以下内容为ReclaiMe Pro官方提供的 RAID 数据恢复培训内容。
ReclaiMe Pro 是复杂 RAID 数据恢复的首选软件,天津鸿萌科贸发展有限公司是 ReclaiMe Pro 软件在中国的授权代理商。
ReclaiMe Pro 官网的系列培训内容采取了练习与练习讲义相结合的方式,以专业思路,指导用户学习 RAID 的分析与恢复方法。以下是 GPT 分区的恢复方法,大家觉得怎样,欢迎更多点评。
一、分区恢复练习
任务 - GPT 分区恢复
恢复分区时,数据恢复技术人员必须在磁盘浏览器中分析基本分区结构,能够 发现并在某些情况下纠正一些特殊和不正规的地方。 在使用 GPT 方案的分区中,主要结构是 GPT 表头和分区表。GPT 头位于物理扇区 1 中,可以在GPT头之后立即找到分区表。
在此任务中,您可以下载一个 VHD 磁盘镜像文件,里面有一个GPT分区被格式化为了某种Windows 文件系统。 分区里面有一个文本文件,我们需要访问这个文件。您的任务是:
- 确定扇区大小
- 修复 GPT 数据中的一个错误
- 通过文件恢复来读取文件
- 解释为什么需要进行文件恢复,即为什么不能在Windows中直接加载这个磁盘。
下载磁盘镜像文件
从以下地址下载1 个磁盘镜像文件(300 KB):
https://www.data.recovery.training/disk-images/partition-gpt.zip
二、练习讲义
任务 - 恢复GPT分区
首先打开磁盘管理器并加载 VHD 文件( 操作 -> 加载 VHD)。请注意,不要将 VHD 文件设置为只读,因为我们要对其进行编辑。
点击输入图片描述(最多30字) 磁盘管理器中没有显示出磁盘里的分区。启动 ReclaiMe Pro,选择磁盘(Msft虚拟磁盘)并单击磁盘编辑器。首先可以看到位于0扇区的保护性MBR。移动到下一个扇区(512 字节 旁边的向下箭头),GPT头应该在这里。但令人惊讶的是,这里什么都没有。
点击输入图片描述(最多30字) 我们可以得出结论,要么 GPT 已经损坏到完全没有痕迹,要么它在其他地方,因此 512 字节的扇区大小肯定是不正确的。有两种方法可以找到GPT头:
- 使用向下箭头(512 字节)在磁盘上移动到更大的 LBA。这是最简单的方法,因为GPT位于第一个物理扇区。
- 使用磁盘编辑器窗口底部的ReclaiMe Pro搜索功能(对象 -> GPT 头 )。然而,需要注意的是,我们不推荐使用此选项,因为在恢复过程中,查看实际数据总是非常有用的(只需向下滚动扇区)。
通过浏览磁盘,我们发现 GPT 头位于 LBA 4;因此,该磁盘的物理扇区大小为 4 ∗ 512 = 2048 字节。LBA和物理扇区经常会发生混淆。需要始终关注您使用的扇区大小。当我们指物理扇区大小时,我们使用 "扇区"这个词(无论物理扇区大小如何),使用LBA表示512 字节扇区(无论物理扇区大小如何)。在处理不含存储物理扇区大小信息的磁盘镜像文件时,经常会出现这种混淆。
ReclaiMe Pro磁盘编辑器以物理扇区为单位在磁盘上移动(双击紫色值),因此要获得正确的对应关系,需要在Bytes per sector(每扇区字节数)字段中设置正确的扇区大小(在我们的例子中为2048字节)。否则,物理扇区中显示的所有值都应乘以4。
然后,我们需要检查GPT头备份扇区。单击Backup header physical sector,并确认它是否显示正常。
点击输入图片描述(最多30字) 然后转到 Partition array physical sector(分区阵列物理扇区)。虽然我们在左侧看到了一些数据,但似乎仍然存在问题,因为在界面右侧没有显示任何数据。
点击输入图片描述(最多30字) 如果在自动浏览模式中,没有识别成功,这通常表示有些问题。如果数据状态足够好,自动识别就能正常工作。
要了解问题所在,我们需要将自动模式切换为手动模式。单击 " 查看模式 " -> " 分区表 " ->"GPT 分区表 "。分区类型看起来正确;但是,在基本数据分区中,我们看到第一个物理扇区为0,这表示第一个(Microsoft 保留)分区位于第二个(基本数据)分区内部。
点击输入图片描述(最多30字) 这不可能。因此,我们应更正基本数据分区的第一个物理扇区值。
要确定该值,我们需要用最后物理扇区数减去分区大小。要了解分区大小,需要双击最后物理扇区数,然后从手动模式切换回自动模式。跳转到备份NTFS启动扇区,我们看到分区中的扇区数等于28 244 991。
点击输入图片描述(最多30字) 28 311 039 - 28 244 991 = 66 048(我们的第一个物理扇区)。现在将计算值转换为十六进制值:66048 = 0x10200,然后返回到 GPT 分区表,单击First physical sector (第一个物理扇区 ),然后Enable editing (启用编辑), 进行更正,然后单击 Commit (提交) 。由于GPT使用所谓的小端模式编码,因此应从最右边的字节开始向左边写入数值,即00 02 01 00。
注意:在开始编辑数值之前,请再次确认您要编辑的是第一个物理扇区,而不是其他扇区。
点击输入图片描述(最多30字) 现在,我们需要确保我们所做的一切都是正确的,并更正了我们需要更正的内容。首先想到的是进入 "磁盘管理器"并希望在分析的磁盘上看到分区。但是,没有看到,因为此 VHD 文件中的扇区大小与实际扇区大小不符。为确保正确完成任务,我们应再次启动ReclaiMe Pro,并在"磁盘和镜像扫描选项"窗口中指定 GPT。ReclaiMe Pro 扫描设备后,会在当前分析的磁盘上检测到一个分区。选择分区并点击开始扫描。几秒钟后,点击 NTFS 文件夹,即可看到我们的文本文件。
需要指出的是,还有其他方法可以解决这一问题:
使用ReclaiMe Pro的自动搜索功能找到NTFS主引导扇区,然后进行相同的计算,而不是进入备份NTFS引导扇区。
结论
我们确定了扇区大小- 2048 字节,并在 GPT 分区表项目中发现了错误:数据分区的第一个物理扇区值不正确。然后,在目标分区上,我们能够进行文件恢复并查看文件。至于为何需要进行文件恢复才能访问文件,这是因为 Windows 认为 VHD 文件中使用的扇区大小为 512 字节,而在本例中并非如此;这就是无法在 Windows 中加载分区的原因。