简介
本书是中国电子信息产业发展研究院培训中心数据恢复技术培训指定教材,是从逻辑类和物理类两个方面全面讲解数据恢复技术的专业书籍。
在逻辑类数据恢复方面,本书包括MBR磁盘分区、动态磁盘分区、GPT磁盘分区、Solaris分区、APM分区、BSD分区的恢复技术,Windows平台的FAT32、FAT16、NTFS、ExFAT文件系统的恢复技术,UNIX平台的UFS文件系统恢复技术,Apple平台的HFS+文件系统恢复技术,Linux平台的EXT3、EXT4文件系统恢复技术,以及Windows、UNIX、Apple、Linux平台的RAID-0、RAID-1、RAID-5、RAID-5EE、RAID-6、HP双循环等磁盘阵列恢复技术。
在物理类数据恢复方面,本书包括各大品牌硬盘出现电路故障、磁头故障、电机故障、扇区读取故障、固件故障后数据恢复的方法及优盘无法识别的恢复方法。
如果您是数据恢复技术的初学者,本书可以由浅入深,一步步将您引入数据恢复技术的神秘殿堂;如果您已经是数据恢复技术的高手,本书同样可以带来令您惊喜的经验和技巧。
目录
第一篇 数据恢复入门与进阶知识储备
第1章 计算机中数据的记录方法 2
1.1 数据的表示方法 2
1.1.1 计算机中数据的含义 2
1.1.2 数值数据在计算机中的表示方法 6
1.1.3 字符数据在计算机中的表示方法 10
1.1.4 图形数据在计算机中的表示方法 13
1.2 数据存储的字节序与位序 14
1.2.1 endian的含义 14
1.2.2 little-endian的含义 15
1.2.3 big-endian的含义 15
1.2.4 字节序与cpu架构的关系 15
1.2.5 位序的含义 16
1.3 数据的逻辑运算 17
1.3.1 逻辑或 17
1.3.2 逻辑与 18
1.3.3 逻辑非 18
1.3.4 逻辑异或 18
1.4 数据恢复中常用的数据结构 19
1.4.1 数据结构简介 19
.1.4.2 树 21
1.4.3 二叉树 23
1.4.4 b树、b-树、b+树和b*树 24
1.4.5 树的遍历 27
第2章 现代硬盘的结构揭秘 29
2.1 现代硬盘的物理结构揭秘 29
2.1.1 硬盘的外壳及盘标信息 29
2.1.2 硬盘的电路结构 32
2.1.3 硬盘的磁头定位驱动系统 36
2.1.4 硬盘的主轴系统 37
2.1.5 硬盘的数据控制系统 37
2.1.6 硬盘的盘片 38
2.1.7 硬盘的区段及物理c/h/s 39
2.1.8 硬盘的接口技术 40
2.1.9 硬盘的主要性能指标 48
2.2 现代硬盘的逻辑结构揭秘 50
2.2.1 硬盘的逻辑磁道 50
2.2.2 硬盘的逻辑扇区 50
2.2.3 硬盘的逻辑柱面 51
2.2.4 硬盘的逻辑磁头 52
2.2.5 硬盘的逻辑c/h/s 52
2.2.6 硬盘的28位lba及48位lba 52
第3章 学习及研究数据恢复的基本工具 54
3.1 磁盘编辑器类工具 54
3.1.1 winhex使用方法详解 54
3.1.2 diskexplorer for fat使用方法详解 72
3.1.3 diskexplorer for ntfs使用方法详解 79
3.1.4 diskexplorer for linux使用方法详解 81
3.2 虚拟工具 84
3.2.1 虚拟硬盘工具使用方法详解 84
3.2.2 虚拟机使用方法详解 87
第二篇 逻辑类数据恢复技术揭秘
第4章 windows系统的数据恢复技术 92
4.1 windows系统的mbr磁盘分区 92
4.1.1 主引导记录mbr的结构和作用 92
4.1.2 主磁盘分区的结构分析 97
4.1.3 扩展分区的结构分析 103
4.1.4 mbr及ebr被破坏的分区恢复实例 109
4.1.5 分区误删除的恢复实例 121
4.1.6 系统误ghost后的分区恢复实例 129
4.2 windows系统的动态磁盘卷 134
4.2.1 动态磁盘概述 134
4.2.2 动态磁盘卷的种类及创建方法 135
4.2.3 动态磁盘ldm结构原理详解 137
4.2.4 mbr磁盘误转换为动态磁盘的恢复实例 161
4.2.5 动态磁盘扩展卷丢失的恢复实例 165
4.3 windows系统的gpt磁盘分区 179
4.3.1 gpt磁盘分区基本介绍 179
4.3.2 gpt磁盘分区的创建方法 181
4.3.3 gpt磁盘分区的结构原理 185
4.3.4 gpt磁盘分区丢失的恢复实例 192
4.4 fat16文件系统详解 197
4.4.1 fat16文件系统结构总览 198
4.4.2 fat16文件系统的dbr分析 198
4.4.3 fat16文件系统的fat表分析 203
4.4.4 fat16文件系统的fdt分析 206
4.4.5 fat16文件系统目录项分析 208
4.4.6 fat16文件系统根目录与子目录的管理 218
4.4.7 fat16文件系统删除文件的分析 219
4.4.8 fat16文件系统误格式化的分析 223
4.4.9 fat16文件系统dbr手工重建的实例 226
4.5 fat32文件系统详解 229
4.5.1 fat32文件系统结构总览 229
4.5.2 fat32文件系统的dbr分析 229
4.5.3 fat32文件系统的fat表分析 235
4.5.4 fat32文件系统的数据区分析 237
4.5.5 fat32文件系统目录项分析 238
4.5.6 fat32文件系统根目录与子目录的管理 242
4.5.7 fat32文件系统删除文件的分析 248
4.5.8 fat32文件系统删除文件后目录项起始簇号高位清零的分析 252
4.5.9 fat32文件系统误格式化的分析 257
4.5.10 fat32文件系统dbr破坏的恢复实例 260
4.5.11 fat32分区文件乱码的手工恢复实例 261
4.5.12 fat32分区被苹果电脑误格式化后的完美恢复实例 267
4.6 ntfs文件系统详解 277
4.6.1 ntfs文件系统基本介绍 277
4.6.2 ntfs文件系统结构总览 278
4.6.3 ntfs文件系统引导扇区分析 280
4.6.4 元文件$mft分析 285
4.6.5 文件记录分析 287
4.6.6 10h属性分析 296
4.6.7 20h属性分析 298
4.6.8 30h属性分析 298
4.6.9 40h属性分析 302
4.6.10 50h属性分析 303
4.6.11 60h属性分析 308
4.6.12 70h属性分析 308
4.6.13 80h属性分析 309
4.6.14 90h属性分析 313
4.6.15 a0h属性分析 315
4.6.16 b0h属性分析 315
4.6.17 c0h属性分析 316
4.6.18 d0h属性分析 317
4.6.19 e0h属性分析 317
4.6.20 100h属性分析 318
4.6.21 元文件$mftmirr分析 318
4.6.22 元文件$logfile分析 321
4.6.23 元文件$volume分析 329
4.6.24 元文件$attrdef分析 332
4.6.25 元文件$root分析 334
4.6.26 元文件$bitmap分析 336
4.6.27 元文件$boot分析 337
4.6.28 元文件$badclus分析 338
4.6.29 元文件$secure分析 339
4.6.30 元文件$upcase分析 341
4.6.31 元文件$extend分析 342
4.6.32 元文件$objid分析 343
4.6.33 元文件$quota分析 344
4.6.34 元文件$reparse分析 346
4.6.35 元文件$usnjrnl分析 347
4.6.36 ntfs的索引结构分析 348
4.6.37 手工遍历ntfs的b+树 352
4.6.38 ntfs的efs加密分析 356
4.6.39 ntfs文件系统删除文件的分析 358
4.6.40 ntfs文件系统格式化的分析 364
4.6.41 ntfs文件系统dbr手工重建的实例 367
4.7 exfat文件系统详解 372
4.7.1 exfat文件系统基本介绍 372
4.7.2 exfat文件系统结构总览 374
4.7.3 exfat文件系统的dbr分析 374
4.7.4 exfat文件系统的fat表分析 378
4.7.5 exfat文件系统的簇位图文件分析 379
4.7.6 exfat文件系统的大写字符文件分析 380
4.7.7 exfat文件系统的目录项分析 380
4.7.8 exfat文件系统根目录与子目录的管理 388
4.7.9 exfat文件系统删除文件的分析 395
4.7.10 exfat文件系统误格式化的分析 396
4.7.11 exfat文件系统dbr手工重建的实例 400
4.7.12 能够支持exfat文件系统的恢复工具 404
4.8 windows系统raid恢复技术详解 406
4.8.1 raid基础知识介绍 406
4.8.2 raid级别详解 407
4.8.3 硬raid实现方法 413
4.8.4 软raid实现方法 416
4.8.5 raid数据恢复原理 418
4.8.6 raid起始扇区的分析方法 423
4.8.7 raid条带大小的分析方法 425
4.8.8 raid成员盘的盘序分析 428
4.8.9 raid-5校验方向的分析方法 429
4.8.10 raid-5数据同步与异步的分析方法 430
4.8.11 raid恢复工具一:winhex 432
4.8.12 raid恢复工具二:r-studio 434
4.8.13 raid恢复工具三:raid reconstructor 437
4.8.14 raid恢复工具四:filescav 439
4.8.15 raid恢复工具五:ufs explorer 442
4.8.16 raid恢复工具六:getway raid recovery 442
4.8.17 服务器专业硬盘与数据恢复工作机的连接方法 445
4.8.18 raid恢复实例一:dell服务器raid-5实例分析 447
4.8.19 raid恢复实例二:hp服务器raid-5双循环实例分析 454
4.8.20 raid恢复实例三:光纤阵列柜12块fc硬盘raid-5实例分析 457
4.8.21 raid恢复实例四:ibm服务器raid-5ee实例分析 459
第5章 unix系统的数据恢复技术 466
5.1 unix家族介绍 466
5.1.1 unix的起源及分裂 466
5.1.2 unix分类及特点 467
5.2 unix的分区详解 469
5.2.1 solaris分区基本介绍 469
5.2.2 sparc solaris分区结构分析 471
5.2.3 sparc solaris分区恢复实例 476
5.2.4 x86 solaris分区结构分析 479
5.2.5 x86 solaris分区恢复实例 485
5.2.6 free bsd分区结构分析 485
5.2.7 free bsd分区恢复实例 490
5.2.8 open bsd分区结构分析 493
5.3 ufs1及ufs2文件系统详解 498
5.3.1 ufs文件系统基本介绍 498
5.3.2 ufs文件系统结构总览 499
5.3.3 ufs文件系统的引导块分析 500
5.3.4 ufs文件系统的超级块分析 501
5.3.5 ufs文件系统的柱面组概要分析 517
5.3.6 ufs文件系统的柱面组描述符分析 518
5.3.7 ufs文件系统的位图分析 522
5.3.8 ufs文件系统的i-节点分析 524
5.3.9 ufs文件系统的目录项分析 531
5.3.10 ufs文件删除与恢复的分析 535
5.3.11 ufs文件系统超级块的恢复实例 544
5.3.12 unix系统数据恢复专业工具详解 546
5.4 unix系统raid恢复技术详解 548
5.4.1 unix raid结构参数的分析方法 548
5.4.2 sun solaris系统das-raid-5恢复实例 550
第6章 apple系统的数据恢复技术 558
6.1 apple电脑介绍 558
6.1.1 apple电脑的起源与发展 558
6.1.2 mac操作系统的发展 559
6.2 apple电脑的分区结构详解 560
6.2.1 apm分区结构分析 560
6.2.2 apm分区恢复实例 568
6.2.3 gpt分区结构分析 572
6.3 hfs+文件系统详解 574
6.3.1 hfs+文件系统基本介绍 574
6.3.2 hfs+文件系统结构总览 577
6.3.3 hfs+文件系统的卷头分析 577
6.3.4 hfs+文件系统的头节点分析 584
6.3.5 hfs+文件系统的位图节点分析 591
6.3.6 hfs+文件系统的索引节点分析 591
6.3.7 hfs+文件系统的叶节点分析 592
6.3.8 hfs+文件系统节点的综合应用 593
6.3.9 hfs+文件系统的编录文件分析 594
6.3.10 hfs+文件系统的盘区溢出文件分析 604
6.3.11 hfs+文件系统的分配文件分析 608
6.3.12 hfs+文件系统的属性文件分析 609
6.3.13 hfs+文件系统的坏块文件分析 610
6.3.14 手工遍历hfs+的b-树 610
6.3.15 hfs+文件删除与恢复的分析 614
6.3.16 hfs+文件系统卷头的恢复实例 617
6.3.17 apple系统数据恢复专业工具详解 618
6.4 apple系统raid恢复技术详解 621
6.4.1 apple raid结构参数的分析方法 621
6.4.2 apple raid恢复实例分析 622
第7章 linux系统的数据恢复技术 629
7.1 linux系统介绍 629
7.1.1 linux系统的起源与发展 629
7.1.2 linux系统的分类及特点 630
7.2 linux系统的分区结构详解 631
7.2.1 mbr磁盘分区结构分析 632
7.2.2 mbr磁盘分区恢复实例 635
7.2.3 gpt分区结构分析 639
7.3 ext3文件系统结构详解 641
7.3.1 ext3文件系统基本介绍 642
7.3.2 ext3文件系统结构总览 642
7.3.3 ext3文件系统的超级块分析 643
7.3.4 ext3文件系统的块组描述符分析 649
7.3.5 ext3文件系统的块位图分析 651
7.3.6 ext3文件系统的i-节点位图分析 652
7.3.7 ext3文件系统的i-节点分析 654
7.3.8 ext3文件系统的目录项分析 660
7.3.9 ext3文件删除与恢复的分析 663
7.3.10 ext3文件系统超级块的恢复实例 674
7.3.11 linux系统数据恢复专业工具详解 677
7.4 ext4文件系统分析 680
7.4.1 ext4文件系统介绍 680
7.4.2 ext4文件系统的特点 681
7.4.3 ext4文件系统的结构 682
7.4.4 ext4文件系统的向前与向后兼容 684
7.5 linux系统raid恢复技术详解 685
7.5.1 linux raid结构参数的分析方法 685
7.5.2 linux raid恢复实例分析 686
第三篇 物理类数据恢复技术揭秘
第8章 硬盘物理故障的种类及判定 698
8.1 硬盘外部物理故障的种类和判定方法 698
8.1.1 电路板供电故障 698
8.1.2 电路板接口故障 700
8.1.3 电路板缓存故障 700
8.1.4 电路板bios故障 701
8.1.5 电路板电机驱动芯片故障 701
8.2 硬盘内部物理故障的种类和判定方法 702
8.2.1 磁头组件故障 702
8.2.2 主轴电机故障 703
8.2.3 盘片故障 704
8.2.4 固件故障 705
第9章 硬盘电路板故障的数据恢复方法 706
9.1 维修法 706
9.1.1 电路板常见故障及维修方法 706
9.1.2 希捷硬盘电路板的故障及检测方法 707
9.1.3 西部数据硬盘电路板的故障及检测方法 708
9.2 替换法 708
9.2.1 替换法介绍 708
9.2.2 希捷3.5英寸硬盘电路板兼容性判定及替换方法 709
9.2.3 希捷2.5英寸硬盘电路板兼容性判定及替换方法 711
9.2.4 西部数据3.5英寸硬盘电路板兼容性判定及替换方法 711
9.2.5 西部数据2.5英寸硬盘电路板兼容性判定及替换方法 713
9.2.6 迈拓3.5英寸硬盘电路板兼容性判定及替换方法 714
9.2.7 富士通2.5英寸硬盘电路板兼容性判定及替换方法 714
9.2.8 三星3.5英寸硬盘电路板兼容性判定及替换方法 716
9.2.9 三星2.5英寸硬盘电路板兼容性判定及替换方法 717
9.2.10 日立3.5英寸硬盘电路板兼容性判定及替换方法 719
9.2.11 日立2.5英寸硬盘电路板兼容性判定及替换方法 719
9.2.12 日立1.8英寸硬盘电路板兼容性判定及替换方法 721
9.2.13 东芝2.5英寸硬盘电路板兼容性判定及替换方法 722
第10章 硬盘磁头组件故障的数据恢复方法 725
10.1 硬盘磁头组件故障的恢复思路 725
10.1.1 开盘换磁头所需环境及工具 725
10.1.2 开盘换磁头的操作步骤 727
10.2 希捷硬盘磁头兼容性判定及开盘方法 728
10.2.1 3.5英寸硬盘开盘实例 729
10.2.2 2.5英寸硬盘开盘实例 733
10.3 西部数据硬盘磁头兼容性判定及开盘方法 736
10.3.1 3.5英寸硬盘开盘实例 736
10.3.2 2.5英寸硬盘开盘实例 739
10.4 迈拓硬盘磁头兼容性判定及开盘方法 741
10.5 富士通硬盘磁头兼容性判定及开盘方法 743
10.6 三星硬盘磁头兼容性判定及开盘方法 744
10.6.1 3.5英寸硬盘开盘实例 744
10.6.2 2.5英寸硬盘开盘实例 745
10.7 日立硬盘磁头兼容性判定及开盘方法 747
10.7.1 3.5英寸硬盘开盘实例 747
10.7.2 2.5英寸硬盘开盘实例 749
10.8 东芝硬盘磁头兼容性判定及开盘方法 750
10.9 开盘成功后如何获得数据 752
10.9.1 物理镜像法 753
10.9.2 数据提取法 753
第11章 硬盘主轴电机故障的数据恢复方法 754
11.1 主轴电机故障的恢复思路 754
11.1.1 处理主轴电机故障所需环境及工具 754
11.1.2 处理主轴电机故障的操作步骤 755
11.2 希捷3.5英寸硬盘主轴电机故障处理方法 755
11.2.1 主轴电机兼容性判定 755
11.2.2 实例演示 756
11.3 迈拓3.5英寸硬盘主轴电机故障处理方法 759
11.3.1 主轴电机兼容性判定 759
11.3.2 实例演示 760
11.4 东芝2.5英寸硬盘主轴电机故障处理方法 762
11.4.1 主轴电机兼容性判定 762
11.4.2 实例演示 762
第12章 硬盘盘片故障的数据恢复方法 766
12.1 盘片扇区故障的检测方法 766
12.2 盘片扇区故障的修复方法 769
12.2.1 重写校验法 770
12.2.2 g-list替换法 770
12.2.3 p-list隐藏法 770
12.3 盘片扇区故障的数据恢复方法 771
12.3.1 物理镜像法与数据提取法的区别与联系 771
12.3.2 用media tools professional做物理镜像 771
12.3.3 用hd duplicator做物理镜像 775
12.3.4 用pc-3000 udma de做物理镜像 780
12.3.5 用pc-3000 for scsi做物理镜像 784
12.3.6 用pc-3000 udma de提取数据 789
12.3.7 用pc-3000 udma de分磁头做物理镜像 790
第13章 硬盘固件故障的数据恢复方法 795
13.1 现代硬盘的固件结构 795
13.1.1 什么是硬盘的固件 795
13.1.2 硬盘固件的组成及作用 795
13.1.3 硬盘的生产流程 797
13.1.4 硬盘固件故障的表现 797
13.2 硬盘固件修复工具介绍 798
13.2.1 pc-3000 for dos 798
13.2.2 pc-3000 for windows 799
13.2.3 pc-3000 udma 800
13.2.4 pc-3000 udma for scsi 801
13.3 用pc-3000 udma修复迈拓硬盘的固件 801
13.3.1 识别迈拓硬盘的型号 802
13.3.2 迈拓硬盘的固件结构 803
13.3.3 迈拓硬盘a区、b区和c区固件 807
13.3.4 备份固件 808
13.3.5 检测固件 810
13.3.6 修复固件 812
13.4 用pc-3000 udma修复希捷硬盘的固件 812
13.4.1 识别希捷硬盘的型号 812
13.4.2 希捷硬盘与pc-3000 udma的连接方法 814
13.4.3 希捷硬盘的固件结构 814
13.4.4 希捷硬盘指令详解 816
13.4.5 酷鱼7200.11“固件门”解决方案 818
13.4.6 酷鱼企业级硬盘es.2“固件门”解决方案 822
第14章 优盘物理故障的数据恢复方法 824
14.1 优盘物理故障的表现及分类 824
14.1.1 优盘物理故障的表现 824
14.1.2 优盘物理故障的分类 825
14.2 优盘物理故障的修复 827
14.2.1 补焊 827
14.2.2 替换晶振 827
14.2.3 替换主控芯片 828
14.2.4 替换闪存芯片 828
14.3 用pc-3000 flash直接提取闪存芯片的数据 829
14.3.1 pc-3000 flash的工作原理 829
14.3.2 提取闪存芯片的数据 830
参考文献 835
第1章 计算机中数据的记录方法 2
1.1 数据的表示方法 2
1.1.1 计算机中数据的含义 2
1.1.2 数值数据在计算机中的表示方法 6
1.1.3 字符数据在计算机中的表示方法 10
1.1.4 图形数据在计算机中的表示方法 13
1.2 数据存储的字节序与位序 14
1.2.1 endian的含义 14
1.2.2 little-endian的含义 15
1.2.3 big-endian的含义 15
1.2.4 字节序与cpu架构的关系 15
1.2.5 位序的含义 16
1.3 数据的逻辑运算 17
1.3.1 逻辑或 17
1.3.2 逻辑与 18
1.3.3 逻辑非 18
1.3.4 逻辑异或 18
1.4 数据恢复中常用的数据结构 19
1.4.1 数据结构简介 19
.1.4.2 树 21
1.4.3 二叉树 23
1.4.4 b树、b-树、b+树和b*树 24
1.4.5 树的遍历 27
第2章 现代硬盘的结构揭秘 29
2.1 现代硬盘的物理结构揭秘 29
2.1.1 硬盘的外壳及盘标信息 29
2.1.2 硬盘的电路结构 32
2.1.3 硬盘的磁头定位驱动系统 36
2.1.4 硬盘的主轴系统 37
2.1.5 硬盘的数据控制系统 37
2.1.6 硬盘的盘片 38
2.1.7 硬盘的区段及物理c/h/s 39
2.1.8 硬盘的接口技术 40
2.1.9 硬盘的主要性能指标 48
2.2 现代硬盘的逻辑结构揭秘 50
2.2.1 硬盘的逻辑磁道 50
2.2.2 硬盘的逻辑扇区 50
2.2.3 硬盘的逻辑柱面 51
2.2.4 硬盘的逻辑磁头 52
2.2.5 硬盘的逻辑c/h/s 52
2.2.6 硬盘的28位lba及48位lba 52
第3章 学习及研究数据恢复的基本工具 54
3.1 磁盘编辑器类工具 54
3.1.1 winhex使用方法详解 54
3.1.2 diskexplorer for fat使用方法详解 72
3.1.3 diskexplorer for ntfs使用方法详解 79
3.1.4 diskexplorer for linux使用方法详解 81
3.2 虚拟工具 84
3.2.1 虚拟硬盘工具使用方法详解 84
3.2.2 虚拟机使用方法详解 87
第二篇 逻辑类数据恢复技术揭秘
第4章 windows系统的数据恢复技术 92
4.1 windows系统的mbr磁盘分区 92
4.1.1 主引导记录mbr的结构和作用 92
4.1.2 主磁盘分区的结构分析 97
4.1.3 扩展分区的结构分析 103
4.1.4 mbr及ebr被破坏的分区恢复实例 109
4.1.5 分区误删除的恢复实例 121
4.1.6 系统误ghost后的分区恢复实例 129
4.2 windows系统的动态磁盘卷 134
4.2.1 动态磁盘概述 134
4.2.2 动态磁盘卷的种类及创建方法 135
4.2.3 动态磁盘ldm结构原理详解 137
4.2.4 mbr磁盘误转换为动态磁盘的恢复实例 161
4.2.5 动态磁盘扩展卷丢失的恢复实例 165
4.3 windows系统的gpt磁盘分区 179
4.3.1 gpt磁盘分区基本介绍 179
4.3.2 gpt磁盘分区的创建方法 181
4.3.3 gpt磁盘分区的结构原理 185
4.3.4 gpt磁盘分区丢失的恢复实例 192
4.4 fat16文件系统详解 197
4.4.1 fat16文件系统结构总览 198
4.4.2 fat16文件系统的dbr分析 198
4.4.3 fat16文件系统的fat表分析 203
4.4.4 fat16文件系统的fdt分析 206
4.4.5 fat16文件系统目录项分析 208
4.4.6 fat16文件系统根目录与子目录的管理 218
4.4.7 fat16文件系统删除文件的分析 219
4.4.8 fat16文件系统误格式化的分析 223
4.4.9 fat16文件系统dbr手工重建的实例 226
4.5 fat32文件系统详解 229
4.5.1 fat32文件系统结构总览 229
4.5.2 fat32文件系统的dbr分析 229
4.5.3 fat32文件系统的fat表分析 235
4.5.4 fat32文件系统的数据区分析 237
4.5.5 fat32文件系统目录项分析 238
4.5.6 fat32文件系统根目录与子目录的管理 242
4.5.7 fat32文件系统删除文件的分析 248
4.5.8 fat32文件系统删除文件后目录项起始簇号高位清零的分析 252
4.5.9 fat32文件系统误格式化的分析 257
4.5.10 fat32文件系统dbr破坏的恢复实例 260
4.5.11 fat32分区文件乱码的手工恢复实例 261
4.5.12 fat32分区被苹果电脑误格式化后的完美恢复实例 267
4.6 ntfs文件系统详解 277
4.6.1 ntfs文件系统基本介绍 277
4.6.2 ntfs文件系统结构总览 278
4.6.3 ntfs文件系统引导扇区分析 280
4.6.4 元文件$mft分析 285
4.6.5 文件记录分析 287
4.6.6 10h属性分析 296
4.6.7 20h属性分析 298
4.6.8 30h属性分析 298
4.6.9 40h属性分析 302
4.6.10 50h属性分析 303
4.6.11 60h属性分析 308
4.6.12 70h属性分析 308
4.6.13 80h属性分析 309
4.6.14 90h属性分析 313
4.6.15 a0h属性分析 315
4.6.16 b0h属性分析 315
4.6.17 c0h属性分析 316
4.6.18 d0h属性分析 317
4.6.19 e0h属性分析 317
4.6.20 100h属性分析 318
4.6.21 元文件$mftmirr分析 318
4.6.22 元文件$logfile分析 321
4.6.23 元文件$volume分析 329
4.6.24 元文件$attrdef分析 332
4.6.25 元文件$root分析 334
4.6.26 元文件$bitmap分析 336
4.6.27 元文件$boot分析 337
4.6.28 元文件$badclus分析 338
4.6.29 元文件$secure分析 339
4.6.30 元文件$upcase分析 341
4.6.31 元文件$extend分析 342
4.6.32 元文件$objid分析 343
4.6.33 元文件$quota分析 344
4.6.34 元文件$reparse分析 346
4.6.35 元文件$usnjrnl分析 347
4.6.36 ntfs的索引结构分析 348
4.6.37 手工遍历ntfs的b+树 352
4.6.38 ntfs的efs加密分析 356
4.6.39 ntfs文件系统删除文件的分析 358
4.6.40 ntfs文件系统格式化的分析 364
4.6.41 ntfs文件系统dbr手工重建的实例 367
4.7 exfat文件系统详解 372
4.7.1 exfat文件系统基本介绍 372
4.7.2 exfat文件系统结构总览 374
4.7.3 exfat文件系统的dbr分析 374
4.7.4 exfat文件系统的fat表分析 378
4.7.5 exfat文件系统的簇位图文件分析 379
4.7.6 exfat文件系统的大写字符文件分析 380
4.7.7 exfat文件系统的目录项分析 380
4.7.8 exfat文件系统根目录与子目录的管理 388
4.7.9 exfat文件系统删除文件的分析 395
4.7.10 exfat文件系统误格式化的分析 396
4.7.11 exfat文件系统dbr手工重建的实例 400
4.7.12 能够支持exfat文件系统的恢复工具 404
4.8 windows系统raid恢复技术详解 406
4.8.1 raid基础知识介绍 406
4.8.2 raid级别详解 407
4.8.3 硬raid实现方法 413
4.8.4 软raid实现方法 416
4.8.5 raid数据恢复原理 418
4.8.6 raid起始扇区的分析方法 423
4.8.7 raid条带大小的分析方法 425
4.8.8 raid成员盘的盘序分析 428
4.8.9 raid-5校验方向的分析方法 429
4.8.10 raid-5数据同步与异步的分析方法 430
4.8.11 raid恢复工具一:winhex 432
4.8.12 raid恢复工具二:r-studio 434
4.8.13 raid恢复工具三:raid reconstructor 437
4.8.14 raid恢复工具四:filescav 439
4.8.15 raid恢复工具五:ufs explorer 442
4.8.16 raid恢复工具六:getway raid recovery 442
4.8.17 服务器专业硬盘与数据恢复工作机的连接方法 445
4.8.18 raid恢复实例一:dell服务器raid-5实例分析 447
4.8.19 raid恢复实例二:hp服务器raid-5双循环实例分析 454
4.8.20 raid恢复实例三:光纤阵列柜12块fc硬盘raid-5实例分析 457
4.8.21 raid恢复实例四:ibm服务器raid-5ee实例分析 459
第5章 unix系统的数据恢复技术 466
5.1 unix家族介绍 466
5.1.1 unix的起源及分裂 466
5.1.2 unix分类及特点 467
5.2 unix的分区详解 469
5.2.1 solaris分区基本介绍 469
5.2.2 sparc solaris分区结构分析 471
5.2.3 sparc solaris分区恢复实例 476
5.2.4 x86 solaris分区结构分析 479
5.2.5 x86 solaris分区恢复实例 485
5.2.6 free bsd分区结构分析 485
5.2.7 free bsd分区恢复实例 490
5.2.8 open bsd分区结构分析 493
5.3 ufs1及ufs2文件系统详解 498
5.3.1 ufs文件系统基本介绍 498
5.3.2 ufs文件系统结构总览 499
5.3.3 ufs文件系统的引导块分析 500
5.3.4 ufs文件系统的超级块分析 501
5.3.5 ufs文件系统的柱面组概要分析 517
5.3.6 ufs文件系统的柱面组描述符分析 518
5.3.7 ufs文件系统的位图分析 522
5.3.8 ufs文件系统的i-节点分析 524
5.3.9 ufs文件系统的目录项分析 531
5.3.10 ufs文件删除与恢复的分析 535
5.3.11 ufs文件系统超级块的恢复实例 544
5.3.12 unix系统数据恢复专业工具详解 546
5.4 unix系统raid恢复技术详解 548
5.4.1 unix raid结构参数的分析方法 548
5.4.2 sun solaris系统das-raid-5恢复实例 550
第6章 apple系统的数据恢复技术 558
6.1 apple电脑介绍 558
6.1.1 apple电脑的起源与发展 558
6.1.2 mac操作系统的发展 559
6.2 apple电脑的分区结构详解 560
6.2.1 apm分区结构分析 560
6.2.2 apm分区恢复实例 568
6.2.3 gpt分区结构分析 572
6.3 hfs+文件系统详解 574
6.3.1 hfs+文件系统基本介绍 574
6.3.2 hfs+文件系统结构总览 577
6.3.3 hfs+文件系统的卷头分析 577
6.3.4 hfs+文件系统的头节点分析 584
6.3.5 hfs+文件系统的位图节点分析 591
6.3.6 hfs+文件系统的索引节点分析 591
6.3.7 hfs+文件系统的叶节点分析 592
6.3.8 hfs+文件系统节点的综合应用 593
6.3.9 hfs+文件系统的编录文件分析 594
6.3.10 hfs+文件系统的盘区溢出文件分析 604
6.3.11 hfs+文件系统的分配文件分析 608
6.3.12 hfs+文件系统的属性文件分析 609
6.3.13 hfs+文件系统的坏块文件分析 610
6.3.14 手工遍历hfs+的b-树 610
6.3.15 hfs+文件删除与恢复的分析 614
6.3.16 hfs+文件系统卷头的恢复实例 617
6.3.17 apple系统数据恢复专业工具详解 618
6.4 apple系统raid恢复技术详解 621
6.4.1 apple raid结构参数的分析方法 621
6.4.2 apple raid恢复实例分析 622
第7章 linux系统的数据恢复技术 629
7.1 linux系统介绍 629
7.1.1 linux系统的起源与发展 629
7.1.2 linux系统的分类及特点 630
7.2 linux系统的分区结构详解 631
7.2.1 mbr磁盘分区结构分析 632
7.2.2 mbr磁盘分区恢复实例 635
7.2.3 gpt分区结构分析 639
7.3 ext3文件系统结构详解 641
7.3.1 ext3文件系统基本介绍 642
7.3.2 ext3文件系统结构总览 642
7.3.3 ext3文件系统的超级块分析 643
7.3.4 ext3文件系统的块组描述符分析 649
7.3.5 ext3文件系统的块位图分析 651
7.3.6 ext3文件系统的i-节点位图分析 652
7.3.7 ext3文件系统的i-节点分析 654
7.3.8 ext3文件系统的目录项分析 660
7.3.9 ext3文件删除与恢复的分析 663
7.3.10 ext3文件系统超级块的恢复实例 674
7.3.11 linux系统数据恢复专业工具详解 677
7.4 ext4文件系统分析 680
7.4.1 ext4文件系统介绍 680
7.4.2 ext4文件系统的特点 681
7.4.3 ext4文件系统的结构 682
7.4.4 ext4文件系统的向前与向后兼容 684
7.5 linux系统raid恢复技术详解 685
7.5.1 linux raid结构参数的分析方法 685
7.5.2 linux raid恢复实例分析 686
第三篇 物理类数据恢复技术揭秘
第8章 硬盘物理故障的种类及判定 698
8.1 硬盘外部物理故障的种类和判定方法 698
8.1.1 电路板供电故障 698
8.1.2 电路板接口故障 700
8.1.3 电路板缓存故障 700
8.1.4 电路板bios故障 701
8.1.5 电路板电机驱动芯片故障 701
8.2 硬盘内部物理故障的种类和判定方法 702
8.2.1 磁头组件故障 702
8.2.2 主轴电机故障 703
8.2.3 盘片故障 704
8.2.4 固件故障 705
第9章 硬盘电路板故障的数据恢复方法 706
9.1 维修法 706
9.1.1 电路板常见故障及维修方法 706
9.1.2 希捷硬盘电路板的故障及检测方法 707
9.1.3 西部数据硬盘电路板的故障及检测方法 708
9.2 替换法 708
9.2.1 替换法介绍 708
9.2.2 希捷3.5英寸硬盘电路板兼容性判定及替换方法 709
9.2.3 希捷2.5英寸硬盘电路板兼容性判定及替换方法 711
9.2.4 西部数据3.5英寸硬盘电路板兼容性判定及替换方法 711
9.2.5 西部数据2.5英寸硬盘电路板兼容性判定及替换方法 713
9.2.6 迈拓3.5英寸硬盘电路板兼容性判定及替换方法 714
9.2.7 富士通2.5英寸硬盘电路板兼容性判定及替换方法 714
9.2.8 三星3.5英寸硬盘电路板兼容性判定及替换方法 716
9.2.9 三星2.5英寸硬盘电路板兼容性判定及替换方法 717
9.2.10 日立3.5英寸硬盘电路板兼容性判定及替换方法 719
9.2.11 日立2.5英寸硬盘电路板兼容性判定及替换方法 719
9.2.12 日立1.8英寸硬盘电路板兼容性判定及替换方法 721
9.2.13 东芝2.5英寸硬盘电路板兼容性判定及替换方法 722
第10章 硬盘磁头组件故障的数据恢复方法 725
10.1 硬盘磁头组件故障的恢复思路 725
10.1.1 开盘换磁头所需环境及工具 725
10.1.2 开盘换磁头的操作步骤 727
10.2 希捷硬盘磁头兼容性判定及开盘方法 728
10.2.1 3.5英寸硬盘开盘实例 729
10.2.2 2.5英寸硬盘开盘实例 733
10.3 西部数据硬盘磁头兼容性判定及开盘方法 736
10.3.1 3.5英寸硬盘开盘实例 736
10.3.2 2.5英寸硬盘开盘实例 739
10.4 迈拓硬盘磁头兼容性判定及开盘方法 741
10.5 富士通硬盘磁头兼容性判定及开盘方法 743
10.6 三星硬盘磁头兼容性判定及开盘方法 744
10.6.1 3.5英寸硬盘开盘实例 744
10.6.2 2.5英寸硬盘开盘实例 745
10.7 日立硬盘磁头兼容性判定及开盘方法 747
10.7.1 3.5英寸硬盘开盘实例 747
10.7.2 2.5英寸硬盘开盘实例 749
10.8 东芝硬盘磁头兼容性判定及开盘方法 750
10.9 开盘成功后如何获得数据 752
10.9.1 物理镜像法 753
10.9.2 数据提取法 753
第11章 硬盘主轴电机故障的数据恢复方法 754
11.1 主轴电机故障的恢复思路 754
11.1.1 处理主轴电机故障所需环境及工具 754
11.1.2 处理主轴电机故障的操作步骤 755
11.2 希捷3.5英寸硬盘主轴电机故障处理方法 755
11.2.1 主轴电机兼容性判定 755
11.2.2 实例演示 756
11.3 迈拓3.5英寸硬盘主轴电机故障处理方法 759
11.3.1 主轴电机兼容性判定 759
11.3.2 实例演示 760
11.4 东芝2.5英寸硬盘主轴电机故障处理方法 762
11.4.1 主轴电机兼容性判定 762
11.4.2 实例演示 762
第12章 硬盘盘片故障的数据恢复方法 766
12.1 盘片扇区故障的检测方法 766
12.2 盘片扇区故障的修复方法 769
12.2.1 重写校验法 770
12.2.2 g-list替换法 770
12.2.3 p-list隐藏法 770
12.3 盘片扇区故障的数据恢复方法 771
12.3.1 物理镜像法与数据提取法的区别与联系 771
12.3.2 用media tools professional做物理镜像 771
12.3.3 用hd duplicator做物理镜像 775
12.3.4 用pc-3000 udma de做物理镜像 780
12.3.5 用pc-3000 for scsi做物理镜像 784
12.3.6 用pc-3000 udma de提取数据 789
12.3.7 用pc-3000 udma de分磁头做物理镜像 790
第13章 硬盘固件故障的数据恢复方法 795
13.1 现代硬盘的固件结构 795
13.1.1 什么是硬盘的固件 795
13.1.2 硬盘固件的组成及作用 795
13.1.3 硬盘的生产流程 797
13.1.4 硬盘固件故障的表现 797
13.2 硬盘固件修复工具介绍 798
13.2.1 pc-3000 for dos 798
13.2.2 pc-3000 for windows 799
13.2.3 pc-3000 udma 800
13.2.4 pc-3000 udma for scsi 801
13.3 用pc-3000 udma修复迈拓硬盘的固件 801
13.3.1 识别迈拓硬盘的型号 802
13.3.2 迈拓硬盘的固件结构 803
13.3.3 迈拓硬盘a区、b区和c区固件 807
13.3.4 备份固件 808
13.3.5 检测固件 810
13.3.6 修复固件 812
13.4 用pc-3000 udma修复希捷硬盘的固件 812
13.4.1 识别希捷硬盘的型号 812
13.4.2 希捷硬盘与pc-3000 udma的连接方法 814
13.4.3 希捷硬盘的固件结构 814
13.4.4 希捷硬盘指令详解 816
13.4.5 酷鱼7200.11“固件门”解决方案 818
13.4.6 酷鱼企业级硬盘es.2“固件门”解决方案 822
第14章 优盘物理故障的数据恢复方法 824
14.1 优盘物理故障的表现及分类 824
14.1.1 优盘物理故障的表现 824
14.1.2 优盘物理故障的分类 825
14.2 优盘物理故障的修复 827
14.2.1 补焊 827
14.2.2 替换晶振 827
14.2.3 替换主控芯片 828
14.2.4 替换闪存芯片 828
14.3 用pc-3000 flash直接提取闪存芯片的数据 829
14.3.1 pc-3000 flash的工作原理 829
14.3.2 提取闪存芯片的数据 830
参考文献 835
Deep secret on data recovery vehicle
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×