1, CIH Grundkenntnisse der Hard Drive Data Recovery
1, DOS (DOS kompatibles System "harte" Daten) von der Form
Primären und erweiterten Partitionen auf der grundlegenden Struktur ist ähnlich wie das folgende Beispiel, um die primäre Partition.
Master Boot Record (MBR): MBR-Sektor entfallen ein in CYL0, SIDE0, SEC1 und die Partitionstabelle aus dem Source-Bereich Komposition. Code Gebiet, das FDISK werden können / MBR Wiederaufbau.
System Sektoren: CYL0, SIDE0, SEC1-CYL0, SIDE0, Sec63, insgesamt 62 Branchen.
Boot (BOOT): CYL0, Seite1, SEC1 Das ist unsere Vergangenheit, sagte der DOS-Boot-Sektor. Auch für einen Sektor entfielen.
Hidden-Sektor: CYL0, SIDE0, SEC1, FAT16, wenn man so entfielen, wenn sie FAT32 dann entfallen 32 Sektoren.
File Allocation Table: FAT-Tabellen haben in der Regel zwei, FAT12, FAT16 FAT-Tabellen in der Regel die erste in der 0-1-2, FAT32 erste FAT-Tabelle 0-1-33. FAT-Tabelle ist die Protokolldatei Verbindung besetzten Sektor, wo, wenn die zwei FAT-Tabellen sind zerbrochen, hätte katastrophale Folgen haben. Da die Länge des Tisches mit dem FAT-Partition von der Größe der aktuellen Adresse ist erforderlich, um FAT2 berechnet.
Root-Zone: (ROOT) verzeichnete das Root-Verzeichnis, wo das Verzeichnis, Datei-Eintrag, etc., mit dem Wurzelbereich FAT2 hinter sich.
Datenbereich: Wurzelbereich in den Rücken, das ist der Dateninhalt.
2, kurze Beschreibung des Master Boot Record
Festplatte Master Boot Record ist der Ausgangspunkt für die Beratung, nicht viel, sagte auf der Code-Bereich, die Partitionstabelle, desto wichtiger die beiden Zeichen in der Offset 1BE, sagte Abteilung 80 der Tag-System booten können, und nur die Partitionstabelle A 80 Tags. Ein weiterer Grund ist das Ende der 55AA Marker. Verwendet, um den Master Boot Record repräsentieren lediglich einen gültigen Datensatz.
In der Tat, unabhängig von Branche oder MBR oder implizierten BOOT Bereich nicht wichtig, sind sie relativ leicht wieder aufzubauen. Datenrettung für den Erfolg der wiederhergestellten Daten-Datei ist wichtig. Darüber hinaus, da FAT-Tabelle Datensätze der Datei auf der Festplatte belegten Sektoren durch die Liste, wenn die zwei FAT-Tabellen sind komplett beschädigt. Dann wieder Dateien, besonders besetzen mehrere nicht zusammenhängende Sektoren ist ziemlich schwierig.
Die Grundidee ist:
1, FAT2 nicht beschädigt, bedeckt mit FAT2 FAT1.
2, FAT2 auch beschädigt wurde, ich in der Regel nur freuen, einige kritische Dateien abzurufen. Wir sind sehr gespannt auf diese Dokumente ist kontinuierlich. Wenn nicht, dann kontinuierlich, es ist nicht unmöglich, aber oft müssen einige Details von Dokumenten kennen, darunter auch einige Dokumente haben ein eigenes Verständnis der Struktur der Verbindung. Wenn FAT2 nicht vollständig zerstört, es gibt einige verwenden, und die anderen, im allgemeinen, FAT16 Festplatte als FAT-Tabelle * vor der Zerstörung von mehr ernst, in der Regel zwei FAT-Tabellen sind schlecht, kleine Festplatte ist auch sehr schwer wieder herzustellen.
Zweitens ist CIH eine grundlegende Festplatte Datenrettung von beschädigten Festplatten Datenrettung ist ein Beispiel CIH
Ein Freund gebeten hat, manuellen Techniken wieder aufzunehmen, um eine Reihe neuerer Stücke von CIH beschädigten Festplatte wiederherzustellen, warum sollen Sie diese Zeit, denn trotz der Wiederaufnahme der Erfolg, aber einige Fehler, ist bemerkenswert.
Im Auftrag des Benutzers wiederherzustellen: ein Banksystem
Hartschalenkoffer: CIH Angriff mit dem Gerät Offiziere hatten KV300F10 Computer Reparatur verwendet werden, aber ohne Erfolg, aber auch um die gespeicherten MBR wiederherstellen.
Bereit zum Floppy-3:
DISK1: Win98-Startdiskette (mit DEBUG)
DISK2: DISKEDIT und andere Tools (diese Seite nicht schreibgeschützt)
DISK3: DOS ein Tool für die nächsten töten CIH
Meine Festplatte ab, hängen auf der Festplatte wiederhergestellt werden, booten Sie SETUP, Probefahrt, den Parameter aufzeichnen.
CLY620HEAD128PRECOMP0LANDZ4959SECTOR63MODELBA.
Beginnen Sie mit einer Diskette vorbereitet:
A: C:
Show Invaliddrivespecification
FDISK / MBR Master Boot Record Wiederaufbau (Dies ist eine Gewohnheit), Re-Boot-Diskette (nicht unbedingt erforderlich): An dieser Stelle konnten, dass das Laufwerk C: zu sehen. Start DISKEDIT, starten Sie den Vorgang gezeigt InvalidmediatypereadingDRIVERC, Oh, come on, vor dem leeren Partitionstabelle mit DEBUG kommen, und zu Hause Zeichen 80 und 55aa. Neu starten, führen Sie dann Diskedit Anzeige auf READONLY, spielt es keine Rolle, die Konfiguration der Option read-only entfernen, speichern Sie die Datei, OK, die Sie bearbeiten können.
Seither ist die Festplatte mehr Blöcken war, habe ich ein Stück als einziger C-Partition (die Erwartung Reparatur der anderen Festplatte war), also nicht auf andere Dinge suchen, freuen wir uns auf FAT2 keine Schäden mit FAT2 FAT1 decken, DEBUG DISKEDIT zu diesem Zeitpunkt viel leichter als in FindObject FAT wählen, überprüfen Sie die Start-Sektor, eine gute, in CYL0SIDE68SEC14, 0000H, F8FFFF0F (FAT32), das Gute, FAT2 nicht schlecht. In der Tat, wenn das nicht DISKEDIT DEBUG Untersuchung, 0000 von F8FFFF ausgeglichen.
Da diese nur C-Partition, so weiter zu kommen IOSYS (IO und SYS in Not Räume zu finden) zu root-Bereich. Nach der Beobachtung zu finden, wenn es C: im Rahmen der gemeinsamen Dokument. Ja, Wurzelbereich nicht zerstört werden. Eine Notiz des Sektors: CYL0, SIDE68, Sec14, zu schonen.
FAT1 Regel zuvor zerstört worden, sollte aber noch auf sich warten lassen, die als Kontrolle eingesetzt werden kann. Da 32-Bit-, Regel FAT1 CYL0SIDE1SEC33. Wegen der Wurzelbereich sollte berechnet werden und dann die Länge der FAT-Tabelle, weil FAT2 Sektoren so weit vor der Wurzel, so ganz einfach.
Anschließend können Sie FAT2 decken FAT1, hier oder DISKEDIT DEBUG verwendet werden kann, wenn DEBUG ist in der Regel mit INT25 lesen absolute Sektor, dann schreiben Sie INT26 benutzt, aber in der Regel mehrere Male. :-) Ja, ich erinnere mich an Haltepunkten behalten kann MARKFAT2 Inhalte mit DISKEDIT kopieren Sie den WRITE zu FAT1.
Sie können dann wieder den Master Boot Record, versteckte BOOT-Sektor und Region, können Sie NDD zu Partitionstabelle erste Reparatur verwenden, dann erwägen, eine Norm für Methode, wenn Sie den nächsten Schritt von der NORTONUtilities, übernehmen wollen diese nicht tun können. Ich habe aus einem anderen FAT32 auf den entsprechenden Teil der Inneren schriftlich getroffen. Es wird festgestellt, dass wenn ich eine D-Laufwerk. Ein Blick auf zu sprechen. Na ja, off-String auf meiner Festplatte, mit NORTONUtilities Scan Laufwerk C, erholte Dokumente auf dem Laufwerk C Antivirus, warum nicht bei der Suche nach Viren, für die zwei Arten von Anti-Virus-Software oder nicht, das Virus, noch schlimmer, zeigt C-Laufwerk ist 948, hat ein Laufwerk D, aber 95 nicht durchsuchen können, DOS unter dem Müll.
Dann rufen, um die Situation zu diesem Zeitpunkt zu überprüfen stellte sich heraus, dass bis zum 26. Tag, legte ein CD-Laufwerk Licht wird für eine Weile, verrückt Ring auf der Festplatte, Blue Screen of Death war. Ich vermute, sollte als CD-ROM AUTORUN Verfahren CIH-Virus bestätigt werden. So gibt es keinen wirklichen Verteidigungsfähigkeit der Software ist sinnlos. Darüber hinaus haben sie zwei Bereiche harte und wichtige Dokumente in der D-Zone. (Sauer auf mich!)
D-Laufwerk und dann beheben, gehen Sie zurück zu DOS, das Debug Symbol für die 55AA bis zum Ende des Sektors zu finden, aus der Struktur zu bestimmen, ob die erweiterte Partition. Kann zu diesem Zeitpunkt berechnet werden, um die Größe der primären Partitionstabelle zurückzukehren. Natürlich können viele der Instrumente auch gut sein, diese Arbeit abzuschließen. Wenn Sie nicht sicher sind, verwenden Sie sie besser abzuschließen.
CIH Erfahrungen mit der Festplatte Datenrettung
1, nicht zu hören oder aus dem Gedächtnis eine Festplatte, die Art ist, wie wir selbst müssen sehen, bin ich diesen Fehler gemacht.
2, KV300F10 zwar, wie einige User sagen, dass es einige Tücken, wenn das Computersystem der Bank Personals im Umgang mit KV300F10 nicht gesichert, bevor Sie etwas Mühe geben, mich finden.
3 müssen Recovery-Daten auf mehreren Grundsätzen basieren:
a, die erste Sicherung, dann schreibe ich dies ist der Grund HD-MIRROR;
b, speichern Sie zunächst die wichtigsten Daten;
c, sollte im Falle der erste Ton der Eier aus den stabilsten (erste erweiterte Partition festgelegt werden, und dann fix C), der beste Teil des hinteren Teils der Reparatur;
d zunächst bereit, nicht ausgelastet in der falschen, weil ich nicht die Maschine Norton installiert hatte, zunächst extrahiert, verwendet, um eine Knock D: TEMP, nur an sie denke fast Solution-Datei ist noch nicht vollständig in das Laufwerk C reparierten.
In der Tat scheint, dass, wenn es keine Schäden an FAT2 unter C Drive Data Recovery ist sehr einfach und kann programmiert werden. Wenn FAT2 beschädigt, wahrscheinlich den Kurs wieder zu besetzen ist nur ein Sektor der Dateien und zusammenhängende Dateien.
Oben ist auf der Festplatte Datenrettung Methoden und CIH beispielsweise kurz.