硬盘数据恢复基础知识
1、 硬件或介质问题的情况
、 硬盘坏:硬盘自检不到的情况一般是硬件故障,又可分为主版的 硬盘控制器(包括IDE口)故障硬盘本身的故障。如果问题在主板上 ,那么数据应当没有影响。如果出在硬盘上,也不是一定不能修复。 硬盘可能的故障又可能在控制电路、电机和磁头以及盘片。如果是控 制电路的问题,一般修好它,就可以读出数据。但如果电机、磁头和盘片故障,即使修理也要返回原厂,数据恢复基本没有可操作性。
、 软盘坏:当软盘数据损坏时,可以有几种处理,一种是用NDD修 复,他会强制读出你坏区中的东西,MOVE到空白扇区中,这就意味着 如果你的磁盘很满操作是没法进行的。你也可以用HDCOPY2.0以上版本 READ软盘,他也会进行强读,使读入缓冲区的数据是完好的,你再写 入一张好磁盘就可以了。当然这些方式,要看盘坏的程度。如果0磁道坏,数据也并非无法抢救,早先可以通过扇区读的方式,把后面的数 据读出,不过一般来说,你依然可以HDCOPY来实验。
2系统问题的情况
、 在硬盘崩溃的情况下,我们经常要和一些提示信息打交道。我们 要了解他典型提
示信息的含义,注意这些原因仅仅分析逻辑损坏而不是 硬盘物理坏道的情况。
提示信息 可能原因 参考处理
Invalid Partition Table
分区信息中1BE1CE1DE处不符合只有一个80而其他两处为0 用工具设定,操作在前面已经讲了。
Error Loading Operating System
主引导程序读BOOT5次没成功。
重建BOOTLOL让人眼前一亮的ID
Missing Operating System DOS
引导区的55AA标记丢失
用工具设定,把前面读写主引导区程序的DX=80改为180即可
Non-System Disk or Disk Error
BOOT区中的系统文件名与根目录中的前两个文件不同
SYS命令重新传递系统
Disk Boot Failure
系统文件错误 SYS命令重新传递系统
Invalid Driver Specifcationg
如果试图切换到一个确实存在的逻辑分区出现以下信 息,说明主分区表的分区记录被破坏了。
根据各分区情况重建分区表,或者用自动修复工具修 复。注意分区丢失是最常见的故障之一,此时不要紧 张,一般的说此时数据并没有问题,如果你不了解处理 的方法。你可以选择我前面介绍的自动修复分区工具进 行处理,他们大多只改写主分区表的数据区,不会影响 你的其他数据。特别提醒大家,这些工具有的不支持 8.4G硬盘,有的与BIOS硬盘的识别有关系。如果你 在一台机器上不行,可以换台BIOS不同的机器实验一下。
Bad or missing command interpreter
这是说不到COMMAND,或者COMMAND文件坏了。
如果你COPY过去COMMAND文件还是如此,一般来说是 感染了某种病毒
Invalid media type reading drive X ,Abort,Retry,Fail?
该盘没有高级格式化,或BOOT区中I/O参数表被破坏。
这里情况较多,手工处理比较复杂,特别指出,此时 DISKEDIT可能无法运行,建议用工具修复。
Incorrect DOS 小将军约翰逊Version
可能是文件版本不统一,对9X来说,有95 95osr/2,98,98 oem/2等版本,重新SYS 时,不要弄错 了。
用正确版本的启动盘重新SYS系统
另外说明一下,对于比较老的机器还有1071not found rom basicROM BASIC OK等提示,在目前机器中以消失。另外,当 代码区完全被破坏的情况下,系统关于无系统的提示是来自BIOS 的,这条提示与BIOS的种类有关。另外,FDISK/MBR对代码区的 重建是我们经常采用的。再介绍一种比较极端的情况,就是硬盘 自检正常,而用软盘和硬盘都无法正常启动的情况,这可能是, 病毒或恶意程序利用,DOS3以上版本启动中都要检索分区表这一 特点,把分区表置为死循环。造成启动中死机。网上曾经流传过 DOS6.22k修改方案,其实是修改西文MS-DOS6.22的 IO.SYS,把 C2 03 06 E8 0A 00 07 72 03替换为:C2 03 90 E8 0A 马伊俐比文章大几岁00 72 80 90就可以启动被类似情况锁住的硬盘
、 9X无法正常进入或工作:以下仅仅是对可能的软故障分析 ,没有考虑硬件故障.进入图形界面前死机情况比较复杂,可能与加载的某些驱动有关 可以在START MS WINDOWS时,用F8激活菜单,设置为step by step ,看是哪项使系统死机。而后从CONFIG或者SYSTEMINI中删除进入图形界面后死机一般这与开机加载的程序有关进入安全模式(此时自动 运行的程序将不能加载),对注册表中的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run* 中的键值和启动组中加载的程序进行分析。必要的予以删除。显示IEXPLORE.EXE错误,不能进行任何操作
可能有某个系统的动态连接库损坏覆盖安装WIN9X,或从 其他机器上COPY损坏的连接库。(确定哪个库损坏一般 比较困难)
频繁出现出错各种信息
一般是虚拟内存不足造成的看C盘是否剩余空间过少, 或者打开的应用程序和窗口太多。
2、 全盘崩溃和分区丢失
首先重建MBR代码区,再根据情况修正分区表。修正分区 表的基本思路是查以55AA
为结束的扇区,再根据扇区结构 和后面是否有FAT等情况判定是否为分区表,最后计算填回, 主分区表,由于需要计算,过程比较烦琐,就不仔细介绍了 ,希望大家用前面介绍的工具,比如NDD处理。如果文件仍然 无法读取,要考虑用TIRAMINT等工具进行修复。如果在FAT 表彻底崩溃的情况下,恢复某个指定文件,可以用DISKEDIT 或DEBUG查已知信息。比如文件为文本,文件中包含软件 狗,那么我我们就要把他们转换为内码C8 ED BC 重庆游乐设施FE B9 B7 进行查。
3、 文件丢失、误格式化的情况
一般的来说,文件删除仅仅是把文件的首字节,改为E5H,而并 不破坏本身,因此可以恢复。但由于对不连续文件要恢复文件 链,由于手工交叉恢复对一般计算机用户来说并不容易,在这 篇缩略版中就不讲了,建议用工具处理,如果已经安装了Norton水晶头接法 图解>和谐社会的特征 Utilities,可以用他来查。另外,RECOVERNT 等工具,都是 恢复的利器。特别注意的是,千万不要在发现文件丢失后,在 本机安装什么恢复工具,你可能恰恰把文件覆盖掉了。特别是 你的文件在C盘的情况下,如果你发现主要文件被你失手清掉了 ,(比如你按SHIFT删除),你应该马上直接关闭电源,用软盘 启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。误格 式化的情况可以用等工具处理。
4、 文件损坏的情况
一般的说,恢复文件损坏需要清楚的了解文件的结构,并不是很 容易的事情,而这方面的工具也不多。不过一般的说,文件如果 字节正常,不能正常打开往往是文件头损坏。
就文件恢复举几个 简单例子。
类型 特征 处理
ZIPTGZ等压缩包无法解压
ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具 处理。不过如果你的文件是从FTP站点上下载的,那么 有可能是你没有定义下载模式为BIN
自解压文件无法解压
可能是可执行文件头损坏,可以用对应压缩工具按一般 压缩文件解压。
DBF文件死机后无法打开
典型的文件头中的记录数与实际不匹配了,把文件头中 的记录数向下调整,遗憾的是公式我不到了。
 
5、 硬盘被加密或变换:
此时千万不要FDISK/MBRSYS等处理,否则可 能数据再也无法回,一定要反解加密算法,或到被移走的重要扇区。 对于那些加密硬盘数据的病毒,清除时一定要选择能恢复加密数据的可 靠杀毒软件。
6、 文件加密后密码遗忘:
对于很多字处理软件的文件加密和ZIP等压 缩包的加密,你是不能靠加密逆过程来完成的,因为那从理论上是异常 困难的。目前有一些相关的软件,他们的思想一般都是用一个大字典集 中的数据循环用相同算法加密后与密码的密文匹配,直到一致时则说明 到了密码。你可以去寻这些软件,当然,有些软件是有后门的,比 如DOS 下的WPSCtrl+qiubojun就是通用密码Undiskp的作者冯志宏 是解文件密码的个中高手,大家不妨去他的主页看看。
7、 系统用户密码遗忘的处理:
最简单的方法就是用软盘启动(NT的你也 可以把盘挂接在其他NT上),到支持该文件系统结构的软件(比如针对 NTNTFSDOS),利用他把密码文件清掉、或者是COPY密码档案,用破解 软件套字典来处理。前者时间短但所有用户信息丢失,后者时间长,但保 全了所有用户信息。对UNIX系统,我建议你一定先做一张应急盘.
数据恢复资料 数据恢复理论篇
要深入学习数据恢复,并非是一件容易的事,要想成为一个数据恢复专家,没有深厚的理论知识是不可能的,你必须了十分了解磁盘的逻辑结构,就让我们来看看需要学习的理论知识吧。
  当我们对文件进行访问时,你有没有想过,操作系统是如何对文件进行操作的呢?这些文件又是如何存放在磁盘当中的呢?先来看看硬盘的总体结构,在介绍硬盘总体结构之前有必要介绍一下硬盘的参数,硬盘是以磁头(Heads),柱面(Cylinders),扇区(Sectors)进行访问的。其中: 磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片, 最大为 255 ( 8 个二进制位存储); 柱面数(Cylinders) 表示硬盘每一面盘片上有几条磁道,最大为 1023 ( 10 个二进制位存储); 扇区数(Sectors) 表示每一条磁道上有几个扇区, 最大为 63( 6 个二进制位存储). 每个扇区一般是 512个字节,学习过汇编语言的朋友可能想到了,BIOS中断13H的入口参数中,CH是磁道号其值为0H~FEH(最多255个磁道),CL中低6位为扇区号,其值为1H~3FH(最多63个扇区),DH为磁头号的低位,CL中的高2位为磁头号的高位,也就是说,磁头号最多由10位二进制数表示,(11111111112=102310,也就
是说最多可以表示的磁头数为1024个。请大家记住这些在我们以后的学习中还会用到的,由此可以看出基于这种访问方式我们最大能访问的磁盘容量为:
255 * 1023 * 63 * 512字节=8414461440/1048576=8024.66M
  只有大约8G的空间,这是因为早期磁盘还很小,想想当年你拥有一块200M硬盘时的喜悦心情吧!就好象当年的科学家们以为1K内存已经很大了一样,让电脑用户很长一段时间都为配置DOS下的内存而烦恼。而今,你肯定拥有一块大于8G硬盘了,你能够用她,应该多亏了一种较新的硬盘访问技术——扩展 Int13H 技术。采用线性寻址方式存取硬盘, 所以突破了 8 G的限制, 而且还加入了对可拆卸介质(如活动硬盘)的支持,因为是谈数据恢复不是谈编程,关于扩展INT13H技术我在此就不详述了。

硬盘数据(基于FAT结构)总体结构如下:
1、主引导扇区(Master boot sector (占用一个扇区)
2、第一个分区的引导扇区(Boot sector)(占用一个扇区)
3、第一个分区FAT1 (占用空间由磁盘大小和FAT类型来定)
4、第一个分区FAT2 (占用空间由磁盘大小和FAT类型来定)
5、第一个分区的根目录
6、第一个分区数据区 (用来存放各种文件的数据)
7、扩展分区 (占用一个扇区
8、第二个分区的引导扇区(Boot sector)(占用一个扇区)
9、第二个分区FAT1 (占用空间由磁盘大小和FAT类型来定)
10、第二个分区FAT2 (占用空间由磁盘大小和FAT类型来定)
11、第二个分区的根目录
12、第二个分区数据区 (用来存放各种文件的数据)
13、扩展分区
硬盘故障的分类 物理故障 软件故障
硬盘物理故障
  硬盘故障大致可分为硬故障和软件故障两大类。硬故障PCBA板损坏、盘片划伤、磁头
音圈电机损坏等。由于硬故障维修要求的基本知识及维修条件较高,所以一般需要由专业技术人员才能解决。硬盘故障硬盘数据结构由于某种原因,比如说病毒导致硬盘数据结构混乱甚至不可被识别而形成的故障。一般来说,主板BIOS硬盘自动检测(IDE HDD AUTO DETECTION)功能能够检测到硬盘参数,均为软故障。一般情况下,硬盘在发生故障系统会在屏幕上显示一些提示信息,所以我们可以按照屏幕显示的提示信息到故障原因,有针对性地实施解决方案。