1, CIH grundläggande kunskaper om hårddisken dataräddning
1, DOS (DOS-kompatibla system hårda data) i form
Primär och utökade partitioner på den grundläggande strukturen liknar följande exempel på den primära partitionen.
Master Boot Record (MBR): MBR sektor står för en i CYL0, SIDE0, SEC1 och partitionstabellen från källan området sammansättning. Kod område som kan FDISK / MBR återuppbyggnad.
System sektorer: CYL0, SIDE0, SEC1-CYL0, SIDE0, SEC63, totalt 62 sektorer.
Boot (boot): CYL0, SIDE1, SEC1 Detta är vårt förflutna, sade DOS boot sektorn. Också stod för en sektor.
Dold sektorn: CYL0, SIDE0, SEC1, FAT16 så om en sektor stod för, om det är FAT32 då denna står för 32 sektorer.
Filallokeringstabell: FAT tabeller allmänhet har två, FAT12, FAT16 FAT tabeller i allmänhet först i 0-1-2, FAT32 första FAT tabellen 0-1-33. FAT tabellen är loggfilen samband ockuperade delen om de, när de två FAT tabeller bryts, skulle konsekvenserna bli katastrofala. Som längden på bordet med FAT-partition av storleken på den aktuella adressen behövs så FAT2 beräknas.
Rotzonen (ROOT) bokförs här katalogen root-post katalog fil etc. ROT område med FAT2 bakom.
Dataområdet: ROT-område i ryggen med, detta är uppgifternas innehåll.
2, kortfattad beskrivning av Master Boot Record
Hårddisk Master Boot Record är utgångspunkten för vägledning, inte mycket skrev koden området, partitionstabell, är desto viktigare är det två tecknen i offset 1BE, sade avdelningen 80 på taggen systemet kan starta upp, och bara partitionstabellen en 80 taggar. En annan är i slutet av 55aa markör. Används för att representera master boot record är en giltig post.
I själva verket, oavsett sektor eller MBR eller underförstådda BOOT område, inte viktiga, de är relativt lätta att bygga. Dataåterställning för framgången med den återskapade datafilen är viktigt. Dessutom, eftersom FAT tabellen register filen på hårddisken sektorer som bebos av listan, om de två FAT tabeller är helt skadad. Sedan återställa filer, speciellt filer upptar flera icke-angränsande sektorer är ganska svårt.
Den grundläggande idén är:
1, FAT2 skador inte, täckt med FAT2 FAT1.
2, även FAT2 skadats, brukar jag bara ser fram emot att hämta några viktiga filer. Vi ser verkligen fram dessa dokument är kontinuerlig. Om så inte är kontinuerligt, det är inte omöjligt, men ofta behöver veta några detaljer av dokument, inklusive vissa handlingar har sin egen förståelse av sambandet struktur. Om FAT2 inte helt förstört, det finns en viss användning, och den andra, i allmänhet, FAT16 hårddisk som FAT tabellen * före förstörelsen av mer allvarliga, vanligtvis två FAT tabeller är dåliga, liten hårddisk är också mycket svårt att återställa.
För det andra CIH hårddisk data återhämtning av en grundläggande återställa den skadade hårddisken data exempel CIH
En vän har bett att återuppta manuella tekniker för att återställa ett antal nyligen stycken av CIH skadade hårddisk, varför välja denna gången, för trots återupptagandet av framgång, men vissa misstag, är det anmärkningsvärt.
Uppdrag att återställa användaren: ett banksystem
Hård fall: CIH attack med enhetens personal hade använt reparation KV300F10 dator, men utan framgång, men också att återställa sparad MBR.
Redo att diskett 3:
Disk1: WIN98 startdiskett (med debug)
Disk2: DISKEDIT och andra verktyg (denna sajt inte är skrivskyddad)
DISK3: DOS ett verktyg för nästa döda CIH
Min hårddisk av, hänga att återställa till hårddisken, stöveln in i SETUP, testkörning, parameter post.
CLY620HEAD128PRECOMP0LANDZ4959SECTOR63MODELBA.
Börja med ett förberett diskett:
A: C:
Visa Invaliddrivespecification
FDISK / MBR Master Boot Record återuppbyggnad (detta är en vana), re-boot diskett (kanske inte nödvändigt): På denna punkt har kunnat se att enhet C:. Start DISKEDIT, starta processen visas InvalidmediatypereadingDRIVERC, Kom igen, kom innan den tomma partitionstabellen med DEBUG och skyltar hem 80 och 55aa. Starta om och kör sedan DISKEDIT, visning inställd på ReadOnly, det spelar ingen roll, konfigurationen av skrivskyddade alternativet att ta bort, Spara, OK, kan du redigera.
Sedan dess hårddisk var mer block, var jag en pjäs som bara C partitionen (som i väntan på reparation av de andra hårddisk), så du behöver inte titta på andra saker, ser vi fram emot FAT2 någon skada för att täcka med FAT2 FAT1, DEBUG DISKEDIT just nu mycket lättare än i FINDOBJECT välja FAT, kontrollera start sektorn, en god, CYL0SIDE68SEC14, 0000H, F8FFFF0F (FAT32), det goda, FAT2 inte dåligt. Faktum är att om den inte kan DISKEDIT DEBUG utredning, offset 0.000 av F8FFFF.
Eftersom detta bara C partitionen, så kom igen HITTA att hitta iosys (IO och SYS i behov mellanslag) för att hitta ROT område. Efter observation för att finna om det finns C: enligt den gemensamma dokumentet. Ja, ROT området inte förstörs. En anteckning om sektorn: CYL0, SIDE68, SEC14, reservdelar.
FAT1 allmänhet har förstörts tidigare, men ändå vara bakom, som kan tjäna som en check. Eftersom 32-bitars, FAT1 allmänhet CYL0SIDE1SEC33. På grund av ROT område bör beräknas och därefter längden på FAT tabellen, eftersom FAT2 sektorer så långt innan roten, så mycket enkelt.
Du kan sedan använda FAT2 täcka FAT1, här eller DISKEDIT DEBUG kan användas, om DEBUG används vanligtvis med INT25 läsa absolut sektorn, då INT26 skriva, men i allmänhet flera gånger. :-) Ja jag minns att bibehålla brytpunkter kan MARKFAT2 innehåll med DISKEDIT kopiera in Skriv till FAT1.
Du kan sedan återställa master boot record, dolda sektor och BOOT område kan du använda NDD att reparera partitionstabellen först och sedan överväga en standard som omfattar metod, om du vill att nästa steg av NORTONUtilities, att ta över dessa inte kan göra. Jag har tagit från en annan FAT32 till motsvarande del av skriften inne. Det konstateras att om jag har en D-enheten. En titt på tala. Nå, off sträng på min hårddisk, med NORTONUtilities skanna C driva, återvunna dokument, på enhet C antivirus, VARFÖR, inte hittar viruset, för de två typer av anti-virusprogram eller inte virus, ännu värre, visar C-enhet är 948, har en D-disk, men 95 kan inte surfa, DOS under sopor.
Då samtalet att kontrollera situationen på den tiden visade sig vara 26 den dagen, lägg en ljus cd-enheten är på ett tag, galen ring på hårddisken, blå skärm av döden var. Jag antar bör bekräftas som en CD-ROM AUTORUN förfaranden CIH virus. Så det finns ingen riktig försvarsförmåga programvara är meningslöst. Dessutom gjorde de två områden hårt, och viktiga dokument i D zonen. (Arg på mig!)
D-enheten och sedan fixa det, gå tillbaka till DOS, använd DEBUG symbolen för 55aa att finna i slutet av sektorn, från den struktur för att avgöra om den utökade partitionen. Kan beräknas vid denna tidpunkt att återvända storleken på den primära partitionstabellen. Naturligtvis kan många av de verktyg som skall också bra att slutföra detta arbete. Om du inte är säker, använder du dem att slutföra bättre.
CIH erfarenheter av hårddisk dataräddning
1, inte lyssnar till eller från minnet till en hårddisk som är typ hur vi måste se själv, jag gjorde just detta misstag.
2, KV300F10 faktiskt, som en del användare säger att det finns vissa dolda faror, om bankens datasystem personal i att hantera KV300F10 inte säkerhetskopieras innan, kan du hitta några problem att ge mig.
3, måste återvinning uppgifterna baseras på flera olika principer:
en första säkerhetskopia, så jag skriver detta är orsaken HD-spegeln,
b först spara de mest kritiska uppgifterna,
c, bör i fråga om första ljudet av äggen de mest stabila (fastställas först utökad partition, och sedan fixa C), den bästa delen av ryggen en del av reparation,
d, första redo, inte upptagen i fel, eftersom jag inte hade installerat maskinen Norton, första extraktet, som används för att slå en D: TEMP, bara tänka på det nästan Lösning filen inte är helt reparerad i C-enheten.
I själva verket verkar det som om det inte finns några skador på FAT2 under C driva dataåterställning är mycket enkelt och kan programmeras. Om FAT2 skadad, troligen för att återställa den kursen är bara upptar en sektor av filer och sammanhängande filer.
Ovan på hårddisken dataräddning metoder och CIH instans kort.