很厉害。学不会，术业有专攻，佩服中。

gongqi

给U盘治病和给人治病差不多。比如，要有诊断工具，要询问病史，要有大致套路。

有工具有套路，病人可以给自己治病吗？也不是完全不行，但还是交给楼主这样的专家更快更安全。

天堂雨

读书有方法,分层次阅读法讲究泛读、略读、精读.
泛读，就是随意浏览，感兴趣呢，就继续往下读，不感兴趣呢，就中止阅读。
略读呢，就是将泛读时选出的书，通读一遍。
精读，将略读时选出的可以精读的章节，逐字逐句阅读。

浏览完50多本,可选感兴趣的书精读,按图索骥就可以尝试自行恢复数据.
不差钱还着急要数据的主,可学冠_希式做法找专业机构维修及恢复数据的.

天堂雨

略读,就是将泛读时选出的书，通读一遍.
阅读图书目录也是可以的.
比如2010年出版的《数据恢复技术深度揭秘》

1. 封面
   
2. 书名
   
3. 内容简介
   
4. 序言
   
5. 前言
   
6. 目录页
   
7. 第一篇 数据恢复入门与进阶知识储备
   
8.         第一章 计算机中数据的记录方法
   
9.         第二章 现代硬盘的结构揭秘
   
10.         第三章 学习及研究数据恢复的基本工具
    
11. 第二篇 逻辑类数据恢复技术揭秘
    
12.         第四章 Windows 系统的数据恢复技术
    
13.                 4.1 Windows 系统的MBR 磁盘分区
    
14.                         4.1.1 主引导记录MBR 的结构和作用
    
15.                                 1．MBR 的结构
    
16.                                 2．MBR 的作用
    
17.                                         （1）引导程序的作用
    
18.                                         （2）Windows 磁盘签名的作用
    
19.                                         （3）分区表的作用
    
20.                                         （4）结束标志的作用
    
21.                         4.1.2 主磁盘分区的结构分析
    
22.                         4.1.3 扩展分区的结构分析
    
23.                         4.1.4 MBR 及EBR 被破坏的分区恢复实例
    
24.                                 1．案例基本情况描述
    
25.                                 2．分区丢失的原因分析
    
26.                                 3．恢复思路及方法
    
27.                                         （1）修复MBR 引导程序及结束标志
    
28.                                                 ① 复制法。
    
29.                                                         第 1 步复制引导程序和磁盘签名。
    
30.                                                         第 2 步写入故障盘。
    
31.                                                         第 3 步写入结束标志。
    
32.                                                         第 4 步清空分区表部分。
    
33.                                                 ② DOS 命令法。
    
34.                                                 ③ “初始化”法。
    
35.                                         （2）修复第一个分区
    
36.                                         （3）修复第二个分区
    
37.                                         （4）修复第三个分区
    
38.                                         （5）修复第四个分区
    
39.                         4.1.5 分区误删除的恢复实例
    
40.                                 1．案例基本情况描述
    
41.                                 2．恢复思路及方法
    
42.                                         （1）手工分析后用WinHex 重建
    
43.                                         （2）用WinHex 的自动分析功能重建
    
44.                                         （3）用专用分区恢复软件重建
    
45.                         4.1.6 系统误Ghost 后的分区恢复实例
    
46.                                 1．案例基本情况描述
    
47.                                 2．恢复思路及方法
    
48.                 4.2 Windows 系统的动态磁盘卷
    
49.                         4.2.1 动态磁盘概述
    
50.                         4.2.2 动态磁盘卷的种类及创建方法
    
51.                         4.2.3 动态磁盘LDM 结构原理详解
    
52.                                 4.2.3.1 动态磁盘的结构布局
    
53.                                 4.2.3.2 动态磁盘的私有头
    
54.                                 4.2.3.3 动态磁盘的LDM 数据库
    
55.                                 4.2.3.4 动态磁盘的实例分析
    
56.                         4.2.4 MBR 磁盘误转换为动态磁盘的恢复实例
    
57.                         4.2.5 动态磁盘扩展卷丢失的恢复实例
    
58.                 4.3 Windows 系统的GPT 磁盘分区
    
59.                         4.3.1 GPT 磁盘分区基本介绍
    
60.                         4.3.2 GPT 磁盘分区的创建方法
    
61.                         4.3.3 GPT 磁盘分区的结构原理
    
62.                         4.3.4 GPT 磁盘分区丢失的恢复实例
    
63.                 4.4 FAT16 文件系统详解
    
64.                         4.4.1 FAT16 文件系统结构总览
    
65.                         4.4.2 FAT16 文件系统的DBR 分析
    
66.                         4.4.3 FAT16 文件系统的FAT 表分析
    
67.                         4.4.4 FAT16 文件系统的FDT 分析
    
68.                         4.4.5 FAT16 文件系统目录项分析
    
69.                         4.4.6 FAT16 文件系统根目录与子目录的管理
    
70.                         4.4.8 FAT16 文件系统误格式化的分析
    
71.                         4.4.9 FAT16 文件系统DBR 手工重建的实例
    
72.                 4.5 FAT32 文件系统详解
    
73.                         4.5.1 FAT32 文件系统结构总览
    
74.                         4.5.3 FAT32 文件系统的FAT 表分析
    
75.                         4.5.5 FAT32 文件系统目录项分析
    
76.                         4.5.6 FAT32 文件系统根目录与子目录的管理
    
77.                         4.5.7 FAT32 文件系统删除文件的分析
    
78.                         4.5.8 FAT32 文件系统删除文件后目录项起始簇号高位清零的分析
    
79.                         4.5.9 FAT32 文件系统误格式化的分析
    
80.                         4.5.10 FAT32 文件系统DBR 破坏的恢复实例
    
81.                         4.5.11 FAT32 分区文件乱码的手工恢复实例
    
82.                         4.5.12 FAT32 分区被苹果电脑误格式化后的完美恢复实例
    
83.                 4.6 NTFS 文件系统详解
    
84.                         4.6.1 NTFS 文件系统基本介绍
    
85.                         4.6.2 NTFS 文件系统结构总览
    
86.                         4.6.3 NTFS 文件系统引导扇区分析
    
87.                         4.6.4 元文件$MFT 分析
    
88.                         4.6.5 文件记录分析
    
89.                         4.6.6 10H 属性分析
    
90.                         4.6.7 20H 属性分析
    
91.                         4.6.8 30H 属性分析
    
92.                         4.6.9 40H 属性分析
    
93.                         4.6.10 50H 属性分析
    
94.                         4.6.11 60H 属性分析
    
95.                         4.6.12 70H 属性分析
    
96.                         4.6.13 80H 属性分析
    
97.                         4.6.14 90H 属性分析
    
98.                         4.6.15 A0H 属性分析
    
99.                         4.6.16 B0H 属性分析
    
100.                         4.6.17 C0H 属性分析
     
101.                         4.6.18 D0H 属性分析
     
102.                         4.6.19 E0H 属性分析
     
103.                         4.6.20 100H 属性分析
     
104.                         4.6.21 元文件$MFTMirr 分析
     
105.                         4.6.22 元文件$LogFile 分析
     
106.                         4.6.23 元文件$Volume 分析
     
107.                         4.6.25 元文件$Root 分析
     
108.                         4.6.27 元文件$Boot 分析
     
109.                         4.6.28 元文件$BadClus 分析
     
110.                         4.6.29 元文件$Secure 分析
     
111.                         4.6.30 元文件$UpCase 分析
     
112.                         4.6.31 元文件$Extend 分析
     
113.                         4.6.34 元文件$Reparse 分析
     
114.                         4.6.35 元文件$UsnJrnl 分析
     
115.                         4.6.36 NTFS 的索引结构分析
     
116.                         4.6.37 手工遍历NTFS 的B+树
     
117.                         4.6.38 NTFS 的EFS 加密分析
     
118.                         4.6.39 NTFS 文件系统删除文件的分析
     
119.                         4.6.40 NTFS 文件系统格式化的分析
     
120.                         4.6.41 NTFS 文件系统DBR 手工重建的实例
     
121.                 4.7 ExFAT 文件系统详解
     
122.                         4.7.1 ExFAT 文件系统基本介绍
     
123.                         4.7.2 ExFAT 文件系统结构总览
     
124.                         4.7.3 ExFAT 文件系统的DBR 分析
     
125.                         4.7.4 ExFAT 文件系统的FAT 表分析
     
126.                         4.7.5 ExFAT 文件系统的簇位图文件分析
     
127.                         4.7.6 ExFAT 文件系统的大写字符文件分析
     
128.                         4.7.7 ExFAT 文件系统的目录项分析
     
129.                         4.7.8 ExFAT 文件系统根目录与子目录的管理
     
130.                         4.7.9 ExFAT 文件系统删除文件的分析
     
131.                         4.7.10 ExFAT 文件系统误格式化的分析
     
132.                         4.7.11 ExFAT 文件系统DBR 手工重建的实例
     
133.                         4.7.12 能够支持ExFAT 文件系统的恢复工具
     
134.                 4.8 Windows 系统RAID 恢复技术详解
     
135.                         4.8.1 RAID 基础知识介绍
     
136.                         4.8.2 RAID 级别详解
     
137.                         4.8.3 硬RAID 实现方法
     
138.                         4.8.4 软RAID 实现方法
     
139.                         4.8.5 RAID 数据恢复原理
     
140.                         4.8.6 RAID 起始扇区的分析方法
     
141.                         4.8.7 RAID 条带大小的分析方法
     
142.                         4.8.8 RAID 成员盘的盘序分析
     
143.                         4.8.9 RAID-5 校验方向的分析方法
     
144.                         4.8.10 RAID-5 数据同步与异步的分析方法
     
145.                         4.8.11 RAID 恢复工具一：WinHex
     
146.                         4.8.12 RAID 恢复工具二：R-studio
     
147.                         4.8.13 RAID 恢复工具三：Raid Reconstructor
     
148.                         4.8.14 RAID 恢复工具四：FileScav
     
149.                         4.8.15 RAID 恢复工具五：UFS Explorer
     
150.                         4.8.16 RAID 恢复工具六：Getway Raid Recovery
     
151.                         4.8.17 服务器专业硬盘与数据恢复工作机的连接方法
     
152.                         4.8.18 RAID 恢复实例一：Dell 服务器RAID-5 实例分析
     
153.                         4.8.19 RAID 恢复实例二：HP 服务器RAID-5 双循环实例分析
     
154.         第五章 UNIX 系统的数据恢复技术
     
155.         第六章 Apple 系统的数据恢复技术
     
156.         第七章 Linux 系统的数据恢复技术
     
157. 第三篇 物理类数据恢复技术揭秘
     
158.         第八章 硬盘物理故障的种类及判定
     
159.         第九章 硬盘电路板故障的数据恢复方法
     
160.         第十章 硬盘磁头组件故障的数据恢复方法
     
161.         第十一章 硬盘主轴电机故障的数据恢复方法
     
162.         第十二章 硬盘盘片故障的数据恢复方法
     
163.         第十三章 硬盘固件故障的数据恢复方法
     
164.         第14章 优盘物理故障的数据恢复方法
     
165.         14.1 优盘物理故障的表现及分类
     
166.         14.1.1 优盘物理故障的表现
     
167.         14.1.2 优盘物理故障的分类
     
168.                 1．优盘的结构原理
     
169.                 2．优盘的物理故障分类
     
170.         14.2 优盘物理故障的修复
     
171.                 14.2.1 补焊
     
172.                 14.2.2 替换晶振
     
173.                 14.2.3 替换主控芯片
     
174.                 14.2.4 替换闪存芯片
     
175.         14.3 用PC-3000 Flash 直接提取闪存芯片的数据
     
176.                 14.3.1 PC-3000 Flash 的工作原理
     
177.                 14.3.2 提取闪存芯片的数据
     
178. 参考文献

复制代码

附件是上楼12本图书的目录,有需要的可付积分下载.也同在论坛中查找相关的方法找到图书目录的网络下载途径.

cocowind

天堂雨 发表于 2023-7-28 16:17
本帖最后由 天堂雨 于 2023-7-28 16:39 编辑
略读,就是将泛读时选出的书，通读一遍.
阅读图书目录也是可 ...

这本书有第二版
https://book.douban.com/subject/30446020/
https://yd.51zhy.cn/ebook/web/newBook/queryNewBookById?id=525703