金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

 找回密碼
 注冊

QQ登錄

只需一步,快速開(kāi)始

查看: 3953|回復: 22
打印 上一主題 下一主題

[數據恢復] 硬盤(pán)數據恢復知識

     
跳轉到指定樓層
1#
zbp 發(fā)表于 2010-10-6 00:10:49 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式 來(lái)自 中國廣東廣州

馬上注冊,結交更多好友,享用更多功能。

您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊

x
1、系統工作機理的簡(jiǎn)單介紹
這一部分在原作中是最重要的一章,考慮到篇幅關(guān)系,進(jìn)行了大量的刪節。
①、DOS(DOS兼容系統)硬盤(pán)數據的構成
DOS磁盤(pán)系統,可以按照邏輯分區的概念管理物理空間,不同分區可以裝載不同的OS系統。
示意如下:
硬盤(pán)空間
第一扇區|分區1|分區2|分區3|分區4
主引導扇區|引導扇區|引導扇區|引導扇區|引導扇區|
各分區公用|各個(gè)分區相對獨立,可安裝不同操作系統。
對FAT結構的分區每一分區都有獨立的引導記錄,FDT表,FAT表等。同時(shí),系統還有一個(gè)最為重要的主引導記錄。在0柱0面1扇區,今后我們用CYL代表柱、SIDE代表面,SEC代表扇區。以下一個(gè)FAT結構分區的簡(jiǎn)圖。
保留區-磁盤(pán)參數表、DOS引導記錄
控制區-FAT表1、FAT表2根目錄區
數據區-數據區
以下簡(jiǎn)單介紹一下重要的部分:
主引導記錄又稱(chēng)主分區表、MBR等等:MBR占一個(gè)扇區,在CYL0、SIDE0、SEC1,由代碼區和數據區構成。其中代碼區是一端標準的程序,完成BIOS自舉到OSBOOT之間的工作,為OS啟動(dòng)做最后的準備。標準代碼區可以由FDISK/MBR重建,但對于多系統引導的不標準MBR,將被這一操作破壞。MBR的數據區記錄了分區情況。
系統扇區:CYL0、SIDE0、SEC1-CYL0、SIDE0、SEC63,共62個(gè)扇
區引導區又稱(chēng)BOOT區:CYL0、SIDE1、SEC1這是我們過(guò)去稱(chēng)的DOS引
導區。也占一個(gè)扇區。
文件分配表又稱(chēng)FAT:是記錄文件占用簇的情況和連接關(guān)系的地方。一般有兩個(gè)FAT表,起到備份的作用。FAT12、FAT16的第一FAT表一般均在0-1-2,FAT32的第一FAT表在0-1-33。由于FAT表記錄文件占用扇區連接的地方,如果兩個(gè)FAT表都壞了,后果不堪設想。
由于FAT表的長(cháng)度與當前分區的大小有關(guān)所以FAT2的地址是需要計算的。根目錄區(ROOT、FDT):這里記錄了根目錄里的目錄文件項等,ROOT區跟在FAT2后面。
數據區:跟在ROOT區后面,這才是數據內容。其實(shí),MBR、隱含扇區、BOOT區,重建都比較容易。數據恢復的關(guān)鍵在于恢復數據文件。由于FAT表記錄了文件在硬盤(pán)上占用扇區的鏈表,如果2個(gè)FAT表都完全損壞了。那么恢復文件,特別是占用多個(gè)不連續扇區文件就相當困難了。
②、主引導記錄簡(jiǎn)單說(shuō)明:
主引導記錄是硬盤(pán)引導的起點(diǎn),關(guān)于代碼區不多說(shuō)了,其數據區,比較重要的是2個(gè)標志,80H和55AA,80H一般在偏移1BE處,80是分區激活的標志的標記表示系統可引導,且整個(gè)分區表只能有一個(gè)80標記。另一個(gè)就是結尾的55AA標記,用來(lái)表示主引導記錄是一個(gè)有效的記錄。另外,各個(gè)分區自身的引導記錄,也是以55AA結束,這是我們查找分區的標志。我們后面在介紹如何主引導記錄中,給出了一個(gè)完整的分區表的例子,大家可對照查看。數據區中,用10H字節表示一個(gè)分區,最多可表示4個(gè)分區,分別從1BE、1CE、1DE、1EE開(kāi)始,我們后面給出了分區表項對應地址的含義。大家可以對應分析一下以下分區的情況。
800101000BFEBFFC3F00-00007E86BB00
①②③④⑤⑥
①:激活標記,80表示可引導分區
②:分區開(kāi)始的磁頭號為01、開(kāi)始的扇區號為01、開(kāi)始的柱面號為00,由于開(kāi)始的扇區號為2進(jìn)制6位,而開(kāi)始的柱面號為2進(jìn)制10位,因此扇區號所用字節的高兩位要加在柱面號高兩位。
③:分區的系統類(lèi)型FAT32(0B),01是FAT12,04為FAT16,06為BIGDOS,07為NTFS,
其他參見(jiàn)分區類(lèi)型表。
④:分區結束磁頭號254、分區結束扇區號63、分區結束柱面號764
⑤:首扇區的相對扇區號63
⑥:總扇區數12289622
2、常見(jiàn)手工處理工具與DOS外部命令介紹
DEBUG:古老和最為常見(jiàn)的調試跟蹤軟件,始終捆綁在微軟的DOS/WIN9X操作系統中。有19個(gè)子命令。有編寫(xiě)執行匯編指令,直接讀寫(xiě)絕對扇區和內存單元等功能,可以在最艱苦的條件下工作。DOS6.22以下的系統,DEBUG.EXE在DOS目錄下,WIN9X系統中它在WINDOWS\COMMAND目錄下,它
也出現在WIN9X所生成的應急盤(pán)中。DISKEDIT:常見(jiàn)16進(jìn)制編輯軟件,字符界面,可以以文件方式和扇區方式讀寫(xiě)邏輯內容,可以讀寫(xiě)絕對扇區,可以方便的查找編輯分區表、FAT表、ROOT區等重要扇區。這一點(diǎn)要比DEBUG更方便。但在一些重要扇區損壞的情況下,DISKEDIT可能無(wú)法啟動(dòng)。DISKEDIT軟件可以在著(zhù)名的NortonUtilities軟件包中找到。最新的DISKEDIT出現在NU4中。
NDD:常見(jiàn)的FAT文件結構磁盤(pán)修復工具,就是著(zhù)名的NORTON磁盤(pán)醫生,可以自動(dòng)修復分區丟失等情況,可以搶救軟盤(pán)壞區中的數據,強制讀出后搬移到其他空白扇區。希望大家不要再使用NORTONFORDOS7或8的NDD,這個(gè)版本由于不支持大分區、FAT32、長(cháng)文件名等技術(shù),會(huì )給你帶來(lái)大量的麻煩。建議大家使用NortonUtilities4或更高版本中的NDD.EXE,這是純DOS下的工具。在硬盤(pán)崩潰或異常的情況下,他可能可以帶給用戶(hù)以希望。WIN9X下的磁盤(pán)醫生調用的并不是這個(gè)程序,而
是NDD32.EXE.
FDISK:FDISK當然是個(gè)危險的命令,很多人非?謶,事實(shí)上,FDISK命令的運行并不影響任何分區內的硬盤(pán)數據,他對分區的設置操作,只改變主分區表的數據區。而特別是FDISK異常重要的隱含參數/MBR,可以重建主分區表的代碼區,清除主引導型病毒等。這是非常有用的操作。DOS6.22以下的系統,FDISK.EXE在DOS目錄下,WIN9X系統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤(pán)中。
FORMAT:在一些人眼中,FORMAT是最可怕的命令,但他并不是對硬盤(pán)清零,特別值得注意的是,很多文件恢復工具都建議你恢復前先FORMAT該分區起到保護的餓作用。DOS6.22以下的系統,FORMAT.COM在DOS目錄下,WIN9X系統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤(pán)中。
HD-COPY:傳統的軟盤(pán)COPY工具,2.0版本以后加入了強制讀的功能,可以讀出一些損壞扇區的內容。
SYS:SYS命令是重建BOOT區的最簡(jiǎn)潔的手段,也可以殺除BOOT區病毒。DOS6.22以下的系統,sys.COM在DOS目錄下,WIN9X系統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤(pán)中。
令我非常遺憾的是,至今我沒(méi)有發(fā)現比較出色的扇區級備份鏡象工具,我曾寫(xiě)過(guò)一個(gè)HD-MIRROR,但由于錯誤較多,我提供下載的第二天就停止了發(fā)布,另外fixc的作者noz寫(xiě)過(guò)一個(gè)clone.exe,但可惜只適合相同的硬盤(pán)。我也曾以為GHOST可以做到這點(diǎn),事實(shí)上,你目前還不能指望他為你備份一塊深度破損的硬盤(pán)。。如果有一個(gè)有效的能以按扇區機制(而不是文件機制)壓縮備份一塊硬盤(pán)將之做成一個(gè)鏡象文件的話(huà),那么我們的恢復工作就擁有了更多的保證和余地。我們可以更大膽的做恢復的嘗試。
3、一些自動(dòng)處理工具或軟件包
首先介紹國內的一些免費修復工具
FIXMBR:何公道先生寫(xiě)的一個(gè)修復MBR的工具,適合處理邏輯分區丟失的情況,有一些可選參數,支持FAT32、FAT16,不支持NTFS、LINUX等分區,支持8.4G以上硬盤(pán)?尚迯虲IH發(fā)作后的擴展邏輯分區。
VRVFIX:北信源公司的推出的修復硬盤(pán)共享工具,適合處理邏輯分區丟失的情況,處理的基本比較準確。支持FAT32、FAT16,不支持NTFS、LINUX等分區。也不支持8。4G以上硬盤(pán)。
FIXC:國內最早出現的可以修復部分被CIH破壞的C盤(pán)的工具,作者是NOZ,新版本也加入了修復分區信息的功能,支持FAT32、FAT16,有限支持NTFS,不支持8。4G以上硬盤(pán)。目前的版本已經(jīng)比較完善。
FIXHDPT:TBSOFT工作室的分區信息修復工具。支持FAT32、FAT16,不支持NTFS和LINUX,不支持8。4G以上硬盤(pán),是歷史比較長(cháng)的工具之一。
RE(ReapirEasy):本人早期寫(xiě)的分區表修復工具,支持FAT32、FAT16,有限支持NTFS,不支持8.4G
以上硬盤(pán),和某些BIOS不兼容。其整體水準低于前面列舉的工具。
國外一些系統維護的工具目前已經(jīng)達到了非常強大的程度。
NortonUtilities:歷史最悠久的系統維護工具。不僅可以數據恢復,還可以系統加速和修補內存錯誤。目前最新的版本是NU4.5FOR9X、NU2FORNT等。
Tiramint:最為出色的災難恢復工具之一,有NTFS、FAT32、FAT16、NOVELL4種版本。生成急救軟盤(pán),可以對深度破壞的磁盤(pán)進(jìn)行交叉恢復。
4、常用的基本操作
①讀出主引導記錄:這是系統級數據恢復可能涉及最多的程序之一。
例:
DEBUG
-a100;從此處開(kāi)始匯編
126C:0100movax,201;讀操作一個(gè)扇區
126C:0103movbx,300;送入地址300
126C:0106movcx,1;0面1扇
126C:0109movdx,80;80H為硬盤(pán),頭為0
126C:010Cint13
126C:010Eint3
126C:010F
-g=100;執行
AX=0050BX=0300CX=0001DX=0080SP=FFEEBP=0000SI=0000DI=0000
DS=126CES=126CSS=126CCS=126CIP=010ENVUPEIPLNZNAPONC
這里用了I/O中斷13,涉及的寄存器含義為
ah,操作方式,02H為讀,03H為寫(xiě)
al,送扇區數
bx,送準備裝入扇區的內存偏移地址
cx送從哪一道哪一扇區開(kāi)始,我們一般依靠改換CX來(lái)讀寫(xiě)不同邏輯盤(pán)某個(gè)邏輯扇區。dx,送盤(pán)符和頭數
INT3是斷點(diǎn)中斷,使程序運行到此停止。
②顯示引導區內容:我們把扇區讀到某個(gè)內存地址并不是目的。而是為了看到他的內容,在DEBUG中D命令可以方便的查看內存單元的內容。續前例,如果我們要看到主引導區的內容的話(huà),既然裝載到300。
-d300l200就可以查看了,一個(gè)引導區的映象類(lèi)似如下,可以直觀(guān)的看到我們前面所提到的代碼區和數據區。是否正常請大家自行分析一下
126C:030033C08ED0BC007CFB-5007501FFCBE1B7C3.....|.P.P....|
126C:0310BF1B065057B9E501-F3A4CBBEBE07B104...PW...........
126C:0320382C7C09751583C6-10E2F5CD188B148B8,|.u...........
126C:0330EE83C61049741638-2C74F6BE10074EAC....It.8,t....N.
126C:03403C0074FABB0700B4-0ECD10EBF2894625<.t...........F%
126C:0350968A4604B4063C0E-7411B40B3C0C7405..F...<.t...<.t.
126C:03603AC4752B40C64625-067524BBAA5550B4:.u+@.F%.u$..UP.
126C:037041CD1358721681FB-55AA7510F6C10174A..Xr...U.u....t
126C:03800B8AE0885624C706-A106EB1E886604BF....V$.......f..
126C:03900A00B801028BDC33-C983FF057F038B4E.......3.......N
126C:03A025034E02CD137229-BE4607813EFE7D55%.N...r).F..>.}U
126C:03B0AA745A83EF057FDA-85F67583BE2707EB.tZ.......u..''..
126C:03C08A98915299034608-13560AE812005AEB...R..F..V....Z.
126C:03D0D54F74E433C0CD13-EBB8000000000000.Ot.3...........
126C:03E05633F65656525006-5351BE1000568BF4V3.VVRP.SQ...V..
126C:03F05052B800428A5624-CD135A588D641072PR..B.V$..ZX.d.r
126C:04000A4075014280C702-E2F7F85EC3EB7449.@u.B......^..tI
126C:04106E76616C69642070-6172746974696F6Envalidpartition
126C:0420207461626C650045-72726F72206C6F61table.Errorloa
126C:043064696E67206F7065-726174696E672073dingoperatings
126C:0440797374656D004D69-7373696E67206F70ystem.Missingop
126C:045065726174696E6720-73797374656D0000eratingsystem..
126C:04600000000000000000-0000000000000000................
126C:04700000000000000000-0000000000000000................
126C:04800000008BFC1E578B-F5CB000000000000......W.........
126C:04900000000000000000-0000000000000000................
126C:04A00000000000000000-0000000000000000................
126C:04B00000000000000000-0000000000008001................
126C:04C001000BFEBFFC3F00-00007E86BB000000......?...~.....
126C:04D081FD0FFEFFFFBD86-BB00E0A975000000............u...
126C:04E00000000000000000-0000000000000000................
126C:04F00000000000000000-00000000000055AA..............U.
③反匯編主引導區內容:判定MBR的代碼區是否正常,對于數據區的基本情況,我們可以通過(guò)直觀(guān)觀(guān)察得出,但對于存在引導型病毒,或者引導區出現異常代碼的情況,我們可能需要分析MBR中代碼區的指令。這一般要對已經(jīng)讀入內存的引導區進(jìn)行反匯編。
反匯編用指令U
續前例:
-u300l15D;反匯編主引導扇區代碼區內容
126C:030033C0XORAX,AX
126C:03028ED0MOVSS,AX
…………
126C:045C65DB65
126C:045D6DDB6D
④寫(xiě)內存單元,在我們的前例中,主分區類(lèi)型是0B是FAT32的,假定這個(gè)類(lèi)型實(shí)際是NTFS的,我們該如何修改呢?由于主分區類(lèi)型的偏移是4C3H,我們可以用E命令寫(xiě)到內存單元中,從附表中查得NTFS的類(lèi)型為07。因此-e4c37再比如說(shuō),假定我們想把無(wú)效的分區表清零,那么,我們應當用另一個(gè)命令F,這個(gè)命令可以用填充一個(gè)內存地址范圍。清零分區表的操作就是-f4be4ff00,以下兩個(gè)操作也比較常見(jiàn)。
重置80標記,-e4be80
重置55AA標記,-f4ff4fe55aa
不要忘記了,此時(shí)僅僅是改動(dòng)了內存中的數據,并未寫(xiě)到硬盤(pán)上。因此需要用int13中斷把改寫(xiě)的結果,寫(xiě)回硬盤(pán)。
續前例,
-a100
126C:0100movax,301;寫(xiě)操作一個(gè)扇區
-g=100;執行
其實(shí),我們相當于修改了剛才輸入的讀主引導扇區程序,使程序變?yōu)椤?
126C:0100movax,301;寫(xiě)操作一個(gè)扇區
126C:0103movbx,300;從內存地址300
126C:0106movcx,1;0面1扇
126C:0109movdx,80;80H為硬盤(pán),頭為0
126C:010Cint13
126C:010Eint3;斷點(diǎn)
⑤絕對磁盤(pán)內容的讀出與寫(xiě)入
類(lèi)似操作在FAT32結構硬盤(pán)被CIH破壞的修復中比較常見(jiàn),我們后面將講到恢復的基本思路就是用第二FAT表覆蓋第一FAT表。那么無(wú)疑要讀出第二FAT表的內容,再回寫(xiě)到第一FAT表的位置上。一般的來(lái)說(shuō),大量連續扇區的讀出寫(xiě)入DISKEDIT進(jìn)行非常方便,如果用DEBUG做則要寫(xiě)一段子程序,不過(guò)程序的主要技巧就是利用int25絕對磁盤(pán)讀中斷讀出的內容,而用int26絕對磁盤(pán)寫(xiě)做內容寫(xiě)入。
4、數據可恢復的前提
有人覺(jué)得這個(gè)題目說(shuō)法比較奇特,但數據恢復,作為一個(gè)數據再現的過(guò)程,一定要解決兩個(gè)問(wèn)題,第一是從哪里恢復的問(wèn)題,第二是怎么恢復的問(wèn)題。解決了這兩個(gè)問(wèn)題,我們事實(shí)上就把握了數據恢復的全部思想脈絡(luò )。而這一部分就是從哪里恢復的問(wèn)題。
①、有效而及時(shí)的備份中是數據恢復最可靠的來(lái)源,在許多人倡導備份到秒的今天,恐怕不會(huì )有人懷疑這點(diǎn)。而有些備份機制則是系統內建的,比如兩份FAT表。
②、數據的實(shí)際有效性的判定是關(guān)鍵,對我們來(lái)說(shuō),硬盤(pán)無(wú)法自舉、文件找不到、文件打不開(kāi)等現象,其實(shí)并不與數據丟失畫(huà)等號。因為此時(shí)往往數據只是從操作系統的角度是一種邏輯丟失,而從物理扇區意義上,它仍然存在或部分存在。最明顯的就是文件刪除的例子,事實(shí)上,這只是把文件首字節,改為0E而已。而此時(shí)文件體依然存在。
③、數據損壞過(guò)程的可逆性分析:對數據的改變無(wú)非兩種,取代和變換,前者是不可逆的,而后者則是可逆的。我們以殺毒為例,對于大多文件性病毒來(lái)說(shuō),那些以附加而非代換方式感染的文件型病毒,理想的殺毒過(guò)程就是感染的逆過(guò)程。這種分析也常見(jiàn)與重要信息被隱藏搬移或者被加密的情況,但分析將比較復雜。
④、數據本身是否是標準信息:有些信息實(shí)際是通用或局部通用的,你無(wú)須考慮如何從本機搶救。只要相同或相近的系統版本就可以了,比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區表的代碼區,這是一段標準代碼,事實(shí)上,它就放在你的FDISK程序里面,你可以用DEBUG把他提取出來(lái)。
⑤、數據本身是否可以由其他信息統計再生:有些信息盡管丟失了,也沒(méi)有備份。但它實(shí)際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息,即使你把他清零也不必害怕,因為你可以從你幾個(gè)分區中計算再生。
⑥、破壞的完成程度:事實(shí)上,FDISK、FORMAT都不會(huì )徹底破壞數據,一般只有低格和扇區覆蓋操作才會(huì )徹底破壞數據。但有時(shí),破壞過(guò)程或者誤操作過(guò)程會(huì )因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子,由于CIH是以1024字節為單位覆蓋扇區,這當然是不可逆過(guò)程,于是我們最初都認為,破壞是很難恢復的,除非人工終止。事實(shí)上,當病毒覆蓋某些扇區時(shí)會(huì )與9X系統發(fā)生沖突,從而造成死機,使數據得到了保護。
1、硬件或介質(zhì)問(wèn)題的情況
①、硬盤(pán)壞:硬盤(pán)自檢不到的情況一般是硬件故障,又可分為主版的硬盤(pán)控制器(包括IDE口)故障和硬盤(pán)本身的故障。如果問(wèn)題在主板上,那么數據應當沒(méi)有影響。如果出在硬盤(pán)上,也不是一定不能修復。硬盤(pán)可能的故障又可能在控制電路、電機和磁頭以及盤(pán)片。如果是控制電路的問(wèn)題,一般修好它,就可以讀出數據。但如果電機、磁頭和盤(pán)片故障,即使修理也要返回原廠(chǎng),數據恢復基本沒(méi)有可操作性。
②、軟盤(pán)壞:當軟盤(pán)數據損壞時(shí),可以有幾種處理,一種是用NDD修復,他會(huì )強制讀出你壞區中的東西,MOVE到空白扇區中,這就意味著(zhù)如果你的磁盤(pán)很滿(mǎn)操作是沒(méi)法進(jìn)行的。你也可以用HDCOPY2.0以上版本READ軟盤(pán),他也會(huì )進(jìn)行強讀,使讀入緩沖區的數據是完好的,你再寫(xiě)入一張好磁盤(pán)就可以了。當然這些方式,要看盤(pán)壞的程度。如果0磁道壞,數據也并非無(wú)法搶救,早先可以通過(guò)扇區讀的方式,把后面的數據讀出,不過(guò)一般來(lái)說(shuō),你依然可以HDCOPY來(lái)實(shí)驗。
2、系統問(wèn)題的情況
①、在硬盤(pán)崩潰的情況下,我們經(jīng)常要和一些提示信息打交道。我們要了解他典型提示信息的含義,注意這些原因僅僅分析邏輯損壞而不是硬盤(pán)物理壞道的情況。
提示信息
可能原因
參考處理
InvalidPartitionTable
分區信息中1BE、1CE、1DE處不符合只有一個(gè)80而其他兩處為0用工具設定,操作在前面已經(jīng)講了。
ErrorLoadingOperatingSystem
主引導程序讀BOOT區5次沒(méi)成功。
重建BOOT區
MissingOperatingSystemDOS
引導區的55AA標記丟失
用工具設定,把前面讀寫(xiě)主引導區程序的DX=80改為180即可
Non-SystemDiskorDiskError
BOOT區中的系統文件名與根目錄中的前兩個(gè)文件不同
SYS命令重新傳遞系統,
DiskBootFailure
讀系統文件錯誤SYS命令重新傳遞系統,
InvalidDriverSpecifcationg
如果試圖切換到一個(gè)確實(shí)存在的邏輯分區出現以下信息,說(shuō)明主分區表的分區記錄被破壞了。
根據各分區情況重建分區表,或者用自動(dòng)修復工具修復。注意分區丟失是最常見(jiàn)的故障之一,此時(shí)不要緊張,一般的說(shuō)此時(shí)數據并沒(méi)有問(wèn)題,如果你不了解處理的方法。你可以選擇我前面介紹的自動(dòng)修復分區工具進(jìn)行處理,他們大多只改寫(xiě)主分區表的數據區,不會(huì )影響你的其他數據。特別提醒大家,這些工具有的不支持8.4G硬盤(pán),有的與BIOS對硬盤(pán)的識別有關(guān)系。如果你在一臺機器上不行,可以換臺BIOS不同的機器實(shí)驗一下。
Badormissingcommandinterpreter
這是說(shuō)找不到COMMAND.com,或者COMMAND文件壞了。
如果你COPY過(guò)去COMMAND文件還是如此,一般來(lái)說(shuō)是感染了某種病毒。
InvalidmediatypereadingdriveX,Abort,Retry,Fail?
該盤(pán)沒(méi)有高級格式化,或BOOT區中I/O參數表被破壞。
這里情況較多,手工處理比較復雜,特別指出,此時(shí)DISKEDIT可能無(wú)法運行,建議用工具修復。
IncorrectDOSVersion
可能是文件版本不統一,對9X來(lái)說(shuō),有9595osr/2,98,98oem/2等版本,重新SYS時(shí),不要弄錯了。
用正確版本的啟動(dòng)盤(pán)重新SYS系統
另外說(shuō)明一下,對于比較老的機器還有1071和notfoundrombasic、ROMBASICOK等提示,在目前機器中以消失。另外,當代碼區完全被破壞的情況下,系統關(guān)于無(wú)系統的提示是來(lái)自BIOS的,這條提示與BIOS的種類(lèi)有關(guān)。另外,FDISK/MBR對代碼區的重建是我們經(jīng)常采用的。再介紹一種比較極端的情況,就是硬盤(pán)自檢正常,而用軟盤(pán)和硬盤(pán)都無(wú)法正常啟動(dòng)的情況,這可能是,病毒或惡意程序利用,DOS3以上版本啟動(dòng)中都要檢索分區表這一特點(diǎn),把分區表置為死循環(huán)。造成啟動(dòng)中死機。網(wǎng)上曾經(jīng)流傳過(guò)DOS6.22k修改方案,其實(shí)是修改西文MS-DOS6.22的IO.SYS,把C20306E80A00077203替換為:C20390E80A00728090就可以啟動(dòng)被類(lèi)似情況鎖住的硬盤(pán)。
②、9X無(wú)法正常進(jìn)入或工作:以下僅僅是對可能的軟故障分析,沒(méi)有考慮硬件故障.進(jìn)入圖形界面前死機情況比較復雜,可能與加載的某些驅動(dòng)有關(guān)可以在STARTMSWINDOWS時(shí),用F8激活菜單,設置為stepbystep,看是哪項使系統死機。而后從CONFIG或者SYSTEM。INI中刪除進(jìn)入圖形界面后死機一般這與開(kāi)機加載的程序有關(guān)進(jìn)入安全模式(此時(shí)自動(dòng)運行的程序將不能加載),對注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的鍵值和啟動(dòng)組中加載的程序進(jìn)行分析。必要的予以刪除。顯示IEXPLORE.EXE錯誤,不能進(jìn)行任何操作
可能有某個(gè)系統的動(dòng)態(tài)連接庫損壞覆蓋安裝WIN9X,或從其他機器上COPY損壞的連接庫。(確定哪個(gè)庫損壞一般比較困難)
頻繁出現出錯各種信息
一般是虛擬內存不足造成的看C盤(pán)是否剩余空間過(guò)少,或者打開(kāi)的應用程序和窗口太多。
2、全盤(pán)崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和后面是否有FAT等情況判定是否為分區表,最后計算填回,主分區表,由于需要計算,過(guò)程比較煩瑣,就不仔細介紹了,希望大家用前面介紹的工具,比如NDD處理。如果文件仍然無(wú)法讀取,要考慮用TIRAMINT等工具進(jìn)行修復。如果在FAT表徹底崩潰的情況下,恢復某個(gè)指定文件,可以用DISKEDIT或DEBUG查找已知信息。比如文件為文本,文件中包含“軟件狗”,那么我我們就要把他們轉換為內碼C8EDBCFEB9B7進(jìn)行查找。
3、文件丟失、誤格式化的情況
一般的來(lái)說(shuō),文件刪除僅僅是把文件的首字節,改為E5H,而并不破壞本身,因此可以恢復。但由于對不連續文件要恢復文件鏈,由于手工交叉恢復對一般計算機用戶(hù)來(lái)說(shuō)并不容易,在這篇縮略版中就不講了,建議用工具處理,如果已經(jīng)安裝了NortonUtilities,可以用他來(lái)查找。另外,RECOVERNT等工具,都是恢復的利器。特別注意的是,千萬(wàn)不要在發(fā)現文件丟失后,在本機安裝什么恢復工具,你可能恰恰把文件覆蓋掉了。特別是你的文件在C盤(pán)的情況下,如果你發(fā)現主要文件被你失手清掉了,(比如你按SHIFT刪除),你應該馬上直接關(guān)閉電源,用軟盤(pán)啟動(dòng)進(jìn)行恢復或把硬盤(pán)串接到其他有恢復工具的機器處理。誤格式化的情況可以用等工具處理。
4、文件損壞的情況
一般的說(shuō),恢復文件損壞需要清楚的了解文件的結構,并不是很容易的事情,而這方面的工具也不多。不過(guò)一般的說(shuō),文件如果字節正常,不能正常打開(kāi)往往是文件頭損壞。
就文件恢復舉幾個(gè)簡(jiǎn)單例子。
類(lèi)型特征處理
ZIP、TGZ等壓縮包無(wú)法解壓
ZIP文件損壞的情況下可以用一個(gè)名為ZIPFIX的工具處理。不過(guò)如果你的文件是從FTP站點(diǎn)上下載的,那么有可能是你沒(méi)有定義下載模式為BIN。
自解壓文件無(wú)法解壓
可能是可執行文件頭損壞,可以用對應壓縮工具按一般壓縮文件解壓。
DBF文件死機后無(wú)法打開(kāi)
典型的文件頭中的記錄數與實(shí)際不匹配了,把文件頭中的記錄數向下調整,遺憾的是公式我找不到了。
5、硬盤(pán)被加密或變換:
此時(shí)千萬(wàn)不要FDISK/MBR,SYS等處理,否則可能數據再也無(wú)法找回,一定要反解加密算法,或找到被移走的重要扇區。對于那些加密硬盤(pán)數據的病毒,清除時(shí)一定要選擇能恢復加密數據的可靠殺毒軟件。
6、文件加密后密碼遺忘:
對于很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過(guò)程來(lái)完成的,因為那從理論上是異常困難的。目前有一些相關(guān)的軟件,他們的思想一般都是用一個(gè)大字典集中的數據循環(huán)用相同算法加密后與密碼的密文匹配,直到一致時(shí)則說(shuō)明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有后門(mén)的,比如DOS下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個(gè)中高手,大家不妨去他的主頁(yè)看看。
7、系統用戶(hù)密碼遺忘的處理:
最簡(jiǎn)單的方法就是用軟盤(pán)啟動(dòng)(NT的你也可以把盤(pán)掛接在其他NT上),找到支持該文件系統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來(lái)處理。前者時(shí)間短但所有用戶(hù)信息丟失,后者時(shí)間長(cháng),但保全了所有用戶(hù)信息。對UNIX系統,我建議你一定先做一張應急盤(pán)
2#
紫瞳 發(fā)表于 2010-10-16 09:42:55 | 只看該作者 來(lái)自 中國河北廊坊
版主你好厲害啊  看的我頭都暈了
3#
hanlei88 發(fā)表于 2010-12-15 13:11:38 | 只看該作者 來(lái)自 中國山東濟南
高手  看不懂
4#
taoleiwanghuan 發(fā)表于 2010-12-22 12:38:16 | 只看該作者 來(lái)自 中國江蘇南京
沒(méi)有看懂,好難。。。。
5#
jeromecheng 發(fā)表于 2011-1-1 13:46:40 | 只看該作者 來(lái)自 中國江蘇南通
好資料,謝謝了
6#
文軍@ 發(fā)表于 2011-1-3 10:31:24 | 只看該作者 來(lái)自 中國江西吉安
手藏了,學(xué)習
     
7#
libangzhi900518 發(fā)表于 2011-2-16 19:08:15 | 只看該作者 來(lái)自 中國北京
收藏了呵呵好東西啊
8#
mingwx 發(fā)表于 2011-3-13 00:37:49 | 只看該作者 來(lái)自 中國廣東深圳
謝謝分享啦
9#
yianshuju0 發(fā)表于 2011-4-29 14:15:13 | 只看該作者 來(lái)自 中國北京

易安7X24小時(shí)數據恢復熱線(xiàn):010-59796269
故障類(lèi)型: 文件或目錄結構損壞且無(wú)法讀取數據恢復 品牌:希捷
操作系統:WINDOWS 恢復時(shí)間:2009年08月07日
客戶(hù)名稱(chēng):個(gè)人  池先生 客戶(hù)所在地:北京
故障描述:  數據恢復費用:400 元
  客戶(hù)硬盤(pán)分成C、D、E、F四個(gè)分區,使用過(guò)程中電腦突然死機,強制關(guān)機重啟后,出現了藍色的自檢界面,自檢完成后重新進(jìn)入系統,發(fā)現E盤(pán)無(wú)法打開(kāi),雙擊后提示文件或目錄結構損壞且無(wú)法讀取。
恢復簡(jiǎn)述:   
  易安數據恢復工程師檢測,由于是非正常關(guān)機,系統自動(dòng)修復錯誤,修復過(guò)程中反而將E盤(pán)信息破壞,造成分區無(wú)法打開(kāi)。建議客戶(hù)在分區丟失后切勿通過(guò)系統修復工具對損壞硬盤(pán)自動(dòng)修復,否則將對數據造成二次破壞。工程師使用專(zhuān)業(yè)的恢復工具,將被破壞分區里原有文件全部讀出,數據恢復成功。
恢復結果:數據恢復成功  
易安7X24小時(shí)數據恢復熱線(xiàn):010-59796269

北京易安文件或目錄結構損壞且無(wú)法讀取數據恢復24小時(shí)熱線(xiàn):010-59796269、010-51293635

易安硬盤(pán)數據恢復,服務(wù)器數據恢復010-59796269

易安數據恢復  7X24小時(shí)數據恢復熱線(xiàn):010-59796269  多年恢復經(jīng)驗,上萬(wàn)成功案例;全國固定報價(jià)

硬盤(pán)數據恢復
數碼照片恢復
硬盤(pán)錄像機恢復
數據恢復范圍
臺式機硬盤(pán)數據恢復,筆記本硬盤(pán)數據恢復,移動(dòng)硬盤(pán)數據恢復,服務(wù)器硬盤(pán)數據恢復,磁盤(pán)陣列數據恢復,
RAID數據恢復,數碼照片恢復,數碼相機數據恢復,硬盤(pán)錄像機錄像恢復,錄像機數據恢復,數碼錄像機錄像恢復
U盤(pán),MP3,MP4數碼相機,CF卡,sm卡,MMC,數碼伴侶,硬盤(pán)錄像機等

2:可恢復故障:
軟件故障:
系統故障:CMOS認盤(pán),系統不認盤(pán);系統認盤(pán)但無(wú)法識別分區;
整個(gè)硬盤(pán)所有分區丟失,顯示:“未指派空間”;雙擊時(shí)提示“未格式化”;
分區可以正常讀取,可以正常打開(kāi),但讀數據時(shí)提示:“循環(huán)冗余錯誤”或“I/O錯誤”;

文件丟失:分區誤格式化;文件誤刪除;誤GHOST后整個(gè)硬盤(pán)變成一個(gè)分區;
重裝系統時(shí)選錯分區對數據覆蓋操作;某個(gè)分區突然變成空盤(pán),
屬性顯示占用空間數正常;分區容量顯示“0字節”
其它:OFFICE(WORD、EXCEL等)文件密碼破解,移動(dòng)硬盤(pán),U盤(pán)解密

RAID服務(wù)器硬盤(pán)指示燈亮紅燈、無(wú)法正常啟動(dòng)、RAID硬盤(pán)順序搞錯 ,服務(wù)器硬盤(pán)掉線(xiàn),OFFICELINE等
雙擊U盤(pán),MP3時(shí),提示:請插入磁盤(pán)...或提示:“找不到驅動(dòng)器”數據恢復

重裝系統時(shí),在DOS下格式化C盤(pán),安裝完系統后D盤(pán)為空,數據全部丟失
數碼相機照片刪除恢復,照片格式化恢復,照片刪除恢復,sd卡照片恢復,CF卡照片恢復
硬件故障:

A、CMOS不認盤(pán)
B、常有一種“咔嚓咔嚓”的磁頭撞擊聲
C、電機不轉,通電后無(wú)任何聲音
D、磁頭錯位造成讀寫(xiě)數據錯誤等
CMOS不認硬盤(pán)或系統不認盤(pán);
常有一種“咔嚓咔嚓”或“卡卡”的磁頭撞擊聲;
電機不轉,通電后無(wú)任何聲音;
壞道: 由于錯誤關(guān)機或突然斷電,硬盤(pán)使用時(shí)間長(cháng)久,硬盤(pán)盤(pán)片會(huì )出現壞道,無(wú)法導出或無(wú)法讀取。

公司名稱(chēng):北京易安數據恢復公司  

硬盤(pán)數據恢復
7X24小時(shí)數據恢復熱線(xiàn):010-59796269
服務(wù)器數據恢復
10#
yyj1399212583 發(fā)表于 2011-4-29 14:44:17 | 只看該作者 來(lái)自 中國北京
謝謝分享。。。。。。。。。。。。。。
11#
malianglzy 發(fā)表于 2011-4-29 18:44:20 | 只看該作者 來(lái)自 中國云南昆明
非常強大,正在學(xué)習
12#
972198743 發(fā)表于 2011-4-30 01:34:16 | 只看該作者 來(lái)自 中國江蘇蘇州
有沒(méi)有免費的恢復軟件啊   比較好用的  
     
13#
tiantan666 發(fā)表于 2011-6-14 09:21:30 | 只看該作者 來(lái)自 中國江蘇南京
已經(jīng)收藏了!
14#
天涯海 發(fā)表于 2011-9-3 23:16:18 | 只看該作者 來(lái)自 中國河北衡水
版主你好厲害啊  看的我頭都暈了
15#
caixu2002 發(fā)表于 2011-9-4 19:48:23 | 只看該作者 來(lái)自 中國江蘇無(wú)錫
真的事高手!值得佩服
16#
萬(wàn)通高端科技 發(fā)表于 2011-9-6 22:27:19 | 只看該作者 來(lái)自 中國廣東東莞
好資料,謝謝分享。
     
17#
zbp  | 發(fā)表于 2011-9-17 21:21:04 | 只看該作者 來(lái)自 中國廣東廣州
18#
accessory 發(fā)表于 2011-9-29 15:09:55 | 只看該作者 來(lái)自 中國江蘇無(wú)錫
有用嗎?實(shí)際嗎?不知道。!
19#
zdqcu 發(fā)表于 2011-10-9 12:19:58 | 只看該作者 來(lái)自 中國陜西西安
您想創(chuàng )業(yè)嗎?您想致富嗎?您想一日賺500-1000元嗎?
來(lái)看給力[違禁關(guān)鍵詞]基地: e58888.com/  定有收獲!
(正在面向全國誠招網(wǎng)絡(luò )代理,兼職、全職均可,非誠勿擾。
【加盟代理給力[違禁關(guān)鍵詞]基地,網(wǎng)絡(luò )創(chuàng )業(yè),年收入30萬(wàn)元 】
咨詢(xún)QQ:651198719  (咨詢(xún)前請先進(jìn)入網(wǎng)站了解。
給力[違禁關(guān)鍵詞]基地網(wǎng)址: e58888.com/
20#
風(fēng)云19881103 發(fā)表于 2012-3-8 13:30:16 | 只看該作者 來(lái)自 中國湖北咸寧
謝謝了樓主,頂頂
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規則

快速回復 返回頂部 返回列表
鄄城县| 咸阳市| 曲周县| 读书| 休宁县| 富顺县| 彩票| 涡阳县| 宝丰县| 常德市| 沅江市| 莱芜市| 铜山县| 定襄县| 台湾省| 丹凤县| 平顶山市| 齐齐哈尔市| 鸡西市| 亚东县| 太仓市| 合山市| 鄂托克旗| 南阳市| 岗巴县| 阿瓦提县| 南华县| 昌平区| 新巴尔虎右旗| 龙南县| 石台县| 和林格尔县| 平谷区| 共和县| 化州市| 深圳市| 新绛县| 澄城县| 大冶市| 建瓯市| 合山市|