一、數據恢復基礎知識
說到數據恢復,我們就不能不提到硬盤的數據結構、文件的存儲原理,甚至操作系統的啟動流程,這些是你在恢復硬盤數據時不得不利用的基本知識。即使你不需要恢復數據,理解了這些知識(即使只是稍微多知道一些),對于你平時的電腦操作和應用也是很有幫助的。
我們就從硬盤的數據結構談起吧……
1、 硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然后再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說,我們一般要將硬盤分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分(其中只有主引導扇區是*的,其它的隨你的分區數的增加而增加)。
主引導扇區:
主引導扇區位于整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區,并在程序結束時把該分區的啟動程序(也就是操作系統引導扇區)調入內存加以執行。至于分區表,很多人都知道,以80H或00H為開始標志,以55AAH為結束標志,共64字節,位于本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS 的Fdisk.exe)產生的,不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,只要它能完成前述的任務即可,這也是為什么能實現多系統啟動的原因(說句題外話:正因為這個主引導記錄容易編寫,所以才出現了很多的引導區病毒)。
操作系統引導扇區:
OBR(OS Boot Record)即操作系統引導扇區,通常位于硬盤的0磁道1柱面1扇區(這是對于DOS來說的,對于那些以多重引導方式啟動的系統則位于相應的主分區/擴展分區的*個扇區),是操作系統可直接訪問的*個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作系統的引導文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把*個文件讀入內存,并把控制權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統,為了數據安全起見,FAT一般做兩個,第二FAT為*FAT的備份, FAT區緊接在OBR之后,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式歷來有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作系統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之后,才是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然占據了硬盤的絕大部分空間,但沒有了前面的各部分,它對于我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。在這里有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),并沒有把DATA區的數據清除,只是重寫了FAT表而已,至于分區硬盤,也只是修改了MBR和OBR,絕大部分的DATA區的數據并沒有被改變,這也是許多硬盤數據能夠得以修復的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那么你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),只要找到一個文件的起始保存位置,那么這個文件就有可能被恢復(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位于硬盤的最前面一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較復雜,也是造成分區和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則系統最多只允許4個邏輯磁盤。對于具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作系統使用,系統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由于主分區之后的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢復,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……
文件的讀取
操作系統從目錄區中讀取文件信息(包括文件名、后綴名、文件大小、修改日期和文件在數據區保存的*個簇的簇號),我們這里假設*個簇號是0023。
操作系統從0023簇讀取相應的數據,然后再找到FAT的0023單元,如果內容是文件結束標志(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重復下去直到遇到文件結束標志。
文件的寫入
當我們要保存文件時,操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然后在Data區找到閑置空間將文件保存,并將Data區的*個簇寫入DIR區,其余的動作和上邊的讀取動作差不多。
文件的刪除
看了前面的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到只在目錄區做了一點小改動——將目錄區的文件的*個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候并沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者只是改變了分區表,后者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……
系統啟動流程
各種不同的操作系統啟動流程不盡相同,我們這里以Win9x/DOS的啟動流程為例。
*階段:系統加電自檢POST過程。POST是Power On Self Test的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這里是一段固化的ROM程序),對系統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常并與CMOS設置相符后,按照CMOS設置從相應設備啟動(我們這里假設從硬盤啟動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄后,如果主引導記錄和分區表校驗正確,則執行主引導記錄并進一步讀取DOS引導記錄(位于每一個主分區的*個扇區),然后執行該DOS引導記錄。
第四階段:裝載系統隱含文件。將DOS系統的隱含文件IO.SYS入內存,加載基本的文件系統FAT,這時候一般會出現Starting Windows 9x...的標志,IO.SYS將MS.SYS讀入內存,并處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。系統隱含文件裝載完成,微機將執行系統隱含文件,并執行系統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。系統裝載命令管理程序,以便對系統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行,至此啟動完畢。
數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢復你丟失的數據簡直是輕而易舉,這里就不再多說,我們走入真正的實戰操作吧……
二、 硬盤數據恢復方案分析
難道在硬盤數據由于各種原因被破壞后,我們就只能……?
當然,我們*的期望還是——你永遠不要用到下面的方法!因為再完備的事后解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在于防患于未然。
1、文件語刪除
A、癥狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件后清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢復的,下面就根據不同的操作系統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復,這應該是大部分恢復類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢復被誤刪除的文件——其實很多東西并不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢復在NTFS分區下被誤刪除的文件。對于這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它只能在WinNT/2000系統下使用(同時必須以Administrator用戶登錄系統),而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復,并對格式化過的NTFS分區中的文件也有效(注意:File Scavenger只可以對格式化過的分區中的文件進行恢復,并不能恢復整個被格式化過的分區)。
C、不可恢復的情況
如果文件在刪除之后,其存儲的磁盤空間進行過寫操作,那在通常情況下恢復的幾率為0。因此,誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
1)、癥狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的癥狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火墻。
2)、解決方案
由于病毒破壞硬盤數據的方法各異,恢復的方案就需要對癥下藥。一般以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞后,使用KV3000的F10功能,可修復的程度如下:
1.C盤容量為2.1G以上, 原FAT表是32位的,C分區的修復率為98%,D、E、F等分區的修復率為99%, 配合手工C、D、E、F等分區的修復率為*。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修復率為0%,D、E、F等分區的修復率為99%, 配合手工D、E、F盤的修復率為*。
因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對于FAT16的C盤是不是中了CIH就沒救呢?你還是可以嘗試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,并重新構造主引導扇區。由于軟件只修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修復得不理想,請DiskEdit等工具進行手工修復)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢復的情況
由于病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢復(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火墻絕對是有必要的)!
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢復可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,只要沒有進行其它的操作完全可以恢復。
2).安裝多系統引導軟件或者采用第三方分區工具,有恢復的可能性。
3).病毒破壞,可以部分或者全部恢復。
4).利用Ghost克隆分區/硬盤破壞,只可以部分恢復或者不能恢復(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility系列工具中,功能十分強大,可以恢復分區記錄、FAT表,需要注意的是它對硬盤的操作不是只讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢復,Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢復公司出的軟件,當然很有專業風范,EasyRecovery支持的文件系統格式很多FAT、NTFS都支持,并且有專門的For Novell版本。EasyRecovery對于分區破壞和硬盤意外被格式化都可安全的恢復,你所要做的就是將數據損壞硬盤掛到另外一臺電腦上,盡情恢復就是了,不過EasyRecovery對于中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。
由出品PartitionMagic的PowerQuest公司所出的,硬盤資料復原工具。它是一套恢復硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出并恢復,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和系統配置文件的功能,能在任何時間恢復)
3、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和后面是否有FAT等情況判定是否為分區表,*計算填回主分區表,由于需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修復。如果在FAT表徹底崩潰,恢復某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件為文本,文件中包含“軟件狗”,那么我們就要把它們轉換為內碼C8 ED BC FE B9 B7進行查找。
4、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改為E5H,而并不破壞文件本身,因此可以恢復。但對不連續文件要恢復文件鏈,而由于手工交叉恢復對一般計算機用戶來說并不容易,這里就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢復的利器。但是應特別注意,千萬不要在發現文件丟失后,在本機安裝什么恢復工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢復或把硬盤串接到其它有恢復工具的機器處理。
5、文件損壞
一般的說,恢復損壞文件須要清楚地了解文件的結構,但這并不是很容易的事情,而這方面的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
6、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對于那些加密硬盤數據的病毒,清除時一定要選擇能恢復加密數據的可靠殺毒軟件。
7、文件加密后密碼遺忘
對于很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密后與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有后門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
8、系統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件系統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,后者時間長,但保全了所有用戶信息。對UNIX系統,建議你一定先做一張應急盤。
三、數據備份介紹
雖然數據恢復技術可能將你的損失降到*,但是,誰愿意在惶恐不安中,邊祈禱邊按下各類數據恢復軟件的“Recover”按鈕?也沒有人喜歡面對滿屏的16進制代碼,帶著僥幸的心理調整硬盤分區表Data區的信息;所以,*的數據保全方法應該是防患于未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你*的救命稻草。
1、 什么東西最該備份
決定如何備份前,應先考慮備份什么。硬盤里有三種東西:數據、應用程序和操作系統。你可備份硬盤中的所有東西,也可只備份數據。
進行完整的備份是最簡單的方法,至少從恢復的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作系統和應用程序;而是很快就可恢復運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。
另一個方法是只備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。
你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書簽(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關于配置設置、收藏夾和cookie的注冊表信息。在Windows 95或98中,這些文件分布在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪里
對于一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以為將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、木馬都很容易將你的整個硬盤數據毀于一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
一、數據恢復基礎知識
說到數據恢復,我們就不能不提到硬盤的數據結構、文件的存儲原理,甚至操作系統的啟動流程,這些是你在恢復硬盤數據時不得不利用的基本知識。即使你不需要恢復數據,理解了這些知識(即使只是稍微多知道一些),對于你平時的電腦操作和應用也是很有幫助的。
我們就從硬盤的數據結構談起吧……
1、 硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然后再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說,我們一般要將硬盤分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分(其中只有主引導扇區是*的,其它的隨你的分區數的增加而增加)。
主引導扇區:
主引導扇區位于整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區,并在程序結束時把該分區的啟動程序(也就是操作系統引導扇區)調入內存加以執行。至于分區表,很多人都知道,以80H或00H為開始標志,以55AAH為結束標志,共64字節,位于本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS 的Fdisk.exe)產生的,不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,只要它能完成前述的任務即可,這也是為什么能實現多系統啟動的原因(說句題外話:正因為這個主引導記錄容易編寫,所以才出現了很多的引導區病毒)。
操作系統引導扇區:
OBR(OS Boot Record)即操作系統引導扇區,通常位于硬盤的0磁道1柱面1扇區(這是對于DOS來說的,對于那些以多重引導方式啟動的系統則位于相應的主分區/擴展分區的*個扇區),是操作系統可直接訪問的*個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作系統的引導文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把*個文件讀入內存,并把控制權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統,為了數據安全起見,FAT一般做兩個,第二FAT為*FAT的備份, FAT區緊接在OBR之后,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式歷來有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作系統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之后,才是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然占據了硬盤的絕大部分空間,但沒有了前面的各部分,它對于我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。在這里有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),并沒有把DATA區的數據清除,只是重寫了FAT表而已,至于分區硬盤,也只是修改了MBR和OBR,絕大部分的DATA區的數據并沒有被改變,這也是許多硬盤數據能夠得以修復的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那么你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),只要找到一個文件的起始保存位置,那么這個文件就有可能被恢復(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位于硬盤的最前面一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較復雜,也是造成分區和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則系統最多只允許4個邏輯磁盤。對于具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作系統使用,系統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由于主分區之后的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢復,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……
文件的讀取
操作系統從目錄區中讀取文件信息(包括文件名、后綴名、文件大小、修改日期和文件在數據區保存的*個簇的簇號),我們這里假設*個簇號是0023。
操作系統從0023簇讀取相應的數據,然后再找到FAT的0023單元,如果內容是文件結束標志(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重復下去直到遇到文件結束標志。
文件的寫入
當我們要保存文件時,操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然后在Data區找到閑置空間將文件保存,并將Data區的*個簇寫入DIR區,其余的動作和上邊的讀取動作差不多。
文件的刪除
看了前面的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到只在目錄區做了一點小改動——將目錄區的文件的*個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候并沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者只是改變了分區表,后者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……
系統啟動流程
各種不同的操作系統啟動流程不盡相同,我們這里以Win9x/DOS的啟動流程為例。
*階段:系統加電自檢POST過程。POST是Power On Self Test的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這里是一段固化的ROM程序),對系統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常并與CMOS設置相符后,按照CMOS設置從相應設備啟動(我們這里假設從硬盤啟動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄后,如果主引導記錄和分區表校驗正確,則執行主引導記錄并進一步讀取DOS引導記錄(位于每一個主分區的*個扇區),然后執行該DOS引導記錄。
第四階段:裝載系統隱含文件。將DOS系統的隱含文件IO.SYS入內存,加載基本的文件系統FAT,這時候一般會出現Starting Windows 9x...的標志,IO.SYS將MS.SYS讀入內存,并處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。系統隱含文件裝載完成,微機將執行系統隱含文件,并執行系統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。系統裝載命令管理程序,以便對系統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行,至此啟動完畢。
數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢復你丟失的數據簡直是輕而易舉,這里就不再多說,我們走入真正的實戰操作吧……
二、 硬盤數據恢復方案分析
難道在硬盤數據由于各種原因被破壞后,我們就只能……?
當然,我們*的期望還是——你永遠不要用到下面的方法!因為再完備的事后解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在于防患于未然。
1、文件語刪除
A、癥狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件后清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢復的,下面就根據不同的操作系統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復,這應該是大部分恢復類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢復被誤刪除的文件——其實很多東西并不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢復在NTFS分區下被誤刪除的文件。對于這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它只能在WinNT/2000系統下使用(同時必須以Administrator用戶登錄系統),而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復,并對格式化過的NTFS分區中的文件也有效(注意:File Scavenger只可以對格式化過的分區中的文件進行恢復,并不能恢復整個被格式化過的分區)。
C、不可恢復的情況
如果文件在刪除之后,其存儲的磁盤空間進行過寫操作,那在通常情況下恢復的幾率為0。因此,誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
1)、癥狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的癥狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火墻。
2)、解決方案
由于病毒破壞硬盤數據的方法各異,恢復的方案就需要對癥下藥。一般以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞后,使用KV3000的F10功能,可修復的程度如下:
1.C盤容量為2.1G以上, 原FAT表是32位的,C分區的修復率為98%,D、E、F等分區的修復率為99%, 配合手工C、D、E、F等分區的修復率為*。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修復率為0%,D、E、F等分區的修復率為99%, 配合手工D、E、F盤的修復率為*。
因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對于FAT16的C盤是不是中了CIH就沒救呢?你還是可以嘗試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,并重新構造主引導扇區。由于軟件只修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修復得不理想,請DiskEdit等工具進行手工修復)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢復的情況
由于病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢復(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火墻絕對是有必要的)!
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢復可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,只要沒有進行其它的操作完全可以恢復。
2).安裝多系統引導軟件或者采用第三方分區工具,有恢復的可能性。
3).病毒破壞,可以部分或者全部恢復。
4).利用Ghost克隆分區/硬盤破壞,只可以部分恢復或者不能恢復(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility系列工具中,功能十分強大,可以恢復分區記錄、FAT表,需要注意的是它對硬盤的操作不是只讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢復,Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢復公司出的軟件,當然很有專業風范,EasyRecovery支持的文件系統格式很多FAT、NTFS都支持,并且有專門的For Novell版本。EasyRecovery對于分區破壞和硬盤意外被格式化都可安全的恢復,你所要做的就是將數據損壞硬盤掛到另外一臺電腦上,盡情恢復就是了,不過EasyRecovery對于中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。
由出品PartitionMagic的PowerQuest公司所出的,硬盤資料復原工具。它是一套恢復硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出并恢復,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和系統配置文件的功能,能在任何時間恢復)
3、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和后面是否有FAT等情況判定是否為分區表,*計算填回主分區表,由于需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修復。如果在FAT表徹底崩潰,恢復某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件為文本,文件中包含“軟件狗”,那么我們就要把它們轉換為內碼C8 ED BC FE B9 B7進行查找。
4、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改為E5H,而并不破壞文件本身,因此可以恢復。但對不連續文件要恢復文件鏈,而由于手工交叉恢復對一般計算機用戶來說并不容易,這里就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢復的利器。但是應特別注意,千萬不要在發現文件丟失后,在本機安裝什么恢復工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢復或把硬盤串接到其它有恢復工具的機器處理。
5、文件損壞
一般的說,恢復損壞文件須要清楚地了解文件的結構,但這并不是很容易的事情,而這方面的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
6、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對于那些加密硬盤數據的病毒,清除時一定要選擇能恢復加密數據的可靠殺毒軟件。
7、文件加密后密碼遺忘
對于很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密后與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有后門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
8、系統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件系統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,后者時間長,但保全了所有用戶信息。對UNIX系統,建議你一定先做一張應急盤。
三、數據備份介紹
雖然數據恢復技術可能將你的損失降到*,但是,誰愿意在惶恐不安中,邊祈禱邊按下各類數據恢復軟件的“Recover”按鈕?也沒有人喜歡面對滿屏的16進制代碼,帶著僥幸的心理調整硬盤分區表Data區的信息;所以,*的數據保全方法應該是防患于未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你*的救命稻草。
1、 什么東西最該備份
決定如何備份前,應先考慮備份什么。硬盤里有三種東西:數據、應用程序和操作系統。你可備份硬盤中的所有東西,也可只備份數據。
進行完整的備份是最簡單的方法,至少從恢復的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作系統和應用程序;而是很快就可恢復運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。
另一個方法是只備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。
你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書簽(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關于配置設置、收藏夾和cookie的注冊表信息。在Windows 95或98中,這些文件分布在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪里
對于一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以為將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、木馬都很容易將你的整個硬盤數據毀于一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
說到數據恢復,我們就不能不提到硬盤的數據結構、文件的存儲原理,甚至操作系統的啟動流程,這些是你在恢復硬盤數據時不得不利用的基本知識。即使你不需要恢復數據,理解了這些知識(即使只是稍微多知道一些),對于你平時的電腦操作和應用也是很有幫助的。
我們就從硬盤的數據結構談起吧……
1、 硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然后再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說,我們一般要將硬盤分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分(其中只有主引導扇區是*的,其它的隨你的分區數的增加而增加)。
主引導扇區:
主引導扇區位于整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區,并在程序結束時把該分區的啟動程序(也就是操作系統引導扇區)調入內存加以執行。至于分區表,很多人都知道,以80H或00H為開始標志,以55AAH為結束標志,共64字節,位于本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS 的Fdisk.exe)產生的,不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,只要它能完成前述的任務即可,這也是為什么能實現多系統啟動的原因(說句題外話:正因為這個主引導記錄容易編寫,所以才出現了很多的引導區病毒)。
操作系統引導扇區:
OBR(OS Boot Record)即操作系統引導扇區,通常位于硬盤的0磁道1柱面1扇區(這是對于DOS來說的,對于那些以多重引導方式啟動的系統則位于相應的主分區/擴展分區的*個扇區),是操作系統可直接訪問的*個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作系統的引導文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把*個文件讀入內存,并把控制權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統,為了數據安全起見,FAT一般做兩個,第二FAT為*FAT的備份, FAT區緊接在OBR之后,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式歷來有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作系統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之后,才是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然占據了硬盤的絕大部分空間,但沒有了前面的各部分,它對于我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。在這里有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),并沒有把DATA區的數據清除,只是重寫了FAT表而已,至于分區硬盤,也只是修改了MBR和OBR,絕大部分的DATA區的數據并沒有被改變,這也是許多硬盤數據能夠得以修復的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那么你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),只要找到一個文件的起始保存位置,那么這個文件就有可能被恢復(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位于硬盤的最前面一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較復雜,也是造成分區和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則系統最多只允許4個邏輯磁盤。對于具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作系統使用,系統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由于主分區之后的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢復,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……
文件的讀取
操作系統從目錄區中讀取文件信息(包括文件名、后綴名、文件大小、修改日期和文件在數據區保存的*個簇的簇號),我們這里假設*個簇號是0023。
操作系統從0023簇讀取相應的數據,然后再找到FAT的0023單元,如果內容是文件結束標志(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重復下去直到遇到文件結束標志。
文件的寫入
當我們要保存文件時,操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然后在Data區找到閑置空間將文件保存,并將Data區的*個簇寫入DIR區,其余的動作和上邊的讀取動作差不多。
文件的刪除
看了前面的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到只在目錄區做了一點小改動——將目錄區的文件的*個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候并沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者只是改變了分區表,后者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……
系統啟動流程
各種不同的操作系統啟動流程不盡相同,我們這里以Win9x/DOS的啟動流程為例。
*階段:系統加電自檢POST過程。POST是Power On Self Test的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這里是一段固化的ROM程序),對系統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常并與CMOS設置相符后,按照CMOS設置從相應設備啟動(我們這里假設從硬盤啟動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄后,如果主引導記錄和分區表校驗正確,則執行主引導記錄并進一步讀取DOS引導記錄(位于每一個主分區的*個扇區),然后執行該DOS引導記錄。
第四階段:裝載系統隱含文件。將DOS系統的隱含文件IO.SYS入內存,加載基本的文件系統FAT,這時候一般會出現Starting Windows 9x...的標志,IO.SYS將MS.SYS讀入內存,并處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。系統隱含文件裝載完成,微機將執行系統隱含文件,并執行系統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。系統裝載命令管理程序,以便對系統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行,至此啟動完畢。
數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢復你丟失的數據簡直是輕而易舉,這里就不再多說,我們走入真正的實戰操作吧……
二、 硬盤數據恢復方案分析
難道在硬盤數據由于各種原因被破壞后,我們就只能……?
當然,我們*的期望還是——你永遠不要用到下面的方法!因為再完備的事后解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在于防患于未然。
1、文件語刪除
A、癥狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件后清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢復的,下面就根據不同的操作系統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復,這應該是大部分恢復類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢復被誤刪除的文件——其實很多東西并不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢復在NTFS分區下被誤刪除的文件。對于這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它只能在WinNT/2000系統下使用(同時必須以Administrator用戶登錄系統),而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復,并對格式化過的NTFS分區中的文件也有效(注意:File Scavenger只可以對格式化過的分區中的文件進行恢復,并不能恢復整個被格式化過的分區)。
C、不可恢復的情況
如果文件在刪除之后,其存儲的磁盤空間進行過寫操作,那在通常情況下恢復的幾率為0。因此,誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
1)、癥狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的癥狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火墻。
2)、解決方案
由于病毒破壞硬盤數據的方法各異,恢復的方案就需要對癥下藥。一般以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞后,使用KV3000的F10功能,可修復的程度如下:
1.C盤容量為2.1G以上, 原FAT表是32位的,C分區的修復率為98%,D、E、F等分區的修復率為99%, 配合手工C、D、E、F等分區的修復率為*。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修復率為0%,D、E、F等分區的修復率為99%, 配合手工D、E、F盤的修復率為*。
因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對于FAT16的C盤是不是中了CIH就沒救呢?你還是可以嘗試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,并重新構造主引導扇區。由于軟件只修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修復得不理想,請DiskEdit等工具進行手工修復)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢復的情況
由于病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢復(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火墻絕對是有必要的)!
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢復可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,只要沒有進行其它的操作完全可以恢復。
2).安裝多系統引導軟件或者采用第三方分區工具,有恢復的可能性。
3).病毒破壞,可以部分或者全部恢復。
4).利用Ghost克隆分區/硬盤破壞,只可以部分恢復或者不能恢復(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility系列工具中,功能十分強大,可以恢復分區記錄、FAT表,需要注意的是它對硬盤的操作不是只讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢復,Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢復公司出的軟件,當然很有專業風范,EasyRecovery支持的文件系統格式很多FAT、NTFS都支持,并且有專門的For Novell版本。EasyRecovery對于分區破壞和硬盤意外被格式化都可安全的恢復,你所要做的就是將數據損壞硬盤掛到另外一臺電腦上,盡情恢復就是了,不過EasyRecovery對于中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。
由出品PartitionMagic的PowerQuest公司所出的,硬盤資料復原工具。它是一套恢復硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出并恢復,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和系統配置文件的功能,能在任何時間恢復)
3、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和后面是否有FAT等情況判定是否為分區表,*計算填回主分區表,由于需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修復。如果在FAT表徹底崩潰,恢復某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件為文本,文件中包含“軟件狗”,那么我們就要把它們轉換為內碼C8 ED BC FE B9 B7進行查找。
4、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改為E5H,而并不破壞文件本身,因此可以恢復。但對不連續文件要恢復文件鏈,而由于手工交叉恢復對一般計算機用戶來說并不容易,這里就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢復的利器。但是應特別注意,千萬不要在發現文件丟失后,在本機安裝什么恢復工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢復或把硬盤串接到其它有恢復工具的機器處理。
5、文件損壞
一般的說,恢復損壞文件須要清楚地了解文件的結構,但這并不是很容易的事情,而這方面的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
6、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對于那些加密硬盤數據的病毒,清除時一定要選擇能恢復加密數據的可靠殺毒軟件。
7、文件加密后密碼遺忘
對于很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密后與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有后門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
8、系統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件系統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,后者時間長,但保全了所有用戶信息。對UNIX系統,建議你一定先做一張應急盤。
三、數據備份介紹
雖然數據恢復技術可能將你的損失降到*,但是,誰愿意在惶恐不安中,邊祈禱邊按下各類數據恢復軟件的“Recover”按鈕?也沒有人喜歡面對滿屏的16進制代碼,帶著僥幸的心理調整硬盤分區表Data區的信息;所以,*的數據保全方法應該是防患于未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你*的救命稻草。
1、 什么東西最該備份
決定如何備份前,應先考慮備份什么。硬盤里有三種東西:數據、應用程序和操作系統。你可備份硬盤中的所有東西,也可只備份數據。
進行完整的備份是最簡單的方法,至少從恢復的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作系統和應用程序;而是很快就可恢復運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。
另一個方法是只備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。
你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書簽(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關于配置設置、收藏夾和cookie的注冊表信息。在Windows 95或98中,這些文件分布在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪里
對于一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以為將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、木馬都很容易將你的整個硬盤數據毀于一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
一、數據恢復基礎知識
說到數據恢復,我們就不能不提到硬盤的數據結構、文件的存儲原理,甚至操作系統的啟動流程,這些是你在恢復硬盤數據時不得不利用的基本知識。即使你不需要恢復數據,理解了這些知識(即使只是稍微多知道一些),對于你平時的電腦操作和應用也是很有幫助的。
我們就從硬盤的數據結構談起吧……
1、 硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然后再安裝上操作系統才可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說,我們一般要將硬盤分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分(其中只有主引導扇區是*的,其它的隨你的分區數的增加而增加)。
主引導扇區:
主引導扇區位于整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區為引導分區,并在程序結束時把該分區的啟動程序(也就是操作系統引導扇區)調入內存加以執行。至于分區表,很多人都知道,以80H或00H為開始標志,以55AAH為結束標志,共64字節,位于本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS 的Fdisk.exe)產生的,不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,只要它能完成前述的任務即可,這也是為什么能實現多系統啟動的原因(說句題外話:正因為這個主引導記錄容易編寫,所以才出現了很多的引導區病毒)。
操作系統引導扇區:
OBR(OS Boot Record)即操作系統引導扇區,通常位于硬盤的0磁道1柱面1扇區(這是對于DOS來說的,對于那些以多重引導方式啟動的系統則位于相應的主分區/擴展分區的*個扇區),是操作系統可直接訪問的*個扇區,它也包括一個引導程序和一個被稱為BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否為操作系統的引導文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把*個文件讀入內存,并把控制權交予該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之為簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統,為了數據安全起見,FAT一般做兩個,第二FAT為*FAT的備份, FAT區緊接在OBR之后,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式歷來有很多選擇,Microsoft 的DOS及Windows采用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之后,只有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄著每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作系統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之后,才是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然占據了硬盤的絕大部分空間,但沒有了前面的各部分,它對于我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。在這里有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),并沒有把DATA區的數據清除,只是重寫了FAT表而已,至于分區硬盤,也只是修改了MBR和OBR,絕大部分的DATA區的數據并沒有被改變,這也是許多硬盤數據能夠得以修復的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那么你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),只要找到一個文件的起始保存位置,那么這個文件就有可能被恢復(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位于硬盤的最前面一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較復雜,也是造成分區和邏輯磁盤混淆的主要原因。由于硬盤僅僅為分區表保留了64個字節的存儲空間,而每個分區的參數占據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則系統最多只允許4個邏輯磁盤。對于具體的應用,4個邏輯磁盤往往不能滿足實際需求。為了建立更多的邏輯磁盤供操作系統使用,系統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱為擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由于主分區之后的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢復,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……
文件的讀取
操作系統從目錄區中讀取文件信息(包括文件名、后綴名、文件大小、修改日期和文件在數據區保存的*個簇的簇號),我們這里假設*個簇號是0023。
操作系統從0023簇讀取相應的數據,然后再找到FAT的0023單元,如果內容是文件結束標志(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重復下去直到遇到文件結束標志。
文件的寫入
當我們要保存文件時,操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然后在Data區找到閑置空間將文件保存,并將Data區的*個簇寫入DIR區,其余的動作和上邊的讀取動作差不多。
文件的刪除
看了前面的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到只在目錄區做了一點小改動——將目錄區的文件的*個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候并沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者只是改變了分區表,后者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……
系統啟動流程
各種不同的操作系統啟動流程不盡相同,我們這里以Win9x/DOS的啟動流程為例。
*階段:系統加電自檢POST過程。POST是Power On Self Test的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這里是一段固化的ROM程序),對系統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常并與CMOS設置相符后,按照CMOS設置從相應設備啟動(我們這里假設從硬盤啟動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄后,如果主引導記錄和分區表校驗正確,則執行主引導記錄并進一步讀取DOS引導記錄(位于每一個主分區的*個扇區),然后執行該DOS引導記錄。
第四階段:裝載系統隱含文件。將DOS系統的隱含文件IO.SYS入內存,加載基本的文件系統FAT,這時候一般會出現Starting Windows 9x...的標志,IO.SYS將MS.SYS讀入內存,并處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。系統隱含文件裝載完成,微機將執行系統隱含文件,并執行系統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。系統裝載命令管理程序,以便對系統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啟動執行文件加以執行,至此啟動完畢。
數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢復你丟失的數據簡直是輕而易舉,這里就不再多說,我們走入真正的實戰操作吧……
二、 硬盤數據恢復方案分析
難道在硬盤數據由于各種原因被破壞后,我們就只能……?
當然,我們*的期望還是——你永遠不要用到下面的方法!因為再完備的事后解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在于防患于未然。
1、文件語刪除
A、癥狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件后清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢復的,下面就根據不同的操作系統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復,這應該是大部分恢復類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅為在Win9x/Me下恢復被誤刪除的文件——其實很多東西并不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢復在NTFS分區下被誤刪除的文件。對于這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它只能在WinNT/2000系統下使用(同時必須以Administrator用戶登錄系統),而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復,并對格式化過的NTFS分區中的文件也有效(注意:File Scavenger只可以對格式化過的分區中的文件進行恢復,并不能恢復整個被格式化過的分區)。
C、不可恢復的情況
如果文件在刪除之后,其存儲的磁盤空間進行過寫操作,那在通常情況下恢復的幾率為0。因此,誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
1)、癥狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啟動也無法找到硬盤),由此病毒破壞硬盤數據的癥狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火墻。
2)、解決方案
由于病毒破壞硬盤數據的方法各異,恢復的方案就需要對癥下藥。一般以常見的CIH為例,因為它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞后,使用KV3000的F10功能,可修復的程度如下:
1.C盤容量為2.1G以上, 原FAT表是32位的,C分區的修復率為98%,D、E、F等分區的修復率為99%, 配合手工C、D、E、F等分區的修復率為*。
2.硬盤容量為2.1G以下,原FAT表是16位的,C分區的修復率為0%,D、E、F等分區的修復率為99%, 配合手工D、E、F盤的修復率為*。
因為原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對于FAT16的C盤是不是中了CIH就沒救呢?你還是可以嘗試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,并重新構造主引導扇區。由于軟件只修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修復得不理想,請DiskEdit等工具進行手工修復)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢復的情況
由于病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢復(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火墻絕對是有必要的)!
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢復可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,只要沒有進行其它的操作完全可以恢復。
2).安裝多系統引導軟件或者采用第三方分區工具,有恢復的可能性。
3).病毒破壞,可以部分或者全部恢復。
4).利用Ghost克隆分區/硬盤破壞,只可以部分恢復或者不能恢復(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility系列工具中,功能十分強大,可以恢復分區記錄、FAT表,需要注意的是它對硬盤的操作不是只讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢復,Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢復公司出的軟件,當然很有專業風范,EasyRecovery支持的文件系統格式很多FAT、NTFS都支持,并且有專門的For Novell版本。EasyRecovery對于分區破壞和硬盤意外被格式化都可安全的恢復,你所要做的就是將數據損壞硬盤掛到另外一臺電腦上,盡情恢復就是了,不過EasyRecovery對于中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。
由出品PartitionMagic的PowerQuest公司所出的,硬盤資料復原工具。它是一套恢復硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出并恢復,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啟動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和系統配置文件的功能,能在任何時間恢復)
3、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA為結束的扇區,再根據扇區結構和后面是否有FAT等情況判定是否為分區表,*計算填回主分區表,由于需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修復。如果在FAT表徹底崩潰,恢復某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件為文本,文件中包含“軟件狗”,那么我們就要把它們轉換為內碼C8 ED BC FE B9 B7進行查找。
4、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改為E5H,而并不破壞文件本身,因此可以恢復。但對不連續文件要恢復文件鏈,而由于手工交叉恢復對一般計算機用戶來說并不容易,這里就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢復的利器。但是應特別注意,千萬不要在發現文件丟失后,在本機安裝什么恢復工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啟動進行恢復或把硬盤串接到其它有恢復工具的機器處理。
5、文件損壞
一般的說,恢復損壞文件須要清楚地了解文件的結構,但這并不是很容易的事情,而這方面的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
6、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對于那些加密硬盤數據的病毒,清除時一定要選擇能恢復加密數據的可靠殺毒軟件。
7、文件加密后密碼遺忘
對于很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因為那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密后與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有后門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的個中高手,大家不妨去他的主頁看看。
8、系統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啟動(NT的你也可以把盤掛接在其他NT上),找到支持該文件系統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,后者時間長,但保全了所有用戶信息。對UNIX系統,建議你一定先做一張應急盤。
三、數據備份介紹
雖然數據恢復技術可能將你的損失降到*,但是,誰愿意在惶恐不安中,邊祈禱邊按下各類數據恢復軟件的“Recover”按鈕?也沒有人喜歡面對滿屏的16進制代碼,帶著僥幸的心理調整硬盤分區表Data區的信息;所以,*的數據保全方法應該是防患于未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你*的救命稻草。
1、 什么東西最該備份
決定如何備份前,應先考慮備份什么。硬盤里有三種東西:數據、應用程序和操作系統。你可備份硬盤中的所有東西,也可只備份數據。
進行完整的備份是最簡單的方法,至少從恢復的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作系統和應用程序;而是很快就可恢復運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。
另一個方法是只備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。
你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書簽(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關于配置設置、收藏夾和cookie的注冊表信息。在Windows 95或98中,這些文件分布在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪里
對于一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以為將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、木馬都很容易將你的整個硬盤數據毀于一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
