由于4月26日CIH
病毒的攻击,许多
用户的
硬盘数据丢失。在这里是一种手工修复分区表、引导表用KV3000硬盘救护箱
功能。本文主要对修复的想法,即使硬盘被CIH病毒就是一个例子,但方式修复硬盘很相似。因此,其他硬盘的修复仍然可以采用这一思路。
本文的例子:40G硬盘,分为三个
区域,
文件格式FAT32。
现象:它是由CIH在4月26日被毁。用户使用其他软件修复,但只能找到C盘,C数据是乱码,同时,其他分区不存在。这表明,硬盘分区表
错误。
修复
方法如下:
首先,把硬盘的问题在一个正常的
电脑,开机进入CMOS
设置,如果我们可以
检测到硬盘,可以被检测到,下一步
操作;如果没有检测到,说明电路板的硬盘问题,那么你需要改变电路板和硬盘相同
类型的然后进行下一步操作,否则,硬盘无法
恢复。
二、使用
干净的
启动盘(软盘)启动
计算机。此时,您将使用DOS上的DOS
命令检查硬盘状态(参阅有关DOS命令的相关书籍)。如果出现在本文示例中的现象,则可以手动还原。
手动恢复
工具:kv3000f6功能-硬盘急救箱。
三、进入F6急救箱KV3000后,你可以看到在零
扇区的
情况。这个部门就是通常所说的。
硬盘分区表的
参数表中的80 55AA记录了硬盘的基本
条件;然后按F2查看启动区。
本文的示例如下:(表1是硬盘分区表;表2是引导区i / 0表)
表1:
8001 0100bfe 7f7e3f00
000080e2 5d000000 0000000000000000 0000000000000000
0000000000000000 0000000000000000 0000000000000000
00000000 000055aa
表二:(标准表的第十三字节)
0210200002000000 00f80000 3f00ff00 3f000000
62a9b400 142d0000 000000000 2000000 01000600
(注意:字节数是表中两个数字的一个字节。表中开始的字节是0字节。稍后,通过类推,如果表1中的80 是0字节
可以从表中看出,80 和55AA,从第十二到第十五字节。c扇区数(也称为C大小)。将这个数字
转换为十进制,以便以后使用;
对005de280转换为十进制80e25d00高低换位(F7键)- 6152832
四:使用F6(
搜索硬盘分区表),然后按F2 =搜索逻辑硬盘,
磁盘分区(搜索逻辑硬盘分区表),就可以检测出硬盘的逻辑分区。
硬盘总扇区总字节分区表扇区
D:19.008g 371261521900858982 6152895
E:19.008g 371261521900858982 43279110
(表三)
你可以看到,分区表部门:6152895对应D表中,失去了多少63:615289563 = 6152832,与相同数目的部门(C在
步骤第三中计算的转换)。这表明,0部门说C扇区数是
正确的,而D盘的分区表
位置是正确的。把6152895到十六的号码将用于以后使用:
6152895转换为十六(F7)- 005de2bf高低移位bfe25d00
五。验证逻辑分区表的正确性:
1,找到逻辑分区:根据表3中的分区表扇区,查找6152895(d磁盘分区表扇区)和43279110(E磁盘分区表扇区扇区),并记录两个扇区数据,如下所示:
D:
0001 417f0bfe bf853f00 00000 88036020000 81860ffe
ff120663 9402478036020000 0000000000000000 00000000
0000000000000000 0000000000000000 000055aa
(表四)
E:
0001 81860bfe ff123f00 00000 88036020000 00000000
0000000000000000 0000000000000000 0000000000000000
0000000000000000 0000000000000000 000055aa
(表五)
我们可以看到,D盘E盘分区表中的起始位置说(第十八- 19字节)和结束位置(第二十一- 23字节):8186 ;的feff12初始位置和E盘分区表(二- 3字节)8186 和feff12 结束位置(第六- 8相同的字节)。
2。计算:在这一步中,我们需要计算数据的一部分。
表四:
(1)第十二到15字节的扇区数D盘
显示:08803602,高、低转移到02368008,转换为十进制(F7)37126152,这个数是相同的:D表3总sector37126152 12-15字节,说明是正确的。
第二十四- 27字节:E盘分区表的部门:06639402、高、低转移到02946306,转换为十进制(F7)43279110,
发现它与E相同:分区表扇区:4327110在表3中,指示24-27字节是正确的。
(3)第二十八- 31字节(D盘之后所有逻辑分区的总数。在这种情况下,D
盘后面只有一个E盘,所以这里是E盘扇区的总数):
47803602转换到02368047转换为十进制(F7键)37126215。看看:表37126152表3部门;数加63是37126215。可以看出,在换算表四号是在表3的计算同样,28-31字节表四也是正确的。
(注意:63是DOS分区时,在每个分区之前保留63个扇区,这是相对固定的)。
表五:第十二- 15字节,表示E扇区数:08803602的高和低的换位02368008转换为十进制(使用F7)37126152。这个数字与E相同:总部门:37126152表3。第十二表5中的15个字节是正确的。
在这一点上,可以从计算中得出以下结论:所观察的d和E分区表是正确的,因此,根据分区表d,E,分区表c的对应位置手动编写,我们可以恢复数据的逻辑分区。
六,手动
修改C磁盘分区表:
工具:F5 =
编辑硬盘急救箱(F6)在KV3000(编辑功能)。
现在,回到表1,从第十六字节到第三十一字节是零。这就是为什么只有C和找不到
原因D,E。现在D和E可以恢复,只要正确的参数被写入到相应的位置。
请注意表四中的必要参数。
(1)第二- 3字节:D盘的起始位置,写入表1中的第十八- 19字节;
(2)第五- 7字节:D盘的结尾写在表1的第二十一- 23字节中;
(3)D盘分区表的位置第四步:bfe25d00写表120第四到27字节;
(4)D + E = 37126152 + 371261852 + 63部门* 2 = 74252430转换为总数的十六(F7键)- 046d008e换位到8e006d04
(5)写0f 在表1中的第二十个字节来表示逻辑分区的分区格式。0f 指的是FAT32。
这样,表单的形式为第十六到第三十一字节,结果如下:
0000 417f0ffe bf85bfe2 5d8e006d 04000000
这时,
重启计算机后,D和E的数据都恢复了。
七、C数据恢复:
1,见表2第二十23字节的62a9b400 是指部门在C的数量,与第十二- 15字节表80e25d00 不匹配相比,因为许多表已被证明是正确的,因此,表2中的数据是错误的,根据表在数据发生了变化:即62a9b400 80e25d00 。
2、搜索
目录区:使用F4 =搜索功能,
输入命令栏,输入ASCII值:将光标移动到起始扇区,输入1回车,开始寻找,当你找到它,这个词发现出现。按回车看看本页为目录区。如果你写下的页面,页面的数量如果没有,继续找,最明显的特征是目录,你可以看到所有的C原目录名称,
中文字符乱码。这个例子的目录区是第一万九千六百二十五部门做下面的计算。:(扇区数(6332)/ 2 = 196256332 / 2 = 9765)十六进制转换(F7),2625, 2526级移位。2526 与表2 24-25字节142d相比,该表2中发现的错误数。在这一点上,142d改为2526。(FAT32如上,FAT16是不同的。)
3、重写了FAT表:(使用正常的fat2表重写
损坏FAT1表),按F4 =搜索,使用Tab键切换到HEX码,型0000f8ffff0f(FAT表的前几个字节),回车,输入1回车。找到在后面的环节数。看看这个页面,你可以看到几个字节的f8ffff0f 页面左上部,否则你要继续寻找。在这篇文章中,fat2位于第九千八百六十。
退出查找
界面和使用F3功能转向使用第九千八百六十部门。按F10(写扇区功能)。进入95回写扇区0 { };跳写扇区数进入1500的回报,然后按两n
完成上述步骤后,用软盘
重新启动计算机,此时C、D、E磁盘被批准,数据安全恢复。
接下来,我们总结了修复步骤:
查看硬盘检测硬盘状态可能检查分区表原因分析及我/ O表是正确的,一些参数修改错误检测逻辑分区修改我 / 0表在错误的目录指向正确的fat2表FAT1表盖的重启,数据恢复,数据备份、
传输系统、杀毒(注:前两步如果没有检测到硬盘或无法查看硬盘的信息,
硬件问题或硬盘的物理伤害)
几点:
1、硬盘分区表、i/0表、目录区和FAT表记录硬盘的许多信息。如果这个表中的参数是错误的,它可能会导致各种情况,所以如果您不熟悉硬盘逻辑和物理结构或表中的数据,请不要随意更改它。
2。在操作过程中,如果没有确定的保证,请随时记录更换的地方随时准备恢复。
3,由于不同的原因,硬盘产生的问题是不同的。它们不能一概而论。本文所述方法是有限的,不能随意模仿。
4,本文中提到的数据和参数非常不确定(每个硬盘都不一样),所以在得到一个数字后,我们必须再次
确认它,然后再更改它。
5。虽然本文以40G硬盘为例,其他大
也可以根据
文本中的思想恢复硬盘。