wwt4300792006-5-22, 03:27 AM
目錄
一.數據恢複基礎知識
1.硬盤數據結構
2.硬盤分區方式
3.數據存儲原理
4.係統啟動流程
二、硬盤數據恢複方案分析
1.文件與刪除
1)、解決方案
2)、不可恢複的情況
2.分區表破壞
3.全盤崩潰和分區丟失
4.文件丟失、誤格式化的情況
5.文件損壞
6.硬盤被加密或變換
7.文件加密後密碼遺忘
8.係統用戶密碼遺忘的處理
三.數據備份介紹
1、麽東西最該備份
2、備份到哪裏
硬盤數據恢複實例全解 之一
1)解決方案
2)不可恢複的情況
3)破壞原因及恢複可行性分析
硬盤數據恢複實例全解 之二
1)解決方案
2)不可恢複的情況
3)破壞原因及恢複可行性分析
硬盤數據恢複實例全解 之三
1)解決方案
2)不可恢複的情況
3)破壞原因及恢複可行性分析
硬盤數據恢複實例全解 之四
1)兩點建議
2)解決方案
3)實戰操作
硬盤數據恢複實例全解 之五
1)FAT分區的恢複
2)NTFS的恢複
3)分區格式化的恢複
硬盤數據恢複實例全解 之六
硬盤數據恢複實例全解 之七
硬盤數據恢複實例全解
數據恢複與軟故障處理基本指南 第一篇
第一篇、廣義的數據恢複
數據丟失的各種邏輯現象
數據恢複與軟故障處理基本指南 第二篇
第二篇、數據恢複的準備知識
數據恢複與軟故障處理基本指南 第三篇
第三章、數據恢複基本攻略
數據恢複與軟故障處理基本指南 第四篇
第四章、恢複實例
硬盤維修秘籍
無法找到硬盤的情況
提示硬盤出錯的情況
硬盤診斷步驟
硬盤盤故障判斷流程
一、數據恢複基礎知識
說到數據恢複,我們就不能不提到硬盤的數據結構、文件的存儲原理,甚至操作係統的啟動流程,這些是你在恢硬盤數據時不得不利用的基本知識。即使你不需要恢複數據,理解了這些知識(即使隻是稍微多知道一些),對於你平時的電腦操作和應用也是很有幫助的。
我們就從硬盤的數據結構談起吧……
1、硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然後再安裝上操作係統才可以使用。就拿我們一直沿用到現在的Win9x/Me係列來說,我們一般要將硬盤分成主引導扇區、操作係統引導扇區、FAT、DIR和Data等五部分(其中隻有主引導扇區是唯一的,其它的隨你的分區數的增加而增加)。
主引導扇區:主引導扇區位於整個硬盤的0磁道0柱麵1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區,並在程序結束時把該分區的啟動程序(也就是操作係統引導扇區)調入內存加以執行。至於分區表,很多人都知道,以80H或00H為開始標誌,以55AAH為結束標誌,共64字節,位於本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS的Fdisk.exe)產生的,不同的操作係統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,隻要它能完成前述的任務即可,這也是為什麽能實現多係統啟動的原因(說句題外話:正因為這個主引導記錄容易編寫,所以才出現了很多的引導區病毒)。
操作係統引導扇區: OBR(OS Boot Record)即操作係統引導扇區,通常位於硬盤的0磁道1柱麵1扇區(這是對於DOS來說的,對於那些以多重引導方式啟動的係統則位於相應的主分區/擴展分區的第一個扇區),是操作係統可直接訪問的第一個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作係統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作係統的引導文件(例如MSDOS或者起源於MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一個文件讀入內存,並把控製權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x係統的文件尋址係統,為了數據安全起見,FAT一般做兩個,第二FAT為第一FAT的備份, FAT區緊接在OBR之後,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式曆來有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外並非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之後,隻有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作係統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之後,才是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然占據了硬盤的絕大部分空間,但沒有了前麵的各部分,它對於我們來說,也隻能是一些枯燥的二進製代碼,沒有任何意義。在這裏有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),並沒有把DATA區的數據清除,隻是重寫了FAT表而已,至於分區硬盤,也隻是修改了MBR和OBR,絕大部分的DATA區的數據並沒有被改變,這也是許多硬盤數據能夠得以修複的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那麽你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),隻要找到一個文件的起始保存位置,那麽這個文件就有可能被恢複(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位於硬盤的最前麵一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較複雜,也是造成分區和邏輯磁盤混淆的主要原因。由於硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作係統隻允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則係統最多隻允許4個邏輯磁盤。對於具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作係統使用,係統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論係統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由於主分區之後的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢複,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……文件的讀取操作係統從目錄區中讀取文件信息(包括文件名、後綴名、文件大小、修改日期和文件在數據區保存的第一個簇的簇號),我們這裏假設第一個簇號是0023。操作係統從0023簇讀取相應的數據,然後再找到FAT的0023單元,如果內容是文件結束標誌(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重複下去直到遇到文件結束標誌。
文件的寫入
當我們要保存文件時,操作係統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然後在Data區找到閑置空間將文件保存,並將Data區的第一個簇寫入DIR區,其餘的動作和上邊的讀取動作差不多。
文件的刪除
看了前麵的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到隻在目錄區做了一點小改動——將目錄區的文件的第一個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候並沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者隻是改變了分區表,後者隻是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢複……
係統啟動流程
各種不同的操作係統啟動流程不盡相同,我們這裏以Win9x/DOS的啟動流程為例。
第一階段:係統加電自檢POST過程。POST是(Power On Self Test)的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這裏是一段固化的ROM程序),對係統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常並與CMOS設置相符後,按照CMOS設置從相應設備啟動(我們這裏假設從硬盤啟動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄後,如果主引導記錄和分區表校驗正確,則執行主引導記錄並進一步讀取DOS引導記錄(位於每一個主分區的第一個扇區),然後執行該DOS引導記錄。
第四階段:裝載係統隱含文件。將DOS係統的隱含文件IO.SYS入內存,加載基本的文件係統FAT,這時候一般會出現Starting Windows 9x...的標誌,IO.SYS將MS.SYS讀入內存,並處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。係統隱含文件裝載完成,微機將執行係統隱含文件,並執行係統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。係統裝載命令管理程序,以便對係統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行,至此啟動完畢。
數據恢複的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢複你丟失的數據簡直是輕而易舉,這裏就不再多說,我們走入真正的實戰操作吧……
二、
硬盤數據恢複方案分析
難道在硬盤數據由於各種原因被破壞後,我們就隻能……?
當然,我們最大的期望還是——你永遠不要用到下麵的方法!因為再完備的事後解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在於防患於未然。
1、文件語刪除
A、症狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件後清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢複的,下麵就根據不同的操作係統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢複,這應該是大部分恢複類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢複被誤刪除的文件——其實很多東西並不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢複在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它隻能在WinNT/2000係統下使用(同時必須以Administrator用戶登錄係統),而且隻對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢複,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger隻可以對格式化過的分區中的文件進行恢複,並不能恢複整個被格式化過的分區)。
C、不可恢複的情況
如果文件在刪除之後,其存儲的磁盤空間進行過寫操作,那在通常情況下恢複的幾率為0。因此,誤刪除文件可以恢複的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞、症狀現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的症狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
2)、解決方案
由於病毒破壞硬盤數據的方法各異,恢複的方案就需要對症下藥。一般以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。當用戶的硬盤數據一旦被CIH病毒破壞後,使用KV3000的F10功能,可修複的程度如下:
1.C盤容量為2.1G以上,原FAT表是32位的,C分區的修複率為98%,D、E、F等分區的修複率為99%, 配合手工C、D、E、F等分區的修複率為100%。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修複率為0%,D、E、F等分區的修複率為99%,配合手工D、E、F盤的修複率為100%。因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修複軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。但對於FAT16的C盤是不是中了CIH就沒救呢?你還是可以嚐試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,並重新構造主引導扇區。由於軟件隻修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修複得不理想,請DiskEdit等工具進行手工修複)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢複的情況
由於病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢複(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火牆絕對是有必要的)
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢複可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,隻要沒有進行其它的操作完全可以恢複。
2).安裝多係統引導軟件或者采用第三方分區工具,有恢複的可能性。
3).病毒破壞,可以部分或者全部恢複。
4).利用Ghost克隆分區硬盤破壞,隻可以部分恢複或者不能恢複(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility係列工具中,功能十分強大,可以恢複分區記錄、FAT表,需要注意的是它對硬盤的操作不是隻讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢複,Norton Disk Doctor配合DiskEdit在分區表不能恢複時也可以恢複部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……最專業的數據恢複公司出的軟件,當然很有專業風範,EasyRecovery支持的文件係統格式很多FAT、NTFS都支持,並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬盤意外被格式化都可安全的恢複,你所要做的就是將數據損壞硬盤掛到另外一台電腦上,盡情恢複就是了,不過EasyRecovery對於中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。由出品PartitionMagic的PowerQuest公司所出的,硬盤資料複原工具。它是一套恢複硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出並恢複,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢複回來的資料能選擇在原來所在位置恢複或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和係統配置文件的功能,能在任何時間恢複)
2、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和後麵是否有FAT等情況判定是否為分區表,最後計算填回主分區表,由於需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修複。如果在FAT表徹底崩潰,恢複某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件為文本,文件中包含“軟件狗”,那麽我們就要把它們轉換為內碼C ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改為E5H,而並不破壞文件本身,因此可以恢複。但對不連續文件要恢複文件鏈,而由於手工交叉恢複對一般計算機用戶來說並不容易,這裏就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢複的利器。但是應特別注意,千萬不要在發現文件丟失後,在本機安裝什麽恢複工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢複或把硬盤串接到其它有恢複工具的機器處理。
4、文件損壞
一般的說,恢複損壞文件須要清楚地了解文件的結構,但這並不是很容易的事情,而這方麵的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
5、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對於那些加密硬盤數據的病毒,清除時一定要選擇能恢複加密數據的可靠殺毒軟件。
6、文件加密後密碼遺忘
對於很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密後與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有後門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮誌宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
7、係統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件係統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,後者時間長,但保全了所有用戶信息。對UNIX係統,建議你一定先做一張應急盤。
wwt4300792006-5-22, 03:28 AM
二、數據備份介紹
雖然數據恢複技術可能將你的損失降到最低,但是,誰願意在惶恐不安中,邊祈禱邊按下各類數據恢複軟件的“Recover”按鈕?也沒有人喜歡麵對滿屏的16進製代碼,帶著僥幸的心理調整硬盤分區表Data區的信息;所以,最好的數據保全方法應該是防患於未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你唯一的救命稻草。
1、麽東西最該備份
決定如何備份前,應先考慮備份什麽。硬盤裏有三種東西:數據、應用程序和操作係統。你可備份硬盤中的所有東西,也可隻備份數據。進行完整的備份是最簡單的方法,至少從恢複的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作係統和應用程序;而是很快就可恢複運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。另一個方法是隻備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書簽(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關於配置設置、收藏夾和cookie的注冊表信息。在Windows 95或98中,這些文件分布在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪裏
對於一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以為將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、木馬都很容易將你的整個硬盤數據毀於一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
wwt4300792006-5-22, 03:29 AM
從現在開始,凡是發布任何版本的“GhostXP_SP2 電腦公司特別版”下載和安裝信息的,一律按照發布病毒和木馬處理!
--------------------------------------------------------------------------------
硬盤數據恢複實例全解 之一
硬盤數據恢複實例全解 之一
難道在硬盤數據由於各種原因被破壞後,我們就隻能自怨自艾?
這篇實例全解,就是希望在不幸的情況發生的時候,讀者能夠快速找到對應的解決方案,不至於讓自己辛勤勞動成果白費。
當然,我們最大的期望還是——你永遠不要用到下麵的方法!因為再完備的事後解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在於防患於未然。
文件被刪除
一、症狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件後清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
二、解決方案
既然是最常見的數據損壞,當然也就是最容易恢複的,下麵就根據不同的操作係統給出相應的解決方案。
1.Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢複,這應該是大部分恢複類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢複被誤刪除的文件——其實很多東西並不是一味求大求全就好,夠用已足夠,簡單就是美。
廢話少說,我們需要先從Recover4all的主站點(
http://www.recover4all.com
)下載R4a.exe,這是一個自解壓文件,你可以把其中的文件解壓到軟盤或硬盤的一個目錄下(默認就是解壓到軟盤)。運行其中的rec4all.exe,會看見一個注冊窗口,點擊其中“To star the progam click”的按鈕就能夠進行試用(未注冊版本隻能恢複10KB以內的文件)。程序的主窗口下圖所示,這是一個類似於“資源管理器”的窗口;你可以通過點擊主菜單下方的盤符按鈕來掃描相應分區下的被刪除文件,然後在右邊的窗口中選擇需要恢複的文件,再點擊主菜單下方的“Recover”按鈕,並在新彈出的窗口中選擇恢複文件的存放位置即可——Win9x/Me下的誤刪除文件恢複就這麽簡單。
wwt4300792006-5-22, 03:30 AM
硬盤數據恢複實例全解 之二
2.WinNT/2000下的解決方案
說法,也就是如何恢複在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger(
http://www.quetek.com/
)完全就可以勝任。當然,File Scavenger是很具有針對性的——它隻能在WinNT/2000係統下使用(同時必須以Administrator用戶登錄係統),而且隻對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢複,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger隻可以對格式化過的分區中的文件進行恢複,並不能恢複整個被格式化過的分區)。
File Scavenger目前有兩種版本:硬盤安裝版和軟盤版(其下載的地址分別為:
http://www.quetek.com/32fs140.exe
和
http://www.quetek.com/32fs140f.exe
)。硬盤版的安裝和一般軟件類似,唯一需要注意的是——使用File Scavenger恢複文件的最安全方法就是在文件已經被刪除之後安裝File Scavenger(當然你不要將軟件安裝在刪除文件所在的分區)。因為File Scavenger的功能比較單一,其執行文件加上所需的庫文件一張1.44MB的軟盤也可以裝下,所以軟盤版也許是大家使用得比較多的(你要把軟盤版直接放在硬盤的一個目錄下也照常可以使用)。下麵的實例,我們就用軟盤版來說明。
一個非重要的文件Veryimportant.txt被誤刪除且清空了回收站;還好,你看過本篇“實例分析”而且也在軟盤或硬盤上準備好了File Scavenger。OK,現在你運行其中的filescav.exe,你將會看見如下圖的窗口。注意:其中的“搜索條件”可有多種格式(例如,*.doc、*、\data\*.txt等),根據你自己的需要填寫最方便查找的;Exhaustive Sear複選框選擇後會讓你指定搜尋分區的簇大小以及搜索簇的範圍,而指定之後File Scavenger會搜尋並顯示所有存在的文件名稱,不管是被刪除的還是沒有,因此沒有特殊需要還是不用為好;在搜索結果窗口中可以通過點擊“Filename”、“Size”、“Modified”等來為搜索結果排序,以方便尋找。
現在我們已經找到了Veryimportant.txt,選擇它並點擊“Recover”按鈕,如果文件能夠被恢複,你就可以在先前指定的恢複文件存儲路徑中找到它(如果你是第一次使用File Scavenger,之前還會有一個窗口提醒你注冊,如果不注冊,你將隻能恢複4KB以內的文件)。現在,還有什麽可擔心的? 硬盤數據恢複實例全解 之二
2.WinNT/2000下的解決方案
說法,也就是如何恢複在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger(
http://www.quetek.com/
)完全就可以勝任。當然,File Scavenger是很具有針對性的——它隻能在WinNT/2000係統下使用(同時必須以Administrator用戶登錄係統),而且隻對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢複,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger隻可以對格式化過的分區中的文件進行恢複,並不能恢複整個被格式化過的分區)。
File Scavenger目前有兩種版本:硬盤安裝版和軟盤版(其下載的地址分別為:
http://www.quetek.com/32fs140.exe
和
http://www.quetek.com/32fs140f.exe
)。硬盤版的安裝和一般軟件類似,唯一需要注意的是——使用File Scavenger恢複文件的最安全方法就是在文件已經被刪除之後安裝File Scavenger(當然你不要將軟件安裝在刪除文件所在的分區)。因為File Scavenger的功能比較單一,其執行文件加上所需的庫文件一張1.44MB的軟盤也可以裝下,所以軟盤版也許是大家使用得比較多的(你要把軟盤版直接放在硬盤的一個目錄下也照常可以使用)。下麵的實例,我們就用軟盤版來說明。
一個非重要的文件Veryimportant.txt被誤刪除且清空了回收站;還好,你看過本篇“實例分析”而且也在軟盤或硬盤上準備好了File Scavenger。OK,現在你運行其中的filescav.exe,你將會看見如下圖的窗口。注意:其中的“搜索條件”可有多種格式(例如,*.doc、*、\data\*.txt等),根據你自己的需要填寫最方便查找的;Exhaustive Sear複選框選擇後會讓你指定搜尋分區的簇大小以及搜索簇的範圍,而指定之後File Scavenger會搜尋並顯示所有存在的文件名稱,不管是被刪除的還是沒有,因此沒有特殊需要還是不用為好;在搜索結果窗口中可以通過點擊“Filename”、“Size”、“Modified”等來為搜索結果排序,以方便尋找。
現在我們已經找到了Veryimportant.txt,選擇它並點擊“Recover”按鈕,如果文件能夠被恢複,你就可以在先前指定的恢複文件存儲路徑中找到它(如果你是第一次使用File Scavenger,之前還會有一個窗口提醒你注冊,如果不注冊,你將隻能恢複4KB以內的文件)。現在,還有什麽可擔心的?
wwt4300792006-5-22, 03:30 AM
三、不可恢複的情況
如果文件在刪除之後,其存儲的磁盤空間進行過寫操作,那在通常情況下恢複的幾率為0。因此,誤刪除文件可以恢複的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
一、症狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的症狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
硬盤數據恢複實例全解 之三
二、解決方案
由於病毒破壞硬盤數據的方法各異,恢複的方案就需要對症下藥。這裏就以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞後,使用KV3000的F10功能,可修複的程度如下:
1.C盤容量為2.1G以上, 原FAT表是32位的,C分區的修複率為98%,D、E、F等分區的修複率為99%, 配合手工C、D、E、F等分區的修複率為100%。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修複率為0%,D、E、F等分區的修複率為99%, 配合手工D、E、F盤的修複率為100%。
因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修複軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來(需要了解這個軟件的朋友可以訪問Ontrack公司的主頁
http://www.ontrack.com
……是不是在這個網站上找不到有關TIRAMISU的內容?嗬嗬,其實現在TIRAMISU已經被整合到Ontrack公司的旗艦產品——EasyRecovery中。相關的詳細介紹可以參照本文的下一部分“分區表破壞”),如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對於FAT16的C盤是不是中了CIH就沒救呢?你還是可以嚐試一下FIXMBR(
ftp://www.newhua.com/fixmbr102a.zip
),它可以通過全盤搜索,決定硬盤分區,並重新構造主引導扇區。由於軟件隻修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修複得不理想,請DiskEdit等工具進行手工修複)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
三、不可恢複的情況
由於病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢複(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火牆絕對是有必要的)!
分區表破壞
“天有不測風雲,人有旦夕禍福”,這句話可真沒有說錯,在用電腦的幾年時間內,分區表破壞的情形也經曆了好幾次。想起當初的手足無措,到後來的才敢下手,一直到現在還是戰戰兢兢,不過所謂的“愚者千慮,必有一得”,經過這麽長時間的折磨,也終於給我摸出來一絲門路,不敢獨享,希望和遇到有困境的朋友們共享,也希望大家和我多交流(E-mail:clinuxer@yeah.net)……
一、破壞原因及恢複可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1.個人誤操作刪除分區,隻要沒有進行其它的操作完全可以恢複。
2.安裝多係統引導軟件或者采用第三方分區工具,有恢複的可能性。
3.病毒破壞,可以部分或者全部恢複。
4.利用Ghost克隆分區/硬盤破壞,隻可以部分恢複或者不能恢複(用Ghost的朋友要小心了)。
wwt4300792006-5-22, 03:31 AM
硬盤數據恢複實例全解 之四
二、兩點建議
據國外的一個專業數據修複公司調查,數據損壞以後很大程度上是可以恢複的,之所以有很多不能恢複的實例存在,90%以上是由於用戶在後來的恢複過程中有誤操作,從而造成了更大的破壞。所以希望朋友們牢記以下兩點:
1.在硬盤數據出現丟失後,請立即關機,不要再對硬盤進行任何寫操作,那樣會增大修複的難度,也影響到修複的成功率.
你的每一步操作都應該是可逆的(就像Norton Disk Doctor中的Undo功能)或者對故障硬盤是隻讀的(大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理)。
三、解決方案
這個軟件包含在Norton Utility係列工具中,功能十分強大,可以恢複分區記錄、FAT表,需要注意的是它對硬盤的操作不是隻讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢複,Norton Disk Doctor配合DiskEdit在分區表不能恢複時也可以恢複部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢複公司出的軟件,當然很有專業風範,EasyRecovery支持的文件係統格式很多FAT、NTFS都支持,並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬盤意外被格式化都可安全的恢複,你所要做的就是將數據損壞硬盤掛到另外一台電腦上,盡情恢複就是了,不過EasyRecovery對於中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。由出品PartitionMagic的PowerQuest公司所出的,硬盤資料複原工具。它是一套恢複硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出並恢複,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢複回來的資料能選擇在原來所在位置恢複或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和係統配置文件的功能,能在任何時間恢複)。要注意的一點是,盡量用一個很大的硬盤來裝恢複的數據(最好掛雙硬盤),如果目標盤的容量小於源盤的容量,下場會很慘!不過Lost&Found卻是基於DOS的一種軟件,這在“瘟到死”橫行的今天,市場隻有越來越小!
四、實戰操作
硬盤數據恢複實例全解
我的硬盤為IBM 9.44GB硬盤,分區情況如下:
一天被朋友用Win2000自帶的磁盤管理工具將所有分區完全刪除,並且刪除之後沒有進行任何操作。恢複工具的選擇上,因為四個分區三個是FAT16,一個是NTFS,我決定首先用Norton Disk Doctor恢複三個FAT16分區,不過由於Norton Disk Doctor不支持NTFS,故采用支持NTFS的EasyRecovery。
1.FAT分區的恢複
打開Norton Utility中的Norton Disk Doctor,NDD會自動為你檢測硬盤分區情況,當檢測到測盤2的分區表有問題時,跳出一個提示窗口,詢問是否在訪問磁盤2的過程中遇到麻煩,按下“Yes”按鈕。
接下來的彈出窗口中提示Norton Disk Doctor沒有在磁盤2上發現任何DOS分區,是否要Norton Disk Doctor搜索並重建DOS分區,當然選擇“Yes”(是)。
很快又一個“Partition Search”(分區搜索窗口)彈出,提示找到一個2039MB的DOS分區,是不是要恢複,當然是“Yes”。
在接下來的詢問是否搜索更多的DOS分區窗口中選擇“Yes”,又發現一個DOS分區,一直回答“Yes”直到Norton Disk Doctor找到3個DOS分區,由於NTFS分區Norton Disk Doctor不支持,所以在找到3個分區後,如果磁盤搜索程序詢問你是否搜索更多的DOS分區時,選擇“No”,重新啟動計算機,發現丟失的三個FAT分區完全恢複,並且WinMe仍可正常啟動。
2.NTFS的恢複
NTFS分區的恢複我們是使用EasyRecovery來實現的,打開EasyRecovery,按下“Next”(下一步)進入磁盤選擇窗口,選中我的IBM-DTTA-351010下的“Unknown File System Type(4.43GB)”,按下“Next”。
在接下來的窗口中你可以設置該分區的起始扇區號(Start Sector)和中止扇區號(End Sector),不用管它,按下“Next”繼續。
現在到了選擇分區文件格式窗口,在“File system Type”的下拉式菜單中選擇“NTFS”(我這裏的分區格式是NTFS,你應該選擇和你的條件相符的,如果實在不知道分區格式也可以選擇“RAW”進行全盤搜索),搜索方式選擇“Typical Scan”(特定搜索)就可以了,按下“Next”/“Next”。
硬盤一陣轟隆隆的狂響之後,搜索結果終於出現在我們麵前,將你需要恢複的文件前麵打上鉤,然後在下邊的Destination中輸入你恢複文件的目的路徑,按下“Next”恢複吧……
3.分區格式化的恢複
分區格式化之後,隻要其中沒有寫入任何文件,理論上我們仍然可以恢複。工具嗎?當然還是EasyRecovery了,不過需要說明一點的是:由於格式化程序將根目錄完全破壞所以用EasyRecovery恢複以後,你會看到一些DIR0、DIR1等目錄(不過目錄中的文件名還是完整的)! 啟動故障
我等電腦用家,如果某一天硬盤不能啟動,輕則使你陷入手忙腳亂之中,重則丟失重要資料,我們這裏從硬盤啟動的整個曆程來為你詳解每個階段可能出現的問題以及應該采取的措施,解決你的手足無措之苦……
wwt4300792006-5-22, 03:32 AM
硬盤數據恢複實例全解 之六
一、出錯信息:“Non System disk or disk error, Replace and strike any key when ready”,用軟盤啟動後,在A:\>後鍵入C:,屏幕顯示:“Invalid drive specification”,係統不認硬盤。
故障分析:造成該故障的原因一般是CMOS中的硬盤設置參數丟失或硬盤類型設置錯誤造成的。
解決方案:進入CMOS,檢查硬盤設置參數是否丟失或硬盤類型設置是否錯誤,如果確是該種故障,隻需將硬盤設置參數恢複或修改過來即可。具體修改方式:進入CMOS設置,選擇“HDD AUTO DETECTION”(硬盤自動檢測)選項,即可自動檢測出硬盤類型參數(由不同的BIOS而定,有的BIOS中可能是“IDE AUTO DETECTION”,隻需針對自己的選項修改就是了)。若無此項,並且也沒有備份的CMOS,你就隻好打開機箱,查看硬盤表麵標簽上的硬盤參數,然後依樣修改了。
二、出錯信息:開機後,屏幕上顯示:“Invalid partition table”,硬盤不能啟動,若從軟盤啟動則認C盤。
故障分析:造成該故障的原因一般是硬盤主引導記錄中的分區表有錯誤,當指定了多個活動分區(隻能有一個活動分區)或病毒占用了分區表時,將有上述提示。
主引導扇區位於0磁頭0柱麵1扇區,由Fdisk.exe對硬盤分區時生成。主引導扇區包括主引導程序(MBR)、分區表(DPT)和結束標誌55AA三部分,共占一個扇區。主引導程序中含有檢查硬盤分區表的程序代碼和出錯信息、出錯處理等內容。當硬盤啟動時,主引導程序將檢查分區表中的活動標誌。若某個分區為可活動分區(Active),則有分區標誌80H,否則為00H,並且對於DOS等操作係統隻能有一個分區為活動分區,若分區表中含有多個活動標誌時,主引導程序會給出“Invalid partition table”的錯誤提示。
解決方案:解決方法很多:最簡單的就是使用NDD來修複(由於不能進入Windows,我們當然使用的是DOS版本的NDD),它將自動為你檢查分區表錯誤,並加以修複。需要注意的是,因為分區表破壞有很多種方式,因此我們需要在對分區表改動之前首先備份主引導扇區,這樣即使恢複錯誤,我們也能返回錯誤之前的位置重新再來。
三、出錯信息:係統自檢正常,可自檢之後隻顯示一行“Operation system not found”出錯信息就不再引導,但是用軟盤啟動計算機後,可以看到硬盤上的任何內容。
故障分析:這種問題一般是由於MBR在檢查活動分區的時候出現的,和我們上一問題的出錯比較類似,所不同的是一個是分區表中活動分區標誌過多,而本例中是沒有活動分區造成的。
解決方案:用軟盤啟動計算機,然後執行分區程序Fdisk.exe,按下“2”來選擇活動分區(Set active partition)。
在接下來的選擇活動分區窗口中,選擇你自己想要啟動的分區,我這裏選擇的是“1”——Primary DOS(主DOS分區),對應於我的DOS/Windows下的C:盤。
wwt4300792006-5-22, 03:32 AM
硬盤數據恢複實例全解 之七
四、出錯信息:主機加點自檢,自檢完畢,硬盤指示燈閃亮,屏幕出現:“Operting system not found”錯誤信息,硬盤啟動失敗。用軟盤啟動成功,試圖進故硬盤時,出現:“Invalid drive Specification”錯誤信息。
故障分析:用Norton DiskEdit看磁盤的物理0扇區,發現分區結束標誌55AA被破壞。
解決方案:這種問題我們也利用NDD來加以修複,如果你沒有NDD,也可以采用相應的磁盤編輯工具,直接將物理0扇區的最後兩個字符改為16進製的55AA就可以了。
五、出錯信息:開機屏幕顯示“Operting system not found”,用Win98啟動以後有三條出錯信息,在DOS下不能看到任何分區,用DiskEdit查看主引導扇區,發現已經被完全破壞。
故障分析:這種問題應該是分區表被嚴重破壞的表現,可能是病毒或者人為的誤操作(比如使用Ghost恢複分區時選擇了錯誤的選項)。
解決方案:參照前麵我們介紹的“分區表破壞”來進行恢複。
六、出錯信息:開機後屏幕上出現“Error loading operating system”或“Missing operating system”或者是“Disk I/O Error Replace the disk then press any key”的提示信息。
故障分析:造成該故障的原因一般是DOS引導記錄出現錯誤。DOS引導記錄位於邏輯0扇區,是由高級格式化命令Format生成的。主引導程序在檢查分區表正確之後,根據分區表中指出的活動分區的起始地址,讀DOS引導記錄,若連續讀五次都失敗,則給出“Error loading opearting system”的錯誤提示,若能正確讀出DOS引導記錄,主引導程序則會將DOS引導記錄送入內存0:7C00h處,然後檢查DOS引導記錄的最後兩個字節是否為55AAH,若不是這兩個字節,則給出“Missing operation system”的提示。
解決方案:對於以上這些問題都可以使用NDD來解決,不過根據不同的出錯提示還有不同的解決方案:
1.出錯提示為“Invalid system disk,Replace the disk, and then press anykey”。這種情況一般是因為係統引導文件IO.sys被刪除或者損壞,可以用“sys A: C:”將係統引導文件傳送到C:盤。
2.“Error loading system”錯誤提示。這種提示說明分區表中標明的活動分區的起始位置錯誤或者DOS引導記錄出錯,隻能用NDD修複。
3.“Missing operating system”出錯提示。用DiskEdit編輯相應活動分區的引導區,並將最後分區結束標誌改成55AA。
硬盤數據恢複實例全解
對於以上幾種出錯信息,如果你的數據不是很重要,也可以考慮用Format來解決問題,不過我們強烈建議你采用NDD來修複,這樣如果你改錯了,還有後悔的餘地(Undo),這也是我們前麵告誡大家用NDD一定要做Undo的原因之所在。
七、出錯提示:機器加電自檢以後可以出現“Starting MS DOS…”的提示符,但是最後卻出現了“Bad or missing command interpret”這樣的出錯提示。
故障分析:出現這種問題應該在DOS引導的後期,IO.SYS處理完MS.SYS後,要裝入命令解釋器Command.com卻找不到。
解決方案:很簡單,軟盤啟動以後,將軟盤上的Command.com拷貝到C:盤的根目錄下。
wwt4300792006-5-22, 03:33 AM
數據恢複與軟故障處理基本指南 第一篇
第一篇、廣義的數據恢複
長期以來計算機領域數據恢複似乎缺乏一個把握全貌的,如果說給出一個比較能把握全貌的說法,我們首先應當給計算機數據一個廣義的概念,某些人覺得隻有類似文本文件、數據庫中的記錄或表這樣的東西才是數據,其實從廣義上說,任何位於計算機存儲介質上的信息都是數據,無論是哪種介質,也無論是具體作用,他們都是數據。與這種概念對應,任何使這些信息發生非主觀意願之外的變化都可視為破壞。那麽數據恢複是就是一個把異常數據還原為正常數據的過程。
一、對數據的潛在威脅
1、惡意的程序:大家最熟悉的惡意程序就是病毒,很多人認為病毒對數據的影響僅僅是病毒的破壞性,這是不正確的,實際上病毒的感染本身就是一種破壞,一個病毒無論他借助修改你的引導區、可執行程序還是OFFICE文檔,他都把你正常的數據做了改變,當然,你可能舉良性伴隨性病毒這種極端的例子。但毫無疑問,他同樣對數據構成了破壞,至少他減少了你的硬盤的可用空間。同時,惡意的程序還包括特洛伊木馬,邏輯炸彈等等。惡意的程序造成的破壞可能是最難恢複的。
2、其他惡意的破壞:即使不借助病毒或者其他的工具,隻要擁有足夠的權限,任何係統都有一定的“自毀”能力。比如依靠係統正常的刪除、移動、格式化等操作也可以達到破壞數據的目的。隨著網絡技術的發展,威脅已經不僅僅限於本機,
3、誤操作:很多數據丟失源於使用者的操作失誤,比如誤刪除,誤格式化等等。
4、操作係統或應用軟件的錯誤:隨著操作係統和應用程序的代碼量的成倍增加,BUG也在不斷增加。我們最常用的桌麵係統WIN9X就是一個BUG大王。操作係統和應用軟件的錯誤,往往會給人的工作帶來一些不可預期的影響。比如前階段,發現FRONTPAGE98的一個BUG,觸發後會把你目錄下的文件全部刪除,另外,象著名的遊戲神話II,出現了如不安裝在默認目錄中可能會使你丟失擴展分區這樣嚴重的問題。
5、加密和權限:盡管加密和權限設置是你保護數據的有效手段,但遺忘密碼也會帶來很大的問題。
6、掉電:機器突然掉電的後果可能不僅僅是內存數據的丟失,也可能造成磁盤數據的丟失,或導致係統無法正常啟動。
7、內存溢出:導致內存溢出或者進程非法終止等低層錯誤的原因很多,他就象掉電一樣,會使你損失當前的工作。
8、升級:軟件係統升級有時會帶來一些問題,後麵我們將舉相應例子。
9、硬件損壞和失竊:這可能是最嚴重的威脅之一。有時這把你恢複數據的可能降低為零。
二、數據丟失的各種邏輯現象
對數據的恢複,基本上是一種邏輯處理。隻有對情況有一個準確的判定,才能做出準確的應對。一般的來說,問題可以歸納為以下幾種情況。
1、 硬盤無法完成正確引導:因物理故障造成的邏輯損壞、引導區故障、重要扇區崩潰等等,都會使係統不能完成正常的自舉過程。
2、 文件丟失:由於有意破壞,誤刪除等等都會造成數據的丟失。另外,這種歸類不僅僅包括某個或某幾個文件,也適用於目錄,分區或卷的丟失。
3、 文件無法正常打開:由於病毒感染,加密,文件頭損壞等情況,會使文件無法正常打開。
4、 數據紊亂:由於各種因素的影響,數據庫中的信息,文本文件等,可能麵目全非。
三、保護數據的建議
這個專題是探討數據恢複的,而不是信息保護的,因此點到為止,一句話,那就是防患於未然,我們列舉了對數據的威脅,如果我們最大程度的減弱了這些威脅,對每一種可預知的潛在威脅都有相應的預防和對策,我們的數據安全才會有最大的保障。這些對策主要包括選擇良好的反病毒和係統維護產品、加強保安全措施、采用UPS掉電保護、提高用戶操作水平和安全意識、形成係統的信息管理和備份製度等等。都可以有效的保證數據的安全,總之,我對數據恢複的認識與病毒是相同的——與其亡羊補牢,不如防患未然
wwt4300792006-5-22, 03:34 AM
數據恢複與軟故障處理基本指南 第二篇
第二篇、數據恢複的準備知識
1、係統工作機理的簡單介紹(本節由lowpower縮寫)這一部分在原作中是最重要的一章,考慮到篇幅關係,進行了大量的刪節。
①、 DOS(DOS兼容係統)硬盤數據的構成
DOS磁盤係統,可以按照邏輯分區的概念管理物理空間,不同分區可以裝載不同的OS係統。示意如下:
硬盤空間
第一扇區 | 分區1 | 分區2| 分區3 |分區4 |
主引導扇區|引導扇區|引導扇區|引導扇區|引導扇區|
各分區公用|各個分區相對獨立,可安裝不同操作係統。
對FAT結構的分區每一分區都有獨立的引導記錄,FDT表,FAT表等。同時,係統還有一個最為重要的主引導記錄。在0柱0麵1扇區,今後我們用CYL代表柱、SIDE代表麵,SEC代表扇區。以下一個FAT結構分區的簡圖。
保留區--磁盤參數表、DOS引導記錄
控製區--FAT表1、FAT表2根目錄區
數據區--數據區
以下簡單介紹一下重要的部分:
主引導記錄又稱主分區表、MBR等等:MBR占一個扇區,在CYL 0、SIDE 0 、SEC 1,由代碼區和數據區構成。其中代碼區是一端標準的程序,完成 BIOS自舉到OS BOOT之間的工作,為OS啟動做最後的準備。標準代碼區可以由FDISK/MBR重建,但對於多係統引導的不標準MBR,將被這一操作破壞。MBR的數據區記錄了分區情況。
係統扇區:CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63,共62個扇區引導區又稱BOOT區:CYL 0、SIDE
1 、SEC 1 這是我們過去稱的DOS引導區。也占一個扇區。
文件分配表又稱FAT:是記錄文件占用簇的情況和連接關係的地方。一般有兩個FAT表,起到備份的作用。FAT12、FAT16的第一FAT表一般均在0-1-2,FAT32的第一FAT表在0-1-33。由於FAT表記錄文件占用扇區連接的地方,如果兩個FAT表都壞了,後果不堪設想。
由於FAT表的長度與當前分區的大小有關所以FAT2的地址是需要計算的。
根目錄區(ROOT、FDT):這裏記錄了根目錄裏的目錄文件項等,ROOT區跟在FAT2後麵。
數據區:跟在ROOT區後麵,這才是數據內容。
其實, MBR、隱含扇區、BOOT區,重建都比較容易。數據恢複的關鍵在於恢複數據文件。由於FAT表記錄了文件在硬盤上占用扇區的鏈表,如果2個FAT表都完全損壞了。那麽恢複文件,特別是占用多個不連續扇區文件就相當困難了。
②、 主引導記錄簡單說明:
主引導記錄是硬盤引導的起點,關於代碼區不多說了,其數據區,比較重要的是2個標誌,80H和55AA,80H一般在偏移1BE處,80是分區激活的標誌的標記表示係統可引導,且整個分區表隻能有一個80標記。另一個就是結尾的55AA標記,用來表示主引導記錄是一個有效的記錄。另外,各個分區自身的引導記錄,也是以55AA結束,這是我們查找分區的標誌。我們後麵在介紹如何主引導記錄中,給出了一個完整的分區表的例子,大家可對照查看。數據區中,用10H字節表示一個分區,最多可表示4個分區,分別從1BE、1CE、1DE、1EE開始,我們後麵給出了分區表項對應地址的含義。大家可以對應分析一下以下分區的情況。
80 01 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00
① ② ③ ④ ⑤ ⑥
①:激活標記,80表示可引導分區
②:分區開始的磁頭號為01、開始的扇區號為01、開始的柱麵號為00,由於開始的扇區號為2進製6位,而開始的柱麵號為2進製10位,因此扇區號所用字節的高兩位要加在柱麵號高兩位。
③:分區的係統類型FAT32(0B),01是FAT12,04為FAT16,06為BIGDOS,07為NTFS,其他參見分區類型表。
④:分區結束磁頭號254、分區結束扇區號63、分區結束柱麵號764
⑤:首扇區的相對扇區號63
⑥:總扇區數12289622
2、常見手工處理工具與DOS外部命令介紹
DEBUG:古老和最為常見的調試跟蹤軟件,始終捆綁在微軟的DOS/WIN9X操作係統中。有19個子命令。有編寫執行匯編指令,直接讀寫絕對扇區和內存單元等功能,可以在最艱苦的條件下工作。DOS6.22以下的係統,DEBUG.EXE在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
DISKEDIT:常見16進製編輯軟件,字符界麵,可以以文件方式和扇區方式讀寫邏輯內容,可以讀寫絕對扇區,可以方便的查找編輯分區表、FAT表、ROOT區等重要扇區。這一點要比DEBUG更方便。但在一些重要扇區損壞的情況下,DISKEDIT可能無法啟動。DISKEDIT軟件可以在著名的Norton Utilities軟件包中找到。最新的DISKEDIT出現在NU4中。
NDD:常見的FAT文件結構磁盤修複工具,就是著名的NORTON磁盤醫生,可以自動修複分區丟失等情況,可以搶救軟盤壞區中的數據,強製讀出後搬移到其他空白扇區。希望大家不要再使用NORTON FOR DOS7或8的NDD,這個版本由於不支持大分區、FAT32、長文件名等技術,會給你帶來大量的麻煩。建議大家使用Norton Utilities4或更高版本中的NDD.EXE,這是純DOS下的工具。在硬盤崩潰或異常的情況下,他可能可以帶給用戶以希望。WIN9X下的磁盤醫生調用的並不是這個程序,而是NDD32.EXE.
FDISK:FDISK當然是個危險的命令,很多人非常恐懼,事實上,FDISK命令的運行並不影響任何分區內的硬盤數據,他對分區的設置操作,隻改變主分區表的數據區。而特別是FDISK異常重要的隱含參數/MBR,可以重建主分區表的代碼區,清除主引導型病毒等。這是非常有用的操作。DOS6.22以下的係統,FDISK.EXE在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
FORMAT:在一些人眼中,FORMAT是最可怕的命令,但他並不是對硬盤清零,特別值得注意的是,很多文件恢複工具都建議你恢複前先FORMAT該分區起到保護的餓作用。DOS6.22以下的係統,FORMAT.COM在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
HD-COPY:傳統的軟盤COPY工具,2.0版本以後加入了強製讀的功能,可以讀出一些損壞扇區的內容。
SYS:SYS命令是重建BOOT區的最簡潔的手段,也可以殺除BOOT區病毒。DOS6.22以下的係統,sys.COM在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
令我非常遺憾的是,至今我沒有發現比較出色的扇區級備份鏡象工具,我曾寫過一個HD-MIRROR,但由於錯誤較多,我提供下載的第二天就停止了發布,另外fixc的作者noz寫過一個clone.exe,但可惜隻適合相同的硬盤。我也曾以為GHOST可以做到這點,事實上,你目前還不能指望他為你備份一塊深度破損的硬盤。。如果有一個有效的能以按扇區機製(而不是文件機製)壓縮備份一塊硬盤將之做成一個鏡象文件的話,那麽我們的恢複工作就擁有了更多的保證和餘地。我們可以更大膽的做恢複的嚐試。
3、一些自動處理工具或軟件包
首先介紹國內的一些免費修複工具
FIXMBR:何公道先生寫的一個修複MBR的工具,適合處理邏輯分區丟失的情況, 有一些可選參數,支持FAT32、FAT16,不支持NTFS、LINUX等分區,支持8.4G以上硬盤。可修複CIH發作後的擴展邏輯分區。
VRVFIX:北信源公司的推出的修複硬盤共享工具,適合處理邏輯分區丟失的情況,處理的基本比較準確。支持FAT32、FAT16,不支持NTFS、LINUX等分區。也不支持8.4G以上硬盤。
FIXC:國內最早出現的可以修複部分被CIH破壞的C盤的工具,作者是NOZ,新版本也加入了修複分區信息的功能,支持FAT32、FAT16,有限支持NTFS,不支持8.4G以上硬盤。目前的版本已經比較完善。
FIXHDPT:TBSOFT工作室的分區信息修複工具。支持FAT32、FAT16,不支持NTFS和LINUX,不支持8.4G以上硬盤,是曆史比較長的工具之一。
RE(ReapirEasy):本人早期寫的分區表修複工具,支持FAT32、FAT16,有限支持NTFS,不支持8.4G 以上硬盤,和某些BIOS不兼容。其整體水準低於前麵列舉的工具。國外一些係統維護的工具目前已經達到了非常強大的程度。
Norton Utilities:曆史最悠久的係統維護工具。不僅可以數據恢複,還可以係統加速和修補內存錯誤。目前最新的版本是NU4.5 FOR 9X、NU2 FOR NT等。
Tiramint:最為出色的災難恢複工具之一,有NTFS、FAT32、FAT16、NOVELL4種版本。生成急救軟盤,可以對深度破壞的磁盤進行交叉恢複。
4、常用的基本操作
① 讀出主引導記錄:這是係統級數據恢複可能涉及最多的程序之一。例:
DEBUG
-a100 ;從此處開始匯編
126C:0100 mov ax,201; 讀操作一個扇區
126C:0103 mov bx,300; 送入地址300
126C:0106 mov cx,1 ;0麵1扇
126C:0109 mov dx,80 ;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3
126C:010F
-g=100 ;執行
AX=0050 BX=0300 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000 DS=126C ES=126C SS=126C CS=126C IP=010E NV UP EI PL NZ NA PO NC
這裏用了I/O中斷13,涉及的寄存器含義為ah,操作方式,02H為讀,03H為寫,al送扇區數,bx送準備裝入扇區的內存偏移地址,cx送從哪一道哪一扇區開始,我們一般依靠改換CX來讀寫不同邏輯盤某個邏輯扇區。dx送盤符和頭數INT 3是斷點中斷,使程序運行到此停止。
② 顯示引導區內容:我們把扇區讀到某個內存地址並不是目的。而是為了看到他的內容,在DEBUG中D命令可以方便的查看內存單元的內容。續前例,如果我們要看到主引導區的內容的話,既然裝載到300。-d300 l200就可以查看了,一個引導區的映象類似如下,可以直觀的看 到我們前麵所提到的代碼區和數據區。是否正常請大家自行分析一下
126C:0300 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C 3.....|.P.P....|
126C:0310 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BE BE 07 B1 04 ...PW...........
126C:0320 38 2C 7C 09 75 15 83 C6-10 E2 F5 CD 18 8B 14 8B 8,|.u...........
126C:0330 EE 83 C6 10 49 74 16 38-2C 74 F6 BE 10 07 4E AC ....It.8,t....N.
126C:0340 3C 00 74 FA BB 07 00 B4-0E CD 10 EB F2 89 46 25 .}U
126C:03B0 AA 74 5A 83 EF 05 7F DA-85 F6 75 83 BE 27 07 EB .tZ.......u..'..
126C:03C0 8A 98 91 52 99 03 46 08-13 56 0A E8 12 00 5A EB ...R..F..V....Z.
126C:03D0 D5 4F 74 E4 33 C0 CD 13-EB B8 00 00 00 00 00 00 .Ot.3...........
126C:03E0 56 33 F6 56 56 52 50 06-53 51 BE 10 00 56 8B F4 V3.VVRP.SQ...V..
126C:03F0 50 52 B8 00 42 8A 56 24-CD 13 5A 58 8D 64 10 72 PR..B.V$..ZX.d.r
126C:0400 0A 40 75 01 42 80 C7 02-E2 F7 F8 5E C3 EB 74 49 .@u.B......^..tI
126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition
126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa
126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s
126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op
126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..
126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W.........
126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................
126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~.....
126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u...
126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.
③ 反匯編主引導區內容:判定MBR的代碼區是否正常,對於數據區的基本情況,我們可以通過直觀觀察得出,但對於存在引導型病毒,或者引導區出現異常代碼的情況,我們可能需要分析MBR中代碼區的指令。這一般要對已經讀入內存的引導區進行反匯編。反匯編用指令U,續前例:
-u300 l15D ;反匯編主引導扇區代碼區內容
126C:0300 33C0 XOR AX,AX
126C:0302 8ED0 MOV SS,AX
…………
126C:045C 65 DB 65
126C:045D 6D DB 6D
④ 寫內存單元,在我們的前例中,主分區類型是0B是FAT32的,假定這個類型實際是NTFS的,我們該如何修改呢?由於主分區類型的偏移是4C3H,我們可以用E命令寫到內存單元中,從附表中查得NTFS的類型為07。因此-e4c3 7再比如說,假定我們想把無效的分區表清零,那麽,我們應當用另一個命令F,這個命令可以用填充一個內存地址範圍。清零分區表的操作就是-f4be 4ff 00,以下兩個操作也比較常見。
重置80標記,-e4be 80
重置55AA標記,-f4ff 4fe 55 aa
不要忘記了,此時僅僅是改動了內存中的數據,並未寫到硬盤上。因此需要用int 13中斷把改寫的結果,寫回硬盤。續前例,
-a100
126C:0100 mov ax,301 ; 寫操作一個扇區
-g=100 ;執行
其實,我們相當於修改了剛才輸入的讀主引導扇區程序,使程序變為。
126C:0100 mov ax,301 ; 寫操作一個扇區
126C:0103 mov bx,300 ;從內存地址300
126C:0106 mov cx,1 ;0麵1扇
126C:0109 mov dx,80 ;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3 ;斷點
⑤ 絕對磁盤內容的讀出與寫入
類似操作在FAT32結構硬盤被CIH破壞的修複中比較常見,我們後麵將講到恢複的基本思路就是用第二FAT表覆蓋第一FAT表。那麽無疑要讀出第二FAT表的內容,再回寫到第一FAT表的位置上。一般的來說,大量連續扇區的讀出寫入DISKEDIT進行非常方便,如果用DEBUG做則要寫一段子程序,不過程序的主要技巧就是利用int 25絕對磁盤讀中斷讀出的內容,而用int 26絕對磁盤寫做內容寫入。
5、數據可恢複的前提
有人覺得這個題目說法比較奇特,但數據恢複,作為一個數據再現的過程,一定要解決兩個問題,第一是從哪裏恢複的問題,第二是怎麽恢複的問題。解決了這兩個問題,我們事實上就把握了數據恢複的全部思想脈絡。而這一部分就是從哪裏恢複的問題。
①、 有效而及時的備份中是數據恢複最可靠的來源,在許多人倡導備份到秒的今天,恐怕不會有人懷疑這點。而有些備份機製則是係統內建的,比如兩份FAT表。
②、 數據的實際有效性的判定是關鍵,對我們來說,硬盤無法自舉、文件找不到、文件打不開等現象,其實並不與數據丟失畫等號。因為此時往往數據隻是從操作係統的角度是一種邏輯丟失,而從物理扇區意義上,它仍然存在或部分存在。最明顯的就是文件刪除的例子,事實上,這隻是把文件首字節,改為0E而已。而此時文件體依然存在。
③、 數據損壞過程的可逆性分析:對數據的改變無非兩種,取代和變換,前者是不可逆的,而後者則是可逆的。我們以殺毒為例,對於大多文件性病毒來說,那些以附加而非代換方式感染的文件型病毒,理想的殺毒過程就是感染的逆過程。這種分析也常見與重要信息被隱藏搬移或者被加密的情況,但分析將比較複雜。
④、 數據本身是否是標準信息:有些信息實際是通用或局部通用的,你無須考慮如何從本機搶救。隻要相同或相近的係統版本就可以了,比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區表的代碼區,這是一段標準代碼,事實上,它就放在你的FDISK程序裏麵,你可以用DEBUG把他提取出來。
⑤、 數據本身是否可以由其他信息統計再生:有些信息盡管丟失了,也沒有備份。但它實際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息,即使你把他清零也不必害怕,因為你可以從你幾個分區中計算再生。
⑥、 破壞的完成程度:事實上,FDISK、FORMAT都不會徹底破壞數據,一般隻有低格和扇區覆蓋操作才會徹底破壞數據。但有時,破壞過程或者誤操作過程會因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子,由於CIH是以1024字節為單位覆蓋扇區,這當然是不可逆過程,於是我們最初都認為,破壞是很難恢複的,除非人工終止。事實上,當病毒覆蓋某些扇區時會與9X係統發生衝突,從而造成死機,使數據得到了保護。
wwt4300792006-5-22, 03:34 AM
數據恢複與軟故障處理基本指南 第三篇
第三章、數據恢複基本攻略
1、 硬件或介質問題的情況
①、硬盤壞:硬盤自檢不到的情況一般是硬件故障,又可分為主版的硬盤控製器(包括IDE口)故障和硬盤本身的故障。如果問題在主板上,那麽數據應當沒有影響。如果出在硬盤上,也不是一定不能修複。硬盤可能的故障又可能在控製電路、電機和磁頭以及盤片。如果是控製電路的問題,一般修好它,就可以讀出數據。但如果電機、磁頭和盤片故障,即使修理也要返回原廠,數據恢複基本沒有可操作性。
②、軟盤壞:當軟盤數據損壞時,可以有幾種處理,一種是用NDD修複,他會強製讀出你壞區中的東西,MOVE到空白扇區中,這就意味著如果你的磁盤很滿操作是沒法進行的。你也可以用HDCOPY2.0以上版本READ軟盤,他也會進行強讀,使讀入緩衝區的數據是完好的,你再寫入一張好磁盤就可以了。當然這些方式,要看盤壞的程度。如果0磁道壞,數據也並非無法搶救,早先可以通過扇區讀的方式,把後麵的數據讀出,不過一般來說,你依然可以HDCOPY來實驗。
2、係統問題的情況
①、在硬盤崩潰的情況下,我們經常要和一些提示信息打交道。我們要了解他典型提示信息的含義,注意這些原因僅僅分析邏輯損壞而不是硬盤物理壞道的情況。
提示信息
可能原因
參考處理
Invalid Partition Table
分區信息中1BE、1CE、1DE處不符合隻有一個80而其他兩處為0
用工具設定,操作在前麵已經講了。
Error Loading Operating System
主引導程序讀BOOT區5次沒成功。
重建BOOT區
Missing Operating System
DOS 引導區的55AA標記丟失
用工具設定,把前麵讀寫主引導區程序的DX=80改為180即可
Non-System Disk or Disk Error
BOOT區中的係統文件名與根目錄中的前兩個文件不同
SYS命令重新傳遞係統,
Disk Boot Failure
讀係統文件錯誤
SYS命令重新傳遞係統,
Invalid Driver Specifcationg
如果試圖切換到一個確實存在的邏輯分區出現以下信息,說明主分區表的分區記錄被破壞了。
根據各分區情況重建分區表,或者用自動修複工具修複。注意分區丟失是最常見的故障之一,此時不要緊張,一般的說此時數據並沒有問題,如果你不了解處理的方法。你可以選擇我前麵介紹的自動修複分區工具進行處理,他們大多隻改寫主分區表的數據區,不會影響你的其他數據。特別提醒大家,這些工具有的不支持8.4G硬盤,有的與BIOS對硬盤的識別有關係。如果你在一台機器上不行,可以換台BIOS不同的機器實驗一下。
Bad or missing command interpreter
這是說找不到COMMAND.com,或者COMMAND文件壞了。
如果你COPY過去COMMAND文件還是如此,一般來說是感染了某種病毒。
Invalid media type reading drive
X ,Abort,Retry,Fail?
該盤沒有高級格式化,或BOOT區中I/O參數表被破壞。
這裏情況較多,手工處理比較複雜,特別指出,此時DISKEDIT可能無法運行,建議用工具修複。
Incorrect DOS Version
可能是文件版本不統一,對9X來說,有95,95osr/2,98,98 oem/2等版本,重新SYS時,不要弄錯了。
用正確版本的啟動盤重新SYS係統。
另外說明一下,對於比較老的機器還有1071和not found rom basic、ROM BASIC OK等提示,在目前機器中以消失。另外,當代碼區完全被破壞的情況下,係統關於無係統的提示是來自BIOS的,這條提示與BIOS的種類有關。另外,FDISK/MBR對代碼區的重建是我們經常采用的。再介紹一種比較極端的情況,就是硬盤自檢正常,而用軟盤和硬盤都無法正常啟動的情況,這可能是,病毒或惡意程序利用,DOS3以上版本啟動中都要檢索分區表這一特點,把分區表置為死循環。造成啟動中死機。網上曾經流傳過DOS6.22k修改方案,其實是修改西文MS-DOS6.22的 IO.SYS,把C2 03 06 E8 0A 00 07 72 03替換為:C2 03 90 E8 0A 00 72 80 90就可以啟動被類似情況鎖住的硬盤。
②、WIN9X無法正常進入或工作:以下僅僅是對可能的軟故障分析,沒有考慮硬件故障.
進入圖形界麵前死機情況比較複雜,可能與加載的某些驅動有關可以在START MS WINDOWS時,用F8激活菜單,設置為step by step,看是哪項使係統死機。而後從CONFIG或者SYSTEM。INI中刪除
進入圖形界麵後死機: 一般這與開機加載的程序有關進入安全模式(此時自動運行的程序將不能加載),對注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的鍵值和啟動組中加載的程序進行分析。必要的予以刪除。
顯示IEXPLORE.EXE錯誤,不能進行任何操作可能有某個係統的動態連接庫損壞覆蓋安裝WIN9X,或從其他機器上COPY損壞的連接庫。(確定哪個庫損壞一般比較困難)
頻繁出現出錯各種信息:一般是虛擬內存不足造成的看C盤是否剩餘空間過少,或者打開的應用程序和窗口太多。
2、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和後麵是否有FAT等情況判定是否為分區表,最後計算填回,主分區表,由於需要計算,過程比較煩瑣,就不仔細介紹了,希望大家用前麵介紹的工具,比如NDD處理。如果文件仍然無法讀取,要考慮用TIRAMINT等工具進行修複。如果在FAT表徹底崩潰的情況下,恢複某個指定文件,可以用DISKEDIT或DEBUG查找已知信息。比如文件為文本,文件中包含“軟件狗”,那麽我我們就要把他們轉換為內碼C8 ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般的來說,文件刪除僅僅是把文件的首字節,改為E5H,而並不破壞本身,因此可以恢複。但由於對不連續文件要恢複文件鏈,由於手工交叉恢複對一般計算機用戶來說並不容易,在這篇縮略版中就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用他來查找。另外,RECOVERNT 等工具,都是恢複的利器。特別注意的是,千萬不要在發現文件丟失後,在本機安裝什麽恢複工具,你可能恰恰把文件覆蓋掉了。特別是你的文件在C盤的情況下,如果你發現主要文件被你失手清掉了,(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢複或把硬盤串接到其他有恢複工具的機器處理。誤格式化的情況可以用工具處理。
4、文件損壞的情況
一般的說,恢複文件損壞需要清楚的了解文件的結構,並不是很容易的事情,而這方麵的工具也不多。不過一般的說,文件如果字節正常,不能正常打開往往是文件頭損壞。就文件恢複舉幾個簡單例子。
類型
特征
處理
ZIP、TGZ等壓縮包無法解壓
ZIP文件損壞的情況下可以用一個名為ZIPFIX的工具處理。不過如果你的文件是從FTP站點上下載的,那麽有可能是你沒有定義下載模式為BIN。
自解壓文件無法解壓
可能是可執行文件頭損壞,可以用對應壓縮工具按一般壓縮文件解壓。
DBF文件死機後無法打開
典型的文件頭中的記錄數與實際不匹配了,把文件頭中的記錄數向下調整,遺憾的是公式我找不到了。
5、硬盤被加密或變換
此時千萬不要FDISK/MBR,SYS等處理,否則可能數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對於那些加密硬盤數據的病毒,清除時一定要選擇能恢複加密數據的可靠殺毒軟件。
6、文件加密後密碼遺忘
對於很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密後與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有後門的,比如DOS下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮誌宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
7、係統用戶密碼遺忘的處理:最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件係統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,後者時間長,但保全了所有用戶信息。對UNIX係統,我建議你一定先做一張應急盤。
wwt4300792006-5-22, 03:35 AM
數據恢複與軟故障處理基本指南 第四篇
第四章、恢複實例
下麵舉一些數據恢複或者軟故障處理的例子,這些事例是從我參與大量的故障處理中選取的一些典型事例。在選取典型事例中,遵循了以下原則。
①、 處理過程能夠表現一定思想,而不是純粹的技術手段。
②、 處理過程本身並不算複雜,基本不出現匯編程序,一般讀者能夠理解。
③、 處理過程本身並不完美,中間可能犯了一些錯誤,有的甚至局部失敗。可以使大家引為借鑒。
④、 處理過程本身並不僅僅是純粹的邏輯思維,有人的心理活動對技術的幹擾。以使大家能更好的避免這些。
1、 被CIH破壞硬盤恢複一例
委托恢複人:某銀行
硬盤情況:CIH發作,藍屏死機。該單位電腦人員曾用KV300 F10進行修複,但沒有成功,又恢複了保存的MBR。
修複工具:
準備好軟盤3張:
DISK1 -WIN98啟動盤(帶DEBUG)
DISK2-DISKEDIT等工具(此盤不要寫保護)
DISK3-DOS下殺CIH的工具
基本思想:
1、FAT2沒有損壞的情況,用FAT2覆蓋FAT1。
2、FAT2也已經損壞的情況,我一般是隻期待找回其中某些關鍵的文件了。
我們最期待的是這些文件是連續的。如果不連續的話,也並非沒有可能,但這往往還要知道文件的一些細節,包括對一些文件本身的連接結構有了解。如果FAT2沒有完全破壞,是有一定用處的,另外,一般來說,FAT16的硬盤因為FAT表靠前破壞的比較嚴重,一般兩個FAT表都壞了,小硬盤也很難恢複了。
修複過程:
把我的硬盤摘下,掛上待恢複的的硬盤,開機,進入SETUP,檢測硬盤,把參數記下——CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。 用準備好的軟盤啟動:
A:>C:
顯示Invalid drive specification
FDISK/MBR重建主引導記錄。(這是個習慣),重新軟盤引導:(可能沒有必要)。
此時已經看的見C:硬盤。
啟動DISKEDIT,啟動過程中顯示Invalid media type reading DRIVER C,哎呀,算了,還是先用DEBUG清空分區表,,並置80和55aa標誌。
重新啟動,再運行DISKEDIT,顯示設定為READ ONLY,沒關係,把TOOLS/CONFIGURATION中的隻讀選項去掉,存盤,好了,可以編輯了。由於當時接的硬盤有多塊,我把這塊當成了是一塊隻有C分區,所以沒看別的東西,我們期待FAT2沒有損壞,以用FAT2覆蓋FAT1,在這個時候DISKEDIT要比DEBUG容易的多,在FIND OBJECT中選擇FAT,查一下起始扇區,好的,在CYL 0 SIDE68 SEC 14,0000H,F8 FF FF 0F(FAT32的),好的,FAT2沒壞。其實如果不用DISKEDIT的可以用一端小程序查,偏移0000的F8 FF FF。
由於以為隻有C分區,所以,上來就在FIND中查找IOSYS(IO和SYS中要有空格)以查找ROOT區。找到後觀察,是否有C:\下常見文件。好的,ROOT區沒被破壞。記下了該扇區的CYL 0、SIDE 68、SEC 14,備用。FAT1一般前麵已經被破壞了,但後麵應該還在,這可以作為檢查。因為是32位的,FAT1一般在CYL 0 SIDE1 SEC 33。因為有了ROOT區然後應該計算FAT表的長度了,因為FAT2到ROOT前一扇區為止,所以非常簡單。
然後可以用FAT2覆蓋FAT1,這裏用DEBUG還是DISKEDIT都可以,如果用DEBUG一般是用INT 25讀絕對扇區,再用INT 26寫入,用DISKEDIT則比較簡單。程序:(略)
然後可以恢複主引導記錄、隱含扇區和BOOT區,可以先用NDD修複分區表,其他可以考慮可以考慮用標準覆蓋法,如果你希望下一步由NORTO NUtilities來接手,這些都可以不做。我從另一台FAT32的機器上取來了相應的部分,寫了進去。我這時發現好象有一個D盤。先看一下在說吧。
好了,關機串上我的硬盤,用NORTON Utilities 4掃描C盤,文件基本恢複,對C盤殺毒,WHY,沒有發現病毒,換了2種殺毒軟件還是沒有病毒,現在顯示C盤是948M,有一個D盤,但是95下無法瀏覽,DOS下亂碼。於是打電話核實當時的情況,原來是26日那天,放進一張光盤,光驅燈亮了一會,就硬盤狂響,藍屏死機了。應該證實我的推斷一樣,是光盤的AUTORUN程序有CIH病毒。所以說沒有實時防禦能力的軟件是沒有意義的。另外,他們的硬盤確實分兩個區,而且重要文件在D區。然後在修複D盤吧,再回到DOS,用DEBUG查找結束標誌為55AA的扇區,然後根據後麵是否有FAT判定是否為擴展分區。此時可算出大小來返回修訂主分區表。當然,許多工具也可以很好的完成這一工作。如果你沒有把握,就用他們完成好了。其實我就是用自己的RE做的,否則手工做確實太麻煩。
經驗總結:
①、你不要聽信或者憑記憶想一塊硬盤該是怎麽樣的,一定要自己去看,我就是犯了這個錯誤。
②、某些軟件的修複功能確實如一些網友所講可能有一定隱患,如果銀行的電腦人員在用KV300 F10處理之前沒有備份,可能要給我找些麻煩。
我們應當看到,恢複數據要本著幾項原則。
①、 最好先備份,這也是而後我寫HD-MIRROR的原因
②、 優先搶救最關鍵的數據
③、 在穩妥的情況下先把最穩定的雞蛋撈出來,(理應先修複擴展分區,再修複C),最好修複一部分備份一部分。
④、 要先作好準備,不要忙中出錯,此間,由於我的機器沒有裝過NORTON,先解壓,習慣的敲了一個D:\TEMP,這才想起來D盤已經是人家的硬盤,文件險些解在沒有完全修好的C盤上。這種錯誤有時會經常發生。
2、 LINUX錯誤安裝帶來問題一例
委托恢複人:某信息港
硬盤情況:4.3G硬盤,分三個區,D、E中有很多重要數據。原來裝95係統,做主盤。在試圖向從盤上裝LINUX的時,誤將安裝盤符選為C,而後發現終止,此時硬盤無法自舉。軟盤啟動無法看到任何有效分區。
工具準備:
DISK1 - WIN98啟動盤(帶DEBUG)
DISK2 - DISKEDIT等工具(此盤不要寫保護)
修複思想:
修複分區表中的擴展分區,重置主分區的分區類型。
修複過程:
用軟盤啟動,FDISK/MBR清除LILO,重建代碼,用DISKEDIT調入MBR觀察,已經沒有了擴展邏輯分區的信息。80激活分區的類型已經變成83(LINUX)這時我犯了與前麵類似的錯誤,本應先修複分區信息,但我卻依然去先試圖C。而且修複C的時是否我又犯了一個致命的錯誤,那就是我算錯了C盤的大小。本來C盤是650M左右的一個分區,應當把分區類型置為06H(大DOS),而我誤算C為340M,因此我置為了04H(普通FAT16),這時我想對C做進一步修複,就把硬盤串到我的機器上,開機後C盤可見,文件似乎完好。此時我選擇用NU來自動修複它的C盤。最後的結果是,由於我選錯了分區類型,修複使C盤徹底崩潰。我重新起機後,再試圖用NU檢測C時,我的98
馬上藍屏,另一個惡果就是我決定從軟盤啟動,用DISKEDIT查看時,發現可能由於I/O參數表的損壞,DISKEDIT無法啟動了。而後,我用RE恢複分區表,但在我的方正上,RE竟然溢出,後來,我找到一台兼容機,在上麵運行RE,這才恢複了D、E兩個分區。此時,委托我恢複的朋友打來電話,說隻找到D、E就可以。我這才放心。
經驗總結:分區類型隻是一個字節,卻會帶來如此嚴重的後果。可見,修複數據必須異常慎重。
3、 NT SERVER硬盤崩潰一例
相應情況:
這是單位裏的一台NT服務器。三個NTFS分區,有重要數據在內。硬盤崩潰,不能啟動,軟盤啟動後,用NTFSDOS 不能映射任何邏輯分區。
工具準備:
DISK1 - WIN98啟動盤(帶DEBUG)
DISK2 - DISKEDIT等工具(此盤不要寫保護)
修複過程:
用DEBUG讀取主分區表,發現完全混亂。反匯編後發現為一段有邏輯意義的代碼,我當時十分緊張,以為硬盤被加密了。隻好向一個高手HIT-007求援,不料他用DEBUG看了兩下,馬上退出來,做了FDISK/MBR。我大驚失色。但重起後,硬盤竟能啟動進入NT,當然隻剩下C一個分區。而後我很容易的恢複了另外兩個分區。他對我說,你一看MBR中的內容就被嚇住了,我向後看後麵的一些係統扇區情況都是正常的。這就說明隻是MBR不正常而已。
經驗總結:數據恢複中情緒的因素很重要,無論什麽情況不能慌張,因為這可能影響到你 是否能全麵冷靜的思考。
4、 NOVELL服務器掉電問題一例:
相應情況:
這是兩年前處理過的一個問題,我當時在某證券營業部兼職做網管,開市時,一台NOVELL服務器因UPS故障突然掉電重起。當時的交易係統還是DBF數據庫,按照規程,應該運行一個全部數據庫重建索引例程。但索引中,卻有7個庫無法重建,檢查發現,是庫無法打開。
修複情況:
我恍惚記得深圳一個證券界電腦工程師對我說過,DBF文件頭在突然死機中可能會損壞。但不知細節如何。我初步判定,由於庫寫入時,先修改文件頭中的記錄總數,再寫入記錄。可能是掉電時文件頭已經修改但記錄沒有成功寫入,因此,應該是記錄數不符。但文件頭中記錄數在哪裏呢。我於是這樣處理,把這些損壞的數據庫和一個完好的數據庫COPY到本地,用FOXPRO打開看到記錄數,換算成16進製。然後查找這個HEX串,判定找到記錄數地址,(這個庫記錄數應當比較多,減少混淆的可能,否則容易找錯)。由於我不知道處理DBF的公式,隻好把損壞數據庫的記錄數每次減一,然後再用FOXPRO打開實驗。其中5個數據庫減一後就可以打開,隻有一個數據庫直到減4後才正常。全處理過程從掉電開始隻有20分鍾,基本沒有影響交易進行。
經驗總結:當出現問題,但你不知道確切的處理方法時,要充分進行分析。
5、 某財務係統數據處理一例:
相應情況:
也是我在證券公司處理的情況,某單機版財務係統,基於Clipper,當時是年初安裝,使用正常至6月份底,突然發現該月數據紊亂,與實際出入巨大。出品公司的人來看過後,聲稱需要1周處理時間和近萬元的處理費,我聽說後,建議財務部拒絕其“訛詐”,由我來處理。
分析處理過程:
由於我對財務一竅不通,我請財務經理講明了情況和一些概念,又分析了係統的大致結構。我發現本月每一筆數據都是正常的,隻是因為多了上千筆沒有發生的收支,才使匯總表發生了變化。那麽這些數據是哪裏來的,就成了問題的關鍵。在看了該軟件的初始狀態後,我似有所悟,問財務軟件初裝後並沒有的上百個“科目”是從哪裏建立的。財務經理回憶是上年底從某營業部發來的,我當時就明白了,那個營業部是上一年6月成立的,問題顯然出在該營業部提供的初始科目不為空,由於上年1-5月該營業部尚不存在,所以數據為空,而該營業部6月以後的數據則隨科目轉入了我所在營業部的財務係統。經過對當初轉入初始科目的對照,證實了我的判斷。於是,我做了一段程序,按照對應關係把相關數據從係統庫中摘除。從分析問題到問題的解決,隻用了三個小時。
經驗總結:
①、 當出現數據紊亂時,很重要一點就是找到幹擾源。
②、 數據處理絕非僅僅就是一個技術問題,特別是金融係統,一定要得到這方麵的專業人士的配合。我想如果沒有那位財務經理的信任鼓勵和讓我對會計知識的速成,問題處理就不會如此順利。
wwt4300792006-5-22, 03:36 AM
數據恢複與軟故障處理基本指南 --附表
1、 磁盤分區表
地址|說明|字節數
1BEH|分區信息1|10H
1CEH|分區信息2|10H
1DEH|分區信息3|10H
1EFH|分區信息4|10H
1FFH|結束標誌55AA|2H
2、 分區信息說明
偏移長度含義
0|字節| 激活狀態,80H:活動分區(可引導區),0H:非活動分區
1|字節|分區起始的磁頭
2|字 |分區起始的扇區和柱麵
4|字節|分區類型
5|字節|分區終止的磁頭
6|字|分區終止的扇區和柱麵
8|雙字|分區起始決對扇區
0CH|雙字|分區扇區數
3、 分區類型表(這是一個比較全的分區類型表了)
0 Empty
1 FAT12
2 XENIX root
3 XENIX usr
4 FAT16
許多人遇到BIOS中檢測不到硬盤或報錯的時候,就將其報廢。其實,如果開機後,硬盤在自檢時能聽到磁盤旋轉的聲音,估計主電機和控製電路板均無故障,還是有挽回餘地的。需要注意的是,硬盤是一種精密的器件,很脆弱,維修前應先將雙手洗淨,釋放掉人體殘存的靜電再進行操作。
無法找到硬盤的情況
對於出現“HDD Not Detected”錯誤提示的硬盤,首先檢查硬盤外部數據信號線的接口是否有變形,接口焊點是否存在虛焊。排除以上的可能後,取下硬盤後蓋,露出電路控製板。擰下控製板上的固定螺絲,將控製板與硬盤主體分離。這時可以看見硬盤主體的兩排彈簧片。一排作為主電機的電源,另一排作為硬盤主體的磁頭機械臂驅動線圈電源以及硬盤主體與電路控製板間數據傳輸接口。對於無特殊封裝的硬盤,往往可以看見彈簧片與控製電路板對應部位均有灰塵。用脫脂棉蘸無水酒精清潔,對彈簧片變形的部位校形,並除去氧化層,一般情況下均可恢複正常。
如果以上處理無效,那就得打開硬盤主體。選擇一個灰塵很少的環境,擰開硬盤前蓋的螺絲(有的是用膠粘 牢)。取下硬盤的前蓋,這時就可清楚地看到盤麵。首先用數字萬用表檢測磁頭機械臂驅動線圈是否斷路。該線圈的正常阻值為20Ω左右。其次檢測磁頭上的連線是否斷開。每張盤麵的兩側均有一個磁頭,每個磁頭均有兩根連線接到磁頭機械臂上的集成芯片上。該芯片常見的型號為H1710Q,作用是將磁信號轉變為電信號,再送到電路控製板處理。磁頭阻值應在23Ω~26Ω之間。若磁頭阻值較大,說明磁頭損壞。磁頭連線與芯片H1710Q相連,H1710Q對應腳阻值應在1.7kΩ左右,若在1.2kΩ以下說明該芯片已被擊穿,可與排線一起更換。
若磁頭上的連線斷路,可用直徑0.2mm的優質漆包線取代。一端壓在磁頭的金屬彈片上,另一端焊在H1710Q相應的腳上。注意將漆包線卡在機械臂相應的卡槽內,並用少許502膠水固定,防止硬盤轉動時與漆包線相摩擦。將硬盤各部分複原後,最後用702矽膠將硬盤周圍封死,防止灰塵進入。由於磁頭體積很小,不易將漆包線卡在上麵,最好在放大鏡下操作。這時千萬不可用力過猛,否則會造成磁頭損壞,所以要小心加小心。經這樣修複開機後硬盤可恢複正常。
提示硬盤出錯的情況
對於出現提示“HDD Controller Error”錯誤的硬盤,大都是由於某種原因造成硬盤主引導記錄(MBR)上文件受損。MBR位於0磁頭/0柱麵/1扇區上,由Fdisk.exe對硬盤分區時生成。若MBR受損,微機會提示HDD Controller Error,實際上是零磁道上文件損壞,這時格式化是解決不了問題的,必須用專用軟件來處理。首先用係統盤在A盤啟動後,運行Scandisk命令檢查C盤。
若零磁道未損壞,隻需用Norton8.0將該磁道上的文件修複即可。具體做法為:找一台內置硬盤與待修硬盤型號規格完全相同且裝有Norton8.0版軟件的電腦,將待修硬盤與硬盤電源線相連接,但硬盤信號線不接,跳線不變。①開機後運行Disk Edit命令,從菜單Tools中點取CONFIGURATION項,將Read Only項取消;②從下拉菜單O-biect中選取Driver項,將Hard Disk類型設置為Physical Disk,點擊OK項確定;③從Ob-ject菜單中選取Partition Table項,將接在完好硬盤上的信號線拔下,接到待修硬盤上,點擊OK項確定;④選擇Hard Disk1點擊OK項確定,再從Write Ob-ject to Physical Sectors對話框中將Cylinder、Side、Sector分別設置成0、0、1點擊OK項確定。當出現Warning對話框時選Yes項。退出Norton軟件,這樣就將硬盤的主引導信息恢複。重啟後硬盤恢複正常,原硬盤內的文件也不會丟失。
若零磁道損壞的硬盤,先仍按上述步驟用Norton8.0軟件處理,隻是到了第三步時,將Cylinder、Side、Sector分別設置成1、0、1點擊OK項確定。當出現Warning對話框時選Yes項。退出Norton軟件,重新啟動計算機,在BIOS設置硬盤自動檢測一欄中可以看到,CYLS數值減少了1個。如原來CYLS為2112,則變為2111。說明原硬盤分區表是從C盤的0柱麵開始,現從1柱麵開始。保存BIOS設置後退出。重新分區、格式化後硬盤恢複正常。另有一些硬盤,自檢時提示“HDD Controller Error”。采用以上方法處理無效,隻能報廢。Game Over!!!
wwt4300792006-5-22, 03:37 AM
硬盤診斷步驟
是否丟失了硬盤配置信息。測量>主板上COMS RAM電路是否為電池有故障,或元器件(如二極管、三極管、電阻、電容等)損壞能原因而CMOS中的硬盤配置參數出錯。
②通過加電自測,若屏幕顯示錯誤信息 “1701”或 “Hard Disk Error”,說明硬盤確實有故障。但也可能是硬盤適配卡未插好、或者硬盤與硬盤適配器的插接處未插好、或者硬盤適配器有故障等。
③關機,拆開機蓋,測+5V、+12V電源是否正常,電源盒風機是否轉動。以此來判斷是否外電路缺電。
④檢查信號電纜線,插頭與硬盤適配卡是否插好,有無插反或接觸不良。可嚐試交換一些電纜插頭試一下。
⑤采用“替代法”來確定故障部件。找一塊好硬盤適配卡(或多功能卡)與該硬盤適配卡比較,判斷是硬盤適配卡還是硬盤驅動器本身有問題。
⑥觀察步進電機端止檔銷是否卡死,如卡死,用手撥回起始位置。
以上幾個步驟,用戶需要仔細檢查、測試、分析,找出壞的元器件進行修理,或者更換硬盤適配卡。
經以上的處理後,隻要不是硬盤盤體本身損壞,僅僅是一般性的接插件的接觸不良或外電路故障則多數能夠迅速排除。
②測電阻法
該測量方法一般是用萬用表的電阻檔測量部件或元件的內阻,根據其阻值的大小或通斷情況,分析電路中的故障原因。一般元器件或部件的輸入引腳和輸出引腳對地或對電源都有一定的內阻,用普通萬用表測量,有很多情況都會出現正抽電阻小,反向電阻大的情況。一般正向阻值在幾十歐姆至100歐姆左右,而反向電阻多在數百歐姆以上。但正向電阻決不會等於0或接近0,反向電阻也不會無窮大,否則就應懷疑管腳是否有短路或開路的情況。當斷定硬盤子係統的故障是在某一板卡或幾塊芯片時,則可用電阻法進行查找。關機停電,然後測量器件或板卡的通斷、開路短路、阻值大小等,以此來判斷故障點。若測量硬盤的步進電機繞組的直流電阻為24歐,則符合標稱值為正常; 10歐左右為局部短路; 0歐或幾歐為繞組短路燒毀。
硬盤驅動器的扁平電纜信號線常用通斷法進行測量。硬盤的電源線既可拔下單測也可在線並測其對地阻;如果無窮大,則為斷路;如果阻值小於10歐,則應懷疑局部
1、 硬盤故障分析與處理步驟下麵僅簡要介紹物理故障的分析與一般的處理步驟:短路,需做進一步的檢查。
③測電壓法
該測量方法是在加是怕情況下,用萬用表測量部件或元件的各管腳之間對地的電壓大小,並將其與邏輯圖或其它參考點的政黨電壓值進行比較。若電壓值與正常參考值之間相差較大,則青蛙該部件或元件有故障;若電壓正常,說明該部分完好,可轉入對其它部件或元件的測試。一般硬盤電源與軟盤插線一樣,四個線頭分別為+12V、+5V、-5V和地線。硬盤步進電機額定電壓為+12V。硬盤啟動時電流大,當電源穩壓不良時(電壓從12V下降到10.5V),會造成轉速不穩或啟動困難。Ⅰ/O通道係統板擴展槽上的電源電壓為+12V、-12V、+5V和-5V。板上信號電壓的高電平應大於2.5V,低電平應小於0.5V。硬盤驅動器插頭、插座按照引腳的排列都有一份電壓表,高電平在2.5-3.0V之間。若高電平輸出小於3V,低電平輸出大於0.6V即為故障電平。邏輯是怦的測量可用試波器測量或者用邏輯筆估算。
④測電流法
如果有局部短路現象,則短路元件會升溫發熱並可能引起保險絲熔斷。將萬用表串入故障線路,核對電流是否超過正常值。硬盤驅動器適配卡上的芯片短路會導致係統析負載電流加大,驅動電機短路或驅動器短路會導致主機電源故障。硬盤電源+12V的工作電流應為1.1A左右。當硬盤驅動器負載電流加大時,會使硬盤啟動時好時壞。電機短路或負載過流輕則保險熔斷,重則導致電源塊、開關調整管損壞。在加大電流回路中可串入流假負載進行測量。如有保險的線路,則可斷開保險管一頭將表串入進行測量。在印刷板上的某芯片的電源線,可用刻刀或鋼鋸條割斷銅泊引線串入萬用表測量。電機插頭、電源插頭可從卡口裏將電源線起出來串入表測量。
目錄
一.數據恢複基礎知識
1.硬盤數據結構
2.硬盤分區方式
3.數據存儲原理
4.係統啟動流程
二、硬盤數據恢複方案分析
1.文件與刪除
1)、解決方案
2)、不可恢複的情況
2.分區表破壞
3.全盤崩潰和分區丟失
4.文件丟失、誤格式化的情況
5.文件損壞
6.硬盤被加密或變換
7.文件加密後密碼遺忘
8.係統用戶密碼遺忘的處理
三.數據備份介紹
1、麽東西最該備份
2、備份到哪裏
硬盤數據恢複實例全解 之一
1)解決方案
2)不可恢複的情況
3)破壞原因及恢複可行性分析
硬盤數據恢複實例全解 之二
1)解決方案
2)不可恢複的情況
3)破壞原因及恢複可行性分析
硬盤數據恢複實例全解 之三
1)解決方案
2)不可恢複的情況
3)破壞原因及恢複可行性分析
硬盤數據恢複實例全解 之四
1)兩點建議
2)解決方案
3)實戰操作
硬盤數據恢複實例全解 之五
1)FAT分區的恢複
2)NTFS的恢複
3)分區格式化的恢複
硬盤數據恢複實例全解 之六
硬盤數據恢複實例全解 之七
硬盤數據恢複實例全解
數據恢複與軟故障處理基本指南 第一篇
第一篇、廣義的數據恢複
數據丟失的各種邏輯現象
數據恢複與軟故障處理基本指南 第二篇
第二篇、數據恢複的準備知識
數據恢複與軟故障處理基本指南 第三篇
第三章、數據恢複基本攻略
數據恢複與軟故障處理基本指南 第四篇
第四章、恢複實例
硬盤維修秘籍
無法找到硬盤的情況
提示硬盤出錯的情況
硬盤診斷步驟
硬盤盤故障判斷流程
一、數據恢複基礎知識
說到數據恢複,我們就不能不提到硬盤的數據結構、文件的存儲原理,甚至操作係統的啟動流程,這些是你在恢硬盤數據時不得不利用的基本知識。即使你不需要恢複數據,理解了這些知識(即使隻是稍微多知道一些),對於你平時的電腦操作和應用也是很有幫助的。
我們就從硬盤的數據結構談起吧……
1、硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然後再安裝上操作係統才可以使用。就拿我們一直沿用到現在的Win9x/Me係列來說,我們一般要將硬盤分成主引導扇區、操作係統引導扇區、FAT、DIR和Data等五部分(其中隻有主引導扇區是唯一的,其它的隨你的分區數的增加而增加)。
主引導扇區:主引導扇區位於整個硬盤的0磁道0柱麵1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區,並在程序結束時把該分區的啟動程序(也就是操作係統引導扇區)調入內存加以執行。至於分區表,很多人都知道,以80H或00H為開始標誌,以55AAH為結束標誌,共64字節,位於本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS的Fdisk.exe)產生的,不同的操作係統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,隻要它能完成前述的任務即可,這也是為什麽能實現多係統啟動的原因(說句題外話:正因為這個主引導記錄容易編寫,所以才出現了很多的引導區病毒)。
操作係統引導扇區: OBR(OS Boot Record)即操作係統引導扇區,通常位於硬盤的0磁道1柱麵1扇區(這是對於DOS來說的,對於那些以多重引導方式啟動的係統則位於相應的主分區/擴展分區的第一個扇區),是操作係統可直接訪問的第一個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作係統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作係統的引導文件(例如MSDOS或者起源於MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一個文件讀入內存,並把控製權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x係統的文件尋址係統,為了數據安全起見,FAT一般做兩個,第二FAT為第一FAT的備份, FAT區緊接在OBR之後,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式曆來有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外並非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之後,隻有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作係統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之後,才是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然占據了硬盤的絕大部分空間,但沒有了前麵的各部分,它對於我們來說,也隻能是一些枯燥的二進製代碼,沒有任何意義。在這裏有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),並沒有把DATA區的數據清除,隻是重寫了FAT表而已,至於分區硬盤,也隻是修改了MBR和OBR,絕大部分的DATA區的數據並沒有被改變,這也是許多硬盤數據能夠得以修複的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那麽你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),隻要找到一個文件的起始保存位置,那麽這個文件就有可能被恢複(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位於硬盤的最前麵一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較複雜,也是造成分區和邏輯磁盤混淆的主要原因。由於硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作係統隻允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則係統最多隻允許4個邏輯磁盤。對於具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作係統使用,係統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論係統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由於主分區之後的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢複,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……文件的讀取操作係統從目錄區中讀取文件信息(包括文件名、後綴名、文件大小、修改日期和文件在數據區保存的第一個簇的簇號),我們這裏假設第一個簇號是0023。操作係統從0023簇讀取相應的數據,然後再找到FAT的0023單元,如果內容是文件結束標誌(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重複下去直到遇到文件結束標誌。
文件的寫入
當我們要保存文件時,操作係統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然後在Data區找到閑置空間將文件保存,並將Data區的第一個簇寫入DIR區,其餘的動作和上邊的讀取動作差不多。
文件的刪除
看了前麵的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到隻在目錄區做了一點小改動——將目錄區的文件的第一個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候並沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者隻是改變了分區表,後者隻是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢複……
係統啟動流程
各種不同的操作係統啟動流程不盡相同,我們這裏以Win9x/DOS的啟動流程為例。
第一階段:係統加電自檢POST過程。POST是(Power On Self Test)的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這裏是一段固化的ROM程序),對係統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常並與CMOS設置相符後,按照CMOS設置從相應設備啟動(我們這裏假設從硬盤啟動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄後,如果主引導記錄和分區表校驗正確,則執行主引導記錄並進一步讀取DOS引導記錄(位於每一個主分區的第一個扇區),然後執行該DOS引導記錄。
第四階段:裝載係統隱含文件。將DOS係統的隱含文件IO.SYS入內存,加載基本的文件係統FAT,這時候一般會出現Starting Windows 9x...的標誌,IO.SYS將MS.SYS讀入內存,並處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。係統隱含文件裝載完成,微機將執行係統隱含文件,並執行係統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。係統裝載命令管理程序,以便對係統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行,至此啟動完畢。
數據恢複的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢複你丟失的數據簡直是輕而易舉,這裏就不再多說,我們走入真正的實戰操作吧……
二、
硬盤數據恢複方案分析
難道在硬盤數據由於各種原因被破壞後,我們就隻能……?
當然,我們最大的期望還是——你永遠不要用到下麵的方法!因為再完備的事後解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在於防患於未然。
1、文件語刪除
A、症狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件後清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢複的,下麵就根據不同的操作係統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢複,這應該是大部分恢複類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢複被誤刪除的文件——其實很多東西並不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢複在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它隻能在WinNT/2000係統下使用(同時必須以Administrator用戶登錄係統),而且隻對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢複,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger隻可以對格式化過的分區中的文件進行恢複,並不能恢複整個被格式化過的分區)。
C、不可恢複的情況
如果文件在刪除之後,其存儲的磁盤空間進行過寫操作,那在通常情況下恢複的幾率為0。因此,誤刪除文件可以恢複的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞、症狀現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的症狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
2)、解決方案
由於病毒破壞硬盤數據的方法各異,恢複的方案就需要對症下藥。一般以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。當用戶的硬盤數據一旦被CIH病毒破壞後,使用KV3000的F10功能,可修複的程度如下:
1.C盤容量為2.1G以上,原FAT表是32位的,C分區的修複率為98%,D、E、F等分區的修複率為99%, 配合手工C、D、E、F等分區的修複率為100%。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修複率為0%,D、E、F等分區的修複率為99%,配合手工D、E、F盤的修複率為100%。因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修複軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。但對於FAT16的C盤是不是中了CIH就沒救呢?你還是可以嚐試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,並重新構造主引導扇區。由於軟件隻修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修複得不理想,請DiskEdit等工具進行手工修複)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢複的情況
由於病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢複(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火牆絕對是有必要的)
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢複可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,隻要沒有進行其它的操作完全可以恢複。
2).安裝多係統引導軟件或者采用第三方分區工具,有恢複的可能性。
3).病毒破壞,可以部分或者全部恢複。
4).利用Ghost克隆分區硬盤破壞,隻可以部分恢複或者不能恢複(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility係列工具中,功能十分強大,可以恢複分區記錄、FAT表,需要注意的是它對硬盤的操作不是隻讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢複,Norton Disk Doctor配合DiskEdit在分區表不能恢複時也可以恢複部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……最專業的數據恢複公司出的軟件,當然很有專業風範,EasyRecovery支持的文件係統格式很多FAT、NTFS都支持,並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬盤意外被格式化都可安全的恢複,你所要做的就是將數據損壞硬盤掛到另外一台電腦上,盡情恢複就是了,不過EasyRecovery對於中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。由出品PartitionMagic的PowerQuest公司所出的,硬盤資料複原工具。它是一套恢複硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出並恢複,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢複回來的資料能選擇在原來所在位置恢複或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和係統配置文件的功能,能在任何時間恢複)
2、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和後麵是否有FAT等情況判定是否為分區表,最後計算填回主分區表,由於需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修複。如果在FAT表徹底崩潰,恢複某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件為文本,文件中包含“軟件狗”,那麽我們就要把它們轉換為內碼C ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改為E5H,而並不破壞文件本身,因此可以恢複。但對不連續文件要恢複文件鏈,而由於手工交叉恢複對一般計算機用戶來說並不容易,這裏就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢複的利器。但是應特別注意,千萬不要在發現文件丟失後,在本機安裝什麽恢複工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢複或把硬盤串接到其它有恢複工具的機器處理。
4、文件損壞
一般的說,恢複損壞文件須要清楚地了解文件的結構,但這並不是很容易的事情,而這方麵的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
5、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對於那些加密硬盤數據的病毒,清除時一定要選擇能恢複加密數據的可靠殺毒軟件。
6、文件加密後密碼遺忘
對於很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密後與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有後門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮誌宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
7、係統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件係統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,後者時間長,但保全了所有用戶信息。對UNIX係統,建議你一定先做一張應急盤。
wwt4300792006-5-22, 03:28 AM
二、數據備份介紹
雖然數據恢複技術可能將你的損失降到最低,但是,誰願意在惶恐不安中,邊祈禱邊按下各類數據恢複軟件的“Recover”按鈕?也沒有人喜歡麵對滿屏的16進製代碼,帶著僥幸的心理調整硬盤分區表Data區的信息;所以,最好的數據保全方法應該是防患於未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你唯一的救命稻草。
1、麽東西最該備份
決定如何備份前,應先考慮備份什麽。硬盤裏有三種東西:數據、應用程序和操作係統。你可備份硬盤中的所有東西,也可隻備份數據。進行完整的備份是最簡單的方法,至少從恢複的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作係統和應用程序;而是很快就可恢複運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。另一個方法是隻備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書簽(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關於配置設置、收藏夾和cookie的注冊表信息。在Windows 95或98中,這些文件分布在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪裏
對於一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以為將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、木馬都很容易將你的整個硬盤數據毀於一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
wwt4300792006-5-22, 03:29 AM
從現在開始,凡是發布任何版本的“GhostXP_SP2 電腦公司特別版”下載和安裝信息的,一律按照發布病毒和木馬處理!
--------------------------------------------------------------------------------
硬盤數據恢複實例全解 之一
硬盤數據恢複實例全解 之一
難道在硬盤數據由於各種原因被破壞後,我們就隻能自怨自艾?
這篇實例全解,就是希望在不幸的情況發生的時候,讀者能夠快速找到對應的解決方案,不至於讓自己辛勤勞動成果白費。
當然,我們最大的期望還是——你永遠不要用到下麵的方法!因為再完備的事後解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在於防患於未然。
文件被刪除
一、症狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件後清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
二、解決方案
既然是最常見的數據損壞,當然也就是最容易恢複的,下麵就根據不同的操作係統給出相應的解決方案。
1.Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢複,這應該是大部分恢複類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢複被誤刪除的文件——其實很多東西並不是一味求大求全就好,夠用已足夠,簡單就是美。
廢話少說,我們需要先從Recover4all的主站點(
http://www.recover4all.com
)下載R4a.exe,這是一個自解壓文件,你可以把其中的文件解壓到軟盤或硬盤的一個目錄下(默認就是解壓到軟盤)。運行其中的rec4all.exe,會看見一個注冊窗口,點擊其中“To star the progam click”的按鈕就能夠進行試用(未注冊版本隻能恢複10KB以內的文件)。程序的主窗口下圖所示,這是一個類似於“資源管理器”的窗口;你可以通過點擊主菜單下方的盤符按鈕來掃描相應分區下的被刪除文件,然後在右邊的窗口中選擇需要恢複的文件,再點擊主菜單下方的“Recover”按鈕,並在新彈出的窗口中選擇恢複文件的存放位置即可——Win9x/Me下的誤刪除文件恢複就這麽簡單。
wwt4300792006-5-22, 03:30 AM
硬盤數據恢複實例全解 之二
2.WinNT/2000下的解決方案
說法,也就是如何恢複在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger(
http://www.quetek.com/
)完全就可以勝任。當然,File Scavenger是很具有針對性的——它隻能在WinNT/2000係統下使用(同時必須以Administrator用戶登錄係統),而且隻對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢複,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger隻可以對格式化過的分區中的文件進行恢複,並不能恢複整個被格式化過的分區)。
File Scavenger目前有兩種版本:硬盤安裝版和軟盤版(其下載的地址分別為:
http://www.quetek.com/32fs140.exe
和
http://www.quetek.com/32fs140f.exe
)。硬盤版的安裝和一般軟件類似,唯一需要注意的是——使用File Scavenger恢複文件的最安全方法就是在文件已經被刪除之後安裝File Scavenger(當然你不要將軟件安裝在刪除文件所在的分區)。因為File Scavenger的功能比較單一,其執行文件加上所需的庫文件一張1.44MB的軟盤也可以裝下,所以軟盤版也許是大家使用得比較多的(你要把軟盤版直接放在硬盤的一個目錄下也照常可以使用)。下麵的實例,我們就用軟盤版來說明。
一個非重要的文件Veryimportant.txt被誤刪除且清空了回收站;還好,你看過本篇“實例分析”而且也在軟盤或硬盤上準備好了File Scavenger。OK,現在你運行其中的filescav.exe,你將會看見如下圖的窗口。注意:其中的“搜索條件”可有多種格式(例如,*.doc、*、\data\*.txt等),根據你自己的需要填寫最方便查找的;Exhaustive Sear複選框選擇後會讓你指定搜尋分區的簇大小以及搜索簇的範圍,而指定之後File Scavenger會搜尋並顯示所有存在的文件名稱,不管是被刪除的還是沒有,因此沒有特殊需要還是不用為好;在搜索結果窗口中可以通過點擊“Filename”、“Size”、“Modified”等來為搜索結果排序,以方便尋找。
現在我們已經找到了Veryimportant.txt,選擇它並點擊“Recover”按鈕,如果文件能夠被恢複,你就可以在先前指定的恢複文件存儲路徑中找到它(如果你是第一次使用File Scavenger,之前還會有一個窗口提醒你注冊,如果不注冊,你將隻能恢複4KB以內的文件)。現在,還有什麽可擔心的? 硬盤數據恢複實例全解 之二
2.WinNT/2000下的解決方案
說法,也就是如何恢複在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger(
http://www.quetek.com/
)完全就可以勝任。當然,File Scavenger是很具有針對性的——它隻能在WinNT/2000係統下使用(同時必須以Administrator用戶登錄係統),而且隻對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢複,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger隻可以對格式化過的分區中的文件進行恢複,並不能恢複整個被格式化過的分區)。
File Scavenger目前有兩種版本:硬盤安裝版和軟盤版(其下載的地址分別為:
http://www.quetek.com/32fs140.exe
和
http://www.quetek.com/32fs140f.exe
)。硬盤版的安裝和一般軟件類似,唯一需要注意的是——使用File Scavenger恢複文件的最安全方法就是在文件已經被刪除之後安裝File Scavenger(當然你不要將軟件安裝在刪除文件所在的分區)。因為File Scavenger的功能比較單一,其執行文件加上所需的庫文件一張1.44MB的軟盤也可以裝下,所以軟盤版也許是大家使用得比較多的(你要把軟盤版直接放在硬盤的一個目錄下也照常可以使用)。下麵的實例,我們就用軟盤版來說明。
一個非重要的文件Veryimportant.txt被誤刪除且清空了回收站;還好,你看過本篇“實例分析”而且也在軟盤或硬盤上準備好了File Scavenger。OK,現在你運行其中的filescav.exe,你將會看見如下圖的窗口。注意:其中的“搜索條件”可有多種格式(例如,*.doc、*、\data\*.txt等),根據你自己的需要填寫最方便查找的;Exhaustive Sear複選框選擇後會讓你指定搜尋分區的簇大小以及搜索簇的範圍,而指定之後File Scavenger會搜尋並顯示所有存在的文件名稱,不管是被刪除的還是沒有,因此沒有特殊需要還是不用為好;在搜索結果窗口中可以通過點擊“Filename”、“Size”、“Modified”等來為搜索結果排序,以方便尋找。
現在我們已經找到了Veryimportant.txt,選擇它並點擊“Recover”按鈕,如果文件能夠被恢複,你就可以在先前指定的恢複文件存儲路徑中找到它(如果你是第一次使用File Scavenger,之前還會有一個窗口提醒你注冊,如果不注冊,你將隻能恢複4KB以內的文件)。現在,還有什麽可擔心的?
wwt4300792006-5-22, 03:30 AM
三、不可恢複的情況
如果文件在刪除之後,其存儲的磁盤空間進行過寫操作,那在通常情況下恢複的幾率為0。因此,誤刪除文件可以恢複的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
一、症狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的症狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
硬盤數據恢複實例全解 之三
二、解決方案
由於病毒破壞硬盤數據的方法各異,恢複的方案就需要對症下藥。這裏就以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞後,使用KV3000的F10功能,可修複的程度如下:
1.C盤容量為2.1G以上, 原FAT表是32位的,C分區的修複率為98%,D、E、F等分區的修複率為99%, 配合手工C、D、E、F等分區的修複率為100%。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修複率為0%,D、E、F等分區的修複率為99%, 配合手工D、E、F盤的修複率為100%。
因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修複軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來(需要了解這個軟件的朋友可以訪問Ontrack公司的主頁
http://www.ontrack.com
……是不是在這個網站上找不到有關TIRAMISU的內容?嗬嗬,其實現在TIRAMISU已經被整合到Ontrack公司的旗艦產品——EasyRecovery中。相關的詳細介紹可以參照本文的下一部分“分區表破壞”),如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對於FAT16的C盤是不是中了CIH就沒救呢?你還是可以嚐試一下FIXMBR(
ftp://www.newhua.com/fixmbr102a.zip
),它可以通過全盤搜索,決定硬盤分區,並重新構造主引導扇區。由於軟件隻修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修複得不理想,請DiskEdit等工具進行手工修複)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
三、不可恢複的情況
由於病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢複(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火牆絕對是有必要的)!
分區表破壞
“天有不測風雲,人有旦夕禍福”,這句話可真沒有說錯,在用電腦的幾年時間內,分區表破壞的情形也經曆了好幾次。想起當初的手足無措,到後來的才敢下手,一直到現在還是戰戰兢兢,不過所謂的“愚者千慮,必有一得”,經過這麽長時間的折磨,也終於給我摸出來一絲門路,不敢獨享,希望和遇到有困境的朋友們共享,也希望大家和我多交流(E-mail:clinuxer@yeah.net)……
一、破壞原因及恢複可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1.個人誤操作刪除分區,隻要沒有進行其它的操作完全可以恢複。
2.安裝多係統引導軟件或者采用第三方分區工具,有恢複的可能性。
3.病毒破壞,可以部分或者全部恢複。
4.利用Ghost克隆分區/硬盤破壞,隻可以部分恢複或者不能恢複(用Ghost的朋友要小心了)。
wwt4300792006-5-22, 03:31 AM
硬盤數據恢複實例全解 之四
二、兩點建議
據國外的一個專業數據修複公司調查,數據損壞以後很大程度上是可以恢複的,之所以有很多不能恢複的實例存在,90%以上是由於用戶在後來的恢複過程中有誤操作,從而造成了更大的破壞。所以希望朋友們牢記以下兩點:
1.在硬盤數據出現丟失後,請立即關機,不要再對硬盤進行任何寫操作,那樣會增大修複的難度,也影響到修複的成功率.
你的每一步操作都應該是可逆的(就像Norton Disk Doctor中的Undo功能)或者對故障硬盤是隻讀的(大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理)。
三、解決方案
這個軟件包含在Norton Utility係列工具中,功能十分強大,可以恢複分區記錄、FAT表,需要注意的是它對硬盤的操作不是隻讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢複,Norton Disk Doctor配合DiskEdit在分區表不能恢複時也可以恢複部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢複公司出的軟件,當然很有專業風範,EasyRecovery支持的文件係統格式很多FAT、NTFS都支持,並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬盤意外被格式化都可安全的恢複,你所要做的就是將數據損壞硬盤掛到另外一台電腦上,盡情恢複就是了,不過EasyRecovery對於中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。由出品PartitionMagic的PowerQuest公司所出的,硬盤資料複原工具。它是一套恢複硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出並恢複,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢複回來的資料能選擇在原來所在位置恢複或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和係統配置文件的功能,能在任何時間恢複)。要注意的一點是,盡量用一個很大的硬盤來裝恢複的數據(最好掛雙硬盤),如果目標盤的容量小於源盤的容量,下場會很慘!不過Lost&Found卻是基於DOS的一種軟件,這在“瘟到死”橫行的今天,市場隻有越來越小!
四、實戰操作
硬盤數據恢複實例全解
我的硬盤為IBM 9.44GB硬盤,分區情況如下:
一天被朋友用Win2000自帶的磁盤管理工具將所有分區完全刪除,並且刪除之後沒有進行任何操作。恢複工具的選擇上,因為四個分區三個是FAT16,一個是NTFS,我決定首先用Norton Disk Doctor恢複三個FAT16分區,不過由於Norton Disk Doctor不支持NTFS,故采用支持NTFS的EasyRecovery。
1.FAT分區的恢複
打開Norton Utility中的Norton Disk Doctor,NDD會自動為你檢測硬盤分區情況,當檢測到測盤2的分區表有問題時,跳出一個提示窗口,詢問是否在訪問磁盤2的過程中遇到麻煩,按下“Yes”按鈕。
接下來的彈出窗口中提示Norton Disk Doctor沒有在磁盤2上發現任何DOS分區,是否要Norton Disk Doctor搜索並重建DOS分區,當然選擇“Yes”(是)。
很快又一個“Partition Search”(分區搜索窗口)彈出,提示找到一個2039MB的DOS分區,是不是要恢複,當然是“Yes”。
在接下來的詢問是否搜索更多的DOS分區窗口中選擇“Yes”,又發現一個DOS分區,一直回答“Yes”直到Norton Disk Doctor找到3個DOS分區,由於NTFS分區Norton Disk Doctor不支持,所以在找到3個分區後,如果磁盤搜索程序詢問你是否搜索更多的DOS分區時,選擇“No”,重新啟動計算機,發現丟失的三個FAT分區完全恢複,並且WinMe仍可正常啟動。
2.NTFS的恢複
NTFS分區的恢複我們是使用EasyRecovery來實現的,打開EasyRecovery,按下“Next”(下一步)進入磁盤選擇窗口,選中我的IBM-DTTA-351010下的“Unknown File System Type(4.43GB)”,按下“Next”。
在接下來的窗口中你可以設置該分區的起始扇區號(Start Sector)和中止扇區號(End Sector),不用管它,按下“Next”繼續。
現在到了選擇分區文件格式窗口,在“File system Type”的下拉式菜單中選擇“NTFS”(我這裏的分區格式是NTFS,你應該選擇和你的條件相符的,如果實在不知道分區格式也可以選擇“RAW”進行全盤搜索),搜索方式選擇“Typical Scan”(特定搜索)就可以了,按下“Next”/“Next”。
硬盤一陣轟隆隆的狂響之後,搜索結果終於出現在我們麵前,將你需要恢複的文件前麵打上鉤,然後在下邊的Destination中輸入你恢複文件的目的路徑,按下“Next”恢複吧……
3.分區格式化的恢複
分區格式化之後,隻要其中沒有寫入任何文件,理論上我們仍然可以恢複。工具嗎?當然還是EasyRecovery了,不過需要說明一點的是:由於格式化程序將根目錄完全破壞所以用EasyRecovery恢複以後,你會看到一些DIR0、DIR1等目錄(不過目錄中的文件名還是完整的)! 啟動故障
我等電腦用家,如果某一天硬盤不能啟動,輕則使你陷入手忙腳亂之中,重則丟失重要資料,我們這裏從硬盤啟動的整個曆程來為你詳解每個階段可能出現的問題以及應該采取的措施,解決你的手足無措之苦……
wwt4300792006-5-22, 03:32 AM
硬盤數據恢複實例全解 之六
一、出錯信息:“Non System disk or disk error, Replace and strike any key when ready”,用軟盤啟動後,在A:\>後鍵入C:,屏幕顯示:“Invalid drive specification”,係統不認硬盤。
故障分析:造成該故障的原因一般是CMOS中的硬盤設置參數丟失或硬盤類型設置錯誤造成的。
解決方案:進入CMOS,檢查硬盤設置參數是否丟失或硬盤類型設置是否錯誤,如果確是該種故障,隻需將硬盤設置參數恢複或修改過來即可。具體修改方式:進入CMOS設置,選擇“HDD AUTO DETECTION”(硬盤自動檢測)選項,即可自動檢測出硬盤類型參數(由不同的BIOS而定,有的BIOS中可能是“IDE AUTO DETECTION”,隻需針對自己的選項修改就是了)。若無此項,並且也沒有備份的CMOS,你就隻好打開機箱,查看硬盤表麵標簽上的硬盤參數,然後依樣修改了。
二、出錯信息:開機後,屏幕上顯示:“Invalid partition table”,硬盤不能啟動,若從軟盤啟動則認C盤。
故障分析:造成該故障的原因一般是硬盤主引導記錄中的分區表有錯誤,當指定了多個活動分區(隻能有一個活動分區)或病毒占用了分區表時,將有上述提示。
主引導扇區位於0磁頭0柱麵1扇區,由Fdisk.exe對硬盤分區時生成。主引導扇區包括主引導程序(MBR)、分區表(DPT)和結束標誌55AA三部分,共占一個扇區。主引導程序中含有檢查硬盤分區表的程序代碼和出錯信息、出錯處理等內容。當硬盤啟動時,主引導程序將檢查分區表中的活動標誌。若某個分區為可活動分區(Active),則有分區標誌80H,否則為00H,並且對於DOS等操作係統隻能有一個分區為活動分區,若分區表中含有多個活動標誌時,主引導程序會給出“Invalid partition table”的錯誤提示。
解決方案:解決方法很多:最簡單的就是使用NDD來修複(由於不能進入Windows,我們當然使用的是DOS版本的NDD),它將自動為你檢查分區表錯誤,並加以修複。需要注意的是,因為分區表破壞有很多種方式,因此我們需要在對分區表改動之前首先備份主引導扇區,這樣即使恢複錯誤,我們也能返回錯誤之前的位置重新再來。
三、出錯信息:係統自檢正常,可自檢之後隻顯示一行“Operation system not found”出錯信息就不再引導,但是用軟盤啟動計算機後,可以看到硬盤上的任何內容。
故障分析:這種問題一般是由於MBR在檢查活動分區的時候出現的,和我們上一問題的出錯比較類似,所不同的是一個是分區表中活動分區標誌過多,而本例中是沒有活動分區造成的。
解決方案:用軟盤啟動計算機,然後執行分區程序Fdisk.exe,按下“2”來選擇活動分區(Set active partition)。
在接下來的選擇活動分區窗口中,選擇你自己想要啟動的分區,我這裏選擇的是“1”——Primary DOS(主DOS分區),對應於我的DOS/Windows下的C:盤。
wwt4300792006-5-22, 03:32 AM
硬盤數據恢複實例全解 之七
四、出錯信息:主機加點自檢,自檢完畢,硬盤指示燈閃亮,屏幕出現:“Operting system not found”錯誤信息,硬盤啟動失敗。用軟盤啟動成功,試圖進故硬盤時,出現:“Invalid drive Specification”錯誤信息。
故障分析:用Norton DiskEdit看磁盤的物理0扇區,發現分區結束標誌55AA被破壞。
解決方案:這種問題我們也利用NDD來加以修複,如果你沒有NDD,也可以采用相應的磁盤編輯工具,直接將物理0扇區的最後兩個字符改為16進製的55AA就可以了。
五、出錯信息:開機屏幕顯示“Operting system not found”,用Win98啟動以後有三條出錯信息,在DOS下不能看到任何分區,用DiskEdit查看主引導扇區,發現已經被完全破壞。
故障分析:這種問題應該是分區表被嚴重破壞的表現,可能是病毒或者人為的誤操作(比如使用Ghost恢複分區時選擇了錯誤的選項)。
解決方案:參照前麵我們介紹的“分區表破壞”來進行恢複。
六、出錯信息:開機後屏幕上出現“Error loading operating system”或“Missing operating system”或者是“Disk I/O Error Replace the disk then press any key”的提示信息。
故障分析:造成該故障的原因一般是DOS引導記錄出現錯誤。DOS引導記錄位於邏輯0扇區,是由高級格式化命令Format生成的。主引導程序在檢查分區表正確之後,根據分區表中指出的活動分區的起始地址,讀DOS引導記錄,若連續讀五次都失敗,則給出“Error loading opearting system”的錯誤提示,若能正確讀出DOS引導記錄,主引導程序則會將DOS引導記錄送入內存0:7C00h處,然後檢查DOS引導記錄的最後兩個字節是否為55AAH,若不是這兩個字節,則給出“Missing operation system”的提示。
解決方案:對於以上這些問題都可以使用NDD來解決,不過根據不同的出錯提示還有不同的解決方案:
1.出錯提示為“Invalid system disk,Replace the disk, and then press anykey”。這種情況一般是因為係統引導文件IO.sys被刪除或者損壞,可以用“sys A: C:”將係統引導文件傳送到C:盤。
2.“Error loading system”錯誤提示。這種提示說明分區表中標明的活動分區的起始位置錯誤或者DOS引導記錄出錯,隻能用NDD修複。
3.“Missing operating system”出錯提示。用DiskEdit編輯相應活動分區的引導區,並將最後分區結束標誌改成55AA。
硬盤數據恢複實例全解
對於以上幾種出錯信息,如果你的數據不是很重要,也可以考慮用Format來解決問題,不過我們強烈建議你采用NDD來修複,這樣如果你改錯了,還有後悔的餘地(Undo),這也是我們前麵告誡大家用NDD一定要做Undo的原因之所在。
七、出錯提示:機器加電自檢以後可以出現“Starting MS DOS…”的提示符,但是最後卻出現了“Bad or missing command interpret”這樣的出錯提示。
故障分析:出現這種問題應該在DOS引導的後期,IO.SYS處理完MS.SYS後,要裝入命令解釋器Command.com卻找不到。
解決方案:很簡單,軟盤啟動以後,將軟盤上的Command.com拷貝到C:盤的根目錄下。
wwt4300792006-5-22, 03:33 AM
數據恢複與軟故障處理基本指南 第一篇
第一篇、廣義的數據恢複
長期以來計算機領域數據恢複似乎缺乏一個把握全貌的,如果說給出一個比較能把握全貌的說法,我們首先應當給計算機數據一個廣義的概念,某些人覺得隻有類似文本文件、數據庫中的記錄或表這樣的東西才是數據,其實從廣義上說,任何位於計算機存儲介質上的信息都是數據,無論是哪種介質,也無論是具體作用,他們都是數據。與這種概念對應,任何使這些信息發生非主觀意願之外的變化都可視為破壞。那麽數據恢複是就是一個把異常數據還原為正常數據的過程。
一、對數據的潛在威脅
1、惡意的程序:大家最熟悉的惡意程序就是病毒,很多人認為病毒對數據的影響僅僅是病毒的破壞性,這是不正確的,實際上病毒的感染本身就是一種破壞,一個病毒無論他借助修改你的引導區、可執行程序還是OFFICE文檔,他都把你正常的數據做了改變,當然,你可能舉良性伴隨性病毒這種極端的例子。但毫無疑問,他同樣對數據構成了破壞,至少他減少了你的硬盤的可用空間。同時,惡意的程序還包括特洛伊木馬,邏輯炸彈等等。惡意的程序造成的破壞可能是最難恢複的。
2、其他惡意的破壞:即使不借助病毒或者其他的工具,隻要擁有足夠的權限,任何係統都有一定的“自毀”能力。比如依靠係統正常的刪除、移動、格式化等操作也可以達到破壞數據的目的。隨著網絡技術的發展,威脅已經不僅僅限於本機,
3、誤操作:很多數據丟失源於使用者的操作失誤,比如誤刪除,誤格式化等等。
4、操作係統或應用軟件的錯誤:隨著操作係統和應用程序的代碼量的成倍增加,BUG也在不斷增加。我們最常用的桌麵係統WIN9X就是一個BUG大王。操作係統和應用軟件的錯誤,往往會給人的工作帶來一些不可預期的影響。比如前階段,發現FRONTPAGE98的一個BUG,觸發後會把你目錄下的文件全部刪除,另外,象著名的遊戲神話II,出現了如不安裝在默認目錄中可能會使你丟失擴展分區這樣嚴重的問題。
5、加密和權限:盡管加密和權限設置是你保護數據的有效手段,但遺忘密碼也會帶來很大的問題。
6、掉電:機器突然掉電的後果可能不僅僅是內存數據的丟失,也可能造成磁盤數據的丟失,或導致係統無法正常啟動。
7、內存溢出:導致內存溢出或者進程非法終止等低層錯誤的原因很多,他就象掉電一樣,會使你損失當前的工作。
8、升級:軟件係統升級有時會帶來一些問題,後麵我們將舉相應例子。
9、硬件損壞和失竊:這可能是最嚴重的威脅之一。有時這把你恢複數據的可能降低為零。
二、數據丟失的各種邏輯現象
對數據的恢複,基本上是一種邏輯處理。隻有對情況有一個準確的判定,才能做出準確的應對。一般的來說,問題可以歸納為以下幾種情況。
1、 硬盤無法完成正確引導:因物理故障造成的邏輯損壞、引導區故障、重要扇區崩潰等等,都會使係統不能完成正常的自舉過程。
2、 文件丟失:由於有意破壞,誤刪除等等都會造成數據的丟失。另外,這種歸類不僅僅包括某個或某幾個文件,也適用於目錄,分區或卷的丟失。
3、 文件無法正常打開:由於病毒感染,加密,文件頭損壞等情況,會使文件無法正常打開。
4、 數據紊亂:由於各種因素的影響,數據庫中的信息,文本文件等,可能麵目全非。
三、保護數據的建議
這個專題是探討數據恢複的,而不是信息保護的,因此點到為止,一句話,那就是防患於未然,我們列舉了對數據的威脅,如果我們最大程度的減弱了這些威脅,對每一種可預知的潛在威脅都有相應的預防和對策,我們的數據安全才會有最大的保障。這些對策主要包括選擇良好的反病毒和係統維護產品、加強保安全措施、采用UPS掉電保護、提高用戶操作水平和安全意識、形成係統的信息管理和備份製度等等。都可以有效的保證數據的安全,總之,我對數據恢複的認識與病毒是相同的——與其亡羊補牢,不如防患未然
wwt4300792006-5-22, 03:34 AM
數據恢複與軟故障處理基本指南 第二篇
第二篇、數據恢複的準備知識
1、係統工作機理的簡單介紹(本節由lowpower縮寫)這一部分在原作中是最重要的一章,考慮到篇幅關係,進行了大量的刪節。
①、 DOS(DOS兼容係統)硬盤數據的構成
DOS磁盤係統,可以按照邏輯分區的概念管理物理空間,不同分區可以裝載不同的OS係統。示意如下:
硬盤空間
第一扇區 | 分區1 | 分區2| 分區3 |分區4 |
主引導扇區|引導扇區|引導扇區|引導扇區|引導扇區|
各分區公用|各個分區相對獨立,可安裝不同操作係統。
對FAT結構的分區每一分區都有獨立的引導記錄,FDT表,FAT表等。同時,係統還有一個最為重要的主引導記錄。在0柱0麵1扇區,今後我們用CYL代表柱、SIDE代表麵,SEC代表扇區。以下一個FAT結構分區的簡圖。
保留區--磁盤參數表、DOS引導記錄
控製區--FAT表1、FAT表2根目錄區
數據區--數據區
以下簡單介紹一下重要的部分:
主引導記錄又稱主分區表、MBR等等:MBR占一個扇區,在CYL 0、SIDE 0 、SEC 1,由代碼區和數據區構成。其中代碼區是一端標準的程序,完成 BIOS自舉到OS BOOT之間的工作,為OS啟動做最後的準備。標準代碼區可以由FDISK/MBR重建,但對於多係統引導的不標準MBR,將被這一操作破壞。MBR的數據區記錄了分區情況。
係統扇區:CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63,共62個扇區引導區又稱BOOT區:CYL 0、SIDE
1 、SEC 1 這是我們過去稱的DOS引導區。也占一個扇區。
文件分配表又稱FAT:是記錄文件占用簇的情況和連接關係的地方。一般有兩個FAT表,起到備份的作用。FAT12、FAT16的第一FAT表一般均在0-1-2,FAT32的第一FAT表在0-1-33。由於FAT表記錄文件占用扇區連接的地方,如果兩個FAT表都壞了,後果不堪設想。
由於FAT表的長度與當前分區的大小有關所以FAT2的地址是需要計算的。
根目錄區(ROOT、FDT):這裏記錄了根目錄裏的目錄文件項等,ROOT區跟在FAT2後麵。
數據區:跟在ROOT區後麵,這才是數據內容。
其實, MBR、隱含扇區、BOOT區,重建都比較容易。數據恢複的關鍵在於恢複數據文件。由於FAT表記錄了文件在硬盤上占用扇區的鏈表,如果2個FAT表都完全損壞了。那麽恢複文件,特別是占用多個不連續扇區文件就相當困難了。
②、 主引導記錄簡單說明:
主引導記錄是硬盤引導的起點,關於代碼區不多說了,其數據區,比較重要的是2個標誌,80H和55AA,80H一般在偏移1BE處,80是分區激活的標誌的標記表示係統可引導,且整個分區表隻能有一個80標記。另一個就是結尾的55AA標記,用來表示主引導記錄是一個有效的記錄。另外,各個分區自身的引導記錄,也是以55AA結束,這是我們查找分區的標誌。我們後麵在介紹如何主引導記錄中,給出了一個完整的分區表的例子,大家可對照查看。數據區中,用10H字節表示一個分區,最多可表示4個分區,分別從1BE、1CE、1DE、1EE開始,我們後麵給出了分區表項對應地址的含義。大家可以對應分析一下以下分區的情況。
80 01 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00
① ② ③ ④ ⑤ ⑥
①:激活標記,80表示可引導分區
②:分區開始的磁頭號為01、開始的扇區號為01、開始的柱麵號為00,由於開始的扇區號為2進製6位,而開始的柱麵號為2進製10位,因此扇區號所用字節的高兩位要加在柱麵號高兩位。
③:分區的係統類型FAT32(0B),01是FAT12,04為FAT16,06為BIGDOS,07為NTFS,其他參見分區類型表。
④:分區結束磁頭號254、分區結束扇區號63、分區結束柱麵號764
⑤:首扇區的相對扇區號63
⑥:總扇區數12289622
2、常見手工處理工具與DOS外部命令介紹
DEBUG:古老和最為常見的調試跟蹤軟件,始終捆綁在微軟的DOS/WIN9X操作係統中。有19個子命令。有編寫執行匯編指令,直接讀寫絕對扇區和內存單元等功能,可以在最艱苦的條件下工作。DOS6.22以下的係統,DEBUG.EXE在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
DISKEDIT:常見16進製編輯軟件,字符界麵,可以以文件方式和扇區方式讀寫邏輯內容,可以讀寫絕對扇區,可以方便的查找編輯分區表、FAT表、ROOT區等重要扇區。這一點要比DEBUG更方便。但在一些重要扇區損壞的情況下,DISKEDIT可能無法啟動。DISKEDIT軟件可以在著名的Norton Utilities軟件包中找到。最新的DISKEDIT出現在NU4中。
NDD:常見的FAT文件結構磁盤修複工具,就是著名的NORTON磁盤醫生,可以自動修複分區丟失等情況,可以搶救軟盤壞區中的數據,強製讀出後搬移到其他空白扇區。希望大家不要再使用NORTON FOR DOS7或8的NDD,這個版本由於不支持大分區、FAT32、長文件名等技術,會給你帶來大量的麻煩。建議大家使用Norton Utilities4或更高版本中的NDD.EXE,這是純DOS下的工具。在硬盤崩潰或異常的情況下,他可能可以帶給用戶以希望。WIN9X下的磁盤醫生調用的並不是這個程序,而是NDD32.EXE.
FDISK:FDISK當然是個危險的命令,很多人非常恐懼,事實上,FDISK命令的運行並不影響任何分區內的硬盤數據,他對分區的設置操作,隻改變主分區表的數據區。而特別是FDISK異常重要的隱含參數/MBR,可以重建主分區表的代碼區,清除主引導型病毒等。這是非常有用的操作。DOS6.22以下的係統,FDISK.EXE在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
FORMAT:在一些人眼中,FORMAT是最可怕的命令,但他並不是對硬盤清零,特別值得注意的是,很多文件恢複工具都建議你恢複前先FORMAT該分區起到保護的餓作用。DOS6.22以下的係統,FORMAT.COM在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
HD-COPY:傳統的軟盤COPY工具,2.0版本以後加入了強製讀的功能,可以讀出一些損壞扇區的內容。
SYS:SYS命令是重建BOOT區的最簡潔的手段,也可以殺除BOOT區病毒。DOS6.22以下的係統,sys.COM在DOS目錄下,WIN9X係統中它在WINDOWS\COMMAND目錄下,它也出現在WIN9X所生成的應急盤中。
令我非常遺憾的是,至今我沒有發現比較出色的扇區級備份鏡象工具,我曾寫過一個HD-MIRROR,但由於錯誤較多,我提供下載的第二天就停止了發布,另外fixc的作者noz寫過一個clone.exe,但可惜隻適合相同的硬盤。我也曾以為GHOST可以做到這點,事實上,你目前還不能指望他為你備份一塊深度破損的硬盤。。如果有一個有效的能以按扇區機製(而不是文件機製)壓縮備份一塊硬盤將之做成一個鏡象文件的話,那麽我們的恢複工作就擁有了更多的保證和餘地。我們可以更大膽的做恢複的嚐試。
3、一些自動處理工具或軟件包
首先介紹國內的一些免費修複工具
FIXMBR:何公道先生寫的一個修複MBR的工具,適合處理邏輯分區丟失的情況, 有一些可選參數,支持FAT32、FAT16,不支持NTFS、LINUX等分區,支持8.4G以上硬盤。可修複CIH發作後的擴展邏輯分區。
VRVFIX:北信源公司的推出的修複硬盤共享工具,適合處理邏輯分區丟失的情況,處理的基本比較準確。支持FAT32、FAT16,不支持NTFS、LINUX等分區。也不支持8.4G以上硬盤。
FIXC:國內最早出現的可以修複部分被CIH破壞的C盤的工具,作者是NOZ,新版本也加入了修複分區信息的功能,支持FAT32、FAT16,有限支持NTFS,不支持8.4G以上硬盤。目前的版本已經比較完善。
FIXHDPT:TBSOFT工作室的分區信息修複工具。支持FAT32、FAT16,不支持NTFS和LINUX,不支持8.4G以上硬盤,是曆史比較長的工具之一。
RE(ReapirEasy):本人早期寫的分區表修複工具,支持FAT32、FAT16,有限支持NTFS,不支持8.4G 以上硬盤,和某些BIOS不兼容。其整體水準低於前麵列舉的工具。國外一些係統維護的工具目前已經達到了非常強大的程度。
Norton Utilities:曆史最悠久的係統維護工具。不僅可以數據恢複,還可以係統加速和修補內存錯誤。目前最新的版本是NU4.5 FOR 9X、NU2 FOR NT等。
Tiramint:最為出色的災難恢複工具之一,有NTFS、FAT32、FAT16、NOVELL4種版本。生成急救軟盤,可以對深度破壞的磁盤進行交叉恢複。
4、常用的基本操作
① 讀出主引導記錄:這是係統級數據恢複可能涉及最多的程序之一。例:
DEBUG
-a100 ;從此處開始匯編
126C:0100 mov ax,201; 讀操作一個扇區
126C:0103 mov bx,300; 送入地址300
126C:0106 mov cx,1 ;0麵1扇
126C:0109 mov dx,80 ;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3
126C:010F
-g=100 ;執行
AX=0050 BX=0300 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000 DS=126C ES=126C SS=126C CS=126C IP=010E NV UP EI PL NZ NA PO NC
這裏用了I/O中斷13,涉及的寄存器含義為ah,操作方式,02H為讀,03H為寫,al送扇區數,bx送準備裝入扇區的內存偏移地址,cx送從哪一道哪一扇區開始,我們一般依靠改換CX來讀寫不同邏輯盤某個邏輯扇區。dx送盤符和頭數INT 3是斷點中斷,使程序運行到此停止。
② 顯示引導區內容:我們把扇區讀到某個內存地址並不是目的。而是為了看到他的內容,在DEBUG中D命令可以方便的查看內存單元的內容。續前例,如果我們要看到主引導區的內容的話,既然裝載到300。-d300 l200就可以查看了,一個引導區的映象類似如下,可以直觀的看 到我們前麵所提到的代碼區和數據區。是否正常請大家自行分析一下
126C:0300 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C 3.....|.P.P....|
126C:0310 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BE BE 07 B1 04 ...PW...........
126C:0320 38 2C 7C 09 75 15 83 C6-10 E2 F5 CD 18 8B 14 8B 8,|.u...........
126C:0330 EE 83 C6 10 49 74 16 38-2C 74 F6 BE 10 07 4E AC ....It.8,t....N.
126C:0340 3C 00 74 FA BB 07 00 B4-0E CD 10 EB F2 89 46 25 .}U
126C:03B0 AA 74 5A 83 EF 05 7F DA-85 F6 75 83 BE 27 07 EB .tZ.......u..'..
126C:03C0 8A 98 91 52 99 03 46 08-13 56 0A E8 12 00 5A EB ...R..F..V....Z.
126C:03D0 D5 4F 74 E4 33 C0 CD 13-EB B8 00 00 00 00 00 00 .Ot.3...........
126C:03E0 56 33 F6 56 56 52 50 06-53 51 BE 10 00 56 8B F4 V3.VVRP.SQ...V..
126C:03F0 50 52 B8 00 42 8A 56 24-CD 13 5A 58 8D 64 10 72 PR..B.V$..ZX.d.r
126C:0400 0A 40 75 01 42 80 C7 02-E2 F7 F8 5E C3 EB 74 49 .@u.B......^..tI
126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition
126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa
126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s
126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op
126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..
126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W.........
126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................
126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~.....
126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u...
126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.
③ 反匯編主引導區內容:判定MBR的代碼區是否正常,對於數據區的基本情況,我們可以通過直觀觀察得出,但對於存在引導型病毒,或者引導區出現異常代碼的情況,我們可能需要分析MBR中代碼區的指令。這一般要對已經讀入內存的引導區進行反匯編。反匯編用指令U,續前例:
-u300 l15D ;反匯編主引導扇區代碼區內容
126C:0300 33C0 XOR AX,AX
126C:0302 8ED0 MOV SS,AX
…………
126C:045C 65 DB 65
126C:045D 6D DB 6D
④ 寫內存單元,在我們的前例中,主分區類型是0B是FAT32的,假定這個類型實際是NTFS的,我們該如何修改呢?由於主分區類型的偏移是4C3H,我們可以用E命令寫到內存單元中,從附表中查得NTFS的類型為07。因此-e4c3 7再比如說,假定我們想把無效的分區表清零,那麽,我們應當用另一個命令F,這個命令可以用填充一個內存地址範圍。清零分區表的操作就是-f4be 4ff 00,以下兩個操作也比較常見。
重置80標記,-e4be 80
重置55AA標記,-f4ff 4fe 55 aa
不要忘記了,此時僅僅是改動了內存中的數據,並未寫到硬盤上。因此需要用int 13中斷把改寫的結果,寫回硬盤。續前例,
-a100
126C:0100 mov ax,301 ; 寫操作一個扇區
-g=100 ;執行
其實,我們相當於修改了剛才輸入的讀主引導扇區程序,使程序變為。
126C:0100 mov ax,301 ; 寫操作一個扇區
126C:0103 mov bx,300 ;從內存地址300
126C:0106 mov cx,1 ;0麵1扇
126C:0109 mov dx,80 ;80H為硬盤,頭為0
126C:010C int 13
126C:010E int 3 ;斷點
⑤ 絕對磁盤內容的讀出與寫入
類似操作在FAT32結構硬盤被CIH破壞的修複中比較常見,我們後麵將講到恢複的基本思路就是用第二FAT表覆蓋第一FAT表。那麽無疑要讀出第二FAT表的內容,再回寫到第一FAT表的位置上。一般的來說,大量連續扇區的讀出寫入DISKEDIT進行非常方便,如果用DEBUG做則要寫一段子程序,不過程序的主要技巧就是利用int 25絕對磁盤讀中斷讀出的內容,而用int 26絕對磁盤寫做內容寫入。
5、數據可恢複的前提
有人覺得這個題目說法比較奇特,但數據恢複,作為一個數據再現的過程,一定要解決兩個問題,第一是從哪裏恢複的問題,第二是怎麽恢複的問題。解決了這兩個問題,我們事實上就把握了數據恢複的全部思想脈絡。而這一部分就是從哪裏恢複的問題。
①、 有效而及時的備份中是數據恢複最可靠的來源,在許多人倡導備份到秒的今天,恐怕不會有人懷疑這點。而有些備份機製則是係統內建的,比如兩份FAT表。
②、 數據的實際有效性的判定是關鍵,對我們來說,硬盤無法自舉、文件找不到、文件打不開等現象,其實並不與數據丟失畫等號。因為此時往往數據隻是從操作係統的角度是一種邏輯丟失,而從物理扇區意義上,它仍然存在或部分存在。最明顯的就是文件刪除的例子,事實上,這隻是把文件首字節,改為0E而已。而此時文件體依然存在。
③、 數據損壞過程的可逆性分析:對數據的改變無非兩種,取代和變換,前者是不可逆的,而後者則是可逆的。我們以殺毒為例,對於大多文件性病毒來說,那些以附加而非代換方式感染的文件型病毒,理想的殺毒過程就是感染的逆過程。這種分析也常見與重要信息被隱藏搬移或者被加密的情況,但分析將比較複雜。
④、 數據本身是否是標準信息:有些信息實際是通用或局部通用的,你無須考慮如何從本機搶救。隻要相同或相近的係統版本就可以了,比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區表的代碼區,這是一段標準代碼,事實上,它就放在你的FDISK程序裏麵,你可以用DEBUG把他提取出來。
⑤、 數據本身是否可以由其他信息統計再生:有些信息盡管丟失了,也沒有備份。但它實際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息,即使你把他清零也不必害怕,因為你可以從你幾個分區中計算再生。
⑥、 破壞的完成程度:事實上,FDISK、FORMAT都不會徹底破壞數據,一般隻有低格和扇區覆蓋操作才會徹底破壞數據。但有時,破壞過程或者誤操作過程會因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子,由於CIH是以1024字節為單位覆蓋扇區,這當然是不可逆過程,於是我們最初都認為,破壞是很難恢複的,除非人工終止。事實上,當病毒覆蓋某些扇區時會與9X係統發生衝突,從而造成死機,使數據得到了保護。
wwt4300792006-5-22, 03:34 AM
數據恢複與軟故障處理基本指南 第三篇
第三章、數據恢複基本攻略
1、 硬件或介質問題的情況
①、硬盤壞:硬盤自檢不到的情況一般是硬件故障,又可分為主版的硬盤控製器(包括IDE口)故障和硬盤本身的故障。如果問題在主板上,那麽數據應當沒有影響。如果出在硬盤上,也不是一定不能修複。硬盤可能的故障又可能在控製電路、電機和磁頭以及盤片。如果是控製電路的問題,一般修好它,就可以讀出數據。但如果電機、磁頭和盤片故障,即使修理也要返回原廠,數據恢複基本沒有可操作性。
②、軟盤壞:當軟盤數據損壞時,可以有幾種處理,一種是用NDD修複,他會強製讀出你壞區中的東西,MOVE到空白扇區中,這就意味著如果你的磁盤很滿操作是沒法進行的。你也可以用HDCOPY2.0以上版本READ軟盤,他也會進行強讀,使讀入緩衝區的數據是完好的,你再寫入一張好磁盤就可以了。當然這些方式,要看盤壞的程度。如果0磁道壞,數據也並非無法搶救,早先可以通過扇區讀的方式,把後麵的數據讀出,不過一般來說,你依然可以HDCOPY來實驗。
2、係統問題的情況
①、在硬盤崩潰的情況下,我們經常要和一些提示信息打交道。我們要了解他典型提示信息的含義,注意這些原因僅僅分析邏輯損壞而不是硬盤物理壞道的情況。
提示信息
可能原因
參考處理
Invalid Partition Table
分區信息中1BE、1CE、1DE處不符合隻有一個80而其他兩處為0
用工具設定,操作在前麵已經講了。
Error Loading Operating System
主引導程序讀BOOT區5次沒成功。
重建BOOT區
Missing Operating System
DOS 引導區的55AA標記丟失
用工具設定,把前麵讀寫主引導區程序的DX=80改為180即可
Non-System Disk or Disk Error
BOOT區中的係統文件名與根目錄中的前兩個文件不同
SYS命令重新傳遞係統,
Disk Boot Failure
讀係統文件錯誤
SYS命令重新傳遞係統,
Invalid Driver Specifcationg
如果試圖切換到一個確實存在的邏輯分區出現以下信息,說明主分區表的分區記錄被破壞了。
根據各分區情況重建分區表,或者用自動修複工具修複。注意分區丟失是最常見的故障之一,此時不要緊張,一般的說此時數據並沒有問題,如果你不了解處理的方法。你可以選擇我前麵介紹的自動修複分區工具進行處理,他們大多隻改寫主分區表的數據區,不會影響你的其他數據。特別提醒大家,這些工具有的不支持8.4G硬盤,有的與BIOS對硬盤的識別有關係。如果你在一台機器上不行,可以換台BIOS不同的機器實驗一下。
Bad or missing command interpreter
這是說找不到COMMAND.com,或者COMMAND文件壞了。
如果你COPY過去COMMAND文件還是如此,一般來說是感染了某種病毒。
Invalid media type reading drive
X ,Abort,Retry,Fail?
該盤沒有高級格式化,或BOOT區中I/O參數表被破壞。
這裏情況較多,手工處理比較複雜,特別指出,此時DISKEDIT可能無法運行,建議用工具修複。
Incorrect DOS Version
可能是文件版本不統一,對9X來說,有95,95osr/2,98,98 oem/2等版本,重新SYS時,不要弄錯了。
用正確版本的啟動盤重新SYS係統。
另外說明一下,對於比較老的機器還有1071和not found rom basic、ROM BASIC OK等提示,在目前機器中以消失。另外,當代碼區完全被破壞的情況下,係統關於無係統的提示是來自BIOS的,這條提示與BIOS的種類有關。另外,FDISK/MBR對代碼區的重建是我們經常采用的。再介紹一種比較極端的情況,就是硬盤自檢正常,而用軟盤和硬盤都無法正常啟動的情況,這可能是,病毒或惡意程序利用,DOS3以上版本啟動中都要檢索分區表這一特點,把分區表置為死循環。造成啟動中死機。網上曾經流傳過DOS6.22k修改方案,其實是修改西文MS-DOS6.22的 IO.SYS,把C2 03 06 E8 0A 00 07 72 03替換為:C2 03 90 E8 0A 00 72 80 90就可以啟動被類似情況鎖住的硬盤。
②、WIN9X無法正常進入或工作:以下僅僅是對可能的軟故障分析,沒有考慮硬件故障.
進入圖形界麵前死機情況比較複雜,可能與加載的某些驅動有關可以在START MS WINDOWS時,用F8激活菜單,設置為step by step,看是哪項使係統死機。而後從CONFIG或者SYSTEM。INI中刪除
進入圖形界麵後死機: 一般這與開機加載的程序有關進入安全模式(此時自動運行的程序將不能加載),對注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的鍵值和啟動組中加載的程序進行分析。必要的予以刪除。
顯示IEXPLORE.EXE錯誤,不能進行任何操作可能有某個係統的動態連接庫損壞覆蓋安裝WIN9X,或從其他機器上COPY損壞的連接庫。(確定哪個庫損壞一般比較困難)
頻繁出現出錯各種信息:一般是虛擬內存不足造成的看C盤是否剩餘空間過少,或者打開的應用程序和窗口太多。
2、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和後麵是否有FAT等情況判定是否為分區表,最後計算填回,主分區表,由於需要計算,過程比較煩瑣,就不仔細介紹了,希望大家用前麵介紹的工具,比如NDD處理。如果文件仍然無法讀取,要考慮用TIRAMINT等工具進行修複。如果在FAT表徹底崩潰的情況下,恢複某個指定文件,可以用DISKEDIT或DEBUG查找已知信息。比如文件為文本,文件中包含“軟件狗”,那麽我我們就要把他們轉換為內碼C8 ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般的來說,文件刪除僅僅是把文件的首字節,改為E5H,而並不破壞本身,因此可以恢複。但由於對不連續文件要恢複文件鏈,由於手工交叉恢複對一般計算機用戶來說並不容易,在這篇縮略版中就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用他來查找。另外,RECOVERNT 等工具,都是恢複的利器。特別注意的是,千萬不要在發現文件丟失後,在本機安裝什麽恢複工具,你可能恰恰把文件覆蓋掉了。特別是你的文件在C盤的情況下,如果你發現主要文件被你失手清掉了,(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢複或把硬盤串接到其他有恢複工具的機器處理。誤格式化的情況可以用工具處理。
4、文件損壞的情況
一般的說,恢複文件損壞需要清楚的了解文件的結構,並不是很容易的事情,而這方麵的工具也不多。不過一般的說,文件如果字節正常,不能正常打開往往是文件頭損壞。就文件恢複舉幾個簡單例子。
類型
特征
處理
ZIP、TGZ等壓縮包無法解壓
ZIP文件損壞的情況下可以用一個名為ZIPFIX的工具處理。不過如果你的文件是從FTP站點上下載的,那麽有可能是你沒有定義下載模式為BIN。
自解壓文件無法解壓
可能是可執行文件頭損壞,可以用對應壓縮工具按一般壓縮文件解壓。
DBF文件死機後無法打開
典型的文件頭中的記錄數與實際不匹配了,把文件頭中的記錄數向下調整,遺憾的是公式我找不到了。
5、硬盤被加密或變換
此時千萬不要FDISK/MBR,SYS等處理,否則可能數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對於那些加密硬盤數據的病毒,清除時一定要選擇能恢複加密數據的可靠殺毒軟件。
6、文件加密後密碼遺忘
對於很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密後與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有後門的,比如DOS下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮誌宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
7、係統用戶密碼遺忘的處理:最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件係統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,後者時間長,但保全了所有用戶信息。對UNIX係統,我建議你一定先做一張應急盤。
wwt4300792006-5-22, 03:35 AM
數據恢複與軟故障處理基本指南 第四篇
第四章、恢複實例
下麵舉一些數據恢複或者軟故障處理的例子,這些事例是從我參與大量的故障處理中選取的一些典型事例。在選取典型事例中,遵循了以下原則。
①、 處理過程能夠表現一定思想,而不是純粹的技術手段。
②、 處理過程本身並不算複雜,基本不出現匯編程序,一般讀者能夠理解。
③、 處理過程本身並不完美,中間可能犯了一些錯誤,有的甚至局部失敗。可以使大家引為借鑒。
④、 處理過程本身並不僅僅是純粹的邏輯思維,有人的心理活動對技術的幹擾。以使大家能更好的避免這些。
1、 被CIH破壞硬盤恢複一例
委托恢複人:某銀行
硬盤情況:CIH發作,藍屏死機。該單位電腦人員曾用KV300 F10進行修複,但沒有成功,又恢複了保存的MBR。
修複工具:
準備好軟盤3張:
DISK1 -WIN98啟動盤(帶DEBUG)
DISK2-DISKEDIT等工具(此盤不要寫保護)
DISK3-DOS下殺CIH的工具
基本思想:
1、FAT2沒有損壞的情況,用FAT2覆蓋FAT1。
2、FAT2也已經損壞的情況,我一般是隻期待找回其中某些關鍵的文件了。
我們最期待的是這些文件是連續的。如果不連續的話,也並非沒有可能,但這往往還要知道文件的一些細節,包括對一些文件本身的連接結構有了解。如果FAT2沒有完全破壞,是有一定用處的,另外,一般來說,FAT16的硬盤因為FAT表靠前破壞的比較嚴重,一般兩個FAT表都壞了,小硬盤也很難恢複了。
修複過程:
把我的硬盤摘下,掛上待恢複的的硬盤,開機,進入SETUP,檢測硬盤,把參數記下——CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。 用準備好的軟盤啟動:
A:>C:
顯示Invalid drive specification
FDISK/MBR重建主引導記錄。(這是個習慣),重新軟盤引導:(可能沒有必要)。
此時已經看的見C:硬盤。
啟動DISKEDIT,啟動過程中顯示Invalid media type reading DRIVER C,哎呀,算了,還是先用DEBUG清空分區表,,並置80和55aa標誌。
重新啟動,再運行DISKEDIT,顯示設定為READ ONLY,沒關係,把TOOLS/CONFIGURATION中的隻讀選項去掉,存盤,好了,可以編輯了。由於當時接的硬盤有多塊,我把這塊當成了是一塊隻有C分區,所以沒看別的東西,我們期待FAT2沒有損壞,以用FAT2覆蓋FAT1,在這個時候DISKEDIT要比DEBUG容易的多,在FIND OBJECT中選擇FAT,查一下起始扇區,好的,在CYL 0 SIDE68 SEC 14,0000H,F8 FF FF 0F(FAT32的),好的,FAT2沒壞。其實如果不用DISKEDIT的可以用一端小程序查,偏移0000的F8 FF FF。
由於以為隻有C分區,所以,上來就在FIND中查找IOSYS(IO和SYS中要有空格)以查找ROOT區。找到後觀察,是否有C:\下常見文件。好的,ROOT區沒被破壞。記下了該扇區的CYL 0、SIDE 68、SEC 14,備用。FAT1一般前麵已經被破壞了,但後麵應該還在,這可以作為檢查。因為是32位的,FAT1一般在CYL 0 SIDE1 SEC 33。因為有了ROOT區然後應該計算FAT表的長度了,因為FAT2到ROOT前一扇區為止,所以非常簡單。
然後可以用FAT2覆蓋FAT1,這裏用DEBUG還是DISKEDIT都可以,如果用DEBUG一般是用INT 25讀絕對扇區,再用INT 26寫入,用DISKEDIT則比較簡單。程序:(略)
然後可以恢複主引導記錄、隱含扇區和BOOT區,可以先用NDD修複分區表,其他可以考慮可以考慮用標準覆蓋法,如果你希望下一步由NORTO NUtilities來接手,這些都可以不做。我從另一台FAT32的機器上取來了相應的部分,寫了進去。我這時發現好象有一個D盤。先看一下在說吧。
好了,關機串上我的硬盤,用NORTON Utilities 4掃描C盤,文件基本恢複,對C盤殺毒,WHY,沒有發現病毒,換了2種殺毒軟件還是沒有病毒,現在顯示C盤是948M,有一個D盤,但是95下無法瀏覽,DOS下亂碼。於是打電話核實當時的情況,原來是26日那天,放進一張光盤,光驅燈亮了一會,就硬盤狂響,藍屏死機了。應該證實我的推斷一樣,是光盤的AUTORUN程序有CIH病毒。所以說沒有實時防禦能力的軟件是沒有意義的。另外,他們的硬盤確實分兩個區,而且重要文件在D區。然後在修複D盤吧,再回到DOS,用DEBUG查找結束標誌為55AA的扇區,然後根據後麵是否有FAT判定是否為擴展分區。此時可算出大小來返回修訂主分區表。當然,許多工具也可以很好的完成這一工作。如果你沒有把握,就用他們完成好了。其實我就是用自己的RE做的,否則手工做確實太麻煩。
經驗總結:
①、你不要聽信或者憑記憶想一塊硬盤該是怎麽樣的,一定要自己去看,我就是犯了這個錯誤。
②、某些軟件的修複功能確實如一些網友所講可能有一定隱患,如果銀行的電腦人員在用KV300 F10處理之前沒有備份,可能要給我找些麻煩。
我們應當看到,恢複數據要本著幾項原則。
①、 最好先備份,這也是而後我寫HD-MIRROR的原因
②、 優先搶救最關鍵的數據
③、 在穩妥的情況下先把最穩定的雞蛋撈出來,(理應先修複擴展分區,再修複C),最好修複一部分備份一部分。
④、 要先作好準備,不要忙中出錯,此間,由於我的機器沒有裝過NORTON,先解壓,習慣的敲了一個D:\TEMP,這才想起來D盤已經是人家的硬盤,文件險些解在沒有完全修好的C盤上。這種錯誤有時會經常發生。
2、 LINUX錯誤安裝帶來問題一例
委托恢複人:某信息港
硬盤情況:4.3G硬盤,分三個區,D、E中有很多重要數據。原來裝95係統,做主盤。在試圖向從盤上裝LINUX的時,誤將安裝盤符選為C,而後發現終止,此時硬盤無法自舉。軟盤啟動無法看到任何有效分區。
工具準備:
DISK1 - WIN98啟動盤(帶DEBUG)
DISK2 - DISKEDIT等工具(此盤不要寫保護)
修複思想:
修複分區表中的擴展分區,重置主分區的分區類型。
修複過程:
用軟盤啟動,FDISK/MBR清除LILO,重建代碼,用DISKEDIT調入MBR觀察,已經沒有了擴展邏輯分區的信息。80激活分區的類型已經變成83(LINUX)這時我犯了與前麵類似的錯誤,本應先修複分區信息,但我卻依然去先試圖C。而且修複C的時是否我又犯了一個致命的錯誤,那就是我算錯了C盤的大小。本來C盤是650M左右的一個分區,應當把分區類型置為06H(大DOS),而我誤算C為340M,因此我置為了04H(普通FAT16),這時我想對C做進一步修複,就把硬盤串到我的機器上,開機後C盤可見,文件似乎完好。此時我選擇用NU來自動修複它的C盤。最後的結果是,由於我選錯了分區類型,修複使C盤徹底崩潰。我重新起機後,再試圖用NU檢測C時,我的98
馬上藍屏,另一個惡果就是我決定從軟盤啟動,用DISKEDIT查看時,發現可能由於I/O參數表的損壞,DISKEDIT無法啟動了。而後,我用RE恢複分區表,但在我的方正上,RE竟然溢出,後來,我找到一台兼容機,在上麵運行RE,這才恢複了D、E兩個分區。此時,委托我恢複的朋友打來電話,說隻找到D、E就可以。我這才放心。
經驗總結:分區類型隻是一個字節,卻會帶來如此嚴重的後果。可見,修複數據必須異常慎重。
3、 NT SERVER硬盤崩潰一例
相應情況:
這是單位裏的一台NT服務器。三個NTFS分區,有重要數據在內。硬盤崩潰,不能啟動,軟盤啟動後,用NTFSDOS 不能映射任何邏輯分區。
工具準備:
DISK1 - WIN98啟動盤(帶DEBUG)
DISK2 - DISKEDIT等工具(此盤不要寫保護)
修複過程:
用DEBUG讀取主分區表,發現完全混亂。反匯編後發現為一段有邏輯意義的代碼,我當時十分緊張,以為硬盤被加密了。隻好向一個高手HIT-007求援,不料他用DEBUG看了兩下,馬上退出來,做了FDISK/MBR。我大驚失色。但重起後,硬盤竟能啟動進入NT,當然隻剩下C一個分區。而後我很容易的恢複了另外兩個分區。他對我說,你一看MBR中的內容就被嚇住了,我向後看後麵的一些係統扇區情況都是正常的。這就說明隻是MBR不正常而已。
經驗總結:數據恢複中情緒的因素很重要,無論什麽情況不能慌張,因為這可能影響到你 是否能全麵冷靜的思考。
4、 NOVELL服務器掉電問題一例:
相應情況:
這是兩年前處理過的一個問題,我當時在某證券營業部兼職做網管,開市時,一台NOVELL服務器因UPS故障突然掉電重起。當時的交易係統還是DBF數據庫,按照規程,應該運行一個全部數據庫重建索引例程。但索引中,卻有7個庫無法重建,檢查發現,是庫無法打開。
修複情況:
我恍惚記得深圳一個證券界電腦工程師對我說過,DBF文件頭在突然死機中可能會損壞。但不知細節如何。我初步判定,由於庫寫入時,先修改文件頭中的記錄總數,再寫入記錄。可能是掉電時文件頭已經修改但記錄沒有成功寫入,因此,應該是記錄數不符。但文件頭中記錄數在哪裏呢。我於是這樣處理,把這些損壞的數據庫和一個完好的數據庫COPY到本地,用FOXPRO打開看到記錄數,換算成16進製。然後查找這個HEX串,判定找到記錄數地址,(這個庫記錄數應當比較多,減少混淆的可能,否則容易找錯)。由於我不知道處理DBF的公式,隻好把損壞數據庫的記錄數每次減一,然後再用FOXPRO打開實驗。其中5個數據庫減一後就可以打開,隻有一個數據庫直到減4後才正常。全處理過程從掉電開始隻有20分鍾,基本沒有影響交易進行。
經驗總結:當出現問題,但你不知道確切的處理方法時,要充分進行分析。
5、 某財務係統數據處理一例:
相應情況:
也是我在證券公司處理的情況,某單機版財務係統,基於Clipper,當時是年初安裝,使用正常至6月份底,突然發現該月數據紊亂,與實際出入巨大。出品公司的人來看過後,聲稱需要1周處理時間和近萬元的處理費,我聽說後,建議財務部拒絕其“訛詐”,由我來處理。
分析處理過程:
由於我對財務一竅不通,我請財務經理講明了情況和一些概念,又分析了係統的大致結構。我發現本月每一筆數據都是正常的,隻是因為多了上千筆沒有發生的收支,才使匯總表發生了變化。那麽這些數據是哪裏來的,就成了問題的關鍵。在看了該軟件的初始狀態後,我似有所悟,問財務軟件初裝後並沒有的上百個“科目”是從哪裏建立的。財務經理回憶是上年底從某營業部發來的,我當時就明白了,那個營業部是上一年6月成立的,問題顯然出在該營業部提供的初始科目不為空,由於上年1-5月該營業部尚不存在,所以數據為空,而該營業部6月以後的數據則隨科目轉入了我所在營業部的財務係統。經過對當初轉入初始科目的對照,證實了我的判斷。於是,我做了一段程序,按照對應關係把相關數據從係統庫中摘除。從分析問題到問題的解決,隻用了三個小時。
經驗總結:
①、 當出現數據紊亂時,很重要一點就是找到幹擾源。
②、 數據處理絕非僅僅就是一個技術問題,特別是金融係統,一定要得到這方麵的專業人士的配合。我想如果沒有那位財務經理的信任鼓勵和讓我對會計知識的速成,問題處理就不會如此順利。
wwt4300792006-5-22, 03:36 AM
數據恢複與軟故障處理基本指南 --附表
1、 磁盤分區表
地址|說明|字節數
1BEH|分區信息1|10H
1CEH|分區信息2|10H
1DEH|分區信息3|10H
1EFH|分區信息4|10H
1FFH|結束標誌55AA|2H
2、 分區信息說明
偏移長度含義
0|字節| 激活狀態,80H:活動分區(可引導區),0H:非活動分區
1|字節|分區起始的磁頭
2|字 |分區起始的扇區和柱麵
4|字節|分區類型
5|字節|分區終止的磁頭
6|字|分區終止的扇區和柱麵
8|雙字|分區起始決對扇區
0CH|雙字|分區扇區數
3、 分區類型表(這是一個比較全的分區類型表了)
0 Empty
1 FAT12
2 XENIX root
3 XENIX usr
4 FAT16
許多人遇到BIOS中檢測不到硬盤或報錯的時候,就將其報廢。其實,如果開機後,硬盤在自檢時能聽到磁盤旋轉的聲音,估計主電機和控製電路板均無故障,還是有挽回餘地的。需要注意的是,硬盤是一種精密的器件,很脆弱,維修前應先將雙手洗淨,釋放掉人體殘存的靜電再進行操作。
無法找到硬盤的情況
對於出現“HDD Not Detected”錯誤提示的硬盤,首先檢查硬盤外部數據信號線的接口是否有變形,接口焊點是否存在虛焊。排除以上的可能後,取下硬盤後蓋,露出電路控製板。擰下控製板上的固定螺絲,將控製板與硬盤主體分離。這時可以看見硬盤主體的兩排彈簧片。一排作為主電機的電源,另一排作為硬盤主體的磁頭機械臂驅動線圈電源以及硬盤主體與電路控製板間數據傳輸接口。對於無特殊封裝的硬盤,往往可以看見彈簧片與控製電路板對應部位均有灰塵。用脫脂棉蘸無水酒精清潔,對彈簧片變形的部位校形,並除去氧化層,一般情況下均可恢複正常。
如果以上處理無效,那就得打開硬盤主體。選擇一個灰塵很少的環境,擰開硬盤前蓋的螺絲(有的是用膠粘 牢)。取下硬盤的前蓋,這時就可清楚地看到盤麵。首先用數字萬用表檢測磁頭機械臂驅動線圈是否斷路。該線圈的正常阻值為20Ω左右。其次檢測磁頭上的連線是否斷開。每張盤麵的兩側均有一個磁頭,每個磁頭均有兩根連線接到磁頭機械臂上的集成芯片上。該芯片常見的型號為H1710Q,作用是將磁信號轉變為電信號,再送到電路控製板處理。磁頭阻值應在23Ω~26Ω之間。若磁頭阻值較大,說明磁頭損壞。磁頭連線與芯片H1710Q相連,H1710Q對應腳阻值應在1.7kΩ左右,若在1.2kΩ以下說明該芯片已被擊穿,可與排線一起更換。
若磁頭上的連線斷路,可用直徑0.2mm的優質漆包線取代。一端壓在磁頭的金屬彈片上,另一端焊在H1710Q相應的腳上。注意將漆包線卡在機械臂相應的卡槽內,並用少許502膠水固定,防止硬盤轉動時與漆包線相摩擦。將硬盤各部分複原後,最後用702矽膠將硬盤周圍封死,防止灰塵進入。由於磁頭體積很小,不易將漆包線卡在上麵,最好在放大鏡下操作。這時千萬不可用力過猛,否則會造成磁頭損壞,所以要小心加小心。經這樣修複開機後硬盤可恢複正常。
提示硬盤出錯的情況
對於出現提示“HDD Controller Error”錯誤的硬盤,大都是由於某種原因造成硬盤主引導記錄(MBR)上文件受損。MBR位於0磁頭/0柱麵/1扇區上,由Fdisk.exe對硬盤分區時生成。若MBR受損,微機會提示HDD Controller Error,實際上是零磁道上文件損壞,這時格式化是解決不了問題的,必須用專用軟件來處理。首先用係統盤在A盤啟動後,運行Scandisk命令檢查C盤。
若零磁道未損壞,隻需用Norton8.0將該磁道上的文件修複即可。具體做法為:找一台內置硬盤與待修硬盤型號規格完全相同且裝有Norton8.0版軟件的電腦,將待修硬盤與硬盤電源線相連接,但硬盤信號線不接,跳線不變。①開機後運行Disk Edit命令,從菜單Tools中點取CONFIGURATION項,將Read Only項取消;②從下拉菜單O-biect中選取Driver項,將Hard Disk類型設置為Physical Disk,點擊OK項確定;③從Ob-ject菜單中選取Partition Table項,將接在完好硬盤上的信號線拔下,接到待修硬盤上,點擊OK項確定;④選擇Hard Disk1點擊OK項確定,再從Write Ob-ject to Physical Sectors對話框中將Cylinder、Side、Sector分別設置成0、0、1點擊OK項確定。當出現Warning對話框時選Yes項。退出Norton軟件,這樣就將硬盤的主引導信息恢複。重啟後硬盤恢複正常,原硬盤內的文件也不會丟失。
若零磁道損壞的硬盤,先仍按上述步驟用Norton8.0軟件處理,隻是到了第三步時,將Cylinder、Side、Sector分別設置成1、0、1點擊OK項確定。當出現Warning對話框時選Yes項。退出Norton軟件,重新啟動計算機,在BIOS設置硬盤自動檢測一欄中可以看到,CYLS數值減少了1個。如原來CYLS為2112,則變為2111。說明原硬盤分區表是從C盤的0柱麵開始,現從1柱麵開始。保存BIOS設置後退出。重新分區、格式化後硬盤恢複正常。另有一些硬盤,自檢時提示“HDD Controller Error”。采用以上方法處理無效,隻能報廢。Game Over!!!
wwt4300792006-5-22, 03:37 AM
硬盤診斷步驟
是否丟失了硬盤配置信息。測量>主板上COMS RAM電路是否為電池有故障,或元器件(如二極管、三極管、電阻、電容等)損壞能原因而CMOS中的硬盤配置參數出錯。
②通過加電自測,若屏幕顯示錯誤信息 “1701”或 “Hard Disk Error”,說明硬盤確實有故障。但也可能是硬盤適配卡未插好、或者硬盤與硬盤適配器的插接處未插好、或者硬盤適配器有故障等。
③關機,拆開機蓋,測+5V、+12V電源是否正常,電源盒風機是否轉動。以此來判斷是否外電路缺電。
④檢查信號電纜線,插頭與硬盤適配卡是否插好,有無插反或接觸不良。可嚐試交換一些電纜插頭試一下。
⑤采用“替代法”來確定故障部件。找一塊好硬盤適配卡(或多功能卡)與該硬盤適配卡比較,判斷是硬盤適配卡還是硬盤驅動器本身有問題。
⑥觀察步進電機端止檔銷是否卡死,如卡死,用手撥回起始位置。
以上幾個步驟,用戶需要仔細檢查、測試、分析,找出壞的元器件進行修理,或者更換硬盤適配卡。
經以上的處理後,隻要不是硬盤盤體本身損壞,僅僅是一般性的接插件的接觸不良或外電路故障則多數能夠迅速排除。
②測電阻法
該測量方法一般是用萬用表的電阻檔測量部件或元件的內阻,根據其阻值的大小或通斷情況,分析電路中的故障原因。一般元器件或部件的輸入引腳和輸出引腳對地或對電源都有一定的內阻,用普通萬用表測量,有很多情況都會出現正抽電阻小,反向電阻大的情況。一般正向阻值在幾十歐姆至100歐姆左右,而反向電阻多在數百歐姆以上。但正向電阻決不會等於0或接近0,反向電阻也不會無窮大,否則就應懷疑管腳是否有短路或開路的情況。當斷定硬盤子係統的故障是在某一板卡或幾塊芯片時,則可用電阻法進行查找。關機停電,然後測量器件或板卡的通斷、開路短路、阻值大小等,以此來判斷故障點。若測量硬盤的步進電機繞組的直流電阻為24歐,則符合標稱值為正常; 10歐左右為局部短路; 0歐或幾歐為繞組短路燒毀。
硬盤驅動器的扁平電纜信號線常用通斷法進行測量。硬盤的電源線既可拔下單測也可在線並測其對地阻;如果無窮大,則為斷路;如果阻值小於10歐,則應懷疑局部
1、 硬盤故障分析與處理步驟下麵僅簡要介紹物理故障的分析與一般的處理步驟:短路,需做進一步的檢查。
③測電壓法
該測量方法是在加是怕情況下,用萬用表測量部件或元件的各管腳之間對地的電壓大小,並將其與邏輯圖或其它參考點的政黨電壓值進行比較。若電壓值與正常參考值之間相差較大,則青蛙該部件或元件有故障;若電壓正常,說明該部分完好,可轉入對其它部件或元件的測試。一般硬盤電源與軟盤插線一樣,四個線頭分別為+12V、+5V、-5V和地線。硬盤步進電機額定電壓為+12V。硬盤啟動時電流大,當電源穩壓不良時(電壓從12V下降到10.5V),會造成轉速不穩或啟動困難。Ⅰ/O通道係統板擴展槽上的電源電壓為+12V、-12V、+5V和-5V。板上信號電壓的高電平應大於2.5V,低電平應小於0.5V。硬盤驅動器插頭、插座按照引腳的排列都有一份電壓表,高電平在2.5-3.0V之間。若高電平輸出小於3V,低電平輸出大於0.6V即為故障電平。邏輯是怦的測量可用試波器測量或者用邏輯筆估算。
④測電流法
如果有局部短路現象,則短路元件會升溫發熱並可能引起保險絲熔斷。將萬用表串入故障線路,核對電流是否超過正常值。硬盤驅動器適配卡上的芯片短路會導致係統析負載電流加大,驅動電機短路或驅動器短路會導致主機電源故障。硬盤電源+12V的工作電流應為1.1A左右。當硬盤驅動器負載電流加大時,會使硬盤啟動時好時壞。電機短路或負載過流輕則保險熔斷,重則導致電源塊、開關調整管損壞。在加大電流回路中可串入流假負載進行測量。如有保險的線路,則可斷開保險管一頭將表串入進行測量。在印刷板上的某芯片的電源線,可用刻刀或鋼鋸條割斷銅泊引線串入萬用表測量。電機插頭、電源插頭可從卡口裏將電源線起出來串入表測量。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
