本文由實習生彭詩雨原創，轉載請註明。

引言

最近遇到一個關於檔案系統方面的練習題比較有意思。小編做完題目之後，感覺可以好好總結一下思路，在此拿出來和大家交流一下步驟和心得。日常生活中大家也可能遇到到這樣的場景：一直使用的硬碟，磁碟中明明是存在了很多資料的；某一天不知道經過了什麼操作，再連線到Windows計算機，

突然提示:驅動器需要格式化才能使用，是否將其格式化？

如果你略懂檔案系統，那麼利用磁碟管理檢視一下分割槽，發現應該

表示檔案系統型別的位置，此時卻顯示為“RAW”。

遇上這種情況，不知道您的心裡會做何感想。反正我自己一定是“萬念俱灰”，我的論文啊！我的取證軟體啊！我的電影啊！我的照片啊！

記得曾有朋友說：要不我就選擇格式化，然後用恢復軟體去恢復一遍。都說軟體可以進行格式化恢復嘛。聽到這種說法真是又好氣又好笑。本來有機會把資料全部恢復回來，你非要去搞一個格式化恢復把某些資料生生地丟掉。

寫這篇文章的目的，就是要分享一些知識和小技巧。那麼，

我們一起來分析分析，提示需要格式化，具體問題究竟出在哪裡。

問診磁碟“望”

如果此時有一位有經驗的取證高手，或者資料恢復高手，看到這個問題就一定知道，這是磁碟檔案系統出了的問題。那麼，首先選用的工具就是WinHex。

當然，如果你不熟悉WinHex，可以藉機跟小編一起來學一學。

首先，你要能夠開啟磁碟。WinHex完全秉承了X-Ways的宗旨：條條大路通羅馬，做事不能一條筋。大路有幾條？“Ways”有“X”條。X-Ways這個名字就是表示做一件事情可以有多種做法。

那麼，用Winhex/X-Ways開啟磁碟，有兩個方法可以開啟磁碟。小編在圖中“位置一”和“位置二”標記了開啟磁碟的。當然，再加上F9快捷鍵，就是三種方法了。

選擇你希望恢復資料的磁碟。

物理磁碟中可以看到一個虛擬磁碟，這是一個VHD虛擬磁碟，裡面包含有三個分割槽。學過WinHex的都知道，磁碟有物理磁碟和邏輯分割槽之分。邏輯分割槽或者邏輯卷，是對應有碟符的某一個分割槽，也就是C、D、E。物理磁碟指的就是包含C、D、E三個分割槽的一塊完整硬碟。

我們這個例子裡面使用的物理磁碟，就是有三個分割槽的一個虛擬磁碟。當用WinHex開啟磁碟之後，發現列出的三個分割槽，有一個顯示為FAT16，另外兩個都顯示為“？”號。

好吧。作為一個略懂檔案系統的取證人，小編帶大家一起給磁碟診診脈，看看這到底是一個什麼型別的問題。當然，要想給磁碟看病，

你應該先知道什麼是“檔案系統”。

通俗地說，如果我們將硬碟看作一個圖書館的話，那麼硬碟中的資料就是圖書館裡的書。一個圖書館要想把書管理的好，就必須有一定的管理方法和規則。好的管理方法不僅可以把圖書管理得井然有序，更可以幫讀者有效率地找到自己想借用的書。

硬碟也是同樣的道理。FAT、NTFS和EXFAT這些不同的檔案系統就像是不同的圖書管理方法。如果沒有了檔案系統，資料即使仍然存放在硬碟中，作業系統也無法讀取到這些資料，更不用說開啟這些檔案了。所以，

對於一塊硬碟、一個分割槽來說，檔案系統至關重要。一旦檔案系統出現了問題，我們自然也就無法找到磁碟中的資料了。

經過初診，我們大致分析出了問題的癥結可能是檔案系統出了問題。

那麼我們再一起看看檔案系統具體出了什麼問題。

問診磁碟“切”

現在來給分割槽“把把脈”，診斷一下具體“病因”吧。

雙擊分割槽2，開啟分割槽。我們發現分割槽2的第一個扇區現在全部是“FF”。

所有分割槽的第一個扇區都是“FF”嗎？我們檢視一個沒有問題的分割槽，就是發現每一個分割槽第一個扇區是有內容的，絕對不會是512個FF。

再檢視案例中分割槽三，發現分割槽二、分割槽三的前512位元組都變成了FF！

我們可以大膽猜測一下

，是不是第一扇區記錄了某些與檔案系統相關的重要資料，資料丟失導致了作業系統無法識別檔案系統，繼而無法解析分割槽中的資料？

Bingo! 恭喜你，你猜對了。

這時候就要引入新的小知識了，

DBR。每個分割槽的第一扇區叫做DBR(全稱: Dos Boot Record)

，百度百科上是這樣告訴我們的：

DBR（硬碟DBR）

分割槽引導扇區也稱DBR，是由FORMAT高階格式化命令寫到該扇區的內容，DBR是由硬碟的MBR裝載的程式段。DBR裝入記憶體後，即開始執行該載入程式段，其主要功能是完成作業系統的自舉並將控制權交給作業系統。每個分割槽都有引導扇區，但只有被設為活動分割槽的DBR才會被MBR裝入記憶體執行。

那麼，小編試著用通俗的文字再解釋一遍這個概念：圖書管理員要對所有圖書按照一定的規則進行編號、登記後得到一個“花名冊”。對應硬碟的話，這個“花名冊”就是“目錄”，也就是FAT和FDT部分（這個內容，下一篇文章我們再討論）。如果沒有目錄，就沒有辦法對後續的資料排序，自然也就沒有辦法將這個分割槽中的資料呈現出來。而DBR定義了一個磁碟的扇區數量、簇大小和FAT的位置，這就相當是圖書館的入口和路牌。當DBR丟失或被破壞，圖書管理員就不知道去哪裡找“花名冊”了，相當於磁碟就找不到檔案目錄。這時候就會變為RAW格式。

所以，“診脈”之後發現，

本案例出現提示格式化磁碟的“病因”就是——分割槽引導扇區(DBR)被破壞，導致分割槽內容無法被正常識別。

理解DBR備份

接下來，我們該怎樣去修復這個DBR扇區呢？

在思考解決方法前，要先知道：

分割槽的檔案系統有多種，常用的有FAT32和NTFS。由於分割槽的檔案系統、分割槽大小不同，DBR的內容也有所不同。

所以，我們需要分清這兩個DBR被填充的分割槽分別是哪種檔案系統。又有哪些方法可以辨別DBR被填充的分割槽分別是什麼檔案系統。

常識告訴我們，就算一座圖書館沒有了目錄，也可以找到某本書存放的相應位置。這是因為有另外的有目錄且是同一種排序方式的圖書館有許多，我們可以透過借用這些有目錄的圖書館的目錄來幫助尋找我們需要的書。

硬碟也是這個道理，我們可以用模板來恢復DBR。（圖示為WinHex模板管理器）

但是，我們使用模板恢復DBR的效率太低，對於我這樣一個“略懂”取證的新手來說，也容易出錯，還有沒有其它方法可以恢復DBR呢？

有，而且不止一種！

DBR對於一塊磁碟、一個分割槽來說至關重要，重要到檔案系統本身就儲存了它的備份。

我們透過WinHex的模板管理器來檢視一個完好的DBR資訊。

藉助模版管理器可以清晰地看到，在FAT32中，DBR備份扇區號為“6”，這個“6”表示從當前扇區開始，往下數到6個扇區，就是DBR的備份儲存位置。小編試著找了找，果不其然，在第6個扇區，真的發現了DBR備份。

總結一下：

這裡如果DBR在第0扇區，DBR備份就是在第6扇區。如果DBR出現問題，我們要把第6扇區的DBR備份還原到0扇區的DBR就行了。

找到了FAT32的DBR備份，那NTFS檔案系統是如何儲存備份呢呢？

再次使用WinHex模板管理器，開啟完好的NTFS分割槽。我們發現NTFS檔案系統的模版直譯器中，並沒有給出DBR備份的儲存位置，是不是NTFS沒有DBR備份呢？

其實不是的，

NTFS檔案系統的DBR備份同樣存在。不過DBR備份的位置並沒有記錄在DBR中，而是儲存在該分割槽的最後一個扇區。

基礎知識鋪墊完了，請和小編一起期待續集吧！

本文由實習生彭詩雨原創，轉載請註明。