一个心存侥幸自己呈能,导致数据丢失的典型案例

昨晚加班到近十点才回家。同事送过来一块大C盘(MODEL:HTS542516K9SA00,SN:WGC095YC),说是兴坪某科研所送过来的。

问同事咋回事,同事说是大C盘。

既然是大C,问题应该很简单,分区表。只要精确定位即可。

同事说已经修复分区表的问题,但$BitMap出错,无法访问。

打开底层,看到了同事修正后的DPT:

很正常。两个分区,一个20GB,另一个约130GB。

同事说客户重要数据在后一个分区。那打开第二个分区看看。

果然是$BitMap文件i报错,导致MFT、根目录文件都无法加载。

看第二分区的$Boot文件的BPB参数表:

$MFT文件取值0a52e1的定位不是不可以,但这样的参数并不常见。

转跳676577簇,看$MFT:

$MFT正常存在,共占据4852个簇,右上表为详细的簇列表。理论上这个分区里已经记录了约19400个文件。同时注意到,$MFT只有一个DATARUN,表明$MFT是连续存放的,不存在碎片。

既然问题出在了$BitMap文件,我们就重点关注它。跳6号文件:

$BitMap文件记录良好,存放始于10158734号簇,连续占用1033簇。

再转10158734号簇:

呵呵,一团乱麻。疑似被什么数据覆盖。

由于$MFT被数据覆盖,接下来,我们看看原来的19400个文件记录里还剩下多少:


 

结果出来了,只有417个。原来正常存储的将近19400个文件,现在要恢复,要保持原来的目录结构和文件名,是一件不可能的事,也就是说,假设原来的文件体没覆盖,最好的恢复结果,除了最多400个文件(必须剔除元数据文件)有名字,其他只能是按文件类型恢复。要知道,即使19000个文件能恢复出来,这些文件只能保留一个数据编号,那后期的文件整理工作量也是相当大的。

一个正常的文件系统,$MFT是不会被系统数据所改写的。这些写入的数据,只可能是后期写入。考虑到客户是重装系统变的大C盘,那这些数据的写入时间,应该在系统重装的同时,或者以后。

下面,让我们看看到底是什么数据覆盖了原第二个分区的$MFT。

客户拿盘过来时,是一个160GB的大C盘,所以我下边对分区进行还原,回复客户拿过来的初始状况:


更改DPT参数,保存,卸载,再加载:


OK。现在大C盘已经正常解析出来了。

通过下面的图,我们可以看到,系统的重装时间为:2102-08-20 21:38:35


在这里,我们还看到客户从2012-08-25 中午12点开始,从网上下载一些数据恢复软件,试图自己进行数据恢复所作的尝试:


这些个软件都大名鼎鼎,网上的相关介绍,想必能看到这篇文章的人都看过,总之,功能都是无比强大——“无敌”、“超级”、“EASY”……。不信的话,你google一下试试。

网上这些个软件,在一定的条件下,有时真还能起点作用,但想靠这些个傻瓜软件一切问题,并不现实。

不幸的是,这一回,客户所做的努力,其结果并不是她所期待的。否则,这块硬盘也不会送到我的手上来。

转正题。还是以我们前边看到遭破坏的原第二分区的3095号MFT记录为例:

注意到原第二分区的起始位置为:41945778 SEC,则原3095号记录相对于大C盘所在扇区号应为:41945778+686577*8+3095*2-63=47364521 SEC。

按此数跳转:


看到没?当前文件为:\Program Files\OkDataRecovery\OkDataRecovery.EXE。

回过头来看看这个文件的写入时间:2012-08-19 23:36:26。8月19日的晚上十一点半,如果客户电脑时钟没错的话。


从时间顺序上看,客户从8-19开始试图对丢失的数据进行恢复。直到8-25还在尝试用不同的软件恢复。但十分不幸的是,安装的第一个数据恢复软件,就造成的$MFT的覆盖。后边陆续写入的数据,加重了覆盖程度。

用另一个工具,我们统计一下客户在8月20日以后的数据写入量,达2.93GB。


OK。分析到此,本案例可告一段落了。

通过本案例的解析,希望能看到些文章的读者,能领悟到些什么。

最后提醒一下:

第一,重要数据丢失,别轻易往原盘写任何数据!要知道,被覆盖数据是不可恢复的。

我们的这位客户,本想自己通过一些软件来恢复已经丢失的数据,没想到,自己的不规范操作,使得自己成为了这些重要数据的真正杀手。

第二,寻求专业数据恢复机构或者数据恢复专业人员的帮助!

现在的数据恢复市场鱼龙混杂。电脑城里,随处可见到一些小摊上,挂一块“数据恢复的”牌子就号称数据恢复的。其实,这些小摊中,绝大多数人的能耐,也就是在网上Down些傻瓜软件,随意扫描一下,出来些数据就管收钱,他们并不关心你丢失的数据是否真正找回。他们所能做的,你也能做。我真还接到过不少在这样的小摊上恢复失败再送过来的例子。其中的很大一部分,有不同程度的数据覆盖。

真正有实力的专业机构,通常是租用专用的写字间作为办公场地,他们有着较完善的专业设备、专业知识和专业技能。也有与常人不同的职业责任感。

第三,真正的重要数据,要有备份。而且是备份于不同的存储介质上。

数据无价,务必谨慎!


评论