1, CIH basiskennis van de harde schijf data recovery
1, DOS (DOS-compatibel systeem harde gegevens) van het formulier
Primaire en uitgebreide partities op de basisstructuur is vergelijkbaar met het volgende voorbeeld om de primaire partitie.
Master Boot Record (MBR): MBR sector goed is voor een in CYL0, SIDE0, Sec1, en de partitietabel van het brongebied compositie. Code gebied dat kan worden FDISK / MBR wederopbouw.
Systeem sectoren: CYL0, SIDE0, Sec1-CYL0, SIDE0, SEC63, 62 sectoren.
Boot (BOOT): CYL0, SIDE1, Sec1 Dit is ons verleden, zei de DOS boot sector. Ook goed voor een sector.
Verborgen sector: CYL0, SIDE0, Sec1, FAT16, dus als een sector voor hun rekening, als het FAT32 is dan is dit goed voor 32 sectoren.
File Allocation Table: FAT tabellen hebben over het algemeen twee, FAT12, FAT16 FAT-tabellen in het algemeen de eerste in de 0-1-2, FAT32 eerste FAT tabel 0-1-33. FAT tabel wordt het logbestand verbinding bezette sector waar, als de twee FAT tabellen zijn gebroken, zouden de gevolgen rampzalig zijn. Zoals de lengte van de tafel met de FAT-partitie van de omvang van het huidige adres is vereist, zodat FAT2 berekend.
Root zone: (ROOT) geregistreerd hier de directory root directory het bestand binnenkomst, enz., ROOT gebied met de FAT2 achter.
Gegevens gebied: ROOT gebied in de rug met, dit is de data-inhoud.
2, beknopte beschrijving van de master boot record
Harde schijf master boot record is het uitgangspunt voor begeleiding, niet veel gezegd over de Code Gebied, de partitietabel, des te belangrijker is de twee tekens in de offset 1BE, zei de Afdeling van 80 van de tag-systeem kan booten, en alleen de partitietabel een 80-tags. Een ander voorbeeld is het einde van de 55aa marker. Gebruikt om de master boot record te vertegenwoordigen is een geldig record.
In feite, ongeacht de sector of de MBR of impliciete BOOT gebied, niet belangrijk, ze zijn relatief eenvoudig te herstellen. Data recovery voor het welslagen van de herstelde data bestand is belangrijk. Bovendien, omdat FAT-tabel records van het bestand op de harde schijf sectoren bezet door de lijst, als de twee FAT tabellen zijn volledig beschadigd. Dan bestanden te herstellen, met name bestanden bezetten verschillende niet-aaneengesloten sectoren is heel moeilijk.
Het basisidee is:
1, FAT2 niet beschadigd, bedekt met FAT2 FAT1.
2, ook FAT2 beschadigd is, ik meestal gewoon verheugen op een aantal kritieke bestanden op te halen. We zijn het meest naar uit om deze documenten is continu. Zo niet, dan continu, het is niet onmogelijk, maar vaak noodzaak om een aantal details van de documenten kennen, inclusief een aantal documenten hebben hun eigen begrip van de structuur van de verbinding. Als FAT2 niet volledig vernietigd, is er wat het gebruik, en de andere, in het algemeen, de drive als FAT16 FAT tabel * voor de verwoesting van meer ernstige, meestal twee FAT tabellen zijn slecht, kleine harde schijf is ook zeer moeilijk te herstellen.
In de tweede plaats, CIH is een fundamenteel harde schijf data recovery van beschadigde harde schijf data recovery is een voorbeeld CIH
Een vriend heeft gevraagd om manuele technieken cv naar een aantal recente stukken te herstellen door CIH beschadigde harde schijf, waarom kiezen deze keer, want ondanks de hervatting van het succes, maar sommige fouten, is het opmerkelijk.
Opdracht gegeven om de gebruiker te herstellen: een banksysteem
Harde geval: CIH aanval met de personeel van de eenheid had gebruikt KV300F10 computer te repareren, maar zonder succes, maar ook om de opgeslagen MBR te herstellen.
Klaar om floppy 3:
Disk1: WIN98 boot disk (met DEBUG)
Disk2: DISKEDIT en andere hulpmiddelen (deze site schrijf niet-beschermde)
DISK3: DOS een hulpmiddel voor de volgende kill CIH
Mijn harde schijf uit te hangen, worden hersteld naar de harde schijf te starten in de SETUP, een proefrit, de parameter record.
CLY620HEAD128PRECOMP0LANDZ4959SECTOR63MODELBA.
Begin met een voorbereide diskette:
A: C:
Toon Invaliddrivespecification
FDISK / MBR master boot record reconstructie (dit is een gewoonte), re-boot diskette (misschien niet noodzakelijk): Op dit punt hebben kunnen dat de C:-schijf te zien. Start DISKEDIT, het proces getoond InvalidmediatypereadingDRIVERC, Oh, kom op te starten, kom voor de lege partitietabel met debug, en thuis borden 80 en 55aa. Start en vervolgens op Uitvoeren DISKEDIT, display ingesteld op READONLY, het maakt niet uit, de configuratie van de alleen-lezen optie om te verwijderen, opslaan, OK, kunt u de.
Sindsdien is de harde schijf was meer blokken, ik was een stuk als de enige C-partitie (die is in afwachting van de reparatie van de andere harde schijf), dus niet kijken naar andere dingen, kijken we uit naar FAT2 geen schade te dekken met FAT2 FAT1, DEBUG DISKEDIT op dit moment veel makkelijker dan in FINDOBJECT FAT kiezen, check de start sector, een goede, in CYL0SIDE68SEC14, 0000H, F8FFFF0F (FAT32), het goede, FAT2 niet slecht. In feite, als het niet kan DISKEDIT DEBUG onderzoek, offset 0000 van F8FFFF.
Sinds die alleen C-partitie, dus kom op te vinden voor IOSYS (IO en SYS in nood ruimtes te vinden) op de root zone te vinden. Na de observatie te vinden indien er sprake is C: in het kader van het gemeenschappelijk document. Ja, ROOT gebied niet worden vernietigd. Een nota van de sector: CYL0, SIDE68, SEC14, reservewiel.
FAT1 het algemeen zijn vernietigd eerder, maar moet nog steeds achter zijn, die kan dienen als een controle. Omdat de 32-bits, FAT1 CYL0SIDE1SEC33 het algemeen. Vanwege ROOT gebied moet worden berekend en dan is de lengte van het FAT-tabel, omdat FAT2 sectoren tot dusver voorafgaand aan de root, dus heel eenvoudig.
U kunt vervolgens FAT2 cover FAT1, hier of DISKEDIT DEBUG kan worden gebruikt, indien DEBUG wordt meestal gebruikt met INT25 gelezen absolute sectoren en vervolgens INT26 schrijven, maar over het algemeen meerdere malen. :-) Ja, ik herinner me om breekpunten te behouden kan MARKFAT2 inhoud met DISKEDIT kopieer het schrijven naar FAT1.
U kunt dan het herstel van de master boot record, verborgen BOOT sector en omgeving, die u kunt gebruiken om NDD partitietabel eerste reparatie, overweeg dan een standaard methode die, als u wilt dat de volgende stap door de NORTONUtilities, over te nemen van deze niet kan doen. Ik heb kennis genomen van een andere FAT32 naar het desbetreffende deel van het schrijven binnen. Het is gebleken dat als ik een D-schijf. Een blik op spreken. Nou, voor de kust string op mijn harde schijf, met NORTONUtilities scan C-schijf, documenten teruggevonden, op de C schijf antivirus, waarom niet vinden van de virus, voor de twee soorten van anti-virus software of niet het virus, nog erger, blijkt C-schijf is 948M, heeft een D schijf, maar 95 kan niet browsen, DOS onder het vuilnis.
Bel dan naar de situatie te controleren op dat moment bleek te zijn die dag 26, een cd-station daglicht te stellen is voor een tijdje, gek ring op de harde schijf, blue screen of death was. Ik veronderstel dat dient te worden bevestigd als een cd-rom automatisch procedures CIH-virus. Er is dus geen echte verdediging vermogen van programmatuur is zinloos. Bovendien, ze deden twee gebieden hard, en belangrijke documenten in de D-zone. (Boos op mij!)
D schijf en vervolgens vast te stellen, ga terug naar DOS, de DEBUG symbool te gebruiken voor de 55aa tot het einde van de sector te vinden, van de structuur te bepalen of de extended partitie. Kan berekend worden op dit moment aan de grootte van de primaire partitietabel terug te keren. Natuurlijk kan veel van de gereedschappen ook goed zijn om dit werk te voltooien. Als u niet zeker bent, gebruik je deze beter af te ronden.
CIH de ervaring van de harde schijf data recovery
1, niet naar of uit het geheugen te luisteren naar een harde schijf die is soort van hoe we moeten zien voor jezelf, ik maakte deze fout.
2, KV300F10 inderdaad, zoals sommige gebruikers zeggen, dat er een verborgen gevaren, als de bank de computer van het personeel in het omgaan met KV300F10 geen back-up voor, je kan wat moeite om mij te vinden.
3 moet terugvordering gegevens worden gebaseerd op verschillende principes:
a, eerste back-up, dan zou ik dit schrijf is de reden dat HD-spiegel;
b, eerst opslaan van de meest kritieke gegevens;
c, moet in het geval van de eerste geluid van de eieren van de meest stabiele (gerepareerd worden extended partitie, en vervolgens vast te stellen C), het beste deel van het achterste deel van de reparatie;
d, eerste klaar is, niet bezig is in de verkeerde, want ik had de machine niet geïnstalleerd NORTON, eerste uittreksel, gebruikt om een D knock: TEMP, slechts te denken aan het bijna Oplossing bestand is niet volledig hersteld in de C-schijf.
In feite lijkt erop dat als er geen schade aan FAT2 het kader van C-schijf data recovery is heel eenvoudig en kan worden geprogrammeerd. Als FAT2 beschadigd, waarschijnlijk om de cursus te herstellen is slechts een sector bezetten van de dossiers en aaneengesloten bestanden.
Hierboven is op de harde schijf data recovery-methoden en CIH bijvoorbeeld kort.