4.6.3.2 编辑菜单
这个菜单是要把数据中的512个字节导入然后编辑的操作.
4.6.3.2.1查找
在你导入的数据中查找你要找的数据并把光标定在这个位置.
你选择了这个菜单后,将会出现一个准则框让你填写(十六进制\ASCII)
4.6.3.2.2查找下一个
这个菜单允许继续搜索满足条件的下一条数据;用组合的热键操作这个功能是非常方便的.
4.6.3.2.3转到一个地址
这个菜单允许你快速的移到你需要达到的位置.
4.6.3.2.4填充
用这个菜单,可以填充连续的数据块到定义的扇区中.
4.6.3.2.5移动
用这个菜单你可以移动选定的连续块到另一个限定的扇区内.
4.6.3.3”作为….观察”菜单
这个菜单的目的是查看和编辑与硬盘的逻辑结构相关连的特殊的数据结构.
4.6.3.3.1 分区表
这个菜单可以观察和编辑主分区(MBR)和扩展分区(EPR)列表的.
这个菜单对于硬盘在遭到逻辑或者物理破坏是非常有用.
可以用手工纠正这个硬盘上数据的差异然后使用资源管理器模式.
4.6.3.3.2FAT和NTFS引导扇区
这些菜单允许去查看和编辑读取相应分区类型扇区数据的引导记录的结构:(图略)
查看这些信息对于数据恢复是一个好的机会!
例如,从下一个分区的开始位置确定引导分区的大小,如果扇区读取有错误,是非常有必要去纠正这个重要的参数的。
4.6.3.3.3文件分配表文件夹
通过这种模式可以完全了解文件和文件夹的一些信息。
实践证明,遇到引导分区被破坏的情况,找到开始扇区的簇的大小是相当有用的。第一个子目录在第一个扇区开始的位置都有它本身的参照目录,找到这两个子目录扇区和簇的位置的差别就可以计算这个目录的簇的大小,从而确定根目录的位置。
4.6.3.4扇区菜单
这个菜单提供一个机会让你在没有进入地图模式时导入合适的数据到扇区中。
如果你执行扫描,这个“读取”菜单允许你读取缺陷硬盘选定的扇区。
所有的别的子菜单不用特别说明,可以直接从先前的镜相文件中导入数据到编辑窗口中。
如果这个扇区的没有读出,数据将按照扫描设定的参数被导入。
4.6.3.5关联菜单
通过鼠标的右键可以打开相关联的菜单。
4.6.3.5.1对选择才起作用
在这里只有选择了数据对象菜单才起作用。
4.6.3.5.1.1从交换区拷贝数据
这个菜单允许你拷贝选定的程序内部交换区(不是WINDOWS的交换区)的数据。
4.6.3.5.1.2从交换区插入
你如果太早拷贝了数据或剪切了数据,这个菜单允许你插入这些数据来替换你当前选定的数据。
4.6.3.5.1.3剪切到交换区
在交换区中,这个菜单可以让你剪切数据然后放到另一个地方。
4.6.3.5.1.4加进模板
这个菜单可以让你把选择的一个区域直接加进模板根目录中。
有时选定的区域更连续,加进模板中可以修正和改善它。
4.6.3.5.2编辑bit
这个模式纯粹是为了方便编辑某个选定的字节。
4.6.3..5.3取消改变
这个菜单允许取消最后一次的对数据的改变。
4.6.3.5.4数据的形象演试
这个菜单是方便用户把数据形象的演试出来。
4.6.3.5.4.1字体
通过这个菜单可以改变数据据显示的字体大小。
4.6.3.5.4.2字节交换
这种模式允许交换不成对的字节,有时候它是非常有用的。
4.6.3.5.4.3位移显示
下面是它的四个字菜单:
取消移位显示
用十六进制来显示移位的情况
用八进制来显示移位情况
用十进制来显示移位情况
4.6.3.5.4.4每一行字节的数量
这个子菜单允许你去设置一行显示的的字节的数量,可以是16、32、64个字节,这都是一些参数设置来实现的。
例如;对一个最少占用的单位是32字节的文件夹,设置成每行显示32字节来查看文件夹占用扇区的数据要顺眼一点。
4.6.3.5.4.5纵相字节的数量
这个菜单用来调整纵相显示的字节的数量,可以是1、2、4个字节。
4.6.3.5.4.6以文本形式编译
用这个菜单可以把右边符号的表示部分变成文本来编辑。
5、数据的恢复
在这一章我们主要讲当用户数据遭到破坏是,怎样用数据恢复的方法去恢复这些被破坏的数据。所有的方法都涉及到综合的硬盘工具PC3000和DE软件。
所有的情况都是假定所用的硬盘是IDE接口的,建议你上 http://www.acelab.ru/hddtech.pdf看一下硬盘的出错代码等一些知识。
5.1用户数据遭到破坏的原因
用户的数据遭到破坏是有很多原因的,如果不知道这些原因(病毒破坏,还是误操作:格式化了还是删除了)的话,不管是硬盘物理坏道还是好盘上的数据破坏去恢复数据相当难。
有以下两种主要的原导致读取数据是不可能的:
1、?要恢复数据的硬盘受到了物理上的损坏。
2、?要恢复数据的硬盘物理功能上功能问题。
这样数据恢复就分为物理恢复和逻辑恢复两种。
一般的进行了物理恢复后通常要进行逻辑恢复。
5.1.1硬盘有物理缺陷导致不能读取数据的原因
5.1.1.1坏扇区
磁盘老化会让磁头在盘片上留下一些刮痕,这样就形成了坏扇区。
用PC3000的PC3000AT扫描就会发现UNC、AMNF、IDNF错误。
如果用磁盘扫描工具不能识别就标记为坏扇区。
从有坏道的扇区上读取数据的机会全靠硬盘上的坏道的分布数量。
如果坏扇区没有破坏你需要的数据的话,恢复这些数据是完全可能的。但是,用系统的工具拷贝出这些数据并不是一样非常容易的事情。
更糟糕的情况是坏扇区正在系统的区域,如果没有特别的工具,是不可能读取数据的。
有时候,坏扇区破坏了你需要的文件,当你拷贝时根本没法进行的,例如:如果出现了I/O错误就会中止拷贝。
5.1.1.2不能连接到缺陷硬盘的伺候器
很多情况下,缺陷硬盘的坏道在硬盘上占有一个重要的位置(很多缺陷在表面上,但也有很多缺陷是伺候器内部)。
硬盘的伺候器是维护和控制硬盘速度和硬盘读取扇区的通道。
如果硬盘的伺候器遭到破坏时,硬盘的行为就很难控制了。硬盘的运转主要是靠处在某一模式下的微程序来控制的。
简单说来,硬盘出现了一个IDNF错误后会读下一个伺候器。
如果所有的伺候器遭到破坏,原则上,硬盘不可能稳定的旋转,磁道也变得不精密啦。
以上说明,不同情况的硬盘的工作情况是不同的。
例如,当正在以一个稳定的速度移动到下一个柱面,回来时却遇到伺候器破坏的情况等.
这种过程是一直伴随着嗡嗡的硬盘杂音在响.
有些硬盘读着突然停下来敲盘.
从硬盘的伺候器被破坏的区域读数在理论是不可能的.首先,扇区的位置不能定下来,第二,硬盘因为出现了这么严重的问题差不多挂啦,第三,因为磁头不能确定扇区的位置,所以不断的敲盘.
最让人不开心的事情就是在从伺候器出错硬盘上读取数据时,出现了敲盘的现象.这是发生磁头碰撞的问题,首先,要赶快把硬盘的停掉,垂直的摆动并且敲它表面,所有的这些操作都是为了让磁头在一个合适的位置.
然而,当正在从缺陷硬盘中读数时一定要避免碰撞它.
5.1.1.3磁头编译器部分的缺陷-硬件级别的
这个问题是磁头前置放大电路的开关信号存在问题。
在这种情况下,硬盘读取相应的盘片是不可能的。读取硬盘的盘片上的硬件信息也是不可能的。对盘片的开关将直接让碰撞磁头停止而没法读取伺候器的数据。
在读取结束后,有可能可以读取部分数据,然而一旦选择了有缺陷的磁头时,这个磁头马上就会不寻道开始敲盘。
5.1.1.4硬盘伺服信息被破坏后的结果
有很多种原因导致伺服信息遭到破坏,例如:在伺候区有坏扇区,微程序出错等。
硬盘候信息被破坏,就不能初始化,不能被BIOS和系统认出,所以在一般的操作系统中读取数据是不可能的。
5.1.1.5不能从缺陷硬盘上读取数据的另外的一些原因
另外一些原因是电路板移位导致硬盘运转不正常。
5.1.2逻辑数据破坏和如下问题导致不能读取硬盘数据的原因
5.1.2.1系统文件不能运行
系统文件夹如果丢失的话就会导致一系统问题,例如,电脑不能正常开机,程序运行出错,用户的一行操作失败。
在这些系统子文件夹中有一些重要的列表。
分区表包含的数据就是操作系统逻辑分区的信息。逻辑分区可以占用硬盘所有的物理空间,但是硬盘也能划分为独立的逻辑盘。不同的逻辑盘可以装不同的操作系统。如果分区表被破坏或者因为别的原因被清除掉了,那么操作系统就不能初始化了。
另外还有两个子系统表,准备读文件的和记录文件的。文件被作为一连串的簇放在硬盘上,这些簇不需要一个跟着一个,它们能分散的分布在整个硬盘上。每个文件开始的一连串簇被作为一个记录放在根目录中。根目录中有个文件列表,按照这个表来与相应的文件通讯。这些文件列表与文件的第一个扇区关联,包括文件的大小、创建的时间、文件名等。在WIN95后的操作系统还支持长文件名。
读取扇区的簇顺序要全靠文件分配表来的。这个文件分配表关联着硬盘上的所有的扇区信息。每一个扇区的簇在文件分配表中都有相应的信息,如果这个簇是空白的,那么在文件分配表上就存在一个零记录。如果簇位于一系列文件分配表相应的簇的最后,那么文件分配表的第一个就和它对应。如果在硬盘上有遭到破坏而导致硬盘不能运行的地方,那么系统会用一种特殊的标记来标识它,让操作系统不再去读取它。
文件系统是怎么工作的呢?当操作系统的一些程序要用到关联的文件时,操作系统会根据根目录的文件名和一系列簇的第一簇来找到这个文件。这个簇被查找到后,信息读入到文件交换区中。接着,文件分配表根据这些记录找到相应的簇,再接着簇的数据就从它里面读出来,直到读到扇区的最后一簇。
如果根目录文件结构被破坏,那么我们在硬盘上看到的都是一些奇怪的文件名,以前的文件都不见了。这就是文件分配表被破坏了,你不能管理和控制这些文件。
然而,在大多数情况下,系统文件不能正常运行时,恢复这些被改动的信息的机会是很大的。
那些侵害根目录结构或文件分配表的信息并没有完全被清除掉的,我们可以根据现存的信息,分析逻辑结构,找到没有被格式化部分的硬盘的分区信息,恢复分区表,从而恢复硬盘上的文件,是完全可能的。
5.1.2.2用户不正确的操作-删除、格式化等
当文件被删除,其实它在硬盘上的一些相关的东西并没有删除掉,而是简单的删除了文件名,这样原来占用的簇就成了自由的空间,就可以在它们里面写记录了。
一时不小心删除了文件让程序提示出错。如果误操作马上被操作者马上意识到了,恢复这些数据是100%的可能。在DOS操作系统中提供了一个UNDELETE的命令来撤消删除操作,在WIN95或98的操作系统中提供了回收站。这都给用户提供了一个恢复数据的机会。
当用户执行高级格式化命令时,数据在物理上并没有被删除,如果用户在格式化后没有向硬盘上写入数据,完全是可能恢复数据的!
5.1.2.3病毒的原理
病毒的结构有很多种,种类也很多。
病毒能占用系统资源,占用空间,内存和显存,结果导致系统运行不正常。
更多的综合性的病毒能改变文件的关联,删除文件、格式化硬盘,改写系统文件等。还有的甚至破坏硬件(象CIH病毒能破坏硬盘的第八扇区)
5.2用DE和PC3000恢复数据的方法
在开始恢复数据之前首先要最大限度的诊断硬盘是否是一个物理破坏以及破坏的严重程度。
这种诊断可以用其它任何程序来进行。在这里特别推荐用软件和硬件相结合的综合工具PC3000。在诊断后可能有以下几种情况:
1、?硬盘电路板坏了。
2、?硬盘的电机轴坏了。
3、?硬盘磁头的控制程序被破坏了。
1、?伺候信息被擦除了。
2、?硬盘表面有坏道。
3、?硬盘有物理功能问题。
数据恢复的原理在以上所有情况中各有不同,在下面将作详细的说明。
5.2.1硬盘的印制板电路有问题
原则上讲这种情况通常用户的数据并没有遭到破坏的,尽管也有例外的情况。
这种情况最简单的处理方法是找一个型号和容量相同的板换上就行啦。
另外,有时候需要换下读存储器的微程序电路。例如:
昆腾的微程序电路部和容量是不相关的。一旦电路板坏了,用相同类型的板子就可以换啦,而不管容量相不相同。昆腾的硬盘的类型是由两个拉丁字母来表示的(看下表):
TM10A004 REV 02-Z?TM——型号?10指的容量?A——接口类型
接口类型:
A?=IDE
S?=SCSI,50-PIN
W?=宽SCSI,68针
D?=宽SCSI,68针
J?=SCSI,80针
下表是对应的硬盘的型号:(昆腾的硬盘的分类)
|
容量
|
硬盘种类
|
AS
|
10.2/20.5/30.0/40.0/60.0GB
|
Fireball Plus as 10.2/20.5/30.0/40.0/60.0
|
BF
|
1280/2100/2550MB
|
BigFoot 1.2/2.1/2.5
|
CR
|
4.3/6.4/8.4/13.0GB
|
Fireball CR4.3/6.4/8.4/13.0
|
CX
|
6.4/10.2/13.0/20.4GB
|
Fireball CR
|
CY
|
2111/4335/6405MB
|
BigFoot CY 2.1/4.3/6.4
|
EL
|
2.5/5.1/7.6/10.2GB
|
Fireball EL 2.5/5.1/7.6/10.2
|
EN
|
525/700/1050/1225MB
|
ProDrive LPS 525/700/1050/1225
|
EP
|
1800MB
|
ProDRIVE LPS 1800
|
EU
|
540/810/1080MB
|
Europa
|
EX
|
3.2/5.1/6.4/10.2/12.7GB
|
Fireball EX 3.2/5.1/6.4/10.2/12.7
|
FB
|
540/640/1080/1280MB
|
Fireball 540/640/1080/1280
|
GM
|
120/240MB
|
ProDrive LPS 120/240
|
KA
|
6.4/9.1/13.6/18.2GB
|
Fireball Plus KA 6.4/9.1/13.6/18.2
|
KX
|
6.8/102.2/13.6/20.5/27.3GB
|
Fireball Plus KX 6.8/10.2/13.6/20.5/27.3
|
Lct08
|
4.3/8.4/13.0/17.3/26.0GB
|
Fireball lct08 4.3/8.4/13.0/17.3/26.0
|
Lct10
|
5.1/10.2/15.0/20.4/30.0GB
|
Fireball lct10 5.1/102./15.0/20.4/30.0
|
Lct15
|
7.5/15.0/20.4/30.0GB
|
Fireball lct15 7.5/15.0/20.4/30.0
|
Lct20
|
10.0/20.0/30.0/40.0GB
|
Fireball lct20 10.0/20.0/30.0/40.0
|
LM
|
10.2/15.0/20.5/30.0GB
|
Fireball Plus LM 10.2/15.0/20.5/30.0
|
LT
|
365/540/730M
|
Lightning 365/540/730
|
MU
|
425MB
|
ProDrive 425
|
MV
|
270/540MB
|
Maverick 270/540
|
PI
|
42/85/127/170MB
|
ProDRIVE ELS42/85/127/170
|
RR
|
127/170/210/340/420MB
|
ProDrive LPS 127/170/210/340/420
|
SE
|
2.1/3.2/4.3/6.4/8.4GB
|
Fireball SE 2.1/3.2/4.3/6.4/8.4
|
SG
|
1080/2110MB
|
Pioneer SG 1.0/2.1
|
SR
|
1700/2550MB
|
Sirocco 1.7/2.5
|
ST
|
1.6/2.1/3.2/4.3/6.4GB
|
Fireball ST 1.6/2.1/3.2/4.3/6.4
|
TB
|
270/540MB
|
ProDrive LPS 270/540
|
TR
|
420/635/850MB
|
Trailblazer 420/850
|
TM
|
1080/1280/2110/2550/3200/3800MB
|
FireballTM 1.0/1.2/2.1/2.5/3.2/3.8
|
西数的硬盘主要是看微代码的型号而不是容量。通常西数硬盘的微代码型号在RAM上或者是在微代码里。分类的数据也是很特别的:(看一下表2)
西数硬盘的分类
硬盘体系结构
|
硬盘的分类
|
代码
|
Arch-V
|
WD450AA
|
62-001003-XX
|
|
WD307AA
|
|
|
WD272AA
|
|
|
WD205AA
|
62-602234-XXX
|
Arch-IV
|
WDAC313000A
|
62-602233-XXX
|
|
WDAC310100A
|
62-602230-XXX
|
|
WDAC38400A
|
62-602225-XXX
|
|
WDAC36400A
|
62-602220-XXX
|
Arch-III
|
WDAC35100A
|
62-602220-XXX
|
|
WDAC34000A
|
62-602210-XXX
|
Arch-II
|
WDAC33100A
|
62-602208-XXX 62-602222-XXX
|
|
WDAC32500A
|
62-602214-XXX 62-602215-XXX 62-602203-XXX
|
|
WDAC31600A
|
62-602111-XXX
|
|
WDAC21200A
|
62-602202-XXX 62-602209-XXX
|
|
WDAC2850A
|
62-602110-XXX 62-602200-XXX
|
|
WDAC2700A
|
62-6021107-XXX
|
Arch-I
|
WDAC31200A
|
62-602108-XXX
|
|
WDAC31000A
|
62-602108-XXX
|
|
WDAC2540A
|
62-602404-XXX
|
|
WDAC2340A
|
62-602082-XXX 62-602083-XXX 62-602091-XXX
|
|
WDAL2170A
|
62-602085-XXX
|
|
WDCU140A
|
|
Arch-0
|
WDAC2200A
|
62-600059-XXX
|
| | 
