|
|
硬盘数据恢复原理与方法
! n5 d& O! Y: @' i5 I 我们大家可能都遇到过这样的事情,上午刚刚清空垃圾站,下午却突然想起其中有个文件特别重要,这可怎么办?还有可能系统被病毒破坏,硬盘的分区表或文件分配表被病毒改写,但是硬盘上存着你数年的心血。这时我们就需要对数据进行恢复,而国内也有不少专门从事数据恢复业务的专业公司。不过我们的硬盘发生文件被误删除,分区丢失,病毒破坏等情况,通过一些数据恢复软件自己就能够解决。下面就详细介绍一下数据恢复的原理和一些常用的数据恢复方法。
; G* R, O& G: Z$ ^. C硬盘使用和维护注意事项" d0 T" M E) O: T
1.定期使用Windows自带的磁盘整理工具Defrag或其他如Vopt、Norton Speed等磁盘碎片整理优化工具进行整理你的硬盘数据,一般一个月整理一次,可以提高硬盘访问速度。即使发生不测,也可提高你的数据文件恢复概率!, U* E, A! {7 L' J" E) u* N
2.硬盘是机电一体化的高度精密设备,尽管现在硬盘抗冲击力大大提高,但为了安全和保险必须轻拿轻放;在主机内安装时硬盘的四个固定位都应该使用螺丝固定牢靠。开机后绝对不能移动主机。关机1分钟硬盘马达停转后,方可进行搬动,这也是原来的小硬盘专门有一个磁头归位程序,提供搬运机器时使用的原因。硬盘指示灯正在闪亮时不可断电关机,如此操作有可能会损坏硬盘。
4 x+ \" k7 c. e# O' k/ u" p 3.正常硬盘运行时噪声很小,会有硬盘读盘时均匀的“嗒嗒”声。若你的硬盘运行时的声响较大或不正常,这一般是故障的前兆,此时宜及时备份重要数据以防不测!6 A7 V. k: m N: h3 _5 ?5 _( e
4.使用GHOST作恢复分区时,一定要选对目标分区,否则可能导致分区丢失或重要数据不能恢复。建议恢复分区前,对分区加Lable,这样能分清目标分区,不会导致你选错目标分区造成不必要的损失。 6 j1 Y) d4 F: B: }
5.在使用Format命令格式化硬盘时,最好先使用Fdisk/Status命令查看一下硬盘的分区信息,是否存在NTFS分区,防止误格式化丢失数据。
J2 E7 c) Q5 M/ l 6.要充分利用分区的特性,数据文件一般不要放在C区和系统区,因为C区和系统区属事故多发区。7 q% X: D) }8 m k( ~
硬盘数据丢失的原因
. v- r B, y# }: M3 s, q 1.软件故障的类型6 p6 b6 d7 {# \# I
受病毒感染;误格式化或误分区;误克隆;误删除或覆盖;黑客软件人为破坏;零磁道损坏;硬盘逻辑锁;操作时断电;意外电磁干扰造成数据丢失或破坏;系统错误或瘫痪造成文件丢失或破坏。
; g A7 p2 M+ y1 O- ]( ~ 软件现象一般表现为操作系统丢失,无法正常启动系统,磁盘读写错误,找不到所需要的文件、文件打不开、文件打开后乱码,硬盘没有分区、提示某个硬盘分区没有格式化等。
( ?/ t0 K. @: V$ ^2 J4 i& C 2.硬件故障的类型1 Z% h0 T) I; W& F5 W1 \+ w
磁盘划伤;磁头变形;磁臂断裂;磁头放大器损坏;芯片组或其它元器件损坏。/ C+ w: o$ l( _+ n7 _
硬件故障一般表现为系统不认硬盘,常有一种“咔嚓咔嚓”的磁组撞击声或电机不转、通电后无任何声音、磁头定们不准造成读写错误等现象。一些具体的表现如下:
3 y6 z E' {3 v; N* f% j ① 开机时,系统没有找到硬盘,同时也没有任何错误提示。注意有的主板在硬盘出现故障时会给出相应的提示信息和提示代码。我们在排除硬盘的供电正常,电源线连接无误,数据线安装正确,数据线没有质量问题时,也就可以确定是硬盘坏了。
7 F3 L& L" h: u1 ^ ② 启动系统时间特别长,或读取某个文件,运行某个软件时经常出错,或者要经过很长时间才能操作成功,其间硬盘不断读盘并发出刺耳的杂音,这种现象意味着硬盘的盘面或硬盘的定位机构出现问题。# F( n- n$ M. J" J& A* v/ F8 ~* K, l( n
③ 经常出现系统瘫痪或者死机蓝屏,但是硬盘重新格式化后,再次安装系统一切正常。这种情况是因为硬盘的磁头放大器和数据纠错电路性能不稳定,造成数据经常丢失。
8 ^+ K2 n! Z- f$ j& G1 } ④ 开机时系统不能通过硬盘引导,软盘启动后可以转到硬盘盘符,但无法进入,用SYS命令传导系统也不能成功。这种情况比较严重,因为很有可能是硬盘的引导扇区出了问题。 或者是无法重新分区,也可能是重新分区后的信息无法写入主引导扇区。
7 A* U: j! v) x# X0 { v7 _; i7 N ⑤ 一直能够正常使用,但是突然有一天,硬盘在正常使用过程中出现异响,接着找不到硬盘。但是在停机一段时间以后,再次开机时还能找到硬盘,并且能够正常启动系统。当出现这种情况时,如果硬盘上有重要数据时,一定在最短的时间内把数据备份出来,防止硬盘彻底报废时丢失重要数据。: S! @; U8 d* z) i
$ o1 ~. n4 X, G: ^. P磁盘数据格式的相关知识
& z* D9 G6 e$ {# ?0 K 上述的各种原因都可能导致硬盘或软盘上的数据损坏或丢失,使部分(或全部)数据无法读出和使用。数据恢复就是使用各种软件和硬件的技术方法把数据重新找回,使宝贵的信息得以重新使用。
) t* ^1 i& E2 t: N' b. T+ R9 D 说到数据恢复,我们就不得不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时必须使用的基本知识。即使你不需要恢复数据,了解这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。- s% K3 j0 Y: q Y; f
硬盘的文件系统结构
: o3 p! y' O' ]3 G' d 初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的Win9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT表、DIR目录区和Data数据区等五部分。我们通常所说的主引导扇区MBR在一个硬盘中是是唯一的,MBR区的内容只有在硬盘启动时才读取其内容,然后驻留内存。其它几项内容随你的硬盘分区数的多少而异。
4 ^! K! V( t' R2 ]/ E7 D 主引导扇区(MBR)
2 { p. P! L8 R( E* k, z+ I4 x 主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。主引导区的数据结构如(图1)所示。
9 W* V; Q# p5 z) `0 ^
- u+ k J' l/ U2 |8 S) ~# Q图1* z, O6 L+ S0 I5 l! A; i2 y
分区表(DPT)
) ~; f+ s3 |( p" N 在主引导区中,从地址BE开始,到FD结束为止的64个字节中的内容就是通常所说的分区表。分区表以80H或00H为开始标志,以55AAH为结束标志,每个分区占用16个字节,一个硬盘最多只能分成四个主分区,其中扩展分区也是一个主分区。随着硬盘容量的迅速扩大,引入的扩展分区可以不受四个主分区的限制,把硬盘分区数扩展到“Z”。/ E4 {* L2 T# t6 D4 f8 V
值得一提的是,MBR是由分区程序(例如DOS的Fdisk.exe)产生的,不同的操作系统可能这个扇区的内容代码是不相同,但是实现的功能只有一个,使其中的一个活动分区获得控制区,正常启动系统。) y: y( K+ g& I1 ?
硬盘的分区结构如(图2)所示。
& p0 g% ]( c L% Y
* G) e5 |% A" {3 ~9 `' M; t6 ~图25 B) d2 R% t/ z* M
(在D盘,E盘前面都有一个粉红色的扇区,就是所谓的扩展分区表所在的位置,其后的62个扇区空闲,共同占有一个隐含磁道。)2 \2 k2 z+ M% G6 @9 J( ?( s* S
主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。也可以通过分区软件,在分区的最后建立主分区,或在磁盘的中部建立主分区。
/ P9 d& C9 E& H3 m! r 扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。, k `3 Z& B$ [9 i' y
所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
+ }- S$ o7 R, O( Q+ ^ 需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。这就是当硬盘被CIH病毒破坏后,我们可以通过KV3000的F10功能来找到丢失的D,E及以后的逻辑分区的原因。# n9 d8 H! D2 K8 L6 v9 y# s
操作系统引导扇区(OBR)( M" u$ z B) M, m; n F
OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。
+ `& V- i2 B3 _& a0 ~ 引导程序的主要任务在当根目录中寻找系统文件IO.SYS,MSDOS.SYS和WINBOOT.SYS三个文件,如果存在,就把IO.SYS文件读入内存,并移交控制权予该文件。在WIN98的系统中,没有MSDOS.sys文件,系统能够正常启动,但是无法进入桌面;如果没有COMMAND.COM文件,能够正常启动到桌面,但是无法进入DOS字符方式。
( s3 u$ {7 f5 t
G# ^) e% L) V BPB参数块:记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。
1 S* f* s/ J X% }3 D C盘的数据结构如(图3)所示。" S6 c9 w! \+ `! K
/ p2 a) t4 s" d' @$ r. f) K
图31 V' [$ z. I9 J7 u7 L
文件分配表(FAT); @% c" b+ u- t
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统。为了防止意外损坏,FAT一般做两个(也可以设置为一个),第二FAT为第一FAT的备份, FAT区紧接在OBR之后(对于FAT32格式,位置是从引导扇区开始的第32个扇区就是第一个FAT表的位置),其大小由这个分区的空间大小及文件分配单元的大小决定。
( k Z( K& n4 c& A: i( L9 B 随着硬盘容量的迅速发展,Microsoft 的DOS及Windows也先后采用我们所熟悉的FAT12、FAT16和FAT32格式。不过Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式,不同于FAT文件格式。% ]) w1 D: S; ^9 I8 E: y, i( a
FAT12是使用12BIT来表示簇的位置,最大容量32M,FAT16是使用两个字节16BIT位来表示簇的位置,分区最大容量2G,而FAT32采用4个字节来表示簇的位置,分区最大容量65G。 . d8 A0 c x W( ~9 f) J; t; v
目录区(DIR)3 B" K" J, d- M% q0 u6 f1 e8 _$ Z6 {7 ~
DIR是Directory即根目录区的简写,在FAT12和FAT16格式中,DIR紧接在第二FAT表之后,而在FAT32格式中,根目录区的位置可以在分区中的任意位置,其起始位置是由引导扇区给出的。单有FAT表还不能确定文件在磁盘中的具体位置,只有FAT表和DIR区配合使用,才能准确定位文件的确切位置。9 Z d: z+ y+ F2 u1 F
DIR记录着每个文件(目录)的文件名,扩展名,是否支持长文件各,起始单元(这是最重要的)、文件的属性,大小,创建日期,修改日期等住处内容。操作系统在读写文件时,根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置,然后顺序读取每个簇的内容就可以了。
! y# S/ y- d P! e 数据区(DATA)
2 y$ w/ d6 }+ f& J; E, B 在DIR区之后,才是真正意义上的数据存储区,即DATA区。* x% |( @3 y$ [3 S v! L3 ~
DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。8 s/ w: E8 F' Y" G$ W- g, z
注意:我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,除非你使用了“Format X: /U”命令,强制对每一扇区写“F6”。+ h* c& R( f1 t5 r
至于硬盘分区,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,MBR,OBR,FAT,DIR之一被破坏的话,我们的数据也无法正常读取。1 V6 F, N' {+ ^# P Y6 q
需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit,DDD,KV3000,EasyRevoery等),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复。* g) R! t& f! i, t) ]7 t; T
4 x' ]9 z6 l0 K" Q数据恢复的原理
% r: K/ C4 V: U/ M* r 我们在了解了数据在磁盘上存储格式后,我们就会明白为什么数据在被删除后还能够再次被找回来的原因。 9 m4 S/ J7 O. P9 ]/ m
一块新的硬盘在买回来后,必须首先分区,再用Format对相应的分区实行格式化,这样以后我们才能在这个硬盘存储数据。硬盘的分区就象是对一块地方建仓库,每个仓库就好比是一个分区。格式化就好比是为了在仓库内存放东西,必须有货架来规定相应的位置。我们有时接触到的引导分区就是仓库大门号,上面要记载这个分区的容量的性质及相关的引导启动信息。FAT表就好比是仓库的货架号,目录表就好比是仓库的帐簿。如果我们需要找某一物品时,就需要先查找帐目,再到某一货架上取东西。正常的文件读取也是这个原理,先读取某一分区的BPB参数至内存,当需要读取某一文件时,就先读取文件的目录表,找到相对应文件的首扇区和FAT表的入口后,再从FAT表中找到后续扇区的相应链接,移动磁臂到对应的位置进行文件读取,就完成了某一个文件的读写操作。6 X5 E O8 B% \, v. t$ P
文件的读取(Read)! X7 j8 S$ d4 [4 h7 t- x6 \: i
操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0028。0 h8 E) f% L ~
操作系统从0028簇读取相应的数据,然后再找到FAT的0023单元,如果此外的内容是文件结束标志“FF”,则表示文件结束,否则从该处读取下一个簇号,再读取相应单元的内容,这样重复下去直到遇到文件结束标志。
% R6 U. r& x5 x U) _1 e 文件的写入(Write)
# T4 w+ w/ `" J' I 当我们要保存文件时,操作系统首先在DIR区中找到空闲区写入文件名、大小和创建时间等相应信息,然后在数据DATA区找出空闲区域将文件保存,再将Data区的第一个簇写入DIR区,同时完成FAT表的填写,具体的动作和文件读取动作差不多。2 y1 e2 F% W7 O, ~( H7 E
文件的删除(Delete)5 @% }8 l# i j' r; l! ?! _ I" c9 e
Win9X操作系统的文件删除工作却是很简单的,只是将目录区中该文件的第一个字符改为“E5”来表示该文件已经删除,同时改写引导扇区的第二个扇区中表示该分区点用空间大小的相应信息。0 i2 L" o; W3 j l6 `) r
Fdisk的使用
+ V9 G6 x' Q+ J# y5 I 和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复……1 i f S" X! h) X) W1 A, v5 s
Fdisk /MBR可以用来再建主引导区,可以在使用光盘或软盘启动系统后,使用该命令来去除还原精灵或一些引导区病毒。注意:在使用该命令之前一定要先备份分区表内容,防止病毒对分区表进行加密处理。, j, \+ [9 b, N! P
Format的使用4 J" I& b8 j. j/ R0 L6 M
Format命令可以完成分区的格式化,同时检测该分区有无坏扇区。格式化也就好比是将一幢新楼的每一个房间赋于房间好,以便以后存放物品和查找。# B5 ]1 C2 `) G
Fotmat的内个重要参数:
4 H* E) }7 C& g /C测试坏扇区并进行标记为“B”。 2 }! K! U5 Y: {; J' G: W
/S在格式化结束后传送系统文件。% Q& a7 y( a F& E: A5 q
/Q进行快速格式化,只重建FAT表和目录区。
5 Z! K+ ]% k i; V2 w /U无条件对分区进行格式化,对每一扇区重写“F6H”+ b2 j3 I4 S/ A) @" U
数据恢复的基本操作步骤 - t) o! v+ g3 B5 [* z
1.询问客户
5 o/ f6 s, s/ B; I& H/ C8 N 接到硬盘后,应向客户询问数据丢失的类型,是误删除,误格式化,误分区,意外丢失,还是硬盘突然丢失或无法读写,并且还要询问故障发生后,客户自己还做过哪些操作。把故障类型和原因问清楚了,可能会减少我们在数据恢复过程中一些不必要的麻烦,提高工作效率。2 g [, a6 \) L+ f# M% j
2.硬盘外观检测
: ?7 K% h* b% o) g4 P 对于硬件问题造成的数据丢失,这时我们应首先检查硬盘的电路板有无明显的烧灼痕迹,避免因该硬盘的电路损坏再次造成电脑主机的损坏。/ e o& X% k. h1 F3 i
3.加电试盘
4 l$ _% J& ? j. e1 h8 I 如硬盘无明显的电路损坏,把硬盘加电试机,在CMOS中是否能够找到硬盘。/ c" ^9 U% O1 h/ i# i" f9 @* q1 o
4.根据故障类型选用合适的数据恢复工具# z: p9 {! A- G1 ~& w }+ y8 O7 H' e- ]
如果能够找到硬盘,就按软件方面使用EasyRecovery之类的软件进行数据恢复。如果找不到硬盘,就按硬件的方法进行处理。& i- m' T1 _/ }4 D% n5 |$ O
5.将数据转移安全区域
3 H5 Y: a3 Y7 C1 W6 Y 把找回的数据拷贝到另一块物理硬盘上,一定不能拷贝在同一块硬盘的不同分区。
9 `5 P; h' u& h7 b' o) Q 6.将数据用刻录机刻成光盘,交给用户. i, u! s7 w* E9 }: N# t
数据全部读出后,使用刻录机把用户的数据刻成光盘,交由用户保管,任务完成。
: M$ M, h0 }( H6 }8 `: |6 Y硬盘坏道的简单修复方法
& }! z2 E" ~) `! S) o 1.首先从最简单的方法入手。在Windows98的资源管理器中选择硬盘盘符,右击鼠标,在快捷菜单中选择“属性”,在“工具”项中选择“磁盘扫描”对硬盘盘面作完全扫描处理,并且对可能出现的坏簇进行自动修正。
+ J3 _1 y; |( S/ j9 K 也可以在DOS命令符下使用“SCANDISK X: /AUTOFIX /SURFACE”对硬盘地对应分区进行检测(X:请改为对应的分区盘符),将有坏道的簇进行标注。8 a |; G- s7 P2 Z- p# x' \: j& q% ?
2.如果在磁盘扫描过程中标注的坏簇很多,经过上述处理后还是不能正常进行系统,这时就需要确定这些坏块是我们通常所说的“逻辑坏道”还是“物理坏道”。方法是先使用XCOPY命令把自己需要保留的文件拷贝到其他硬盘,再使用“FORMAT X: /U /C”命令对存在坏道的分区进行强制完全格式化并标记坏块。在格式化过程中一定要仔细观察格式化过程,看格式化是否能够正常进行,如果格式化顺利,说明原来的坏簇是逻辑坏簇;如果格式化意外中止或无法继续,说明硬盘存在严重的物理坏道。这时如果是保内的硬盘,可以找销售商进行处理;如果是保外的硬盘,我们可以采用下面的方法处理:; j$ P( f" m* A/ R( v5 e' \; A9 H
最好使用SFDISK软件(当然也可以使用PQMAGIC,不过在实际使用中不是很方便),该软件可以自由分区,从前或从后,主分区,逻辑分区,其他任意的分区格式都可以随意设置。这时我们记着刚才在使用FORAMT命令格式化时出现故障时的进度数字是X%,根据硬盘的分区情况和当前分区的大小,计算出坏簇的位置,将有坏簇的位置设置成一个区,再把剩余的空间设置为另一个区。对剩余的分区进行格式化,检查格式化是否正常,如果不正常,将则才设置的分区删除,对坏分区再扩大,再分区,再格式化,直到剩余的分区能够正常格式化,读写正常时为止。最后把坏的分区设置为空闲,不再使用。这样我们就可以避开坏道,充分利用硬盘的完好空间。
- U; u! B1 j* s. \ 需要注意的是,不要为了节约硬盘空间而把这个空闲区划分得过于“经济”,而应留有适当的余地。因为读取坏道周围的“好道”时,可能过于靠近“坏道”,而不明智的坏道具有传染性,距离太近的话,那么过不了多久,硬盘上新的坏道又将出现。我对一块4.3G的Corner硬盘进行如些处理后,原来的4.3G只剩下不到2G,但是已经使用两年有余,还能够正常启动和工作。" Q& I( v3 v1 V& i% b
3.对于硬盘0扇区损坏的情况,看起来比较棘手,但也不是无药可救。我们可以使用PCtoolS9.0中的DE工具,把把损坏的的0磁道屏蔽,而用1磁道取而代之就可以了。注意:使用该软件修改磁道完成后,只有对硬盘作格式化后才会把分区表的信息写入1道(现在作为0道了)。
2 T. z( } _0 M# R" } 我们在使用FORMAT命令格式化C盘或D盘出现的0磁道坏,并不是硬盘的0磁道坏,而是C盘或D盘的引导扇区所在的位置出现了坏道,系统无法正常格式化,这是按第2步所述的处理方法即可解决。
- U! c# [2 W, x' D: N& @3 W9 F, p 4.不到万不得已,一般不要对硬盘进行“低格”处理。因为对硬盘进低级格式化,至少有两点不好:一是磨损盘片,二是对有坏道的硬盘来说,低格可能会加速坏道的扩散。
5 A, @, J: K( |8 ? 低格解释:一般情况下,硬盘只有在出厂前才进行纸级格式化,是对硬盘重新划分扇区的过程。低格程序通过对硬盘盘面的数据读性性能测试,再次划分扇区并填写扇区间的间隔因子和循环校验码,为硬盘正常读写做准备。一般情况下,不要对硬盘进行低级格式化,因为该项操作对硬盘的寿命有所影响。如果硬盘有坏道时,可以使用“FORMAT X: /U /C” 高级格式化命令对硬盘进行格式化操作,如果坏道能够消除,说明这些坏道是逻辑坏道,不影响正常使用;如果格式化不能通过或需要花费好长时间才能通过,说明这些坏道是物理坏道,可以通过PQ等软件对坏道进行屏蔽来解决。即使我们使用低级格式操作也无法解决该问题,并且有可能造成坏道大面积扩大。如果我们的硬盘经常出现逻辑坏道,通过格式化就可以解决,这时最好检查硬盘的供电电压是否正常。如果正常,很有可能是硬盘的质量有问题,性能不稳定。
2 }/ K4 t6 d6 n; \! i 5.最后就是主板CMOS的相关内容要设置合适,特别是对于一些TX芯片组以前的主板,由于没有自动识别硬盘规格的功能,往往会因设置不当而影响硬盘的使用,造成磁盘空间丢失,硬盘速度下降。+ ~( {% q/ C) V6 J# p
硬件故障导致的问题解决& p! P. b$ u" {, r/ J
硬件方面的数据恢复一般指针对CMOS不认硬盘,硬盘有异响,硬盘数据读取困难,硬盘有时能够读取数据有时不能读取数据等类似的不稳定故障,需要对硬盘进行芯片级的维修和对硬盘开腔维修或更换盘片之类需要特殊环境和特殊工具的级别的维修。
/ T. i+ B. o" }/ k. @$ w 硬盘自检不到的情况多数都是硬件方面的问题,又可分为主板的硬盘控制器(包括IDE接口断针,短针,接触不良,虚焊等)故障和硬盘本身的故障。如果问题在主板上,那么数据不会受到破坏,把硬盘接在别的机器上就可以正常读出。如果问题出在硬盘上,并不是所有的故障都能修复。硬盘的故障又可细分为控制电路,主轴电机,磁臂电机和磁头,磁头放大器以及盘片,数据接口等。如果是控制电路的问题,可以在更换控制芯片后,把数据正常读出。如果是电机、磁头和盘片的故障,一般电脑市场是没有修理能力的,需要返回原厂进行修理,数据恢复可能性很小。
+ v- |7 @% y1 c4 w9 U, B 不过,对于业余条件下,硬件方面的维修还是有一些比较简单的办法可以帮助我们找回丢失的数据。
$ Y+ h$ Y+ n9 e% f" a9 f+ w1.CMOS不认硬盘,可能同时伴有硬盘内部异响 + w9 [$ R! \) i: L. ~* o
故障的表现为硬盘一加电就“咣咣”直响,接入主机后,在CMOS中不能发现硬盘,即使使用DM等软件也找不到硬盘。造成这种故障的原因一般是硬盘电路板上的寻道电机的控制电路出现问题,造成硬盘在自检初始化时,无法正常准确定位,因此系统不能找到硬盘。有时候,可能加电后只有硬盘旋转的声音,没有其他异常的响声。这类故障硬盘的盘面是好的,数据也在,只是硬盘无法正常寻道。最安全的办法是在市场上寻找同型号的硬盘,更换二者的电路板,就可以把损坏硬盘中的数据安全的读出。; k( T* D& a( |: j3 |# n1 e; g6 c
这类故障常见于10G,15G,20G,40G的昆腾硬盘,该类硬盘一般是2000年上市的,在使用三年绝大部分都会出现异响,系统不认硬盘的故障,造成数据丢失。因此在这儿提醒朋友们,如果你使用的是昆腾的此类硬盘,最好尽早把自己的数据用刻录盘备份下来,或者转移到其他硬盘下,防止不测。故障出现后的维修方法有两种:, m& [, B' C- k
① 像上面说的更换盘片;5 F# V* B( e5 m% s
② 因为此类故障为元器件老化所致,并非是硬盘电路烧熔损坏,如果当环境条件合适时,硬盘就有可能正常工作。所以我们可以为损坏的硬盘提供一个合适温度和湿度的单独空间,以试图读出数据。我们可以把硬盘放置在一个能够控制温度和小盒子里,变换不同的环境温度,观察主机是否能够找到硬盘。
% ]1 T3 S3 X, i& M 不过昆腾硬盘还有一种常见的故障,是电路板烧断,当年昆腾曾回收此类硬盘。! ]3 b0 i: _+ E2 [" ~0 ^' _
2.硬盘数据读取困难+ X/ A9 Z; I& w4 E3 r3 U
这类故障一般是硬盘的磁臂寻道有问题,移动不畅所致。原因是寻道电机的轴承使用时间久后缺油阻力增大,转到不灵活造成折。可以适当提高环境温度,使数据顺利读出。
6 _+ @2 f0 K* O2 R8 e- ` 3.硬盘有时能读有时不能读这类不稳定的故障
$ Q1 f4 S0 f; g2 v, ] 这类故障也是因为电路板元器件老化,发热量过大,造成芯片工作不稳定,突出表现为刚开机时硬盘能够正常读取数据,可是使用几十分钟或一两个小时后,硬盘突然异响,系统提示找不到硬盘,造成系统死机。对于这种问题,我们可以强行降低硬盘电路板的工作温度,使用脱脂棉蘸无水酒精对硬盘电路板上发热量最大的芯片进行降温,来趁机读取数据进行数据恢复。+ Z0 q( _+ ?; Q% D/ q5 k
4.加电后,硬盘没有任何动静
( j9 D5 T) n: i& g 这类故障一般是硬盘的供电有问题,仔细检查硬盘的D形电源接口,是否电路板脱裂,使用万用表检查+12V和+5V的供电通路中有无断路元件。再有就是直接更换同型号硬盘的电路板。4 X8 [2 e" k r4 y
上述的方法也并不唯一,有时为了找回我们宝贵的数据,我们可以采用多种方法进行偿试,但是必须要有耐心,并且心要细,因为与硬件打交道,如有不慎,可能会造成电路烧毁。
) c% \; _; W: V) z1 a几个软件典型应用造成的问题
& z/ ]4 s. P5 I 1.逻辑锁
1 @. f, L/ d! \' Q4 t$ w 这是一种比较极端的情况,此类程序针对WIN98和DOS6操作系统的弱点,在加载硬盘读取硬盘分区表的信息后进行判断时,人为的修改硬盘分区表,制造死循环,造成系统死机。3 l1 K/ {( R3 b. ~2 a
故障表现为:硬盘在CMOS能够顺利认出,但是使用软盘,光盘和硬盘自身均无法正常启动。出现这种故障常常使大多数用户都束手无策。
) \/ G5 ~+ ]8 a" y, s 解决方法:
- s$ z/ F" I( g" {# X* C ① 在CMOS中把硬盘屏蔽掉,再用光盘启动系统,使用DM软件,对硬盘过行低格。实际低格时,只需把硬盘头格一下就行了。
9 B- I+ i, n% L ② 还可以通过修改MS-DOS6.22中的IO.SYS文件,把其中“ C2 03 06 E8 0A 00 07 72 03”替换为“C2 03 90 E8 0A 00 72 80 90”后,就可以用改动过的系统软盘或光盘来启动被逻辑锁住的硬盘。
! j; `( S0 r. Q4 W: r 2.还原精灵
# P. s1 W* u! ~- ?; p6 m 还原精灵能够很好的保护我们的系统不受侵害,但是如果密码丢失了,我们也非常麻烦,无论如何就是去不掉,无法升级系统或安装新的应用软件。
- U6 t' b! w2 A8 D8 l, z 解决方法:
6 e; u C- t6 |; M ① 用光盘启动后,使用Fdisk/MBR命令即可。4 p8 y# @" {7 \# |9 @
② 使用DM软件对硬盘进行低格开始一小段即可。1 \) y/ K8 j" n$ ?
3.引导区型病毒
: P0 S3 q4 X0 i7 e; \2 }/ v 引导区型病毒处理起来比较麻烦,特别是一些病毒对分区表进行加密或对引导区进行扇区搬移后的病毒感染,不能轻易的使用杀毒软件进行杀毒,否则杀毒后分区将丢失,无法找回自己的数据。我们可以在杀毒前先对主引导区和引导区进行备份,然后杀毒。如果杀毒后分区丢失,我们可以通过备份进行恢复,数据不会丢失。如果杀毒后数据丢失,我们可以使用KV3000的F10功能找回丢失的分区,也可以通过低级磁盘编辑工具,查找在0道中主引导区的备份,或者使用Fdisk/MBR重建主引导区,再根据C盘的位置手工填写分区表。这个操作比较麻烦,花费的时间较长。
# J7 T$ x% Z9 W+ O更多问题的数据恢复方法 . R. X$ N7 K( U) m! s4 q
1.软盘坏" n% \8 d. B/ c+ d9 E
虽说软盘已经用得不多了,但必竟还在市场上存在,万一哪天你用软盘带了一个重要文件,需要时却发现读不出来,这个时候你该怎么办? j' n- b. F9 O0 e8 s
① 检查是不是软驱问题,软盘是否正确安装到位。
8 y1 J3 F" l+ L" L% [7 I ② 可以使用HD-COPY软件来进行整盘读取,生成IMG文件后,再使用UNDISK将该文件在硬盘上解开,就可以使用其中需要的文件了。即使有部分扇区损坏,我们也可以再通过其他专用软件来修复这些错误,如我们可以使用EASY RECOVERY来修复受损的WORD,EXCEL等文件。
4 {% t8 L* D% H3 V9 h 2.系统问题的情况
! C9 L2 M6 O, e) X+ C 手动恢复数据的方法比较可靠,但是要求对硬盘的磁盘数据格式要相当深入的了解,非常清楚FAT16,FAT32,NTFS文件在硬盘上的存储格式和读写方式。现在以FAT32的文件磁盘格式为例,说明一下手动数据恢复的原理。
8 \1 f* H7 \# w% y' w ① 系统在启动过程中出现的错误提示及处理方法
$ Y+ d, `5 E: S提示信息 可能原因 参考处理方法
1 @! f, x; I& l" x, cInvalid Partition Table 分区信息中1BE、1CE、1DE处不符合只有一个80而其他两处为0 重建分区表或使用磁盘编辑软件手动修改错误,另外PQ软件也有分区表修复功能。
2 z3 u( j' v; L7 uError Loading Operating System 主引导程序读取BOOT区5次没成功。 重建BOOT区。
7 r' o3 b* }( J+ Y" J/ l- IMissing Operating System DOS 活动分区引导扇区的“55AA”标记丢失 使用SYS 命令传送系统文件。
( ?4 X' H" M$ B6 u5 M" R/ yNon-System Disk or Disk Error C盘的根目录中没有系统文件 使用SYS命令重新传递系统。1 Z+ u9 k/ d+ C; P4 X
DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER 读取系统文件错误或文件损坏 使用SYS命令重新传递系统。" _' {4 N6 J9 _' k
Invalid Driver Specifcationg 没有相对应的分区或主分区表的分区信息记录被破坏或扩展分区表丢失 根据各分区情况重建分区表,或者用自动修复工具修复。% v& d, X% I* V# f
Bad or missing command interpreter 系统找不到COMMAND.com,或者COMMAND文件损坏 用光盘或软盘启动系统后,拷贝该文件。' H! o! x0 ^- \1 y( [
Invalid media type reading drive X ,Abort,Retry,Fail? 该分区没有高级格式化,或BOOT区中I/O(BPB)参数表被破坏 重新格式化或手动修复BPB参数表。
) e7 w* R6 p9 M' r; E+ ^Incorrect DOS Version 系统文件IO.SYS和COMMAND.COM这两个文件的版本不一致。对于WIN9X来说,有95 95osr/2,98,98 oem/2等版本。 重新用光盘启动电脑,使用SYS命令传送正确的文件。
5 _0 f. p" e) v4 B0 x5 gPrimary master hard disk fail 硬盘丢失 检查CMOS设置和硬盘的电源和数据线及跳线是否设置正确。
0 C# a) a% ~6 j$ ~& z1 d, ~Disk I/O error IO.SYS文件丢失或被破坏。 使用SYS命令传送系统文件。
; K$ K; m v$ K1 E& }Invalid system disk 同上。 同上。 v; U! `7 t: D1 n
Type the name of the command Interpret…… COMMAND.COM丢失或损坏 拷贝该文件。# J9 S R, \% c ]+ l* F% @
Not Found any [ative partition] in HDD 没有发现活动分区。 硬盘分区表中没有“80”标志,使用磁盘编辑工具设置该标志。# j" P, _0 s) ~) Z
Verifying DMI pool Data... 原因很多,大多与硬盘有关,有可能是逻辑锁。 1 b3 R2 @% B2 m- i
② WIN9X操作系统无法正常工作的情况(下面的处理方法暂不考虑硬件故障)
! ]$ s7 U" S. U j, P; ] 系统进入图形界面前死机的情况比较复杂,大部分与加载的某些驱动程序有关。我们可以在启动WINDOWS时,按“F8”或“Ctrl”键激活启动菜单,选择“Step by step configuation”,观察到哪一项时造成系统死机。再从CONFIG或者SYSTEM.INI文件中删除相关的加载程序组(即进入图形界面后产生死机时所加载的程序名称);或者进入安全模式(此时不加载主板和显卡等部件的驱动程序,自动运行的程序也不被加载),我们可以对注册表中的“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*”中的键值和启动组中加载的程序进行分析,对不必要的程序逐一删除,检查是否能够排除故障;或者更简单的在运行中使用“MSCONFIG”命令,将运行中的不必要的选项全部去除试一试,系统能否正常启动。9 K- z( z3 S- R! P7 }; b% e" w
对于显示IEXPLORE.EXE错误,不能继续进行任何操作,可能是因为某个系统的动态链接库损坏,解决方法是覆盖安装WIN9X,或者从其他机器上COPY损坏的动态链接库,具体要确定是哪个链接库损坏一般比较困难。
6 Q \7 i9 a( f/ h* p 对于系统频繁出现各种出错信息,一般原因是虚拟内存不足,检查C盘的剩余空间是否过少,或者是因为打开的应用程序和窗口过多所致。
' a. O/ d' @6 c* t1 B! r: G 3.硬盘分区表被破坏,造成所有盘符或部分盘符丢失的情况
+ q, H; b) e0 J4 C3 b 首先使用“FDISK/MBR”重建主引导区,再根据情况修正分区表。修正分区表的基本思路是查找以55AA为结束的扇区,再根据扇区的结构和后面是否有FAT表等情况判定是否为分区表,最后计算填回主分区表。由于需要进行10进制和16进制计算,过程比较烦琐,还容易出现错误。最好错助下面介绍的数据恢复软件进行。9 o4 `* I* h$ \# @' {
如果硬盘的主引导区,活动分区引导区的BPB表,及FAT表都被完全破坏的情况下,要想恢复某个指定的文件,我们可以用DISKEDIT或KV3000等磁盘编辑软件来查找相关的已知信息。臂如文件为文本,文件中包含“计算机操作系统”,那么我们就要把他们转换为内码“BC C6 C8 E3 BB FA B2 D9 D7 F7 CF B5 CD B3”进行查找。
u; \- y1 J" c! @ FAT32结构知识:' {" ], \; J; H- O b8 C/ H, g
硬盘的0道的全部扇区都为隐含扇区,其中0扇区是硬盘的主引导区,其余的62个扇区为空闲,一些多系统引导软件和病毒常常利用这部分空间来存储自己的程序代码。
% d7 d+ ?8 W1 M9 W 硬盘的1道0-2扇区为FAT32文件系统的引导扇区,3-5扇区为0-2扇区的备份。6-31扇区为空,32扇区开始为第一个FAT表,FAT表的大小与硬盘的分区的大小有关。FAT32文件系统的根目录并不一定是数据区的第一个簇,它可以位于数据区的任何一个簇,这也是FAT32的根目录大小不在受255个文件限制的原因,这也是FAT32的文件名可以支持长文件名的原因之一。
# @+ [- C4 d/ B$ C, U/ D* J 在C盘的尾部还有一个隐含磁道,这是扩展分区表所在的位置,由主引导区中的分区表的扩展分区的起始位置指定。该分区表的内容只有两项,一项是逻辑分区D的大小和属性,另一项是下一个扩展分区的位置。
2 i3 U/ w: H+ {# r: ?; {$ m 4.某一分区被误格式化或文件丢失或误删除的情况
5 A& m- G: V/ ]. i- L8 D, z- R+ _ 对于FAT格式的文件结构,文件删除仅仅是把文件的首字节改为E5H,其余的内容并不没有被修改,因此可以比较容易恢复。我们可以使用后面介绍的数据恢复软件轻松的把我们误删除或意外丢失的文件找回来。不过特别注意的是,我们在发现文件丢失后,准备使用恢复软件时,千万不要在本机安装这些恢复工具,因为软件的安装可能恰恰把刚才丢失的文件覆盖掉。最好使用能够从光盘直接运行的数据恢复软件,或者把硬盘挂在别的机器上进行恢复。
& S* x. N0 x0 G5 t% H' R 特别是你的文件存储在C盘的情况下,如果你发现主要文件被你误删除或意外丢失时,这时你应该马上直接关闭电源,用软盘启动进行恢复或把硬盘挂接到其机器上进行处理。2 @7 B& }3 }/ c8 V# t" D
误格式化的情况可以使用UNFORFAT或EASYRECOVER等工具进行处理。但是如果使用的是Format X:/U命令进行的格式化,那么这种情况是无法恢复的。0 K1 w; u! d( ~6 I$ R1 z6 _; Y }
5.文件无法正常打开的情况* Y: B7 M6 }7 w+ f! [7 w5 C
一般的说,恢复损坏的文件需要我们非常清楚的了解文件结构,这并不是一件容易的事情,还有是这方面的工具也不多。但经验告诉我们:文件如果字节数大小正常,不能正常打开常常是因为文件头被意外破坏。/ b& k. F; c& G. t5 X
举例说明:
! b3 X" J# v% s% V ① ZIP、TGZ等压缩包无法解压
6 o5 V0 e5 ~! x4 q5 t: G$ T ZIP文件损坏的情况下可以用一个名为“ZIPFIX”的工具处理,也可以用“EASYRECOVERY”软件解决。不过你的文件如果是从FTP站点上下载的,那么有可能是因为你没有定义下载模式为BIN造成的。
( J, s8 g( H3 l* c; @% t3 _ ② 自解压文件无法解压5 w/ o2 q |( S1 i
一般都是可执行文件头部分损坏,我们可以用对应的压缩工具按一般压缩文件进行解压。' {, m7 Q% g U. N( c0 O
③ DBF文件死机后无法打开3 E" m8 Z1 }1 Q- C$ Z0 s
典型的文件头中的记录数与实际不匹配了,把文件头中的记录数向下调整。我们也可以到网上查找这方面的相关介绍。
1 z. r$ ]' A" I! E2 C: q: M% R ④ ACCESS文件不能打开
1 g$ C7 f5 I9 E X* y! k' D 这类文件我们可以使用EasyRecovery软件进行修复,能够找回大部分的重要信息。% _8 r( c" A* t2 _7 P. a
6.硬盘的分区被加密或扇区被搬移的情况
: T# S$ \( r1 F! {* x& t. c$ k9 R 此时千万不要FDISK/MBR,SYS等命令进行处理,否则极有可能数据再也无法找回,一定要反解加密算法,或使用KV3000等磁盘编辑软件找回被移走的重要扇区。 对于那些加密硬盘数据的病毒,清除时一定要选择能恢复加密数据的可靠杀毒软件。
9 |# \+ l( A9 B; Q& Q$ X2 g 7.文件加密后密码遗忘的情况
) D; G" {$ W7 P2 {( O- J 对于很多字处理软件的文件加密和ZIP,WINRAR等压缩包的加密,你是不能靠加密逆过程来完成的,因为那从理论上是异常困难的。目前有一些相关的软件,他们的思想一般都是用一个大字典集中的数据循环用相同算法加密后与密码的密文匹配,直到一致时则说明找到了密码。我们可以到网上查找相应的破解软件,来解决密码遗忘的问题。& E- `! m% `5 Q. c6 w
当然,有些软件是有后门的,比如DOS下的WPS,Ctrl+qiubojun就是通用密码,但是WPS 97及2000等版本,如果我们使用的是“普通型加密”,还可以通过专用软件或求助于金山公司还可以解决,但对于“绝密型加密”,几乎是不可能破解的。
4 H: D2 \! u! ~9 a' M( r 8.系统用户密码遗忘的处理的情况8 |+ E6 U+ s8 }: C; D
方法一:通过在网上找到支持该文件系统结构的软件,如“NTFSDOS”,把该文件拷贝到系统软盘上,通过该软盘启动系统,再执行该文件,我们就可以在WIN98系统下打开NT分区,然后查找以“SAM”结尾的所有文件,把该文件删除,就可以正常进入操作系统,然后再重新设置新密码。
6 n) D5 Z2 V' s. C7 \ 方法二:使用“O&O Bluecon 2000”软件,它可以让你方便的修复被损坏的Windows NT/2000系统,与Windows 2000的恢复控制台差不多,并且可以修改本地的管理员密码。/ H, W( @, ?7 E: G1 V7 S. Q' Q8 M
该软件功能强大,可以备份注册表,显示某一操作系统的硬件配置情况,编辑文本,修改密码,编辑注册表,显示/启动/禁止服务命令等。具体的命令参数和详细用法可以使用“命令 /?”的方式获得。 ) }* ^- A; ~+ }- s: G( A5 E) t
这款软件最新版的下载地址:http://www.oosoft.com/ : @" |( K& a1 @& y" Z; \$ b6 y
方法三:输入法漏洞,这个网上介绍资料很多,不过只适用于没有安装PACK包的WIN2K系统。 ' k ~* ^8 Y' e
对UNIX系统,我建议你一定先做一张应急盘。 |
|
狗仔卡
发表于 2006-8-25 21:00:54
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡