硬盤作為用戶存儲(chǔ)數(shù)據(jù)的主要場所，其最大的用途莫過于存儲(chǔ)數(shù)據(jù)，但有時(shí)往往由于用戶操作不甚等原因，造成用戶數(shù)據(jù)的丟失。如果對于普通用戶，數(shù)據(jù)對用戶相對而言并不重要，那么丟了就丟了，沒太大關(guān)系；但如果數(shù)據(jù)對用戶很重要（對于這類用戶，AWU推薦應(yīng)經(jīng)常備份數(shù)據(jù)），這時(shí)數(shù)據(jù)丟失了怎么辦呢？此文就是通過一次對硬盤數(shù)據(jù)的恢復(fù)過程分析來簡要說明一下硬盤數(shù)據(jù)恢復(fù)的大概方法，希望對大家恢復(fù)硬盤數(shù)據(jù)有一定的積極作用。

相關(guān)概念：

　　MBR（MAIN BOOT RECORD）即主引導(dǎo)記錄區(qū)，它位于整個(gè)硬盤的0磁道0柱面1扇區(qū)，包括硬盤引導(dǎo)程序和分區(qū)表。

　　DBR（DOS BOOT RECORD）即操作系統(tǒng)引導(dǎo)記錄區(qū)，通常位于硬盤的0磁道1柱面1扇區(qū)，是操作系統(tǒng)可直接訪問的第一個(gè)扇區(qū)，它也包括一個(gè)引導(dǎo)程序和一個(gè)被稱為BPB（BIOS PARAMETER BLOCK）的本分區(qū)參數(shù)記錄表。每個(gè)邏輯分區(qū)都有一個(gè)DBR。

　　FAT(file allocation table)即文件分配表，是dos,windows9X系統(tǒng)的文件尋址格式，為了數(shù)據(jù)安全起見，F(xiàn)AT一般做兩個(gè)， 二FAT為第一FAT的備份。

　　DIR 是DIRECTORY即根目錄區(qū)的簡寫，DIR緊接在第二FAT表之后。

估計(jì)數(shù)據(jù)丟失原因：

　　1、安裝多系統(tǒng)引導(dǎo)軟件后，異常操作造成。

　　2、遭到某種病毒感染。 數(shù)據(jù)丟失前狀態(tài)：2.5G 硬盤，原分區(qū)為：C：2G + D：500M，D盤裝有重要數(shù)據(jù)。兩分區(qū)均為FAT16格式。

數(shù)據(jù)丟失過程：

　　一次系統(tǒng)重啟后，D盤丟失。

數(shù)據(jù)丟失后的操作：

　　該客戶曾用FDISK重新分區(qū)，試圖按原分區(qū)大小再造分區(qū)，未果。但沒有格式化D盤，只格式化了C盤并重裝系統(tǒng)。

客戶的數(shù)據(jù)修復(fù)要求：

　　恢復(fù)D盤根目錄下"數(shù)碼相機(jī)"目錄內(nèi)所有文件。

所用工具：

　　NORTON DISK DOCTOR：diskedit.exe

數(shù)據(jù)修復(fù)過程：

　　一、 數(shù)據(jù)備份：主要包括物理0磁道各扇區(qū)，各分區(qū)邏輯0磁道，F(xiàn)AT表和根目錄區(qū)等，再配以GHOST備份各分區(qū)的數(shù)據(jù)區(qū)。

　　二、 分析該硬盤的主引導(dǎo)扇區(qū)MBR（包括主分區(qū)表和引導(dǎo)程序）、各分區(qū)的引導(dǎo)扇區(qū)DBR、FAT表及根目錄區(qū)。

　　由于已經(jīng)重新分區(qū)并能順利啟動(dòng)C盤（拋開病毒原因），故MBR的邏輯結(jié)構(gòu)應(yīng)該沒問題，通過DISKEDIT察看MBR所在的0磁道第一扇區(qū)，證實(shí)估計(jì)正確，但現(xiàn)分區(qū)表與原分區(qū)表是否完全一致，還不能確定。

　　通過分區(qū)表，可以查找到各分區(qū)的引導(dǎo)扇區(qū)所在的物理位置，分析后可確定C盤的各項(xiàng)重要數(shù)據(jù)(引導(dǎo)扇區(qū)、第一FAT表、 二FAT表、根目錄區(qū))均沒有異常，但D盤除了引導(dǎo)扇區(qū)DBR外、上訴的其他數(shù)據(jù)均無法對應(yīng)，DBR之所以無異常，是因?yàn)橹匦路謪^(qū)的結(jié)果，而FAT1、FAT2和根目錄區(qū)面目全非的原因，大致應(yīng)該有兩種可能：一是現(xiàn)分區(qū)與原分區(qū)不一致，導(dǎo)致數(shù)據(jù)對不上號(hào)；二是數(shù)據(jù)已被病毒破壞。

　　由于在察看MBR時(shí)，發(fā)現(xiàn)0磁道的其他扇區(qū)留有不明程序的殘余代碼，通過察看其中的一些顯示信息，可以判定是某種多系統(tǒng)軟件留下的，說明客戶曾經(jīng)安裝過多系統(tǒng)管理軟件。這樣大致可以排除病毒破壞分區(qū)的可能，分區(qū)丟失應(yīng)該是異常操作多系統(tǒng)管理軟件引起的。

　　三、 尋找原有分區(qū) 根據(jù)前面的分析，由于客戶在數(shù)據(jù)丟失后又進(jìn)行了重新分區(qū)，而且估計(jì)現(xiàn)有的分區(qū)與原來的分區(qū)不一致，這樣無疑加大了數(shù)據(jù)修復(fù)的難度，但幸好沒有格式化D盤，因?yàn)槿绻麊螁沃皇荈DISK，只會(huì)改寫原硬盤的各分區(qū)的第一扇區(qū)，如果這個(gè)扇區(qū)不落在原分區(qū)的重要參數(shù)區(qū)（DBR、FAT、根目錄）上，那么修復(fù)的成功率還是挺高的。 接下來就是尋找原有D盤的重要數(shù)據(jù)區(qū)了，根據(jù)客戶提供的資料可知，原D盤根目錄下有一叫"數(shù)碼相機(jī)"的子目錄，于是用DISKEDIT提供的搜索功能，搜索"數(shù)碼相機(jī)"對應(yīng)的十六進(jìn)制代碼，可以找到原有D盤的根目錄區(qū)。歷時(shí)30分鐘，通過過濾搜索結(jié)果，最終找到該根目錄所在的扇區(qū)，然后順藤摸瓜，向前翻過兩個(gè)FAT表（根據(jù)經(jīng)驗(yàn)大概400-500個(gè)扇區(qū)）找到原D盤的DBR所在的扇區(qū)，接著再向前翻63個(gè)扇區(qū)，找到原D盤的分區(qū)表，至此，最困難的問題攻克了。

　　四、 重建主分區(qū)表 因?yàn)榭蛻艉髞碛肍DISK重新建立的主分區(qū)表與原來的分區(qū)表并不一致，故必須手工重建原分區(qū)表，通過前面找到的原D盤分區(qū)表和原D盤的DBR，可以計(jì)算出主分區(qū)表。包括各分區(qū)的起始、結(jié)束扇區(qū)、分區(qū)大小、分區(qū)類型等。算出結(jié)果后，改寫0磁道1扇區(qū)的主分區(qū)表。

　　五、 重啟系統(tǒng)，出現(xiàn)原D盤，所有文件基本全部恢復(fù)。拷貝出"數(shù)碼相機(jī)"目錄，做好備份。通知客戶取回?cái)?shù)據(jù)。

有關(guān)本次案例的說明：

　　1、 數(shù)據(jù)備份時(shí)，不要過分相信ghost，ghost只認(rèn)正確的分區(qū)，對于隱藏的分區(qū)它不會(huì)復(fù)制。對于不正確的分區(qū)，它會(huì)報(bào)告錯(cuò)誤并停止復(fù)制過程。Ghost 并非一個(gè)純粹意義上的全盤復(fù)制軟件，它只復(fù)制那些FAT表上存在的文件，而非復(fù)制磁盤上所有的數(shù)據(jù)！

　　2、 走運(yùn)的是，該客戶重新分的D盤剛好比原D盤大幾個(gè)磁道，故新的D盤分區(qū)表被建在原C盤最后端的數(shù)據(jù)區(qū)中。所以本次基本上可以說是100%恢復(fù)了原D盤的數(shù)據(jù)了。

　　3、 更走運(yùn)的是，該客戶沒有重新格式化D盤，不然就不可能有那么高的恢復(fù)率了。

給讀者的建議：

　　在硬盤數(shù)據(jù)出現(xiàn)丟失后，請立即聯(lián)系當(dāng)?shù)氐臄?shù)據(jù)修復(fù)公司。最好不要再對硬盤進(jìn)行寫操作，那樣會(huì)增大修復(fù)的難度，也影響到修復(fù)的成功率。