数据恢复RStudio专题文章教程.docx
- 文档编号:26543782
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:67
- 大小:2.16MB
数据恢复RStudio专题文章教程.docx
《数据恢复RStudio专题文章教程.docx》由会员分享,可在线阅读,更多相关《数据恢复RStudio专题文章教程.docx(67页珍藏版)》请在冰豆网上搜索。
数据恢复RStudio专题文章教程
详解使用R-Studio恢复数据之1:
误分区后的恢复
本文来源于《数据重现--文件系统原理精解与数据恢复最佳实践》
R-Studio是一款功能比较强大的数据恢复软件,它的特点有如下几点:
1)支持FAT系列、NTFS系列、UFS系列、ExtX等文件系统。
2)参数设置非常灵活,使恢复人员可以根据不同的具体情况进行相应的设置,以最大可能地恢复数据。
3)支持远程恢复,可以通过网络恢复远程计算机中的数据。
4)支持分区丢失、格式化、误删除等情况下的数据恢复。
5)不只支持基本磁盘,还支持动态磁盘。
6)支持RAID恢复,可以恢复跨区卷、RAID0、RAID1及RAID5的数据。
R-Studio也可以象Winhex一样不依赖于磁盘主引导扇区的“55AA”有效签名标志对分区表进行识别并列举出各个分区。
前面介绍MHDD时曾经提到,当某个分区的引导扇区恰好处于坏道上,导致系统启动时因无法读取坏道上的信息而启动缓慢甚至无法进入系统时,可以使用MHDD提供的“Switchmbr”命令清除主引导记录扇区的“55AA”标志,使操作系统将磁盘视为未初始化而不再检索其分区表,从而可以顺利地进入操作系统。
然后,就可以利用R-Studio不依赖于“55AA”标志的特性恢复数据。
对于R-Studio的特性我们不再做更多的介绍,有兴趣的读者可以登陆[url]
1.分区恢复
R-Studio可以通过对整个磁盘的扫描,利用智能检索技术搜索到的数据来确定现存的和曾经存在过的分区以及它的文件系统格式。
下面,我们以一个20GB容量的磁盘演示分区恢复的过程。
首先在磁盘上建立三个分区,并向其中拷入数据。
运行R-Studio后,程序可以自动识别到硬盘,读取其分区表并列举出现存的分区。
如图10.62所示。
我们用做实验的磁盘型号为IC25N020CSH201D2GACA20,R-Studio可以自动识别这个型号。
选中该磁盘后,在右侧的窗口中会给出该磁盘的型号、在系统中的设备号以及容量等信息。
可以看到,该磁盘分为三个分区,第一个分区为FAT32文件系统,起始于31.5KB(63号扇区)的位置,大小为3.9GB;第二个分区为NTFS文件系统,起始于3.9GB的位置,大小为7.8GB;最后一个分区为FAT32文件系统,起始于11.7GB的位置,大小为6.9GB。
双击列举出的一个逻辑磁盘,就可以遍历该文件系统并以目录树的形式显示其中的目录及文件。
如图10.63所示,R-Studio列出了我们选择的第一个分区的数据。
第一个目录为元数据文件目录,其中存放的是文件系统的管理数据,对于FAT32来讲,就是DBR及FAT表。
Root为根目录,单击Root后,可以在右侧的窗口中显示出根目录下所有的目录及文件。
接下来,我们将硬盘中的分区删除后重新建立了两个分区,以制造分区被破坏的现场。
然后开始恢复。
步骤1扫描磁盘。
要找到原来的分区,需要对整个磁盘进行扫描。
因此,必须选择界面中的物理磁盘进行操作,而不能选择一个逻辑分区。
在磁盘上右击,然后在弹出的菜单中单击Scan(扫描),如图10.64所示。
(起始)栏中输入扫描的起始位置,在Size栏中输入扫描的范围大小。
输入数值时,如果以扇区为单位,需要在输入的数值后加“S”,以MB为单位则加“MB”,以GB为单位则加“GB”。
“FileSystems”栏中为支持的文件系统类型,可以支持的类型有Linux的ExtX、Windows的FAT和NTFS、苹果机的HFS以及Unix的UFS文件系统。
单击其后的向下箭头可以在下拉列表中选择想要寻找的文件系统类型。
程序默认勾选所有的类型选项,应该根据实际情况只保留可能存在的文件系统类型,以降低计算机的负载并提高扫描速度。
在我们的演示中,只有FAT及NTFS类型的文件系统,因此我们可以去掉其他的类型选项,只保留对这两种文件系统类型的勾选。
“ExtraSearchforKnownFileTypes”选项默认被勾选,勾选此项时,程序在扫描的过程中会同时搜索已知文件类型的特征值,并在搜索结果中将搜索到的同类文件单独存放在一个目录中。
单击其后的“KnownFileTypes”按钮可以查看程序所支持的文件类型种类。
不过,只有在文件系统破坏非常严重,文件的元数据信息全部丢失的情况下才需要使用这种恢复方式。
为了提高搜索速度,不建议勾选此项。
如果确实需要以这种方式恢复时,我们建议使用将在下一小节介绍的RAW恢复软件RecverMyFiles。
设置完毕并确认无误后,单击Scan按钮即开始扫描。
如图10.66所示。
扫描的时间长短根据磁盘容量的大小、接口、扫描设置以及计算机的运算速度不同而有所差异。
步骤2查验扫描结果。
扫描结束后,程序即列出所有可能存在的分区,并给出每个分区的起始位置和大小。
单击某个分区后,右侧的窗口中即会给出该分区的逻辑参数,如每FAT项大小、簇大小、根目录起始簇、FAT1的起始位置及每FAT表的大小等。
如图10.67所示。
从图中可以看到,程序共搜索到了一个NTFS类型分区和四个FAT32分区。
实际上,这四个FAT32分区只是两个。
那么,为什么会出现这种情况呢?
我们先来画一个示意图,如图10.68所示。
我们对磁盘原来的分区结构进行破坏并新建分区后,新建的第一个分区与原来的第一个分区都是起始于磁盘的63号扇区,但分区后我们并没有对其进行格式化,这样,63号扇区内就不会有任何内容。
但位于磁盘69号扇区的原第一分区的DBR备份依然存在,FAT表也完好无损。
程序扫描时,首先在69号扇区找到一个DBR,根据这个DBR中的参数虚拟一个分区并解释其中的数据。
这个分区就是图10.67中显示的起始于34.5KB位置的FAT32分区Recognized8。
可想而知,这个分区以原来的DBR备份扇区做为分区的起始位置,将使用FAT表、根目录等数据结构的位置相对地向后移6个扇区,也就不可能正确地解释其中的数据。
双击该逻辑磁盘后,程序即开始根据该分区的参数遍历整个分区,然后列表显示找到的目录及文件。
如图10.69所示。
从图10.69可以看到,虽然程序列出了该分区内的目录和文件,目录名和文件名也正确,但这只是它根据搜索到的目录项列出的内容,因为扇区起始位置错误,根据目录项中描述的子目录或文件的起始簇对其进行访问时,将无法访问到子目录或文件的正确起始位置。
所以,子目录名的前面显示为问号图标,因为对该目录进行访问时并没有在其中找到正确的内容,在左侧窗口中单击一个带问号的子目录时,在右侧的窗口中将显示为空或乱码。
右侧窗口中的文件也一样,右击一个文件,在弹出的快捷菜单中选择View/Edit,可以在一个十六进制编辑窗口中打开该文件,如果对该文件类型的特征值比较熟悉的话,能够判断出该文件的文件头是否正确。
我们选择打开了一个Word文档,很显示这不是一个正确的Word文档的文件头(如图10.70所示),因为Word文档的文件头的前8个字节在十六进制窗口中将显示为“D0CF11E0A1B11AE1”。
注意:
R-Studio并不是由0开始对磁盘及分区中的扇区进行编号,而是由1开始。
因此,使用R-Studio与Winhex协同工作时应该注意,对于同一个扇区,在Winhex中的扇区号要比R-Studio中的扇区号小1。
程序搜索的过程中,不只搜索DBR,还会搜索FAT的起始位置。
因此,它在99号扇区搜索到一个FAT表。
但并没有DBR与该FAT表相对应(与之对应的63号扇区的DBR被清空了),因此,程序就再虚拟一个分区,因为通过FAT表的位置并不能得知原DBR的位置,所以程序就将分区的起始位置显示为该FAT表的起始位置,这就是图10.67中显示的起始于49.5KB的FAT32分区Recognized7。
由于这个分区的位置是正确的,所以它可以正确地显示出其中的数据结构。
如图10.71所示。
另外两个列出的FAT32分区是原三个分区的最后一个,与第一个分区不同的是,它的DBR扇区与DBR备份都是完好的,程序扫描到原始DBR后根据其参数虚拟一个分区,也就是图10.67中列出的Recognized6号分区。
而这个分区的参数完全正确,能够正确链接到FAT1,所以不会将此分区的起始位置显示为FAT表的起始位置。
Recognized9号分区是程序根据扫描到Recognized6号分区的DBR备份后虚拟出的一个分区,这个分区也无法正确的解释其中的数据。
步骤3恢复数据。
在要恢复的目录或文件上右击,在弹出的快捷菜单中选择Recover,或对要恢复的数据进行勾选后右击一个目录或文件,在弹出的快捷菜单中选择RecoverMarked(如图10.72所示),即可弹出保存路径选择对话框,选择好存放路径后单击OK按钮即可将数据恢复至指定的位置。
使用R-Studio万能通用数据恢复法图文教程
我们所指的万能数据恢复法,就是在待恢复存储介质没有硬件故障的情况下,使用数据恢复软件全盘扫描,虽然扫描时间长了一些,但不用太关心分区大小及格式,什么故障类型,数据恢复软件会自动将分区结构,分区大小,分区类型,删除的数据文件,丢失的数据文件,无链接的单类型文件计算分析组合整理出来,你只需要挑选你要的数据即可。
R-Studio数据恢复软件就有这种强大功能,本文以R-Studio为例,介绍演示全硬盘扫描恢复数据的方法。
一块160G硬盘,客户描述是电脑系统故障,然后重新分区格式化安装。
20天后,发现一些需要的数据没有备份,于是寻求我们的帮助。
我们将故障硬盘连接到电脑上,在我的电脑中可看到共4个分区,格式为FAT32。
在我的电脑上右键单击--管理--然后进入磁盘管理,可以更加直观的了解现在结构,对后面的数据恢复过程很有帮助。
通过磁盘管理,我们对故障硬盘当前的分区结构和盘符的分配,有了更直观的了解,请注意区分本机硬盘和客户硬盘。
我们首先要了解故障硬盘当前分区的数据量,即对以前数据的覆盖破坏量。
在磁盘管理中,在每个盘符上--单击--右键--属性,这是客户硬盘当前第一个分区H盘的属性。
剩余空间不多,但客户声明本区为操作系统分区,数据不在这里。
因此我们大致了解一下即可。
客户硬盘当前第二个分区I盘的属性,这个分区占用量为4.86G,这意味着对原来数据可能有约4.86G的覆盖破坏量,是不是覆盖在原重要数据位置要看运气,还原分区后可具体分析。
客户硬盘第3、4个分区K盘和L盘已用空间都基本为空,这些位置的数据恢复效果将会很好。
诊断了解客户硬盘状况完毕,下面开始数据恢复,这里我们使用R-Studio软件来恢复数据,获取R-Studio后并安装运行。
客户需要的是重新分区格式化安装系统以前的数据,并且要求尽可能全部恢复,因为他不记得原来数据放在什么位置,因此需要点击选择扫描恢复整个硬盘而不是分区。
选择要恢复的硬盘或分区,点击R-Studio的开始扫描图标。
你可以根据硬盘型号、卷标、文件系统、开始位置、分区大小来正确确认。
点击开始扫描后,R-Studio弹出扫描设置窗口,一般采用默认选项即可,也可以去掉我们不需要的文件系统,可加快分析速度。
我们要扫描的是整个硬盘,所以从0位置开始,长度149.1G。
也可以精简R-Studio要分析的文件系统,Windows操作系统只可能是FAT和NTFS格式。
R-Studio扫描速度很快。
整个硬盘扫描到一半了,在这里可以看到数据分布、分区状况及扫描进度,160G硬盘大约要1小时。
R-Studio扫描完成,OK。
扫描结束后,将R-Studio的扫描信息保存一下是个好习惯,以后可以直接打开,无需再扫描。
选择一个保存位置,注意!
不要选择待恢复数据的硬盘上的分区!
!
以后我们再次需要R-Studio的扫描信息时,可以打开扫描信息文件,这一点对数据恢复公司很实用。
这是R-Studio扫描到的分区结构,分区大小、起始位置、文件系统等信息都分列出来。
根据每个分区的完整度,R-Studio分开显示不同的推荐级别,用绿色、橙色、红色表示,依次推荐级别不同。
下面重点是怎样排除并挑选有可能是要恢复数据的分区。
我们首先排除那些与当前结构一样的扫描结果,排除后,我们分析剩余的分区结构,从最高推荐等级绿色项中,可以看到从48.8G开始的,首尾相接完整的4个优质扫描分区,分别是48.8+29.3=78.1、78.1+29.3=107.4、107.4+20.5=127.9、128+21.1=149.1,直到硬盘尾部。
这样完全可以确认这是故障硬盘没有被分区格式化安装系统之前的结构,即硬盘的后4个分区。
确定完这4个分区结构,剩下的工作是寻在48.8G之前的空间原来有几个分区。
橙色部分里有一个从头起始,19.5G大小,与当前FAT32格式不同的NTFS结构,估计是第一个分区。
下面还有两项起始位置为19.5G左右,长度为28.8G的两个推荐项。
两项起始位置接近,长度一样,19.5G+28.8G=48.3结果接近48.8G。
至此,我们可以大致认为原来结构为6个区,为19.5G、28.8G、29.3G、29.3G、20.5G、21.1G排列结构。
下面分别进入分区查看验证。
我们首先双击打开这个R-Studio命名为Recognized17的分区查看验证。
R-Studio目录列表中可以看到完整的文件夹结构,红色带x和问号的文件夹是以前人为或系统删除过的内容。
拖滚动条继续向下看,R-Studio命名的ExtraFoundFiles文件夹里存放的是没有目录结构、按文件类型归类的文件。
再下面是父目录链丢失,R-Studio重命名的目录$ROOT0000n....。
有时如果在正常目录结构里没有找到我们需要的数据,就要到ExtraFoundFiles文件夹寻找挑选你要的文件类型,R-Studio将这些孤立的文件根据类型存放在一起。
我们继续查看挑选父目录名丢失的文件及文件夹。
带红X的文件和目录表示以前删除的。
在文件目录多,删除整理频繁的电脑上,特别是FAT32分区格式,这些红X文件夹项非常多,显得杂乱。
这时就需要R-Studio过滤显示要恢复的目录。
点击R-Studio过滤图标,去掉不需要显示的内容,如是否显示空文件夹、是否显示已删除的文件、是否显示正常存在文件夹。
恢复文件删除的数据故障时,去掉正常存在文件夹,可以只保留显示我们删除过的文件夹。
在这里我们是恢复重新分区的数据,一般去掉显示空文件夹、显示已删除的文件这两项。
过滤掉删除的和异常的文件夹,目录清晰多了。
挑选需要的数据并勾选。
在R-Studio窗口底部状态栏里,显示挑选标记的文件信息,有文件、文件夹数量,还有标记总数据量。
右边显示的是可恢复的所有文件信息,挑选完成,点击恢复图标,开始导出。
选择设置导出数据存放目的地,其他选项默认即可。
选择导出位置,注意!
不可是待恢复数据的硬盘分区。
恢复导出过程中,R-Studio将显示进度比,剩余文件量信息。
遇到目录重名时R-Studio会提示,有覆盖、重新命名、跳过、中断恢复几个选项。
勾选总是采用相同回答后,相同问题将不再提示。
我们继续打开其它分区查看恢复数据。
这次我们打开一个NTFS结构的分区。
在R-Studio的目录列表中,也显示有以前删除过的文件夹,相对于FAT32,NTFS分区数据恢复时目录结构要清晰得多。
现在我们分别打开48.8G之前的两个分区查看恢复,首先打开第一个19.5G分区。
可以看到文件结构保留非常完整。
这是因为之前为NTFS结构,重装系统使用的是FAT32,不同的分区格式文件存放起始位置不一样。
这是硬盘原来第二个分区的目录列表,虽然目录有幸被保留下来了,但其子目录破坏严重,链接不上。
这些都是R-Studio认为删除的目录,进去挑选一下,看看有没有想要的内容
继续向下,这些是R-Studio认为内容完整,但目录链丢失的项目我们挑选一个双击打开查看。
很幸运,还有能够打开的文件内容
使用R-Studio直接提取目录文件恢复数据图文教程
直接提取目录文件数据恢复法,就是用数据恢复软件打开故障分区,直接提取目录数据,该方法适合刚刚删除的文件目录、文件夹加密、目录权限错误、目录权限不够、目录文件被隐藏、文件或目录损坏且无法读取等故障。
本文我们以数据恢复软件R-Studio来讲述直接提取数据。
另一篇文章讲述用16进制编辑工具WinHex来直接提取数据。
R-Studio是常用的数据恢复软件,这里我们只讲述他的直接打开分区加载目录功能。
首先请获取安装R-Studio。
R-Studio的主界面,非常直观,使用简单,在不同盘符双击即可打开分区文件列表。
当分区信息不完整或没有分配盘符时,R-Studio将显示卷标号或分区号。
双击盘符,查找删除的数据。
R-Studio开始加载分析目录列表,加载过程将忽略目录文件夹权限和隐藏属性。
这是R-Studio所列出的目录结构,所有带红X的是删除或剪切过的目录文件,另外目录链丢失的结构R-Studio会自动命名一个目录名称。
打开各个文件夹,查看R-Studio所列出的目录,R-Studio会忽略NTFS分区的权限属性和目录文件夹的系统及隐藏属性,硬盘分区所有内容一览无遗。
找到需要的数据,加以选择。
这些是丢失目录名称的文件夹,R-Studio为其重新命名为$$$Folder开头的名字。
选择你要导出的目录和文件,R-Studio的底部会有统计信息,包括文件数量和所选文件夹的容量。
注意目标盘剩余空间是否充足。
通过R-Studio的过滤设置,筛选所需文件。
不同的故障类型,按实际需要设置R-Studio的筛选显示数据,当恢复目录权限问题、分区隐藏、文件夹加密等类型数据,我们需要将删除文件夹和空文件夹过滤掉,这样目录结构更加清晰,所保留的将是完整所需数据。
这样清晰完整的多,特别是目录项多,经常删除文件的硬盘,R-Studio的过滤设置就显得非常有用了。
选择要恢复的数据,这里我们假设目录权限问题,选择后点击R-Studio主界面上方的快捷图标,导出我们标记选择的目录文件夹。
这里设置R-Studio数据恢复的输出选项,除了设置输出存放目录外,其他选项一般默认。
这里我们选择E:
盘作为R-Studio的恢复导出数据的目的地。
注意不能选择正在恢复故障分区。
还要注意你选择的目标盘空间是否充足。
点击OK后,确认恢复导出。
其它选项一般默认。
R-Studio开始恢复导出数据,底部显示进度条和剩余文件数和剩余数据量。
有时会有重名文件及目录,可选择覆盖数据,重新命名,跳过或放弃恢复退出。
勾选自动应答选框,以后遇到相同情况,R-Studio将不再提示。
查看恢复结果,完成用R-Studio直接导出数据的数据恢复工作。
R-Studio恢复误删除误格式化分区
R-Studio恢复误删除误格式化分区
在R-Studio中,恢复误格式化与误删除分区的恢复方法基本相同,唯一的区别是,格式化对某个分区来说的,所以在恢复时候只需对误格式化的单个分区进行扫描就行勒。
我们这次的试验是把第三个分区由FAT32格式化成NTFS后进行恢复。
由于我们知道原来的文件系统为FAT32,所以在扫描设置对话框的文件系统栏中,只保留FAT类型即可,这样可以避免一些不必要的系统开销。
如果不能确定原来的文件系统是FAT还是NTFS,则需要对两种文件系统类型都进行勾选。
扫描完成后,程序会列出找到的分区。
实际上,格式化后的扫描恢复相当于限定一个扫描的范围,在这个范围内寻找可能存在的分区。
由于我们用于实验的磁盘进行过全盘清除数据的操作,不存在以前分区的干扰信息,所以扫描完成后只显示有一个FAT32分区。
如图1所示。
图1.格式化恢复
可以看到,程序显示FAT32文件系统起始于分区的16KB处,其实这也是一个FAT表的起始位置。
分区大小为267.2MB,对于分区大小的算法目前还不太了解,不过这并不影响我们恢复其中的数据。
在搜索到的分区上双击即可将其打开,如图2所示。
图2.列举文件
经过验证,数据基本上没有破坏。
这也同时验证了我们前面的分析,即FAT32文件系统格式化成高版本NTFS后,数据恢复的可能性比较大。
我们向现在的NTFS分区拷入部分数据后再格式化成FAT32,其实也相当于将原来的FAT32重新进行FAT32格式化。
回顾我们前面分析格式化恢复时所讲的内容,FAT32的数据通常位于分区前部,高版本NTFS的数据通常稍靠后一些,形成前后错开的情形。
将FAT32格式化成NTFS时没有破坏掉原FAT32的FAT表、根目录和数据。
重新格式化成FAT32时,基本不会破坏NTFS的数据,但却会破坏最初FAT32文件系统的FAT表和根目录。
我们可以通过这个实例同时验证FAT32分区重新进行FAT32格式化以及NTFS格式化成FAT32的恢复。
我们不再详细讲述基本的操作,但需要提醒一点,因为我们知道格式化的过程是FAT32-NTFS—FAT32,因此,需要找回原来的FAT32及NTFS中的数据,所以进行扫描设置时应该同时保留FAT及NTFS文件系统类型选项。
扫描结果如图3所示。
图3.格式化成FAT32后的恢复
可以看到,程序找到了两个FAT32和一个NTFS,其中一个FAT32是根据DBR备份扇区的信息虚拟而成。
我们双击起始位置为0的FAT32,结果如图4所示。
图4.原FAT32中的数据
可以看到,根目录下已经没有内容,因为使用与原FAT32分区相同的参数进行格式化时,新旧分区中的逻辑位置都是相同的,为根目录分配的簇恰好与原FAT32的根目录重合,因此原根目录内的内容被清空了,原来位于根目录中的子目录和文件的目录项都已经丢失。
不过,子目录的簇空间还仍然存在,程序搜索到这种子目录空间后即为其建立一个目录,用号码做为它的目录名。
子目录的簇空间中记录的下一级子目录及文件的目录项依然完好,所以可以列举出它们的名字。
但如果要正确地恢复数据,依赖于它们的存储是否连续,因为FAT表已经不存在了。
最严重的破坏是,原来直接存放在根目录下的所有Word文档全部丢失了。
因为它们的目录项直接存放在根目录的簇空间中,根目录被清空后,这些文件的目录项丢失,导致程序无法通过目录项得知它们的存在。
这些文件只能通过RAW方式恢复。
同样,它们能否被成功恢复也取决于存储的连续性。
我们再来看一下程序找到的NTFS文件系统,双击打开后如图5所示。
图5.NTFS文件系统中的数据
可以看到,NTFS中的数据非常完好,说明一个高版本NTFS类型分区,如果数据量不是很大的话,格式化成FAT32后,数据被破坏的程度是有限的。
最后,按照我们前面介绍的方法将数据导出即可完成恢复。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 恢复 RStudio 专题 文章 教程