Cómo recuperar datos
1. Amenazas potenciales a los datos
1. Programas maliciosos: los programas maliciosos con los que estamos más familiarizados son los virus. Mucha gente piensa que el impacto de los virus en los datos es sólo destructivo. naturaleza de los virus. Esto es incorrecto. De hecho, la infección por virus en sí es un tipo de daño. Ya sea que un virus modifique su área de inicio, programa ejecutable o documento de OFFICE, ya ha modificado sus datos normales. Ya sea que el virus haya modificado su área de inicio, programa ejecutable o documento de OFFICE, también ha cambiado sus datos normales. Por supuesto, se podría tomar un ejemplo extremo de un virus acompañante benigno. Pero no hay duda de que también destruirá datos, o al menos reducirá el espacio disponible en su disco duro. Al mismo tiempo, los programas maliciosos incluyen troyanos, bombas lógicas, etc. Los daños causados por programas maliciosos pueden ser los más difíciles de recuperar.
2. Otros daños maliciosos, incluso sin la ayuda de virus u otras herramientas, siempre que tenga permisos suficientes, cualquier sistema tiene ciertas capacidades de "autodestrucción". Por ejemplo, la destrucción de datos también se puede lograr confiando en las operaciones normales del sistema, como eliminación, movimiento y formateo. Con el desarrollo de la tecnología de red, las amenazas ya no se limitan a la máquina local.
3. Mal funcionamiento: muchas pérdidas de datos se deben al mal funcionamiento del usuario, como la eliminación accidental, el formateo incorrecto, etc.
4. Errores del sistema operativo o del software de aplicación: A medida que la cantidad de código en los sistemas operativos y el software de aplicación aumenta exponencialmente, los ERRORES también aumentan. Nuestro sistema de escritorio más utilizado, WIN9X, es el rey de los errores. Los errores en los sistemas operativos y en las aplicaciones de software suelen tener efectos inesperados en el trabajo de las personas. Por ejemplo, un ERROR en FRONTPAGE98 descubierto en la etapa anterior eliminará todos los archivos de su directorio cuando se active. Además, si no lo instala en el directorio predeterminado que aparece en el famoso juego "Myth II", puede perder el archivo. partición extendida. Problema grave.
5. Cifrado y permisos: Si bien el cifrado y los permisos son formas efectivas de proteger tus datos, olvidar tu contraseña puede causar problemas importantes.
6. Corte de energía: Las consecuencias de un corte de energía repentino en la máquina pueden ser no solo la pérdida de datos de la memoria, sino también la pérdida de datos del disco, o que el sistema no se inicie normalmente.
7. Desbordamiento de memoria: hay muchas razones para errores de bajo nivel, como desbordamiento de memoria o finalización ilegal del proceso. Al igual que un corte de energía, el trabajo actual se perderá.
8. Actualización: la actualización de los sistemas de software a veces causa problemas. Más adelante daremos los ejemplos correspondientes.
9. Daño y robo de hardware: Esta es probablemente una de las amenazas más graves. A veces, esto reduce a cero las posibilidades de recuperar sus datos.
II.Diversos fenómenos lógicos de pérdida de datos
La recuperación de datos es básicamente un proceso lógico. Sólo juzgando con precisión la situación podremos dar una respuesta precisa. En términos generales, los problemas se pueden resumir en los siguientes puntos.
1. El disco duro no puede completar el arranque correcto: el daño lógico causado por fallas físicas, fallas en el sector de arranque, colapso de sectores importantes, etc. impedirán que el sistema complete el proceso de arranque normal.
2. Pérdida de archivos: la pérdida de datos se producirá debido a destrucción intencional, eliminación accidental y otros motivos. Además, esta clasificación no sólo incluye uno o más archivos, sino que también se aplica a la pérdida de directorios, particiones o volúmenes.
3. El archivo no se puede abrir normalmente: debido a infección de virus, cifrado, daño del encabezado del archivo y otras razones, el archivo no se puede abrir normalmente.
4. Los datos están desordenados: debido a la influencia de varios factores, la información, los archivos de texto, etc. en la base de datos pueden cambiar hasta quedar irreconocibles.
3. Sugerencias para proteger los datos
Este tema trata sobre la recuperación de datos, no sobre la protección de la información, así que deténgase aquí, en una palabra, para evitar problemas antes de que ocurran. Para eliminar las amenazas a los datos, si atenuamos estas amenazas al máximo y contamos con las correspondientes medidas de prevención y respuesta para cada amenaza potencial previsible, la seguridad de nuestros datos tendrá la mayor garantía. Estas contramedidas incluyen principalmente seleccionar buenos productos antivirus y de mantenimiento del sistema, fortalecer las medidas de seguridad, adoptar protección contra cortes de energía UPS, mejorar el nivel operativo y la conciencia de seguridad de los usuarios y formar un sistema sistemático de respaldo y gestión de la información. Todos estos pueden proteger eficazmente la seguridad de los datos. Todos pueden garantizar eficazmente la seguridad de los datos. En resumen, mi comprensión de la recuperación de datos es la misma que la de los virus: es mejor cortarlos de raíz que arreglarlos.
Parte 2: Conocimientos preliminares de la recuperación de datos
1. Introducción al mecanismo de funcionamiento del sistema (en esta sección se utilizan abreviaturas de bajo consumo). Libro original, considerando la extensión, con muchas eliminaciones.
①. Composición de datos del disco duro DOS (sistema compatible con DOS)
En el sistema de disco DOS, el espacio físico se puede administrar según el concepto de particiones lógicas, y se pueden administrar diferentes particiones. cargarse con diferentes operaciones del sistema. Las instrucciones específicas son las siguientes:
Espacio en el disco duro
Primer sector | Partición 2 | Partición 4 |
Sector de arranque primario | Sector de arranque | Sector de arranque | Sector de arranque |
Común a todas las particiones | Una única partición es relativamente independiente y se puede utilizar para instalar diferentes sistemas operativos.
Para las particiones de estructura FAT, cada partición tiene un registro de inicio independiente, una tabla FDT, una tabla FAT, etc. Al mismo tiempo, el sistema también tiene un registro de arranque maestro muy importante. En 0 columnas, 0 lados y 1 sector, luego usaremos CYL para representar columnas, SIDE para representar superficies y SEC para representar sectores. El siguiente es un diagrama simplificado de la partición de la estructura FAT.
Área reservada: tabla de parámetros del disco, registro de inicio de DOS
Área de control: tabla FAT 1, área del directorio raíz de la tabla FAT 2
Área de datos: Área de datos
La siguiente es una breve introducción a las partes importantes:
Registro de arranque maestro (Master Boot Record), también conocido como tabla de particiones principal, MBR, etc.: MBR Ocupa un sector, en CYL0, SIDE0 y SEC1 se componen de área de código y área de datos. Entre ellos, el área de código es un extremo del programa estándar, que completa el trabajo entre el arranque del BIOS y OSBOOT y realiza los preparativos finales para el inicio del sistema operativo. Las áreas de código estándar se pueden reconstruir mediante FDISK/MBR, pero esta operación dañará los MBR no estándar utilizados para el arranque de múltiples sistemas. El área de datos de MBR registra el estado de la partición.
Sectores del sistema: CYL0, SIDE0, SEC1-CYL0, SIDE0, SEC63, ***62 el área de arranque del sector también se llama área de BOOT: CYL0, SIDE1, SEC1 Esto es lo que a menudo llamamos distrito de arranque de DOS. También ocupa un sector.
Tabla de asignación de archivos, también conocida como FAT: es una tabla que registra la ocupación del clúster y las relaciones de conexión de archivos. Generalmente existen dos tablas FAT, que sirven como respaldo. La primera tabla FAT de FAT12 y FAT16 generalmente está en 0-1-2, y la primera tabla FAT de FAT32 está en 0-1-33. Debido a que la tabla FAT registra la ubicación de conexión de los sectores ocupados por el archivo, si ambas tablas FAT se rompen, las consecuencias serán desastrosas.
Dado que la longitud de la tabla FAT está relacionada con el tamaño de la partición actual, es necesario calcular la dirección de FAT2.
Área del directorio raíz (ROOT, FDT): los elementos del archivo del directorio en el directorio raíz se registran aquí. El área ROOT sigue a FAT2.
Área de datos: Después del área ROOT, este es el contenido de los datos.
De hecho, la reconstrucción de MBR, sectores ocultos y áreas BOOT es relativamente fácil. La clave para la recuperación de datos es recuperar archivos de datos.
Dado que la tabla FAT registra la lista vinculada de archivos que ocupan sectores en el disco duro, si las dos tablas FAT están completamente dañadas. Entonces será bastante difícil recuperar archivos, especialmente archivos que ocupan múltiples sectores no contiguos.
②. Breve descripción del registro de arranque maestro:
El registro de arranque maestro es el punto de partida para el inicio del disco duro. No diré mucho sobre su área de código. área de datos, lo más importante es que hay dos indicadores, 80H y 55AA. 80H generalmente está en el desplazamiento 1BE. 80 es el indicador de activación de partición. Este indicador indica que el sistema se puede iniciar y que toda la tabla de particiones solo puede tener uno. 80 bandera. La otra es la marca 55AA al final, que se utiliza para indicar que el registro de inicio maestro es un registro válido. Además, el registro de arranque de cada partición también termina en 55AA, que es la marca que utilizamos para encontrar la partición. En la siguiente introducción al registro de arranque maestro, le daremos un ejemplo de una tabla de particiones completa, que puede consultar. En el área de datos, se utilizan 10H bytes para representar una partición, y se pueden representar hasta 4 particiones, comenzando desde 1BE, 1CE, 1DE y 1EE respectivamente. Más adelante daremos el significado de la dirección correspondiente a la entrada de la tabla de particiones. . Puede analizar las siguientes particiones en consecuencia.
800101000BFEBFFC3F00-00007E86BB00
①②③④⑤⑥
①: indicador de activación, 80 significa partición de arranque
②:
②: El primer número al comienzo de la partición es 01, el número del sector inicial es 01 y el número del cilindro inicial es 00. Porque el número del sector inicial es de 6 bits en binario y el número del cilindro inicial es de 10 bits en binario , la segunda palabra superior El número de sector utilizado en la sección debe agregarse al número de cilindro de la segunda palabra superior.
③: El tipo de sistema de la partición es FAT32 (0B), 01 es FAT12, 04 es FAT16, 06 es BIGDOS, 07 es NTFS. Para otros tipos, consulte la tabla de tipos de partición.
④: número de encabezado de extremo de partición 254, número de sector de extremo de partición 63, número de pilar de extremo de partición 764
⑤: número de sector relativo del primer sector 63
⑥: El número total de sectores es 12289622
2. Introducción a las herramientas de procesamiento manual más utilizadas y a los comandos externos de DOS
DEBUG: el software de seguimiento de depuración más antiguo y utilizado, siempre asociado. con Microsoft incluido con el sistema operativo DOS/WIN9X. Hay 19 subcomandos en total. En sistemas inferiores a DOS 6.22, DEBUG.EXE se encuentra en el directorio DOS. En sistemas WIN9X, se encuentra en el directorio WINDOWS\COMMAND. También se puede encontrar en el disco de rescate generado por WIN9X.
DISKEDIT: software de edición hexadecimal de uso común, interfaz de caracteres, puede leer y escribir contenido lógico en modo archivo y modo sector, puede leer y escribir sectores absolutos y puede buscar y editar fácilmente tablas de particiones, tablas FAT, Zona ROOT y otros sectores importantes. Esto es más conveniente que DEBUG. Sin embargo, DISKEDIT puede no iniciarse en los casos en que ciertos sectores importantes estén dañados. El software DISKEDIT se puede encontrar en el famoso paquete de software NortonUtilities. El último DISKEDIT aparece en NU4.
NDD: una herramienta común de reparación de discos con estructura de archivos FAT es el famoso NORTON Disk Doctor, que puede reparar automáticamente la pérdida de partición y otras situaciones, y puede rescatar datos en sectores defectuosos de disquetes y forzar su lectura. y Mover a otros sectores vacíos. Espero que dejes de usar NORTONFORDOS7 u 8 NDD. Esta versión te traerá muchos problemas porque no admite particiones grandes, FAT32, nombres de archivos largos y otras tecnologías. Se recomienda utilizar NortonUtilities4 o una versión superior de NDD.EXE, que es una utilidad pura para DOS.
FDISK: FDISK es ciertamente un comando peligroso y mucha gente le tiene mucho miedo. De hecho, la operación del comando FDISK no afectará los datos del disco duro de ninguna partición. Su operación de configuración en la partición solo cambiará el área de datos de la tabla de particiones primaria.
En particular, el parámetro implícito /MBR extremadamente importante de FDISK puede reconstruir el área de código de la tabla de particiones primaria, borrar el virus del tipo de arranque primario, etc. Esta es una operación muy útil.
FDISK.EXE está en el directorio DOS de los sistemas inferiores a DOS 6.22, en el directorio WINDOWS/COMMAND de los sistemas WIN9X y también aparecerá en el disco de emergencia generado por WIN9X.
FORMATEAR: A los ojos de algunas personas, FORMATEAR es el comando más aterrador, pero no se restablece a cero en el disco duro. Vale la pena señalar que muchas herramientas de recuperación de archivos recomiendan FORMATEAR antes de la recuperación. Próxima partición para proteger a los hambrientos. En sistemas inferiores a DOS6.22, FORMAT.COM está en el directorio DOS, pero en sistemas WIN9X está en el directorio WINDOWS/COMMAND y también aparecerá en el disco de emergencia generado por WIN9X.
HD-COPY: una herramienta tradicional de COPIA de disquetes. Después de la versión 2.0, se ha agregado una función de lectura forzada, que puede leer el contenido de algunos sectores dañados.
SYS: El comando SYS es la forma más sencilla de reconstruir el área de BOOT. También puede detectar y eliminar virus del área de BOOT. SYS.COM se encuentra en el directorio DOS en sistemas anteriores a DOS 6.22. Se encuentra en el directorio WINDOWS\COMMAND en sistemas WIN9X. También se encuentra en el disco de emergencia generado por WIN9X.
Es una pena que hasta ahora no haya encontrado una mejor utilidad de copia de seguridad a nivel de sector. Una vez escribí un HD-MIRROR, pero debido a demasiados errores, no estaba disponible para descargar en el. La versión que proporcioné para descargar se detuvo al día siguiente. Además, noz, el autor de fixc, también escribió un clone.exe, pero desafortunadamente solo funciona en el mismo disco duro. También pensé que GHOST podría hacer esto, pero de hecho, todavía no puedes esperar que haga una copia de seguridad de un disco duro profundamente dañado. Si el disco duro se puede comprimir y hacer una copia de seguridad de manera efectiva en un archivo de imagen mediante un mecanismo sector por sector (en lugar de un mecanismo de archivo), entonces nuestro trabajo de recuperación tendrá más garantías y margen de maniobra. Podemos ser más audaces en nuestros intentos de recuperación.
3. Algunas herramientas de procesamiento automático o paquetes de software
La primera son algunas herramientas de reparación gratuitas en China
FIXMBR: una herramienta para reparar MBR escrita por el Sr. He Gongdao, adecuado para lidiar con la pérdida de particiones lógicas, tiene algunos parámetros opcionales, admite FAT32, FAT16, no admite NTFS, LINUX y otras particiones, y admite discos duros superiores a 8.4G. Las particiones lógicas extendidas después de ataques CIH se pueden reparar.
VRVFIX: la herramienta de reparación de discos duros **** lanzada por Beixinyuan Company es adecuada para procesar particiones lógicas perdidas y el procesamiento es básicamente relativamente preciso. Admite FAT32, FAT16, no admite NTFS, LINUX y otras particiones. Al mismo tiempo, no se admiten discos duros superiores a 8,4G.
FIXC: la primera herramienta en China que puede reparar parte de la unidad C dañada por CIH. El autor es NOZ. La nueva versión también agrega la función de reparar la información de la partición. soporte limitado para NTFS y no es compatible con el disco duro 8.4G anterior. La versión actual es relativamente completa.
FIXHDPT: Herramienta de reparación de información de particiones de TBSOFT Studio. Es compatible con FAT32, FAT16, no es compatible con NTFS ni LINUX y no admite discos duros superiores a 8,4G. Es una de las herramientas con una larga trayectoria.
RE (ReapirEasy): una herramienta de reparación de tablas de particiones escrita por el autor desde el principio. Es compatible con FAT32 y FAT16, tiene soporte limitado para NTFS, no admite discos duros superiores a 8,4G y es incompatible con algunos. BIOS. Su nivel general es más bajo que el de las herramientas enumeradas anteriormente. Ahora algunas herramientas de mantenimiento de sistemas extranjeros han alcanzado un nivel muy poderoso.
NortonUtilities: La herramienta de mantenimiento del sistema más antigua. No sólo puedes recuperar datos, sino que también puedes acelerar tu sistema y corregir errores de memoria. Las últimas versiones son actualmente NU4.5FOR9X, NU2FORNT, etc.
Tiramint: Una de las mejores herramientas de recuperación ante desastres, disponible en 4 versiones: NTFS, FAT32, FAT16 y NOVELL. Genere disquetes de rescate, que se pueden utilizar para la recuperación cruzada de discos profundamente dañados.
4. Operaciones básicas de uso común
①Lea el registro de arranque maestro: este es uno de los procedimientos más complicados en la recuperación de datos a nivel del sistema. Ejemplo:
DEBUG
-a100; compilar desde aquí
126C:0100movax,201; leer un sector
126C: 0103movbx, 300; dirección de envío 300
126C: 0106movcx,1; borde 0, sector 1
126C:0109movdx,80; 80H es el disco duro, cabeza 0
126C:010Cint13
126C:010Eint3
126C:010F
-g=100; ejecutar
AX=0050BX=0300CX = 0001DX=0080SP=FFEEBP=0000SI=0000DI=0000DS=126CES=126CSS=126CCS=126CIP=010ENVUPEIPLNZNAPONC
Aquí se utiliza la interrupción de E/S 13. El significado del registro relevante es ah, lo que significa la operación. modo, y 02H, que significa modo de operación lectura, 03H significa escritura, al se usa para enviar el número de sectores, bx se usa para enviar la dirección de compensación de memoria del sector a cargar, cx se usa para enviar qué sector. Para empezar, generalmente confiamos en cambiar CX para leer y escribir diferentes discos lógicos y sectores lógicos. dx envía el número de símbolos y cabezas del disco. INT 3 es una interrupción de punto de interrupción, que detiene el programa.
② Mostrar el contenido del sector de arranque: Este no es el propósito de leer el sector en una determinada dirección de memoria. En su lugar, desea ver su contenido. Puede ver fácilmente el contenido de la unidad de memoria mediante el comando D en DEBUG. Siguiendo con el ejemplo anterior, si queremos ver el contenido del sector de arranque maestro, cárguelo en 300. -d300l200 se puede ver. La imagen del sector de arranque es similar a la siguiente. Puede ver intuitivamente el área de código y el área de datos que mencionamos anteriormente.
Por favor analice si es normal
126C:030033C08ED0BC007CFB-5007501FFCBE1B7C3....|.p.p....|
126C:0310BF1B065057B9E501-F3A4CBBEBE07B104... .PW.... .......
126C:0320382C7C09751583C6-10E2F5CD188B148B8,|.u.....
126C:0330EE83C61049741638-2C74F6BE10074EAC... . .. .N.
126C:03403C0074FABB0700B4-0ECD10EBF2894625<.t.......... .F
126C:0350968A4604B4063C0E-7411B40B3C0C7405 ..F... <.t... <.t.
126C:03603AC4752B40C64625-067524BBAA5550B4:.u @.F.u$ .UP.
126C:037041CD1358721681FB- 55AA7510F6C10174A.. -C983FF057 F038B4E. ..... .3...... .N
126C:03A025034E02CD137229-BE4607813EFE7D55.N....r).F.. >.}U
126C:03B0AA745A83EF057FDA-85F67583BE2707EB.tZ... .u...' ...
126C:03C08A98915299034608-13560AE812005AEB....r...f.. .v....Z.
126C:03D0D54F74E433C0CD13-EBB8000000000000.Ot.3.........
126C:03E05633F65656525006-5351BE1000568BF4V3.VVRP SQ.....V..
126C:03F05052B800428A5624-CD135A588D641072PR..B.V$.ZX.d.r
126C:04000A4075014280C702-E2F7F85EC3EB7449.@u.B...... ^. >
126C:04106E76616C69642070-6172746974696F6Envalidpartition
126C:0420207461626C650045-72726F72206C6F61table.Errorloa
126C :043064696E6 7206F7065-726174696E672073dingoperatings
126C :0440797374656D004D69-73696E67206F70ystem.Missingop
126C:045065726174696E6720-73797374656D0000sistema de alimentación.
126C:0460000000000000 000
0-0000000000000000000 ................
126C: 04700000000000000000000000000000 ... >
126C:04800000008BFC1E578B-F5CB00000000000000...W..... ....
126C:04900000000000000000-00000000000000000... ...
126C:04A000000000000000000-0000000000000000............
126C:04B00000000000000000-0000000000008001.... .........
126C:04C001000BFEFFC3F00-00007E86BB000000......?...~.....
126C:04D081FD0FFEFFFFBD86-BB00E0A97500000000. .......... .u...
126C:04E00000000000000000-0000000000000000........ .
126C:04F00000000000000000-00000000005500AA....... .
3 Desmonte el contenido del área de inicio principal: determine si el área de código en el MBR es normal para la situación básica del área de datos, podemos observarlo visualmente, pero para detectar la presencia de virus de arranque o código anormal en el área de arranque, es posible que debamos analizar las instrucciones en el área de código del MBR. . Por lo general, esto requiere desmontar el sector de arranque que se ha leído en la memoria. El desmontaje se completa mediante el comando U. Continúe con el ejemplo anterior:
-u300l15D; Desmonte el contenido del área de código del sector de arranque principal
126C:030033C0XORAX,AX
126C:03028ED0MOVSS,AX
.............
126C:045C65DB65
126C:045D6DDB6D
④ Escribir en la unidad de memoria En nuestro ejemplo anterior, el tipo de partición primaria 0B es FAT32. Suponiendo que el tipo es en realidad NTFS, ¿cómo debemos modificarlo? Dado que el desplazamiento del tipo de partición primaria es 4C3H, podemos usar el comando E para escribir en la unidad de memoria. En la tabla adjunta, podemos encontrar que el tipo NTFS es 07. Por lo tanto -e4c37 Para otro ejemplo, supongamos que queremos poner a cero la tabla de particiones no válidas, entonces deberíamos usar otro comando F, que puede usarse para llenar el rango de direcciones de memoria. La operación para borrar la tabla de particiones es -f4be4ff00. Las dos operaciones siguientes también son comunes.
Restablecer la marca 80, -e4be80
Restablecer la marca 55AA, -f4ff4fe55aa
No olvides que solo se han cambiado los datos de la memoria en Esta vez, todavía no escribe en el disco duro. Por lo tanto, debe utilizar una interrupción int13 para escribir la sobrescritura en el disco duro. Continuando con el ejemplo anterior,
-a100
126C:0100movax,301; Escribir operación en el sector a
-g=100; p>De hecho, equivale a modificar el programa que acabamos de ingresar para leer el sector de arranque maestro, de modo que el programa se convierta en.
126C:0100movx,301; Operación de escritura en un sector
126C:0103movbx,300; Desde la dirección de memoria 300
126C:0106movcx,1; , sector 1
126C:0109movdx,80; 80H es el disco duro, el cabezal es 0
126C:010Cint13
126C: 010Eint3
p >⑤Lectura y escritura de contenido absoluto del disco
Operaciones similares son más comunes al reparar discos duros estructurados FAT32 dañados por CIH. La idea básica de la recuperación es sobrescribir con una segunda tabla FAT. Primera tabla FAT, hablaremos de ello más adelante. La primera tabla FAT es la segunda tabla FAT y la segunda tabla FAT es la primera tabla FAT. Luego, debe leer el contenido de la segunda tabla FAT y volver a escribirlo en la primera tabla FAT. En términos generales, es muy conveniente leer y escribir DISKEDIT de una gran cantidad de sectores continuamente. Si usa DEBUG como subrutina para escribir, el truco principal del programa es usar la lectura absoluta del disco de int25 para interrumpir la lectura. contenido, y la lectura absoluta del disco de int26 Escritura de disco se utiliza para escribir contenido.
5. Requisitos previos para la recuperación de datos
Algunas personas piensan que este tema es bastante extraño, pero la recuperación de datos, como proceso de reproducción de datos, debe resolver dos problemas. Uno es dónde recuperarlos. , el segundo es la cuestión de cómo recuperarse. Al resolver estos dos problemas, hemos comprendido toda la línea de pensamiento sobre la recuperación de datos. Y esta parte es la cuestión de dónde recuperarse.
①. La copia de seguridad eficaz y oportuna es la fuente más confiable de recuperación de datos. Hoy en día, cuando muchas personas defienden la copia de seguridad como la segunda prioridad, me temo que nadie lo dudará. Algunos mecanismos de respaldo están integrados en el sistema, como dos copias de una tabla FAT.
② La validez real de los datos es la clave para juzgar. Para nosotros, el fenómeno de que no se puede iniciar el disco duro, no se puede encontrar el archivo, no se puede abrir el archivo, etc. en realidad equivalente a la pérdida de datos. Porque los datos en este momento a menudo solo se pierden lógicamente desde la perspectiva del sistema operativo, pero desde la perspectiva del sector físico, todavía existen o existen parcialmente. El ejemplo más obvio es la eliminación de archivos. De hecho, este es solo el primer byte del archivo, que cambia a 0E. En este momento, el cuerpo principal del archivo todavía existe.
3. Análisis de la reversibilidad del proceso de daño de datos: Sólo existen dos tipos de cambios de datos, reemplazo y transformación, el primero es irreversible, mientras que el segundo es reversible. Tomemos como ejemplo el software antivirus. Para la mayoría de los virus de tipo archivo, los que infectan se añaden en lugar de reemplazarse. El proceso antivirus ideal es el proceso inverso a la infección. Este tipo de análisis también es común con información importante que ha sido ocultada y movida o cifrada, pero el análisis es más complejo.
4. Si los datos en sí son información estándar: parte de la información es en realidad universal o localizada, por lo que no es necesario considerar cómo rescatarla de la máquina local. Siempre que sea la misma o similar versión del sistema, como área de BOOT, sectores ocultos, archivos DLL de WINDOWS, etc. El ejemplo clásico es el área de código de la tabla de particiones, que es un fragmento de código estándar que realmente se encuentra en su programa FDISK y que puede extraer usando DEBUG.
5. Si los datos en sí pueden regenerarse estadísticamente a partir de otra información: Aunque parte de la información se pierda y no tenga respaldo. Pero en realidad se puede derivar indirectamente de otros datos. La más típica es la información de la partición en la tabla de particiones primaria. Incluso si la borras, no tengas miedo, porque puedes calcular la información de regeneración de varias de tus particiones.
6. Integridad de la destrucción: de hecho, FDISK y FORMAT no destruirán completamente los datos. Generalmente, solo las operaciones de baja cobertura sectorial y de formato destruirán por completo los datos. Pero a veces, el proceso de destrucción o mal funcionamiento no se puede completar debido a una terminación humana, un accidente, etc. El ejemplo más obvio es el virus CIH. Dado que CIH cubre sectores en unidades de 1024 bytes, lo que por supuesto es un proceso irreversible, inicialmente todos creímos que los datos destruidos serían difíciles de recuperar a menos que se terminaran manualmente. De hecho, cuando el virus sobrescribe ciertos sectores, puede entrar en conflicto con el sistema 9X, provocando que el sistema falle y dejando los datos desprotegidos.
Capítulo 3, Estrategias básicas para la recuperación de datos
1. Problemas de hardware o medios
① Sectores defectuosos del disco duro: el disco duro no puede autoverificarse. es una falla de hardware, que se puede dividir principalmente en falla del controlador del disco duro (incluido el puerto IDE) y falla del propio disco duro. Si el problema está en la placa base, entonces no debería haber ningún impacto en sus datos. Si está en el disco duro, no es necesariamente imposible de solucionar. Las posibles partes del disco duro que pueden fallar son el circuito de control, el motor y el cabezal magnético, y el plato. Si se trata de un problema con el circuito de control, los datos generalmente se pueden leer después de repararlo. Sin embargo, si el motor, el cabezal y el plato están defectuosos, incluso si se reparan y restauran a la fábrica original, la recuperación de datos será básicamente inoperable.
② El disquete está dañado: cuando los datos del disquete están dañados, hay varias formas de solucionarlo. Una es utilizar NDD para repararlo. MOVER a los sectores en blanco. Esto significa que si su disco está lleno, no podrá funcionar. También puede usar HDCOPY2.0 o superior para LEER el disquete, lo que también realizará una lectura segura, de modo que los datos leídos en el búfer estén intactos y pueda simplemente escribirlos en el disco nuevamente. Por supuesto, estos métodos dependen del grado de sectores defectuosos en el disco. Si la pista 0 está dañada, los datos no se pueden rescatar. Antes, los datos posteriores se podían leer mediante la lectura del sector, pero en circunstancias normales, HDCOPY aún se puede usar para experimentar.
2. Problemas del sistema
① Cuando el disco duro falla, a menudo tenemos que lidiar con algunos mensajes de aviso. Necesitamos comprender el significado de sus mensajes típicos y tener en cuenta que estos motivos solo analizan daños lógicos en lugar de sectores físicos defectuosos del disco duro.
Información solicitada
Posibles motivos
Procesamiento de referencia
InvalidPartitionTable
1BE, 1CE en información de partición, 1DE no coincide, solo uno es 80, los otros dos son 0
Use herramientas para configurar, la operación se introdujo antes.
Error al cargar el sistema operativo
El programa de arranque principal no pudo leer el área de BOOT 5 veces.
Reconstrucción del área de ARRANQUE
MissingOperatingSystem
Al área de inicio de DOS le falta la marca 55AA
Utilice la configuración de herramientas para leer/escribir el área de inicio principal antes de que el DX=80 del programa se cambie a 180
Non-SystemDiskorDiskError
El nombre del archivo del sistema en el área de ARRANQUE es diferente de los dos primeros nombres de archivo en el directorio raíz
El comando SYS vuelve a entregar el sistema,
DiskBootFailure
ReadSystemFileError
InvalidDriverSpecifcationg
Si ocurre lo siguiente al intentar El mensaje para cambiar a una partición lógica que sí existe indica que el registro de partición en la tabla de particiones primaria está dañado.
Reconstruya la tabla de particiones partición por partición o utilice herramientas de reparación automática para repararla. Cabe señalar que la pérdida de partición es una de las fallas más comunes. No se preocupe en este momento. En general, no hay ningún problema con los datos en este momento. Puede elegir las herramientas de reparación automática de particiones que presenté anteriormente para manejarlo. La mayoría de ellas solo reescriben el área de datos de la tabla de particiones primaria y no afectarán sus otros datos. Es importante tener en cuenta que algunas de estas herramientas no son compatibles con discos duros de 8,4G y algunas están relacionadas con el reconocimiento del disco duro por parte del BIOS. Si no se puede implementar en una máquina, puede probarlo en una máquina con un BIOS diferente.
Badormissingcommandinterpreter
Esto significa que no se puede encontrar COMMAND.com o que el archivo COMMAND está dañado.
Si copiaste el archivo COMMAND y todavía hace esto, generalmente está infectado con algún tipo de virus.
Unidad de lectura de tipo de medio no válida
X, ¿Abortar, reintentar, fallar?
El disco no tiene formato avanzado o la tabla de parámetros de E/S del área de ARRANQUE está dañada .
Hay muchas situaciones aquí y es más complicado manejarlo manualmente. Es particularmente importante señalar que DISKEDIT puede no funcionar en este momento y se recomienda utilizar herramientas para repararlo.
La versión de DOS es incorrecta
Puede ser que la versión del archivo no esté unificada. Para 9X, hay 95, 95osr/2, 98, 98oem/2, etc. No cometa ningún error al reiniciar SYS.
Reinicie el sistema SYS utilizando la versión correcta del disco de arranque.
Además, para versiones anteriores de la máquina, hay algunos mensajes, como 1071 y notfoundrombasic, ROMBASICOK, etc., estos mensajes han desaparecido en la máquina actual. Además, cuando el área de código se destruye por completo, el mensaje del sistema sobre sin sistema proviene del BIOS, que está relacionado con el tipo de BIOS. Además, el área de código de reconstrucción FDISK/MBR también es un método que utilizamos con frecuencia. Permítanme presentarles una situación más extrema, es decir, la autoprueba del disco duro es normal, pero ni el disquete ni el disco duro se pueden iniciar normalmente. Esto puede deberse a que un virus o programa malicioso aprovecha la función de recuperación. la tabla de particiones en DOS3 o superior La tabla de particiones se establece en un bucle infinito. Provoca que se inicie un bucle infinito. El programa de modificación de DOS6.22k que ha estado circulando en Internet en realidad modifica el IO.SYS del MS-DOS6.22 occidental, reemplazando C20306E80A00077203: C20390E80A00728090, que puede ser similar a que el disco duro se bloquee al inicio.
②. No se puede ingresar a WIN9X o no funciona correctamente: Lo siguiente solo analiza posibles fallas de software y no considera fallas de hardware.
La situación de bloqueo antes de ingresar a la interfaz gráfica es más complicada. Es posible que se carguen algunos controladores. Puede configurar la operación paso a paso en el menú de activación de STARTMSWINDOWS y F8 para ver qué paso causa el sistema. estrellarse. Luego elimínelo de CONFIG o SYSTEM.INI.
Bloqueo después de ingresar a la interfaz gráfica: Generalmente, esto está relacionado con que el programa cargado al inicio ingresa al modo seguro (en este momento, el programa que se ejecuta automáticamente no se cargará), y el HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\ en el registro CurrentVersion\Run analiza las claves en CurrentVersion\Run* y el registro de los programas cargados por grupos de inicio. Elimínelos si es necesario.
Se muestra el error IEXPLORE.EXE y no se puede realizar ninguna operación. Puede ser que la biblioteca de enlaces dinámicos en el sistema esté dañada, cubriendo la instalación de WIN9X, o que la biblioteca de enlaces esté copiada desde otra computadora. dañado. (Generalmente es difícil determinar qué biblioteca está dañada)
Mensajes de error frecuentes: generalmente causados por memoria virtual insuficiente, depende de si el espacio restante en la unidad C es demasiado pequeño o si hay demasiado. muchas aplicaciones y ventanas abiertas.
2. Fallo total del disco y pérdida de partición
Primero reconstruya el área del código MBR y luego modifique la tabla de particiones según la situación. La idea básica de corregir la tabla de particiones es encontrar los sectores que terminan en 55AA y luego juzgar si la tabla de particiones se ha vuelto a cambiar en función de la estructura del sector y si ha regresado a FAT. Finalmente, se calcula y se completa. En. Dado que requiere cálculo, el proceso es engorroso, por lo que no es necesario hacerlo. Se ha presentado en detalle y espero que utilice las herramientas presentadas anteriormente, como el procesamiento NDD. Si el archivo aún no se puede leer, considere usar una herramienta como TIRAMINT para repararlo. Si está recuperando un archivo específico en caso de una corrupción completa de la tabla FAT, puede usar DISKEDIT o DEBUG para buscar información conocida. Por ejemplo, si el archivo es de texto y contiene "software dog", entonces yo