第四章、恢复实例
下面举一些数据恢复或软故障处理的例子,这些事例是从我参和大量的故障处理中选取的一些典型事例。在选取典型事例中,遵循了以下原则。
①、 处理过程能够表现一定思想,而不是纯粹的技术手段。
②、 处理过程本身并不算复杂,基本不出现汇编程式,一般读者能够理解。
③、 处理过程本身并不完美,中间可能犯了一些错误,有的甚至局部失败。能够使大家引为借鉴。
④、 处理过程本身并不但仅是纯粹的逻辑思维,有人的心理活动对技术的干扰。以使大家能更好的避免这些。
1、 被CIH破坏硬盘恢复一例
委托恢复人:某银行
硬盘情况:CIH发作,蓝屏死机。该单位电脑人员曾用KV300 F10进行修复,但没有成功,又恢复了保存的MBR。
修复工具:
准备好软盘3张:
DISK1 -WIN98引导盘(带DEBUG)
DISK2-DISKEDIT等工具(此盘不要写保护)
DISK3-DOS下杀CIH的工具
基本思想:
1、FAT2没有损坏的情况,用FAT2覆盖FAT1。
2、FAT2也已损坏的情况,我一般是只期待找回其中某些关键的文档了。
我们最期待的是这些文档是连续的。假如不连续的话,也并非没有可能,但这往往还要知道文档的一些细节,包括对一些文档本身的连接结构有了解。假如FAT2
没有完全破坏,是有一定用处的,另外,一般来说,FAT16的硬盘因为FAT表靠前破坏的比较严重,一般两个FAT表都坏了,小硬盘也很难恢复了。
修复过程:
把我的硬盘摘下,挂上待恢复的的硬盘,开机,进入SETUP,检测硬盘,把参数记下——CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。 用准备好的软盘启动:
A:>C:
显示Invalid drive specification
FDISK/MBR重建主引导记录。(这是个习惯),重新软盘引导:(可能没有必要)。
此时已看的见C:硬盘。
启动DISKEDIT,启动过程中显示Invalid media type reading DRIVER C,哎呀,算了,还是先用DEBUG清空分区表,,并置80和55aa标志。
重新启动,再运行DISKEDIT,显示设定为READ
ONLY,没关系,把TOOLS/CONFIGURATION中的只读选项去掉,存盘,好了,能够编辑了。由于当时接的硬盘有多块,我把这块当成了是一块
只有C分区,所以没看别的东西,我们期待FAT2没有损坏,以用FAT2覆盖FAT1,在这个时候DISKEDIT要比DEBUG容易的多,在FIND
OBJECT中选择FAT,查一下起始扇区,好的,在CYL 0 SIDE68 SEC 14,0000H,F8 FF FF
0F(FAT32的),好的,FAT2没坏。其实假如不用DISKEDIT的能够用一端小程式查,偏移0000的F8 FF FF。
由于以为只有C分区,所以,上来就在FIND中查找IOSYS(IO和SYS中要有空格)以查找ROOT区。找到后观察,是否有C:\下常见文档。好的,
ROOT区没被破坏。记下了该扇区的CYL 0、SIDE 68、SEC
14,备用。FAT1一般前面已被破坏了,但后面应该还在,这能够作为检查。因为是32位的,FAT1一般在CYL 0 SIDE1 SEC
33。因为有了ROOT区然后应该计算FAT表的长度了,因为FAT2到ROOT前一扇区为止,所以很简单。
然后能够用FAT2覆盖FAT1,这里用DEBUG还是DISKEDIT都能够,假如用DEBUG一般是用INT 25读绝对扇区,再用INT 26写入,用DISKEDIT则比较简单。程式:(略)
然后能够恢复主引导记录、隐含扇区和BOOT区,能够先用NDD修复分区表,其他能够考虑能够考虑用标准覆盖法,假如您希望下一步由NORTO
NUtilities来接手,这些都能够不做。我从另一台FAT32的机器上取来了相应的部分,写了进去。我这时发现好象有一个D盘。先看一下在说吧。
好了,关机串上我的硬盘,用NORTON Utilities
4扫描C盘,文档基本恢复,对C盘杀毒,WHY,没有发现病毒,换了2种杀毒软件还是没有病毒,现在显示C盘是948M,有一个D盘,但是95下无法浏
览,DOS下乱码。于是打电话核实当时的情况,原来是26日那天,放进一张光盘,光驱灯亮了一会,就硬盘狂响,蓝屏死机了。应该证实我的推断相同,是光盘
的AUTORUN程式有CIH病毒。所以说没有实时防御能力的软件是没有意义的。另外,他们的硬盘确实分两个区,而且重要文档在D区。然后在修复D盘吧,
再回到DOS,用DEBUG查找结束标志为55AA的扇区,然后根据后面是否有FAT判定是否为扩展分区。此时可算出大小来返回修订主分区表。当然,许多
工具也能够很好的完成这一工作。假如您没有把握,就用他们完成好了。其实我就是用自己的RE做的,否则手工做确实太麻烦。
经验总结:
①、您不要听信或凭记忆想一块硬盘该是怎么样的,一定要自己去看,我就是犯了这个错误。
②、某些软件的修复功能确实如一些网友所讲可能有一定隐患,假如银行的电脑人员在用KV300 F10处理之前没有备份,可能要给我找些麻烦。
我们应当看到,恢复数据要本着几项原则。
①、 最好先备份,这也是而后我写HD-MIRROR的原因
②、 优先抢救最关键的数据
③、 在稳妥的情况下先把最稳定的鸡蛋捞出来,(理应先修复扩展分区,再修复C),最好修复一部分备份一部分。
④、 要先作好准备,不要忙中出错,此间,由于我的机器没有装过NORTON,先解压,习惯的敲了一个D:\TEMP,这才想起来D盘已是人家的硬盘,文档险些解在没有完全修好的C盘上。这种错误有时会经常发生。
2、 LINUX错误安装带来问题一例
委托恢复人:某信息港
硬盘情况:4.3G硬盘,分三个区,D、E中有很多重要数据。原来装95系统,做主盘。在试图向从盘上装LINUX的时,误将安装盘符选为C,而后发现终止,此时硬盘无法自举。软盘启动无法看到任何有效分区。
工具准备:
DISK1 - WIN98引导盘(带DEBUG)
DISK2 - DISKEDIT等工具(此盘不要写保护)
修复思想:
修复分区表中的扩展分区,重置主分区的分区类型。
修复过程:
用软盘启动,FDISK/MBR清除LILO,重建代码,用DISKEDIT调入MBR观察,已没有了扩展逻辑分区的信息。80激活分区的类型已变成
83(LINUX)这时我犯了和前面类似的错误,本应先修复分区信息,但我却依然去先试图C。而且修复C的时是否我又犯了一个致命的错误,那就是我算错了
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
