硬盘数据恢复基础知识
技术大全
数据恢复的基础知识到此就给你介绍得差不多了。如果你领会了以上的这些知识,相信加上工具软件的辅助,恢复你丢失的数据简直是轻而易举,这里就不再多说,我们走入真正的实战操作吧……
二、
硬盘数据恢复方案分析
难道在硬盘数据由于各种原因被破坏后,我们就只能……?
当然,我们最大的期望还是——你永远不要用到下面的方法!因为再完备的事后解决方案,也不能保证所有数据的完好无缺。而要真正做到万无一失,更重要的工作还在于防患于未然。
8.系统用户密码遗忘的处理
三.数据备份介绍
1、么东西最该备份
2、备份到哪里
硬盘数据恢复实例全解 之一
1)解决方案
2)不可恢复的情况
3)破坏原因及恢复可行性分析
硬盘数据恢复实例全解 之二
1)解决方案
2)不可恢复的情况
3)破坏原因及恢复可行性分析
硬盘数据恢复实例全解 之三
主引导扇区:主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。值得一提的是,MBR是由分区程序(例如DOS的Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。
数据恢复基础知识.doc
数据恢复棊础知识计算机上只有数据是最关键的,数据的丢失才是最大的损失。
下血我來讲解一些数据恢复的基本知识。
首先屮明一点,对于重要数据,备份数据才是防止数据丢失的根木方法,而数据恢复依赖于很多因索,很难完全恢复数据,一般是仅仅可以恢复部分数据。
数据恢复就是找回丢失的数据,例如彻底删除某个文件或文件夹,重新格式化磁盘,重新分区磁盘等等都会造成数据的丢失。
更严重的数据丢失是存储介质硬件损坏,例如,硬盘不小心摔坏了、硬盘根本就不认了、硬盘有大量坏道等等。
最值得注意的一点是,一旦意识到数据丢失了,立刻停止一些不必要的*作,谋删、谋格示,不要再往磁盘里写数据了!磁盘摔坏后,不要再加电了!磁盘出现坏道读不出来,不要反复读盘了等等。
硬盘故障大致可分为硬故障和软故障两大类。
硕故障即PCBA板损坏、盘片划伤、芯片及其它原器件烧坏、断针断线、磁头咅圈电机损坏等,是由于破盘自身的机械零件或电了元器件损坏而引起。
剧烈的震动、频繁开关机、电路短路、供电电压不稳定等比较容易引发硬盘物理性故障,硬件故障一般表现为CMOS不认硬盘,常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、磁头不对造成读写错误等现象,对上面描述的人部分情况, 一般都要送到专门的数据恢复中心检测和恢复数据。
硬盘软故障即硬盘数据结构山于某种原因,比如说病毒导致硬盘数据结构混乱甚至不可被识别而形成的故障。
一般来说,主板BIOS硕盘口动检测(IDE HDD AUTO DETECTION)功能能够检测到硬盘参数,均为软故障。
一般情况下,硬盘在发生故障时系统会在屏幕上显示一些提示信息,所以我们可以按照屏幕显示的提示信息找到故障原因,冇针对性地实施解决方案。
软故障包括误分区、误格式化、误删除、误克隆、MBR丢失、BOOT扇区丢失、病毒破坏、黑客攻击、分区信息丢失、RAID0磁盘阵列、RAID1磁盘阵列、RAID5磁盘阵列失效等因素造成的数据丢失。
硕盘软故障相对于物理故障来说,更容易修复些,而它对数据的损坏程序也比硬盘物理故障来得轻些。
第一章第二节:硬盘基础知识-硬盘的寻址模式-什么是寻址模式
第一章第二节:硬盘基础知识-硬盘的寻址模式-什么是寻址模式1.2硬盘的寻址模式硬盘最主要的功能就是存取数据,这些数据都是按一定的规则存储在盘片上的。
当需要存储或读取某些数据时,就要知道其所在的具体位置,而寻址具有这个作用,它实际上就是磁头在盘片上定位数据的一个过程。
进行数据恢复时寻址尤为重要,是因为数据丢失后,在“我的电脑”等位置中将无法找到文件,甚至无法找到文件夹或分区。
若要恢复这些丢失的数据,就需要使用底层的寻址技术来查找,从而将其恢复。
1.2.1什么是寻址模式所谓寻址模式,通俗地讲就是指主板BIOS以何种方式查找硬盘低级格式化后划分出来的扇区的位置。
硬盘有C/H/S和LBA两种寻址模式。
1.C/H/S寻址模式C/H/S(Cylinder/Head/Sector)寻址模式也称为三维地址模式,是硬盘最早采用的寻址模式,它是在硬盘容量较小的前提下产生的。
硬盘的C/H/S 3D参数既可以计算出硬盘的容量,也可以确定数据所在的具体位置。
这是因为扇区的三维物理地址与硬盘上的物理扇区一一对应,即三维物理地址可完全确定硬盘上的物理扇区。
三维物理地址通常以C/H/S的次序来书写,如C/H/S为0/1/1,则第一个数字0指0柱面,第二个数字1指1磁头(盘面),第三个数字1指1扇区,表示该数据位于硬盘1盘面上的0磁道1扇区。
现在定位已完成,硬盘内部的参数和主板BIOS之间进行协议,正确发出寻址信号,从而正确定位数据位置。
早期硬盘柱面的最大数为1024,磁头的最大数为16,扇区的最大数为63,因此,能寻址的扇区数是1 032 192(1024×16×63)。
而一个扇区规定为512B,这也就是说,如果以C/H/S 寻址模式寻址,则IDE硬盘的最大容量只能为小于或等于528.4MB。
2.LBA寻址模式早期硬盘设计上的不合理使得盘片没有得到很好的利用,为了解决这一问题以进一步提高硬盘容量,生产厂商以等密度结构生产硬盘,从而使盘片上外圈磁道的扇区比内圈磁道多。
RAID5数据恢复
RAID5数据恢复 step by step一、准备知识RAID-5是数据和奇偶校验间断分布在三个或更多物理磁盘上的、具有容错功能的阵列方式。
如果物理磁盘的某一部分失败,您可以用余下的数据和奇偶校验重新创建磁盘上失败的那一部分上的数据。
对于多数活动由读取数据构成的计算机环境中的数据冗余来说,RAID-5是一种很好的解决方案。
有一些服务器或者磁盘阵列柜会将RAID信息存储在磁盘的某些地方,一般是阵列内每块磁盘的最前面的一些扇区或者位于磁盘最后的一些扇区内。
当RAID信息存储在每块磁盘的前面的扇区时,在分析与重组RAID的时候就需要人为的去掉这些信息,否则就会得到错误的结果。
在做RAID5的数据恢复的时候,除了需要知道RAID内数据的起始扇区,还需要了解(数据)块大小(也称深度,depth)、数据与校验的方式等。
在实际应用中,阵列控制器一般要先把磁盘分成很多条带(Stripe,如图1上绿色线框起来的部分就是一个条带),然后再对每组条带做校验。
每个条带上有且仅有一个磁盘上存放校验信息,其他的磁盘上均存放数据。
数据被控制器划分为相等的大小,分别写在每一块硬盘上面。
每一个数据块的长度或者说数据块的容量就被称为块大小或者叫(条带)深度。
在阵列内,条带大小一般是相同的,即在每个磁盘内的数据块的大小和校验块的大小是一致的。
图1每一个条带内的校验盘上的内容是通过这个条带上其他磁盘上的数据做异或而来,如P1=D1 XOR D2 XOR D3(见图2)。
一般来说,在盘序是正确的情况下,校验块在RAID5内每块磁盘的写入顺序都是从第一块盘到最后一块盘或者从最后一块盘到第一块盘(如图2)。
从图上看,校验的排列总是从图的左上角到右下角,或者从图的有上角到左下角。
这就为我们判断磁盘的顺序提供了依据。
如果考虑上数据写入磁盘的顺序(这个就是所谓的校验旋转方式,以下简称旋转方式),我们便得到了如图2所示的4种数据与校验的排列形式:forward 123(右不对称)、forward dyn(右对称)、backward 321(左不对称)、backward dyn(左对称)。
数据恢复基础知识
数据恢复基础知识 DATA区分析
DATA
2号簇 3号簇 4号簇
……
根目录
子目录 或内容
子目录 或内容
……
N号簇
子目录 或内容
数据恢复基础知识
5 NTFS文件系统
数据恢复基础知识
16个元文件
$Mft
主文件表
$MftMirr 主文件表镜像
$LogFile
属性描述 标准信息 属性列表
文件名 对象ID 安全描述符
卷名 卷信息 文件数据
属性类型 90 00 00 00 A0 00 00 00 B0 00 00 00 C0 00 00 00 D0 00 00 00 E0 00 00 00 F0 00 00 00 00 10 00 00
属性描述 缩银根
索引分配 位图
子扩展分区
子扩展分区
M
主
E
B
分
B
R
区
R
扩展
E
扩展
磁盘
B
磁盘
分区
R
分区
2048
xxxxx
2048
xxxxx
2048
xxxxx
数据恢复基础知识
3 Windows系统的GPT磁盘分区
数据恢复基础知识 GPT是GUID Partition Table(全局唯一标识磁盘分区表)。 GPT是作为EFI(可扩展固件接口)计划的一部分引入的。
$Volume
$AttrDef
$Root
$Bitmap
$Boot 引导文件
$BadClus $Secure $UpCase $Extended metadata directory $Extend\$Reparse $Extend\$UsnJrnl $Extend\$Quota $Extend\$ObjId
《数据恢复》教案正文17
江西工业职业技术学院教案读写磁头、主轴(下方是轴承和马达电机)、永久磁铁、盘片、空气过滤片等组成。
(2)硬盘的逻辑结构硬盘的逻辑结构包括磁面(Side)、磁道(Track)、柱面(Cylinder)与扇区(Sector)。
(3)硬盘的工作原理4.硬盘的控制电路在硬盘电路板中,三个芯片比较重要,它们分别是:硬盘主控芯片、硬盘驱动芯片、硬盘缓存芯片。
5.硬盘的物理故障判步骤江西工业职业技术学院教案课程名称数据恢复授课时间第 1 周第 2 次授课章节实验一 winhex的介绍及使用教学目的知识目标1.熟悉winhex界面2.理解数据的存储形态技能目标会使用通用的数据恢复方法恢复简单的文件会创建虚拟磁盘教学重点虚拟磁盘的创建和附加通用的数据恢复方法数据的存储形态教学难点通用的数据恢复方法教学方法演示法,讲解法,任务驱动法教具计算机教学过程设计(含时间分配)(2学时)1.winhex界面介绍2.学生操作练习,熟悉winhex的界面3.通过实例演示通用数据恢复方法,以及如何创建和附加虚拟磁盘4.布置课堂练习,让学生自己创建和附加虚拟磁盘,并发放课堂练习,让学生动手操作利用通用数据恢复方法恢复下发的磁盘文件。
5.方法:工具-磁盘工具-按文件类型恢复江西工业职业技术学院教案教学过程设计(含时间分配)(2学时)1.MBR硬盘MBR硬盘的分区表也叫DOS分区表,0号扇区是主引导记录(MBR),DOS分区体系的硬盘用分区表记录每个分区的类型起始位置和分区的大小。
其中分区表就在0号扇区内,所以0号扇区如果损坏,那么这个硬盘就不能正确识别分区。
2.MBR结构图3.分区表项结构08是指从E列开始0,F1,。
,08即第6列。
(1)分区类型值的含义4.MBR硬盘结构图由图可知,MBR硬盘的分区是连续的,一个紧挨着一个。
所以我们在做数据恢复时,往往找到一个分区时,很快就能找到所有的分区。
5.课堂案例演示如何获得每个分区的(类型、起始扇区号,总扇区数)江西工业职业技术学院教案江西工业职业技术学院教案教学过程设计(含时间分配)(2学时)1.EBR(Extended Boot Record)的概念EBR即扩展分区引导记录。
数据恢复技术培训
数据恢复技术培训
数据恢复技术培训是一项专注于教授和培养数据恢复技能的培训课程。
以下是关于数据恢复技术培训的一些详细信息:
1. 课程内容:数据恢复技术培训课程通常涵盖广泛的主题,包括数据恢复的基本原理、不同类型存储设备的工作原理、数据恢复工具和软件的使用、数据恢复的方法和策略等。
2. 培训方式:培训可以通过面对面教学、在线学习平台或实际操作演练来进行。
学员将通过理论学习、实际案例分析和实际操作来学习和掌握数据恢复技术。
3. 培训目标:数据恢复技术培训的目标是帮助学员了解数据丢失的原因和情况,掌握各种数据恢复方法和技术,能够熟练使用相关工具和软件进行数据恢复操作,并培养解决数据丢失问题的能力。
4. 学习成果:通过数据恢复技术培训,学员将获得以下技能和知识:了解不同存储设备的数据存储结构和文件系统;掌握数据恢复工具和软件的使用方法;学会分析数据丢失的原因并选择合适的恢复方法;能够处理各种数据丢失情况,如误删除、格式化、硬盘故障等。
5. 行业应用:数据恢复技术在许多领域都有广泛的应用,如计算机维修、数据中心管理、电子取证等。
通过培训,学员可以在这些领域中找到就业机会或提供专业的数据恢复服务。
数据恢复技术培训为那些希望进入数据恢复领域或提升现有数据恢复技能的人提供了宝贵的学习机会。
参加培训可以帮助学员成为专业的数据恢复技术人员,并为他们在这个领域的发展打下坚实的基础。
硬盘恢复与数据备份
硬盘恢复与数据备份在数字化时代,电子资料的存储已成为日常工作中不可避免的事情。
大量的公司业务数据、客户资料和个人档案都储存在计算机中。
然而,在无数不测事故和人为错误的影响下,硬盘中的数据可能会遭到毁坏或者丢失。
因此,硬盘数据备份及恢复分别显得非常重要。
本文将介绍硬盘数据备份和恢复的相关知识。
一、数据备份的目的和方法事实上,“备份”是指将文件、文件夹、服务器和数据库等电子资料复制到另一个存储媒介中,以便当原文件或文件夹受到损坏或者遗失时,可以很快恢复数据的操作。
备份的目的是防范从现有系统格式和数据的备份系统中潜在的数据丢失风险。
此外,备份也可以用来保障机构的历史记忆和跟踪文件版本的变化。
在备份数据方面,我们有以下几个备份策略:1.完全备份:完全备份的概念很简单,就是在每次备份时将所有文件都备份一次。
这样做可以使整个备份历史记录比较简单,易于管理,但是备份时间和空间消耗都很大。
2.增量备份:增量备份只备份了新的数据和最近被修改的文件。
这项备份策略可以省略大部分已经备份了的文件,因此耗时和占用空间都比完全备份少。
3.差异备份:差异备份仅备份自上次完整备份后修改过的文件,而不是所有新文件。
差异备份需要一手完整备份作为基础,并记录此后每次完整备份之间进行的所有详细更改。
这样,备份文件会更快备份,但也需要较多的空间。
二、数据恢复如果数据丢失了,我们该怎么办?数据恢复就至关重要了。
意外删除、系统故障、病毒感染等都会对数据造成损坏和遗失,如果不能尽快地进行数据恢复,将会给我们的生活和工作带来极大的困扰。
在讨论恢复的方法之前,我们需要注意以下事项:1.不要将新的文件写入到受损的设备中,否则可能会覆盖丢失的数据。
2.尽快进行数据恢复,最好不要过多花费自己的时间和精力。
3.当我们逐渐恢复数据时,可以将这些数据同时备份到另一个设备或者在另一个位置中进行备份,防止数据丢失。
在恢复数据方面,我们有以下几个方法:1.尝试在回收站中恢复:当我们意外删除了某些文件时,首先可以尝试在回收站中恢复文件。
数据恢复技术详细概述
数据恢复技术详细概述数据恢复是指通过特定的技术手段从损坏、丢失或无法访问的存储介质中恢复被删除或损坏的数据。
数据恢复技术已经广泛应用于个人用户、企业机构和科学研究等领域。
本文将详细概述数据恢复技术的原理、方法和应用,帮助读者全面了解数据恢复技术。
一、数据恢复技术原理数据恢复技术的实现原理是基于存储介质的物理特性和数据的存储原理。
在存储介质上,数据被以特定的格式和方式存储,而删除或损坏的数据实际上并没有被彻底清除,只是在文件系统中被标记为可覆盖的空间。
数据恢复技术通过对存储介质的读取、解析和重建,还原被删除或损坏的数据。
数据恢复技术原理主要包括以下几个方面:1. 存储介质读取存储介质读取是数据恢复的基础。
根据存储介质的类型,可以使用不同的读取设备和方法。
例如,对于硬盘的数据恢复,可以使用专业的硬盘读取设备,通过接触硬盘的磁头读取磁道上的数据。
而对于闪存介质,可以采用直接读取芯片上的存储单元的方法。
2. 数据解析数据解析是将读取的原始数据转换为可读、可理解的数据的过程。
不同的存储介质和文件系统采用不同的数据结构和文件格式,需要使用相应的解析算法来还原数据。
解析算法可以通过分析文件系统结构、读取文件头信息等方式来实现。
3. 数据重建数据重建是根据解析得到的信息恢复数据的过程。
通过解析得到的文件系统结构和文件分配表,可以还原被删除或损坏的文件。
对于已经被覆盖或部分损坏的数据,可以通过数据的特征和模式进行重建。
二、数据恢复技术方法数据恢复技术采用多种方法来实现对损坏或丢失数据的恢复。
根据不同的数据丢失原因和存储介质类型,常见的数据恢复技术方法包括以下几种:1. 删除文件恢复使用删除文件恢复方法可以恢复误删除的文件。
当一个文件被删除时,文件系统只是将该文件标记为可覆盖的空间,而实际上文件的数据并没有被移除。
通过对存储介质的扫描和解析,可以找到被删除文件的存储位置,并将其还原为可读的文件。
2. 格式化恢复格式化恢复用于恢复被格式化的存储介质上的数据。
数据恢复基础知识(合)
数据恢复的分类
01
按数据丢失原因分 类
根据数据丢失的原因,数据恢复 可以分为硬件故障恢复、软件故 障恢复、人为错误恢复等。
02
按数据存储介质分 类
根据数据存储介质的不同,数据 恢复可以分为硬盘数据恢复、U 盘数据恢复、SD卡恢复等。
03
按数据恢复成功率 分类
根据数据恢复的成功率,数据恢 复可以分为完全恢复和不完全恢 复。
个人数据恢复案例
要点一
总结词
个人用户误删或格式化重要数据
要点二
详细描述
个人用户误删或格式化重要数据,如照片、文档等,导致 无法正常工作或生活。数据恢复工程师通过专业的数据恢 复软件,成功找回丢失数据,并确保数据质量。
特殊类型数据恢复案例
总结词
特殊类型数据的恢复挑战
详细描述
某些特殊类型的数据,如数据库、虚拟机等,由于其结 构复杂或存储方式特殊,恢复难度较大。数据恢复工程 师需具备相关技术背景和经验,通过特定的数据恢复技 术和工具,成功恢复这些特殊类型的数据。
原理
通过分析加密算法的原理,尝试破解加密数 据的密钥。
功能
用于解密被加密的数据。
特点
在数据被加密且无密钥的情况下,能够尝试 恢复原始数据。
05
数据恢复案例分析
企业级数据恢复案例
总结词
大型企业遭受数据灾难,需快速恢复业务运行
详细描述
某大型企业因硬盘故障导致数据丢失,需尽快恢复关 键业务数据,以减少停机时间和经济损失。数据恢复 工程师通过专业的数据恢复工具和技术,成功找回丢 失数据,并确保数据完整性和可用性。
NTFS文件系统修复
与FAT文件系统类似,NTFS文件系统在遇到 问题时也可以使用专业的工具进行修复,确 保文件系统的稳定性和数据完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
硬盘数据恢复基础知识1、硬件或介质问题的情况①、硬盘坏:硬盘自检不到的情况一般是硬件故障,又可分为主版的硬盘控制器(包括IDE口)故障和硬盘本身的故障。
如果问题在主板上,那么数据应当没有影响。
如果出在硬盘上,也不是一定不能修复。
硬盘可能的故障又可能在控制电路、电机和磁头以及盘片。
如果是控制电路的问题,一般修好它,就可以读出数据。
但如果电机、磁头和盘片故障,即使修理也要返回原厂,数据恢复基本没有可操作性。
②、软盘坏:当软盘数据损坏时,可以有几种处理,一种是用NDD修复,他会强制读出你坏区中的东西,MOVE到空白扇区中,这就意味着如果你的磁盘很满操作是没法进行的。
你也可以用HDCOPY2.0以上版本READ软盘,他也会进行强读,使读入缓冲区的数据是完好的,你再写入一张好磁盘就可以了。
当然这些方式,要看盘坏的程度。
如果0磁道坏,数据也并非无法抢救,早先可以通过扇区读的方式,把后面的数据读出,不过一般来说,你依然可以HDCOPY来实验。
2、系统问题的情况①、在硬盘崩溃的情况下,我们经常要和一些提示信息打交道。
我们要了解他典型提示信息的含义,注意这些原因仅仅分析逻辑损坏而不是硬盘物理坏道的情况。
提示信息可能原因参考处理Invalid Partition Table分区信息中1BE、1CE、1DE处不符合只有一个80而其他两处为0用工具设定,操作在前面已经讲了。
Error Loading Operating System主引导程序读BOOT区5次没成功。
重建BOOT区Missing Operating System DOS引导区的55AA标记丢失用工具设定,把前面读写主引导区程序的DX=80改为180即可Non-System Disk or Disk ErrorBOOT区中的系统文件名与根目录中的前两个文件不同SYS命令重新传递系统,Disk Boot Failure读系统文件错误SYS命令重新传递系统,Invalid Driver Specifcationg如果试图切换到一个确实存在的逻辑分区出现以下信息,说明主分区表的分区记录被破坏了。
根据各分区情况重建分区表,或者用自动修复工具修复。
注意分区丢失是最常见的故障之一,此时不要紧张,一般的说此时数据并没有问题,如果你不了解处理的方法。
你可以选择我前面介绍的自动修复分区工具进行处理,他们大多只改写主分区表的数据区,不会影响你的其他数据。
特别提醒大家,这些工具有的不支持8.4G硬盘,有的与BIOS对硬盘的识别有关系。
如果你在一台机器上不行,可以换台BIOS不同的机器实验一下。
Bad or missing command interpreter这是说找不到,或者COMMAND文件坏了。
如果你COPY过去COMMAND文件还是如此,一般来说是感染了某种病毒。
Invalid media type reading drive X,Abort,Retry,Fail?该盘没有高级格式化,或BOOT区中I/O参数表被破坏。
这里情况较多,手工处理比较复杂,特别指出,此时DISKEDIT可能无法运行,建议用工具修复。
Incorrect DOS Version可能是文件版本不统一,对9X来说,有9595osr/2,98,98oem/2等版本,重新SYS时,不要弄错了。
用正确版本的启动盘重新SYS系统另外说明一下,对于比较老的机器还有1071和not found rom basic、ROM BASIC OK等提示,在目前机器中以消失。
另外,当代码区完全被破坏的情况下,系统关于无系统的提示是来自BIOS的,这条提示与BIOS的种类有关。
另外,FDISK/MBR对代码区的重建是我们经常采用的。
再介绍一种比较极端的情况,就是硬盘自检正常,而用软盘和硬盘都无法正常启动的情况,这可能是,病毒或恶意程序利用,DOS3以上版本启动中都要检索分区表这一特点,把分区表置为死循环。
造成启动中死机。
网上曾经流传过DOS6.22k修改方案,其实是修改西文MS-DOS6.22的IO.SYS,把C20306E80A 00077203替换为:C20390E80A00728090就可以启动被类似情况锁住的硬盘。
②、9X无法正常进入或工作:以下仅仅是对可能的软故障分析,没有考虑硬件故障.进入图形界面前死机情况比较复杂,可能与加载的某些驱动有关可以在START MS WINDOWS时,用F8激活菜单,设置为step by step,看是哪项使系统死机。
而后从CONFIG或者SYSTEM。
INI中删除进入图形界面后死机一般这与开机加载的程序有关进入安全模式(此时自动运行的程序将不能加载),对注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*中的键值和启动组中加载的程序进行分析。
必要的予以删除。
显示IEXPLORE.EXE错误,不能进行任何操作可能有某个系统的动态连接库损坏覆盖安装WIN9X,或从其他机器上COPY损坏的连接库。
(确定哪个库损坏一般比较困难)频繁出现出错各种信息一般是虚拟内存不足造成的看C盘是否剩余空间过少,或者打开的应用程序和窗口太多。
2、全盘崩溃和分区丢失首先重建MBR代码区,再根据情况修正分区表。
修正分区表的基本思路是查找以55AA为结束的扇区,再根据扇区结构和后面是否有FAT等情况判定是否为分区表,最后计算填回,主分区表,由于需要计算,过程比较烦琐,就不仔细介绍了,希望大家用前面介绍的工具,比如NDD处理。
如果文件仍然无法读取,要考虑用TIRAMINT等工具进行修复。
如果在FAT表彻底崩溃的情况下,恢复某个指定文件,可以用DISKEDIT或DEBUG查找已知信息。
比如文件为文本,文件中包含“软件狗”,那么我我们就要把他们转换为内码C8ED BC FE B9B7进行查找。
3、文件丢失、误格式化的情况一般的来说,文件删除仅仅是把文件的首字节,改为E5H,而并不破坏本身,因此可以恢复。
但由于对不连续文件要恢复文件链,由于手工交叉恢复对一般计算机用户来说并不容易,在这篇缩略版中就不讲了,建议用工具处理,如果已经安装了Norton Utilities,可以用他来查找。
另外,RECOVERNT等工具,都是恢复的利器。
特别注意的是,千万不要在发现文件丢失后,在本机安装什么恢复工具,你可能恰恰把文件覆盖掉了。
特别是你的文件在C盘的情况下,如果你发现主要文件被你失手清掉了,(比如你按SHIFT删除),你应该马上直接关闭电源,用软盘启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。
误格式化的情况可以用等工具处理。
4、文件损坏的情况一般的说,恢复文件损坏需要清楚的了解文件的结构,并不是很容易的事情,而这方面的工具也不多。
不过一般的说,文件如果字节正常,不能正常打开往往是文件头损坏。
就文件恢复举几个简单例子。
类型特征处理ZIP、TGZ等压缩包无法解压ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理。
不过如果你的文件是从FTP站点上下载的,那么有可能是你没有定义下载模式为BIN。
自解压文件无法解压可能是可执行文件头损坏,可以用对应压缩工具按一般压缩文件解压。
DBF文件死机后无法打开典型的文件头中的记录数与实际不匹配了,把文件头中的记录数向下调整,遗憾的是公式我找不到了。
5、硬盘被加密或变换:此时千万不要FDISK/MBR,SYS等处理,否则可能数据再也无法找回,一定要反解加密算法,或找到被移走的重要扇区。
对于那些加密硬盘数据的病毒,清除时一定要选择能恢复加密数据的可靠杀毒软件。
6、文件加密后密码遗忘:对于很多字处理软件的文件加密和ZIP等压缩包的加密,你是不能靠加密逆过程来完成的,因为那从理论上是异常困难的。
目前有一些相关的软件,他们的思想一般都是用一个大字典集中的数据循环用相同算法加密后与密码的密文匹配,直到一致时则说明找到了密码。
你可以去寻找这些软件,当然,有些软件是有后门的,比如DOS下的WPS,Ctrl+qiubojun就是通用密码。
Undiskp的作者冯志宏是解文件密码的个中高手,大家不妨去他的主页看看。
7、系统用户密码遗忘的处理:最简单的方法就是用软盘启动(NT的你也可以把盘挂接在其他NT上),找到支持该文件系统结构的软件(比如针对NT的NTFSDOS),利用他把密码文件清掉、或者是COPY出密码档案,用破解软件套字典来处理。
前者时间短但所有用户信息丢失,后者时间长,但保全了所有用户信息。
对UNIX系统,我建议你一定先做一张应急盘.数据恢复资料数据恢复理论篇要深入学习数据恢复,并非是一件容易的事,要想成为一个数据恢复专家,没有深厚的理论知识是不可能的,你必须了十分了解磁盘的逻辑结构,就让我们来看看需要学习的理论知识吧。
当我们对文件进行访问时,你有没有想过,操作系统是如何对文件进行操作的呢?这些文件又是如何存放在磁盘当中的呢?先来看看硬盘的总体结构,在介绍硬盘总体结构之前有必要介绍一下硬盘的参数,硬盘是以磁头(Heads),柱面(Cylinders),扇区(Sectors)进行访问的。
其中: 磁头数(Heads)表示硬盘总共有几个磁头,也就是有几面盘片, 最大为255 (用8 个二进制位存储); 柱面数(Cylinders) 表示硬盘每一面盘片上有几条磁道,最大为1023 (用10 个二进制位存储); 扇区数(Sectors) 表示每一条磁道上有几个扇区,最大为63(用6 个二进制位存储). 每个扇区一般是512个字节,学习过汇编语言的朋友可能想到了,BIOS 中断13H的入口参数中,CH是磁道号其值为0H~FEH(最多255个磁道),CL中低6位为扇区号,其值为1H~3FH(最多63个扇区),DH为磁头号的低位,CL中的高2位为磁头号的高位,也就是说,磁头号最多由10位二进制数表示,(1111111111)2=(1023)10,也就是说最多可以表示的磁头数为1024个。
请大家记住这些在我们以后的学习中还会用到的,由此可以看出基于这种访问方式我们最大能访问的磁盘容量为:255 * 1023 * 63 * 512字节=8414461440/1048576=8024.66M只有大约8G的空间,这是因为早期磁盘还很小,想想当年你拥有一块200M硬盘时的喜悦心情吧!就好象当年的科学家们以为1K内存已经很大了一样,让电脑用户很长一段时间都为配置DOS下的内存而烦恼。
而今,你肯定拥有一块大于8G的硬盘了,你能够用她,应该多亏了一种较新的硬盘访问技术——扩展Int13H 技术。
采用线性寻址方式存取硬盘, 所以突破了8 G的限制, 而且还加入了对可拆卸介质(如活动硬盘)的支持,因为是谈数据恢复不是谈编程,关于扩展INT13H技术我在此就不详述了。