我们将尝试找出在这种情况下我们看不到数据的原因，以及如何使用PC-3000硬件-软件系统恢复数据。这篇文章将特别有利于那些刚刚开始迈出数据恢复第一步的人。

一点理论

让我们考虑一个驱动器上的典型数据组织，找出为什么我们不能通过操作系统工具访问数据。

磁盘空间分配的常用方案

要访问这里的文件，我们需要:

1. 读取扇区0中的MBR，其中我们了解到某个分区从扇区2048开始，占用了N个扇区；
2. 读取分区的扇区0，并在那里找到引导NTFS结构，以了解我们处理的是NTFS文件系统，因此我们可以获得一些关于其元数据的信息；
3. 查找文件系统的其他元数据，使用引导NTFS信息，显示用户的数据。

基本上，元数据可以分为3种类型:

1. 关于磁盘空间分配的元数据。在我们的例子中，它是MBR，但GPT，苹果分区方案，LDM和LVM结构等。也可以包含在这里。
2. 文件系统入口点这对于获取关于文件系统类型的信息是必要的，并且通常包含一些重要的参数。在我们的例子中，它是Boot NTFS，但是Boot for FAT和ExFAT、Superblock for EXT、XFS、UFS和ReiserFS也属于这一类。
3. 文件系统的其他元数据—所有存储目录和文件的位置、名称和属性信息的结构。这些是NTFS的MFT记录、FAT12/16/32的FAT表和目录、EXT的inode表等等。

如果出现类型1或类型2的元数据问题，操作系统可能会停止显示该分区。换句话说，我们将看到丢失分区的问题。

练习掌握您的数据恢复技能

在使用之前，您需要格式化驱动器中的磁盘

当您尝试打开具有损坏的引导FAT32的分区时，出现Windows消息

在大多数情况下，用户看到的是这条消息，而不是他们存储在闪存驱动器或带有FAT文件系统的外部HDD上的数据。这就是我们损坏主肥靴的后果。

说到分类，这是破坏文件系统入口点的情况。PC-3000系统知道启动副本存储在哪里，因此，如果它没有损坏，数据提取器内的分区将打开，无需任何其他操作。不过这个案例就没那么有趣了，我们再来看两个肥靴都损坏的案例。因此，该分区不会在Windows或数据提取器中打开。我们将尝试最简单的方法来获得结果——启动快速磁盘分析模式。

快速磁盘分析发现FAT32文件系统

虚拟分区FAT32是在发布后立即添加的。在右边，我们可以看到它包含哪些数据。如果我们现在返回到数据提取器文件资源管理器，那里已经有一个虚拟分区了。我们现在可以保存数据了。

无需深入细节，我们可以说FAT Boot包含打开文件系统的非常重要的数据，然而，FAT表和目录分析允许我们定义这些参数并构建一个人工FAT Boot。

我们发现的FAT32表允许我们开始这样的分析。它也可以从原始恢复启动，因为在下一个示例中，我们将为ExtX超级块启动它。

该方法基于以下观察结果:

• 分区通常彼此相邻，并且几乎完全覆盖磁盘，即分区之间的“间隙”以及磁盘“边缘”的边缘不超过几千个扇区；
• 磁盘组织上的元数据(包括副本)位于磁盘的开头或结尾；
• 文件系统及其副本的入口点通常位于分区的开头和结尾。

让我们考虑另一个磁盘组织的例子来说明这些观察结果。

带有GPT、FAT32和HFS+分区的磁盘

• 关于分区的信息的GPT结构位于磁盘的开始和结尾(MBR表示唯一的磁盘大小的分区，通常写在扇区0中的GPT结构之前)；
• FAT32分区的开头靠近磁盘的开头，它的引导——文件系统的入口点——位于分区的第一个扇区；
• HFS+分区几乎紧跟在FAT32分区之后，它的开头包含HFS+卷头——HFS+文件系统的入口点；
• HFS+分区结束接近磁盘末端，在分区末端有一个HFS+卷头的副本；
• GPT副本位于磁盘的末尾

如果我们处理一个未知的磁盘，扫描磁盘开头和结尾的空间是有意义的。如果您找到了有关分区位置的信息或者能够恢复整个分区，那么您可以将靠近分区开头和结尾的范围添加到您的搜索中，因为找到相邻分区的可能性很大。

这种扫描的目的是找到文件系统或结构的入口点，这将让我们恢复关于分区的信息(在这个例子中是FAT32表)。

快速磁盘分析扫描最“有趣”的范围，并随着扫描的进行自动放大它们。如果找到了合适的结构，就启动添加虚拟分区的方法。然后，所有恢复的分区都会显示在模式框中，在这里可以直接看到文件系统树。

格式化后还有生命吗？

“快速”格式化后恢复数据的可能性和方法是一个值得单独撰写的主题。然而，在某些情况下，这可能非常简单。让我们考虑这样一种情况:一个安装了Ubuntu(默认情况下会创建EXT分区)的驱动器被从计算机中提取出来，然后连接到另一个安装了Windows的驱动器，并格式化为NTFS。就在那之后，硬盘被送到了恢复室。

在这种情况下，我们也可以像以前一样运行快速磁盘分析。但是，让我们尝试另一种方法—启动原始恢复来检查驱动器。

原始恢复结果

NTFS分区从LBA开始:2048。EXT分区可能也是从这里开始的，但是我们不能确定。进一步，我们发现其他几个与NTFS相关的结构。在扇区264 192中，我们可以看到EXT文件系统的超级块副本之一。让我们陈述几个关于EXT文件系统的重要事实:

• 为文件系统分配的空间被分成相等的组(也许最后一组除外)。超级块中指示了组的大小。在本例中，它等于262144个扇区。
• 主超级块位于组0中，并被移位到1024字节。
• 主超级块的副本用shift 0写入其他一些组。这些是组1和其他组，它们的数量是3、5和7的幂。因此，数组的开头如下:0 (+1024字节)，1，3，5，7，9，25，…
• 不同分区的超级块很容易通过写在其中的GUID来识别。

这样的组织为我们提供了两种选择:

• 如果主超级块损坏，找到其副本的机会很大；
• 如果我们找到同一个分区的几个超级块，并定义它们在序列中的位置，我们就可以定义分区开始的确切位置。

这些选项是添加虚拟分区方法的基础，该方法可从ExtX超级块的上下文菜单中获得。

ExtX超级块上添加虚拟分区的运行方法

在我们的例子中，这个方法很容易定义分区的开始——也是扇区2048。如果我们返回到文件浏览器，我们会看到一个新的虚拟分区，它提供了对数据的访问。在这种情况下,“虚拟性”意味着Data Extractor不是从磁盘结构中获取有关分区的开始、大小和类型的信息，也不是从磁盘结构中获取其入口点(超级块),而是将其存储在特定的数据库中。

数据提取器浏览器中的Ext4虚拟分区

我们来总结一下上面的信息。

重新格式化后，包含所需数据的EXT文件系统的入口点被新文件系统(NTFS)的结构删除。原始恢复模式找到了EXT超级块。使用特定的方法，我们添加了虚拟分区并获得了对数据的访问。

前面的方法(快速盘面分析)在这里也可以应用。

不带MBR

Windows磁盘管理中带有已擦除MBR的驱动器

如果通常包含MBR的LBA = 0被损坏(坏扇区)，我们将在Windows磁盘管理中看到与上面截图类似的画面。现在不可能通过常规方式看到分区的数据，而这些数据是存在的。正如我们已经知道的，我们可以使用快速磁盘分析和原始恢复模式来解决问题。但是让我们尝试另一种方法，最不自动化的方法来更好地理解一切是如何工作的。

如果我们手动搜索分区，在大多数情况下，首先应该查找它们开始的地方:LBA 63、2048、264192、409640或2的幂，例如128、256、512等。

在LBA启动NTFS-2048

当我们打开扇区2048时，我们会看到典型的启动NTFS签名，即扇区开头的“NTFS”行。让我们使用将扇区视为引导NTFS结构的选项(View as…> Boot NTFS)，并查看相关字段是否有效。然后，我们从“服务”菜单添加一个虚拟分区。

虚拟分区添加

之后，我们可以在数据提取器文件浏览器中看到用户的数据。通过添加一个虚拟分区，我们跳过了从MBR或其他结构中确定分区开始的步骤，因为我们清楚地设置了新分区的开始和类型。由于引导扇区和其他NTFS元数据是正确的，因此所有用户数据在数据提取器文件资源管理器中都是可见的。

NTFS虚拟分区

我们从文章中学到了什么？

由于逻辑损坏(错误的驱动器格式化、病毒、软件错误等)。)或物理驱动器问题(坏扇区、划痕、磁头薄弱等)，您可能会面临“丢失分区”的问题。这是损坏的驱动器经常出现的问题。带有数据提取器的PC-3000系统是以最谨慎的方式处理受损硬盘的唯一解决方案。

分区丢失有两个最常见的原因:

1. 有关分区位置的信息已损坏(例如，MBR无法读取)
2. 文件系统入口点损坏(例如，启动或超级块被擦除)

带有数据提取器的PC-3000系统对此问题有几种解决方案。在本文中，我们讨论了如何:

• 使用快速磁盘分析自动找到丢失的分区
• 从原始恢复模式添加虚拟分区
• 从十六进制编辑器添加虚拟分区