4.6.3.2 編輯菜單
這個菜單是要把數据中的512個字節導入然后編輯的操作.
4.6.3.2.1查找
在你導入的數据中查找你要找的數据并把光標定在這個位置.
你選擇了這個菜單后,將會出現一個准則框讓你填寫(十六進制\ASCII)
4.6.3.2.2查找下一個
這個菜單允許繼續搜索滿足條件的下一條數据;用組合的熱鍵操作這個功能是非常方便的.
4.6.3.2.3轉到一個地址
這個菜單允許你快速的移到你需要達到的位置.
4.6.3.2.4填充
用這個菜單,可以填充連續的數据塊到定義的扇區中.
4.6.3.2.5移動
用這個菜單你可以移動選定的連續塊到另一個限定的扇區內.
4.6.3.3”作為….觀察”菜單
這個菜單的目的是查看和編輯与硬盤的邏輯結构相關連的特殊的數据結构.
4.6.3.3.1 分區表
這個菜單可以觀察和編輯主分區(MBR)和擴展分區(EPR)列表的.
這個菜單對于硬盤在遭到邏輯或者物理破坏是非常有用.
可以用手工糾正這個硬盤上數据的差异然后使用資源管理器模式.
4.6.3.3.2FAT和NTFS引導扇區
這些菜單允許去查看和編輯讀取相應分區類型扇區數据的引導記錄的結构:(圖略)
查看這些信息對于數据恢复是一個好的机會!
例如,從下一個分區的開始位置确定引導分區的大小,如果扇區讀取有錯誤,是非常有必要去糾正這個重要的參數的。
4.6.3.3.3文件分配表文件夾
通過這种模式可以完全了解文件和文件夾的一些信息。
實踐証明,遇到引導分區被破坏的情況,找到開始扇區的簇的大小是相當有用的。第一個子目錄在第一個扇區開始的位置都有它本身的參照目錄,找到這兩個子目錄扇區和簇的位置的差別就可以計算這個目錄的簇的大小,從而确定根目錄的位置。
4.6.3.4扇區菜單
這個菜單提供一個机會讓你在沒有進入地圖模式時導入合适的數据到扇區中。
如果你執行掃描,這個“讀取”菜單允許你讀取缺陷硬盤選定的扇區。
所有的別的子菜單不用特別說明,可以直接從先前的鏡相文件中導入數据到編輯窗口中。
如果這個扇區的沒有讀出,數据將按照掃描設定的參數被導入。
4.6.3.5關聯菜單
通過鼠標的右鍵可以打開相關聯的菜單。
4.6.3.5.1對選擇才起作用
在這里只有選擇了數据對象菜單才起作用。
4.6.3.5.1.1從交換區拷貝數据
這個菜單允許你拷貝選定的程序內部交換區(不是WINDOWS的交換區)的數据。
4.6.3.5.1.2從交換區插入
你如果太早拷貝了數据或剪切了數据,這個菜單允許你插入這些數据來替換你當前選定的數据。
4.6.3.5.1.3剪切到交換區
在交換區中,這個菜單可以讓你剪切數据然后放到另一個地方。
4.6.3.5.1.4加進模板
這個菜單可以讓你把選擇的一個區域直接加進模板根目錄中。
有時選定的區域更連續,加進模板中可以修正和改善它。
4.6.3.5.2編輯bit
這個模式純粹是為了方便編輯某個選定的字節。
4.6.3..5.3取消改變
這個菜單允許取消最后一次的對數据的改變。
4.6.3.5.4數据的形象演試
這個菜單是方便用戶把數据形象的演試出來。
4.6.3.5.4.1字体
通過這個菜單可以改變數据据顯示的字体大小。
4.6.3.5.4.2字節交換
這种模式允許交換不成對的字節,有時候它是非常有用的。
4.6.3.5.4.3位移顯示
下面是它的四個字菜單:
取消移位顯示
用十六進制來顯示移位的情況
用八進制來顯示移位情況
用十進制來顯示移位情況
4.6.3.5.4.4每一行字節的數量
這個子菜單允許你去設置一行顯示的的字節的數量,可以是16、32、64個字節,這都是一些參數設置來實現的。
例如;對一個最少占用的單位是32字節的文件夾,設置成每行顯示32字節來查看文件夾占用扇區的數据要順眼一點。
4.6.3.5.4.5縱相字節的數量
這個菜單用來調整縱相顯示的字節的數量,可以是1、2、4個字節。
4.6.3.5.4.6以文本形式編譯
用這個菜單可以把右邊符號的表示部分變成文本來編輯。
5、數据的恢复
在這一章我們主要講當用戶數据遭到破坏是,怎樣用數据恢复的方法去恢复這些被破坏的數据。所有的方法都涉及到綜合的硬盤工具PC3000和DE軟件。
所有的情況都是假定所用的硬盤是IDE接口的,建議你上 http://www.acelab.ru/hddtech.pdf看一下硬盤的出錯代碼等一些知識。
5.1用戶數据遭到破坏的原因
用戶的數据遭到破坏是有很多原因的,如果不知道這些原因(病毒破坏,還是誤操作:格式化了還是刪除了)的話,不管是硬盤物理坏道還是好盤上的數据破坏去恢复數据相當難。
有以下兩种主要的原導致讀取數据是不可能的:
1、?要恢复數据的硬盤受到了物理上的損坏。
2、?要恢复數据的硬盤物理功能上功能問題。
這樣數据恢复就分為物理恢复和邏輯恢复兩种。
一般的進行了物理恢复后通常要進行邏輯恢复。
5.1.1硬盤有物理缺陷導致不能讀取數据的原因
5.1.1.1坏扇區
磁盤老化會讓磁頭在盤片上留下一些刮痕,這樣就形成了坏扇區。
用PC3000的PC3000AT掃描就會發現UNC、AMNF、IDNF錯誤。
如果用磁盤掃描工具不能識別就標記為坏扇區。
從有坏道的扇區上讀取數据的机會全靠硬盤上的坏道的分布數量。
如果坏扇區沒有破坏你需要的數据的話,恢复這些數据是完全可能的。但是,用系統的工具拷貝出這些數据并不是一樣非常容易的事情。
更糟糕的情況是坏扇區正在系統的區域,如果沒有特別的工具,是不可能讀取數据的。
有時候,坏扇區破坏了你需要的文件,當你拷貝時根本沒法進行的,例如:如果出現了I/O錯誤就會中止拷貝。
5.1.1.2不能連接到缺陷硬盤的伺候器
很多情況下,缺陷硬盤的坏道在硬盤上占有一個重要的位置(很多缺陷在表面上,但也有很多缺陷是伺候器內部)。
硬盤的伺候器是維護和控制硬盤速度和硬盤讀取扇區的通道。
如果硬盤的伺候器遭到破坏時,硬盤的行為就很難控制了。硬盤的運轉主要是靠處在某一模式下的微程序來控制的。
簡單說來,硬盤出現了一個IDNF錯誤后會讀下一個伺候器。
如果所有的伺候器遭到破坏,原則上,硬盤不可能穩定的旋轉,磁道也變得不精密啦。
以上說明,不同情況的硬盤的工作情況是不同的。
例如,當正在以一個穩定的速度移動到下一個柱面,回來時卻遇到伺候器破坏的情況等.
這种過程是一直伴隨著嗡嗡的硬盤雜音在響.
有些硬盤讀著突然停下來敲盤.
從硬盤的伺候器被破坏的區域讀數在理論是不可能的.首先,扇區的位置不能定下來,第二,硬盤因為出現了這么嚴重的問題差不多挂啦,第三,因為磁頭不能确定扇區的位置,所以不斷的敲盤.
最讓人不開心的事情就是在從伺候器出錯硬盤上讀取數据時,出現了敲盤的現象.這是發生磁頭碰撞的問題,首先,要赶快把硬盤的停掉,垂直的擺動并且敲它表面,所有的這些操作都是為了讓磁頭在一個合适的位置.
然而,當正在從缺陷硬盤中讀數時一定要避免碰撞它.
5.1.1.3磁頭編譯器部分的缺陷-硬件級別的
這個問題是磁頭前置放大電路的開關信號存在問題。
在這种情況下,硬盤讀取相應的盤片是不可能的。讀取硬盤的盤片上的硬件信息也是不可能的。對盤片的開關將直接讓碰撞磁頭停止而沒法讀取伺候器的數据。
在讀取結束后,有可能可以讀取部分數据,然而一旦選擇了有缺陷的磁頭時,這個磁頭馬上就會不尋道開始敲盤。
5.1.1.4硬盤伺服信息被破坏后的結果
有很多种原因導致伺服信息遭到破坏,例如:在伺候區有坏扇區,微程序出錯等。
硬盤候信息被破坏,就不能初始化,不能被BIOS和系統認出,所以在一般的操作系統中讀取數据是不可能的。
5.1.1.5不能從缺陷硬盤上讀取數据的另外的一些原因
另外一些原因是電路板移位導致硬盤運轉不正常。
5.1.2邏輯數据破坏和如下問題導致不能讀取硬盤數据的原因
5.1.2.1系統文件不能運行
系統文件夾如果丟失的話就會導致一系統問題,例如,電腦不能正常開机,程序運行出錯,用戶的一行操作失敗。
在這些系統子文件夾中有一些重要的列表。
分區表包含的數据就是操作系統邏輯分區的信息。邏輯分區可以占用硬盤所有的物理空間,但是硬盤也能划分為獨立的邏輯盤。不同的邏輯盤可以裝不同的操作系統。如果分區表被破坏或者因為別的原因被清除掉了,那么操作系統就不能初始化了。
另外還有兩個子系統表,准備讀文件的和記錄文件的。文件被作為一連串的簇放在硬盤上,這些簇不需要一個跟著一個,它們能分散的分布在整個硬盤上。每個文件開始的一連串簇被作為一個記錄放在根目錄中。根目錄中有個文件列表,按照這個表來与相應的文件通訊。這些文件列表与文件的第一個扇區關聯,包括文件的大小、創建的時間、文件名等。在WIN95后的操作系統還支持長文件名。
讀取扇區的簇順序要全靠文件分配表來的。這個文件分配表關聯著硬盤上的所有的扇區信息。每一個扇區的簇在文件分配表中都有相應的信息,如果這個簇是空白的,那么在文件分配表上就存在一個零記錄。如果簇位于一系列文件分配表相應的簇的最后,那么文件分配表的第一個就和它對應。如果在硬盤上有遭到破坏而導致硬盤不能運行的地方,那么系統會用一种特殊的標記來標識它,讓操作系統不再去讀取它。
文件系統是怎么工作的呢?當操作系統的一些程序要用到關聯的文件時,操作系統會根据根目錄的文件名和一系列簇的第一簇來找到這個文件。這個簇被查找到后,信息讀入到文件交換區中。接著,文件分配表根据這些記錄找到相應的簇,再接著簇的數据就從它里面讀出來,直到讀到扇區的最后一簇。
如果根目錄文件結构被破坏,那么我們在硬盤上看到的都是一些奇怪的文件名,以前的文件都不見了。這就是文件分配表被破坏了,你不能管理和控制這些文件。
然而,在大多數情況下,系統文件不能正常運行時,恢复這些被改動的信息的机會是很大的。
那些侵害根目錄結构或文件分配表的信息并沒有完全被清除掉的,我們可以根据現存的信息,分析邏輯結构,找到沒有被格式化部分的硬盤的分區信息,恢复分區表,從而恢复硬盤上的文件,是完全可能的。
5.1.2.2用戶不正确的操作-刪除、格式化等
當文件被刪除,其實它在硬盤上的一些相關的東西并沒有刪除掉,而是簡單的刪除了文件名,這樣原來占用的簇就成了自由的空間,就可以在它們里面寫記錄了。
一時不小心刪除了文件讓程序提示出錯。如果誤操作馬上被操作者馬上意識到了,恢复這些數据是100%的可能。在DOS操作系統中提供了一個UNDELETE的命令來撤消刪除操作,在WIN95或98的操作系統中提供了回收站。這都給用戶提供了一個恢复數据的机會。
當用戶執行高級格式化命令時,數据在物理上并沒有被刪除,如果用戶在格式化后沒有向硬盤上寫入數据,完全是可能恢复數据的!
5.1.2.3病毒的原理
病毒的結构有很多种,种類也很多。
病毒能占用系統資源,占用空間,內存和顯存,結果導致系統運行不正常。
更多的綜合性的病毒能改變文件的關聯,刪除文件、格式化硬盤,改寫系統文件等。還有的甚至破坏硬件(象CIH病毒能破坏硬盤的第八扇區)
5.2用DE和PC3000恢复數据的方法
在開始恢复數据之前首先要最大限度的診斷硬盤是否是一個物理破坏以及破坏的嚴重程度。
這种診斷可以用其它任何程序來進行。在這里特別推荐用軟件和硬件相結合的綜合工具PC3000。在診斷后可能有以下几种情況:
1、?硬盤電路板坏了。
2、?硬盤的電机軸坏了。
3、?硬盤磁頭的控制程序被破坏了。
1、?伺候信息被擦除了。
2、?硬盤表面有坏道。
3、?硬盤有物理功能問題。
數据恢复的原理在以上所有情況中各有不同,在下面將作詳細的說明。
5.2.1硬盤的印制板電路有問題
原則上講這种情況通常用戶的數据并沒有遭到破坏的,盡管也有例外的情況。
這种情況最簡單的處理方法是找一個型號和容量相同的板換上就行啦。
另外,有時候需要換下讀存儲器的微程序電路。例如:
昆騰的微程序電路部和容量是不相關的。一旦電路板坏了,用相同類型的板子就可以換啦,而不管容量相不相同。昆騰的硬盤的類型是由兩個拉丁字母來表示的(看下表):
TM10A004 REV 02-Z?TM——型號?10指的容量?A——接口類型
接口類型:
A?=IDE
S?=SCSI,50-PIN
W?=寬SCSI,68針
D?=寬SCSI,68針
J?=SCSI,80針
下表是對應的硬盤的型號:(昆騰的硬盤的分類)
|
容量
|
硬盤种類
|
AS
|
10.2/20.5/30.0/40.0/60.0GB
|
Fireball Plus as 10.2/20.5/30.0/40.0/60.0
|
BF
|
1280/2100/2550MB
|
BigFoot 1.2/2.1/2.5
|
CR
|
4.3/6.4/8.4/13.0GB
|
Fireball CR4.3/6.4/8.4/13.0
|
CX
|
6.4/10.2/13.0/20.4GB
|
Fireball CR
|
CY
|
2111/4335/6405MB
|
BigFoot CY 2.1/4.3/6.4
|
EL
|
2.5/5.1/7.6/10.2GB
|
Fireball EL 2.5/5.1/7.6/10.2
|
EN
|
525/700/1050/1225MB
|
ProDrive LPS 525/700/1050/1225
|
EP
|
1800MB
|
ProDRIVE LPS 1800
|
EU
|
540/810/1080MB
|
Europa
|
EX
|
3.2/5.1/6.4/10.2/12.7GB
|
Fireball EX 3.2/5.1/6.4/10.2/12.7
|
FB
|
540/640/1080/1280MB
|
Fireball 540/640/1080/1280
|
GM
|
120/240MB
|
ProDrive LPS 120/240
|
KA
|
6.4/9.1/13.6/18.2GB
|
Fireball Plus KA 6.4/9.1/13.6/18.2
|
KX
|
6.8/102.2/13.6/20.5/27.3GB
|
Fireball Plus KX 6.8/10.2/13.6/20.5/27.3
|
Lct08
|
4.3/8.4/13.0/17.3/26.0GB
|
Fireball lct08 4.3/8.4/13.0/17.3/26.0
|
Lct10
|
5.1/10.2/15.0/20.4/30.0GB
|
Fireball lct10 5.1/102./15.0/20.4/30.0
|
Lct15
|
7.5/15.0/20.4/30.0GB
|
Fireball lct15 7.5/15.0/20.4/30.0
|
Lct20
|
10.0/20.0/30.0/40.0GB
|
Fireball lct20 10.0/20.0/30.0/40.0
|
LM
|
10.2/15.0/20.5/30.0GB
|
Fireball Plus LM 10.2/15.0/20.5/30.0
|
LT
|
365/540/730M
|
Lightning 365/540/730
|
MU
|
425MB
|
ProDrive 425
|
MV
|
270/540MB
|
Maverick 270/540
|
PI
|
42/85/127/170MB
|
ProDRIVE ELS42/85/127/170
|
RR
|
127/170/210/340/420MB
|
ProDrive LPS 127/170/210/340/420
|
SE
|
2.1/3.2/4.3/6.4/8.4GB
|
Fireball SE 2.1/3.2/4.3/6.4/8.4
|
SG
|
1080/2110MB
|
Pioneer SG 1.0/2.1
|
SR
|
1700/2550MB
|
Sirocco 1.7/2.5
|
ST
|
1.6/2.1/3.2/4.3/6.4GB
|
Fireball ST 1.6/2.1/3.2/4.3/6.4
|
TB
|
270/540MB
|
ProDrive LPS 270/540
|
TR
|
420/635/850MB
|
Trailblazer 420/850
|
TM
|
1080/1280/2110/2550/3200/3800MB
|
FireballTM 1.0/1.2/2.1/2.5/3.2/3.8
|
西數的硬盤主要是看微代碼的型號而不是容量。通常西數硬盤的微代碼型號在RAM上或者是在微代碼里。分類的數据也是很特別的:(看一下表2)
西數硬盤的分類
硬盤体系結构
|
硬盤的分類
|
代碼
|
Arch-V
|
WD450AA
|
62-001003-XX
|
|
WD307AA
|
|
|
WD272AA
|
|
|
WD205AA
|
62-602234-XXX
|
Arch-IV
|
WDAC313000A
|
62-602233-XXX
|
|
WDAC310100A
|
62-602230-XXX
|
|
WDAC38400A
|
62-602225-XXX
|
|
WDAC36400A
|
62-602220-XXX
|
Arch-III
|
WDAC35100A
|
62-602220-XXX
|
|
WDAC34000A
|
62-602210-XXX
|
Arch-II
|
WDAC33100A
|
62-602208-XXX 62-602222-XXX
|
|
WDAC32500A
|
62-602214-XXX 62-602215-XXX 62-602203-XXX
|
|
WDAC31600A
|
62-602111-XXX
|
|
WDAC21200A
|
62-602202-XXX 62-602209-XXX
|
|
WDAC2850A
|
62-602110-XXX 62-602200-XXX
|
|
WDAC2700A
|
62-6021107-XXX
|
Arch-I
|
WDAC31200A
|
62-602108-XXX
|
|
WDAC31000A
|
62-602108-XXX
|
|
WDAC2540A
|
62-602404-XXX
|
|
WDAC2340A
|
62-602082-XXX 62-602083-XXX 62-602091-XXX
|
|
WDAL2170A
|
62-602085-XXX
|
|
WDCU140A
|
|
Arch-0
|
WDAC2200A
|
62-600059-XXX
|
| | 
