以下内容为 ReclaiMe Pro 官方提供的 RAID 数据恢复培训内容。
ReclaiMe Pro 是复杂 RAID 数据恢复的首选软件,天津鸿萌科贸发展有限公司是 ReclaiMe Pro 软件在中国的授权代理商。
本系列文章采取练习与练习讲义相结合的方式,以清晰的专业思路,循序渐进地指导用户学习磁盘数据的分析与恢复方法。
现在,跟着数据恢复专家一起来学习吧!
任务 - GPT 分区恢复
恢复分区时,数据恢复技术人员必须在磁盘浏览器中分析基本分区结构,能够发现并在某些情况下纠正一些特殊和不正规的地方。在GPT分区中,主要结构是 GPT 表头和分区表。GPT 表头位于物理扇区 1 中,可以在表头之后立即找到分区表。
在此任务中,你可以下载一个 VHD 磁盘镜像文件,里面有一个GPT分区被格式化为了某种Windows 文件系统。 分区里面有一个文本文件,我们需要访问这个文件。你的任务是:
下载磁盘镜像文件
从以下地址下载1 个磁盘镜像文件(300 KB):
https://www.data.recovery.training/disk-images/partition-gpt.zip
任务 - 恢复GPT分区
首先打开磁盘管理器并加载 VHD 文件( 操作 -> 加载 VHD)。请注意,不要将 VHD 文件设置为只读,因为我们要对其进行编辑。
磁盘管理器中没有显示出磁盘里的分区。启动 ReclaiMe Pro,选择磁盘(Msft虚拟磁盘)并单击磁盘编辑器。首先可以看到位于0扇区的保护性MBR。移动到下一个扇区(512 字节 旁边的向下箭头),GPT表头应该在这里。但令人惊讶的是,这里什么都没有。
我们可以得出结论,要么 GPT 已经损坏到完全没有痕迹,要么它在其他地方,因此 512 字节的扇区大小肯定是不正确的。有两种方法可以找到GPT表头:
通过浏览磁盘,我们发现 GPT 表头位于 LBA 4;因此,该磁盘的物理扇区大小为 4 ∗ 512 = 2048 字节。LBA和物理扇区经常会发生混淆。需要始终关注您使用的扇区大小。当我们指物理扇区大小时,我们使用 "扇区"这个词(无论物理扇区大小如何),使用LBA表示512 字节扇区(无论物理扇区大小如何)。在处理不含存储物理扇区大小信息的磁盘镜像文件时,经常会出现这种混淆。
ReclaiMe Pro 磁盘编辑器以物理扇区为单位在磁盘上移动(双击紫色值),因此要获得正确的对应关系,需要在Bytes per sector(每扇区字节数)字段中设置正确的扇区大小(在我们的例子中为2048字节)。否则,物理扇区中显示的所有值都应乘以4。
然后,我们需要检查带有备份表头的扇区。单击Backup header physical sector,并确认它是否显示正常。
然后转到 Partition array physical sector(分区阵列物理扇区)。虽然我们在左侧看到了一些数据,但似乎仍然存在问题,因为在界面右侧没有显示任何数据。
如果在自动浏览模式中,没有识别成功,这通常表示有些问题。如果数据状态足够好,自动识别就能正常工作。
要了解问题所在,我们需要将自动模式切换为手动模式。单击 " 查看模式 " -> " 分区表 " ->"GPT 分区表 "。分区类型看起来正确;但是,在基本数据分区中,我们看到第一个物理扇区为0,这表示第一个(Microsoft 保留)分区位于第二个(基本数据)分区内部。
这不可能。因此,我们应更正基本数据分区的第一个物理扇区值。
要确定该值,我们需要用最后物理扇区数减去分区大小。 要了解分区大小,需要双击最后物理扇区数,然后从手动模式切换回自动模式。跳转到备份NTFS启动扇区,我们看到分区中的扇区数等于28 244 991。
28 311 039 - 28 244 991 = 66 048(我们的第一个物理扇区)。现在将计算值转换为十六进制值:66048 = 0x10200,然后返回到 GPT 分区表(Back -> 8 as GPT entries),单击First physical sector (第一个物理扇区 ),然后Enable editing (启用编辑), 进行更正,然后单击 Commit (提交) 。由于GPT使用所谓的小端模式编码,因此应从最右边的字节开始向左边写入数值,即00 02 01 00。
注意:在开始编辑数值之前,请再次确认您要编辑的是第一个物理扇区,而不是其他扇区。
现在,我们需要确保我们所做的一切都是正确的,并更正了我们需要更正的内容。首先想到的是进入 "磁盘管理器"并希望在分析的磁盘上看到分区。但是,没有看到,因为此 VHD 文件中的扇区大小与实际扇区大小不符。为确保正确完成任务,我们应再次启动ReclaiMe Pro,并在"磁盘和镜像扫描选项"窗口中指定 GPT。ReclaiMe Pro 扫描设备后,会在当前分析的磁盘上检测到一个分区。选择分区并点击开始扫描。几秒钟后,点击 NTFS 文件夹,即可看到我们的文本文件。
需要指出的是,还有其他方法可以解决这一问题:
使用 ReclaiMe Pro 的自动搜索功能找到 NTFS 主引导扇区,然后进行相同的计算,而不是进入备份NTFS引导扇区。
结论
我们确定了扇区大小- 2048 字节,并在 GPT 分区表中发现了错误:数据分区的第一个物理扇区值不正确。然后,在目标分区上,我们能够进行文件恢复并查看文件。至于为何需要进行文件恢复才能访问文件,这是因为 Windows 认为 VHD 文件中使用的扇区大小为 512 字节,而在本例中并非如此;这就是无法在 Windows 中加载分区的原因。