今天我做了一件愚蠢的事情,比如使用 Windows“diskpart”尝试删除我的便携式 SSD NVME 256GB 中的一个卷,但我输入“clean”,然后删除了该磁盘中的所有卷。
外部 SSD 磁盘内依次为: • 8 GB Windows 恢复启动 • 147 GB 卷,用于存储 NTFS 格式的常规文件夹 • ext4 中的 2 GB linux 启动文件夹 • ext4 中的 39 GB ubuntu 加密卷 • 22 GB veracrypt 加密卷在 exfat 中(我认为是 exfat,但不确定,无论如何 Windows 显示 RAW)(这是最重要的,也是我看不到的)(用于隐藏另一个加密卷的加密卷) • 17 Gb EFI Windows 启动
在下面你可以看到我的一些屏幕截图:
结果非常混乱而且错误:
然后我把磁盘几何中的“磁头”改为8(之前是255),然后再次分析,但结果是一样的。
您知道如何像以前一样恢复所有分区吗?
答案1
我不知道Windows工具做了什么,但假设它只是删除了分区表,那么有机会。您需要找到分区的开始位置。首先,如果这些屏幕截图中的任何一个显示了原始状态,那么这可能就有足够的信息来恢复它。
如果没有,你就必须猜测。第一个通常从 1 MB 开始,并且它们往往与整兆字节对齐。但不能保证情况确实如此。
要查看磁盘的第二兆字节(可能是第一个分区的开头),请尝试以下操作:
dd if=/dev/sdb bs=1M skip=1 count=1 | file -
你说第一个分区是 Windows 恢复分区,可能是 NTFS 或 FAT。file然后会说这样的话:
/dev/stdin: DOS/MBR boot sector, code offset 0x58+2, OEM-ID "mkfs.fat", Media descriptor 0xf8, sectors/track 63, heads 255, hidden sectors 2048, sectors 524286 (volumes > 32 MB), FAT (32 bit), sectors/FAT 4033, reserved 0x1, serial number 0x7109f176, label: "EFI20210224"
或这个:
/dev/stdin: DOS/MBR boot sector, code offset 0x52+2, OEM-ID "NTFS ", sectors/cluster 8, Media descriptor 0xf8, sectors/track 0, dos < 4.0 BootSector (0x80), FAT (1Y bit by descriptor); NTFS, sectors 204799, $MFT start cluster 4, $MFTMirror start cluster 12799, bytes/RecordSegment 2^(-1*246), clusters/index block 1, serial number 064baf16e1b371b26
如果它只是说/dev/stdin: data,那么你的位置就错了。调整skip=参数直到找到它。您可能需要检查 512 字节的倍数而不是整个兆字节。你记住了大概的尺寸和顺序,所以还有机会。
对于 ext4 分区,file会这样说:
/dev/stdin: Linux rev 1.0 ext4 filesystem data, UUID=52e69144-d086-54a3-882c-97fa6985226f, volume name "proot20210224" (needs journal recovery) (extents) (64bit) (large files) (huge files)
对于每种类型的文件系统,您可以在常规文件中创建它,然后检查file它们的说明。这样您就会知道何时找到每种类型。不过,不要只是暴力破解,检查一下它们应该处于的位置。磁盘上任何地方都可能存在看起来很像文件系统标头的随机垃圾,足以欺骗人们file。
获得所有位置后,创建完全相同的布局。您可能想用于sfdisk此目的。我从来不知道更用户友好的选项所说的千兆字节意味着什么,sfdisk 总是使用 512 字节作为单位。所以第一个可能是
start=2048,size=16777216
如果它确实以 1 MB 开始,那么它是正是如此8 GiB。但大小当然取决于您找到下一个的位置。对于最后一个分区,您可以跳过大小以使用磁盘的其余部分。
如果您更新了分区表,请尝试以只读方式挂载分区,并将数据复制到其他位置。在所有数据都安全之前,我不会继续使用该磁盘读写。