Testdisk恢复分区_3A网络资讯门户

问题举例

我们有一个容量 36GB 的硬盘，包含着3个分区。但是很不幸地;

NTFS主分区的boot扇区损坏
一个逻辑 NTFS 分区被意外删除

本 恢复范例 引导你一步一步地用TestDisk通过以下途径,恢复这些 ‘丢失的’ 分区:

重写毁坏的NTFS boot扇区
恢复意外删除的逻辑NTFS分区

我们可以一模一样地照着下面的步骤完成对FAT32分区的恢复(不是NTFS)。

唯一需要的条件:

TestDisk 需要用管理员权限来运行。

使用 TestDisk 的重点:

用 方向键 和 上一页/下一页 按键在TestDisk 中导航。
然后, 按Enter 键确认你的选择.
若要返回前一页或者退出TestDisk, 按 q (Quit) 键。
若要在 TestDisk 下保存修改,按 y (Yes) 或者 Enter 键来确认
如果确实要把分区信息写入主引导记录（MBR），应该选择 “Write” 选项并按 Enter 键。

症状

如果硬盘的主分区容纳着一个操作系统，那么由于毁坏的boot扇区，这个操作系统很可能不再能启动。如果这个硬盘是第二（数据）驱动器，你可以把它接到另一台计算机上（通常接到CD/DVD的接口），然后下面的症状就会被观察到：

Windows 资源管理器或磁盘管理器把第一个主分区显示为 raw (没有格式化) 并且 Windows 提示: The drive is not formatted, do you want to format it now?（该驱动器没有格式化，现在格式化它吗？）
[ 不应该 在不知道为什么的情况下格式化它！]
一个逻辑卷不见了。在 Windows 资源管理器中, 这个逻辑卷不再可用。 Windows 磁盘管理器（Disk Management Console）仅仅在这个逻辑卷的位置显示 “未分配的空间” 。

运行 TestDisk 程序

如果 TestDisk 还没有被安装, 可以从这里下载 TestDisk Download。然后解压缩这个归档文件，包括子文件夹。

若要从硬盘，U盘，智能卡等设备中恢复丢失的分区或者修复文件系统，你需要足够的权限来访问这个物理设备。

在 DOS 下, 执行 TestDisk.exe
在 Windows 下, 从一个处于管理员组的账户打开 TestDisk (ie testdisk-6.13/testdisk_win.exe) . 在 Vista 下, 右击 testdisk_win.exe 然后 “以管理员身份运行” TestDisk.
在 Unix/Linux/BSD 下, 需要用 root 账户来运行 TestDisk (ie. sudo testdisk-6.13/testdisk_static)
在 MacOSX 下, 不过你不是 root, TestDisk (ie testdisk-6.13/testdisk) 将会在你的确认之后以sudo重新运行。
在 OS/2下, TestDisk 不能处理物理设备,只能处理磁盘镜像.很抱歉.

若要从一个媒体镜像中恢复分区或者修复一个文件系统镜像，执行

testdisk image.dd 在一个raw磁盘镜像中进行处理
testdisk image.E01 从一个 Encase EWF 镜像中恢复文件
testdisk 'image.???' 如果 Encase 镜像被分割成若干文件

若要修复一个 TestDisk没有列出来的文件系统, 执行 testdisk device, 也就是说，

testdisk /dev/mapper/truecrypt0 或者 testdisk /dev/loop0 从一个 TrueCrypt 加密分区中修复 NTFS or FAT32 boot 扇区文件. 同样的方法对于使用 cryptsetup/dm-crypt/LUKS 加密的分区也管用.
testdisk /dev/md0 to repair a filesystem on top of a Linux RAID device.

新建日志

选择 Create 来让 Testdisk 新建一个日志文件（ log file），里边包含了一些技术信息和消息, 除非你要往一个日志里追加信息 log 或者你从只读存储器里执行 TestDisk 而且必须在别的地方建立日志 log。
选择 None 如果你不想让过程中的细节和消息记录到日志文件里 log file (比如当 Testdisk 是在只读位置执行的时候，这很有用).
按 Enter 键以继续.

选择磁盘

所有的硬盘都应该能被TestDisk检测到并且辅以正确的大小列出来：

用上/下键来选择丢失分区的硬盘。
按 Enter 键继续。

If available, use raw device /dev/rdisk* instead of /dev/disk* for faster data transfer.

选择分区表类型

TestDisk 会显示分区表类型。

选择正确的分区表类型 – 在 TestDisk 自动检测分区表类型之后，一般预设的那个值是正确的。
按 Enter 键继续。

当前的分区表状态

TestDisk 显示这个菜单的时候

用预设的“analyze”（分析）选项来检查当前的分区结构并搜索丢失的分区。
分析过程中按 Enter 键继续。

然后，当前的结构就会被列出来。接下来就可以在当前的分区结构中检查丢失或错误的分区了。

第一个分区显示了两次，它指向了一个毁坏的分区或一个无效的分区表入口。
无效的 NTFS boot 指向了一个错误的 NTFS boot 扇区, 所以这是一个损坏的文件系统。
在扩展分区中，只有一个逻辑分区(分区标签为2)可用。有一个逻辑分区不见了。

选 Quick Search （快速搜索）来继续。

快速搜索分区

在 Quick Search（快速搜索）的过程中, TestDisk 找到了两个分区，包括那个不见的逻辑分区（标签为 Partition 3 ）。

高亮这个分区并按 p 来列出文件 (若要返回前一页，请按 q ).

这里所有的目录和文件都正确列出来了。

按 Enter 键继续。

保存分区表还是要寻找更多分区?

当全部分区都可用的时候 并且数据已正确列出,应该选 Write 菜单项保存分区结构. 菜单项 Extd Part gives you the opportunity to decide if the extended partition will use all available disk space or only the required (minimal) space.
当一个分区,第一个,仍然找不到, 高亮菜单项 深度搜索 (没有自动进行的时候) ，按 Enter 键继续.

有一个分区仍然找不到: 深度搜索

Deeper Search 深度搜索也会找寻 FAT32的备份boot扇区以及 NTFS backup boot superblock, ext2/ext3 backup superblock 来查找更多的分区,

深度搜索之后，结果会像下面这样显示出来：
第一个分区 “Partition 1” 被用 backup boot扇区找到了。屏幕上的最后一栏写着， “NTFS found using backup sector!” 还有分区尺寸。分区2 “partition 2” 被显示了两次，而且大小不同。
显示为 D(eleted) 的分区将不会被恢复 如果您让它们这样显示出来。两个状态为 D 的分区将会被删除，因为他们互相重叠了。您应该进行识别，以决定到底恢复哪一个分区。

高亮第一个 Partition 2 然后按 p 来列出其包含的数据。

按 q 来返回前一页。
让这个文件系统损坏的分区 Partition 2 标记上 D(deleted).
高亮下边的第二个分区 Partition 2
按 p 来显示内容。

它起作用了，您的文件均被列出，您找到了正确的分区！

Use the left/right arrow to navigate into your folders and watch your files for more verification

Note: FAT directory listing is limited to 10 clusters – 一些文件可能没有出现但这并不影响恢复。

Press q for Quit to go back to the previous display.
The available status are Primary, * bootable, Logical and Deleted.

Using the left/right arrow keys, change the status of the selected partition from D(eleted) to L(ogical). This way you will be able to recover this partition.

Hint: read How to recognize primary and logical partitions?
Note: If a partition is listed *(bootable) but if you don’t boot from this partition, you can change it to Primary partition.