故障存储:

256GB存储卡/文件系统:未知/簇大小:未知

故障现象:

客户描述是在一次插拔卡备份的时候出现了问题（具体情况已记不清),卡接到电脑不认提示格式化，再次接回Osmo Pocket3一样的提示，然后就拔出卡并未做其它操作。期间尝试过用各种通用型恢复软件进行恢复，能找到文件，但视频无法播放，照片无法查看，恢复以失败告终！

故障分析:

磁盘管理器中查看发现存储卡状态为“没有初始化”(如图1)，这种情况是由于操作系统读取存储卡分区表标识出错导致的，分区表一般位于0号扇区，我们跳转到0号扇区查看果然分区表“清0”了（图2）。如果仅仅是分区表应该还是很好处理的，但是经过对比发现问题是相对比较复杂的，很多扇区看起来似乎不太正常，使用通用类恢复软件扫描后数据都不正常表现为：目录错乱、视频无法播放、照片无法预览等（图3）。

这些情况和客户描述的基本相符，说明文件系统级出现了问题，经过分析能确定其使用的是exFat文件系统，虽然有发现数个DBR但是似乎都不吻合，估计存储卡应该是做过至少两次以上的格式化操作，在数据恢复中涉及到文件系统有如下几个因素:

1、DBR的起始偏移，这个是逻辑盘的物理起始偏移不能出错。

2、DBR中的一些重要参数比如簇大小一定要准确，这个涉及的是逻辑盘的最小操作单元。

3、exFat的一些重要元文件一定要正常(如FAT表、根目录、子目录）。

只有这3点都满足了，才能通过文件系统层去恢复数据，如果想要实现让操作系统能正常挂载，那要求会更高，不过那些已经不是数据恢复层面该讨论的了。

图1：磁盘管理器中显示存储卡为“没有初始化”的状态

图2：分区表“清0”

图3：错乱的目录

故障处理:

先从文件系统入手尝试重建分区表以及DBR，如果文件系统损坏严重，那么至少有一个正常的逻辑盘参数，这样后期扫描的话效果会更好；如果损坏不严重，则重建后可以使用通用类恢复软件直接恢复数据（这种可能性较小）。经过排查发现的三个DBR都不正常（图4），所以计划直接重组DBR，具体的参数就是图4中的，需要重点关注的就是FAT表起始扇区号、FAT表扇区数、首簇起始扇区号、根目录首簇、每簇扇区数。这些值可以通过exFat中的$Bitmap和$Upcase之类的元文件去重建，具体的方法在此不在赘述（会做成一个教学视频），最后经过重建得出了相应的参数一个重大不同就是簇大小并非128KB，而是256KB，这个也是为什么通用恢复软件出错的一个重要原因，因为参考点是错的。（大多数情况下同设备格式化的参数是不会变的，但是不排除人为更改的情况）

图4：至少发现了三个DBR但都是错误的

重建后发现似乎根目录（ROOT）也不太正常，解析的目录有问题，仅存在一些照片目录（图5），没有找到客户所需要的视频文件，中间尝试用通用类恢复软件二次扫描，效果不是很好。由于是exFat文件系统，而CHS零壹视频恢复程序影视版有一项“exFat文件变0字节”的恢复功能，所以计划用这个功能尝试恢复。