我试图将 65MB 的可启动映像(Nook Manager,用于 root 我的 Nook 电子书阅读器)写入 Win32 Disk Imager 中的 SD 卡。不知何故,它一定选择了我的外部硬盘并将映像写入其中。由于我在写入 SD 卡时遇到问题,我打开了磁盘管理控制面板以从我认为是 SD 卡的分区中删除分区。只有在我这样做之后,我才看到 1TB 外部硬盘显示为约 930GB 的未分配空间。
我运行了 EaseUS Partition Master,但似乎没有找到任何东西(假设我正确运行了它)。我现在正在运行 MiniTool Partition Recovery。即使在“快速”扫描中,它的运行速度也非常慢(大约需要半小时才能达到 3% 的进度)。我可以看到它为 Nook Manager 找到了一个 FAT16 分区,起始 LBA 为 32,结束 LBA 为 131071。
我是否正确地假设,如果将新分区(无论多小)写入外部硬盘(单个分区),那么旧分区将被完全破坏?但是,我还假设我的大量数据(大约 400GB)仍在那里 - 只是无法访问。对吗?
自从我意识到自己的错误后,我还没有对磁盘进行任何写入或配置。我想知道在这种情况下我有什么选择。是否有特定的软件可以提取剩余的无法访问的数据或可以恢复旧分区的剩余部分?
答案1
磁盘上任何被覆盖的部分(无论以何种方式)都无法恢复。未被覆盖的部分仍然存在。
更改分区表仍然不会删除扇区上的数据。
快速格式化不会删除数据。win7
中的完整格式化会将所有数据清零。
不同的简单硬盘恢复软件会因存在不同的文件系统类型(fat vs NTFS)而感到困惑。
簇大小相同非常重要。
在这种情况下,MFT 很可能被完全覆盖,因此指向数据的直接、简单、方便的指针不再存在。然后,取证恢复类型的程序会尝试从已知标头、顺序数据(请参阅碎片整理帮助)组装数据,还可以使用人工观察来确定哪些数据组合在一起。任何 TB 级数据的恢复都需要很长时间,如果没有表,则需要更长的时间。只要扫描软件仍在运行,您就需要给它足够的时间,因为您知道第一个被覆盖的部分需要一些时间才能通过。
注意:根据可能不会被覆盖的分区样式,存在镜像 MFT 和备份 MFT。
我只使用简单的工具进行过恢复,所以我所做的可能不是最好的方法。
我希望以与数据存储在磁盘上时完全相同的方式重新对磁盘进行分区。这将包括:
分区类型,包括动态、基本逻辑、是否为条带(RAID)等。
使用的确切簇大小。
使用的确切分区大小。
使用的确切文件系统,以及对其进行分区和格式化的相同操作系统和程序。
使用快速格式化来格式化分区,然后使用软件扫描扇区并整理观察到的内容进行恢复。
这不是答案,我也没有推荐任何软件,只是一些与你正在处理的事情有关的想法。你已经失去了一些东西,有些事情你已经知道了,所以这些东西可能很重要。
答案2
我主要从物理故障的驱动器中恢复数据,但工具是一样的,大约每年两次,我会遇到一个客户,他不小心格式化了包含重要数据的驱动器,我需要恢复所有未被覆盖的数据。根据我的经验,我可以说:
-- 是的,有软件可以帮助您和其他处于类似困境的人。-- 未分配空间中的数据仍然存在,新 FAT 分区中的一些旧数据也仍然存在。(尽管后者可能太损坏,无法在法庭之外使用 ;-))-- 您不必重新分区磁盘来恢复文件,事实上,在成功使用以下步骤之前,不应重新分区,否则您可能会丢失数据!
与该格式允许的相比,此链接对该过程进行了更详细的介绍。https://help.ubuntu.com/community/DataRecovery 接下来重点介绍了如何选择使用本文中的哪些命令,根据您的经验,您可能需要使用 Google 来理解一些术语。这并不是无礼的,只是一个有效的起点。
如果不清楚的话,我会根据需要进行编辑。
您需要访问 Linux 安装或实时 CD,以便您在实时环境中安装程序,以使以下信息起作用。我使用 Ubuntu 14.04 实时 USB,因为恢复需要一段时间,这样计算机仍然可以用作计算机。可能有一个不同的发行版默认安装了关键包“ntfs-3g”、“gddrrescue”和“foremost”,但我通常只是在启动实时环境后从存储库安装最新版本。
我通过使用 ddrescue 将整个驱动器复制到另一个较大驱动器上的映像文件来开始所有数据恢复。对于您而言,较大的驱动器应至少有 1.5 TB 的可用空间,最好是 2TB 以上。对于您而言,与某些教程相反,您不能使用“/dev/sdb2”作为输入,因为数字 2 表示分区,而您的文件位于未分配空间中。请改用“/dev/sdb”,因为它指向整个驱动器。将 sdb 替换为相关意外格式化驱动器的标识符。
对于将保存输出映像的驱动器,使用 ntfs-3g 在单独的物理磁盘上安装 NTFS 分区,因为它比默认安装方法具有更好的写入支持。然后,您将使用该安装点上的文件作为 ddrescue 的输出参数。例如,如果安装在“/mnt/largeDrive”,则可以使用“/mnt/largeDrive/myRecoveredImage.img”之类的文件作为输出文件。请注意“.img”,它有助于判断文件的类型。如果文件尚不存在,Ddrescue 将创建该文件。
不要对输出文件使用 FAT 分区,因为它会大于 FAT 的最大文件大小。
对驱动器进行映像处理需要很长时间(如果驱动器足够大或有大量坏扇区,有时可能需要几天时间),但我发现额外的数据安全性非常方便。Ddrescue 可用作 LiveCD,但我不推荐使用它,因为在执行此过程时您将无法使用计算机,并且仍需要启动到完整的 Linux 才能使用取证恢复工具。
随后,所有后续恢复操作都将应用于映像,而不是实际驱动器。因此,任何错误(除了错误运行 ddrescue 本身)都不会损坏底层数据,您可以再次尝试使用其他恢复方法。
获得映像后,有许多工具可用于恢复单个文件甚至整个文件系统,但如果我要查找标记为删除的文件,我最常使用的工具是“foremost”,偶尔也会使用“sleuthkit”。上面的链接有一节介绍如何使用这些工具和其他工具恢复单个文件。为了记录和节省谷歌时间,您无需“将备份映像安装为循环”即可在其上使用 foremost。
答案3
进入磁盘管理。右键单击所需分区,单击扩展 - 使用默认设置,它将填满空间。