当发生数据偏移如何使用PC3000 Data Extractor处理
这篇文章是关于在PC-3000 Data Extractor utility中修改数据和方法的。
通常,您已经修复了硬盘并获得了对用户区域的访问。
在Data Extractor中创建新任务,展开一个分区,但它是空的。
如何进行? – 是的,使用快速磁盘分析并尝试查找分区,也检查填充映射过程,可能某些扇区无法读取…
但我们遵循其他方法:
打开LBA 0并像分区表一样检查MBR
我们可以看到这个驱动器只有一个分区应该从LBA 2048开始,但是这个LBA是空的:
让我们使用RAW恢复并尝试查找此分区的Boot:
发现了Boot,但它在LBA 2056中,所以我们可以从这个找到的Boot添加一个分区,然后使用鼠标右键然后“添加虚拟分区”:
好的,我们得到了一个包含结构和文件的完整分区:
我们开始读取数据并保存文件,但只有少数文件可以打开,但其他文件已损坏。 该怎么办?..
如您所知,每个文件都有签名,例如JPEG图像在文件的第一个扇区中有“JFIF”或“EXIF”ASCII文本(您可以在HEX选项卡中看到它):
但并非所有的JPEG文件都有正确的签名,我们在ABA的文件夹中排序文件,并且看到所有图像(当时和所有其他文件)都有大约1亿个LBA的错误签名:
这就是文件损坏的原因。 分区是扩展文件列表,其中包含有关文件位置,每个文件的第一个LBA和长度的信息,但实际上这些文件的主体是垃圾数据,整个用户从一个LBA转移到用户区域的末尾。在不同的地方,硬盘扇区几乎没有什么变化……
那么该怎么办?
首先需要在Data Extractor中创建具有活动选项“Create virtual translator”创建虚拟翻译器”的新任务:
然后将有可用的工具手动添加。任务创建过程之后需要像上面那样展开一个分区,并找到一个带有jpeg图像的文件夹(例如家庭照片存档)。
注意:对于这个过程,您可以使用已知签名的任何其他文件。例如JPEG、PNG、TIFF、ZIP等。
例如这个文件夹:
第一个带有shift的文件从111 889 848 LBA开始,如果尝试打开它——它将被破坏,但是这个文件的整个扇区映射是OK的。
然后,我们需要找到一个原始的LBA,在这里启动这个文件。
启动RAW恢复后退约100万个LBA。在这种情况下,我们开始从111 000 LBA中搜索,并在111 945 152 LBA中找到jpeg文件:
111 945 152 LBA – 111 889 848 LBA = 55 304 LBA
因此,我们得到55 304是一个移位值(扇区数)。
返回分区并通过“移位”工具将此值添加为此JPEG文件的移位:
作为结果,我们在这个LBA的文件上固定签名,直到下一个转移(如果驱动器上有很少的偏移)。
所以,文件是正确的,可以打开:
然后需要检查此文件中的不同文件,直到用户区域结束。
查看文件夹并检查每个文件中的签名,从当前LBA到结束,尝试找到问题文件(在文件的第一个LBA内有垃圾),找到原始的第一个LBA并添加一个转换点。
因此,此方法允许修复班次问题并使用正确的数据保存文件。
所以,这是当前任务的班次列表:
如你所见 – 偏移发生了。 要耐心,祝你好运!