如何在没有数据恢复软件的情况下恢复自己的数据

2017年8月17日 通过 萨姆·威尔特郡

鉴于你’重新阅读数据恢复公司的博客,您可能已经知道 “deleted”数据不会立即从驱动器中消失, it is simply marked for overwriting 通过 the operating system. With the right tools, this 已删除 data can be recovered quite easily.

应当指出,几乎不建议进行DIY数据恢复。 DIY恢复尝试通常会使损坏变得更糟,这通常意味着数据不可恢复。唯一的例外是商业数据恢复软件 工具,包括Ontrack EasyRecovery。但是,如果您想学习一些基本的数据恢复技术,则可以使用十六进制编辑器轻松搞定。

但是,在继续阅读之前,必须了解使用十六进制编辑器更改文件群集可能会导致数据永久丢失。因此,您应该只使用一次性硬盘驱动器或USB闪存驱动器。如果你想保留 您r data

最后的警告

我们不建议您尝试使用这些技术自行恢复实际丢失的文件,因为还有很多其他因素可能影响恢复,包括物理损坏或多个文件的存在。本博客文章的意图 纯粹是为了教育。

如果你 are in any doubt at all, please download a free trial of 步入正轨 EasyRecovery , 要么 与我们的一位数据恢复顾问联系.

好吧,顺便说一句,让’s begin.

套件清单

如果你 are determined to try to recover 已删除 files from your NTFS drive, you will need the following:

  • The drive containing the 已删除 data – Remember, this should be a drive with data that can be lost. We would recommend using a USB flash drive with a single 已删除 file on it.
  • 主机PC执行文件恢复操作
  • 十六进制编辑器(我们建议 WinHex )
  • 第二个驱动器,用于将恢复的数据复制到
  • The name of the 已删除 file

将两个驱动器连接到PC,启动十六进制编辑器,然后’re ready to begin.

入门

使用十六进制编辑器进行数据恢复的过程分为三个步骤:

  1. Scanning the disk to identify 已删除 files (or entries)
  2. Identifying the clusters chain for the 已删除 file of interest
  3. Recovering the clusters that contain the 已删除 file

It is important to note that not every file can be recovered. If the clusters containing your 已删除 files have been overwritten, you the data is almost certainly gone. This is why we always recommend 停止立即使用丢失数据的设备, 因为数据丢失后的任何活动都可能导致这些群集被覆盖。

1.扫描NTFS卷

Using the search function built into your hex editor, scan the drive for the name of the file that was 已删除. In this example, we’重新寻找名为的PowerPoint演示文稿“My Presentation.ppt” –十六进制编辑器将返回 像这样的字符串:

 NTFS字串

在右侧列中,您可以将文件名识别为 M.Y. 。介绍…p.p.t.€

在磁盘搜索返回的众多属性中,有一个称为 标志 ,位于文件记录标题的22个字节中– it’s在上图中以红色突出显示。如果该字段设置为 1,文件是 “in use”, or not 已删除. In our example, the field is set to 0, which means that 我的Presentation.ppt 具有 been 已删除.

搜索还会返回以下值: 簇的大小, 压缩单元尺寸, 属性的分配大小, 属性的实际大小 数据运行 属性。使 这些值的注释– you’在恢复过程的第二阶段将需要它们。

2.定义磁盘集群

接下来,您需要重新扫描驱动器,遍历所有文件群集,直到您确定等于所选群集的文件大小。 NTFS文件系统为每个文件分配一个 _数据_ 定义的属性“data runs”, 依次指向需要恢复的文件群集的位置。

在继续之前,您需要解密运行的数据。考虑十六进制编辑器中的以下代码片段:

NTFS片段

这是事情变得更加复杂的地方:

  • 第一个字节(0x31)显示为数据游程的长度分配了多少个字节,在此示例中为0x1,而第一个群集偏移量为0x3。
  • 下一页字节– 0x6E –显示数据运行的长度。
  • 以下三个字节指示起始群集偏移量– 0xEBC404.
  • 通过更改字节顺序,我们发现第一个群集为312555(或十六进制的0x04C4EB)。
  • 通过应用上面确定的数据游程的长度,我们知道接下来的110个群集(0x6E)包含我们的PowerPoint演示文稿。

我们知道这是正确的,因为下一个字节为0x00,表示没有进一步的数据运行。

恢复集群链

确定集群链后,最后一项任务是复制“deleted”数据返回到另一个硬盘。使用步骤2中标识的第一个群集地址(312555),然后复制其后的110个群集– but first you 需要计算第一个群集的偏移量。

您可以这样做,将集群大小(512)乘以第一个集群地址,如下所示:

512 * 31255 = 160028160

然后,需要将该值转换为十六进制,从而为您提供了一个偏移量,该偏移量标志着丢失数据的开始= 0x0989D600

通过复制接下来的110个群集(512 * 110 = 56320字节 )到第二个驱动器,您将成功恢复“deleted”NTFS分区中的文件。

这值得么?

尽管可能,但显然以这种方式恢复数据非常耗时,并且可能导致进一步的数据丢失。如前所述,有许多组合和排列会影响数据的成功或失败。 复苏。同样,该帖子仅用于教育目的。

如果你’d想了解有关如何存储和恢复数据的更多技术内容,请通过Twitter告诉我们: @OntrackUKIE .

图片学分: NTFS.com

载入更多评论
谢谢你的意见!您的评论必须先获得批准


新密码