数据恢复与软故障处理基本指南(4)
第四章、恢复实例
下面举一些数据恢复或者软故障处理的例子,这些事例是从我参与大量的故障处理中选取的一些典型事例。在选取典型事例中,遵循了以下原则。
①、 处理过程能够表现一定思想,而不是纯粹的技术手段。
②、 处理过程本身并不算复杂,基本不出现汇编程序,一般读者能够理解。
③、 处理过程本身并不完美,中间可能犯了一些错误,有的甚至局部失败。可以使大家引为借鉴。
④、 处理过程本身并不仅仅是纯粹的逻辑思维,有人的心理活动对技术的干扰。以使大家能更好的避免这些。
1、 被CIH破坏硬盘恢复一例
委托恢复人:某银行
硬盘情况:CIH发作,蓝屏死机。该单位电脑人员曾用KV300 F10进行修复,但没有成功,又恢复了保存的MBR。
修复工具:
准备好软盘3张:
DISK1 -WIN98启动盘(带DEBUG)
DISK2-DISKEDIT等工具(此盘不要写保护)
DISK3-DOS下杀CIH的工具
基本思想:
1、FAT2没有损坏的情况,用FAT2覆盖FAT1。
2、FAT2也已经损坏的情况,我一般是只期待找回其中某些关键的文件了。
我们最期待的是这些文件是连续的。如果不连续的话,也并非没有可能,但这往往还要知道文件的一些细节,包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏,是有一定用处的,另外,一般来说,FAT16的硬盘因为FAT表靠前破坏的比较严重,一般两个FAT表都坏了,小硬盘也很难恢复了。
修复过程:
把我的硬盘摘下,挂上待恢复的的硬盘,开机,进入SETUP,检测硬盘,把参数记下——CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。 用准备好的软盘启动:
A:>C:
显示Invalid drive specification
FDISK/MBR重建主引导记录。(这是个习惯),重新软盘引导:(可能没有必要)。
此时已经看的见C:硬盘。
启动DISKEDIT,启动过程中显示Invalid media type reading DRIVER C,哎呀,算了,还是先用DEBUG清空分区表,,并置80和55aa标志。
重新启动,再运行DISKEDIT,显示设定为READ ONLY,没关系,把TOOLS/CONFIGURATION中的只读选项去掉,存盘,好了,可以编辑了。由于当时接的硬盘有多块,我把这块当成了是一块只有C分区,所以没看别的东西,我们期待FAT2没有损坏,以用FAT2覆盖FAT1,在这个时候DISKEDIT要比DEBUG容易的多,在FIND OBJECT中选择FAT,查一下起始扇区,好的,在CYL 0 SIDE68 SEC 14,0000H,F8 FF FF 0F(FAT32的),好的,FAT2没坏。其实如果不用DISKEDIT的可以用一端小程序查,偏移0000的F8 FF FF。
由于以为只有C分区,所以,上来就在FIND中查找IOSYS(IO和SYS中要有空格)以查找ROOT区。找到后观察,是否有C:\下常见文件。好的,ROOT区没被破坏。记下了该扇区的CYL 0、SIDE 68、SEC 14,备用。FAT1一般前面已经被破坏了,但后面应该还在,这可以作为检查。因为是32位的,FAT1一般在CYL 0 SIDE1 SEC 33。因为有了ROOT区然后应该计算FAT表的长度了,因为FAT2到ROOT前一扇区为止,所以非常简单。
最新相关文章发表评论