数据恢复的方法和例子，CIH硬盘

1。基本知识
1的组成，DOS（DOS兼容的系统硬盘数据）

主分区和扩展分区结构基本相似，下面是主分区。

主引导记录（MBR）：MBR占部门，由共青团0、0、和1秒，由编码区和分区表的代码区域可以通过fdisk / MBR重建。

系统部门：共青团0、0、0秒1-cyl，方0，63秒，共有62个部门。

引导区（引导）：共青团0，1，和1秒的DOS引导区，我们叫它也占一个扇区。

隐藏扇区：共青团0、0、1秒，如果FAT16的一个部门，如果FAT32是32部门。

文件分配表：一般来说，有两个FAT表，和FAT12和FAT16第一FAT表一般在0-1-2，和FAT32第一FAT表是0-1-33.the FAT表是记录文件占用部门联系，如果两个FAT表损坏，造成的后果是不可想象的，因为FAT表的长度与当前分区的大小有关，fat2的地址需要计算。

根目录区：（根）在根目录下的目录文件条目都记录在这里，和根区是由fat2。

数据区域：在根区域之后，这是数据的内容。

2。主要指南记录的简单描述

主引导记录是硬盘启动的起始点。代码区域不多，它的分区表比2个符号更重要。在胶印1be 80标志，表示系统可引导，和整个分区表只能有一个80分，其他是55 AA标签结束。它是用来表示主引导记录是一个有效的记录。

事实上，无论是MBR或隐藏扇区或引导区，这并不重要，这些重建相对容易，数据恢复，这就是成功的检索数据文件重要。此外，由于FAT表记录文件占用硬盘上的扇区列表，如果2 FAT表完全损坏，恢复文件是相当困难的，尤其是以不连续的多个部门的文件。

基本思想是：

1、fat2没有损坏，使用fat2覆盖FAT1。

2、fat2也被损坏了，一般我只是希望找到一些关键的文件。我们最期待的是，这些文件是连续的，如果它是不连续的，这是不可能的，但它往往需要知道文件的一些细节，包括一些文件的连接结构的理解。如果完全摧毁，这fat2不是很有用，另外，在一般情况下，FAT16脂肪桌上因为硬盘损坏比较严重，一般两FAT表坏了，很难恢复硬盘。

两。举一个例子，基本恢复被CIH破坏的硬盘数据

朋友们一直在询问手部康复的技巧。最近，多块硬盘被CIH已恢复。这次选择的原因是，虽然恢复成功，但也犯了一些错误，值得注意。
委托给用户：银行系统

硬盘的情况：CIH攻击单位的计算机人员使用KV300 F10进行修复，但没有成功，并恢复保存的MBR。

准备好3张软盘：

DISK1：Win98启动盘（调试）

disk2：diskedit和其他工具（不要这个磁盘写保护）

disk3：DOS工具杀CIH

把我的硬盘关掉，挂起硬盘恢复，启动机器，进入设置，检查硬盘，并记录参数。

克莱620头128补偿0土地lJFH 4959部门63模式LBA。

从一个现成的软盘开始。

丙：

显示无效的驱动器规格
fdisk / MBR重建主引导记录（这是一种习惯），和软盘启动（可能不是必须的）：看到C在这个时候：硬盘启动diskedit，显示无效的媒体类型，读驱动器C在启动过程中，唉，算了，先用调试空分区表，80、协调和55aa迹象。重新启动，再次运行diskedit，并表明它设置为只读。没关系.配置中的只读选项已被删除并保存，可以编辑。

因为硬盘有多个连接，我认为这是一个C分区（仅等待另一块硬盘修复），所以我没有看到任何东西，我们期待fat2没有损坏，与fat2覆盖FAT1，此时diskedit是更易于调试，选择脂肪在找对象，检查启动扇区，良0，共青团side68秒140000h F8 FF FF 0f（FAT32），fat2不错，不错。事实上，如果你没有用，你可以使用调试检查，偏移0000 F8 FF FF。

因为你认为只有C分区是唯一可用的，你在找iosys看（在IO系统空间）到根区。找到后，看看有没有一个共同的文件在C：。好的，根区不被破坏。写下部门：共青团0、68、14秒，备用。

FAT1一般被破坏之前，但它应该还在后面，这可以作为一个检查，因为32位，FAT1一般是在共青团0适合于side1 33秒。因为我们有根区，那么你应该计算FAT表的长度，因为fat2去根的前面，所以很简单，你可以使用fat2覆盖FAT1。如果你使用调试或diskedit，您可以使用调试与int 25读的绝对领域，然后使用int 26写它，但它通常需要分几次。记得保持断点：-）diskedit可以标记fat2内容复制，从写FAT1。

然后，我们可以恢复主引导记录、隐藏扇区和引导区域。我们可以先用NDD修复分区表，然后可以考虑标准覆盖的方法。如果你想把诺顿事业的下一步，我们不能这样做。我从另一个FAT32的得到它，和相应的部分是写的。我发现它似乎有一个D盘。看看它。嗯，我关闭机器

硬盘，诺顿事业扫描驱动，文件恢复，对C病毒，为什么，没有发现病毒，2杀毒软件也没有病毒，更糟糕的是，C是948m，有D盘，但是95无法浏览，DOS代码。所以打电话核实情况，原来是26一天，放进光驱，一会儿驱动光，硬盘，蓝屏死了。它应该是证实我的推论是，光盘的自动运行程序有CIH病毒。所以不说没有实时防御能力的软件有意义。此外，它们的硬盘真的分为两个区域，和重要的文件都在D区。（气死我了！）

然后D盘修复，然后回到DOS，和调试是用来寻找的结束标志的部门作为55aa，和结构决定它是否是一个扩展分区。在这一点上的大小可以计算返回主分区表。当然，许多工具可以很好的做这项工作。如果你不确定，与他们做。

总结经验

1，你不听一封信，也不记得硬盘是什么样子，一定要去看它，我只是犯了这个错误。

2、KV300 F10确实是一些网民的隐患。如果银行的计算机人员没有在KV300 F10处理备份，他们会给我一些麻烦。

三.数据的恢复应以几个原则为基础：

一、背起来，这就是我为什么写hd-mirror原因。

B，首先拯救最关键的数据；

安全的话，我们应该先得到最稳定的鸡蛋。（我们应该先修复扩展分区，然后修复C）。我们必须修理部分备份部件。

D，必须先准备，不要忙着出错，因为我的机器没有安装诺顿，解压后，用来敲一个D温度，想想它几乎没有解决方案在文件上完全用C修复。

事实上，如果fat2没有损坏，C数据恢复是很容易的，可以实现的。如果fat2受损，恢复最简单的方法是把只有一个部门的文件和一个连续文件。