| CIH硬盘数据恢复方法与实例 |
 |
作者: 来源: 日期:2006-3-26 0:59:40 点击次数: |
|
由于以为只有C分区,所以,上来就在FIND中查找IOSYS(IO和SYS中要有空格 )以查找ROOT区。找到后观察,是否有C:\下常见文件。好的,ROOT区没被 破坏。记下了该扇区的CYL 0、SIDE 68 、SEC 14,备用。
FAT1一般前面已经被破坏了,但后面应该还在,这可以作为检查。因为是32 位的,FAT1 一般在CYL 0 SIDE1 SEC 33。因为有了ROOT 区然后应该计算FAT 表的长度了,因为FAT2到 ROOT前一扇区为止,所以非常简单。然后可以用FAT2覆盖FAT1,这里用DEBUG 还是DISKEDIT都可以,如果用DEBUG一般是用INT 25读绝对扇区,再用INT 26 写入,不过一般要分几次。记得保留断点呀:-)用DISKEDIT可以MARK FAT2的 内容COPY下来,在WRITE到FAT1。
然后可以恢复主引导记录、隐含扇区和BOOT区,可以先用NDD修复分区表,然 后可以考虑用标准覆盖法,如果你希望下一步由NORTONUtilities ,来接手这 些都可以不做。我从另一台FAT32上取来了,相应的部分,写了进去。我这是发 现好象有一个D盘。先看一下在说吧。好了,关机串上我的硬盘,用NORTON Utilities 4扫描C盘,文件基本恢复,对C盘杀毒,WHY,没有发现病毒,换了2 种杀毒软件还是没有病毒,更糟糕的是,显示C盘是948M,有一个D盘,但是95 下无法浏览,DOS下乱码。于是打电话核实当时的情况,原来是26日那天,放进 一张光盘,光驱灯亮了一会,就硬盘狂响,蓝屏死机了。应该证实我的推断一 样,是光盘的AUTORUN程序有CIH病毒。所以说没有实时防御能力的软件是没有 意义的。另外,他们的硬盘确实分两个区,而且重要文件在D区。(气死我了!)
然后在修复D盘吧,再回到DOS,用DEBUG查找结束标志为55AA的扇区,由结构判 定是否为扩展分区。此时可算出大小来返回修订主分区表。当然,许多工具也可 以很好的完成这一工作。如果你没有把握,就用他们完成好了。
1、你不要听信或者凭记忆想一块硬盘该是怎么样的,一定要自己去 看,我就是凡了这个错误。
2、KV300 F10确实如一些网友所讲,有一定隐患,如果银行的电脑人 员在用KV300 F10处理之前没有备份,可能要给我找些麻烦。
3、恢复数据要本着几项原则,1。先备份,这也是而后我写HD-MIRROR 的原因,2。优先抢救最关键的数据 3。在稳妥的情况下先把最稳定的鸡蛋捞出来 ,(理应先修复扩展分区,再修复C),最好修复一部分备份一部分。4。要先作好 准备,不要忙中出错,由于我的机器没有装过NORTON ,先解压,习惯的敲了一个 D:\TEMP,这才想起来文件险些解在没有完全修好的C盘上。
其实看来,如果FAT2没有损坏的情况下,恢复C盘数据是非常容易的。如果FAT2损 坏了,最容易恢复的当然是只占用一个扇区的文件和连续的文件,如果不连续的, 比较容易恢复的文本文件.
上一篇:用XP安装盘修复损坏的系统文件
下一篇:硬盘数据恢复知识 |
|
|
 |
| 北京总部: 4006-505-808 |
| 天 津 部: 4006-505-808 |
| 上 海 部: 4006-505-808 |
| 深 圳 部: 4006-505-808 |
| 广 州 部: 4006-505-808 |
| 重 庆 部: 4006-505-808 |
| 南 京 部: 4006-505-808 |
| 其它地区: 4006-505-808 | |
|
 |
|
