KV3000修复硬盘数据三十二

由于4月26日CIH病毒的攻击，许多用户的硬盘数据丢失。在这里是一种手工修复分区表、引导表用KV3000硬盘救护箱功能。本文主要对修复的想法，即使硬盘被CIH病毒就是一个例子，但方式修复硬盘很相似。因此，其他硬盘的修复仍然可以采用这一思路。

本文的例子：40G硬盘，分为三个区域，文件格式FAT32。

现象：它是由CIH在4月26日被毁。用户使用其他软件修复，但只能找到C盘，C数据是乱码，同时，其他分区不存在。这表明，硬盘分区表错误。

修复方法如下：

首先，把硬盘的问题在一个正常的电脑，开机进入CMOS设置，如果我们可以检测到硬盘，可以被检测到，下一步操作；如果没有检测到，说明电路板的硬盘问题，那么你需要改变电路板和硬盘相同类型的然后进行下一步操作，否则，硬盘无法恢复。

二、使用干净的启动盘（软盘）启动计算机。此时，您将使用DOS上的DOS命令检查硬盘状态（参阅有关DOS命令的相关书籍）。如果出现在本文示例中的现象，则可以手动还原。

手动恢复工具：kv3000f6功能-硬盘急救箱。

三、进入F6急救箱KV3000后，你可以看到在零扇区的情况。这个部门就是通常所说的。

硬盘分区表的参数表中的80 55AA记录了硬盘的基本条件；然后按F2查看启动区。

本文的示例如下：（表1是硬盘分区表；表2是引导区i / 0表）

表1：

8001 0100bfe 7f7e3f00
000080e2 5d000000 0000000000000000 0000000000000000
0000000000000000 0000000000000000 0000000000000000
00000000 000055aa

表二：（标准表的第十三字节）

0210200002000000 00f80000 3f00ff00 3f000000
62a9b400 142d0000 000000000 2000000 01000600

（注意：字节数是表中两个数字的一个字节。表中开始的字节是0字节。稍后，通过类推，如果表1中的80 是0字节

可以从表中看出，80 和55AA，从第十二到第十五字节。c扇区数（也称为C大小）。将这个数字转换为十进制，以便以后使用；

对005de280转换为十进制80e25d00高低换位（F7键）- 6152832

四：使用F6（搜索硬盘分区表），然后按F2 =搜索逻辑硬盘，磁盘分区（搜索逻辑硬盘分区表），就可以检测出硬盘的逻辑分区。

硬盘总扇区总字节分区表扇区
D：19.008g 371261521900858982 6152895
E：19.008g 371261521900858982 43279110
（表三）
你可以看到，分区表部门：6152895对应D表中，失去了多少63:615289563 = 6152832，与相同数目的部门（C在步骤第三中计算的转换）。这表明，0部门说C扇区数是正确的，而D盘的分区表位置是正确的。把6152895到十六的号码将用于以后使用：

6152895转换为十六（F7）- 005de2bf高低移位bfe25d00

五。验证逻辑分区表的正确性：

1，找到逻辑分区：根据表3中的分区表扇区，查找6152895（d磁盘分区表扇区）和43279110（E磁盘分区表扇区扇区），并记录两个扇区数据，如下所示：

D：

0001 417f0bfe bf853f00 00000 88036020000 81860ffe
ff120663 9402478036020000 0000000000000000 00000000
0000000000000000 0000000000000000 000055aa
（表四）

E：

0001 81860bfe ff123f00 00000 88036020000 00000000
0000000000000000 0000000000000000 0000000000000000
0000000000000000 0000000000000000 000055aa
（表五）

我们可以看到，D盘E盘分区表中的起始位置说（第十八- 19字节）和结束位置（第二十一- 23字节）：8186 ；的feff12初始位置和E盘分区表（二- 3字节）8186 和feff12 结束位置（第六- 8相同的字节）。
2。计算：在这一步中，我们需要计算数据的一部分。

表四：

（1）第十二到15字节的扇区数D盘显示：08803602，高、低转移到02368008，转换为十进制（F7）37126152，这个数是相同的：D表3总sector37126152 12-15字节，说明是正确的。

第二十四- 27字节：E盘分区表的部门：06639402、高、低转移到02946306，转换为十进制（F7）43279110，发现它与E相同：分区表扇区：4327110在表3中，指示24-27字节是正确的。

（3）第二十八- 31字节（D盘之后所有逻辑分区的总数。在这种情况下，D盘后面只有一个E盘，所以这里是E盘扇区的总数）：

47803602转换到02368047转换为十进制（F7键）37126215。看看：表37126152表3部门；数加63是37126215。可以看出，在换算表四号是在表3的计算同样，28-31字节表四也是正确的。

（注意：63是DOS分区时，在每个分区之前保留63个扇区，这是相对固定的）。

表五：第十二- 15字节，表示E扇区数：08803602的高和低的换位02368008转换为十进制（使用F7）37126152。这个数字与E相同：总部门：37126152表3。第十二表5中的15个字节是正确的。

在这一点上，可以从计算中得出以下结论：所观察的d和E分区表是正确的，因此，根据分区表d，E，分区表c的对应位置手动编写，我们可以恢复数据的逻辑分区。

六，手动修改C磁盘分区表：

工具：F5 =编辑硬盘急救箱（F6）在KV3000（编辑功能）。

现在，回到表1，从第十六字节到第三十一字节是零。这就是为什么只有C和找不到原因D，E。现在D和E可以恢复，只要正确的参数被写入到相应的位置。

请注意表四中的必要参数。

（1）第二- 3字节：D盘的起始位置，写入表1中的第十八- 19字节；

（2）第五- 7字节：D盘的结尾写在表1的第二十一- 23字节中；

（3）D盘分区表的位置第四步：bfe25d00写表120第四到27字节；

（4）D + E = 37126152 + 371261852 + 63部门* 2 = 74252430转换为总数的十六（F7键）- 046d008e换位到8e006d04

（5）写0f 在表1中的第二十个字节来表示逻辑分区的分区格式。0f 指的是FAT32。

这样，表单的形式为第十六到第三十一字节，结果如下：

0000 417f0ffe bf85bfe2 5d8e006d 04000000

这时，重启计算机后，D和E的数据都恢复了。

七、C数据恢复：

1，见表2第二十23字节的62a9b400 是指部门在C的数量，与第十二- 15字节表80e25d00 不匹配相比，因为许多表已被证明是正确的，因此，表2中的数据是错误的，根据表在数据发生了变化：即62a9b400 80e25d00 。

2、搜索目录区：使用F4 =搜索功能，输入命令栏，输入ASCII值：将光标移动到起始扇区，输入1回车，开始寻找，当你找到它，这个词发现出现。按回车看看本页为目录区。如果你写下的页面，页面的数量如果没有，继续找，最明显的特征是目录，你可以看到所有的C原目录名称，中文字符乱码。这个例子的目录区是第一万九千六百二十五部门做下面的计算。：（扇区数（6332）/ 2 = 196256332 / 2 = 9765）十六进制转换（F7），2625, 2526级移位。2526 与表2 24-25字节142d相比，该表2中发现的错误数。在这一点上，142d改为2526。（FAT32如上，FAT16是不同的。）
3、重写了FAT表：（使用正常的fat2表重写损坏FAT1表），按F4 =搜索，使用Tab键切换到HEX码，型0000f8ffff0f（FAT表的前几个字节），回车，输入1回车。找到在后面的环节数。看看这个页面，你可以看到几个字节的f8ffff0f 页面左上部，否则你要继续寻找。在这篇文章中，fat2位于第九千八百六十。退出查找界面和使用F3功能转向使用第九千八百六十部门。按F10（写扇区功能）。进入95回写扇区0 { }；跳写扇区数进入1500的回报，然后按两n

完成上述步骤后，用软盘重新启动计算机，此时C、D、E磁盘被批准，数据安全恢复。

接下来，我们总结了修复步骤：
查看硬盘检测硬盘状态可能检查分区表原因分析及我/ O表是正确的，一些参数修改错误检测逻辑分区修改我 / 0表在错误的目录指向正确的fat2表FAT1表盖的重启，数据恢复，数据备份、传输系统、杀毒（注：前两步如果没有检测到硬盘或无法查看硬盘的信息，硬件问题或硬盘的物理伤害）

几点：

1、硬盘分区表、i／0表、目录区和FAT表记录硬盘的许多信息。如果这个表中的参数是错误的，它可能会导致各种情况，所以如果您不熟悉硬盘逻辑和物理结构或表中的数据，请不要随意更改它。

2。在操作过程中，如果没有确定的保证，请随时记录更换的地方随时准备恢复。

3，由于不同的原因，硬盘产生的问题是不同的。它们不能一概而论。本文所述方法是有限的，不能随意模仿。

4，本文中提到的数据和参数非常不确定（每个硬盘都不一样），所以在得到一个数字后，我们必须再次确认它，然后再更改它。

5。虽然本文以40G硬盘为例，其他大

也可以根据文本中的思想恢复硬盘。