1。基本知识
1的组成,DOS(DOS兼容的
系统硬盘数据)
主分区和
扩展分区结构基本相似,下面是主分区。
主引导记录(MBR):MBR占部门,由共青团0、0、和1秒,由编码区和分区表的代码
区域可以通过fdisk / MBR重建。
系统部门:共青团0、0、0秒1-cyl,方0,63秒,共有62个部门。
引导区(引导):共青团0,1,和1秒的DOS引导区,我们叫它也占一个
扇区。
隐藏扇区:共青团0、0、1秒,如果FAT16的一个部门,如果FAT32是32部门。
文件分配表:一般来说,有两个FAT表,和FAT12和FAT16第一FAT表一般在0-1-2,和FAT32第一FAT表是0-1-33.the FAT表是记录文件占用部门联系,如果两个FAT表
损坏,造成的后果是不可想象的,因为FAT表的长度与当前分区的大小有关,fat2的
地址需要计算。
根
目录区:(根)在根目录下的目录文件条目都记录在这里,和根区是由fat2。
数据区域:在根区域之后,这是数据的内容。
2。主要指南记录的简单描述
主引导记录是硬盘
启动的起始点。代码区域不多,它的分区表比2个符号更重要。在胶印1be 80标志,表示系统可引导,和整个分区表只能有一个80分,其他是55 AA标签结束。它是用来表示主引导记录是一个有效的记录。
事实上,无论是MBR或隐藏扇区或引导区,这并不重要,这些重建相对容易,数据
恢复,这就是成功的检索
数据文件重要。此外,由于FAT表记录文件占用硬盘上的扇区列表,如果2 FAT表完全损坏,恢复文件是相当困难的,尤其是以不
连续的多个部门的文件。
基本思想是:
1、fat2没有损坏,使用fat2覆盖FAT1。
2、fat2也被损坏了,一般我只是希望找到一些关键的文件。我们最期待的是,这些文件是连续的,如果它是不连续的,这是不可能的,但它往往需要知道文件的一些细节,包括一些文件的
连接结构的理解。如果完全摧毁,这fat2不是很有用,另外,在一般
情况下,FAT16脂肪桌上因为硬盘损坏比较严重,一般两FAT表坏了,很难恢复硬盘。
两。举一个例子,基本恢复被CIH破坏的硬盘数据
朋友们一直在询问手部康复的技巧。最近,多块硬盘被CIH已恢复。这次选择的
原因是,虽然恢复成功,但也犯了一些
错误,
值得注意。
委托给
用户:银行系统
硬盘的情况:CIH攻击单位的
计算机人员使用KV300 F10进行修复,但没有成功,并恢复
保存的MBR。
准备好3张软盘:
DISK1:Win98
启动盘(调试)
disk2:diskedit和其他
工具(不要这个
磁盘写保护)
disk3:DOS工具杀CIH
把我的硬盘关掉,挂起硬盘恢复,启动机器,进入
设置,
检查硬盘,并记录
参数。
克莱620头128补偿0土地lJFH 4959部门63
模式LBA。
从一个现成的软盘开始。
丙:
显示无效的驱动器规格
fdisk / MBR重建主引导记录(这是一种习惯),和软盘启动(可能不是必须的):看到C在这个时候:硬盘启动diskedit,显示无效的媒体
类型,读驱动器C在启动过程中,唉,算了,先用调试空分区表,80、协调和55aa迹象。
重新启动,再次
运行diskedit,并表明它设置为只读。没关系.
配置中的只读
选项已被
删除并保存,可以
编辑。
因为硬盘有多个连接,我认为这是一个C分区(仅
等待另一块硬盘修复),所以我没有看到任何东西,我们期待fat2没有损坏,与fat2覆盖FAT1,此时diskedit是更易于调试,选择脂肪在找对象,检查启动扇区,良0,共青团side68秒140000h F8 FF FF 0f(FAT32),fat2不错,不错。事实上,如果你没有用,你可以使用调试检查,偏移0000 F8 FF FF。
因为你认为只有C分区是唯一可用的,你在找iosys看(在IO系统
空间)到根区。找到后,看看有没有一个共同的文件在C:。好的,根区不被破坏。写下部门:共青团0、68、14秒,备用。
FAT1一般被破坏之前,但它应该还在后面,这可以作为一个检查,因为32位,FAT1一般是在共青团0适合于side1 33秒。因为我们有根区,那么你应该计算FAT表的长度,因为fat2去根的前面,所以很简单,你可以使用fat2覆盖FAT1。如果你使用调试或diskedit,您可以使用调试与int 25读的绝对领域,然后使用int 26写它,但它通常需要分几次。记得保持断点:-)diskedit可以标记fat2内容
复制,从写FAT1。
然后,我们可以恢复主引导记录、隐藏扇区和引导区域。我们可以先用NDD修复分区表,然后可以考虑标准覆盖的
方法。如果你想把诺顿事业的下一步,我们不能这样做。我从另一个FAT32的得到它,和相应的部分是写的。我
发现它似乎有一个D盘。看看它。嗯,我
关闭机器
硬盘,诺顿事业扫描驱动,文件恢复,对C
病毒,为什么,没有发现病毒,2
杀毒软件也没有病毒,更糟糕的是,C是948m,有D盘,但是95无法
浏览,DOS代码。所以打电话核实情况,原来是26一天,放进光驱,一会儿驱动光,硬盘,
蓝屏死了。它应该是证实我的推论是,光盘的自动运行
程序有CIH病毒。所以不说没有实时防御能力的软件有意义。此外,它们的硬盘真的分为两个区域,和重要的文件都在D区。(气死我了!)
然后D盘修复,然后回到DOS,和调试是用来寻找的结束标志的部门作为55aa,和结构决定它是否是一个扩展分区。在这一点上的大小可以计算返回主分区表。当然,许多工具可以很好的做这项
工作。如果你不确定,与他们做。
总结经验
1,你不听一封信,也不记得硬盘是什么样子,一定要去看它,我只是犯了这个错误。
2、KV300 F10确实是一些网民的隐患。如果银行的计算机人员没有在KV300 F10
处理备份,他们会给我一些麻烦。
三.数据的恢复应以几个原则为基础:
一、背起来,这就是我为什么写hd-mirror原因。
B,首先拯救最关键的数据;
安全的话,我们应该先得到最稳定的鸡蛋。(我们应该先修复扩展分区,然后修复C)。我们必须修理部分备份部件。
D,必须先准备,不要忙着出错,因为我的机器没有
安装诺顿,解压后,用来敲一个D
温度,想想它几乎没有
解决方案在文件上完全用C修复。
事实上,如果fat2没有损坏,C数据恢复是很容易的,可以实现的。如果fat2受损,恢复最简单的方法是把只有一个部门的文件和一个连续文件。