一、 對數据的潛在威脅:
1、惡意的程序:大家最熟悉的惡意程序就是病毒,很多人認為病毒對數
据的影響僅僅是病毒的破坏性,這是不正确的,實際上病毒的感染本身就是一
种破坏,一個病毒無論他借助修改你的引導區、可執行程序還是OFFICE文檔,
他都把你正常的數据做了改變,當然,你可能舉良性伴隨性病毒這种极端的例
子。但毫無疑問,他同樣對數据构成了破坏,至少他減少了你的硬盤的可用空
間。同時,惡意的程序還包括特洛伊木馬,邏輯炸彈等等。
惡意的程序造成的破坏可能是最難恢复的。
2、其他惡意的破坏,即使不借助病毒或者其他的工具,只要擁有足夠的權限
,任何系統都有一定的“自毀”能力。比如依靠系統正常的刪除、移動、格式
化等操作也可以達到
破坏數据的目的。隨著网絡技術的發展,威脅已經不僅僅限于本机,
3、誤操作:很多數据丟失源于使用者的操作失誤,比如誤刪除,誤格式化等等。
4、操作系統或應用軟件的錯誤:隨著操作系統和應用程序的代碼量的成倍增
加,BUG也在不斷增加。我們最常用的桌面系統WIN9X就是一個BUG大王。操作
系統和應用軟件的錯誤,往往會給人的工作帶來一些不可預期的影響。比如前
階段,發現FRONT PAGE98的一個BUG,触發后會把你目錄下的文件全部刪除,另
外,象著名的游戲神話II,出現了如不安裝在默認目錄中可能會使你丟失擴展分
區這樣嚴重的問題。
5、加密和權限:盡管加密和權限設置是你保護數据的有效手段,但遺忘密碼也
會帶來很大的問題。
6、掉電:机器突然掉電的后果可能不僅僅是內存數据的丟失,也可能造成磁盤
數据的丟失,或導致系統無法正常啟動。
7、內存溢出:導致內存溢出或者進程非法終止等低層錯誤的原因很多,他就象
掉電一樣,會使你損失當前的工作。
8、升級:軟件系統升級有時會帶來一些問題,后面我們將舉相應例子。
9、硬件損坏和失竊:這可能是最嚴重的威脅之一。有時這把你恢复數据<的可
能降低為零。
二、 數据丟失的各种邏輯現象
對數据的恢复,基本上是一种邏輯處理。只有對情況有一個准确的判定,才能
做出准确的應對。一般的來說,問題可以歸納為以下几种情況。
1、 硬盤無法完成正确引導:因物理故障造成的邏輯損坏、引導區故障、重要
扇區崩潰等等,都會使系統不能完成正常的自舉過程。
2、 文件丟失:由于有意破坏,誤刪除等等都會造成數据的丟失。另外,這种
歸類不僅僅包括某個或某几個文件,也适用于目錄,分區或卷的丟失。
3、 文件無法正常打開:由于病毒感染,加密,文件頭損坏等情況,會使文件
無法正常打開。
4、 數据紊亂:由于各种因素的影響,數据庫中的信息,文本文件等,可能面
目全非。
三、 保護數据的建議
這個專題是探討數据恢复的,而不是信息保護的,因此點到為止,一句話,那
就是防患于未然,我們列舉了對數据的威脅,如果我們最大程度的減弱了這些
威脅,對每一种可預知的潛在威脅都有相應的預防和對策,我們的數据安全才
會有最大的保障。這些對策主要包括選擇良好的反病毒和系統維護產品、加強
保安全措施、采用UPS掉電保護、提高用戶操作水平和安全意識、形成系統的
信息管理和備份制度等等。都可以有效的保証數据的安全,總之,我對數据恢
复的認識与病毒是相同的——与其亡羊補牢,不如防患未然
1、 系統工作机理的簡單介紹
這一部分在原作中是最重要的一章,考慮到篇幅關系,進行了大量的刪節。
①、 DOS(DOS兼容系統)硬盤數据的构成
DOS磁盤系統,可以按照邏輯分區的概念管理物理空間,不同分區可以裝載
不同的OS系統。
示意如下:
硬盤空間
第一扇區|分區1 |分區2 |分區3 |分區4
主引導扇區|引導扇區|引導扇區|引導扇區|引導扇區|
各分區公用|各個分區相對獨立,可安裝不同操作系統。
對FAT結构的分區每一分區都有獨立的引導記錄,FDT表,FAT表等。同時,
系統還有一個最為重要的主引導記錄。在0柱0面1扇區,今后我們用CYL代
表柱、SIDE代表面,SEC代表扇區。以下一個FAT結构分區的簡圖。
保留區- 磁盤參數表、DOS引導記錄
控制區-FAT表1、FAT表2根目錄區
數据區-數据區
以下簡單介紹一下重要的部分:
主引導記錄又稱主分區表、MBR等等:MBR占一個扇區,在CYL 0、SIDE 0
、SEC 1,由代碼區和數据區构成。其中代碼區是一端標准的程序,完成
BIOS自舉到OS BOOT之間的工作,為OS啟動做最后的准備。標准代碼區可
以由FDISK/MBR重建,但對于多系統引導的不標准MBR,將被這一操作破坏
。MBR的數据區記錄了分區情況。
系統扇區:CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63,共62個扇
區引導區又稱BOOT區:CYL 0、SIDE 1 、SEC 1 這是我們過去稱的DOS引
導區。也占一個扇區。
文件分配表又稱FAT:是記錄文件占用簇的情況和連接關系的地方。一般有
兩個FAT表,起到備份的作用。FAT12、FAT16的第一FAT表一般均在0-1-2,
FAT32的第一FAT表在0-1-33。由于FAT表記錄文件占用扇區連接的地方,如
果兩個FAT表都坏了,后果不堪設想。
由于FAT表的長度与當前分區的大小有關所以FAT2的地址是需要計算的。
根目錄區(ROOT、FDT):這里記錄了根目錄里的目錄文件項等,ROOT區
跟在FAT2后面。
數据區:跟在ROOT區后面,這才是數据內容
其實, MBR、隱含扇區、BOOT區,重建都比較容易。數据恢复的關鍵在
于恢复數据文件。由于FAT表記錄了文件在硬盤上占用扇區的鏈表,如果
2個FAT表都完全損坏了。那么恢复文件,特別是占用多個不連續扇區文件
就相當困難了。
②、 主引導記錄簡單說明:
主引導記錄是硬盤引導的起點,關于代碼區不多說了,其數据區,比較重
要的是2個標志,80H和55AA,80H一般在偏移1BE處,80是分區激活的標志
的標記表示系統可引導,且整個分區表只能有一個80標記。另一個就是結
尾的55 AA標記,用來表示主引導記錄是一個有效的記錄。另外,各個分區
自身的引導記錄,也是以55AA結束,這是我們查找分區的標志。我們后面
在介紹如何主引導記錄中,給出了一個完整的分區表的例子,大家可對照
查看。數据區中,用10H字節表示一個分區,最多可表示4個分區,分別從
1BE、1CE、1DE、1EE開始,我們后面給出了分區表項對應地址的含義。大
家可以對應分析一下以下分區的情況。
80 01 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00
① ② ③ ④ ⑤ ⑥
①:激活標記,80表示可引導分區
②:分區開始的磁頭號為01、開始的扇區號為01、開始的柱面號為00,由
于開始的扇區號為2進制6位,而開始的柱面號為2進制10位,因此扇區號所
用字節的高兩位要加在柱面號高兩位。
③:分區的系統類型FAT32(0B),01是FAT12,04為FAT16,06為BIGDOS,07為NTFS,
其他參見分區類型表。
④:分區結束磁頭號254、分區結束扇區號63、分區結束柱面號764
⑤:首扇區的相對扇區號63
⑥:總扇區數12289622
2、常見手工處理工具与DOS外部命令介紹
DEBUG:古老和最為常見的調試跟蹤軟件,始終捆綁在微軟的DOS/WIN9X
操作系統中。有19個子命令。有編寫執行匯編指令,直接讀寫絕對扇區
和內存單元等功能,可以在最艱苦的條件下工作。DOS6.22以下的系統,
DEBUG.EXE在DOS目錄下,WIN9X系統中它在WINDOWS\COMMAND目錄下,它
也出現在WIN9X所生成的應急盤中。
DISKEDIT:常見16進制編輯軟件,字符界面,可以以文件方式和扇區方
式讀寫邏輯內容,可以讀寫絕對扇區,可以方便的查找編輯分區表、FAT
表、ROOT區等重要扇區。這一點要比DEBUG更方便。但在一些重要扇區損
坏的情況下,DISKEDIT可能無法啟動。DISKEDIT軟件可以在著名的Norton
Utilities軟件包中找到。最新的DISKEDIT出現在NU4中。
NDD:常見的FAT文件結构磁盤修复工具,就是著名的NORTON磁盤醫生,
可以自動修复分區丟失等情況,可以搶救軟盤坏區中的數据,強制讀
出后搬移到其他空白扇區。希望大家不要再使用NORTON FOR DOS7或8
的NDD,這個版本由于不支持大分區、FAT32、長文件名等技術,會給
你帶來大量的麻煩。建議大家使用Norton Utilities4或更高版本中的
NDD.EXE,這是純DOS下的工具。在硬盤崩潰或异常的情況下,他可能
可以帶給用戶以希望。WIN9X下的磁盤醫生調用的并不是這個程序,而
是NDD32.EXE.
FDISK:FDISK當然是個危險的命令,很多人非常恐懼,事實上,FDISK
命令的運行并不影響任何分區內的硬盤數据,他對分區的設置操作,
只改變主分區表的數据區。而特別是FDISK异常重要的隱含參數/MBR,
可以重建主分區表的代碼區,清除主引導型病毒等。這是非常有用的
操作。DOS6.22以下的系統,FDISK.EXE在DOS目錄下,WIN9X系統中
它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
FORMAT:在一些人眼中,FORMAT是最可怕的命令,但他并不是對硬盤
清零,特別值得注意的是,很多文件恢复工具都建議你恢复前先FORMAT
該分區起到保護的餓作用。DOS6.22以下的系統,FORMAT.COM在DOS目錄
下,WIN9X系統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生
成的應急盤中。
HD-COPY:傳統的軟盤COPY工具,2.0版本以后加入了強制讀的功能,
可以讀出一些損坏扇區的內容。
SYS:SYS命令是重建BOOT區的最簡洁的手段,也可以殺除BOOT區病毒。
DOS6.22以下的系統,sys.COM在DOS目錄下,WIN9X系統中它在WINDOWS
\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
令我非常遺憾的是,至今我沒有發現比較出色的扇區級備份鏡象工具
,我曾寫過一個HD-MIRROR,但由于錯誤較多,我提供下載的第二天
就停止了發布,另外fixc的作者noz寫過一個clone.exe,但可惜只适
合相同的硬盤。我也曾以為GHOST可以做到這點,事實上,你目前還
不能指望他為你備份一塊深度破損的硬盤。。如果有一個有效的能以
按扇區机制(而不是文件机制)壓縮備份一塊硬盤將之做成一個鏡象
文件的話,那么我們的恢复工作就擁有了更多的保証和余地。我們可
以更大膽的做恢复的嘗試。
3、 一些自動處理工具或軟件包
首先介紹國內的一些免費修复工具
FIXMBR:何公道先生寫的一個修复MBR的工具,适合處理邏輯分區丟
失的情況, 有一些可選參數,支持 FAT32、FAT16,不支持NTFS、
LINUX等分區,支持8.4G以上硬盤。可修复CIH發作后的擴展邏輯分區。
VRVFIX:北信源公司的推出的修复硬盤共享工具,适合處理邏輯分
區丟失的情況,處理的基本比較准确。支持FAT32、FAT16,不支持
NTFS、LINUX等分區。也不支持8。4G以上硬盤。
FIXC:國內最早出現的可以修复部分被CIH破坏的C盤的工具,作者是
NOZ,新版本也加入了修复分區信息的功能,支持FAT32、FAT16,有
限支持NTFS,不支持8。4G以上硬盤。目前的版本已經比較完善。
FIXHDPT:TBSOFT工作室的分區信息修复工具。支持FAT32、FAT16
,不支持NTFS和LINUX,不支持8。4G以上硬盤,是歷史比較長的工
具之一。
RE(ReapirEasy):本人早期寫的分區表修复工具,支持FAT32、FAT16,
有限支持NTFS,不支持8.4G
以上硬盤,和某些BIOS不兼容。其整体水准低于前面列舉的工具。
國外一些系統維護的工具目前已經達到了非常強大的程度。
Norton Utilities:歷史最悠久的系統維護工具。不僅可以數据恢
复,還可以系統加速和修補內存錯誤。目前最新的版本是NU 4.5
FOR 9X、NU2 FOR NT等。
Tiramint:最為出色的災難恢复工具之一,有NTFS、FAT32、FAT16、
NOVELL4种版本。生成急救軟盤,可以對深度破坏的磁盤進行交叉恢复。
4、常用的基本操作
① 讀出主引導記錄:這是系統級數据恢复可能涉及最多的程序之一。
例:
DEBUG
-a100 ;從此處開始匯編
126C:0100 mov ax,201; 讀操作一個扇區
126C:0103 mov bx,300; 送入地址300
126C:0106 mov cx,1 ;0面1扇
126C:0109 mov dx,80 ;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3
126C:010F
-g=100 ;執行
AX=0050 BX=0300 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000
DS=126C ES=126C SS=126C CS=126C IP=010E NV UP EI PL NZ NA PO NC
這里用了I/O中斷13,涉及的寄存器含義為
ah,操作方式,02H為讀,03H為寫
al,送扇區數
bx,送准備裝入扇區的內存偏移地址
cx送從哪一道哪一扇區開始,我們一般依靠改換CX來讀寫不同邏輯
盤某個邏輯扇區。dx,送盤符和頭數
INT 3是斷點中斷,使程序運行到此停止。
② 顯示引導區內容:我們把扇區讀到某個內存地址并不是目的。而
是為了看到他的內容,在DEBUG中D命令可以方便的查看內存單元的內容。
續前例,如果我們要看到主引導區的內容的話,既然裝載到300。
-d300 l200就可以查看了,一個引導區的映象類似如下,可以直觀的看
到我們前面所提到的代碼區和數据區。是否正常請大家自行分析一下
126C:0300 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C 3.....|.P.P....|
126C:0310 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BE BE 07 B1 04 ...PW...........
126C:0320 38 2C 7C 09 75 15 83 C6-10 E2 F5 CD 18 8B 14 8B 8,|.u...........
126C:0330 EE 83 C6 10 49 74 16 38-2C 74 F6 BE 10 07 4E AC ....It.8,t....N.
126C:0340 3C 00 74 FA BB 07 00 B4-0E CD 10 EB F2 89 46 25 <.t...........F%
126C:0350 96 8A 46 04 B4 06 3C 0E-74 11 B4 0B 3C 0C 74 05 ..F...<.t...<.t.
126C:0360 3A C4 75 2B 40 C6 46 25-06 75 24 BB AA 55 50 B4 :.u+@.F%.u$..UP.
126C:0370 41 CD 13 58 72 16 81 FB-55 AA 75 10 F6 C1 01 74 A..Xr...U.u....t
126C:0380 0B 8A E0 88 56 24 C7 06-A1 06 EB 1E 88 66 04 BF ....V$.......f..
126C:0390 0A 00 B8 01 02 8B DC 33-C9 83 FF 05 7F 03 8B 4E .......3.......N
126C:03A0 25 03 4E 02 CD 13 72 29-BE 46 07 81 3E FE 7D 55 %.N...r).F..>.}U
126C:03B0 AA 74 5A 83 EF 05 7F DA-85 F6 75 83 BE 27 07 EB .tZ.......u..'..
126C:03C0 8A 98 91 52 99 03 46 08-13 56 0A E8 12 00 5A EB ...R..F..V....Z.
126C:03D0 D5 4F 74 E4 33 C0 CD 13-EB B8 00 00 00 00 00 00 .Ot.3...........
126C:03E0 56 33 F6 56 56 52 50 06-53 51 BE 10 00 56 8B F4 V3.VVRP.SQ...V..
126C:03F0 50 52 B8 00 42 8A 56 24-CD 13 5A 58 8D 64 10 72 PR..B.V$..ZX.d.r
126C:0400 0A 40 75 01 42 80 C7 02-E2 F7 F8 5E C3 EB 74 49 .@u.B......^..tI
126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition
126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa
126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s
126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op
126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..
126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W.........
126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................
126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~.....
126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u...
126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.
③ 反匯編主引導區內容:判定MBR的代碼區是否正常,對于數据區的
基本情況,我們可以通過直觀觀察得出,但對于存在引導型病毒,或
者引導區出現异常代碼的情況,我們可能需要分析MBR中代碼區的指令
。這一般要對已經讀入內存的引導區進行反匯編。
反匯編用指令U
續前例:
-u300 l15D ;反匯編主引導扇區代碼區內容
126C:0300 33C0 XOR AX,AX
126C:0302 8ED0 MOV SS,AX
…………
126C:045C 65 DB 65
126C:045D 6D DB 6D
④ 寫內存單元,在我們的前例中,主分區類型是0B是FAT32的,假定
這個類型實際是NTFS的,我們該如何修改呢?由于主分區類型的偏移
是4C3H,我們可以用E命令寫到內存單元中,從附表中查得NTFS的類型
為07。因此 -e4c3 7再比如說,假定我們想把無效的分區表清零,那么
,我們應當用另一個命令F,這個命令可以用填充一個內存地址范圍。
清零分區表的操作就是 -f4be 4ff 00,以下兩個操作
也比較常見。
重置80標記,-e4be 80
重置55AA標記,-f4ff 4fe 55 aa
不要忘記了,此時僅僅是改動了內存中的數据,并未寫到硬盤上。因
此需要用int 13中斷把改寫的結果,寫回硬盤。
續前例,
-a100
126C:0100 mov ax,301 ; 寫操作一個扇區
-g=100 ;執行
其實,我們相當于修改了剛才輸入的讀主引導扇區程序,使程序變為。
126C:0100 mov ax,301 ; 寫操作一個扇區
126C:0103 mov bx,300 ;從內存地址300
126C:0106 mov cx,1 ;0面1扇
126C:0109 mov dx,80 ;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3 ;斷點
⑤ 絕對磁盤內容的讀出与寫入
類似操作在FAT32結构硬盤被CIH破坏的修复中比較常見,我們后面將講
到恢复的基本思路就是用第二FAT表覆蓋第一FAT表。那么無疑要讀出第
二FAT表的內容,再回寫到第一FAT表的位置上。一般的來說,大量連續
扇區的讀出寫入DISKEDIT進行非常方便,如果用DEBUG做則要寫一段子程
序,不過程序的主要技巧就是利用int 25絕對磁盤讀中斷讀出的內容,
而用int 26絕對磁盤寫做內容寫入。
4、數据可恢复的前提
有人覺得這個題目說法比較奇特,但數据恢复,作為一個數据再現的
過程,一定要解決兩個問題,第一是從哪里恢复的問題,第二是怎么恢
复的問題。解決了這兩個問題,我們事實上就把握了數据恢复的全部思
想脈絡。而這一部分就是從哪里恢复的問題。
①、 有效而及時的備份中是數据恢复最可靠的來源,在許多人倡導備
份到秒的今天,恐怕不會有人怀疑這點。而有些備份机制則是系統內建
的,比如兩份FAT表。
②、 數据的實際有效性的判定是關鍵,對我們來說,硬盤無法自舉、
文件找不到、文件打不開等現象,其實并不与數据丟失畫等號。因為此
時往往數据只是從操作系統的角度是一种邏輯丟失,而從物理扇區意義
上,它仍然存在或部分存在。最明顯的就是文件刪除的例子,事實上,
這只是把文件首字節,改為0E而已。而此時文件体依然存在。
③、 數据損坏過程的可逆性分析:對數据的改變無非兩种,取代和變
換,前者是不可逆的,而后者則是可逆的。我們以殺毒為例,對于大多
文件性病毒來說,那些以附加而非代換方式感染的文件型病毒,理想的
殺毒過程就是感染的逆過程。這种分析也常見与重要信息被隱藏搬移或
者被加密的情況,但分析將比較复雜。
④、 數据本身是否是標准信息:有些信息實際是通用或局部通用的,
你無須考慮如何從本机搶救。只要相同或相近的系統版本就可以了,
比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區
表的代碼區,這是一段標准代碼,事實上,它就放在你的FDISK程序里
面,你可以用DEBUG把他提取出來。
⑤、 數据本身是否可以由其他信息統計再生:有些信息盡管丟失了,
也沒有備份。但它實際可以從其他數据中間接求得。最典型的就是主
分區表中的分區信息,即使你把他清零也不必害怕,因為你可以從你
几個分區中計算再生。
⑥、 破坏的完成程度:事實上,FDISK、FORMAT都不會徹底破坏數据
,一般只有低格和扇區覆蓋操作才會徹底破坏數据。但有時,破坏過
程或者誤操作過程會因人工終止、死机等原因不能完成。最明顯的就
是CIH病毒的例子,由于CIH是以1024字節為單位覆蓋扇區,這當然是
不可逆過程,于是我們最初都認為,破坏是很難恢复的,除非人工終
止。事實上,當病毒覆蓋某些扇區時會与9X系統發生衝突,從而造成
死机,使數据得到了保護。
數据恢复基本攻略
1、 硬件或介質問題的情況
①、 硬盤坏:硬盤自檢不到的情況一般是硬件故障,又可分為主版的
硬盤控制器(包括IDE口)故障和硬盤本身的故障。如果問題在主板上
,那么數据應當沒有影響。如果出在硬盤上,也不是一定不能修复。
硬盤可能的故障又可能在控制電路、電机和磁頭以及盤片。如果是控
制電路的問題,一般修好它,就可以讀出數据。但如果電机、磁頭和
盤片故障,即使修理也要返回原厂,數据恢复基本沒有可操作性。
②、 軟盤坏:當軟盤數据損坏時,可以有几种處理,一种是用NDD修
复,他會強制讀出你坏區中的東西,MOVE到空白扇區中,這就意味著
如果你的磁盤很滿操作是沒法進行的。你也可以用HDCOPY2.0以上版本
READ軟盤,他也會進行強讀,使讀入緩衝區的數据是完好的,你再寫
入一張好磁盤就可以了。當然這些方式,要看盤坏的程度。如果0磁道
坏,數据也并非無法搶救,早先可以通過扇區讀的方式,把后面的數
据讀出,不過一般來說,你依然可以HDCOPY來實驗。
2、系統問題的情況
①、 在硬盤崩潰的情況下,我們經常要和一些提示信息打交道。我們
要了解他典型提示信息的含義,注意這些原因僅僅分析邏輯損坏而不是
硬盤物理坏道的情況。
提示信息
可能原因
參考處理
Invalid Partition Table
分區信息中1BE、1CE、1DE處不符合只有一個80而其
他兩處為0
用工具設定,操作在前面已經講了。
Error Loading Operating System
主引導程序讀BOOT區5次沒成功。
重建BOOT區
Missing Operating System
DOS 引導區的55AA標記丟失
用工具設定,把前面讀寫主引導區程序的DX=80改為180即可
Non-System Disk or Disk Error
BOOT區中的系統文件名与根目錄中的前兩個文件不同
SYS命令重新傳遞系統,
Disk Boot Failure
讀系統文件錯誤
SYS命令重新傳遞系統,
Invalid Driver Specifcationg
如果試圖切換到一個确實存在的邏輯分區出現以下信
息,說明主分區表的分區記錄被破坏了。
根据各分區情況重建分區表,或者用自動修复工具修
复。注意分區丟失是最常見的故障之一,此時不要緊
張,一般的說此時數据并沒有問題,如果你不了解處理
的方法。你可以選擇我前面介紹的自動修复分區工具進
行處理,他們大多只改寫主分區表的數据區,不會影響
你的其他數据。特別提醒大家,這些工具有的不支持
8.4G硬盤,有的与BIOS對硬盤的識別有關系。如果你
在一台机器上不行,可以換台BIOS不同的机器實驗一
下。
Bad or missing command interpreter
這是說找不到COMMAND.com,或者COMMAND文件坏了。
如果你COPY過去COMMAND文件還是如此,一般來說是
感染了某种病毒。
Invalid media type reading drive
X ,Abort,Retry,Fail?
該盤沒有高級格式化,或BOOT區中I/O參數表被破坏。
這里情況較多,手工處理比較复雜,特別指出,此時
DISKEDIT可能無法運行,建議用工具修复。
Incorrect DOS Version
可能是文件版本不統一,對9X來說,有95
95osr/2,98,98 oem/2等版本,重新SYS 時,不要弄錯
了。
用正确版本的啟動盤重新SYS系統
另外說明一下,對于比較老的机器還有1071和not found rom
basic、ROM BASIC OK等提示,在目前机器中以消失。另外,當
代碼區完全被破坏的情況下,系統關于無系統的提示是來自BIOS
的,這條提示与BIOS的种類有關。另外,FDISK/MBR對代碼區的
重建是我們經常采用的。再介紹一种比較极端的情況,就是硬盤
自檢正常,而用軟盤和硬盤都無法正常啟動的情況,這可能是,
病毒或惡意程序利用,DOS3以上版本啟動中都要檢索分區表這一
特點,把分區表置為死循環。造成啟動中死机。网上曾經流傳過
DOS6.22k修改方案,其實是修改西文MS-DOS6.22的 IO.SYS,把
C2 03 06 E8 0A 00 07 72 03替換為:C2 03 90 E8 0A 00 72 80
90就可以啟動被類似情況鎖住的硬盤。
②、 9X無法正常進入或工作:以下僅僅是對可能的軟故障分析
,沒有考慮硬件故障.
進入圖形界面前死机情況比較复雜,可能与加載的某些驅動有關
可以在START MS WINDOWS時,用F8激活菜單,設置為step by step
,看是哪項使系統死机。而后從CONFIG或者SYSTEM。INI中刪除
進入圖形界面后死机
一般這与開机加載的程序有關進入安全模式(此時自動
運行的程序將不能加載),對注冊表中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*
中的鍵值和啟動組中加載的程序進行分析。必要的予以刪除。
顯示IEXPLORE.EXE錯誤,不能進行任何操作
可能有某個系統的動態連接庫損坏覆蓋安裝WIN9X,或從
其他机器上COPY損坏的連接庫。(确定哪個庫損坏一般
比較困難)
頻繁出現出錯各种信息
一般是虛擬內存不足造成的看C盤是否剩余空間過少,
或者打開的應用程序和窗口太多。
2、 全盤崩潰和分區丟失
首先重建MBR代碼區,再根据情況修正分區表。修正分區
表的基本思路是查找以55AA為結束的扇區,再根据扇區結构
和后面是否有FAT等情況判定是否為分區表,最后計算填回,
主分區表,由于需要計算,過程比較煩瑣,就不仔細介紹了
,希望大家用前面介紹的工具,比如NDD處理。如果文件仍然
無法讀取,要考慮用TIRAMINT等工具進行修复。如果在FAT
表徹底崩潰的情況下,恢复某個指定文件,可以用DISKEDIT
或DEBUG查找已知信息。比如文件為文本,文件中包含“軟件
狗”,那么我我們就要把他們轉換為內碼C8 ED BC FE B9 B7
進行查找。
3、 文件丟失、誤格式化的情況
一般的來說,文件刪除僅僅是把文件的首字節,改為E5H,而并
不破坏本身,因此可以恢复。但由于對不連續文件要恢复文件
鏈,由于手工交叉恢复對一般計算机用戶來說并不容易,在這
篇縮略版中就不講了,建議用工具處理,如果已經安裝了Norton
Utilities,可以用他來查找。另外,RECOVERNT 等工具,都是
恢复的利器。特別注意的是,千万不要在發現文件丟失后,在
本机安裝什么恢复工具,你可能恰恰把文件覆蓋掉了。特別是
你的文件在C盤的情況下,如果你發現主要文件被你失手清掉了
,(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤
啟動進行恢复或把硬盤串接到其他有恢复工具的机器處理。誤格
式化的情況可以用等工具處理。
4、 文件損坏的情況
一般的說,恢复文件損坏需要清楚的了解文件的結构,并不是很
容易的事情,而這方面的工具也不多。不過一般的說,文件如果
字節正常,不能正常打開往往是文件頭損坏。就文件恢复舉几個
簡單例子。
類型
特征
處理
ZIP、TGZ等壓縮包無法解壓
ZIP文件損坏的情況下可以用一個名為ZIPFIX的工具
處理。不過如果你的文件是從FTP站點上下載的,那么
有可能是你沒有定義下載模式為BIN。
自解壓文件無法解壓
可能是可執行文件頭損坏,可以用對應壓縮工具按一般
壓縮文件解壓。
DBF文件死机后無法打開
典型的文件頭中的記錄數与實際不匹配了,把文件頭中
的記錄數向下調整,遺憾的是公式我找不到了。
5、 硬盤被加密或變換:此時千万不要FDISK/MBR,SYS等處理,否則可
能數据再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。
對于那些加密硬盤數据的病毒,清除時一定要選擇能恢复加密數据的可
靠殺毒軟件。
6、 文件加密后密碼遺忘:對于很多字處理軟件的文件加密和ZIP等壓
縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是异常
困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集
中的數据循環用相同算法加密后与密碼的密文匹配,直到一致時則說明
找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有后門的,比
如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏
是解文件密碼的個中高手,大家不妨去他的主頁看看。
7、 系統用戶密碼遺忘的處理:最簡單的方法就是用軟盤啟動(NT的你也
可以把盤挂接在其他NT上),找到支持該文件系統結构的軟件(比如針對
NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解
軟件套字典來處理。前者時間短但所有用戶信息丟失,后者時間長,但保
全了所有用戶信息。對UNIX系統,我建議你一定先做一張應急盤。
|
