任务3 分区表恢复

学习情境4硬盘数据恢复任务3分区表恢复一、案例描述客户经理接到客户的报修电话，告知其计算机无法启动。数据恢复工程师检查后发现硬盘可以识别但不能启动系统，丢失分区信息。请帮助客户恢复分区表信息，恢复出硬盘数据，解决问题后将过程记录存档并提交工作报告。二、工作任务通过案例描述，要求完成如下任务:分析硬盘分区表故障原因计划分区表故障的解决方案使用磁盘编辑工具手工恢复分区表使用其他磁盘工具修复分区表检查分区信息是否恢复撰写总结报告三、分组讨论分区表损坏有哪些现象？如何分析硬盘分区情况？如何修复分区表？123四、相关知识点–操作系统启动流程1.系统自检，加载硬盘主引导扇区2.主引导记录(MBR)执行引导功能3.遍历分区表，寻找启动分区4.加载启动分区的引导扇区5.在本分区中加载操作系统四、相关知识点–主引导扇区主引导扇区位于0柱0面1扇区，也就是硬盘的逻辑0扇区，它是计算机访问硬盘时最先读取的位置。主引导扇区由三个部分组成：主引导记录（MBR）：偏移0-1BDH硬盘分区表（DPT）：偏移1BEH-1FDH结束标识（“55AA”）：偏移1FEH-1FFH注：偏移是指当前位置相对于某处的距离长度。四、相关知识点–主引导扇区图示MBRDPT结束标志四、相关知识点–分区引导扇区任何分区的0扇区都是引导扇区，它起着引导系统、记录分区基本参数的作用，它由BPB（BIOS参数块）、DBR（磁盘引导记录）和“55AA”结束标志组成，俗称DBR扇区。BPB在格式化的时候形成，它记录了分区的基本参数信息，一旦被破坏则分区不能被正常访问，不同类型和版本的BPB格式有所区别，其中重要的参数有：分区总扇区数（分区大小）每簇扇区数（簇大小）根目录起始位置（查找数据的入口）文件系统标识四、相关知识点–分析故障现象引导扇区被破坏的原因可能有：病毒破坏、黑客攻击、误操作分区工具、安装的硬盘还原或保护软件出错等等。当计算机出现无法启动、启动异常、启动时出现文字提示时，可能是引导记录或分区表被破坏导致的。需要检查并修复MBR、DBR或DPT来解决。如果发现分区丢失、分区错乱等情况，就需要修复分区表了。四、相关知识点–分区表结构磁盘分区表位于主引导扇区的偏移1BEH处，占64个字节，分为4项，每项16字节，用于标识一个主分区。DPT只有4项，最多只能标识4个主分区，如果想增加分区数，就必须使用扩展分区。一般情况下使用微软系统时分区表只用了两项，即一个主分区加扩展分区。四、相关知识点–分区表结构偏移长度字段名及含义01字节激活分区标志，用于引导操作系统，值为80H表示激活。11字节起始磁头号（分区表中仍习惯使用最大255磁头，63扇区）。21字节起始扇区号（只用了0～5位，第6、7位作为柱面号高位）。31字节起始柱面号（共10位，1024个柱面）。41字节分区类型标志。51字节结束磁头号（CHS共参数用了24位，只能管理8GB空间）。61字节结束扇区号。71字节结束柱面号。84字节起始LBA号（当硬盘大于8GB空间时，则采用LBA寻址方式）。124字节占用LBA扇区数（存储数字时是低位在前，高位在后存放的）。四、相关知识点–常见分区类型标志值类型说明标志值类型说明01FAT12（FD）0FExtended（LBA）04FAT16（32MB）17HiddenNTFS05Extended1BHiddenFAT3206FAT1665NovellNetware07HPFS/NTFS82LinuxSwap/Solaris0BFAT3283LinuxExt20CFAT32（LBA）85LinuxExtended0EFAT16（VFAT）A6OpenBSD四、相关知识点–扩展分区扩展分区内部由若干个逻辑分区组成，它们之间通过链表方式管理，每个分区的前面都有一个虚拟的分区表，这个扇区称为虚拟MBR。虚拟MBR通常位于某柱面0磁头1扇区（标准分区法），其后的第63扇区（1磁头1扇区）为该分区的引导扇区。虚拟MBR的引导记录部分全为0，只有分区表和结束标识，且分区表只有两项，其中第一项指向当前分区，第二项指向下一分区的虚拟MBR。四、相关知识点–扩展分区组织图C盘D盘E盘F盘本分区下一分区未用未用本分区下一分区未用未用本分区未用未用未用扩展分区中的虚拟MBR链表DEFMBR扇区62个保留扇区四、相关知识点–分区表恢复思想硬盘被重新分区后（或分区表丢失），只要没有破坏到原分区的文件系统信息数据，就可以将原分区找回，同时还能保留里面的数据，因此速度快而且效果好。新分区的文件系统信息部分仍可能会覆盖掉老分区的某些数据。分区1分区2分区3分区4分区1分区2分区3分区4新分区情况原分区情况四、相关知识点–查找分区我们在搜寻分区信息的时候，需要找到每个分区的起始位置。凡是引导扇区或是MBR，其最后两个字节均为结束标志“55AA”，我们先查找出扇区末尾是结束标志的，再对结果进行分析。硬盘分区时，通常会以柱面为边界，这是标准分区方式，便于我们快速查找分区。我们也可以手工修改分区位置为非标准值，但会给以后的分区恢复带来困难。55AAHarddisk五、分析故障，制定解决方案分析故障情况修复引导记录搜寻原分区信息分析分区组织重建分区表六、修复引导记录-MBR如果以前有备份主引导扇区的话，那么是很容易修复的，直接复制回来即可。如果没有备份的话，就需要分别对MBR和DPT做检查并处理了。MBR是一组用来引导操作系统的程序，由于功能比较单一，因此几乎成了“模板”，修复方式也较简单。有许多分区工具、杀毒软件和硬盘修复工具都带有MBR修复功能，常见的方式有：在DOS环境下使用命令：FDISK/MBR使用DISKGEN的修复MBR功能六、修复引导记录-DBR每个分区的引导扇区一般都有自动备份，FAT32分区的DBR备份在第6扇区，NTFS分区的DBR备份到下一个分区的前一个扇区，如果下一个分区的情况为：主分区：保存到该分区起始前一个扇区。逻辑分区：保存到该分区的虚拟MBR的前一个扇区。无：保存到本分区结束后的一个扇区。最好的方式就是，找到备份DBR扇区，复制回来，否则就只有手动对比填写数据了。七、修复分区表–查找分区在DPT中，硬盘的CHS参数中磁头数总为255，每磁道扇区数总为63（也可查看Winhex面板信息），则可计算出每柱面大小为255×63×512＝8225280（字节），则搜索引导扇区可使用如下参数：块内偏移搜索块大小搜索数值七、修复分区表–分析结构判断记录定位搜索到的扇区应该是虚拟MBR，可以根据扩展分区表来判断该分区真正的位置，以及下一个分区的位置。找到该分区的引导扇区，同以前的分区位置、大小、类型等参数进行比较，判断是否为有效分区，如果是，则将其记录下来。记录时，应按照扩展分区表来记录该分区的起始位置（扇区号）、大小、类型及下一分区的偏移等信息。七、修复分区表–重建分区表组织好数据后，就可以重建分区表了。通常情况下分区表只需要写两条记录，第一个主分区和第二个扩展分区，按照格式写入相应的数据即可。在标准情况下，MBR和虚拟MBR都位于0磁头1扇区，而主分区或逻辑分区的DBR则位于1磁头1扇区，这就为我们查找分区提供了方便。例如：主引导扇区位于0柱0头1扇第一个分区位于0柱1头1扇最关键的就是判断出扩展分区的起始位置和大小。八、零磁道损坏的修复0磁道是硬盘最前方的磁道，主引导扇区、第一个分区均位于0磁道，如果0磁道损坏，则无法识别硬盘或启动系统。只要检查出主引导扇区未损坏，则可以通过手工修改第一个主分区的起始位置来避开对0磁道的使用，比如修改为3柱面1磁头1扇区。修改分区表后需重新格式化分区后再使用。但要注意使用分区工具的时候会提示分区表有错误，千万不要使用自动纠正功能。分区1分区2分区3分区4未使用九、评估总结将硬盘接到工作机上检查是否修复记录引导扇区和分区表恢复过程总结任务心得十、任务评价引导扇区和分区表恢复任务是否完成？是否遵守服务流程和操作规范？归档是否完整？团队协作与相互沟通？学习状态如何？