數據恢復技術大全

數據恢復技術大全

目錄
一．數據恢復基礎知識
1.硬碟數據結構
2.硬碟分區方式
3.數據存儲原理
4.系統啟動流程
二、硬碟數據恢復方案分析
1．文件與刪除
1)、解決方案
2)、不可恢復的情況
2．分區表破壞
3．全盤崩潰和分區丟失
4．文件丟失、誤格式化的情況
5．文件損壞
6．硬碟被加密或變換
7．文件加密后密碼遺忘
8．系統用戶密碼遺忘的處理
三．數據備份介紹
1、么東西最該備份
2、備份到哪裡
硬碟數據恢復實例全解　之一
1）解決方案
2）不可恢復的情況
3）破壞原因及恢復可行性分析
硬碟數據恢復實例全解　之二
1）解決方案
2）不可恢復的情況
3）破壞原因及恢復可行性分析
硬碟數據恢復實例全解　之三
1）解決方案
2）不可恢復的情況
3）破壞原因及恢復可行性分析
硬碟數據恢復實例全解　之四
1）兩點建議
2）解決方案
3）實戰操作
硬碟數據恢復實例全解　之五
1）FAT分區的恢復
2）NTFS的恢復
3）分區格式化的恢復
硬碟數據恢復實例全解　之六
硬碟數據恢復實例全解　之七
硬碟數據恢復實例全解
數據恢復與軟故障處理基本指南 第一篇
第一篇、廣義的數據恢復
數據丟失的各種邏輯現象
數據恢復與軟故障處理基本指南 第二篇
第二篇、數據恢復的準備知識
數據恢復與軟故障處理基本指南 第三篇
第三章、數據恢復基本攻略
數據恢復與軟故障處理基本指南 第四篇
第四章、恢復實例
硬碟維修秘籍
無法找到硬碟的情況
提示硬碟出錯的情況
硬碟診斷步驟
硬碟盤故障判斷流程

一、數據恢復基礎知識
說到數據恢復，我們就不能不提到硬碟的數據結構、文件的存儲原理，甚至操作系統的啟動流程，這些是你在恢硬碟數據時不得不利用的基本知識。即使你不需要恢複數據，理解了這些知識（即使只是稍微多知道一些），對於你平時的電腦操作和應用也是很有幫助的。
我們就從硬碟的數據結構談起吧……
1、硬碟數據結構
剛出廠一塊硬碟，我們是沒有辦法使用的，你需要將它分區、格式化，然後再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說，我們一般要將硬碟分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分（其中只有主引導扇區是唯一的，其它的隨你的分區數的增加而增加）。
主引導扇區:主引導扇區位於整個硬碟的0磁軌0柱面1扇區，包括硬碟主引導記錄MBR（Main Boot Record）和分區表DPT（Disk Partition Table）。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區，並在程序結束時把該分區的啟動程序（也就是操作系統引導扇區）調入內存加以執行。至於分區表，很多人都知道，以80H或00H為開始標誌，以55AAH為結束標誌，共64位元組，位於本扇區的最末端。值得一提的是，MBR是由分區程序（例如DOS的Fdisk.exe）產生的，不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個，只要它能完成前述的任務即可，這也是為什麼能實現多系統啟動的原因（說句題外話:正因為這個主引導記錄容易編寫，所以才出現了很多的引導區病毒）。
操作系統引導扇區： OBR（OS&nbspBoot&nbspRecord）即操作系統引導扇區，通常位於硬碟的0磁軌1柱面1扇區（這是對於DOS來說的，對於那些以多重引導方式啟動的系統則位於相應的主分區/擴展分區的第一個扇區），是操作系統可直接訪問的第一個扇區，它也包括一個引導程序和一個被稱為BPB（BIOS Parameter Block）的本分區參數記錄表。其實每個邏輯分區都有一個OBR，其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作系統的引導文件（例如MSDOS或者起源於MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS）。如是，就把第一個文件讀入內存，並把控制權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬碟介質描述符、根目錄大小、FAT個數、分配單元（Allocation Unit，以前也稱之為簇）的大小等重要參數。OBR由高級格式化程序產生（例如DOS 的Format.com）。
文件分配表：
FAT(File&nbspAllocation&nbspTable)即文件分配表，是DOS/Win9x系統的文件定址系統，為了數據安全起見，FAT一般做兩個，第二FAT為第一FAT的備份, FAT區緊接在OBR之後，其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式歷來有很多選擇，Microsoft&nbsp的DOS及Windows採用我們所熟悉的FAT12、FAT16和FAT32格式，但除此以外並非沒有其它格式的FAT，像Windows&nbspNT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區：
DIR是Directory即根目錄區的簡寫，DIR緊接在第二FAT表之後,只有FAT還不能定位文件在磁碟中的位置，FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件（目錄）的起始單元（這是最重要的）、文件的屬性等。定位文件位置時，操作系統根據DIR中的起始單元，結合FAT表就可以知道文件在磁碟的具體位置及大小了。在DIR區之後，才是真正意義上的數據存儲區，即DATA區。
數據區：
DATA雖然佔據了硬碟的絕大部分空間，但沒有了前面的各部分，它對於我們來說，也只能是一些枯燥的二進位代碼，沒有任何意義。在這裡有一點要說明的是，我們通常所說的格式化程序（指高級格式化，例如DOS下的Format程序），並沒有把DATA區的數據清除，只是重寫了FAT表而已，至於分區硬碟，也只是修改了MBR和OBR，絕大部分的DATA區的數據並沒有被改變，這也是許多硬碟數據能夠得以修復的原因。但即便如此，如MBR/OBR/FAT/DIR之一被破壞的話，也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是，如果你經常整理磁碟，那麼你的數據區的數據可能是連續的，這樣即使MBR/FAT/DIR全部壞了，我們也可以使用磁碟編輯軟體（比如DOS下的DiskEdit），只要找到一個文件的起始保存位置，那麼這個文件就有可能被恢復（當然了，這需要一個前提，那就是你沒有覆蓋這個文件……）。
2、硬碟分區方式
我們平時說到的分區概念，不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區，通常位於硬碟的最前面一塊區域中，構成邏輯C磁碟。在主分區中，不允許再建立其它邏輯磁碟。
擴展分區的概念則比較複雜，也是造成分區和邏輯磁碟混淆的主要原因。由於硬碟僅僅為分區表保留了64個位元組的存儲空間，而每個分區的參數佔據16個位元組，故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據，如果說邏輯磁碟就是分區，則系統最多只允許4個邏輯磁碟。對於具體的應用，4個邏輯磁碟往往不能滿足實際需求。為了建立更多的邏輯磁碟供操作系統使用，系統引入了擴展分區的概念。
所謂擴展分區，嚴格地講它不是一個實際意義的分區，它僅僅是一個指向下一個分區的指針，這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外，僅需要存儲一個被稱為擴展分區的分區數據，通過這個擴展分區的數據可以找到下一個分區（實際上也就是下一個邏輯磁碟）的起始位置，以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁碟，在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁碟。
需要特別注意的是，由於主分區之後的各個分區是通過一種單向鏈表的結構來實現鏈接的，因此，若單向鏈表發生問題，將導致邏輯磁碟的丟失。
3、數據存儲原理
既然要進行數據的恢復，當然數據的存儲原理我們不能不提，在這之中，我們還要介紹一下數據的刪除和硬碟的格式化相關問題……文件的讀取操作系統從目錄區中讀取文件信息（包括文件名、後綴名、文件大小、修改日期和文件在數據區保存的第一個簇的簇號），我們這裡假設第一個簇號是0023。操作系統從0023簇讀取相應的數據，然後再找到FAT的0023單元，如果內容是文件結束標誌（FF），則表示文件結束，否則內容保存數據的下一個簇的簇號，這樣重複下去直到遇到文件結束標誌。
文件的寫入
當我們要保存文件時，操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息，然後在Data區找到閑置空間將文件保存，並將Data區的第一個簇寫入DIR區，其餘的動作和上邊的讀取動作差不多。
文件的刪除
看了前面的文件的讀取和寫入，你可能沒有往下邊繼續看的信心了，不過放心，Win9x的文件刪除工作卻是很簡單的，簡單到只在目錄區做了一點小改動――將目錄區的文件的第一個字元改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似，利用Fdisk刪除再建立分區和利用Format格式化邏輯磁碟（假設你格式化的時候並沒有使用/U這個無條件格式化參數）都沒有將數據從DATA區直接刪除，前者只是改變了分區表，後者只是修改了FAT表，因此被誤刪除的分區和誤格式化的硬碟完全有可能恢復……
系統啟動流程
各種不同的操作系統啟動流程不盡相同，我們這裡以Win9x/DOS的啟動流程為例。
第一階段:系統加電自檢POST過程。POST是(Power On Self Test)的縮寫，也就是加電自檢的意思，微機執行內存FFFF0H處的程序（這裡是一段固化的ROM程序），對系統的硬體（包括內存）進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬體正常並與CMOS設置相符后，按照CMOS設置從相應設備啟動（我們這裡假設從硬碟啟動），讀取硬碟的分區記錄（DPT）和主引導記錄（MBR）。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄后，如果主引導記錄和分區表校驗正確，則執行主引導記錄並進一步讀取DOS引導記錄（位於每一個主分區的第一個扇區），然後執行該DOS引導記錄。
第四階段:裝載系統隱含文件。將DOS系統的隱含文件IO.SYS入內存，載入基本的文件系統FAT，這時候一般會出現Starting Windows 9x...的標誌，IO.SYS將MS.SYS讀入內存，並處理System.dat和User.dat文件，載入磁碟壓縮程序。
第五階段:實DOS模式配置。系統隱含文件裝載完成，微機將執行系統隱含文件，並執行系統配置文件（Config.sys），載入Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。系統裝載命令管理程序，以便對系統的各種操作命令進行協調管理（我們所使用的Dir、Copy等內部命令就是由Command.com提供的）。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:載入Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行，至此啟動完畢。
數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識，相信加上工具軟體的輔助，恢復你丟失的數據簡直是輕而易舉，這裡就不再多說，我們走入真正的實戰操作吧…

二、
硬碟數據恢復方案分析
難道在硬碟數據由於各種原因被破壞后，我們就只能……？
當然，我們最大的期望還是――你永遠不要用到下面的方法！因為再完備的事後解決方案，也不能保證所有數據的完好無缺。而要真正做到萬無一失，更重要的工作還在於防患於未然。
1、文件語刪除
A、癥狀
這可能是最簡單同時也是最常見的數據損壞，直接的表述就是一般刪除文件后清空了回收站，或按住Shift鍵刪除，要不然就是在「回收站」的「屬性」中勾選了「刪除時不將文件移入回收站，而是徹底刪除」。
B、解決方案
既然是最常見的數據損壞，當然也就是最容易恢復的，下面就根據不同的操作系統給出相應的解決方案。
1）.Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復，這應該是大部分恢復類軟體的基本功能；而我們拿來作例子的軟體Recover4all，所提供的功能僅為在Win9x/Me下恢復被誤刪除的文件――其實很多東西並不是一味求大求全就好，夠用已足夠，簡單就是美。
2）.WinNT/2000下的解決方案
換種說法，也就是如何恢復在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求，File Scavenger完全就可以勝任。當然，File Scavenger是很具有針對性的――它只能在WinNT/2000系統下使用（同時必須以Administrator用戶登錄系統），而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復，並對格式化過的NTFS分區中的文件也有效（注意:File Scavenger只可以對格式化過的分區中的文件進行恢復，並不能恢復整個被格式化過的分區）。
C、不可恢復的情況
如果文件在刪除之後，其存儲的磁碟空間進行過寫操作，那在通常情況下恢復的幾率為0。因此，誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞、癥狀現在使用電腦的人基本都是談「毒」色變，病毒帶來的數據破壞往往不可預見（包括分區表破壞、數據覆蓋等；例如CIH病毒破壞的硬碟，其分區表已被徹底改寫，用A盤啟動也無法找到硬碟），由此病毒破壞硬碟數據的癥狀也不好描述，基本上大部分的數據損壞情況都有可能是病毒引起的，所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
2)、解決方案
由於病毒破壞硬碟數據的方法各異，恢復的方案就需要對症下藥。一般以常見的CIH為例，因為它最普遍，也最容易判斷（一般是在4月26日發作）。當用戶的硬碟數據一旦被CIH病毒破壞后，使用KV3000的F10功能，可修復的程度如下:
1.C盤容量為2.1G以上，原FAT表是32位的，C分區的修復率為98%，D、E、F等分區的修復率為99%,&nbsp配合手工C、D、E、F等分區的修復率為100%。
2.硬碟容量為2.1G以下，原FAT表是16位的，C分區的修復率為0%，D、E、F等分區的修復率為99%,配合手工D、E、F盤的修復率為100%。因為原C盤是16位的短FAT表，所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來，雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了，但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤，再用文件修復軟體TIRAMISU.EXE可將C盤內的部分文件影像找回來，如果原存放文件影像的簇是相連的，找回的文件就完整無損。但對於FAT16的C盤是不是中了CIH就沒救呢？你還是可以嘗試一下FIXMBR，它可以通過全盤搜索，決定硬碟分區，並重新構造主引導扇區。由於軟體只修改主引導扇區記錄，對其它扇區不進行寫操作，故一般不會帶來不安全目錄（如果修復得不理想，請DiskEdit等工具進行手工修復）。注意:FIXMBR是一個比較老的程序，對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢復的情況
由於病毒破壞硬碟的方式實在太多，而且大部分破壞都無法用一般軟體輕易恢復（如果你喜歡使用DiskEdit等磁碟扇區編輯工具，對某些情況還有一線希望），所以……遇到病毒破壞硬碟的情況你就祈禱吧（由此看來，安裝一個優秀的病毒防火牆絕對是有必要的）
2、 分區表破壞
分區表破壞是比較常遇到：
A、破壞原因及恢復可行性分析
分區表破壞，可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因，不外乎以下幾種:
1).個人誤操作刪除分區，只要沒有進行其它的操作完全可以恢復。
2).安裝多系統引導軟體或者採用第三方分區工具，有恢復的可能性。
3).病毒破壞，可以部分或者全部恢復。
4).利用Ghost克隆分區硬碟破壞，只可以部分恢復或者不能恢復（用Ghost的朋友要小心了）。
B、解決方案
在Norton&nbspUtility系列工具中，功能十分強大，可以恢復分區記錄、FAT表，需要注意的是它對硬碟的操作不是只讀的，因此你需要每一步都做好Undo文件，這樣即使誤操作也可以恢復，Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件，可惜Norton Disk Doctor不支持NTFS分區，這不能不說是它的一大遺憾之處……最專業的數據恢復公司出的軟體，當然很有專業風範，EasyRecovery支持的文件系統格式很多FAT、NTFS都支持，並且有專門的For&nbspNovell版本。EasyRecovery對於分區破壞和硬碟意外被格式化都可安全的恢復，你所要做的就是將數據損壞硬碟掛到另外一台電腦上，盡情恢復就是了，不過EasyRecovery對於中文的文件名和目錄名效果不是很好（一些亂碼，但文章內容絕對是正確的）。由出品PartitionMagic的PowerQuest公司所出的，硬碟資料復原工具。它是一套恢復硬碟因病毒感染，意外格式化等因素所導致的資料損失工具軟體，能將已刪除的文件資料找出並恢復，也能找出已重新格式化的硬碟、被破壞的FAT分配表、啟動扇區等等，幾乎能找出及發現任何在硬碟上的資料（支持FAT16和FAT32及長文件名）。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬碟，也提供了自動備份目錄、文件和系統配置文件的功能，能在任何時間恢復）
2、全盤崩潰和分區丟失
首先重建MBR代碼區，再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區，再根據扇區結構和後面是否有FAT等情況判定是否為分區表，最後計算填回主分區表，由於需要計算，過程比較煩瑣。如果文件仍然無法讀取，要考慮用Tiramint等工具進行修復。如果在FAT表徹底崩潰，恢復某個指定文件，可以用DiskEdit或Debug查找已知信息。比如文件為文本，文件中包含「軟體狗」，那麼我們就要把它們轉換為內碼C ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般來說，刪除文件僅僅是把文件的首位元組，改為E5H，而並不破壞文件本身，因此可以恢復。但對不連續文件要恢復文件鏈，而由於手工交叉恢復對一般計算機用戶來說並不容易，這裡就就不講了，建議用工具處理，如果已經安裝了Norton Utilities，可以用它來查找。另外，RecoverNT等工具都是恢復的利器。但是應特別注意，千萬不要在發現文件丟失后，在本機安裝什麼恢復工具，你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤，發現主要文件被你失手清掉了（比如你按SHIFT刪除），你應該馬上直接關閉電源，用軟盤啟動進行恢復或把硬碟串接到其它有恢復工具的機器處理。
4、文件損壞
　一般的說，恢復損壞文件須要清楚地了解文件的結構，但這並不是很容易的事情，而這方面的工具也不多。不過，文件如果位元組正常，不能正常打開往往是文件頭損壞。
5、硬碟被加密或變換
此時千萬不要進行FDISK/MBR，SYS等處理，否則數據再也無法找回，一定要反解加密演算法，或找到被移走的重要扇區。對於那些加密硬碟數據的病毒，清除時一定要選擇能恢復加密數據的可靠殺毒軟體。
6、文件加密后密碼遺忘
對於很多字處理軟體的文件加密和ZIP等壓縮包的加密，你是不能靠加密逆過程來完成的，因為那從理論上是異常困難的。目前有一些相關的軟體，他們的思想一般都是用一個大字典集中的數據循環用相同演算法加密后與密碼的密文匹配，直到一致時則說明找到了密碼。你可以去尋找這些軟體，當然，有些軟體是有後門的，比如DOS&nbsp下的WPS，Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的箇中高手，大家不妨去他的主頁看看。
7、系統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動（NT的你也可以把盤掛接在其他NT上），找到支持該文件系統結構的軟體（比如針對NT的NTFSDOS），利用他把密碼文件清掉、或者是COPY出密碼檔案，用破解軟體套字典來處理。前者時間短但所有用戶信息丟失，後者時間長，但保全了所有用戶信息。對UNIX系統，建議你一定先做一張應急盤。

二、數據備份介紹
雖然數據恢復技術可能將你的損失降到最低，但是，誰願意在惶恐不安中，邊祈禱邊按下各類數據恢復軟體的「Recover」按鈕？也沒有人喜歡面對滿屏的16進位代碼，帶著僥倖的心理調整硬碟分區表Data區的信息；所以，最好的數據保全方法應該是防患於未然――備份！
雖然，備份可以說是一種悲觀的做法，可一旦不可預見的問題發生，備份下來的資料也許是你唯一的救命稻草。
1、么東西最該備份
決定如何備份前，應先考慮備份什麼。硬碟里有三種東西:數據、應用程序和操作系統。你可備份硬碟中的所有東西，也可只備份數據。進行完整的備份是最簡單的方法，至少從恢復的角度看是這樣。如果整個硬碟完全損壞，你不需要從頭重裝操作系統和應用程序；而是很快就可恢復運行。但是反過來，進行完整備份花的時間更長，要用到更多帶有大容量存儲空間的移動設備――即所謂外掛驅動器，如CD-R或Zip驅動器。另一個方法是只備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或資料庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。你還應備份其它的重要文件，比如那些含有你所有設置的文件，包括瀏覽器的書籤（收藏夾）、cookie（含有密碼）、地址簿、配置設置、數據項與報告表、模板、宏等。Windows&nbsp2000把這些文件都放到一個名叫「Documents&nbspAnd&nbspSettings」的新文件夾中，所以找起來很方便。該文件夾中不僅包括My&nbspDocuments文件夾，還包括了部分關於配置設置、收藏夾和cookie的註冊表信息。在Windows&nbsp95或98中，這些文件分佈在多個Windows文件夾中，因此必須備份所有文件夾，以防遺漏。
2、備份到哪裡
對於一般的個人用戶，你當然可以將數據備份在本地硬碟的其它分區中；但如果不是實在別無選擇，請不要以為將重要數據備份到本地硬碟的其它分區上就是安全的，各種意外錯誤或是病毒、木馬都很容易將你的整個硬碟數據毀於一旦。所以，我們的建議是將重要數據備份到本地硬碟以外的其它設備，如插拔式外部存儲設備（如Zip、Jaz驅動器或USB/1394介面的活動硬碟）等、CD-R/RW或者網路上的其它硬碟。

　　硬碟數據恢復實例全解　之一

　　難道在硬碟數據由於各種原因被破壞后，我們就只能自怨自艾？

　　這篇實例全解，就是希望在不幸的情況發生的時候，讀者能夠快速找到對應的解決方案，不至於讓自己辛勤勞動成果白費。

　　當然，我們最大的期望還是――你永遠不要用到下面的方法！因為再完備的事後解決方案，也不能保證所有數據的完好無缺。而要真正做到萬無一失，更重要的工作還在於防患於未然。

　　文件被刪除

　　一、癥狀

　　這可能是最簡單同時也是最常見的數據損壞，直接的表述就是一般刪除文件后清空了回收站，或按住Shift鍵刪除，要不然就是在「回收站」的「屬性」中勾選了「刪除時不將文件移入回收站，而是徹底刪除」。

　　二、解決方案

　　既然是最常見的數據損壞，當然也就是最容易恢復的，下面就根據不同的操作系統給出相應的解決方案。

　　1.Win9x/Me下的解決方案

　　也就是FAT16/32分區下的文件誤刪除恢復，這應該是大部分恢復類軟體的基本功能；而我們拿來作例子的軟體Recover4all，所提供的功能僅為在Win9x/Me下恢復被誤刪除的文件――其實很多東西並不是一味求大求全就好，夠用已足夠，簡單就是美。

　　廢話少說，我們需要先從Recover4all的主站點（

　　http://www.recover4all.com

　　）下載R4a.exe，這是一個自解壓文件，你可以把其中的文件解壓到軟盤或硬碟的一個目錄下（默認就是解壓到軟盤）。運行其中的rec4all.exe，會看見一個註冊窗口，點擊其中「To star the progam click」的按鈕就能夠進行試用（未註冊版本只能恢復10KB以內的文件）。程序的主窗口下圖所示，這是一個類似於「資源管理器」的窗口；你可以通過點擊主菜單下方的盤符按鈕來掃描相應分區下的被刪除文件，然後在右邊的窗口中選擇需要恢復的文件，再點擊主菜單下方的「Recover」按鈕，並在新彈出的窗口中選擇恢復文件的存放位置即可――Win9x/Me下的誤刪除文件恢復就這麼簡單。

File Scavenger目前有兩種版本:硬碟安裝版和軟盤版（其下載的地址分別為:

　　http://www.quetek.com/32fs140.exe

　　和

　　http://www.quetek.com/32fs140f.exe

　　）。硬碟版的安裝和一般軟體類似，唯一需要注意的是――使用File Scavenger恢復文件的最安全方法就是在文件已經被刪除之後安裝File Scavenger（當然你不要將軟體安裝在刪除文件所在的分區）。因為File Scavenger的功能比較單一，其執行文件加上所需的庫文件一張1.44MB的軟盤也可以裝下，所以軟盤版也許是大家使用得比較多的（你要把軟盤版直接放在硬碟的一個目錄下也照常可以使用）。下面的實例，我們就用軟盤版來說明。

　　一個非重要的文件Veryimportant.txt被誤刪除且清空了回收站；還好，你看過本篇「實例分析」而且也在軟盤或硬碟上準備好了File Scavenger。OK，現在你運行其中的filescav.exe，你將會看見如下圖的窗口。注意:其中的「搜索條件」可有多種格式（例如，*.doc、*、\data\*.txt等），根據你自己的需要填寫最方便查找的；Exhaustive Sear複選框選擇後會讓你指定搜尋分區的簇大小以及搜索簇的範圍，而指定之後File Scavenger會搜尋並顯示所有存在的文件名稱，不管是被刪除的還是沒有，因此沒有特殊需要還是不用為好；在搜索結果窗口中可以通過點擊「Filename」、「Size」、「Modified」等來為搜索結果排序，以方便尋找。

　　現在我們已經找到了Veryimportant.txt，選擇它並點擊「Recover」按鈕，如果文件能夠被恢復，你就可以在先前指定的恢復文件存儲路徑中找到它（如果你是第一次使用File Scavenger，之前還會有一個窗口提醒你註冊，如果不註冊，你將只能恢復4KB以內的文件）。現在，還有什麼可擔心的？

　[/url]三、不可恢復的情況

　　如果文件在刪除之後，其存儲的磁碟空間進行過寫操作，那在通常情況下恢復的幾率為0。因此，誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。

　　病毒破壞　　

　　一、癥狀

　　現在使用電腦的人基本都是談「毒」色變，病毒帶來的數據破壞往往不可預見（包括分區表破壞、數據覆蓋等；例如CIH病毒破壞的硬碟，其分區表已被徹底改寫，用A盤啟動也無法找到硬碟），由此病毒破壞硬碟數據的癥狀也不好描述，基本上大部分的數據損壞情況都有可能是病毒引起的，所以最穩妥的方法還是安裝一個優秀的病毒防火牆。

　　硬碟數據恢復實例全解　之三

　　二、解決方案

　　由於病毒破壞硬碟數據的方法各異，恢復的方案就需要對症下藥。這裡就以常見的CIH為例，因為它最普遍，也最容易判斷（一般是在4月26日發作）。

　　當用戶的硬碟數據一旦被CIH病毒破壞后，使用KV3000的F10功能，可修復的程度如下:

　　1.C盤容量為2.1G以上， 原FAT表是32位的，C分區的修復率為98%，D、E、F等分區的修復率為99%, 配合手工C、D、E、F等分區的修復率為100%。

　　2.硬碟容量為2.1G以下，原FAT表是16位的，C分區的修復率為0%，D、E、F等分區的修復率為99%, 配合手工D、E、F盤的修復率為100%。

　　因為原C盤是16位的短FAT表，所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來，雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了，但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤，再用文件修復軟體TIRAMISU.EXE可將C盤內的部分文件影像找回來（需要了解這個軟體的朋友可以訪問Ontrack公司的主頁

　　[url=http://www.ontrack.com/]http://www.ontrack.com

　　……是不是在這個網站上找不到有關TIRAMISU的內容？呵呵，其實現在TIRAMISU已經被整合到Ontrack公司的旗艦產品――EasyRecovery中。相關的詳細介紹可以參照本文的下一部分「分區表破壞」），如果原存放文件影像的簇是相連的，找回的文件就完整無損。

　　但對於FAT16的C盤是不是中了CIH就沒救呢？你還是可以嘗試一下FIXMBR（

　　ftp://www.newhua.com/fixmbr102a.zip

　　），它可以通過全盤搜索，決定硬碟分區，並重新構造主引導扇區。由於軟體只修改主引導扇區記錄，對其它扇區不進行寫操作，故一般不會帶來不安全目錄（如果修復得不理想，請DiskEdit等工具進行手工修復）。注意:FIXMBR是一個比較老的程序，對WinNT、Linux以及FAT32考慮得不多。

　　三、不可恢復的情況

　　由於病毒破壞硬碟的方式實在太多，而且大部分破壞都無法用一般軟體輕易恢復（如果你喜歡使用DiskEdit等磁碟扇區編輯工具，對某些情況還有一線希望），所以……遇到病毒破壞硬碟的情況你就祈禱吧（由此看來，安裝一個優秀的病毒防火牆絕對是有必要的）!

　　分區表破壞

　　「天有不測風雲，人有旦夕禍福」，這句話可真沒有說錯，在用電腦的幾年時間內，分區表破壞的情形也經歷了好幾次。想起當初的手足無措，到後來的才敢下手，一直到現在還是戰戰兢兢，不過所謂的「愚者千慮，必有一得」，經過這麼長時間的折磨，也終於給我摸出來一絲門路，不敢獨享，希望和遇到有困境的朋友們共享，也希望大家和我多交流（E-mail:clinuxer@yeah.net）……

　　一、破壞原因及恢復可行性分析

　　分區表破壞，可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因，不外乎以下幾種:

　　1.個人誤操作刪除分區，只要沒有進行其它的操作完全可以恢復。

　　2.安裝多系統引導軟體或者採用第三方分區工具，有恢復的可能性。

　　3.病毒破壞，可以部分或者全部恢復。

　　4.利用Ghost克隆分區/硬碟破壞，只可以部分恢復或者不能恢復（用Ghost的朋友要小心了）。

硬碟數據恢復實例全解　之四


二、兩點建議
據國外的一個專業數據修復公司調查，數據損壞以後很大程度上是可以恢復的，之所以有很多不能恢復的實例存在，90%以上是由於用戶在後來的恢復過程中有誤操作，從而造成了更大的破壞。所以希望朋友們牢記以下兩點:
1.在硬碟數據出現丟失后，請立即關機，不要再對硬碟進行任何寫操作，那樣會增大修復的難度，也影響到修復的成功率.
你的每一步操作都應該是可逆的（就像Norton Disk Doctor中的Undo功能）或者對故障硬碟是只讀的（大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。
三、解決方案
　這個軟體包含在Norton Utility系列工具中，功能十分強大，可以恢復分區記錄、FAT表，需要注意的是它對硬碟的操作不是只讀的，因此你需要每一步都做好Undo文件，這樣即使誤操作也可以恢復，Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件，可惜Norton Disk Doctor不支持NTFS分區，這不能不說是它的一大遺憾之處……
最專業的數據恢復公司出的軟體，當然很有專業風範，EasyRecovery支持的文件系統格式很多FAT、NTFS都支持，並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬碟意外被格式化都可安全的恢復，你所要做的就是將數據損壞硬碟掛到另外一台電腦上，盡情恢復就是了，不過EasyRecovery對於中文的文件名和目錄名效果不是很好（一些亂碼，但文章內容絕對是正確的）。由出品PartitionMagic的PowerQuest公司所出的，硬碟資料復原工具。它是一套恢復硬碟因病毒感染，意外格式化等因素所導致的資料損失工具軟體，能將已刪除的文件資料找出並恢復，也能找出已重新格式化的硬碟、被破壞的FAT分配表、啟動扇區等等，幾乎能找出及發現任何在硬碟上的資料（支持FAT16和FAT32及長文件名）。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬碟，也提供了自動備份目錄、文件和系統配置文件的功能，能在任何時間恢復）。要注意的一點是，盡量用一個很大的硬碟來裝恢復的數據（最好掛雙硬碟），如果目標盤的容量小於源盤的容量，下場會很慘！不過Lost&Found卻是基於DOS的一種軟體，這在「瘟到死」橫行的今天，市場只有越來越小！
四、實戰操作
硬碟數據恢復實例全解　
　我的硬碟為IBM 9.44GB硬碟，分區情況如下:
　一天被朋友用Win2000自帶的磁碟管理工具將所有分區完全刪除，並且刪除之後沒有進行任何操作。恢復工具的選擇上，因為四個分區三個是FAT16，一個是NTFS，我決定首先用Norton Disk Doctor恢復三個FAT16分區，不過由於Norton Disk Doctor不支持NTFS，故採用支持NTFS的EasyRecovery。
　1.FAT分區的恢復
打開Norton Utility中的Norton Disk Doctor，NDD會自動為你檢測硬碟分區情況，當檢測到測盤2的分區表有問題時，跳出一個提示窗口，詢問是否在訪問磁碟2的過程中遇到麻煩，按下「Yes」按鈕。
　 接下來的彈出窗口中提示Norton Disk Doctor沒有在磁碟2上發現任何DOS分區，是否要Norton Disk Doctor搜索並重建DOS分區，當然選擇「Yes」（是）。
很快又一個「Partition Search」（分區搜索窗口）彈出，提示找到一個2039MB的DOS分區，是不是要恢復，當然是「Yes」。
在接下來的詢問是否搜索更多的DOS分區窗口中選擇「Yes」，又發現一個DOS分區，一直回答「Yes」直到Norton Disk Doctor找到3個DOS分區，由於NTFS分區Norton Disk Doctor不支持，所以在找到3個分區后，如果磁碟搜索程序詢問你是否搜索更多的DOS分區時，選擇「No」，重新啟動計算機，發現丟失的三個FAT分區完全恢復，並且WinMe仍可正常啟動。
2.NTFS的恢復
NTFS分區的恢復我們是使用EasyRecovery來實現的，打開EasyRecovery，按下「Next」（下一步）進入磁碟選擇窗口，選中我的IBM-DTTA-351010下的「Unknown File System Type（4.43GB）」，按下「Next」。
在接下來的窗口中你可以設置該分區的起始扇區號（Start Sector）和中止扇區號（End Sector），不用管它，按下「Next」繼續。
現在到了選擇分區文件格式窗口，在「File system Type」的下拉式菜單中選擇「NTFS」（我這裡的分區格式是NTFS，你應該選擇和你的條件相符的，如果實在不知道分區格式也可以選擇「RAW」進行全盤搜索），搜索方式選擇「Typical Scan」（特定搜索）就可以了，按下「Next」/「Next」。
硬碟一陣轟隆隆的狂響之後，搜索結果終於出現在我們面前，將你需要恢復的文件前面打上鉤，然後在下邊的Destination中輸入你恢復文件的目的路徑，按下「Next」恢復吧……
3.分區格式化的恢復
分區格式化之後，只要其中沒有寫入任何文件，理論上我們仍然可以恢復。工具嗎？當然還是EasyRecovery了，不過需要說明一點的是:由於格式化程序將根目錄完全破壞所以用EasyRecovery恢復以後，你會看到一些DIR0、DIR1等目錄（不過目錄中的文件名還是完整的）！ 　　啟動故障
我等電腦用家，如果某一天硬碟不能啟動，輕則使你陷入手忙腳亂之中，重則丟失重要資料，我們這裡從硬碟啟動的整個歷程來為你詳解每個階段可能出現的問題以及應該採取的措施，解決你的手足無措之苦……

硬碟數據恢復實例全解　之六


一、出錯信息:「Non System disk or disk error, Replace and strike any key when ready」，用軟盤啟動后，在A:\>后鍵入C:，屏幕顯示:「Invalid drive specification」，系統不認硬碟。
故障分析:造成該故障的原因一般是CMOS中的硬碟設置參數丟失或硬碟類型設置錯誤造成的。
解決方案:進入CMOS，檢查硬碟設置參數是否丟失或硬碟類型設置是否錯誤，如果確是該種故障，只需將硬碟設置參數恢復或修改過來即可。具體修改方式:進入CMOS設置，選擇「HDD AUTO DETECTION」(硬碟自動檢測)選項，即可自動檢測出硬碟類型參數（由不同的BIOS而定，有的BIOS中可能是「IDE AUTO DETECTION」，只需針對自己的選項修改就是了）。若無此項，並且也沒有備份的CMOS，你就只好打開機箱，查看硬碟表面標籤上的硬碟參數，然後依樣修改了。
二、出錯信息:開機后，屏幕上顯示:「Invalid partition table」，硬碟不能啟動，若從軟盤啟動則認C盤。
故障分析:造成該故障的原因一般是硬碟主引導記錄中的分區表有錯誤，當指定了多個活動分區(只能有一個活動分區)或病毒佔用了分區表時，將有上述提示。
主引導扇區位於0磁頭0柱面1扇區，由Fdisk.exe對硬碟分區時生成。主引導扇區包括主引導程序（MBR）、分區表（DPT）和結束標誌55AA三部分，共佔一個扇區。主引導程序中含有檢查硬碟分區表的程序代碼和出錯信息、出錯處理等內容。當硬碟啟動時，主引導程序將檢查分區表中的活動標誌。若某個分區為可活動分區(Active)，則有分區標誌80H，否則為00H，並且對於DOS等操作系統只能有一個分區為活動分區，若分區表中含有多個活動標誌時，主引導程序會給出「Invalid partition table」的錯誤提示。
解決方案:解決方法很多:最簡單的就是使用NDD來修復（由於不能進入Windows，我們當然使用的是DOS版本的NDD），它將自動為你檢查分區表錯誤，並加以修復。需要注意的是，因為分區表破壞有很多種方式，因此我們需要在對分區表改動之前首先備份主引導扇區，這樣即使恢復錯誤，我們也能返回錯誤之前的位置重新再來。
　
三、出錯信息:系統自檢正常，可自檢之後只顯示一行「Operation system not found」出錯信息就不再引導，但是用軟盤啟動計算機后，可以看到硬碟上的任何內容。
　故障分析:這種問題一般是由於MBR在檢查活動分區的時候出現的，和我們上一問題的出錯比較類似，所不同的是一個是分區表中活動分區標誌過多，而本例中是沒有活動分區造成的。
解決方案:用軟盤啟動計算機，然後執行分區程序Fdisk.exe，按下「2」來選擇活動分區（Set active partition）。
在接下來的選擇活動分區窗口中，選擇你自己想要啟動的分區，我這裡選擇的是「1」――Primary DOS（主DOS分區），對應於我的DOS/Windows下的C:盤。

硬碟數據恢復實例全解　之七


四、出錯信息:主機加點自檢，自檢完畢，硬碟指示燈閃亮，屏幕出現:「Operting system not found」錯誤信息，硬碟啟動失敗。用軟盤啟動成功，試圖進故硬碟時，出現:「Invalid drive Specification」錯誤信息。
　故障分析:用Norton DiskEdit看磁碟的物理0扇區，發現分區結束標誌55AA被破壞。
　解決方案:這種問題我們也利用NDD來加以修復，如果你沒有NDD，也可以採用相應的磁碟編輯工具，直接將物理0扇區的最後兩個字元改為16進位的55AA就可以了。
五、出錯信息:開機屏幕顯示「Operting system not found」，用Win98啟動以後有三條出錯信息，在DOS下不能看到任何分區，用DiskEdit查看主引導扇區，發現已經被完全破壞。
故障分析:這種問題應該是分區表被嚴重破壞的表現，可能是病毒或者人為的誤操作（比如使用Ghost恢復分區時選擇了錯誤的選項）。
解決方案:參照前面我們介紹的「分區表破壞」來進行恢復。
六、出錯信息:開機后屏幕上出現「Error loading operating system」或「Missing operating system」或者是「Disk I/O Error Replace the disk then press any key」的提示信息。
　故障分析:造成該故障的原因一般是DOS引導記錄出現錯誤。DOS引導記錄位於邏輯0扇區，是由高級格式化命令Format生成的。主引導程序在檢查分區表正確之後，根據分區表中指出的活動分區的起始地址，讀DOS引導記錄，若連續讀五次都失敗，則給出「Error loading opearting system」的錯誤提示，若能正確讀出DOS引導記錄，主引導程序則會將DOS引導記錄送入內存0:7C00h處，然後檢查DOS引導記錄的最後兩個位元組是否為55AAH，若不是這兩個位元組，則給出「Missing operation system」的提示。
解決方案:對於以上這些問題都可以使用NDD來解決，不過根據不同的出錯提示還有不同的解決方案:
　1.出錯提示為「Invalid system disk，Replace the disk， and then press anykey」。這種情況一般是因為系統引導文件IO.sys被刪除或者損壞，可以用「sys A: C:」將系統引導文件傳送到C:盤。
　2.「Error loading system」錯誤提示。這種提示說明分區表中標明的活動分區的起始位置錯誤或者DOS引導記錄出錯，只能用NDD修復。
　3.「Missing operating system」出錯提示。用DiskEdit編輯相應活動分區的引導區，並將最後分區結束標誌改成55AA。
硬碟數據恢復實例全解
對於以上幾種出錯信息，如果你的數據不是很重要，也可以考慮用Format來解決問題，不過我們強烈建議你採用NDD來修復，這樣如果你改錯了，還有後悔的餘地（Undo），這也是我們前面告誡大家用NDD一定要做Undo的原因之所在。
七、出錯提示:機器加電自檢以後可以出現「Starting MS DOS…」的提示符，但是最後卻出現了「Bad or missing command interpret」這樣的出錯提示。
　故障分析:出現這種問題應該在DOS引導的後期，IO.SYS處理完MS.SYS后，要裝入命令解釋器Command.com卻找不到。
　解決方案:很簡單，軟盤啟動以後，將軟盤上的Command.com拷貝到C:盤的根目錄下。

數據恢復與軟故障處理基本指南 第一篇


第一篇、廣義的數據恢復
長期以來計算機領域數據恢復似乎缺乏一個把握全貌的，如果說給出一個比較能把握全貌的說法，我們首先應當給計算機數據一個廣義的概念，某些人覺得只有類似文本文件、資料庫中的記錄或表這樣的東西才是數據，其實從廣義上說，任何位於計算機存儲介質上的信息都是數據，無論是哪種介質，也無論是具體作用，他們都是數據。與這種概念對應，任何使這些信息發生非主觀意願之外的變化都可視為破壞。那麼數據恢復是就是一個把異常數據還原為正常數據的過程。
一、對數據的潛在威脅
1、惡意的程序：大家最熟悉的惡意程序就是病毒，很多人認為病毒對數據的影響僅僅是病毒的破壞性，這是不正確的，實際上病毒的感染本身就是一種破壞，一個病毒無論他藉助修改你的引導區、可執行程序還是OFFICE文檔，他都把你正常的數據做了改變，當然，你可能舉良性伴隨性病毒這種極端的例子。但毫無疑問，他同樣對數據構成了破壞，至少他減少了你的硬碟的可用空間。同時，惡意的程序還包括特洛伊木馬，邏輯炸彈等等。惡意的程序造成的破壞可能是最難恢復的。
2、其他惡意的破壞：即使不藉助病毒或者其他的工具，只要擁有足夠的許可權，任何系統都有一定的「自毀」能力。比如依靠系統正常的刪除、移動、格式化等操作也可以達到破壞數據的目的。隨著網路技術的發展，威脅已經不僅僅限於本機，
3、誤操作：很多數據丟失源於使用者的操作失誤，比如誤刪除，誤格式化等等。
4、操作系統或應用軟體的錯誤：隨著操作系統和應用程序的代碼量的成倍增加，BUG也在不斷增加。我們最常用的桌面系統WIN9X就是一個BUG大王。操作系統和應用軟體的錯誤，往往會給人的工作帶來一些不可預期的影響。比如前階段，發現FRONTPAGE98的一個BUG，觸發後會把你目錄下的文件全部刪除，另外，象著名的遊戲神話II，出現了如不安裝在默認目錄中可能會使你丟失擴展分區這樣嚴重的問題。
5、加密和許可權：儘管加密和許可權設置是你保護數據的有效手段，但遺忘密碼也會帶來很大的問題。
6、掉電：機器突然掉電的後果可能不僅僅是內存數據的丟失，也可能造成磁碟數據的丟失，或導致系統無法正常啟動。
7、內存溢出：導致內存溢出或者進程非法終止等低層錯誤的原因很多，他就象掉電一樣，會使你損失當前的工作。
8、升級：軟體系統升級有時會帶來一些問題，後面我們將舉相應例子。
9、硬體損壞和失竊：這可能是最嚴重的威脅之一。有時這把你恢複數據的可能降低為零。
二、數據丟失的各種邏輯現象
對數據的恢復，基本上是一種邏輯處理。只有對情況有一個準確的判定，才能做出準確的應對。一般的來說，問題可以歸納為以下幾種情況。
1、 硬碟無法完成正確引導：因物理故障造成的邏輯損壞、引導區故障、重要扇區崩潰等等，都會使系統不能完成正常的自舉過程。
2、 文件丟失：由於有意破壞，誤刪除等等都會造成數據的丟失。另外，這種歸類不僅僅包括某個或某幾個文件，也適用於目錄，分區或卷的丟失。
3、 文件無法正常打開：由於病毒感染，加密，文件頭損壞等情況，會使文件無法正常打開。
4、 數據紊亂：由於各種因素的影響，資料庫中的信息，文本文件等，可能面目全非。
三、保護數據的建議
這個專題是探討數據恢復的，而不是信息保護的，因此點到為止，一句話，那就是防患於未然，我們列舉了對數據的威脅，如果我們最大程度的減弱了這些威脅，對每一種可預知的潛在威脅都有相應的預防和對策，我們的數據安全才會有最大的保障。這些對策主要包括選擇良好的反病毒和系統維護產品、加強保安全措施、採用UPS掉電保護、提高用戶操作水平和安全意識、形成系統的信息管理和備份制度等等。都可以有效的保證數據的安全，總之，我對數據恢復的認識與病毒是相同的――與其亡羊補牢，不如防患未然

數據恢復與軟故障處理基本指南 第二篇


第二篇、數據恢復的準備知識
1、系統工作機理的簡單介紹（本節由lowpower縮寫）這一部分在原作中是最重要的一章，考慮到篇幅關係，進行了大量的刪節。
①、 DOS（DOS兼容系統）硬碟數據的構成
　　DOS磁碟系統，可以按照邏輯分區的概念管理物理空間，不同分區可以裝載不同的OS系統。示意如下：
硬碟空間
第一扇區　|　分區1 |　分區2|　分區3 |分區4　|
主引導扇區|引導扇區|引導扇區|引導扇區|引導扇區|
各分區公用|各個分區相對獨立，可安裝不同操作系統。
對FAT結構的分區每一分區都有獨立的引導記錄，FDT表，FAT表等。同時，系統還有一個最為重要的主引導記錄。在0柱0面1扇區，今後我們用CYL代表柱、SIDE代表面，SEC代表扇區。以下一個FAT結構分區的簡圖。
保留區－－磁碟參數表、DOS引導記錄
控制區－－FAT表1、FAT表2根目錄區
數據區－－數據區
以下簡單介紹一下重要的部分：
主引導記錄又稱主分區表、MBR等等：MBR佔一個扇區，在CYL 0、SIDE 0 、SEC 1，由代碼區和數據區構成。其中代碼區是一端標準的程序，完成 BIOS自舉到OS BOOT之間的工作，為OS啟動做最後的準備。標準代碼區可以由FDISK/MBR重建，但對於多系統引導的不標準MBR，將被這一操作破壞。MBR的數據區記錄了分區情況。
系統扇區：CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63，共62個扇區引導區又稱BOOT區：CYL 0、SIDE
1 、SEC 1 這是我們過去稱的DOS引導區。也佔一個扇區。
文件分配表又稱FAT：是記錄文件佔用簇的情況和連接關係的地方。一般有兩個FAT表，起到備份的作用。FAT12、FAT16的第一FAT表一般均在0-1-2，FAT32的第一FAT表在0-1-33。由於FAT表記錄文件佔用扇區連接的地方，如果兩個FAT表都壞了，後果不堪設想。
由於FAT表的長度與當前分區的大小有關所以FAT2的地址是需要計算的。
根目錄區（ROOT、FDT）：這裡記錄了根目錄里的目錄文件項等，ROOT區跟在FAT2後面。
數據區：跟在ROOT區後面，這才是數據內容。
其實， MBR、隱含扇區、BOOT區，重建都比較容易。數據恢復的關鍵在於恢複數據文件。由於FAT表記錄了文件在硬碟上佔用扇區的鏈表，如果2個FAT表都完全損壞了。那麼恢復文件，特別是佔用多個不連續扇區文件就相當困難了。
②、 主引導記錄簡單說明：
主引導記錄是硬碟引導的起點，關於代碼區不多說了，其數據區，比較重要的是2個標誌，80H和55AA，80H一般在偏移1BE處，80是分區激活的標誌的標記表示系統可引導，且整個分區表只能有一個80標記。另一個就是結尾的55AA標記，用來表示主引導記錄是一個有效的記錄。另外，各個分區自身的引導記錄，也是以55AA結束，這是我們查找分區的標誌。我們後面在介紹如何主引導記錄中，給出了一個完整的分區表的例子，大家可對照查看。數據區中，用10H位元組表示一個分區，最多可表示4個分區，分別從1BE、1CE、1DE、1EE開始，我們後面給出了分區表項對應地址的含義。大家可以對應分析一下以下分區的情況。
80 01 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00
① ② ③ ④ ⑤ ⑥
①：激活標記，80表示可引導分區
②：分區開始的磁頭號為01、開始的扇區號為01、開始的柱面號為00，由於開始的扇區號為2進位6位，而開始的柱面號為2進位10位，因此扇區號所用位元組的高兩位要加在柱面號高兩位。
③：分區的系統類型FAT32（0B），01是FAT12，04為FAT16，06為BIGDOS，07為NTFS，其他參見分區類型表。
④：分區結束磁頭號254、分區結束扇區號63、分區結束柱面號764
⑤：首扇區的相對扇區號63
⑥：總扇區數12289622
2、常見手工處理工具與DOS外部命令介紹
DEBUG：古老和最為常見的調試跟蹤軟體，始終捆綁在微軟的DOS/WIN9X操作系統中。有19個子命令。有編寫執行彙編指令，直接讀寫絕對扇區和內存單元等功能，可以在最艱苦的條件下工作。DOS6.22以下的系統，DEBUG.EXE在DOS目錄下，WIN9X系統中它在WINDOWS\COMMAND目錄下，它也出現在WIN9X所生成的應急盤中。
DISKEDIT：常見16進位編輯軟體，字元界面，可以以文件方式和扇區方式讀寫邏輯內容，可以讀寫絕對扇區，可以方便的查找編輯分區表、FAT表、ROOT區等重要扇區。這一點要比DEBUG更方便。但在一些重要扇區損壞的情況下，DISKEDIT可能無法啟動。DISKEDIT軟體可以在著名的Norton Utilities軟體包中找到。最新的DISKEDIT出現在NU4中。
NDD：常見的FAT文件結構磁碟修復工具，就是著名的NORTON磁碟醫生，可以自動修復分區丟失等情況，可以搶救軟盤壞區中的數據，強制讀出后搬移到其他空白扇區。希望大家不要再使用NORTON FOR DOS7或8的NDD，這個版本由於不支持大分區、FAT32、長文件名等技術，會給你帶來大量的麻煩。建議大家使用Norton Utilities4或更高版本中的NDD.EXE，這是純DOS下的工具。在硬碟崩潰或異常的情況下，他可能可以帶給用戶以希望。WIN9X下的磁碟醫生調用的並不是這個程序，而是NDD32.EXE.
FDISK：FDISK當然是個危險的命令，很多人非常恐懼，事實上，FDISK命令的運行並不影響任何分區內的硬碟數據，他對分區的設置操作，只改變主分區表的數據區。而特別是FDISK異常重要的隱含參數/MBR，可以重建主分區表的代碼區，清除主引導型病毒等。這是非常有用的操作。DOS6.22以下的系統，FDISK.EXE在DOS目錄下，WIN9X系統中它在WINDOWS\COMMAND目錄下，它也出現在WIN9X所生成的應急盤中。
FORMAT：在一些人眼中，FORMAT是最可怕的命令，但他並不是對硬碟清零，特別值得注意的是，很多文件恢復工具都建議你恢復前先FORMAT該分區起到保護的餓作用。DOS6.22以下的系統，FORMAT.COM在DOS目錄下，WIN9X系統中它在WINDOWS\COMMAND目錄下，它也出現在WIN9X所生成的應急盤中。
HD-COPY：傳統的軟盤COPY工具，2.0版本以後加入了強制讀的功能，可以讀出一些損壞扇區的內容。
SYS：SYS命令是重建BOOT區的最簡潔的手段，也可以殺除BOOT區病毒。DOS6.22以下的系統，sys.COM在DOS目錄下，WIN9X系統中它在WINDOWS\COMMAND目錄下，它也出現在WIN9X所生成的應急盤中。
令我非常遺憾的是，至今我沒有發現比較出色的扇區級備份鏡象工具，我曾寫過一個HD-MIRROR，但由於錯誤較多，我提供下載的第二天就停止了發布，另外fixc的作者noz寫過一個clone.exe，但可惜只適合相同的硬碟。我也曾以為GHOST可以做到這點，事實上，你目前還不能指望他為你備份一塊深度破損的硬碟。。如果有一個有效的能以按扇區機制（而不是文件機制）壓縮備份一塊硬碟將之做成一個鏡象文件的話，那麼我們的恢復工作就擁有了更多的保證和餘地。我們可以更大膽的做恢復的嘗試。
3、一些自動處理工具或軟體包
首先介紹國內的一些免費修復工具
FIXMBR：何公道先生寫的一個修復MBR的工具，適合處理邏輯分區丟失的情況， 有一些可選參數，支持FAT32、FAT16，不支持NTFS、LINUX等分區，支持8.4G以上硬碟。可修復CIH發作后的擴展邏輯分區。
VRVFIX：北信源公司的推出的修復硬碟共享工具，適合處理邏輯分區丟失的情況，處理的基本比較準確。支持FAT32、FAT16，不支持NTFS、LINUX等分區。也不支持8.4G以上硬碟。
FIXC：國內最早出現的可以修復部分被CIH破壞的C盤的工具，作者是NOZ，新版本也加入了修復分區信息的功能，支持FAT32、FAT16，有限支持NTFS，不支持8.4G以上硬碟。目前的版本已經比較完善。
FIXHDPT：TBSOFT工作室的分區信息修復工具。支持FAT32、FAT16，不支持NTFS和LINUX，不支持8.4G以上硬碟，是歷史比較長的工具之一。
RE(ReapirEasy)：本人早期寫的分區表修復工具，支持FAT32、FAT16，有限支持NTFS，不支持8.4G 以上硬碟，和某些BIOS不兼容。其整體水準低於前面列舉的工具。國外一些系統維護的工具目前已經達到了非常強大的程度。
Norton Utilities：歷史最悠久的系統維護工具。不僅可以數據恢復，還可以系統加速和修補內存錯誤。目前最新的版本是NU4.5 FOR 9X、NU2 FOR NT等。
Tiramint：最為出色的災難恢復工具之一，有NTFS、FAT32、FAT16、NOVELL4種版本。生成急救軟盤，可以對深度破壞的磁碟進行交叉恢復。
4、常用的基本操作
① 讀出主引導記錄：這是系統級數據恢復可能涉及最多的程序之一。例：
DEBUG
-a100 ；從此處開始彙編
126C:0100 mov ax,201； 讀操作一個扇區
126C:0103 mov bx,300； 送入地址300
126C:0106 mov cx,1 ；0面1扇
126C:0109 mov dx,80 ；80H為硬碟，頭為0
126C:010C int 13
126C:010E int 3
126C:010F
-g=100 ；執行
AX=0050 BX=0300 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000 DS=126C ES=126C SS=126C CS=126C IP=010E NV UP EI PL NZ NA PO NC
這裡用了I/O中斷13，涉及的寄存器含義為ah,操作方式，02H為讀，03H為寫，al送扇區數，bx送準備裝入扇區的內存偏移地址，cx送從哪一道哪一扇區開始，我們一般依靠改換CX來讀寫不同邏輯盤某個邏輯扇區。dx送盤符和頭數INT　3是斷點中斷，使程序運行到此停止。
② 顯示引導區內容：我們把扇區讀到某個內存地址並不是目的。而是為了看到他的內容，在DEBUG中D命令可以方便的查看內存單元的內容。續前例，如果我們要看到主引導區的內容的話，既然裝載到300。-d300 l200就可以查看了，一個引導區的映象類似如下，可以直觀的看 到我們前面所提到的代碼區和數據區。是否正常請大家自行分析一下
126C:0300 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C 3.....|.P.P....|
126C:0310 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BE BE 07 B1 04 ...PW...........
126C:0320 38 2C 7C 09 75 15 83 C6-10 E2 F5 CD 18 8B 14 8B 8,|.u...........
126C:0330 EE 83 C6 10 49 74 16 38-2C 74 F6 BE 10 07 4E AC ....It.8,t....N.
126C:0340 3C 00 74 FA BB 07 00 B4-0E CD 10 EB F2 89 46 25 .}U
126C:03B0 AA 74 5A 83 EF 05 7F DA-85 F6 75 83 BE 27 07 EB .tZ.......u..'..
126C:03C0 8A 98 91 52 99 03 46 08-13 56 0A E8 12 00 5A EB ...R..F..V....Z.
126C:03D0 D5 4F 74 E4 33 C0 CD 13-EB B8 00 00 00 00 00 00 .Ot.3...........
126C:03E0 56 33 F6 56 56 52 50 06-53 51 BE 10 00 56 8B F4 V3.VVRP.SQ...V..
126C:03F0 50 52 B8 00 42 8A 56 24-CD 13 5A 58 8D 64 10 72 PR..B.V$..ZX.d.r
126C:0400 0A 40 75 01 42 80 C7 02-E2 F7 F8 5E C3 EB 74 49 .@u.B......^..tI
126C:0410 6E 76 61 6C 69 64 20 70-61 72 74 69 74 69 6F 6E nvalid partition
126C:0420 20 74 61 62 6C 65 00 45-72 72 6F 72 20 6C 6F 61 table.Error loa
126C:0430 64 69 6E 67 20 6F 70 65-72 61 74 69 6E 67 20 73 ding operating s
126C:0440 79 73 74 65 6D 00 4D 69-73 73 69 6E 67 20 6F 70 ystem.Missing op
126C:0450 65 72 61 74 69 6E 67 20-73 79 73 74 65 6D 00 00 erating system..
126C:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:0480 00 00 00 8B FC 1E 57 8B-F5 CB 00 00 00 00 00 00 ......W.........
126C:0490 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 ................
126C:04C0 01 00 0B FE BF FC 3F 00-00 00 7E 86 BB 00 00 00 ......?...~.....
126C:04D0 81 FD 0F FE FF FF BD 86-BB 00 E0 A9 75 00 00 00 ............u...
126C:04E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
126C:04F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.

③ 反彙編主引導區內容：判定MBR的代碼區是否正常，對於數據區的基本情況，我們可以通過直觀觀察得出，但對於存在引導型病毒，或者引導區出現異常代碼的情況，我們可能需要分析MBR中代碼區的指令。這一般要對已經讀入內存的引導區進行反彙編。反彙編用指令U，續前例：
-u300 l15D ；反彙編主引導扇區代碼區內容
126C:0300 33C0 XOR AX,AX
126C:0302 8ED0 MOV SS,AX
…………
126C:045C 65 DB 65
126C:045D 6D DB 6D
④ 寫內存單元，在我們的前例中，主分區類型是0B是FAT32的，假定這個類型實際是NTFS的，我們該如何修改呢？由於主分區類型的偏移是4C3H，我們可以用E命令寫到內存單元中，從附表中查得NTFS的類型為07。因此-e4c3 7再比如說，假定我們想把無效的分區表清零，那麼，我們應當用另一個命令F，這個命令可以用填充一個內存地址範圍。清零分區表的操作就是-f4be 4ff 00，以下兩個操作也比較常見。
重置80標記，-e4be 80
重置55AA標記，-f4ff 4fe 55 aa
不要忘記了，此時僅僅是改動了內存中的數據，並未寫到硬碟上。因此需要用int 13中斷把改寫的結果，寫回硬碟。續前例，
-a100
126C:0100 mov ax,301 ； 寫操作一個扇區
-g=100 ；執行
其實，我們相當於修改了剛才輸入的讀主引導扇區程序，使程序變為。
126C:0100 mov ax,301 ； 寫操作一個扇區
126C:0103 mov bx,300 ；從內存地址300
126C:0106 mov cx,1 ；0面1扇
126C:0109 mov dx,80 ；80H為硬碟，頭為0
126C:010C int 13
126C:010E int 3 ；斷點
⑤ 絕對磁碟內容的讀出與寫入
類似操作在FAT32結構硬碟被CIH破壞的修復中比較常見，我們後面將講到恢復的基本思路就是用第二FAT表覆蓋第一FAT表。那麼無疑要讀出第二FAT表的內容，再回寫到第一FAT表的位置上。一般的來說，大量連續扇區的讀出寫入DISKEDIT進行非常方便，如果用DEBUG做則要寫一段子程序，不過程序的主要技巧就是利用int 25絕對磁碟讀中斷讀出的內容，而用int 26絕對磁碟寫做內容寫入。
5、數據可恢復的前提
有人覺得這個題目說法比較奇特，但數據恢復，作為一個數據再現的過程，一定要解決兩個問題，第一是從哪裡恢復的問題，第二是怎麼恢復的問題。解決了這兩個問題，我們事實上就把握了數據恢復的全部思想脈絡。而這一部分就是從哪裡恢復的問題。
①、 有效而及時的備份中是數據恢復最可靠的來源，在許多人倡導備份到秒的今天，恐怕不會有人懷疑這點。而有些備份機制則是系統內建的，比如兩份FAT表。
②、 數據的實際有效性的判定是關鍵，對我們來說，硬碟無法自舉、文件找不到、文件打不開等現象，其實並不與數據丟失畫等號。因為此時往往數據只是從操作系統的角度是一種邏輯丟失，而從物理扇區意義上，它仍然存在或部分存在。最明顯的就是文件刪除的例子，事實上，這只是把文件首位元組，改為0E而已。而此時文件體依然存在。
③、 數據損壞過程的可逆性分析：對數據的改變無非兩種，取代和變換，前者是不可逆的，而後者則是可逆的。我們以殺毒為例，對於大多文件性病毒來說，那些以附加而非代換方式感染的文件型病毒，理想的殺毒過程就是感染的逆過程。這種分析也常見與重要信息被隱藏搬移或者被加密的情況，但分析將比較複雜。
④、 數據本身是否是標準信息：有些信息實際是通用或局部通用的，你無須考慮如何從本機搶救。只要相同或相近的系統版本就可以了，比如BOOT區、隱含扇區、WINDOWS的DLL文件等等。典型的例子如分區表的代碼區，這是一段標準代碼，事實上，它就放在你的FDISK程序裡面，你可以用DEBUG把他提取出來。
⑤、 數據本身是否可以由其他信息統計再生：有些信息儘管丟失了，也沒有備份。但它實際可以從其他數據中間接求得。最典型的就是主分區表中的分區信息，即使你把他清零也不必害怕，因為你可以從你幾個分區中計算再生。
⑥、 破壞的完成程度：事實上，FDISK、FORMAT都不會徹底破壞數據，一般只有低格和扇區覆蓋操作才會徹底破壞數據。但有時，破壞過程或者誤操作過程會因人工終止、死機等原因不能完成。最明顯的就是CIH病毒的例子，由於CIH是以1024位元組為單位覆蓋扇區，這當然是不可逆過程，於是我們最初都認為，破壞是很難恢復的，除非人工終止。事實上，當病毒覆蓋某些扇區時會與9X系統發生衝突，從而造成死機，使數據得到了保護。

數據恢復與軟故障處理基本指南 第三篇


第三章、數據恢復基本攻略
1、 硬體或介質問題的情況
①、硬碟壞：硬碟自檢不到的情況一般是硬體故障，又可分為主版的硬碟控制器（包括IDE口）故障和硬碟本身的故障。如果問題在主板上，那麼數據應當沒有影響。如果出在硬碟上，也不是一定不能修復。硬碟可能的故障又可能在控制電路、電機和磁頭以及碟片。如果是控制電路的問題，一般修好它，就可以讀出數據。但如果電機、磁頭和碟片故障，即使修理也要返回原廠，數據恢復基本沒有可操作性。
②、軟盤壞：當軟盤數據損壞時，可以有幾種處理，一種是用NDD修復，他會強制讀出你壞區中的東西，MOVE到空白扇區中，這就意味著如果你的磁碟很滿操作是沒法進行的。你也可以用HDCOPY2.0以上版本READ軟盤，他也會進行強讀，使讀入緩衝區的數據是完好的，你再寫入一張好磁碟就可以了。當然這些方式，要看盤壞的程度。如果0磁軌壞，數據也並非無法搶救，早先可以通過扇區讀的方式，把後面的數據讀出，不過一般來說，你依然可以HDCOPY來實驗。
2、系統問題的情況
①、在硬碟崩潰的情況下，我們經常要和一些提示信息打交道。我們要了解他典型提示信息的含義，注意這些原因僅僅分析邏輯損壞而不是硬碟物理壞道的情況。
提示信息
可能原因
參考處理
Invalid Partition Table
分區信息中1BE、1CE、1DE處不符合只有一個80而其他兩處為0
用工具設定，操作在前面已經講了。
Error Loading Operating System
主引導程序讀BOOT區5次沒成功。
重建BOOT區
Missing Operating System
DOS 引導區的55AA標記丟失
用工具設定，把前面讀寫主引導區程序的DX=80改為180即可
Non-System Disk or Disk Error
BOOT區中的系統文件名與根目錄中的前兩個文件不同
SYS命令重新傳遞系統，
Disk Boot Failure
讀系統文件錯誤
SYS命令重新傳遞系統，
Invalid Driver Specifcationg
如果試圖切換到一個確實存在的邏輯分區出現以下信息，說明主分區表的分區記錄被破壞了。
根據各分區情況重建分區表，或者用自動修復工具修復。注意分區丟失是最常見的故障之一，此時不要緊張，一般的說此時數據並沒有問題，如果你不了解處理的方法。你可以選擇我前面介紹的自動修復分區工具進行處理，他們大多隻改寫主分區表的數據區，不會影響你的其他數據。特別提醒大家，這些工具有的不支持8.4G硬碟，有的與BIOS對硬碟的識別有關係。如果你在一台機器上不行，可以換台BIOS不同的機器實驗一下。
Bad or missing command interpreter
這是說找不到COMMAND.com，或者COMMAND文件壞了。
如果你COPY過去COMMAND文件還是如此，一般來說是感染了某種病毒。
Invalid media type reading drive
X ,Abort,Retry,Fail?
該盤沒有高級格式化，或BOOT區中I/O參數表被破壞。
這裡情況較多，手工處理比較複雜，特別指出，此時DISKEDIT可能無法運行，建議用工具修復。
Incorrect DOS Version
可能是文件版本不統一，對9X來說，有95，95osr/2,98,98 oem/2等版本，重新SYS時，不要弄錯了。
用正確版本的啟動盤重新SYS系統。
另外說明一下，對於比較老的機器還有1071和not found rom basic、ROM BASIC OK等提示，在目前機器中以消失。另外，當代碼區完全被破壞的情況下，系統關於無系統的提示是來自BIOS的，這條提示與BIOS的種類有關。另外，FDISK/MBR對代碼區的重建是我們經常採用的。再介紹一種比較極端的情況，就是硬碟自檢正常，而用軟盤和硬碟都無法正常啟動的情況，這可能是，病毒或惡意程序利用，DOS3以上版本啟動中都要檢索分區表這一特點，把分區表置為死循環。造成啟動中死機。網上曾經流傳過DOS6.22k修改方案，其實是修改西文MS-DOS6.22的 IO.SYS，把C2 03 06 E8 0A 00 07 72 03替換為：C2 03 90 E8 0A 00 72 80 90就可以啟動被類似情況鎖住的硬碟。
②、WIN9X無法正常進入或工作：以下僅僅是對可能的軟故障分析，沒有考慮硬體故障.
　　進入圖形界面前死機情況比較複雜，可能與載入的某些驅動有關可以在START MS WINDOWS時，用F8激活菜單，設置為step by step，看是哪項使系統死機。而後從CONFIG或者SYSTEM。INI中刪除
進入圖形界面后死機： 一般這與開機載入的程序有關進入安全模式（此時自動運行的程序將不能載入），對註冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的鍵值和啟動組中載入的程序進行分析。必要的予以刪除。
顯示IEXPLORE.EXE錯誤，不能進行任何操作可能有某個系統的動態連接庫損壞覆蓋安裝WIN9X，或從其他機器上COPY損壞的連接庫。（確定哪個庫損壞一般比較困難）
頻繁出現出錯各種信息：一般是虛擬內存不足造成的看C盤是否剩餘空間過少，或者打開的應用程序和窗口太多。
2、全盤崩潰和分區丟失
首先重建MBR代碼區，再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區，再根據扇區結構和後面是否有FAT等情況判定是否為分區表，最後計算填回，主分區表，由於需要計算，過程比較煩瑣，就不仔細介紹了，希望大家用前面介紹的工具，比如NDD處理。如果文件仍然無法讀取，要考慮用TIRAMINT等工具進行修復。如果在FAT表徹底崩潰的情況下，恢復某個指定文件，可以用DISKEDIT或DEBUG查找已知信息。比如文件為文本，文件中包含「軟體狗」，那麼我我們就要把他們轉換為內碼C8 ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般的來說，文件刪除僅僅是把文件的首位元組，改為E5H，而並不破壞本身，因此可以恢復。但由於對不連續文件要恢復文件鏈，由於手工交叉恢復對一般計算機用戶來說並不容易，在這篇縮略版中就不講了，建議用工具處理，如果已經安裝了Norton Utilities，可以用他來查找。另外，RECOVERNT 等工具，都是恢復的利器。特別注意的是，千萬不要在發現文件丟失后，在本機安裝什麼恢復工具，你可能恰恰把文件覆蓋掉了。特別是你的文件在C盤的情況下，如果你發現主要文件被你失手清掉了，（比如你按SHIFT刪除），你應該馬上直接關閉電源，用軟盤啟動進行恢復或把硬碟串接到其他有恢復工具的機器處理。誤格式化的情況可以用工具處理。
4、文件損壞的情況
一般的說，恢復文件損壞需要清楚的了解文件的結構，並不是很容易的事情，而這方面的工具也不多。不過一般的說，文件如果位元組正常，不能正常打開往往是文件頭損壞。就文件恢復舉幾個簡單例子。
類型
特徵
處理
ZIP、TGZ等壓縮包無法解壓
ZIP文件損壞的情況下可以用一個名為ZIPFIX的工具處理。不過如果你的文件是從FTP站點上下載的，那麼有可能是你沒有定義下載模式為BIN。
自解壓文件無法解壓
可能是可執行文件頭損壞，可以用對應壓縮工具按一般壓縮文件解壓。
DBF文件死機后無法打開
典型的文件頭中的記錄數與實際不匹配了，把文件頭中的記錄數向下調整，遺憾的是公式我找不到了。
5、硬碟被加密或變換
此時千萬不要FDISK/MBR，SYS等處理，否則可能數據再也無法找回，一定要反解加密演算法，或找到被移走的重要扇區。對於那些加密硬碟數據的病毒，清除時一定要選擇能恢復加密數據的可靠殺毒軟體。
6、文件加密后密碼遺忘
對於很多字處理軟體的文件加密和ZIP等壓縮包的加密，你是不能靠加密逆過程來完成的，因為那從理論上是異常困難的。目前有一些相關的軟體，他們的思想一般都是用一個大字典集中的數據循環用相同演算法加密后與密碼的密文匹配，直到一致時則說明找到了密碼。你可以去尋找這些軟體，當然，有些軟體是有後門的，比如DOS下的WPS，Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的箇中高手，大家不妨去他的主頁看看。
7、系統用戶密碼遺忘的處理：最簡單的方法就是用軟盤啟動（NT的你也可以把盤掛接在其他NT上），找到支持該文件系統結構的軟體（比如針對NT的NTFSDOS），利用他把密碼文件清掉、或者是COPY出密碼檔案，用破解軟體套字典來處理。前者時間短但所有用戶信息丟失，後者時間長，但保全了所有用戶信息。對UNIX系統，我建議你一定先做一張應急盤。

數據恢復與軟故障處理基本指南 第四篇


第四章、恢復實例
下面舉一些數據恢復或者軟故障處理的例子，這些事例是從我參與大量的故障處理中選取的一些典型事例。在選取典型事例中，遵循了以下原則。
①、 處理過程能夠表現一定思想，而不是純粹的技術手段。
②、 處理過程本身並不算複雜，基本不出現彙編程序，一般讀者能夠理解。
③、 處理過程本身並不完美，中間可能犯了一些錯誤，有的甚至局部失敗。可以使大家引為借鑒。
④、 處理過程本身並不僅僅是純粹的邏輯思維，有人的心理活動對技術的干擾。以使大家能更好的避免這些。
1、 被CIH破壞硬碟恢復一例
委託恢復人：某銀行
硬碟情況：CIH發作，藍屏死機。該單位電腦人員曾用KV300 F10進行修復，但沒有成功，又恢復了保存的MBR。
修復工具：
準備好軟盤3張：
DISK1 -WIN98啟動盤（帶DEBUG）
DISK2-DISKEDIT等工具（此盤不要防寫）
DISK3-DOS下殺CIH的工具
基本思想：
1、FAT2沒有損壞的情況，用FAT2覆蓋FAT1。
2、FAT2也已經損壞的情況，我一般是只期待找回其中某些關鍵的文件了。
我們最期待的是這些文件是連續的。如果不連續的話，也並非沒有可能，但這往往還要知道文件的一些細節，包括對一些文件本身的連接結構有了解。如果FAT2沒有完全破壞，是有一定用處的，另外，一般來說，FAT16的硬碟因為FAT表靠前破壞的比較嚴重，一般兩個FAT表都壞了，小硬碟也很難恢復了。
修復過程：
把我的硬碟摘下，掛上待恢復的的硬碟，開機，進入SETUP，檢測硬碟，把參數記下――CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。 用準備好的軟盤啟動：
A：>C：
顯示Invalid drive specification
FDISK/MBR重建主引導記錄。（這是個習慣），重新軟盤引導：（可能沒有必要）。
此時已經看的見C：硬碟。
啟動DISKEDIT，啟動過程中顯示Invalid media type reading DRIVER C,哎呀，算了，還是先用DEBUG清空分區表,，並置80和55aa標誌。
重新啟動，再運行DISKEDIT，顯示設定為READ ONLY，沒關係，把TOOLS/CONFIGURATION中的只讀選項去掉，存檔，好了，可以編輯了。由於當時接的硬碟有多塊，我把這塊當成了是一塊只有C分區，所以沒看別的東西，我們期待FAT2沒有損壞，以用FAT2覆蓋FAT1，在這個時候DISKEDIT要比DEBUG容易的多，在FIND OBJECT中選擇FAT，查一下起始扇區，好的，在CYL 0 SIDE68 SEC 14，0000H，F8 FF FF 0F（FAT32的），好的，FAT2沒壞。其實如果不用DISKEDIT的可以用一端小程序查，偏移0000的F8 FF FF。
由於以為只有C分區，所以，上來就在FIND中查找IOSYS（IO和SYS中要有空格）以查找ROOT區。找到后觀察，是否有C：\下常見文件。好的，ROOT區沒被破壞。記下了該扇區的CYL 0、SIDE 68、SEC 14，備用。FAT1一般前面已經被破壞了，但後面應該還在，這可以作為檢查。因為是32位的，FAT1一般在CYL 0 SIDE1 SEC 33。因為有了ROOT區然後應該計算FAT表的長度了，因為FAT2到ROOT前一扇區為止，所以非常簡單。
然後可以用FAT2覆蓋FAT1，這裡用DEBUG還是DISKEDIT都可以，如果用DEBUG一般是用INT 25讀絕對扇區，再用INT 26寫入，用DISKEDIT則比較簡單。程序：（略）
然後可以恢復主引導記錄、隱含扇區和BOOT區，可以先用NDD修復分區表，其他可以考慮可以考慮用標準覆蓋法，如果你希望下一步由NORTO NUtilities來接手,這些都可以不做。我從另一台FAT32的機器上取來了相應的部分，寫了進去。我這時發現好象有一個D盤。先看一下在說吧。
好了，關機串上我的硬碟，用NORTON Utilities 4掃描C盤，文件基本恢復，對C盤殺毒，WHY，沒有發現病毒，換了2種殺毒軟體還是沒有病毒，現在顯示C盤是948M，有一個D盤，但是95下無法瀏覽，DOS下亂碼。於是打電話核實當時的情況，原來是26日那天，放進一張光碟，光碟機燈亮了一會，就硬碟狂響，藍屏死機了。應該證實我的推斷一樣，是光碟的AUTORUN程序有CIH病毒。所以說沒有實時防禦能力的軟體是沒有意義的。另外，他們的硬碟確實分兩個區，而且重要文件在D區。然後在修復D盤吧，再回到DOS，用DEBUG查找結束標誌為55AA的扇區，然後根據後面是否有FAT判定是否為擴展分區。此時可算出大小來返回修訂主分區表。當然，許多工具也可以很好的完成這一工作。如果你沒有把握，就用他們完成好了。其實我就是用自己的RE做的，否則手工做確實太麻煩。
經驗總結：
①、你不要聽信或者憑記憶想一塊硬碟該是怎麼樣的，一定要自己去看，我就是犯了這個錯誤。
②、某些軟體的修復功能確實如一些網友所講可能有一定隱患，如果銀行的電腦人員在用KV300 F10處理之前沒有備份，可能要給我找些麻煩。
我們應當看到，恢複數據要本著幾項原則。
①、 最好先備份，這也是而後我寫HD-MIRROR的原因
②、 優先搶救最關鍵的數據
③、 在穩妥的情況下先把最穩定的雞蛋撈出來，（理應先修復擴展分區，再修復C），最好修復一部分備份一部分。
④、 要先作好準備，不要忙中出錯，此間，由於我的機器沒有裝過NORTON，先解壓，習慣的敲了一個D：\TEMP,這才想起來D盤已經是人家的硬碟，文件險些解在沒有完全修好的C盤上。這種錯誤有時會經常發生。
2、 LINUX錯誤安裝帶來問題一例
委託恢復人：某信息港
硬碟情況：4.3G硬碟，分三個區，D、E中有很多重要數據。原來裝95系統，做主盤。在試圖向從盤上裝LINUX的時，誤將安裝盤符選為C，而後發現終止，此時硬碟無法自舉。軟盤啟動無法看到任何有效分區。
工具準備：
DISK1 - WIN98啟動盤（帶DEBUG）
DISK2 - DISKEDIT等工具（此盤不要防寫）
修復思想：
修復分區表中的擴展分區，重置主分區的分區類型。
修復過程：
用軟盤啟動，FDISK/MBR清除LILO，重建代碼，用DISKEDIT調入MBR觀察，已經沒有了擴展邏輯分區的信息。80激活分區的類型已經變成83（LINUX）這時我犯了與前面類似的錯誤，本應先修復分區信息，但我卻依然去先試圖C。而且修復C的時是否我又犯了一個致命的錯誤，那就是我算錯了C盤的大小。本來C盤是650M左右的一個分區，應當把分區類型置為06H（大DOS），而我誤算C為340M，因此我置為了04H（普通FAT16），這時我想對C做進一步修復，就把硬碟串到我的機器上，開機后C盤可見，文件似乎完好。此時我選擇用NU來自動修復它的C盤。最後的結果是，由於我選錯了分區類型，修復使C盤徹底崩潰。我重新起機后，再試圖用NU檢測C時，我的98
馬上藍屏，另一個惡果就是我決定從軟盤啟動，用DISKEDIT查看時，發現可能由於I/O參數表的損壞，DISKEDIT無法啟動了。而後，我用RE恢復分區表，但在我的方正上，RE竟然溢出，後來，我找到一台兼容機，在上面運行RE，這才恢復了D、E兩個分區。此時，委託我恢復的朋友打來電話，說只找到D、E就可以。我這才放心。
經驗總結：分區類型只是一個位元組，卻會帶來如此嚴重的後果。可見，修複數據必須異常慎重。
3、 NT SERVER硬碟崩潰一例
相應情況：
這是單位里的一台NT伺服器。三個NTFS分區，有重要數據在內。硬碟崩潰，不能啟動，軟盤啟動后，用NTFSDOS 不能映射任何邏輯分區。
工具準備：
DISK1 - WIN98啟動盤（帶DEBUG）
DISK2 - DISKEDIT等工具（此盤不要防寫）
修復過程：
用DEBUG讀取主分區表，發現完全混亂。反彙編后發現為一段有邏輯意義的代碼，我當時十分緊張，以為硬碟被加密了。只好向一個高手HIT-007求援，不料他用DEBUG看了兩下，馬上退出來，做了FDISK/MBR。我大驚失色。但重起后，硬碟竟能啟動進入NT，當然只剩下C一個分區。而後我很容易的恢復了另外兩個分區。他對我說，你一看MBR中的內容就被嚇住了，我向後看後面的一些系統扇區情況都是正常的。這就說明只是MBR不正常而已。
經驗總結：數據恢復中情緒的因素很重要，無論什麼情況不能慌張，因為這可能影響到你 是否能全面冷靜的思考。
4、 NOVELL伺服器掉電問題一例：
相應情況：
這是兩年前處理過的一個問題，我當時在某證券營業部兼職做網管，開市時，一台NOVELL伺服器因UPS故障突然掉電重起。當時的交易系統還是DBF資料庫，按照規程，應該運行一個全部資料庫重建索引常式。但索引中，卻有7個庫無法重建，檢查發現，是庫無法打開。
修復情況：
我恍惚記得深圳一個證券界電腦工程師對我說過，DBF文件頭在突然死機中可能會損壞。但不知細節如何。我初步判定，由於庫寫入時，先修改文件頭中的記錄總數，再寫入記錄。可能是掉電時文件頭已經修改但記錄沒有成功寫入，因此，應該是記錄數不符。但文件頭中記錄數在哪裡呢。我於是這樣處理，把這些損壞的資料庫和一個完好的資料庫COPY到本地，用FOXPRO打開看到記錄數，換算成16進位。然後查找這個HEX串，判定找到記錄數地址，（這個庫記錄數應當比較多，減少混淆的可能，否則容易找錯）。由於我不知道處理DBF的公式，只好把損壞資料庫的記錄數每次減一，然後再用FOXPRO打開實驗。其中5個資料庫減一后就可以打開，只有一個資料庫直到減4后才正常。全處理過程從掉電開始只有20分鐘，基本沒有影響交易進行。
經驗總結：當出現問題，但你不知道確切的處理方法時，要充分進行分析。
5、 某財務系統數據處理一例：
相應情況：
也是我在證券公司處理的情況，某單機版財務系統，基於Clipper，當時是年初安裝，使用正常至6月份底，突然發現該月數據紊亂，與實際出入巨大。出品公司的人來看過後，聲稱需要1周處理時間和近萬元的處理費，我聽說后，建議財務部拒絕其「訛詐」，由我來處理。
分析處理過程：
由於我對財務一竅不通，我請財務經理講明了情況和一些概念，又分析了系統的大致結構。我發現本月每一筆數據都是正常的，只是因為多了上千筆沒有發生的收支，才使匯總表發生了變化。那麼這些數據是哪裡來的，就成了問題的關鍵。在看了該軟體的初始狀態后，我似有所悟，問財務軟體初裝后並沒有的上百個「科目」是從哪裡建立的。財務經理回憶是上年底從某營業部發來的，我當時就明白了，那個營業部是上一年6月成立的，問題顯然出在該營業部提供的初始科目不為空，由於上年1-5月該營業部尚不存在，所以數據為空，而該營業部6月以後的數據則隨科目轉入了我所在營業部的財務系統。經過對當初轉入初始科目的對照，證實了我的判斷。於是，我做了一段程序，按照對應關係把相關數據從系統庫中摘除。從分析問題到問題的解決，只用了三個小時。
經驗總結：
①、 當出現數據紊亂時，很重要一點就是找到干擾源。
②、 數據處理絕非僅僅就是一個技術問題，特別是金融系統，一定要得到這方面的專業人士的配合。我想如果沒有那位財務經理的信任鼓勵和讓我對會計知識的速成，問題處理就不會如此順利。

數據恢復與軟故障處理基本指南 --附表


1、 磁碟分區表
地址|說明|位元組數
1BEH|分區信息1|10H
1CEH|分區信息2|10H
1DEH|分區信息3|10H
1EFH|分區信息4|10H
1FFH|結束標誌55AA|2H
2、 分區信息說明
偏移長度含義
0|位元組| 激活狀態，80H：活動分區（可引導區），0H：非活動分區
1|位元組|分區起始的磁頭
2|字 |分區起始的扇區和柱面
4|位元組|分區類型
5|位元組|分區終止的磁頭
6|字|分區終止的扇區和柱面
8|雙字|分區起始決對扇區
0CH|雙字|分區扇區數
3、 分區類型表（這是一個比較全的分區類型表了）
0 Empty
1 FAT12
2 XENIX root
3 XENIX usr
4 FAT16

許多人遇到BIOS中檢測不到硬碟或報錯的時候，就將其報廢。其實，如果開機后，硬碟在自檢時能聽到磁碟旋轉的聲音，估計主電機和控制電路板均無故障，還是有挽回餘地的。需要注意的是，硬碟是一種精密的器件，很脆弱，維修前應先將雙手洗凈，釋放掉人體殘存的靜電再進行操作。
無法找到硬碟的情況
對於出現「HDD Not Detected」錯誤提示的硬碟，首先檢查硬碟外部數據信號線的介面是否有變形，介面焊點是否存在虛焊。排除以上的可能后，取下硬碟后蓋，露出電路控制板。擰下控制板上的固定螺絲，將控制板與硬碟主體分離。這時可以看見硬碟主體的兩排彈簧片。一排作為主電機的電源，另一排作為硬碟主體的磁頭機械臂驅動線圈電源以及硬碟主體與電路控制板間數據傳輸介面。對於無特殊封裝的硬碟，往往可以看見彈簧片與控制電路板對應部位均有灰塵。用脫脂棉蘸無水酒精清潔，對彈簧片變形的部位校形，併除去氧化層，一般情況下均可恢復正常。
如果以上處理無效，那就得打開硬碟主體。選擇一個灰塵很少的環境，擰開硬碟前蓋的螺絲(有的是用膠粘 牢)。取下硬碟的前蓋，這時就可清楚地看到盤面。首先用數字萬用表檢測磁頭機械臂驅動線圈是否斷路。該線圈的正常阻值為20Ω左右。其次檢測磁頭上的連線是否斷開。每張盤面的兩側均有一個磁頭，每個磁頭均有兩根連線接到磁頭機械臂上的集成晶元上。該晶元常見的型號為H1710Q，作用是將磁信號轉變為電信號，再送到電路控制板處理。磁頭阻值應在23Ω～26Ω之間。若磁頭阻值較大，說明磁頭損壞。磁頭連線與晶元H1710Q相連，H1710Q對應腳阻值應在1.7kΩ左右，若在1.2kΩ以下說明該晶元已被擊穿，可與排線一起更換。
若磁頭上的連線斷路，可用直徑0.2mm的優質漆包線取代。一端壓在磁頭的金屬彈片上，另一端焊在H1710Q相應的腳上。注意將漆包線卡在機械臂相應的卡槽內，並用少許502膠水固定，防止硬碟轉動時與漆包線相摩擦。將硬碟各部分復原后，最後用702硅膠將硬碟周圍封死，防止灰塵進入。由於磁頭體積很小，不易將漆包線卡在上面，最好在放大鏡下操作。這時千萬不可用力過猛，否則會造成磁頭損壞，所以要小心加小心。經這樣修復開機后硬碟可恢復正常。
提示硬碟出錯的情況
對於出現提示「HDD Controller Error」錯誤的硬碟，大都是由於某種原因造成硬碟主引導記錄(MBR)上文件受損。MBR位於0磁頭/0柱面/1扇區上，由Fdisk.exe對硬碟分區時生成。若MBR受損，微機會提示HDD Controller Error，實際上是零磁軌上文件損壞，這時格式化是解決不了問題的，必須用專用軟體來處理。首先用系統盤在A盤啟動后，運行Scandisk命令檢查C盤。
若零磁軌未損壞，只需用Norton8.0將該磁軌上的文件修復即可。具體做法為：找一台內置硬碟與待修硬碟型號規格完全相同且裝有Norton8.0版軟體的電腦，將待修硬碟與硬碟電源線相連接，但硬碟信號線不接，跳線不變。①開機后運行Disk Edit命令，從菜單Tools中點取CONFIGURATION項，將Read Only項取消；②從下拉菜單O-biect中選取Driver項，將Hard Disk類型設置為Physical Disk，點擊OK項確定；③從Ob-ject菜單中選取Partition Table項，將接在完好硬碟上的信號線拔下，接到待修硬碟上，點擊OK項確定；④選擇Hard Disk1點擊OK項確定，再從Write Ob-ject to Physical Sectors對話框中將Cylinder、Side、Sector分別設置成0、0、1點擊OK項確定。當出現Warning對話框時選Yes項。退出Norton軟體，這樣就將硬碟的主引導信息恢復。重啟后硬碟恢復正常，原硬碟內的文件也不會丟失。
若零磁軌損壞的硬碟，先仍按上述步驟用Norton8.0軟體處理，只是到了第三步時，將Cylinder、Side、Sector分別設置成1、0、1點擊OK項確定。當出現Warning對話框時選Yes項。退出Norton軟體，重新啟動計算機，在BIOS設置硬碟自動檢測一欄中可以看到，CYLS數值減少了1個。如原來CYLS為2112，則變為2111。說明原硬碟分區表是從C盤的0柱面開始，現從1柱面開始。保存BIOS設置後退出。重新分區、格式化后硬碟恢復正常。另有一些硬碟，自檢時提示「HDD Controller Error」。採用以上方法處理無效，只能報廢。Game Over!!!

硬碟診斷步驟


是否丟失了硬碟配置信息。測量>主板上COMS RAM電路是否為電池有故障，或元器件（如二極體、三極體、電阻、電容等）損壞能原因而CMOS中的硬碟配置參數出錯。
②通過加電自測，若屏幕顯示錯誤信息 「1701」或 「Hard Disk Error」，說明硬碟確實有故障。但也可能是硬碟適配卡未插好、或者硬碟與硬碟適配器的插接處未插好、或者硬碟適配器有故障等。
③關機，拆開機蓋，測+5V、+12V電源是否正常，電源盒風機是否轉動。以此來判斷是否外電路缺電。
④檢查信號電纜線，插頭與硬碟適配卡是否插好，有無插反或接觸不良。可嘗試交換一些電纜插頭試一下。
⑤採用「替代法」來確定故障部件。找一塊好硬碟適配卡（或多功能卡）與該硬碟適配卡比較，判斷是硬碟適配卡還是硬碟驅動器本身有問題。
⑥觀察步進電機端止檔銷是否卡死，如卡死，用手撥回起始位置。
以上幾個步驟，用戶需要仔細檢查、測試、分析，找出壞的元器件進行修理，或者更換硬碟適配卡。
經以上的處理后，只要不是硬碟盤體本身損壞，僅僅是一般性的接插件的接觸不良或外電路故障則多數能夠迅速排除。
②測電阻法
該測量方法一般是用萬用表的電阻檔測量部件或元件的內阻，根據其阻值的大小或通斷情況，分析電路中的故障原因。一般元器件或部件的輸入引腳和輸出引腳對地或對電源都有一定的內阻，用普通萬用表測量，有很多情況都會出現正抽電阻小，反向電阻大的情況。一般正向阻值在幾十歐姆至100歐姆左右，而反向電阻多在數百歐姆以上。但正向電阻決不會等於0或接近0，反向電阻也不會無窮大，否則就應懷疑管腳是否有短路或開路的情況。當斷定硬碟子系統的故障是在某一板卡或幾塊晶元時，則可用電阻法進行查找。關機停電，然後測量器件或板卡的通斷、開路短路、阻值大小等，以此來判斷故障點。若測量硬碟的步進電機繞組的直流電阻為24歐，則符合標稱值為正常； 10歐左右為局部短路； 0歐或幾歐為繞組短路燒毀。
硬碟驅動器的扁平電纜信號線常用通斷法進行測量。硬碟的電源線既可拔下單測也可在線並測其對地阻；如果無窮大，則為斷路；如果阻值小於10歐，則應懷疑局部
1、 硬碟故障分析與處理步驟下面僅簡要介紹物理故障的分析與一般的處理步驟：短路，需做進一步的檢查。
③測電壓法
該測量方法是在加是怕情況下，用萬用表測量部件或元件的各管腳之間對地的電壓大小，並將其與邏輯圖或其它參考點的政黨電壓值進行比較。若電壓值與正常參考值之間相差較大，則青蛙該部件或元件有故障；若電壓正常，說明該部分完好，可轉入對其它部件或元件的測試。一般硬碟電源與軟盤插線一樣，四個線頭分別為+12V、+5V、-5V和地線。硬碟步進電機額定電壓為+12V。硬碟啟動時電流大，當電源穩壓不良時（電壓從12V下降到10.5V），會造成轉速不穩或啟動困難。Ⅰ/O通道系統板擴展槽上的電源電壓為+12V、-12V、+5V和-5V。板上信號電壓的高電平應大於2.5V，低電平應小於0.5V。硬碟驅動器插頭、插座按照引腳的排列都有一份電壓表，高電平在2.5-3.0V之間。若高電平輸出小於3V，低電平輸出大於0.6V即為故障電平。邏輯是怦的測量可用試波器測量或者用邏輯筆估算。
④測電流法
如果有局部短路現象，則短路元件會升溫發熱並可能引起保險絲熔斷。將萬用表串入故障線路，核對電流是否超過正常值。硬碟驅動器適配卡上的晶元短路會導致系統析負載電流加大，驅動電機短路或驅動器短路會導致主機電源故障。硬碟電源+12V的工作電流應為1.1A左右。當硬碟驅動器負載電流加大時，會使硬碟啟動時好時壞。電機短路或負載過流輕則保險熔斷，重則導致電源塊、開關調整管損壞。在加大電流迴路中可串入流假負載進行測量。如有保險的線路，則可斷開保險管一頭將表串入進行測量。在印刷板上的某晶元的電源線，可用刻刀或鋼鋸條割斷銅泊引線串入萬用表測量。電機插頭、電源插頭可從卡口裡將電源線起出來串入表測量。

好全啊，保存起來慢慢看

謝謝分享。

謝謝樓主