文档详情

8.2-手工恢复分区表(主表一).doc

发布:2019-09-24约2.15千字共8页下载文档
文本预览下载声明
第八章 灾难数据急救 实验二 8.2 手工恢复分区表(主表一) 实验目标: 让学生掌握删除文件恢复 硬件要求: CPU:2.0G以上 内存:512MB以上 硬盘:6G以上空间 软件要求: Connectix Virtual PC 5.1 Windows 2000 Server 系统镜像 FinalData Enterprise 2.0 Acronis DiskEditor EasyRecovery Professional Advanced EFS Data Recovery UltraEdit hd_copy WinHex 备注: 实验描述: 本实验主要实现一下目的: 让学员了解如何对于主表结构的分区表进行恢复 熟悉磁盘分区的基本结构 如何找到第一个分区, 如何分辨分区类型 如何识别分区起始地址 如何识别分区大小 如何计算下一个分区起始地址 区别FAT分区与NTFS分区的差别 实验步骤: 1. 打开我的电脑察看系统分区情况,本测试系统中挂接两块硬盘,第一块C盘,E盘,第二块硬盘F盘(实验1),G盘(实验2),H盘(实验3),I盘(实验4)。本次实验我们主要是对硬盘二的分区表进行手工重建。 2. 打开桌面上软件Acronis DiskEditor准备开始对磁盘进行手工编辑 3. Acronis DiskEditor启动后显示一下界面 4.选择要编辑的硬盘,点击菜单Disk-Open,显示如下界面,选择第二块硬盘OK 5,切换视图显示方式点击菜单View-as Hex 6.显示FDT磁盘分区表,在这里我们可以看到55AA分区表结束标识,以及分区表项。 7,点击菜单Edit-Fill显示如下窗口 8.将分区表用0填充,之后保存并关闭Acronis DiskEditor 9 到系统硬件管理中去找到对应硬盘,点击硬盘并点右键菜单停用 10.然后点击启用 11.这个时候我的电脑中的第二块硬盘中的分区信息都全部丢失了 12.下面就开始手工恢复分区表了 再次启动Acronis DiskEditor,Disk-Open,显示如下界面,这个时候就会发现,第二块硬盘显示的是,Unallocated,空间未分配。我现在就要开始恢复了 ,选择第二块硬盘OK。 13.下面就开始手工恢复第一个分区,光标选中的区域为第一分区的 13.第一分区起始位置在63扇区,跳转到63扇区 14.第一个分区的DBR,将下图中标识的关键位置,写入到磁盘分区表中对应位置 15.保存修改,关闭Acronis DiskEditor,到硬件管理器中停止,启动该硬盘,然后打开我的电脑查看硬盘是否已经恢复,是否能正常使用。如果不正常则检查前面步骤. 16第二个分区 第一个分区起始位置+第一个分区大小=第二个分区的DBR的位置 00 00 00 3F+00 5D A3 BF=00 5D A3 FE 17.将00 5D A3 FE转换成十进制数字为6136830 18.找到第二个分区的DBR系统引导记录,通过分析得到,该分区为HTFS分区,按照NTFS分区的分配方式确定,分区起始位置字段,分区大小字段,并将结果写到分区表中。加上结束标志55AA 19. 保存修改,关闭Acronis DiskEditor,到硬件管理器中停止,启动该硬盘,然后打开我的电脑查看硬盘是否已经恢复,是否能正常使用。如果不正常则检查前面步骤. 20. 第三个分区 第二个分区起始位置+第二个分区大小=第三个分区的DBR的位置 00 5D A3 FE +00 20 1C C2=00 C 21.将00 5D A3 FE转换成十进制数字为8241344,跳转到指定分区.发现一个NTFS分区表,但是在此分区表中的”起始地址”和”分区大小”和上一个分区是一样的有点奇怪,其实这个分区表是NTFS分区的备份分区引导记录,放在本分区的最后一个扇区.所以真正的分区表在,下一个扇区. 22.下移一个扇区,正好显示的是上一个扇区备份分区引导记录,和当前分区引导记录,这里就是真正的分区引导记录,我们找到分区”起始位置”,”分区大小”,并将其填入分区表. 23.计算下个分区起始位置 00 7D C0 C1 +00 3F 7D 42=00 BD 3E 03 24.保存修改,关闭Acronis DiskEditor,到硬件管理器中停止,启动该硬盘,然后打开我的电脑查看硬盘是否已经恢复,是否能正常使用。如果不正常则检查前面步骤. 25. 将00 BD 3E 03转换成十进制数字跳转到指定分区.发现结构和
显示全部
相似文档