加入收藏 | 设为首页 | 联系我们
武汉 | 南京 | 成都 | 大连 | 海口 | 重庆 | 天津 | 上海
首 页 公司简介 数据恢复 硬盘维修 RAID专题 工具下载 成功案例 收费标准 纸业 联系我们
当您的计算机磁盘上的数据丢 失时,为了保证您的数据能够最大 程度的得到恢复,请立刻停止对该 硬盘进行任何操作(包括尝试性数 据恢复、系统重新起动、使用软件 进行杀毒),同时请马上与我们联 系。

一、误操作类
   误删除、误格式化、误分区、误克隆等;
二、破坏类
   病毒分区表破坏、病毒FAT、BOOT区破坏、病毒引起的部
   分DATA区破坏;
三、软件破坏类
   Format、 Fdisk、 IBM-DM、PartitionMagic、 Ghost等(注!冲零或低级格式化后的硬盘将无法修复数据);
四、硬件故障类 
   0磁道损坏、硬盘逻辑锁、操作时断电、硬盘芯片烧毁、软盘/光盘/硬盘无法读盘;磁盘阵列崩溃,数据库损坏

五、加密解密
    Zip、 Rar、 Office文档、windows2000/XP系统密码。

六、数据修复时间:        软件故障数据恢复 1~5小时  硬件故障数据恢复 1天~2天   硬盘开盘数据恢复 1天~3天  服务器数据恢复2小时~3天  RAID0数据恢复 2小时~3天 RAID5数据恢复 2小时~3天  磁盘阵列柜数据恢复 2小时~3天

    

CIH硬盘数据恢复方法与实例
出处:PConline 加入时间:2004-08-16
  一、基础知识
  1、DOS(DOS兼容系统硬盘数据)的构成
  主分区和扩展分区结构基本相似,以下以主分区为例。
  主引导记录(MBR):MBR占一个扇区,在CYL 0、SIDE 0 、SEC 1,由代码区和分区表构成。其中代码区可以由FDISK/MBR重建。
  系统扇区:CYL 0、SIDE 0 、SEC 1-CYL 0、SIDE 0 、SEC 63,共62个扇区。
  引导区(BOOT):CYL 0、SIDE 1 、SEC 1 这是我们过去称的DOS引导区。也占一个扇区。
  隐藏扇区:CYL 0、SIDE 0 、SEC 1,如果是FAT16那么占一个扇区,如果是FAT32则由此占32个扇区。
  文件分配表:一般有两个FAT表,FAT12、FAT16的第一FAT表一般均在0-1-2,FAT32的第一FAT表在0-1-33。FAT表是记录文件占用扇区连接的地方,如果两个FAT表都坏了,后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2 的地址是需要计算的。
  根目录区:(ROOT)这里记录了根目录里的目录文件项等,ROOT区跟在FAT2后面。
  数据区:跟在ROOT区后面,这才是数据内容。
  2、主引导记录简单说明
  主引导记录是硬盘引导的起点,关于代码区不多说了,其分区表,比较重要的是2个标志,在偏移1BE,处的80 的标记表示系统可引导,且整个分区表只能有一个80标记。 另一个就是结尾的55 AA标记。用来表示主引导记录是一个有效的记录。
  其实,无论MBR还是隐含扇区还是BOOT区,都不重要,这些重建都比较容易。对数据恢复来说,能否成功的找回数据文件是重要的。另外,由于FAT表记录了文件在硬盘上占用扇区的链表,如果2个FAT表都完全损坏了。那么恢复文件,特别是占用多个不连续扇区文件就相当困难了。
  基本思路是:
 1、FAT2没有损坏的情况,用FAT2覆盖FAT1。
    2、FAT2也已经损坏的情况,我一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话,也并非没有可能,但这往往还要知道文件的一些细节,包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏,是有一定用处的,另外,一般来说,FAT16的硬盘因为FAT表靠前破坏的比较严重,一般两个FAT表都坏了,小硬盘也很难恢复了。
  二、一个基本恢复被CIH破坏硬盘数据的例子
 一直有朋友问手工恢复的技巧,近来恢复了多块被CIH破坏的硬盘,之所以选取这一次,是因为尽管恢复成功,但其中犯了一些错误,值得注意。
  委托恢复用户:某银行系统
  硬盘情况:CIH发作有该单位电脑人员曾用KV300 F10进行修复,但没有成功,又恢复了保存的MBR。
 准备好软盘3张:
  DISK1 :WIN98启动盘(带DEBUG)
  DISK2:DISKEDIT等工具(此盘不要写保护)
  DISK3:DOS下杀CIH的工具
  把我的硬盘摘下,挂上待恢复的的硬盘,开机,进入SETUP,检测硬盘,把参数记下。
  CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA。
  用准备好的软盘启动:
  A:>C:
  显示Invalid drive specification
  FDISK/MBR重建主引导记录(这是个习惯),重新软盘引导(可能没有必要):此时已经看的见C:硬盘。启动DISKEDIT,启动过程中显示Invalid media type reading DRIVER C,哎呀,算了,还是先用DEBUG 清空分区表, 并置80和55aa标志。重新启动,再运行DISKEDIT,显示设定为READ ONLY, 没关系,把CONFIGURATION中的只读选项去掉,存盘,好了,可以编辑了。
  由于当时接的硬盘有多块,我把这块当成了是一块只有C分区(这是等待修复的另一块硬盘),所以没看别的东西,我们期待FAT2没有损坏,以用FAT2覆盖FAT1,在这个时候DISKEDIT要比DEBUG容易的多,在FIND OBJECT中选择 FAT,查一下起始扇区,好的,在CYL 0 SIDE68 SEC 14,0000H,F8 FF FF 0F (FAT32的),好的,FAT2没坏。其实如果不用DISKEDIT的可以用DEBUG查,偏移0000的F8 FF FF。
  由于以为只有C分区,所以,上来就在FIND中查找IOSYS(IO 和SYS中要有空格)以查找ROOT区。找到后观察,是否有C:\ 下常见文件。好的,ROOT区没被破坏。记下了该扇区:CYL 0 、SIDE 68 、SEC 14,备用。
  FAT1一般前面已经被破坏了,但后面应该还在,这可以作为检查。因为是32位的,FAT1 一般在CYL 0 SIDE1 SEC 33。 因为有了ROOT 区然后应该计算FAT表的长度了,因为FAT2到ROOT前一扇区为止,所以非常简单。然后可以用FAT2覆盖FAT1,这里用DEBUG还是DISKEDIT都可以,如果用DEBUG一般是用INT 25读绝对扇区,再用INT 26写入,不过一般要分几次。记得保留断点呀:-)用DISKEDIT可以MARK FAT2的内容COPY下来,在WRITE到FAT1。
  然后可以恢复主引导记录、隐含扇区和BOOT区,可以先用NDD修复分区表,然后可以考虑用标准覆盖法,如果你希望下一步由NORTON Utilities ,来接手这些都可以不做。我从另一台FAT32上取来了,相应的部分,写了进去。我这是发现好象有一个D盘。先看一下在说吧。好了,关机串上我的硬盘,用NORTON Utilities扫描C盘,文件基本恢复,对C盘杀毒,WHY,没有发现病毒,换了2种杀毒软件还是没有病毒,更糟糕的是,显示C盘是948M,有一个D盘,但是95下无法浏览,DOS 下乱码。于是打电话核实当时的情况,原来是26日那天,放进一张光盘,光驱灯亮了一会,就硬盘狂响,蓝屏死机了。应该证实我的推断一样,是光盘的AUTORUN程序有CIH病毒。所以说没有实时防御能力的软件是没有意义的。另外,他们的硬盘确实分两个区,而且重要文件在D区。(气死我了!)
  然后在修复D盘吧,再回到DOS,用DEBUG查找结束标志为55AA 的扇区,由结构判定是否为扩展分区。此时可算出大小来返主分区表。当然,许多工具也可以很好的完成这一工作。如果你没有把握,就用他们完成好了。
    经验总结
 1、你不要听信或者凭记忆想一块硬盘该是怎么样的,一定要自己去看,我就是犯了这个错误。
  2、KV300 F10确实如一些网友所讲,有一定隐患,如果银行的电脑人员在用KV300 F10处理之前没有备份,可能要给我找些麻烦。
  3、恢复数据要本着几项原则:
  a、先备份,这也是而后我写HD-MIRROR的原因;
  b、优先抢救最关键的数据;
  c、在稳妥的情况下先把最稳定的鸡蛋捞出来(理应先修复扩展分区,再修复C),最好修复一部分备份一部分;
  d、要先作好准备,不要忙中出错,由于我的机器没有装过NORTON,先解压,习惯的敲了一个D:\TEMP,这才想起来文件险些解在没有完全修好的C盘上。
  其实看来,如果FAT2没有损坏的情况下,恢复C盘数据是非常容易的,可以编程实现。如果FAT2损坏了,最容易恢复的当然是只占用一个扇区的文件和连续的文件。
返回列表
上一篇:
下一篇: 打印此页 关闭此页
联系方式 | 服务承诺 | 成功案例 | 在线报修 | 恢复流程 | 诚征英才 | 友情链接 | 给我留言 | 加入收藏
地址:长沙市芙蓉区朝阳路后街13号
电话:0731-84154597 13308400869传真:0731-84154597 QQ:3054391470 备案序号:湘ICP备17011226号-1
copyright @2008 yijia.com,All right reserved 长沙市芙蓉区芯亿嘉数据处理服务部(个体工商户) 版权所有 E-mail:3054391470@qq.com