下面举一些数据恢复或者软故障处理的例子,这些事例是从笔者参与大量的故障处理
中选取的一些典型事例。
提水信息:CIH发作,蓝屏死机。该单位的电脑管理员曾用老版本Kv300的Flo功能
进行修复,但没有成功,又用FDIsbMBR恢复了保存的MBR。
修复方法
准备好软盘3张。
DISKl为W1ndows 98启动盘(带DEBlJG)。
DtSK2为DIS删IT等工具(此盘不要写保护)
DISK3为D05下汞CIH的工具软件。
在FAT2没有损坏的情况下,用FAT2覆盖掉FATl。如果FAH也已经损坏的情况下,
我们一般只是期待拢回其中某些关键的文件了。我们最希望的是这些文件是连续的。如果
不连续的话,也并非没有恢复的可能,但这往往还要知道文件的一些细节,包括对一些文
件本身的连接结构有所了解。如果FAT2没有完全破坏,是有一定用处的,另外,一般来说,
FATl6的硬盘因为FAT表靠前破坏的比较严重,一般如果两个FAT表部损坏了,即使是小
硬盘也很难恢复了。
修复过程
拢一台好机器并挂上待恢复的硬盘,开机进入BIos 5ETuP,检测硬盘
——CLY 620HEADl28PREC01dP 0LANDZ 4959SECToR 63MODE LBA。
然后用准备好的软盘启动,则显示:
显示InvaHdd211G speciflcation信i息。
此时用FDtsx/MBR重建主引导记录重新用软盘引导。此时已经看得见c:饺盘。石
动DISKEDIT,启动过程中显示Envalid毗出a卯e readingDNVER C,先用DEBU6清空女
区表,并置80和55AA标志。重新启动,再运行DIsxEDIT,显示设定为服AD oNLY,
把Too]s—Conflgur办on小的只读选项文掉,存盘就可以编辑了。
们下当时接的硬盘有多块,笔者把这块硬盘当成了是一块只有c分区的硬盘,就直控
用FAT2覆盖FATl,然后使用D1ske此,在Find oNect中选择FAT,查一下起始扇区,召
CYL 0SIDE68SECl4,0000H,F8FF FF OF(FAT32的)p FAT2没坏。(如果不用DISKEDn
也可以用一段小程序查,偏移oo00的F8FF FF)。dJ于以为只有c分区,所以,—亡来就艺
P删中查找Io sYs(10和sYs巾问要有空格)以查找RoOT区。找到后观察,是否乍
c”\下常见文件。R00T区没被破坏。记下了该扇区的cYL o、SIDE 68、SECl4备用。为
现FATl前面已经被破坏了,但后面应该还在,这可以作为检查。因为是32位的,FAT一
股在CYL o sIDElSEC33。有了ROoT区后计算FAT表长度,因为FAT2到ROOT前—反
区为止,所贴F常简单。然后可以炳FAT2覆盖FATl,这里用DEBuG还是DISKEDIT都
uJ以,如果用DEBUG一般是用INT 25渎绝对扇区,再用INT 26写入,用DIS贴DIT血
比较简单。
然后可以恢复主引导记录、隐含扇区和BOOT区,uJ以先用NDD修复分区表,其他
可以考虑用标准覆盖法,如果您希望下一步由Nonon ut山6es软件,则以上的手工方法都
可以不做。
笔者从另一台FAT 32的机器L取来了相应的部分,写了进去。这时发现好像有一个c
盘。用Nodon um饭es 2002扫描c盘,文件基本恢复,对c盘杀毒,没有发现病毒,现在
显不c盘是948M,有一个D盘,但是W2ndows 98下无法浏览,DoS下乱码。后来根据
实际情况证实是光盘的AuTORW程序有cm病毒。另外,硬盘分两个区,而且重要文件
布D互。所以还要修复D盘,回到Dos*用DEBuG查找结束标志为55从的扇区,然后
根据后面是否有FAT判断是否为扩展分区。此时可算出大小来返回修订主分区表*这样所
有的数据都恢复厂。
下面举一些数据恢复或者软故障处理的例子,这些事例是从笔者参与大量的故障处理
中选取的一些典型事例。
提水信息:CIH发作,蓝屏死机。该单位的电脑管理员曾用老版本Kv300的Flo功能
进行修复,但没有成功,又用FDIsbMBR恢复了保存的MBR。
修复方法
准备好软盘3张。
DISKl为W1ndows 98启动盘(带DEBlJG)。
DtSK2为DIS删IT等工具(此盘不要写保护)
DISK3为D05下汞CIH的工具软件。
在FAT2没有损坏的情况下,用FAT2覆盖掉FATl。如果FAH也已经损坏的情况下,
我们一般只是期待拢回其中某些关键的文件了。我们最希望的是这些文件是连续的。如果
不连续的话,也并非没有恢复的可能,但这往往还要知道文件的一些细节,包括对一些文
件本身的连接结构有所了解。如果FAT2没有完全破坏,是有一定用处的,另外,一般来说,
FATl6的硬盘因为FAT表靠前破坏的比较严重,一般如果两个FAT表部损坏了,即使是小
硬盘也很难恢复了。
修复过程
拢一台好机器并挂上待恢复的硬盘,开机进入BIos 5ETuP,检测硬盘
——CLY 620HEADl28PREC01dP 0LANDZ 4959SECToR 63MODE LBA。
然后用准备好的软盘启动,则显示:
显示InvaHdd211G speciflcation信i息。
此时用FDtsx/MBR重建主引导记录重新用软盘引导。此时已经看得见c:饺盘。石
动DISKEDIT,启动过程中显示Envalid毗出a卯e readingDNVER C,先用DEBU6清空女
区表,并置80和55AA标志。重新启动,再运行DIsxEDIT,显示设定为服AD oNLY,
把Too]s—Conflgur办on小的只读选项文掉,存盘就可以编辑了。
们下当时接的硬盘有多块,笔者把这块硬盘当成了是一块只有c分区的硬盘,就直控
用FAT2覆盖FATl,然后使用D1ske此,在Find oNect中选择FAT,查一下起始扇区,召
CYL 0SIDE68SECl4,0000H,F8FF FF OF(FAT32的)p FAT2没坏。(如果不用DISKEDn
也可以用一段小程序查,偏移oo00的F8FF FF)。dJ于以为只有c分区,所以,—亡来就艺
P删中查找Io sYs(10和sYs巾问要有空格)以查找RoOT区。找到后观察,是否乍
c”\下常见文件。R00T区没被破坏。记下了该扇区的cYL o、SIDE 68、SECl4备用。为
现FATl前面已经被破坏了,但后面应该还在,这可以作为检查。因为是32位的,FAT一
股在CYL o sIDElSEC33。有了ROoT区后计算FAT表长度,因为FAT2到ROOT前—反
区为止,所贴F常简单。然后可以炳FAT2覆盖FATl,这里用DEBuG还是DISKEDIT都
uJ以,如果用DEBUG一般是用INT 25渎绝对扇区,再用INT 26写入,用DIS贴DIT血
比较简单。
然后可以恢复主引导记录、隐含扇区和BOOT区,uJ以先用NDD修复分区表,其他
可以考虑用标准覆盖法,如果您希望下一步由Nonon ut山6es软件,则以上的手工方法都
可以不做。
笔者从另一台FAT 32的机器L取来了相应的部分,写了进去。这时发现好像有一个c
盘。用Nodon um饭es 2002扫描c盘,文件基本恢复,对c盘杀毒,没有发现病毒,现在
显不c盘是948M,有一个D盘,但是W2ndows 98下无法浏览,DoS下乱码。后来根据
实际情况证实是光盘的AuTORW程序有cm病毒。另外,硬盘分两个区,而且重要文件
布D互。所以还要修复D盘,回到Dos*用DEBuG查找结束标志为55从的扇区,然后
根据后面是否有FAT判断是否为扩展分区。此时可算出大小来返回修订主分区表*这样所
有的数据都恢复厂。
CIH病毒蓝屏死机数据恢复 www.jdcok.com/anli/5/1330.html