数据恢复者Rss 2.0
您当前位置:一盘数据 >> 技术文库 >> 故障案例 >> 浏览文章

恢复生成CHK的案例

时间:2009年01月11日 信息来源:网上收集 点击:收藏此文 【字体:

恢复生成 CHK的案例

戴士剑 2006.10

朋友的朋友的一移动硬盘,要求恢复数据。不知道具体恢复什么内容,故且先打开看一看,如图1所示:

当前分区目录列表
图 1目前显示的内容

首先看到有FOUND.000目录,心里先凉了一半,显然是被CHKDSK过,处理起来很麻烦的,以前做这种恢复都是经过转储存的,看看这次能不能直接处理而不需要转储。再看看容量,如图2所示。

当前分区容量属性

图2 当前容量

由此可见,是由非正常插拔或非正常关机造成的文件系统出错,然后重新启动时,操作系统运行了CHKDSK(文件系统检测),从而造成文件系统紊乱。

看看FOUND.000目录里都有什么东东,如图3所示。

FOUND.000目录内容

图3 FOUND.000目录内容

放眼一望,全是FILEXXXX.CHK,惨呀。统计一下,竟然有50多GB,几乎是全部的容量,如图4所示,显然这些内容就是丢失的那些文件目录。

FOUND.000的容量

图4 FOUND.000的容量

根据其实际内容,修改了一些文件目录项,该是目录的是目录,该是Word的是Word,先验证一下结果,如图5所示。

修改部分FILE****.CHK文件

图5 修改部分FILE****.CHK文件,验证一下

经过验证,这些FILE****.CHK文件,只要改为与其所对应的具体内容相一致,就是正常的文件或目录,显然FAT表是没有受到破坏的,只是文件目录项乱了。

但这样虽然能解决问题,却是不可行的,因为总不可能这样一个一个的手工来修改吧,4000多个文件呀,所以,还是另辟新径吧,算了,这几天事情太多,先放一边吧。这一放就放了一个星期,今天看到这个盘,想想,还是做吧,等了这么久,朋友的朋友也该着急了,再不弄也太对不起朋友了,还是想一个简单的办法吧。

先把根目录整好了,因为根目录的结构很简单,这样处理起来就会方便很多。如图6所示。

整理好的根目录

图6 整理好的根目录

经检查,只在“猫机器”目录下,第一级和第二级文件有问题,而其他目录下的文件都没有问题,很显然,该目录下的FDT的问题,如果文件目录项比较少,修正一下就应该可以全部搞定。

因为根目录下的文件目录项比较少,所以,就先把根目录下的文件和子目录修正了,现在看看FOUND.000目录下的文件目录项。如图7所示:

FOUND.000目录下的文件目录项

图7 FOUND.000目录下的文件目录项

再看看图8,这就是修正了一部分FDT后的显示。

修正过的FDT

图8 修正过的FDT

先看看数据恢复工具软件的效果,R-STUDIO扫描结果如图9所示:

R-STUDIO扫描结果

图9 R-STUDIO扫描结果

显然是不可用的。那么先把FOUND.000目录下的文件目录项清除,再看看数据恢复软件效果如何,是不是就可以达到较好的效果呢?如图10所示:

清除FILE****.CHK后的扫描效果

图10 清除FILE****.CHK后的扫描效果

可见效果差不多,并不能达到让人满意的效果,再用FINALDATA试试,其结果如图11所示:

FINALDATA的扫描结果

图11 FINALDATA的扫描结果

一看到要转存这么多文件,就头大。不急,再看看各个目录,发现虽然文件目录很多,但都集中在几个目录下,并没有很复杂的目录树,因此,只要把这几个目录项重建一下,就不用修改FOUND.000下的一个一个的文件目录项了,尤其是,修改FOUND.000下的文件目录项,还必须先判别所对应的项到底是一个子目录,还是一个文件,是什么类型的文件,如一个Word文档,就需要改扩展名为“DOC”,一个JPG图片,就需要改扩展名为“JPG”,这个工作也太辛苦了,虽然可以编写程序来实现,但这个工作量也一样很大呀。

现在既然知道涉及的FDT项很少,那就直接重建几个FDT项吧。

重建了几个目录以后,就得到了一些文件和文件夹,具体的重建方法,请参考一次典型的手工恢复数据,结果如图 12所示:

手工重建目录

图12 手工重建

统计一下文件容量,如图13所示:

重建目录结果

图13 重建结果

WINHEX查看的结果如图14所示。

WINHEX查看结果

图14 WINHEX查看结果

该盘总容量为55GB,因此,就OK了。

后经朋友的朋友确认,数据一切正常,没有任何丢失。

可见,对于这种情况,手工重建几个文件目录项,其恢复的效果要比使用数据恢复工具软件进行扫描再转存的效果要好的多,效率也高,一般都在一个小时以内搞定。本人因为工作太忙,常常需要一心多用,好几台机器一块儿工作,看看这个再看看那个,所以时间都是并行的,就是这样真正做这块盘,也不到2个小时。

其实道理也很简单,因为FAT文件系统出问题后,在没有禁用CHKDSK的情况下,CHKDSK会自动运行,其处理方式就是找到丢失的文件或目录后,一律新建一个文件目录项FILE****.CHK来指向该项,因此,此时如果使用数据恢复工具软件,因为这些文件目录项是正确的指向,虽然内容并不相符,但工具软件哪可能做的那么复杂智能呢?因此,就不会再处理这些FILE****.CHK文件项,而手工重建一个FAT的文件目录项是如此的简单,所以,就可以很随意的新建一个正确的文件目录项,来替代那些FILE****.CHK。当然,如果将这些FILE****.CHK项清除(只清除文件目录项,不要使用删除的方式,删除会破坏FAT表的),再使用数据恢复软件,也可以达到目的,只是那样还需要转存数据,而且得到的结果也很乱,后续还需要进行手工整理,吾嫌麻烦,也一般尽量减少用户这种麻烦,所以就不怎么使用工具软件。

这也正是技术与艺术的区别。

我有话说