1, CIH grunnleggende kunnskap om harddisken data utvinning
1, DOS (DOS kompatibelt system harddisk-data) på formen
Primær og utvidede partisjoner på den grunnleggende strukturen ligner på følgende eksempel til primær partisjon.
Master Boot Record (MBR): MBR-sektoren står for en i CYL0, SIDE0, SEC1, og partisjonstabellen fra kildeområdet komposisjon. Kode område som kan bli FDISK / MBR gjenoppbygging.
System sektorer: CYL0, SIDE0, SEC1-CYL0, SIDE0, SEC63, totalt 62 sektorer.
Boot (BOOT): CYL0, SIDE1, SEC1 Dette er vår fortid, sier DOS boot sektoren. Også sto for en sektor.
Skjulte sektor: CYL0, SIDE0, SEC1, FAT16 så hvis en sektor utgjorde, hvis det er FAT32 da denne regnskapet for 32 bransjer.
File Allocation Table: FAT tabeller generelt har to, FAT12, FAT16 FAT tabeller vanligvis den første i 0-1-2, FAT32 første FAT tabellen 0-1-33. FAT tabellen er loggfilen tilkoblingen okkupert sektor der, hvis de to FAT-tabeller er brutt, vil konsekvensene være katastrofale. Som lengden på bordet med FAT partisjon av størrelsen på den aktuelle adressen er nødvendig så FAT2 beregnet.
Rotsonen: (ROOT) registrert rotkatalogen der katalogen filoppføringen, etc., ROOT området med FAT2 bak.
Data-området: ROOT område i ryggen med, dette er datainnhold.
2, kort beskrivelse av master boot record
Harddisk master boot record er utgangspunkt for veiledning, ikke mye sa på koden området, partisjonstabellen, er det viktigere de to skiltene i offset 1BE, sier Avdeling 80 av koden systemet kan starte, og bare partisjonstabellen en 80 tagger. En annen er slutten av 55AA markør. Brukes til å representere master boot record er en gyldig posten.
Faktisk, uansett sektor eller MBR eller underforstått BOOT-området, ikke viktig, de er relativt enkle å bygge. Datarekonstruksjon for å lykkes med den gjenopprettede datafilen er viktig. I tillegg, fordi FAT tabellen poster filen på harddisken sektorene okkupert av listen, hvis de to FAT-tabellene er fullstendig ødelagt. Deretter gjenopprette filer, spesielt filer okkupere flere ikke-sammenhengende sektorer er ganske vanskelig.
Den grunnleggende ideen er:
1, FAT2 ikke skadet, dekket med FAT2 FAT1.
2, FAT2 også blitt skadet, jeg vanligvis bare ser frem til å hente noen viktige filer. Vi er mest ser fram til disse dokumentene er kontinuerlig. Hvis ikke, så kontinuerlig, er det ikke umulig, men ofte trenger å vite noen detaljer av dokumenter, inkludert noen dokumenter har sin egen forståelse av sammenhengen struktur. Hvis FAT2 ikke helt ødelagt, det er en viss bruk, og den andre, generelt, FAT16-harddisken som FAT bordet * før ødeleggelsen av mer alvorlige, vanligvis to FAT-tabeller er dårlige, liten harddisk er også svært vanskelig å gjenopprette.
For det andre er en grunnleggende CIH harddisken data utvinning av skadede harddisken data utvinning er et eksempel CIH
En venn har bedt om å gjenoppta manuelle teknikker for å gjenopprette en rekke nyere stykker av CIH skadet harddisk, hvorfor velge denne gangen, fordi til tross for gjenopptakelse av suksess, men noen feil, er det verdt å merke.
Oppdrag å gjenopprette brukeren: et banksystem
Hard saken: CIH angrepet med enheten personalet hadde brukt KV300F10 datamaskinen reparere, men uten hell, men også for å gjenopprette den lagrede MBR.
Klar til floppy 3:
Disk1: WIN98 støvel diskett (med DEBUG)
Disk2: DISKEDIT og andre verktøy (dette nettstedet ikke skrive-beskyttet)
DISK3: DOS et verktøy for neste drepe CIH
Harddisken min av, henge å bli gjenopprettet til harddisken, støvel i SETUP, prøvekjøring, parameteren posten.
CLY620HEAD128PRECOMP0LANDZ4959SECTOR63MODELBA.
Start med en forberedt diskett:
A: C:
Vis Invaliddrivespecification
FDISK / MBR master boot record gjenoppbyggingen (dette er en vane), nytt boot diskett (kan ikke være nødvendig): På dette punktet har vært i stand til å se at C: stasjonen. Start DISKEDIT, starte prosessen vist InvalidmediatypereadingDRIVERC, Å, kom igjen, kom før den tomme partisjonen bordet med DEBUG, og hjem tegn 80 og 55aa. Start på nytt, så løpe DISKEDIT, skjermen er satt til Skrivebeskyttet, spiller det ingen rolle, av konfigurasjonen av skrivebeskyttet mulighet til å fjerne, Lagre, OK, kan du redigere.
Siden da harddisken var mer blokker, var jeg et stykke som det eneste C-partisjon (som venter på reparasjon av andre harddisk), så ikke se på andre ting, ser vi frem til FAT2 ingen skader å dekke med FAT2 FAT1, DEBUG DISKEDIT på denne tiden mye lettere enn i FINDOBJECT velger FAT, sjekk starten sektor, en god, i CYL0SIDE68SEC14, 0000H, F8FFFF0F (FAT32), den gode, FAT2 ikke dårlig. Faktisk, hvis ikke kan DISKEDIT DEBUG etterforskning, utlignet 0000 av F8FFFF.
Siden det bare C-partisjonen, så kom igjen FINN å finne IOSYS (IO og SYS i nød mellomrom) for å finne ROOT området. Etter observasjon for å finne om det er C: under felles dokumentet. Ja, ROOT området ikke bli ødelagt. Et notat av sektoren: CYL0, SIDE68, SEC14, reservedeler.
FAT1 generelt har blitt ødelagt tidligere, men bør fortsatt være bak, som kan tjene som en sjekk. Fordi 32-bit, FAT1 generelt CYL0SIDE1SEC33. På grunn av ROOT FAT tabellen område og deretter lengden skal beregnes, fordi FAT2 sektorer så langt før ROOT, så veldig enkelt.
Du kan deretter bruke FAT2 dekke FAT1, her eller DISKEDIT DEBUG kan brukes, hvis DEBUG er vanligvis brukes med INT25 lese absolutt sektor, så INT26 skrive, men generelt flere ganger. :-) Ja jeg husker å beholde de svake punktene kan MARKFAT2 innhold med DISKEDIT noter skrive til FAT1.
Du kan deretter gjenopprette master boot record, skjult sektor og BOOT-området, kan du bruke NDD å reparere partisjonstabellen først, og deretter vurdere en standard som dekker metode, hvis du vil neste trinn av NORTONUtilities, til å ta over disse ikke kan gjøre. Jeg har tatt fra en annen FAT32 på den tilsvarende andelen av å skrive inni. Det er funnet ut at hvis jeg har en D-stasjonen. En titt på tale. Vel, av streng på min harddisk, med NORTONUtilities skanning C kjøre, dokumenter utvinnes, på stasjon C antivirus, HVORFOR, ikke fant viruset, for de to typer anti-virus programvare eller ikke viruset, enda verre, viser C-stasjonen er 948M, har en D-stasjonen, men 95 kan ikke søke, DOS under søppel.
Deretter ringe for å kontrollere situasjonen på den tiden viste seg å være 26 den dagen, satte en CD-stasjonen lyser en stund, gal ring på harddisken, blå skjermen av død var. Jeg antar skal være bekreftet som en CD-ROM Bilen prosedyrene CIH viruset. Så det er ingen reelle forsvarsevne av programvare er meningsløst. I tillegg gjorde de to områder hardt, og viktige dokumenter i D sone. (Sint på meg!)
D-stasjonen, og så fastsette den, gå tilbake til DOS, bruke DEBUG symbolet for 55AA å finne slutten av sektoren, fra strukturen for å avgjøre om den utvidede partisjonen. Kan beregnes på dette tidspunktet å returnere størrelsen på den primære partisjonstabellen. Selvfølgelig kan mange av verktøyene også være godt å fullføre dette arbeidet. Hvis du er usikker, bruker du dem til å fullføre bedre.
CIH opplevelse av harddisken data utvinning
1, ikke lytte til eller fra minnet til en harddisk som er slag av hvordan vi må se selv, jeg bare gjort denne feilen.
2, KV300F10 faktisk, som enkelte brukere sier, at det er noen skjulte farer, hvis banken datamaskin ansatte i å håndtere KV300F10 ikke sikkerhetskopiert før, kan du finne noen problemer med å gi meg.
3, må utvinning data være basert på flere prinsipper:
a, første sikkerhetskopi, så jeg skriver dette er grunnen til at HD-MIRROR;
b, først lagre de mest kritiske data;
c, bør i tilfelle første lyden av eggene ut de mest stabile (festes første utvidet partisjon, og så fastsette C), det beste delen av bakre del av reparasjon;
d, første klare, ikke opptatt i feil, fordi jeg ikke hadde installert maskinen NORTON, først pakke, brukes til å slå en D: TEMP, Bare å tenke på det nesten Solution filen ikke er fullt reparert i C-stasjonen.
Faktisk synes at hvis det ikke er noen skade på FAT2 under C-stasjonen data utvinning er svært enkelt og kan programmeres. Hvis FAT2 skadet, mest sannsynlig for å gjenopprette den Emnet er kun oppta en sektor av filer og sammenhengende filer.
Over er på harddisken data utvinningsmetoder og CIH forekomsten kort.