使用PC-3000 Data Extractor手工展开NTFS分区

使用PC-3000 Data Extractor手工展开NTFS分区

NTFS分区手动展开

有许多情况下可以读取用户数据,但是在用户区域开始时,读取非常缓慢或驱动器盘片已损坏,因为无法扩展用户分区或需要花费大量时间。
但是,如果客户现在需要他的数据,或者我们受到硬盘的时间限制,因为它会继续损坏磁头或盘片表面,如何处理这种情况……
在本文中,我们将讨论这个问题以及可能的解决方案。

使用PC-3000 Data Extractor手工展开NTFS分区
例如,我们在Data Extractor工具中创建了一个新任务,并在开始时看到很多无法读取的扇区,DE无法识别NTFS分区。
使用PC-3000 Data Extractor手工展开NTFS分区

基本上,如果驱动器没有物理问题并且分区无法打开,我们可以启动快速磁盘分析选项或RAW恢复程序并找到分区。
但是如果硬盘盘片表面有划痕,我们有时间限制,应该快速执行步骤。唯一的方法是尝试手动扩展分区。
使用PC-3000 Data Extractor手工展开NTFS分区

在本文中,我们将讨论一个NTFS分区的硬盘。
如果我们知道驱动器上只有1个NTFS分区,我们可以尝试通过RAW恢复或GREP签名来找到NTFS引导文件
使用PC-3000 Data Extractor手工展开NTFS分区

在用户区域末尾有一个引导副本,也可用于构建虚拟分区。
但是,如果快速磁盘分析失败并且我们没有启动和引导复制(扇区不读取),那么我们可以尝试基于MFT表扩展分区。

MFT表(主文件表)是描述分区中所有用户文件的主文件。

前16个记录是系统,它们不可用于OS,因此称为元数据。这些前16个记录具有固定的LBA地址。

因此,首先我们需要在RAW恢复或GREP中找到MFT表的第一条记录。
如果驱动器读取有问题,那么我们可以使用我们的知识。
对于驱动器上的第一个NTFS分区,引导可以位于LBA 63或LBA 2048(90%的情况),正如我们在第一个MFT表格上方看到的,第一条记录具有固定的LBA,因此:
在LBA 63引导 – MFT表从6291519 LBA开始
LBA 2048引导 – MFT表从6293504 LBA开始(6291519 +(2048 – 63))
如何确定我们发现了MFT表的第一条记录?- 它在自身上有一个已知的签名$ .MFT0x0F0偏移量
使用PC-3000 Data Extractor手工展开NTFS分区

找到这条记录后,我们可以尝试扩展NTFS分区。我们添加一个虚拟NTFS分区:
使用PC-3000 Data Extractor手工展开NTFS分区

这里需要设置几个值:
使用PC-3000 Data Extractor手工展开NTFS分区

初始LBA – 预计NTFS引导扇区(63或2048)的LBA。
最终LBA – 它是分区的最后一个扇区。让我们假设在整个用户区域只有一个分区,然后设置最后一个扇区值。
簇大小 – 正如我们所知,驱动器按簇写入数据(基本上是8)。
然后我们得到这个窗口:
使用PC-3000 Data Extractor手工展开NTFS分区

我们应该填写三个字段“Total sectors,MFT_Mirr_Cluster和MFT_Cluster”。
总扇区数 – 设置最后的LBA值
MFT_Mirr_Cluster – 这是前4个MFT记录的副本 – 设置任何值(但不能为零)
MFT_Cluster – 这是第一个MFT记录的簇号(不是LBA)的值。
因此,我们知道第一个MFT记录LBA是6293504减去2048引导LBA并按簇大小8 = 786432为第一个MFT记录簇
换一种说法:
对于2048 LBA引导分区的第一个MFT记录簇=(6293504–2048)/ 8
对于63LBA引导分区的第一个MFT记录簇=(6293504–63)/ 8
因此,我们得到一个虚拟的NTFS分区,并可以执行不同的研究过程,如构建MFT映射,执行分区分析等。
在目前的情况下,我们获得了包含所有文件和文件夹的整个分区结构
使用PC-3000 Data Extractor手工展开NTFS分区

注意:我们已经创建了一个虚拟分区。没有在硬盘上写入任何内容。
本指南可能不适用于创建NTFS卷的非标准方式(通过虚拟机映像,嵌入式设备,dvr设备等)。

(0)
上一篇 2024年6月13日 16:57
下一篇 2024年6月13日 17:08

相关文章

工程师微信
联系我们

联系我们

24 小时服务热线:
18913587620
在线咨询:点击这里给我发消息
电话: 0512-68051520
地址:苏州市高新区滨河路588号赛格数码广场4楼4F61室
QQ

在线咨询:点击这里给我发消息

地图
分享本页
返回顶部