一、根底学问
1、DOS(DOS兼容零碎硬盘数据)的形成
主分区和扩大分区构造根本类似,以次以主分区为例。
主指导记载(MBR):MBR占一度扇区,正在CYL 0、SIDE 0 、SEC 1,由代码区和分区表形成。内中代码区能够由FDISK/MBR重建。
零碎扇区:CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63,共62个扇区。
指导区(BOOT):CYL 0、SIDE 1 、SEC 1 这是咱们过来称的DOS指导区。也占一度扇区。
躲藏扇区:CYL 0、SIDE 0 、SEC 1,假如是FAT16那样占一度扇区,假如是FAT32则由此占32个扇区。
资料调配表:正常有两个FAT表,FAT12、FAT16的第一FAT表正常均正在0-1-2,FAT32的第一FAT表正在0-1-33。FAT表是记载资料占用扇区联接的中央,假如两个FAT表都坏了,前因没有堪设计。因为FAT表的长短与以后分区的大小相关因为FAT2 的地点是需求打算的。
根节目区:(ROOT)那里记载了根节目里的节目资料项等,ROOT区跟正在FAT2前面。
数据区:跟正在ROOT区前面,这才是数据形式。
2、主指导记载容易注明
主指导记载是硬盘指导的终点,对于于代码区没有多说了,其分区表,比拟主要的是2个标记,正在偏偏移1BE,处的80 的标志示意零碎可指导,且整个分区表只能有一度80标志。 另一度就是开头的55 AA标志。用于示意主指导记载是一度无效的记载。
实在,没有管MBR还是隐含扇区还是BOOT区,都没有主要,该署重定都比拟简单。对于数据复原来说,是否顺利的找回数据资料是主要的。此外,因为FAT表记载了资料正在硬盘上占用扇区的链表,假如2个FAT表都彻底保护了。那样复原资料,尤其是占用多个没有陆续扇区资料就相等艰难了。
根本思是:
1、FAT2没坏的状况,用FAT2遮盖FAT1。
2、FAT2也曾经保护的状况,我正常是只等待找回内中某些要害的资料了。咱们最等待的是该署资料是陆续的。假如没有陆续的话,也并非没有能够,但这常常还要晓得资料的一些底细,囊括对于一些资料自身的联接构造有理解。假如FAT2没有彻底,是有定然用途的,此外,正常来说,FAT16的硬盘由于FAT表前的比拟重大,正常两个FAT表都坏了,小硬盘也很难复原了。
二、一度根本复原被CIH硬盘数据的事例
没有断有冤家问细工复原的技巧,过去复原了多块被CIH的硬盘,之因为选取这一次,是由于虽然复原顺利,但内中犯了一些谬误,不值留意。
拜托复原用户:某银行零碎
硬盘状况:CIH发生有该部门计算机人员曾用KV300 F10停止修补,但没有顺利,又复原了销毁的MBR。
预备好软盘3张:
DISK1 :WIN98发动盘(带DEBUG)
DISK2:DISKEDIT等机器(此盘没有要写)
DISK3:DOS下杀CIH的机器
把我的硬盘摘下,挂上待复原的的硬盘,开机,进入SETUP,检测硬盘,把参数记下。
CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。
用预备好的软盘发动:
A:C:
显现Invalid drive specification
FDISK/MBR重建主指导记载(这是个习气),从新软盘指导(能够没有多余):这时曾经看的见C:硬盘。发动DISKEDIT,发动进程中显现Invalid media type reading DRIVER C,哎哟,算了,还是先用DEBUG 清空分区表, 并置80和55aa标记。从新发动,再运转DISKEDIT,显现设定为READ ONLY, 没联系,把CONFIGURATION中的只读选项去掉,存盘,好了,能够编者了。
因为后来接的硬盘有多块,我把这块当成了是一块只要C分区(这是期待修补的另一块硬盘),因为没看别的货色,咱们等待FAT2没坏,以用FAT2遮盖FAT1,正在某个时分DISKEDIT要比DEBUG简单的多,正在FIND OBJECT中取舍 FAT,查一下起始扇区,好的,正在CYL 0 SIDE68 SEC 14,0000H,F8 FF FF 0F (FAT32的),好的,FAT2没坏。实在假如没有必DISKEDIT的能够用DEBUG查,偏偏移0000的F8 FF FF。
因为认为只要C分区,因为,下去就正在FIND中查找IOSYS(IO 和SYS中要有空格)以查找ROOT区。找出后视察,能否有C: 下罕见资料。好的,ROOT区没被。记下了该扇区:CYL 0 、SIDE 68 、SEC 14,备用。
FAT1正常后面曾经被了,但前面该当还正在,这能够作为审查。由于是32位的,FAT1 正常正在CYL 0 SIDE1 SEC 33。 由于有了ROOT 区而后该当打算FAT表的长短了,由于FAT2到ROOT前一扇区为止,因为无比容易。而后能够用FAT2遮盖FAT1,那里用DEBUG还是DISKEDIT都能够,假如用DEBUG正常是用INT 25读相对于扇区,再用INT 26写入,没有过正常要分多少次。忘记保存断点呀:-)用DISKEDIT能够MARK FAT2的形式COPY上去,正在WRITE到FAT1。
而后能够复原主指导记载、隐含扇区和BOOT区,能够先用NDD修补分区表,而后能够思忖用规范遮盖法,假如你指望下一步由NORTON Utilities ,来接手该署都能够没有做。我从另一台FAT32上取来了,呼应的全体,写了出来。我这是发觉好象有一度D盘。先看一下正在说吧。好了,关灯串上我的硬盘,用NORTON Utilities扫描C盘,资料根本复原,对于C盘杀毒,WHY,没有发觉野病毒,换了2种杀毒硬件还是没有野病毒,更蹩脚的是,显现C盘是948M,有一度D盘,然而95下无奈阅读,DOS 下乱码。此外挂电话核实后来的状况,本来是26日那天,放进一张光盘,光驱灯亮了一会,就硬盘狂响,蓝屏死机了。该当我的推断一样,是光盘的AUTORUN顺序有CIH野病毒。因为说没有实时进攻威力的硬件是没成心义的。此外,他们的硬盘的确分两个区,并且主要资料正在D区。(气死我了!)
而后正在修补D盘吧,再回到DOS,用DEBUG查找终了标记为55AA 的扇区,由构造断定能否为扩大分区。这时可算出大小来返主分区表。千万,许多机器也能够很好的实现这一任务。假如你没有掌握,就用他们实现好了。
经历小结
1、你没有要或者许凭回忆想一块硬盘该是怎样样的,定然要本人去看,我就是犯了某个谬误。
2、KV300 F10的确如一些网友所讲,有定然心腹之患,假如银行的计算机人员正在用KV300 F10解决事先没有备份,能够要给我找些费事。
3、复原数据要本着多少项准则:
a、先备份,这也是然后我写HD-MIRROR的缘由;
b、优先挽救最要害的数据;
c、正在稳当的状况下先把最稳固的果儿捞进去(理当先修补扩大分区,再修补C),最好修补一全体备份一全体;
d、要先作好预备,没有要忙中出错,因为我的工具没有装过NORTON,先解压,习气的敲了一度D:TEMP,这才想兴起资料险乎解正在没有彻底的C盘上。
实在看来,假如FAT2没坏的状况下,复原C盘数据常简单的,能够编程完成。假如FAT2保护了,最简单复原的千万是只占用一度扇区的资料和陆续的资料。
回顶部
