利用winhex的raid阵列数据恢复
利用winhex的raid阵列数据恢复摘要:本文介绍了常用raid阵列的组成原理及数据特点,通过实例详细介绍了利用winhex软件对损坏raid阵列数据的恢复操作及恢复原理,具有较强的实际指导意义。
关键词:winhex;raid;raid
中图分类号:tp311 文献标识码:a 文章编号:1007-9599 (2012)19-0000-02
计算机发展初期,硬盘的容量很小,但价格却很高,为解决大容量的数据存贮问题,raid技术应运而生,raid(redundant array of inexpensive disks,廉价磁盘冗余阵列)基本思想就是将多个容量较小,相对廉价的硬盘驱动器进行有机组合,使其性能超过一个昂贵的大硬盘。但是随着硬盘技术的快速发展,单块硬盘的容量不断增加但价格却在不断下降,raid的最初目的已经失去意义,所以后来将redundant array of inexpensive disks换成了redundant array of independent disk,即把“廉价”(inexpensive)换成了“独立”(independent),简称依然是raid,但是意义却已经发生了变化,现在的raid含义为独立冗余磁盘阵列。既包含多块独立磁盘具有磁盘冗余的可靠磁盘阵列,为数据的存贮提供了更多灵活可靠的存贮方案。
raid的按照实现原理的不同分为不同的级别,目前基本的raid 级别有:
raid-0:
RAID10的恢复方案
RAID 0+1(RAID 10)数据恢复方案简介 RAID 0和RAID 1的组合称为RAID 0+1,或称为RAID 10。如下所述,它具有一些有趣的优越性。通过将RAID 0分块的速度和RAID 1镜像的冗余进行组合,结果产生了一个快速、没有写开销、具有极好冗余性质的子系统。图6 - 3 5给出了一种RAID 0+1/RAID 10的配置,此处,R A I D 0部分处于最高位置,而RAID 1阵列处于最低位置。 值得注意的是,只要磁盘不属于同样的低位置镜像对,它们就被阵列丢失。因为阵列可能因镜像磁盘对丢失而消除,所以,它不能像RAI D 6那样防止两个磁盘的失败。同时,由于该阵列的1 0 0 %磁盘冗余开销,它的价格也比校验R A I D阵列更昂贵。 无论如何,RAID 0+1/RAID 10正变得越来越流行,其背后的原因如下: ?操作量减少了,但性能并未减少。
?与校验R A I D相比较,它的写开销最小。 ?一个带有x个虚拟成员驱动器的阵列,在所有x个驱动器失败之前,它还能够继续工作。 ?阵列容量的扩展并不减少M T D L。 ? MTDL取决于单个的磁盘,而不是多个磁盘。 ?容易使用多个产品实现。 镜像的分条还是分块的镜像 对于RAID 0+1/RAID 10,有两种可能的配置,最高位置既可以是RA ID 0,也可以是R A I D 1,相应地,最低位置则是RAID 1或RAID 0。这是一个值得思考的、有趣的事情,但两者之间存在着重要的差别:当一个磁盘从RAID 0阵列中丢失,整个阵列就停止工作。事实上,单个磁盘的失败等价于多个磁盘的失败。 所以,假如RAID 0功能在最低位置实现,驱动器的失败将导致最高
winhex数据手工恢复教程
winhex教程 winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex(数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK/MBR;
RAID磁盘阵列数据恢复
RAID磁盘阵列数据恢复 数据恢复软件 https://www.360docs.net/doc/3f3281002.html, 1.为什么需要磁盘阵列? 如何增加磁盘的存取(access)速度,如何防止数据因磁盘的故障而失落及如何有效的利用磁盘空间,一直是电脑专业人员和用户的困扰;而大容量磁盘的价格非常昂贵,对用户形成很大的负担。磁盘阵列技术的产生一举解决了这些问题。 过去十几年来,CPU的处理速度增加了五十倍有多,内存(memory)的存取速度亦大幅增加,而数据储存装置--主要是磁盘(hard disk)--的存取速度只增加了三、四倍,形成电脑系统的瓶颈,拉低了电脑系统的整体性能(through put),若不能有效的提升磁盘的存取速度,CPU、内存及磁盘间的不平衡将使CPU及内存的改进形成浪费。 目前改进磁盘存取速度的的方式主要有两种。一是磁盘快取控制(disk cache controller),它将从磁盘读取的数据存在快取内存(cache memory)中以减少磁盘存取的次数,数据的读写都在快取内存中进行,大幅增加存取的速度,如要读取的数据不在快取内存中,或要写数据到磁盘时,才做磁盘的存取动作。这种方式在单工环境(single- tasking envioronment)如DOS之下,对大量数据的存取有很好的性能(量小且频繁的存取则不然),但在多工(multi-tasking)环境之下(因为要不停的作数据交换(swapping) 的动作)或数据库(database)的存取(因为每一记录都很小)就不能显示其性能。这种方式没有任何安全保障。其二是使用磁盘阵列的技术。磁盘阵列是把多个磁盘组成一个阵列,当作单一磁盘使用,它将数据以分段(striping)的方式储存在不同的磁盘中,存取数据时,阵列中的相关磁盘一起动作,
winhex数据恢复完整图文教程
winhex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: Winhex Winhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。
WinHe 数据恢复图文教程
WinHex数据恢复图文教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构 MBR C盘EBR D盘EBR E盘 MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。
RAID5扩容与数据还原
RAID5扩容与数据还原 RAID 5使用至少三块硬盘来实现阵列,它既能实现RAID 0的加速功能也能够实现RAID 1的备份数据功能,在阵列当中有三块硬盘的时候,它将会把所需要存储的数据按照用户定义的分割大小分割成文件碎片存储到两块硬盘当中,此时,阵列当中的第三块硬盘不接收文件碎片。 RAID 5也被叫做带分布式奇偶位的条带。每个条带上都有相当于一个“块”那么大的地方被用来存放奇偶位。与RAID 3不同的是,RAID 5把奇偶位信息也分布在所有的磁盘上,而并非一个磁盘上,大大减轻了奇偶校验盘的负担。尽管有一些容量上的损失,RAID 5却能提供较为完美的整体性能,因而也是被广泛应用的一种磁盘阵列方案。它适合于输入/输出密集、高读/写比率的应用程序,如事务处理等。 RAID 5使用至少三块硬盘来实现阵列,它既能实现RAID 0的加速功能也能够实现RAID 1的备份数据功能,在阵列当中有三块硬盘的时候,它将会把所需要存储的数据按照用户定义的分割大小分割成文件碎片存储到两块硬盘当中,此时,阵列当中的第三块硬盘不接收文件碎片,它接收到的是用来校验存储在另外两块硬盘当中数据的一部分数据,这部分校验数据是通过一定的算法产生的,可以通过这部分数据来恢复存储在另外两个硬盘上的数据。另外,这三块硬盘的任务并不是一成不变的,也就是说在这次存储当中可能是1号硬盘和2好硬盘用来存储分割后的文件碎片,那么在下次存储的时候可能就是2号硬盘和3号硬盘来完成这个任务了。可以说,在每次存储操作当中,每块硬盘的任务是随机分配的,不过,肯定是两块硬盘用来存储分割后的文件碎片另一块硬盘用来存储校验信息。 这个校验信息一般是通过RAID控制器运算得出的,通常这些信息是需要一个RAID控制器上有一个单独的芯片来运算并决定将此信息发送到哪块硬盘存储。 RAID 5同时会实现RAID 0的高速存储读取并且也会实现RAID 1的数据恢复功能,也就是说在上面所说的情况下,RAID 5能够利用三块硬盘同时实现RAID 0的速度加倍功能也会实现RAID 1的数据备份功能,并且当RAID 5当中的一块硬盘损坏之后,加入一块新的硬盘同样可以实现数据的还原。 RAID5读写过程 用简单的语言来表示,至少使用3块硬盘(也可以更多)组建RAID5磁盘阵列,当有数据写入硬盘的时候,按照1块硬盘的方式就是直接写入这块硬盘的磁道,如果是RAID5的话这次数据写入会分根据算法分成3部分,然后写入这3块硬盘,写入的同时还会在这3块硬盘上写入校验信息,当读取写入的数据的时候会分别从3块硬盘
(完整word版)WINHEX手工修复硬盘
手工修正结构需要一定的数据恢复基础原理知识。在这里我们只描述常用几种系统结构位的手工修正,包括DBR、FAT表头部、MFT头部。 欢迎阅读本文,这是我们的《走进科学--探索发现--硬盘分区信息丢失之谜》的第三篇《W inHex应用之奇怪的未格式化》这篇文章是三篇文章中最绕的一篇,充分认识硬盘数据结构的“C T”运行 WINHEX之后你会觉得,这个可以学,很好很强大。在第一篇《寻找丢失的硬盘分区》文章里,我们恢复了客户故障硬盘的分区信息,但仍然有三个分区是未格式化状态,在这篇文章中我们利用非常强大的Winhex来进行手工修复文件系统。第二篇《DiskGenius恢复提示格式化的数据》中使用硬盘数据恢复软件的新星DiskGenius恢复这三个分区的数据,使用的是扫描重组目录法,直接提取数据。 前面恢复的6个分区中,有3个48.8G的NTFS分区是提示“未格式化”的,我们在前面介绍的是使用磁盘精灵直接扫描恢复数据,除扫描方法恢复数据,我们还可以使用WINHEX磁盘编辑工具直接修改异常扇区,达到恢复数据的目的。除了恢复结果原汁原味,而且恢复迅速,熟练后只需几分钟恢复这三个异常分区。
运行WINHEX,点取打开磁盘,选择我们要编辑恢复的硬盘,然后确定打开,这里选择物理驱动器,有的时候如果单一分区文件系统有问题,打开逻辑驱动器会出现问题,最好是打开物理驱动器后在对单一分区进行操作。
打开物理驱动器后,6个分区信息一目了然,其中2、3、4分区格式位置是未知的文件系统,显示?号,看来这三个分区引导信息扇区DBR肯定出问题了。
点击分区1,扇区内容栏将跳到分区1开始的地方,也就是分区的DBR位置。我们看到分区1从63扇区开始,其DBR的开始字节为EB 58 90
WinHex数据恢复教程笔记
WinHex数据恢复教程笔记 WinHex是在Windows下运行的十六进制编辑软件,此软件功能非常强大。 有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘; 它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。 数据恢复的前提:数据不能被二次破坏、覆盖! 数据恢复首选软件用十六进制编辑器:WinHex MBR、EBR是分区产生的。 MBR主引导记录大小是固定的,位于整个硬盘的0柱面0磁道1扇区。共占用了63个扇区,实际只使用了1个扇区,即硬盘第一扇区中的512字节。 DBR是分区引导扇区,是由FORMAT高级格式化命令写到该扇区的内容,DBR是由硬盘的MBR装载的程序段。DBR装入内存后,即开始执行该引导程序段,其主要功能是完成操作系统的自举并将控制权交给操作系统。每个分区都有引导扇区,但只有被设为活动分区才会被MBR装的DBR入内存运行 FAT16文件跳转指令EB 3C 90 FAT16 没有备份DBR FAT32文件跳转指令EB 58 90 DBR备份在第6扇区有第一扇区的备份。FAT表32扇区 NTFS文件跳转指令EB 52 90 DBR备份在最后一个扇区 ntfs格式没有FAT表。 04H 分区系统标志 当该值为00H时,表示此分区为不可识别的系统; 为04H时该分区为FAT16分区; 为05H或0FH该分区为扩展分区; 为0B时该分区为FAT32分区; F8H FFH FFH 0FH 开始的FAT表,(对于FAT16是以F8H FFH开始的),每个FAT项占32位(4个字节),FAT16的每个FAT项占16位(2个字节), 也就是说FAT和簇是一一对应的关系,对于FAT32的FAT来说每4个字节为1个FAT项. (对于FAT16的FAT每2个字节为一个FAT项) 512字节的MBR主引导记录又分为三部分: 1.主引导扇区里的主引导程序代码(boot loader),占446个字节; 2.硬盘分区表DPT(Disk Partition table),占64字节; 主分区表项1占16字节,447-461 每一个分区表项各占16个字节. 硬盘中分区有多少以及每一分区的大小都记在其中。 3.硬盘55AA有效结束标志magic number,占两个字节。 MBR被清零的话,硬盘将不能引导。 如果0号扇区被清零,硬盘分区将不被系统识别。提示未初始化。 备份MBR只要备份前512字节就可以了,包含分区表。 用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 主引导程序代码(boot loader)的作用:就是让硬盘具备可以引导的功能。 如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。 如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。也可以用工具软件,比如:DiskGenius、WinHex等。 EBR,也叫做扩展MBR(Extended MBR)。占63个扇区。因为主引导记录MBR最多只能描述4个分区项,如果一个硬盘上分多于4个区,就用EBR. EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0。 DBR的备份: 分区格式是FAT32的话,备份在分区的6扇区。 NTFS分区格式的话,在分区的最后一个扇区。
RAID5数据恢复
RAID5数据恢复 step by step 一、准备知识 RAID-5是数据和奇偶校验间断分布在三个或更多物理磁盘上的、具有容错功能的阵列方式。如果物理磁盘的某一部分失败,您可以用余下的数据和奇偶校验重新创建磁盘上失败的那一部分上的数据。对于多数活动由读取数据构成的计算机环境中的数据冗余来说,RAID-5是一种很好的解决方案。 有一些服务器或者磁盘阵列柜会将RAID信息存储在磁盘的某些地方,一般是阵列内每块磁盘的最前面的一些扇区或者位于磁盘最后的一些扇区内。当RAID信息存储在每块磁盘的前面的扇区时,在分析与重组RAID的时候就需要人为的去掉这些信息,否则就会得到错误的结果。 在做RAID5的数据恢复的时候,除了需要知道RAID内数据的起始扇区,还需要了解(数据)块大小(也称深度,depth)、数据与校验的方式等。 在实际应用中,阵列控制器一般要先把磁盘分成很多条带(Stripe,如图1上绿色线框起来的部分就是一个条带),然后再对每组条带做校验。每个条带上有且仅有一个磁盘上存放校验信息,其他的磁盘上均存放数据。数据被控制器划分为相等的大小,分别写在每一块硬盘上面。每一个数据块的长度或者说数据块的容量就被称为块大小或者叫(条带)深度。在阵列内,条带大小一般是相同的,即在每个磁盘内的数据块的大小和校验块的大小是一致的。 图1 每一个条带内的校验盘上的内容是通过这个条带上其他磁盘上的数据做异或而来,如P1=D1 XOR D2 XOR D3(见图2)。一般来说,在盘序是正确的情况下,校验块在RAID5内每块磁盘的写入顺序都是从第一块盘到最后一块盘或者从最后一块盘到第一块盘(如图2)。从图上看,校验的排列总是从图的左上角到右下角,或者从图的有上
U盘-WinHex数据恢复使用教程
WinHex数据恢复使用教程 WinHex教程 WinHex 数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。 这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如Pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数码与码制: 关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。 数据恢复我们主要用十六进制编辑器:WinHex (数据恢复首选软件) 我们先了解一下数据结构: 下面是一个分了三个区的整个硬盘的数据结构
MBR,即主引导纪录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用WinHex软件来恢复误分区,主要就是恢复第二部分:分区表。 引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、W INHEX等。 但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。 EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。 MBR、EBR是分区产生的。 比如MBR和EBR各都占用63个扇区,C盘占用1435329个扇区……那么数据结构如下表: 而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C 盘的数据结构: WinHex WinHex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方
RAID5数据恢复的两种办法
RAID5数据恢复的两种办法 RAID5发生故障的原因可能有很多种,或者是RAID控制器故障,或者是突然断电导致的RAID信息出错,也有可能RAID5的一块硬盘出错,没及时更换,等到第二块硬盘出错时,造成RAID5失效。第一种情况,RAID5发生硬件故障,那么本文也无能为力,但是后两种情况,只要掌握了方法,操作得当,数据还是能被找回来的。 无敌数据恢复 本文案例中的RAID5是由RAID卡/芯片生成的(硬RAID5)并且文件系统是NTFS。在讲述具体案例前,我们先介绍一下RAID5有五个关键参数:阵列起始扇区、每块扇区数、盘序、校验(用P代表)块走向、数据块走向!如果这五个参数计算正确,就可成功raid5恢复数据。 扇区编号一律从“0”开始。 空扇区:512个字节全是00的扇区! 平行扇区:一个RAID5由若干块硬盘组成,不同硬盘上的同一编号的扇区之间互成“平行扇区”。平行扇区的扇区编号相同,只是在不同的硬盘上!在一组平行扇区中,总有一个也只有一个扇区是P扇区! 好了,了解以上的背景知识后,我们就可以来看看恢复数据的具体操作了。
方法1:确定所有磁盘的首个校验块 dsk的3145857号扇区是P扇区。3145793MOD96=65,65号扇区隶属于2.img上的首个P块,所以2.img上的首个P块是第三个块; 3145825MOD96=1,1号扇区隶属于3.img上的首个P块,3.img的首个P块是第一个块; 3145857MOD96=33,33号扇区隶属于1.dsk上的首个P 块,所以1.img上的首个P块第二个块。 方法2:判断P块走向 如果阵列上存有数据,假设D1是首个数据块,那么它的首个扇区就应该是阵列的起始扇区,也是所在硬盘的0号扇区。内容是MBR、EBR、DBR三者中的一种。 下面我们需要先假设一种“P块走向”,先假定“P块走向”是1、2、3,因为1.dsk的首个P块第二个块,所以1.dsk就是第二块盘,根据P块走向图,1.dsk的0扇区应该是阵列的起始扇区,内容应该是EBR,但实际上却是空扇区。所以我们可以否定1,2,3的P块顺序了。 确定P块走向为3,2,1,再结合已知的“各个硬盘上首个P 块的位置”得出正确的盘序:第一块是2.img,第二块是1.img,第三块是3.img。 带颜色的是校验块。因为每块扇区数是32(编号0~31)。2号块总是第二块盘(1.img)的首个块。3号块不论在哪个硬
winhe数据恢复完整图文教程.doc
winhex 数据恢复分:硬恢复和恢复。所硬恢复就是硬出物理性,比如有体坏道、路板芯片、体异响,等故障,由此所致的普 通用不容易取出里面数据,那么我将它修好,同又保留里面的数据或后来恢复里面的数据,些都叫数据恢复,只不些故 障有容易的和困的之分;所恢复,就是硬本身没有物理,而是由于人或者病毒破坏所造成的数据失(比如格式化,分 区),那么的数据恢复就叫恢复。 里呢,我主要介恢复,因硬恢复需要一些工具(比如 pc3000, 烙,各种芯片、路板),而且需要懂一点点路基,我里所到 的所有的知,涉及面广,次深,既有数据构原理,我手工准确 恢复数据提供依据,又有各种数据恢复件的使用方法及技巧,我快速恢复数据提供便利,而且所有件均网上下,不需 要我投一分。 数据恢复的前提:数据不能被二次破坏、覆盖! 关于数与制: 关于二制、十六制、八制它之的我不想多,因他我数据恢复来帮助不大,而且很容易把我。如果你感趣想多了 解一些,可以到百度里面去搜一下,方面料已很多了,就不需要我再多了。数据恢复我主要用十六制器: Winhex (数 据恢复首件) 我先了解一下数据构: 下面是一个分了三个区的整个硬的数据构 MBR C EBR D EBR E MBR,即主引,位于整个硬的0 柱面 0 磁道 1 扇区,共占用了 63 个扇区,但只使用了 1 个扇区(512 字)。 在共 512 字的主引中,MBR又可分三部分:第一部分:引代,占用了446 个字;第二部分:分区表, 占用了64 字;第三部分:55AA,束志,占用了两个字。后面我要的用winhex 件来恢复分区,主要就 是恢复第二部分:分区表。 引代的作用:就是硬具可以引的功能。如果引代失,分区表在,那么个硬作从所有分区 数据都在,只是个硬自己不能用来启系了。如果要恢复引代,可以用DOS下的命令: FDISK /MBR; 个命令只是用来恢复引代,不会引起分区改,失数据。另外,也可以用工具件,比如DISKGEN、WINHEX等。但分区表如果失,后果就是整个硬一个分区没有,就好象来一个新硬没有分区一。是很多病毒喜破坏 的区域。 EBR,也叫做展MBR( Extended MBR)。因主引MBR最多只能描述4 个分区,如果想要在一个硬上分多于 4 个区,就要采用展MBR的法。 MBR、EBR是分区生的。 比如MBR 和EBR各都占 用 63 个扇区, C 占用1435329 个扇区??那么数据构如下表: 63 1435329 63 1435329 63 1253889 MBR C EBR D EBR E 展分区 而每一个分区又由DBR、 FAT1、 FAT2、 DIR、DATA5部分成:比如C?的数据构: C DBR FAT1FAT2DIR DATA Winhex Winhex 是使用最多的一款工具件,是在Windows下运行的十六制件,此件功能非常大,有完善的分区管 理功能和文件管理功能,能自分析分区和文件簇,能硬行不同方式不同程度的份,甚至克隆整个硬; 它能任何一种文件型的二制内容(用十六制示)其磁器可以物理磁或磁的任意扇区,是手工恢复数据的首工具件。
数据恢复软件Winhex使用说明书
目录 Winhex概述 (3) 1、软件的安装 (3) 2、软件使用及介绍 (4)
Winhex概述 WinHex是一个专门用来对付各种日常紧急情况的小工具。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。同时它还可以让你看到其他程序隐藏起来的文件和数据。 具体功能如下: *可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进行编辑 *支持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等文件系统 *可支持重组RAID及动态磁盘 *附带数据恢复功能 *可以访问物理内存及虚拟内存 *内置数据解释器,可以识别解释20种数据类型 *可以用数据结构模板查看、编辑结构数据 *可以分割与合并文件 *可以对文件进行分析与对比 *具有灵活的搜索和替换功能 *可以对磁盘进行克隆 *可对磁盘进行压缩镜像备份,支持对备份文件进行分卷处理 *具有编程接口,支持脚本操作 *支持256位加密、校验和、CRC32、hash(MD5,SHA-1)计算 *支持对磁盘进行数据安全销毁 *包含ANSI ASCII,IBM ASCII,EBCDIC,Unicode字符集 *支持文件大小超过4GB 1、软件的安装 Winhex的安装与普通软件安装没有区别,以在Windows XP下为例,双击Setup.exe程序即可开始安装过程。如图1.1所示。 图1.1
程序默认的安装路径是C:\Program Files\WinHex,当然也可以自行选择安装到其他位置。可以选择语言种类,不过用以选择中文的Chinese按钮处于灰色不可选状态,应该是尚不支持中文。用户可以选择其它语言,默认语言是英文。确定安装位置无误后,点击OK按钮,程序会弹出一个询问框,询问是否确定将程序安装到所选位置。如图1.2所示。 图1.2 如果要对安装位置重新选择,可以按“否”按钮回到原界面进行设置。否则按“是”按钮继续安装。程序随即会弹出询问框询问是否要建立快捷方式。如图1.3所示。点击按钮“是”,程序安装完毕后会在“开始”→“所有程序”中添加程序启动快捷方式。 图1.3 最后,程序提示安装完毕,询问是否运行程序。如图1.4所示。 图1.4 点击“是”按钮,程序即开始运行。如果不想立即运行程序,可以点击“否”按钮,在使用程序时从开始菜单中启动程序。 2、软件使用及介绍 2.1启动软件 以Winhex15.1为例,第一次运行程序,程序会给出一个设置窗(如图2.1.1所示),有两个可选项: *Write protection by default:设置写保护,即只可以对打开的对象进行查看,不可以进行修改; *Computer forensics interface:如果要使用取证界面,则应该勾选项。 我们是要使用底层分析及数据恢复功能,所以不需要在这个设置窗中进行任何设置,直接点击OK按钮即可,这样运行的程序默认允许对打开的对象进行读写操作。
RAID5数据丢失恢复的两种方法介绍
RAID5资料丢失恢复的两种方法介绍 如果了解RAID技术,一定对RAID级别这个词不陌生,RAID级别是指磁盘阵中磁盘组合方式,RAID级别不同,磁盘组合的方式也就不同,为用户提供的磁盘阵列在性能上和安全性的表现上也有不同。本文就是针对RAID级别中的RAID5,谈谈RAID5资料恢复的两种办法。 RAID5虽然对资料传输的并行性解决不好,而且控制器的设计也相当困难,但是RAID5的读出效率很高,写入效率一般,块式的集体访问效率不错,因为奇偶校验码在不同的磁盘上,所以提高了可靠性。RAID5发生故障的原因可能有很多种,或者是RAID控制器故障,或者是突然断电导致的RAID信息出错,也有可能RAID5的一块硬盘出错,没及时更换,等到第二块硬盘出错时,造成RAID5失效。RAID5资料是如何恢复的呢?根据raid磁盘阵列资料丢失的原因,我们有两种方法恢复。 对于一般的RAID5资料恢复,我们使用raid磁盘资料恢复工具。首先我们需要了解以下参数:盘序、块大小、旋转方式和资料起始扇区等,所以,对于RAID5的资料恢复也就是通过文件系统、文件格式、磁盘内其它相关资料等来确定这四个参数的过程。当这四个参数确定后,便可以通过相关的工具, 如raid磁盘阵列资料恢复工具将分散在每块磁盘上资料还原为RAID5内实际的资料,从而达到恢复RAID5内资料的目的。 对于比较复杂有难度的RAID资料恢复,如果大家没有相关的专业知识,建议找资料恢复中心解决问题。在磁盘阵列资料丢失后,资料恢复工程师会查看硬盘现有信息,通过计算,找出原盘盘顺,块大小等相关信息后,人工模拟出原始创建阵列状态,从而读出所有资料。。如果是RAID5发生硬件故障,资料恢复难度会更大,相应成功率也更低。最后提醒大家在平时一定要及时做好备份,虽然raid磁盘阵列有比较强的容错能力,但由于误操作和硬件故障引起的资料丢失还是频繁地发生,为了避免资料丢失的潜在风险,还是提前防范的好。
RAID0纯手工恢复加超详细讲解
RAID0分析 关于RAID,大家可能有些陌生。在个人电脑上,RAID用的不多,但是windows XP支持跨区卷和带区卷。Windows server 2003支持跨区卷,带区卷,RAID-5等。对于RAID0的分析主要在于重组磁盘,重组磁盘就需要确定盘序,块大小,判断磁盘加入阵列的起始位置等。确定了上述参数后就可以重组阵列达到恢复数据的目的了。但是在具体的操作中,要如何确定上述参数呢?这个就要对文件系统有深入的了解,特别是NTFS文件系统,因为RAID基本都是采用NTFS文件系统,很少有采用FAT32文件系统的。看了马林老师的《数据重现》之后发现,马林老师给出的实验素材真是精心设计过的了。如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。这里我就从如何组建一个RAID0开始然后逐步分析。马老师给出的方法具有通用性,但是有些时候会出现找不到符合马老师给出的素材的情况,那么就不能用马老师讲的方法了。我们就只能在对文件系统有深入的理解的前提下,分析RAID了。这就要求我们对文件系统有深入的理解,特别是NTFS文件系统。好的,下面我就从组建一个RAID0开始,分析一下RAID0。希望能给大家带来一些启示。 这个是我在windows XP下虚拟出的三块磁盘,每块磁盘的大小都是200M三块磁盘做了一个RAID0 ,采用NTFS格式化。上图显示的三块磁盘的0号扇区,这个扇区的主要作用是一个DOS分区结构。和基本磁盘的MBR有点类似。这个扇区也有一个分区表,但是只占用了一个分区表项。。大家看下图
分区类型是0x42 起始于63号扇区,大小是0x9A 20 06 00 也就是401562个扇区。而磁盘的总扇区数是409600个扇区。因为在windows系统中采用逻辑磁盘管理也就是LDM。LDM支持JBOD, RAID0, RAID1和RAID5。要组成这些阵列类型,我们需要把我们的磁盘转换成动态磁盘,而LDM就是管理动态磁盘的。动态磁盘有两个重要的部分,一个是LDM分区区域,它占用磁盘的绝大部分,另一个就是动态磁盘的最后1MB,分配给LDM 数据库。LDM数据库包含分区区域的分配情况。所以在把基本磁盘转换成动态磁盘时需要在磁盘最后有一定的剩余空间。我们上图显示的类似基本磁盘的分区表部分我们管它叫软分区,分区类型就是0x42 而基本磁盘的分区我们就叫硬分区吧。好了,现在我们对组成RAID的磁盘有了一个基本的了解了,我们来总结一下 1.成员盘都是动态磁盘,windows操作系统有个叫LDM的管理它们。 2.LDM会在每个成员盘的最后1MB建立一个数据库,记录一些动态盘的信息,而且这个 数据库还有一个作用,当我们的成员盘被卸载了加载到其他机器上去之后,如果那台机器采用的和原来的机器一样的RAID那么我们的成员盘又可以组建成原来的RAID了,而数据不会丢失,这就方便了移植。 3.LDM会在动态磁盘的0号扇区建立一个如上图所示的软分区表。 4.LDM数据库中包含四个区域,一个叫做LDM私有头,一个内容表区域,一个数据库 记录区和一个事物处理日志区。 5.软分区描述的扇区总数并没有包括最后那1MB的LDM数据库。 好的,我们先看看是不是磁盘的最后1MB是数据库,看看数据库都写了些什么。1MB就是2048个扇区,我们的磁盘有409600个扇区减去2048。那么我们的数据库的起始扇区就 是407553号扇区了。
winhex-教程-+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR
winhex 教程+应用+数据恢复-Doc文件恢复-MBR、EBR、DBR 字节位置 内容及含义 第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。 第2、3、4字节 本分区的起始磁头号、扇区号、柱面号 第5字节 分区类型符: 00H——表示该分区未用 06H——FAT16基本分区 0BH——FAT32基本分区 05H——扩展分区 07H——NTFS分区 0FH——(LBA模式)扩展分区 83H—— Linux分区 第6、7、8字节 本分区的结束磁头号、扇区号、柱面号 第9、10、11、12字节 本分区之前已用了的扇区数 第13、14、15、16字节 本分区的总扇区数 1、什么是逻辑驱动 2、什么是物理驱动器 3、怎么搜索MBR、 EBR、DBR MBR、 EBR、DBR他们都是以55AA结尾 在winhex中搜索16进制:55AA 偏移512=510 (1)搜索DBR的标志: FAT16的DBR:EB 3C 90 没有备份的DBR FAT32的DBR:EB 58 90 (备份的DBR)在该分区的第6扇区 NTFS的DBR: EB 52 90 (备份的DBR)在该分区的最后一个扇区 判别MBR的方法: MBR就在LBA第一个扇区,打开物理硬盘,第一个扇区就是了。MBR的分区表在1BE偏移往后到1FD,共64个字节,每项16个字节。1FE-1FF就是“55 AA” 判别EBR的方法: EBR的结构和MBR的结构是一样的,在倒数第五行倒数第二个字节应该是00 01,并且前446个字节应该是0 (2)查找DBR 可以通过搜索本分区的EBR去找DBR. 可以搜索EBR,定位DBR. DBR相对于EBR后63号扇区。 (3)当某分区的DBR坏了,就提示:未格式化 这个时候用winhex打开逻辑盘,就打不开。 我们只有通过打开物理驱动器,然后跳转到该分区。 就可以查看DBR是否被破坏了。。。。
《RAID数据恢复技术揭秘 I
第1章 RAID技术详解 自从计算机问世以来,存储技术就伴随着计算机的发展而飞速发展,但从重要性和影响力方面来说,没有哪项存储技术的发明能够与RAID相提并论,RAID技术理念引发了数据存储的重大变革,也成为现在虚拟化存储技术的奠基石。 RAID技术有各种级别之分,包括RAID-0、RAID-1、RAID-10、RAID-1E、RAID-2、RAID-3、RAID-4、RAID-5、RAID-5E、RAID-5EE、RAID双循环、RAID-6、JBOD等,本章将详细讲解各个级别RAID的数据组织原理、故障原因分析及其数据恢复思路。 1.1 什么是RAID 这一节首先对RAID做一个基本介绍,包括RAID的概念、RAID的作用、RAID级别的分类、软RAID和硬RAID的组建方法,同时还会对RAID中常用的一些专业术语进行讲解。 1.1.1 RAID基础知识 RAID最初是1987年在加利福尼亚大学进行的一个科研项目,后来由伯克利分校的D.A. Patterson教授在1988年正式提出。 RAID(Redundant Array of Inexpensive Disks),直译为“廉价冗余磁盘阵列”,最初是为了组合多块小容量的廉价磁盘来代替大容量的昂贵磁盘,同时希望在磁盘失效时不会对数据造成影响而开发出的一种磁盘存储技术。 后来随着硬盘研发技术的不断提升,硬盘的容量越来越大,成本却在不断下降,所以RAID中Inexpensive(廉价)一词已经失去意义,于是将这个词用Independent(独立)来替代,RAID就成了“独立冗余磁盘阵列”,也简称为“磁盘阵列”,但这只是名称的变化,实质性的内容并没有改变。 1.1.2 RAID能解决什么问题 通俗地说,RAID就是通过将多个磁盘按照一定的形式和方案组织起来,通过这样的形式能够获取比单个硬盘更高的速度、更好的稳定性、更大的存储能力的存储解决方案,用户不必关心磁盘阵列究竟由多少块硬盘组成,使用中整个阵列就如同一块硬盘一样。所以,RAID技术能够为计算机系统提供以下三个方面的优异性能:
raid5数据恢复
RAID 5: RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。RAID 5可以理解为是RAID 0和RAID 1的折中方案。RAID 5可以为系统提供数据安全保障,但保障程度要比Mirror低而磁盘空间利用率要比Mirror高。RAID 5具有和RAID 0相近似的数据读取速度,只是多了一个奇偶校验信息,写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息,RAID 5的磁盘空间利用率要比RAID 1高,存储成本相对较低,是运用较多的一种解决方案。 RAID5数据恢复技术: RAID5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案,被广泛应用于较重要数据存贮。 当只有一块磁盘损坏时,RAID5 磁盘阵列能通过其它正常运行的磁盘进行异或运算换算出故障磁盘的数据信息,从而保证磁盘阵列存贮信息的完整。通过研究RAID5 结构和数据重组的规律,发现两个以上磁盘同时出现故障或RAID 卡失效,也可以恢复故障磁盘阵列的数据。 RAID结构: RAID5 阵列中的数据是分布到每块硬盘上,RAID5中每个条带组中总有一个条带是校验块[2]。根据RAID5 校验位算法原理,校验位P0=A XOR B XOR C,如果硬盘C失效,也就是C 数据块的数据丢失,则通过A,B,P0 它们之间的异或运算重新计算出来,即C=A
XOR B XOR P0。同理通过异或运算算出P1、H、K 等等硬盘2 的所有存贮信息。因此RAID5 磁盘阵列在一块驱动器失效的情况下,仍能保证数据完整和工作正常。如果有两块或两块以上硬盘同时离线,将会出现RAID控制器物理故障、RAID信息出错、RAID5成员盘物理故障、人为误操作、RAID 控制器的稳定性变化等故障,阵列便会失效,造成磁盘阵列结构的毁坏,盘序的混乱,处理不当将会丢失数据。这时如果要恢复RAID5 故障磁盘阵列中数据就需要对阵列中的磁盘数据进行重组。 校验位算法 RAID5将校验信息均分布到所有盘上, 不再单独存放在一个盘上,构成阵列的磁盘不再有校验盘与数据盘之分。这种方式很好地保证了阵列的负载平衡, 因此具有很好的集合数据传输率。RAID5结构同样支持多盘的并发读写。RAID 5 也具有良好的容灾性能, 在单盘发生故障的情况下, 可以根据校验数据计算故障盘上的相关数据, 更换磁盘后重新进行数据重建。但同时性能也会受到一定影响。 RAID5校验位算法原理为:假设RAID-5 由以块磁盘组成,那么校验位P=D1 XOR D2 XOR D3…XOR Dn(D1,D2,D3…Dn 为数据块,P为校验块,XOR为异或运算),如果i 号磁盘失效,也就是Di 数据块的数据丢失,则通过D1,D2,D3…P,Dn 它们之间的异或运算重新计算出来,即Di=D1 XORD2 XOR D3…XOR P XOR Dn 一1。该原理论证了一个驱动器失效状态下,RAID5 磁盘阵列的数据是可以恢复的。为了挽救数据,对RAID5 的结构和数据重组原理