1, CIH grundlæggende kendskab til harddisk data recovery
1, DOS (DOS kompatibelt system hårde data) i form
Primære og udvidede partitioner på den grundlæggende struktur er i stil med følgende eksempel for den primære partition.
Master boot record (MBR): MBR-sektoren tegner sig for en i CYL0, SIDE0, SEC1, og partitionstabellen fra kilden område sammensætning. Kode areal, som kan FDISK / MBR genopbygning.
System sektorer: CYL0, SIDE0, SEC1-CYL0, SIDE0, SEC63, i alt 62 sektorer.
Boot (boot): CYL0, SIDE1, SEC1 Dette er vores fortid, sagde DOS boot-sektoren. Tegnede sig også for en sektor.
Skjult sektor: CYL0, SIDE0, SEC1, FAT16 så hvis én sektor tegnede sig for, hvis det er FAT32 så er dette regnskab for 32 sektorer.
File Allocation Table: FAT tabeller har generelt to, FAT12, FAT16 FAT tabeller generelt den første i 0-1-2, FAT32 første FAT tabel 0-1-33. FAT tabellen er logfilen forbindelse besatte sektor, hvor, hvis de to FAT tabeller er brudt, vil konsekvenserne blive katastrofale. Da længden af bordet med FAT partition af størrelsen af den nuværende adresse er nødvendig, således FAT2 beregnet.
Rodzonen: (ROOT) registreres rodmappen hvor mappen filindtastningen osv. ROOT område med FAT2 bag.
Data område: ROOT område i ryggen med, er dette den data indhold.
2, kort beskrivelse af master boot record
Harddisk master boot record er udgangspunktet for vejledning, ikke meget sagt om koden område, partitionstabellen, jo vigtigere er de to tegn i offset 1BE, Institut sagde 80 i tag systemet kan starte op, og kun partitionstabellen en 80 tags. En anden er slutningen af 55aa markør. Bruges til at repræsentere master boot record er en gyldig rekord.
Faktisk, uanset sektor eller MBR eller stiltiende BOOT område, ikke vigtigt, at de er relativt nemme at genopbygge. Data recovery for en vellykket gennemførelse af inddrevne datafil er vigtig. Hertil kommer, fordi FAT tabel records filen på harddisken sektorer besat af listen, hvis de to FAT tabeller er helt ødelagt. Så gendanne filer, særligt filer besætte flere ikke-sammenhængende områder er ganske vanskeligt.
Den grundlæggende idé er:
1, FAT2 ikke ødelagt, dækket med FAT2 FAT1.
2, FAT2 også blevet beskadiget, jeg plejer bare se frem til at hente nogle vigtige filer. Vi er mest ser frem til disse dokumenter er kontinuert. Hvis ikke, så konstant, er det ikke umuligt, men ofte brug for at kende nogle detaljer af dokumenter, herunder nogle dokumenter har deres egen forståelse af forbindelsen struktur. Hvis FAT2 ikke helt ødelagt, der er en vis brug, og den anden, i almindelighed, FAT16 harddisk som FAT tabellen * før destruktion af mere alvorlige, som regel to FAT tabeller er dårlige, små harddisk er også meget svært at genoprette.
For det andet, CIH er en grundlæggende harddisk datagendannelse af ødelagte harddisk data recovery er et eksempel CIH
En ven har bedt om at genoptage manuelle teknikker til at genskabe en række nylige værker af CIH beskadiget harddisk, hvorfor vælge denne gang, for på trods af genoptagelsen af succes, men nogle fejl, det er bemærkelsesværdigt.
Rådgivning til at genoprette brugeren: en banksystem
Hard sag: CIH angreb med enheden medarbejdere havde benyttet KV300F10 computer reparation, men uden held, men også for at genoprette den gemte MBR.
Klar til at floppy 3:
DISK1: WIN98 boot disk (med DEBUG)
Disk2: DISKEDIT og andre værktøjer (dette site ikke skrive-beskyttet)
DISK3: DOS et redskab for den næste dræbe CIH
Min harddisk ud, hænge skal genoprettes til harddisken, starte op i SETUP, prøvekøre den parameter rekord.
CLY620HEAD128PRECOMP0LANDZ4959SECTOR63MODELBA.
Start med en forberedt floppy disk:
A: C:
Vis Invaliddrivespecification
FDISK / MBR master boot record genopbygning (dette er en vane), re-boot floppy disk (kan ikke være nødvendig): På dette punkt har været i stand til at se, at C: drev. Start DISKEDIT indlede den proces, vises InvalidmediatypereadingDRIVERC, Åh, kom nu, kom med de tomme partitionstabel med DEBUG, og hjem tegn 80 og 55aa. Genstart, kør DISKEDIT, display sat til Skrivebeskyttet, er det ligegyldigt, konfigurationen mulighed for at fjerne skrivebeskyttet, skal du gemme filen, OK, du kan redigere.
Siden da harddisken var mere blokke, jeg var et stykke som den eneste C partition (der afventer reparation af de andre harddisk), så du skal ikke se på andre ting, vi ser frem til FAT2 ingen skade til at dække med FAT2 FAT1, DEBUG DISKEDIT på dette tidspunkt meget lettere end i FINDOBJECT vælge FAT, så tjek starten sektor, en god, CYL0SIDE68SEC14, 0000H, F8FFFF0F (FAT32), den gode, FAT2 ikke dårligt. Faktisk, hvis ikke DISKEDIT DEBUG undersøgelse, offset 0000 af F8FFFF.
Da dette kun C-partition, kommer så på FIND at finde IOSYS (IO og SYS behov mellemrum) for at finde ROOT område. Efter observation for at finde, hvis der er C: I henhold til fælles dokument. Ja, ROOT området ikke ødelægges. Et notat af sektoren: CYL0, SIDE68, SEC14, reservedele.
FAT1 generelt er blevet ødelagt tidligere, men bør stadig være bag, der kan tjene som en check. Fordi 32-bit, FAT1 generelt CYL0SIDE1SEC33. På grund af ROOT FAT tabellen område og derefter længde skal beregnes, fordi FAT2 sektorer hidtil forud for ROOT, så meget simpelt.
Du kan derefter bruge FAT2 dække FAT1, her eller DISKEDIT DEBUG kan bruges, hvis DEBUG almindeligvis anvendes med INT25 læse absolutte sektor, så INT26 skrive, men i reglen flere gange. :-) Ja jeg husker at bevare breakpoints kan MARKFAT2 indhold med DISKEDIT COPY ned SKRIVE til FAT1.
Du kan derefter gendanne master boot record, skjulte sektor og BOOT område, kan du bruge NDD at reparere partitionstabel først, derefter overveje en standard, der dækker metode, hvis du ønsker det næste skridt fra NORTONUtilities, at overtage disse ikke kan gøre. Jeg har taget fra en anden FAT32 til den tilsvarende del af skriveprocessen indeni. Det konstateres, at hvis jeg har en D-drev. Et kig på tale. Nå, off strengen på min harddisk, med NORTONUtilities scanne C drev, dokumenter inddrives, på C-drevet antivirus, HVORFOR, ikke fandt virus, for de to typer af anti-virus software eller ej virus, endnu værre, viser C-drev er 948M, har en D-drev, men 95 kan ikke gennemse, DOS under skrald.
Så opfordringen til at kontrollere situationen på daværende tidspunkt viste sig at være 26 denne dag, sætte en cd-drev lys er på i et stykke tid, skøre ring på harddisken, blå skærm af dødsfald var. Jeg formoder, bør bekræftes som en CD-ROM AutoRun procedurer CIH virus. Så der er ingen reel forsvarsevne software er meningsløs. Desuden har de to områder hårdt, og vigtige dokumenter i D zone. (Mad på mig!)
D drev og derefter lave det, gå tilbage til DOS, skal du bruge DEBUG symbol for 55aa at finde i slutningen af denne sektor, fra struktur til afgøre, om den udvidede partition. Kan beregnes på nuværende tidspunkt at vende tilbage til størrelsen af den primære partition tabellen. Selvfølgelig kan mange af de værktøjer, også være god til at fuldføre dette arbejde. Hvis du ikke er sikker på, med færdiggørelsen af deres bedre.
CIH's Erfaringerne fra harddisken data opsving
1, ikke lytte til eller fra hukommelsen til en harddisk, der er sort, hvordan vi skal se for dig selv, jeg har lige lavet denne fejl.
2, KV300F10 faktisk, som nogle brugere siger, at der er nogle skjulte farer, hvis bankens computer personale i forbindelse med behandlingen KV300F10 ikke bakkes op før, kan du finde nogle ulejlighed at give mig.
3, skal genfindingsdata være baseret på flere principper:
a, første backup, så jeg skriver dette er grunden til HD-MIRROR;
b, først gemme de mest kritiske data;
c, skal i tilfælde af første lyd af æggene de mest stabile (fastsættes først udvidet partition, og derefter lave C), den bedste del af den bageste del af reparationen;
d, første klar, ikke travlt i den forkerte, fordi jeg ikke havde installeret maskinen NORTON, første ekstrakt, der anvendes til at slå en D: TEMP, Kun at tænke på det næsten Solution fil er ikke fuldt ud repareret i C-drevet.
Faktisk synes, at hvis der ikke er nogen skader på FAT2 under C-drevet data opsving er meget let og kan programmeres. Hvis FAT2 beskadiget, sandsynligvis for at genoprette Kurset er kun indtager en sektor af filer og sammenhængende filer.
Ovenfor er på harddisken data opsving metoder og CIH f.eks kort.