数据恢复-r-studio专题文章教程【整理版】x

2024年1月10日发(作者：)

数据恢复-r-studio专题文章教程【整理版】

详解使用R-Studio恢复数据之1：误分区后的恢复

本文来源于《数据重现－－文件系统原理精解与数据恢复最佳实践》

R-Studio是一款功能比较强大的数据恢复软件，它的特点有如下几点：

1）

支持FAT系列、NTFS系列、UFS系列、ExtX等文件系统。

2）

参数设置非常灵活，使恢复人员可以根据不同的具体情况进行相应的设置，以最大可能地恢复数据。

3）

支持远程恢复，可以通过网络恢复远程计算机中的数据。

4）

支持分区丢失、格式化、误删除等情况下的数据恢复。

5）

不只支持基本磁盘，还支持动态磁盘。

6）

支持RAID恢复，可以恢复跨区卷、RAID0、RAID1及RAID5的数据。

R-Studio也可以象Winhex一样不依赖于磁盘主引导扇区的“55AA”有效签名标志对分区表进行识别并列举出各个分区。前面介绍MHDD时曾经提到，当某个分区的引导扇区恰好处于坏道上，导致系统启动时因无法读取坏道上的信息而

启动缓慢甚至无法进入系统时，可以使用MHDD提供的“Switchmbr”命令清除主引导记录扇区的“55AA”标志，使操作系统将磁盘视为未初始化而不再检索其分区表，从而可以顺利地进入操作系统。然后，就可以利用R-Studio不依赖于“55AA”标志的特性恢复数据。

对于R-Studio的特性我们不再做更多的介绍，有兴趣的读者可以登陆[url]/qtzl/qt2/[/url]网站查看R-Studio帮助文件的译文。下面我们来使用它进行实际的恢复演示，读者对其有个基本的了解后，可以自行研究其强大的功能。

1．分区恢复

R-Studio可以通过对整个磁盘的扫描，利用智能检索技术搜索到的数据来确定现存的和曾经存在过的分区以及它的文件系统格式。下面，我们以一个20GB容量的磁盘演示分区恢复的过程。

首先在磁盘上建立三个分区，并向其中拷入数据。运行R-Studio后，程序可以自动识别到硬盘，读取其分区表并列举出现存的分区。如图10.62所示。

我们用做实验的磁盘型号为IC25N020CSH201D2GACA20，R-Studio可以自动识别这个型号。选中该磁盘后，在右侧的窗口中会给出该磁盘的型号、在系统中的设备号以及容量等信息。

可以看到，该磁盘分为三个分区，第一个分区为FAT32文件系统，起始于31.5KB（63号扇区）的位置，大小为3.9GB；第二个分区为NTFS文件系统，起始于3.9GB的位置，大小为7.8GB；最后一个分区为FAT32文件系统，起始于11.7GB的位置，大小为6.9GB。双击列举出的

一个逻辑磁盘，就可以遍历该文件系统并以目录树的形式显示其中的目录及文件。如图10.63所示，R-Studio列出了我们选择的第一个分区的数据。

第一个目录为元数据文件目录，其中存放的是文件系统的管理数据，对于FAT32来讲，就是DBR及FAT表。Root为根目录，单击Root后，可以在右侧的窗口中显示出根目录下所有的目录及文件。

接下来，我们将硬盘中的分区删除后重新建立了两个分区，以制造分区被破坏的现场。然后开始恢复。

步骤1 扫描磁盘。要找到原来的分区，需要对整个磁盘进行扫描。因此，必须选择界面中的物理磁盘进行操作，而不能选择一个逻辑分区。

在磁盘上右击，然后在弹出的菜单中单击Scan（扫描），如图10.64所示。

单击Scan后会弹出扫描设置对话框，如图10.65所示。

在扫描设置对话框中，可以设置扫描的起始位置和大小。程序默认从磁盘的起始位置开始对整个磁盘进行扫描。如果要寻找磁盘的所有分区，不需要改动Start和Size栏中的数值。如果只是想恢复某个分区的数据，并且知道该分区的大致起始位置及大小的话，可以在Start（起始）栏中输入扫描的起始位置，在Size栏中输入扫描的范围大小。输入数值时，如果以扇区为单位，需要在输入的数值后加“S”，以MB为单位则加“MB”，以GB为单位则加“GB”。

“File Systems”栏中为支持的文件系统类型，可以支持的类型有Linux的ExtX、Windows的FAT和NTFS、苹果机的HFS以及Unix的

UFS文件系统。单击其后的向下箭头可以在下拉列表中选择想要寻找的文件系统类型。程序默认勾选所有的类型选项，应该根据实际情况只保留可能存在的文件系统类型，以降低计算机的负载并提高扫描速度。在我们的演示中，只有FAT及NTFS类型的文件系统，因此我们可以去掉其他的类型选项，只保留对这两种文件系统类型的勾选。

“Extra Search for Known File Types”选项默认被勾选，勾选此项时，程序在扫描的过程中会同时搜索已知文件类型的特征值，并在搜索结果中将搜索到的同类文件单独存放在一个目录中。单击其后的“Known File Types”按钮可以查看程序所支持的文件类型种类。不过，只有在文件系统破坏非常严重，文件的元数据信息全部丢失的情况下才需要使用这种恢复方式。为了提高搜索速度，不建议勾选此项。如果确实需要以这种方式恢复时，我们建议使用将在下一小节介绍的RAW恢复软件Recver My Files。

设置完毕并确认无误后，单击Scan按钮即开始扫描。如图10.66所示。

扫描的时间长短根据磁盘容量的大小、接口、扫描设置以及计算机的运算速度不同而有所差异。

步骤2 查验扫描结果。扫描结束后，程序即列出所有可能存在的分区，并给出每个分区的起始位置和大小。单击某个分区后，右侧的窗口中即会给出该分区的逻辑参数，如每FAT项大小、簇大小、根目录起始簇、FAT1的起始位置及每FAT表的大小等。如图10.67所示。

从图中可以看到，程序共搜索到了一个NTFS类型分区和四个FAT32分区。实际上，这四个FAT32分区只是两个。那么，为什么会出现这种情况呢？

我们先来画一个示意图，如图10.68所示。

我们对磁盘原来的分区结构进行破坏并新建分区后，新建的第一个分区与原来的第一个分区都是起始于磁盘的63号扇区，但分区后我们并没有对其进行格式化，这样，63号扇区内就不

会有任何内容。但位于磁盘69号扇区的原第一分区的DBR备份依然存在，FAT表也完好无损。程序扫描时，首先在69号扇区找到一个DBR，根据这个DBR中的参数虚拟一个分区并解释其中的数据。这个分区就是图10.67中显示的起始于34.5KB位置的FAT32分区Recognized8。可想而知，这个分区以原来的DBR备份扇区做为分区的起始位置，将使用FAT表、根目录等数据结构的位置相对地向后移6个扇区，也就不可能正确地解释其中的数据。双击该逻辑磁盘后，程序即开始根据该分区的参数遍历整个分区，然后列表显示找到的目录及文件。如图10.69所示。

从图10.69可以看到，虽然程序列出了该分区内的目录和文件，目录名和文件名也正确，但这只是它根据搜索到的目录项列出的内容，因为扇区起始位置错误，根据目录项中描述的子目录或文件的起始簇对其进行访问时，将无法访问到子目录或文件的正确起始位置。所以，子目录名的前面显示为问号图标，因为对该目录进行访问时并没有在其中找到正确的内容，在左侧窗口中单击一个带问号的子目录时，在右侧的窗口中将显示为空或乱码。

右侧窗口中的文件也一样，右击一个文件，在弹出的快捷菜单中选择View/Edit，可以在一个十六进制编辑窗口中打开该文件，如果对该文件类型的特征值比较熟悉的话，能够判断出该文件的文件头是否正确。我们选择打开了一个Word文档，很显示这不是一个正确的Word文档的文件头（如图10.70所示），因为Word文档的文件头的前8个字节在十六进制窗口中将显示为“D0CF11E0A1B11AE1”。

注意：R-Studio并不是由0开始对磁盘及分区中的扇区进行编号，而是由1开始。因此，使用R-Studio与Winhex协同工作时应该注意，对于同一个扇区，在Winhex中的扇区号要比R-Studio中的扇区号小1。

程序搜索的过程中，不只搜索DBR，还会搜索FAT的起始位置。因此，它在99号扇区搜索到一个FAT表。但并没有DBR与该FAT表相对应（与之对应的63号扇区的DBR被清空了），因此，程序就再虚拟一个分区，因为通过FAT表的位置并不能得知原DBR的位置，所以程序就将分区的起始位置显示为该FAT表的起

始位置，这就是图10.67中显示的起始于49.5KB的FAT32分区Recognized7。由于这个分区的位置是正确的，所以它可以正确地显示出其中的数据结构。如图10.71所示。

另外两个列出的FAT32分区是原三个分区的最后一个，与第一个分区不同的是，它的DBR扇区与DBR备份都是完好的，程序扫描到原始DBR后根据其参数虚拟一个分区，也就是图10.67中列出的Recognized6号分区。而这个分区的参数完全正确，能够正确链接到FAT1，所以不会将此分区的起始位置显示为FAT表的起始位置。Recognized9号分区是程序根据扫描到Recognized6号分区的DBR备份后虚拟出的一

个分区，这个分区也无法正确的解释其中的数据。

步骤3 恢复数据。在要恢复的目录或文件上右击，在弹出的快捷菜单中选择Recover，或对要恢复的数据进行勾选后右击一个目录或文件，在弹出的快捷菜单中选择Recover Marked（如图10.72所示），即可弹出保存路径选择对话框，选择好存放路径后单击OK按钮即可将数据恢复至指定的位置。

使用R-Studio万能通用数据恢复法图文教程

我们所指的万能数据恢复法，就是在待恢复存储介质没有硬件故障的情况下，使用数据恢复软件全盘扫描，虽然扫描时间长了一些，但不用太关心分区大小及格式，什么故障类型，数据恢复软件会自动将分区结构，分区大小，分区类型，删除的数据文件，丢失的数据文件，无链接的单类型文件计算分析组合整理出来，你只需要挑选你要的数据即可。R-Studio数据恢复软件就有这种强大功能，本文以R-Studio为例，介绍演示全硬盘扫描恢复数据的方法。

一块160G硬盘，客户描述是电脑系统故障，然后重新分区格式化安装。20天后，发现一些需要的数据没有备份，于是寻求我们的帮助。我们将故障硬盘连接到电脑上，在我的电脑中可看到共4个分区，格式为FAT32。

在我的电脑上右键单击--管理--然后进入磁盘管理，可以更加直观的了解现在结构，对后面的数据恢复过程很有帮助。

通过磁盘管理，我们对故障硬盘当前的分区结构和盘符的分配，有了更直观的了解，请注意区分本机硬盘和客户硬盘。

我们首先要了解故障硬盘当前分区的数据量，即对以前数据的覆盖破坏量。在磁盘管理中，在每个盘符上--单击--右键--属性，这是客户硬盘当前第一个分区H盘的属性。剩余空间不多，但客户声明本区为操作系统分区，数据不在这里。因此我们大致了解一下即可。

客户硬盘当前第二个分区 I

盘的属性,这个分区占用量为4.86G，这意味着对原来数据可能有约4.86G的覆盖破坏量，是不是覆盖在原重要数据位置要看运气，还原分区后可具体分析。

客户硬盘第3、4个分区K盘和L盘已用空间都基本为空，这些位置的数据恢复效果将会很好。

诊断了解客户硬盘状况完毕，下面开始数据恢复，这里我们使用R-Studio软件来恢复数据，获取R-Studio后并安装运行。

客户需要的是重新分区格式化安装系统以前的数据，并且要求尽可能全部恢复，因为他不记得原来数据放在什么位置，因此需要点击选择扫描恢复整个硬盘而不是分区。选择要恢复的硬盘或分区，点击R-Studio的开始扫描图标。你可以根据硬盘型号、卷标、

文件系统、

开始位置、

分区大小来正确确认。

点击开始扫描后，R-Studio弹出扫描设置窗口，一般采用默认选项即可，也可以去掉我们不需要的文件系统，可加快分析速度。我们要扫描的是整个硬盘，所以从0位置开始，长度149.1G

。

也可以精简R-Studio要分析的文件系统，Windows操作系统只可能是FAT和NTFS格式。

R-Studio扫描速度很快。整个硬盘扫描到一半了，在这里可以看到数据分布、分区状况及扫描进度，160G硬盘大约要1小时。

R-Studio扫描完成，OK。

扫描结束后，将R-Studio的扫描信息保存一下是个好习惯，以后可以直接打开，无需再扫描。

选择一个保存位置，注意！不要选择待恢复数据的硬盘上的分区！！

以后我们再次需要R-Studio的扫描信息时，可以打开扫描信息文件，这一点对数据恢复公司很实用。

这是R-Studio扫描到的分区结构，分区大小、起始位置、文件系统等信息都分列出来。根据每个分区的完整度，R-Studio分开显示不同的推荐级别，用绿色、橙色、红色表示，依次推荐级别不同。

下面重点是怎样排除并挑选有可能是要恢复数据的分区。

我们首先排除那些与当前结构一样的扫描结果，排除后，我们分析剩余的分区结构，从最高推荐等级绿色项中，可以看到从48.8G开始的，首尾相接完整的4个优质扫描分区，分别是

48.8+29.3=78.1、78.1+29.3=107.4、107.4+20.5=127.9、128+21.1=149.1，直到硬盘尾部。这样完全可以确认这是故障硬盘没有被分区格式化安装系统之前的结构，即硬盘的后4个分区。

确定完这4个分区结构，剩下的工作是寻在48.8G之前的空间原来有几个分区。

橙色部分里有一个从头起始，19.5G大小，与当前FAT32格式不同的NTFS结构，估计是第一个分区。下面还有两项起始位置为19.5G左右，长度为28.8G的两个推荐项。两项起始位置接近，长度一样，19.5G+28.8G=48.3

结果接近48.8G

。

至此，我们可以大致认为原来结构为6个区，为19.5G、28.8G、29.3G、29.3G、20.5G、21.1G排列结构。下面分别进入分区查看验证。

我们首先双击打开这个R-Studio命名为Recognized17的分区查看验证。

红色带x和问号的文件夹是以前人为或R-Studio目录列表中可以看到完整的文件夹结构，系统删除过的内容。

拖滚动条继续向下看，R-Studio命名的Extra Found Files

文件夹里存放的是没有目录结构、按文件类型归类的文件。再下面是父目录链丢失，R-Studio重命名的目录$。

有时如果在正常目录结构里没有找到我们需要的数据，就要到Extra Found Files文件夹寻找挑选你要的文件类型，R-Studio将这些孤立的文件根据类型存放在一起。

我们继续查看挑选父目录名丢失的文件及文件夹。带红X的文件和目录表示以前删除的。在文件目录多，删除整理频繁的电脑上，特别是FAT32分区格式，这些红X文件夹项非常多，显得杂乱。这时就需要R-Studio过滤显示要恢复的目录。

点击R-Studio过滤图标，去掉不需要显示的内容，如是否显示空文件夹、是否显示已删除的文件、是否显示正常存在文件夹。恢复文件删除的数据故障时，去掉正常存在文件夹，可以只保留显示我们删除过的文件夹。在这里我们是恢复重新分区的数据，一般去掉显示空文件夹、显示已删除的文件这两项。

过滤掉删除的和异常的文件夹，目录清晰多了。挑选需要的数据并勾选。在R-Studio窗口底部状态栏里，显示挑选标记的文件信息，有文件、文件夹数量，还有标记总数据量。右边显示的是可恢复的所有文件信息，挑选完成，点击恢复图标，开始导出。

选择设置导出数据存放目的地，其他选项默认即可。

选择导出位置，注意！不可是待恢复数据的硬盘分区。

恢复导出过程中，R-Studio将显示进度比，剩余文件量信息。

遇到目录重名时R-Studio会提示，有覆盖、重新命名、跳过、中断恢复几个选项。勾选总是采用相同回答后，相同问题将不再提示。

我们继续打开其它分区查看恢复数据。这次我们打开一个NTFS结构的分区。

在R-Studio的目录列表中，也显示有以前删除过的文件夹，相对于FAT32，NTFS分区数据恢复时目录结构要清晰得多。

现在我们分别打开48.8 G之前的两个分区查看恢复，首先打开第一个19.5G分区。

可以看到文件结构保留非常完整。这是因为之前为NTFS结构，重装系统使用的是FAT32，不同的分区格式文件存放起始位置不一样。

这是硬盘原来第二个分区的目录列表，虽然目录有幸被保留下来了，但其子目录破坏严重，链接不上。

这些都是R-Studio认为删除的目录，进去挑选一下，看看有没有想要的内容

继续向下，这些是R-Studio认为内容完整，但目录链丢失的项目

我们挑选一个双击打开查看。