1, CIH connaissance de base de la récupération de données disque dur
1, les données DOS (DOS compatible avec le système dur) de la forme
Les partitions primaires et étendues sur la structure de base est similaire à l'exemple ci-dessous pour la partition principale.
Master Boot Record (MBR): les comptes du secteur MBR pour un en CYL0, SIDE0, SEC1, et la table de partition de la composition de la zone source. zone de code qui peut être FDISK reconstruction MBR /.
secteurs du système: CYL0, SIDE0, SEC1-CYL0, SIDE0, SEC63, un total de 62 secteurs.
Boot (BOOT): CYL0, SIDE1, SEC1 C'est notre passé, a déclaré le secteur de boot DOS. Représentait également un secteur.
secteur caché: CYL0, SIDE0, SEC1, FAT16 donc si un secteur a représenté, s'il est FAT32, puis cela représente 32 secteurs.
File Allocation Table: tables FAT ont généralement deux, FAT12, FAT16 tables FAT généralement les premiers dans le 0-1-2, table FAT32 premier FAT 0-1-33. table FAT est le secteur le lien du fichier journal occupés où, si les deux tables FAT sont brisées, les conséquences seraient désastreuses. Comme la longueur de la table avec la partition FAT de la taille de l'adresse actuelle est nécessaire afin FAT2 calculé.
zone de Racine: (ROOT) enregistrée ici le répertoire racine du fichier répertoire d'entrée, etc, la superficie des racines avec le FAT2 derrière.
zone de données: la superficie des racines dans le dos, c'est le contenu des données.
2, brève description de l'enregistrement d'amorçage maître
disque dur master boot record est le point de départ pour des conseils, pas beaucoup dit sur la zone de code, la table de partition, le plus important est les deux signes dans le 1BE offset, selon le Département 80 du système de tag peut démarrer, et que la table de partition de 80 tags. Une autre est la fin du marqueur 55AA. Utilisé pour représenter le master boot record est un record en cours de validité.
En fait, peu importe le secteur ou MBR ou implicite Boot Area, n'a pas d'importance, ils sont relativement faciles à reconstruire. La récupération de données pour la réussite du fichier de données récupérée est importante. En outre, parce que les enregistrements de table FAT le fichier sur le disque dur les secteurs occupés par la liste, si les deux tables FAT sont complètement détruites. Ensuite, restaurer des fichiers, notamment les fichiers occupent plusieurs secteurs non contigus est assez difficile.
L'idée de base est la suivante:
1, FAT2 pas endommagé, couvert de FAT2 FAT1.
2, FAT2 également été endommagés, j'ai l'habitude de juste hâte de récupérer certains fichiers critiques. Nous sommes impatient de ces documents est continue. Sinon, en permanence, il n'est pas impossible, mais ont souvent besoin de connaître certains détails de documents, dont certains documents ont leur propre compréhension de la structure de connexion. Si FAT2 pas complètement détruite, il n'est pas inutile, et l'autre, en général, FAT16 disque dur * table FAT avant la destruction de plus grave, est généralement de deux tables FAT sont mauvais, petit disque dur est également très difficile à restaurer.
Deuxièmement, CIH est une base de disque dur de récupération de données du disque dur de récupération de données endommagées est un exemple CIH
Un ami a demandé de reprendre les techniques manuelles de rétablir un certain nombre de pièces récentes CIH disque dur endommagé, pourquoi choisir cette fois, parce que, malgré la reprise de succès, mais quelques erreurs, il est à noter.
Commandée pour restaurer l'utilisateur: un système bancaire
Valise: attaque CIH avec le personnel de l'unité a utilisé réparation ordinateur KV300F10, mais sans succès, mais aussi de restaurer le MBR sauvegardé.
Prêt à 3 disquettes:
DISK1: WIN98 disque de démarrage (avec DEBUG)
DISK2: Diskedit et d'autres outils (ce site ne sont pas protégées en écriture)
DOS DISK3: un outil pour la mise à mort prochaine CIH
Mon disque dur éteindre, raccrocher à restaurer sur le disque dur, démarrez en SETUP, test de conduite, l'enregistrement des paramètres.
CLY620HEAD128PRECOMP0LANDZ4959SECTOR63MODELBA.
Commencez avec un disque préparé disquette:
A: C:
Voir Invaliddrivespecification
FDISK / MBR boot maître reconstruction enregistrement (c'est une habitude), re-boot disquette (peut-être pas nécessaire): À ce stade, ont pu voir que le lecteur C:. Diskedit Démarrer, lancez le processus montré InvalidmediatypereadingDRIVERC, Oh, allez, allez devant la table de partition vide avec DEBUG, et les signes d'accueil 80 et 55AA. Redémarrer, puis Diskedit exécuter, afficher la valeur ReadOnly, il n'a pas d'importance, la configuration de l'option en lecture seule à supprimer, Enregistrer, OK, vous pouvez modifier le fichier.
Depuis lors, le disque dur a été de plusieurs îlots, j'ai été un morceau que la partition C seulement (ce qui est en attente de réparation de l'autre disque dur), il ne faut pas regarder les choses d'autres, nous nous réjouissons de FAT2 pas de dommages à couvrir avec FAT2 FAT1, DEBUG Diskedit à cette époque beaucoup plus facile que de choisir findObject FAT, vérifiez le secteur de départ, un bon, dans CYL0SIDE68SEC14, 0000H, F8FFFF0F (FAT32), la bonne, FAT2 pas mal. En fait, si le peut pas Diskedit DEBUG enquête, compensée 0000 du F8FFFF.
Depuis que la partition C seulement, alors venez sur FIND pour trouver des espaces IOSYS (IO et SYS dans le besoin) de trouver des racines. Après l'observation de trouver s'il existe C: dans le cadre du document commun. Oui, la superficie des racines ne peuvent être détruits. Une note du secteur: CYL0, SIDE68, Sec14, pièces de rechange.
FAT1 général ont été détruites plus tôt, mais devrait encore être en retard, ce qui peut servir à vérifier. Parce que 32-bit, FAT1 généralement CYL0SIDE1SEC33. En raison de la superficie des racines doit être calculée, puis la longueur de la table FAT, parce que les secteurs FAT2 la mesure où avant le root, donc très simple.
Vous pouvez ensuite utiliser la couverture FAT2 FAT1, ici ou Diskedit DEBUG peut être utilisé, si le général est d'utiliser DEBUG lire absolue INT25 secteurs, INT26 puis écrire, mais en général à plusieurs reprises. :-) Oui je me souviens de conserver des points d'arrêt avec le contenu peut MARKFAT2 Diskedit Copiez le WRITE FAT1.
Vous pouvez ensuite restaurer le master boot record, le secteur cachés et de la zone de démarrage, vous pouvez utiliser NDD pour réparer la table de partition, puis envisager une méthode standard couvrant, si vous voulez la prochaine étape par le NORTONUtilities, de prendre en charge ces ne peut pas faire. J'ai pris un autre FAT32 sur la partie correspondante de l'intérieur par écrit. Il se trouve que si j'ai un lecteur D. Un regard sur la parole. Eh bien, hors chaîne sur mon disque dur, avec NORTONUtilities analyser le lecteur C, les documents récupérés, sur l'antivirus le lecteur C, POURQUOI, n'a pas trouvé le virus, pour les deux types de logiciels anti-virus ou non le virus, pire encore, montre le lecteur C est 948M, dispose d'un lecteur D, mais 95 ne peut pas naviguer, DOS sous les ordures.
Puis appeler pour vérifier la situation à cette époque s'est avéré être de 26 ce jour-là, dans une lumière sur le lecteur de CD est pour un temps, il entraîne anneau fou, l'écran bleu de la mort a. Je suppose que doit être confirmé en tant que procédures Autorun CD-ROM CIH virus. Il n'y a donc pas de réelle capacité de défense du logiciel n'a pas de sens. En outre, ils ont fait deux zones difficiles, et des documents importants dans la zone D. (En colère contre moi!)
le lecteur D et le fixer, revenir à DOS, utilisez le symbole de débogage pour le 55AA de trouver la fin de la filière, de la structure afin de déterminer si la partition étendue. Peut être calculée à ce moment de retourner la taille de la table de partition primaire. Bien entendu, la plupart des outils peuvent aussi être bon de terminer ce travail. Si vous n'êtes pas sûr, vous les utilisez pour terminer mieux.
CIH l'expérience de la récupération de données disque dur
1, ne pas écouter ou de la mémoire vers un disque dur qui est en quelque sorte de la façon dont nous devons voir par vous-même, je viens de faire cette erreur.
2, KV300F10 en effet, que certains utilisateurs en disant qu'il ya des dangers cachés, si le personnel informatique de la banque dans ses relations avec KV300F10 pas sauvegardé avant, vous pouvez trouver beaucoup de peine à me donner.
3, de récupération de données doit être fondée sur plusieurs principes:
une copie de sauvegarde, d'abord, puis-je écrire c'est la raison pour HD-miroir;
b, d'abord enregistrer les données les plus critiques;
c, dans le cas du premier bruit des oeufs sur la plus stable (il convient de fixer la première partition étendue, puis fixer C), la meilleure partie de la partie arrière de la réparation;
d, le premier prêt, pas occupé dans le faux, parce que je n'avais pas installé la machine NORTON, premier extrait, qui sert à frapper un D: TEMP, suffit de penser à elle près de fichier solution n'est pas entièrement réparé dans le lecteur C.
En fait semble que s'il n'y a pas de dommages à FAT2 sous l'action de récupération de données C est très facile et peut être programmé. Si FAT2 endommagés, les plus susceptibles de rétablir le cours est seulement occupent un secteur des dossiers et fichiers contigus.
Ci-dessus, sur les méthodes de disque dur de récupération de données et de courte durée par exemple CIH.