破坏主分区表并手工恢复

2020-05-09 13:20:00
admin668
原创
775
MBR位于硬盘的第一个扇区,是很多病毒或攻击的主要对象。MBR中的引导程序可以通过一些软件修复,但是分区表却因每台计算机的具体情况不同而不能采用某种模式来完成。
通过本任务,可以让大家掌握如何手工恢复分区表的方法,加快计算机数据恢复的速度。
【内容】
(1)手工破坏MBR。
(2)恢复MBR中的引导程序。
(3)手工恢复MBR中的主分区表。
(4)测试数据。
【步骤】
步骤1:新建虚拟硬盘。

新建如图282所示的虚拟硬盘,并在每个分区中复制一些文件,以待测试。

步骤2:手工破坏MBR。
选中整个MBR扇区,右键单击后选择“编辑一填充选块”,用00填充整个MBR后保存
(建议先将硬盘的MBR复制一份,以方便最后数据重写后对比)。然后在“计算机管理”界面将虚拟硬盘分离,如图2.83所示。分离后再在“计算机管理”界面选择“操作-附加HD附加进刚才分离的那个虚拟硬盘

虚拟硬盘分离后再附加,相当于一台计算机重启。重启完成后,整个硬盘的分区情况就变成

步骤3:恢复引导程序。
方法一:使用 Disk Genius软件恢复MBR的引导程序
方法二:复制同一型号硬盘的引导程序,直接粘贴到本硬盘中(将光标放置在MBR中的第一个字节处,再右键单击选择“编辑一剪贴板数据一写入”)
引导程序恢复回来后,主分区表却仍然是空白的,接下来需要手工恢复主分区表。
步骤4:搜索硬盘结构。
手工恢复主分区表的关键之处就在于分清楚哪些地方是MBR,哪些地方是EBR,哪些地方是文件系统的开始,哪些地方是文件系统的结尾。
所有的MBR、EBR、DBR,还有部分的系统数据都会以“55AA”为结束标记,因此要想手工恢复分区表,重点就是搜索“55AA”的结束标记,并判断出其类型。
点击“搜索一查找十六进制数值”,如图2.88所示,然后在搜索对话框中设置为如图289所示数据。
第一次搜索的肯定是0扇区(MBR以“55AA”结束),想搜索下一个符合条件的,只需要按F3键。下一次找到如图2.90所示的扇区。左下角表明当前为128号扇区,此扇区的头部数据说明此处是某NTFS文件系统DBR此时,将搜索到的扇区数和扇区特征记录下来,如表25所示。
再按F3键,发现下一个符合条件的是102527号扇区,且从其牲征上来看仍然是NTFS文件系统的DBR。再次记录数据,如表2.6所示。
再继续按F3键搜索,发现102528号扇区符合搜索条件,其扇区特征显示为:MSDOS5.0,即FAT32文件系统,如图291所示。继续搜索,会发现如图292所示的扇区。此扇区不像是EBR,因为EBR的特征是除了“55AA”最后32个字节为0,逻辑分区表后两表项全为0分区表的第一项一定有数据。第二项可能有也可能没有数据。
也不像是DBR(DBR的头几个字节表示当前文件系统类型)。因此暂时跳过此扇区,继续搜索。
步骤5:分析硬盘数据。
1)NTFS文件系统的第一个和最后一个扇区是以“55AA”结束(这是由NTFS文件系统的特性决定的,后面章节再具体说明)。
(2)FAT32文件系统的第一个扇区以“55AA”结束,第六个扇区可能也以“55AA”结束(第六扇区是第一扇区的备份,具体内容后面章节再具体说明)
经过分析后,可得出分区情况如图2.93所示。现在进行数据计算第一主分区
其起始位置是128,转换成十六进制后为80;将其填充为四个字节为:00000080,然后高低字节换位为:80000000。
其结束扇区为:102527,所以本分区的总扇区数为102527-128+1=102400。转换为十六进制为19000,填充为四个字节为:00019000,高低字节换位为:00900100。
请读者使用相同的方法分析出后面几个分区的起始扇区和总扇区数。
步骤6:向MBR的分区表中写入数据。
分区表的各字节中数据的填入方法如表29所示。
请读者自行补充完整表2.9步骤7:恢复结束标记。
在MBR的最后两个字节处手工写入“55AA”即可。
步骤8:恢复后的数据验证。
恢复成功后,分别打开各个分区,看里面的数据有没有找回来。此时还可以对比来看破坏前的MBR和手工恢复后的MBR,仔细看里面的数据,看哪些数据有改变?

文章分类
数据恢复知识