Remontar a Partição MBR excluída

Todo sistema de arquivos tem uma assinatura . Então, se você sabe quais sistemas de arquivos foram usados nas partições, então você pode usar um editor hexadecimal para abrir o dispositivo de bloco e procurar pelos sistemas de arquivos. Os sistemas de arquivos tendem a começar no início das partições (ou perto deles), então quando você encontra o começo de um sistema de arquivos, há uma boa chance de você também ter encontrado o setor inicial de uma partição.

As partições tendem a terminar antes do início da próxima partição, então é assim que você determina o setor final; Exceto pela última partição, é claro.

Depois de ter seus setores de início / fim, você pode simplesmente usar uma ferramenta de particionamento para criar essas partições. Em seguida, cruze os dedos e tente montar os sistemas de arquivos.

Naturalmente, há alguns cenários que tornam esse processo difícil ou impossível:

• Se o sistema de arquivos estiver armazenado em um dispositivo de bloco criptografado (ex. LUKS).
• Se houver sistemas de arquivos ou imagens de disco, como aquelas usadas para máquinas virtuais. Sem mais informações, você não seria capaz de dizer a diferença entre uma imagem de disco e uma partição.

O que eu descrevi acima é essencialmente o que testdisk automatiza para você.

A resposta pode ser tão simples quanto "Let it be" ou muito complexa. Na minha história eu tive dois acidentes MBR, ambos porque "a mão foi mais rápida que a cabeça". Há mais maneiras de "excluir" uma partição na tabela MBR. Pelo uso do programa cli, programa GUI, manipulando os primeiros 512 bytes de um disco. No MBR há lugar para 4 registros representando 4 partições básicas. Mas os programas GUI usam silenciosamente o MBR estendido, o que pode complicar a investigação de restauração. Em princípio, você pode seguir dois objetivos: - restaurar o MBR original, - salvar o conteúdo da partição original. Você pode usar ferramentas básicas do Linux ou pode procurar por programas GUI sofisticados. Se você tiver espaço livre em disco suficiente, é recomendável fazer uma cópia de bit (imagem de disco) primeiro, para não tocar no disco original. O programa R-Studio tem resultados muito bons, mas não tenho certeza da licença. Caso você saiba o tipo do sistema de arquivos de partições original (NTFS, ext3), você pode procurar a assinatura inicial. Qualquer informação, você lembra, sobre os tamanhos originais e a ordem das partições perdidas pode ser útil para reduzir o espaço que você precisa digitalizar. Bem, e. Se você se lembra que havia duas partições primeiro 20GB, segundos 200GB, você pode julgar que o início do primeiro pode estar próximo ao início do disco e o início do segundo pode ser encontrado entre os setores 39062500 44040192. Suponha que você procure por NTFS, você pode procurar a assinatura com o comando:

$ hd disk_image.dd -s20000000000 -n2548578304

Ao executar esse comando no disco original, você deve ter privilégios de root.

Se você encontrar com sucesso o início das partições, parece ser mais fácil salvar as partições descobertas, e então criar um novo MBR onde você reservar espaço suficiente para seus partitons e então copiar as partições salvas de volta para novos lugares. Você também pode tentar recalcular os bytes para setores e tentar reconfigurar a tabela MBR com alguma ferramenta padrão ( fdisk , sfdisk , parted ), mas o resultado pode não preencher suas expextetions. Se você der mais detalhes, poderemos ter mais chances de ajudá-lo. Ou seja: qual é a capacidade do disco, os tamanhos da partição original (mesmo que aproximadamente), a maneira como as partições foram excluídas, o sistema operacional que você usa para restaurar o MBR, etc. Se você precisar encontrar e salvar apenas alguns arquivos, poderá usar ferramentas especiais como o sleuthkit.