我們就從硬盤的數據結構談起吧……
1、硬盤數據結構
剛出廠一塊硬盤,我們是沒有辦法使用的,你需要將它分區、格式化,然後再安裝上操作系統纔可以使用。就拿我們一直沿用到現在的Win9x/Me系列來說,我們一般要將硬盤分成主引導扇區、操作系統引導扇區、FAT、DIR和Data等五部分(其中只有主引導扇區是唯一的,其它的隨你的分區數的增加而增加)。
主引導扇區:主引導扇區位於整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區爲引導分區,並在程序結束時把該分區的啓動程序(也就是操作系統引導扇區)調入內存加以執行。至於分區表,很多人都知道,以80H或00H爲開始標誌,以55AAH爲結束標誌,共64字節,位於本扇區的最末端。值得一提的是,MBR是由分區程序(例如DOS的Fdisk.exe)產生的,不同的操作系統可能這個扇區是不盡相同。如果你有這個意向也可以自己去編寫一個,只要它能完成前述的任務即可,這也是爲什麼能實現多系統啓動的原因(說句題外話:正因爲這個主引導記錄容易編寫,所以纔出現了很多的引導區病毒)。
操作系統引導扇區: OBR(OS Boot Record)即操作系統引導扇區,通常位於硬盤的0磁道1柱面1扇區(這是對於DOS來說的,對於那些以多重引導方式啓動的系統則位於相應的主分區/擴展分區的第一個扇區),是操作系統可直接訪問的第一個扇區,它也包括一個引導程序和一個被稱爲BPB(BIOS Parameter Block)的本分區參數記錄表。其實每個邏輯分區都有一個OBR,其參數視分區的大小、操作系統的類別而有所不同。引導程序的主要任務是判斷本分區根目錄前兩個文件是否爲操作系統的引導文件(例如MSDOS或者起源於MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一個文件讀入內存,並把控制權交予該文件。BPB參數塊記錄着本分區的起始扇區、結束扇區、文件存儲格式、硬盤介質描述符、根目錄大小、FAT個數、分配單元(Allocation Unit,以前也稱之爲簇)的大小等重要參數。OBR由高級格式化程序產生(例如DOS 的Format.com)。
文件分配表:
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系統的文件尋址系統,爲了數據安全起見,FAT一般做兩個,第二FAT爲第一FAT的備份, FAT區緊接在OBR之後,其大小由本分區的大小及文件分配單元的大小決定。
FAT的格式歷來有很多選擇,Microsoft 的DOS及Windows採用我們所熟悉的FAT12、FAT16和FAT32格式,但除此以外並非沒有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目錄區:
DIR是Directory即根目錄區的簡寫,DIR緊接在第二FAT表之後,只有FAT還不能定位文件在磁盤中的位置,FAT還必須和DIR配合才能準確定位文件的位置。DIR記錄着每個文件(目錄)的起始單元(這是最重要的)、文件的屬性等。定位文件位置時,操作系統根據DIR中的起始單元,結合FAT表就可以知道文件在磁盤的具體位置及大小了。在DIR區之後,纔是真正意義上的數據存儲區,即DATA區。
數據區:
DATA雖然佔據了硬盤的絕大部分空間,但沒有了前面的各部分,它對於我們來說,也只能是一些枯燥的二進制代碼,沒有任何意義。在這裏有一點要說明的是,我們通常所說的格式化程序(指高級格式化,例如DOS下的Format程序),並沒有把DATA區的數據清除,只是重寫了FAT表而已,至於分區硬盤,也只是修改了MBR和OBR,絕大部分的DATA區的數據並沒有被改變,這也是許多硬盤數據能夠得以修復的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破壞的話,也足夠咱們那些所謂的DIY老鳥們忙乎半天了……需要提醒大家的是,如果你經常整理磁盤,那麼你的數據區的數據可能是連續的,這樣即使MBR/FAT/DIR全部壞了,我們也可以使用磁盤編輯軟件(比如DOS下的DiskEdit),只要找到一個文件的起始保存位置,那麼這個文件就有可能被恢復(當然了,這需要一個前提,那就是你沒有覆蓋這個文件……)。
2、硬盤分區方式
我們平時說到的分區概念,不外乎三種:主分區、擴展分區和邏輯分區。
主分區是一個比較單純的分區,通常位於硬盤的最前面一塊區域中,構成邏輯C磁盤。在主分區中,不允許再建立其它邏輯磁盤。
擴展分區的概念則比較複雜,也是造成分區和邏輯磁盤混淆的主要原因。由於硬盤僅僅爲分區表保留了64個字節的存儲空間,而每個分區的參數佔據16個字節,故主引導扇區中總計可以存儲4個分區的數據。操作系統只允許存儲4個分區的數據,如果說邏輯磁盤就是分區,則系統最多隻允許4個邏輯磁盤。對於具體的應用,4個邏輯磁盤往往不能滿足實際需求。爲了建立更多的邏輯磁盤供操作系統使用,系統引入了擴展分區的概念。
所謂擴展分區,嚴格地講它不是一個實際意義的分區,它僅僅是一個指向下一個分區的指針,這種指針結構將形成一個單向鏈表。這樣在主引導扇區中除了主分區外,僅需要存儲一個被稱爲擴展分區的分區數據,通過這個擴展分區的數據可以找到下一個分區(實際上也就是下一個邏輯磁盤)的起始位置,以此起始位置類推可以找到所有的分區。無論系統中建立多少個邏輯磁盤,在主引導扇區中通過一個擴展分區的參數就可以逐個找到每一個邏輯磁盤。
需要特別注意的是,由於主分區之後的各個分區是通過一種單向鏈表的結構來實現鏈接的,因此,若單向鏈表發生問題,將導致邏輯磁盤的丟失。
3、數據存儲原理
既然要進行數據的恢復,當然數據的存儲原理我們不能不提,在這之中,我們還要介紹一下數據的刪除和硬盤的格式化相關問題……文件的讀取操作系統從目錄區中讀取文件信息(包括文件名、後綴名、文件大小、修改日期和文件在數據區保存的第一個簇的簇號),我們這裏假設第一個簇號是0023。操作系統從0023簇讀取相應的數據,然後再找到FAT的0023單元,如果內容是文件結束標誌(FF),則表示文件結束,否則內容保存數據的下一個簇的簇號,這樣重複下去直到遇到文件結束標誌。
文件的寫入
當我們要保存文件時,操作系統首先在DIR區中找到空區寫入文件名、大小和創建時間等相應信息,然後在Data區找到閒置空間將文件保存,並將Data區的第一個簇寫入DIR區,其餘的動作和上邊的讀取動作差不多。
文件的刪除
看了前面的文件的讀取和寫入,你可能沒有往下邊繼續看的信心了,不過放心,Win9x的文件刪除工作卻是很簡單的,簡單到只在目錄區做了一點小改動——將目錄區的文件的第一個字符改成了E5就表示將改文件刪除了。
Fdisk和Format的一點小說明
和文件的刪除類似,利用Fdisk刪除再建立分區和利用Format格式化邏輯磁盤(假設你格式化的時候並沒有使用/U這個無條件格式化參數)都沒有將數據從DATA區直接刪除,前者只是改變了分區表,後者只是修改了FAT表,因此被誤刪除的分區和誤格式化的硬盤完全有可能恢復……
系統啓動流程
各種不同的操作系統啓動流程不盡相同,我們這裏以Win9x/DOS的啓動流程爲例。
第一階段:系統加電自檢POST過程。POST是(Power On Self Test)的縮寫,也就是加電自檢的意思,微機執行內存FFFF0H處的程序(這裏是一段固化的ROM程序),對系統的硬件(包括內存)進行檢查。
第二階段:讀取分區記錄和引導記錄。當微機檢查到硬件正常並與CMOS設置相符後,按照CMOS設置從相應設備啓動(我們這裏假設從硬盤啓動),讀取硬盤的分區記錄(DPT)和主引導記錄(MBR)。
第三階段:讀取DOS引導記錄。微機正確讀取分區記錄和主引導記錄後,如果主引導記錄和分區表校驗正確,則執行主引導記錄並進一步讀取DOS引導記錄(位於每一個主分區的第一個扇區),然後執行該DOS引導記錄。
第四階段:裝載系統隱含文件。將DOS系統的隱含文件IO.SYS入內存,加載基本的文件系統FAT,這時候一般會出現Starting Windows 9x...的標誌,IO.SYS將MS.SYS讀入內存,並處理System.dat和User.dat文件,加載磁盤壓縮程序。
第五階段:實DOS模式配置。系統隱含文件裝載完成,微機將執行系統隱含文件,並執行系統配置文件(Config.sys),加載Config.sys中定義的各種驅動程序。
第六階段:調入命令解釋程序(Command.com)。系統裝載命令管理程序,以便對系統的各種操作命令進行協調管理(我們所使用的Dir、Copy等內部命令就是由Command.com提供的)。
第七階段:執行批處理文件(Autoexec.bat)。微機將一步一步地執行批處理文件中的各條命令。
第八階段:加載Win.com。Win.com負責將Windows下的各種驅動程序和啓動執行文件加以執行,至此啓動完畢。
數據恢復的基礎知識到此就給你介紹得差不多了。如果你領會了以上的這些知識,相信加上工具軟件的輔助,恢復你丟失的數據簡直是輕而易舉,這裏就不再多說,我們走入真正的實戰操作吧……
二、
硬盤數據恢復方案分析
難道在硬盤數據由於各種原因被破壞後,我們就只能……?
1、文件語刪除
A、症狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件後清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
B、解決方案
既然是最常見的數據損壞,當然也就是最容易恢復的,下面就根據不同的操作系統給出相應的解決方案。
1).Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復,這應該是大部分恢復類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅爲在Win9x/Me下恢復被誤刪除的文件——其實很多東西並不是一味求大求全就好,夠用已足夠,簡單就是美。
2).WinNT/2000下的解決方案
換種說法,也就是如何恢復在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它只能在WinNT/2000系統下使用(同時必須以Administrator用戶登錄系統),而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger只可以對格式化過的分區中的文件進行恢復,並不能恢復整個被格式化過的分區)。
C、不可恢復的情況
如果文件在刪除之後,其存儲的磁盤空間進行過寫操作,那在通常情況下恢復的機率爲0。因此,誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞、症狀現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啓動也無法找到硬盤),由此病毒破壞硬盤數據的症狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
2)、解決方案
由於病毒破壞硬盤數據的方法各異,恢復的方案就需要對症下藥。一般以常見的CIH爲例,因爲它最普遍,也最容易判斷(一般是在4月26日發作)。當用戶的硬盤數據一旦被CIH病毒破壞後,使用KV3000的F10功能,可修復的程度如下:
1.C盤容量爲2.1G以上,原FAT表是32位的,C分區的修復率爲98%,D、E、F等分區的修復率爲99%, 配合手工C、D、E、F等分區的修復率爲100%。
2.硬盤容量爲2.1G以下,原FAT表是16位的,C分區的修復率爲0%,D、E、F等分區的修復率爲99%,配合手工D、E、F盤的修復率爲100%。因爲原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來,如果原存放文件影像的簇是相連的,找回的文件就完整無損。但對於FAT16的C盤是不是中了CIH就沒救呢?你還是可以嘗試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,並重新構造主引導扇區。由於軟件只修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修復得不理想,請DiskEdit等工具進行手工修復)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
3)、不可恢復的情況
由於病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢復(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火牆絕對是有必要的)
2、 分區表破壞
分區表破壞是比較常遇到:
A、破壞原因及恢復可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1).個人誤操作刪除分區,只要沒有進行其它的操作完全可以恢復。
2).安裝多系統引導軟件或者採用第三方分區工具,有恢復的可能性。
3).病毒破壞,可以部分或者全部恢復。
4).利用Ghost克隆分區硬盤破壞,只可以部分恢復或者不能恢復(用Ghost的朋友要小心了)。
B、解決方案
在Norton Utility系列工具中,功能十分強大,可以恢復分區記錄、FAT表,需要注意的是它對硬盤的操作不是隻讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢復,Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……最專業的數據恢復公司出的軟件,當然很有專業風範,EasyRecovery支持的文件系統格式很多FAT、NTFS都支持,並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬盤意外被格式化都可安全的恢復,你所要做的就是將數據損壞硬盤掛到另外一臺電腦上,盡情恢復就是了,不過EasyRecovery對於中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。由出品PartitionMagic的PowerQuest公司所出的,硬盤資料復原工具。它是一套恢復硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出並恢復,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啓動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和系統配置文件的功能,能在任何時間恢復)
2、全盤崩潰和分區丟失
首先重建MBR代碼區,再根據情況修正分區表。修正分區表的基本思路是查找以55AA爲結束的扇區,再根據扇區結構和後面是否有FAT等情況判定是否爲分區表,最後計算填回主分區表,由於需要計算,過程比較煩瑣。如果文件仍然無法讀取,要考慮用Tiramint等工具進行修復。如果在FAT表徹底崩潰,恢復某個指定文件,可以用DiskEdit或Debug查找已知信息。比如文件爲文本,文件中包含“軟件狗”,那麼我們就要把它們轉換爲內碼C ED BC FE B9 B7進行查找。
3、文件丟失、誤格式化的情況
一般來說,刪除文件僅僅是把文件的首字節,改爲E5H,而並不破壞文件本身,因此可以恢復。但對不連續文件要恢復文件鏈,而由於手工交叉恢復對一般計算機用戶來說並不容易,這裏就就不講了,建議用工具處理,如果已經安裝了Norton Utilities,可以用它來查找。另外,RecoverNT等工具都是恢復的利器。但是應特別注意,千萬不要在發現文件丟失後,在本機安裝什麼恢復工具,你可能恰恰把文件覆蓋掉了。特別是如果你的文件在C盤,發現主要文件被你失手清掉了(比如你按SHIFT刪除),你應該馬上直接關閉電源,用軟盤啓動進行恢復或把硬盤串接到其它有恢復工具的機器處理。
4、文件損壞
一般的說,恢復損壞文件須要清楚地瞭解文件的結構,但這並不是很容易的事情,而這方面的工具也不多。不過,文件如果字節正常,不能正常打開往往是文件頭損壞。
5、硬盤被加密或變換
此時千萬不要進行FDISK/MBR,SYS等處理,否則數據再也無法找回,一定要反解加密算法,或找到被移走的重要扇區。對於那些加密硬盤數據的病毒,清除時一定要選擇能恢復加密數據的可靠殺毒軟件。
6、文件加密後密碼遺忘
對於很多字處理軟件的文件加密和ZIP等壓縮包的加密,你是不能靠加密逆過程來完成的,因爲那從理論上是異常困難的。目前有一些相關的軟件,他們的思想一般都是用一個大字典集中的數據循環用相同算法加密後與密碼的密文匹配,直到一致時則說明找到了密碼。你可以去尋找這些軟件,當然,有些軟件是有後門的,比如DOS 下的WPS,Ctrl+qiubojun就是通用密碼。Undiskp的作者馮志宏是解文件密碼的箇中高手,大家不妨去他的主頁看看。
7、系統用戶密碼遺忘的處理
最簡單的方法就是用軟盤啓動(NT的你也可以把盤掛接在其他NT上),找到支持該文件系統結構的軟件(比如針對NT的NTFSDOS),利用他把密碼文件清掉、或者是COPY出密碼檔案,用破解軟件套字典來處理。前者時間短但所有用戶信息丟失,後者時間長,但保全了所有用戶信息。對UNIX系統,建議你一定先做一張應急盤。
二、數據備份介紹
雖然數據恢復技術可能將你的損失降到最低,但是,誰願意在惶恐不安中,邊祈禱邊按下各類數據恢復軟件的“Recover”按鈕?也沒有人喜歡面對滿屏的16進制代碼,帶着僥倖的心理調整硬盤分區表Data區的信息;所以,最好的數據保全方法應該是防患於未然——備份!
雖然,備份可以說是一種悲觀的做法,可一旦不可預見的問題發生,備份下來的資料也許是你唯一的救命稻草。
1、麼東西最該備份
決定如何備份前,應先考慮備份什麼。硬盤裏有三種東西:數據、應用程序和操作系統。你可備份硬盤中的所有東西,也可只備份數據。進行完整的備份是最簡單的方法,至少從恢復的角度看是這樣。如果整個硬盤完全損壞,你不需要從頭重裝操作系統和應用程序;而是很快就可恢復運行。但是反過來,進行完整備份花的時間更長,要用到更多帶有大容量存儲空間的移動設備——即所謂外掛驅動器,如CD-R或Zip驅動器。另一個方法是隻備份最重要的東西:數據。你不能很輕易地替換文檔、工作表或數據庫。備份所有數據的最簡單的方法是把所有數據保存到一個地方。你還應備份其它的重要文件,比如那些含有你所有設置的文件,包括瀏覽器的書籤(收藏夾)、cookie(含有密碼)、地址簿、配置設置、數據項與報告表、模板、宏等。Windows 2000把這些文件都放到一個名叫“Documents And Settings”的新文件夾中,所以找起來很方便。該文件夾中不僅包括My Documents文件夾,還包括了部分關於配置設置、收藏夾和cookie的註冊表信息。在Windows 95或98中,這些文件分佈在多個Windows文件夾中,因此必須備份所有文件夾,以防遺漏。
2、備份到哪裏
對於一般的個人用戶,你當然可以將數據備份在本地硬盤的其它分區中;但如果不是實在別無選擇,請不要以爲將重要數據備份到本地硬盤的其它分區上就是安全的,各種意外錯誤或是病毒、***都很容易將你的整個硬盤數據毀於一旦。所以,我們的建議是將重要數據備份到本地硬盤以外的其它設備,如插拔式外部存儲設備(如Zip、Jaz驅動器或USB/1394接口的活動硬盤)等、CD-R/RW或者網絡上的其它硬盤。
硬盤數據恢復實例全解 之一
硬盤數據恢復實例全解 之一
難道在硬盤數據由於各種原因被破壞後,我們就只能自怨自艾?
這篇實例全解,就是希望在不幸的情況發生的時候,讀者能夠快速找到對應的解決方案,不至於讓自己辛勤勞動成果白費。
當然,我們最大的期望還是——你永遠不要用到下面的方法!因爲再完備的事後解決方案,也不能保證所有數據的完好無缺。而要真正做到萬無一失,更重要的工作還在於防患於未然。
文件被刪除
一、症狀
這可能是最簡單同時也是最常見的數據損壞,直接的表述就是一般刪除文件後清空了回收站,或按住Shift鍵刪除,要不然就是在“回收站”的“屬性”中勾選了“刪除時不將文件移入回收站,而是徹底刪除”。
二、解決方案
既然是最常見的數據損壞,當然也就是最容易恢復的,下面就根據不同的操作系統給出相應的解決方案。
1.Win9x/Me下的解決方案
也就是FAT16/32分區下的文件誤刪除恢復,這應該是大部分恢復類軟件的基本功能;而我們拿來作例子的軟件Recover4all,所提供的功能僅爲在Win9x/Me下恢復被誤刪除的文件——其實很多東西並不是一味求大求全就好,夠用已足夠,簡單就是美。
廢話少說,我們需要先從Recover4all的下載R4a.exe,這是一個自解壓文件,你可以把其中的文件解壓到軟盤或硬盤的一個目錄下(默認就是解壓到軟盤)。運行其中的rec4all.exe,會看見一個註冊窗口,點擊其中“To star the progam click”的按鈕就能夠進行試用(未註冊版本只能恢復10KB以內的文件)。程序的主窗口下圖所示,這是一個類似於“資源管理器”的窗口;你可以通過點擊主菜單下方的盤符按鈕來掃描相應分區下的被刪除文件,然後在右邊的窗口中選擇需要恢復的文件,再點擊主菜單下方的“Recover”按鈕,並在新彈出的窗口中選擇恢復文件的存放位置即可——Win9x/Me下的誤刪除文件恢復就這麼簡單。
硬盤數據恢復實例全解 之二
2.WinNT/2000下的解決方案
說法,也就是如何恢復在NTFS分區下被誤刪除的文件。對於這種相對簡單的需求,File Scavenger完全就可以勝任。當然,File Scavenger是很具有針對性的——它只能在WinNT/2000系統下使用(同時必須以Administrator用戶登錄系統),而且只對NTFS格式的分區有效。不過它支持壓縮過的NTFS分區或文件夾中文件的恢復,並對格式化過的NTFS分區中的文件也有效(注意:File Scavenger只可以對格式化過的分區中的文件進行恢復,並不能恢復整個被格式化過的分區)。
File Scavenger目前有兩種版本:硬盤安裝版和軟盤版。硬盤版的安裝和一般軟件類似,唯一需要注意的是——使用File Scavenger恢復文件的最安全方法就是在文件已經被刪除之後安裝File Scavenger(當然你不要將軟件安裝在刪除文件所在的分區)。因爲File Scavenger的功能比較單一,其執行文件加上所需的庫文件一張1.44MB的軟盤也可以裝下,所以軟盤版也許是大家使用得比較多的(你要把軟盤版直接放在硬盤的一個目錄下也照常可以使用)。下面的實例,我們就用軟盤版來說明。
一個非重要的文件Veryimportant.txt被誤刪除且清空了回收站;還好,你看過本篇“實例分析”而且也在軟盤或硬盤上準備好了File Scavenger。OK,現在你運行其中的filescav.exe,你將會看見如下圖的窗口。注意:其中的“搜索條件”可有多種格式(例如,*.doc、*、\data\*.txt等),根據你自己的需要填寫最方便查找的;Exhaustive Sear複選框選擇後會讓你指定搜尋分區的簇大小以及搜索簇的範圍,而指定之後File Scavenger會搜尋並顯示所有存在的文件名稱,不管是被刪除的還是沒有,因此沒有特殊需要還是不用爲好;在搜索結果窗口中可以通過點擊“Filename”、“Size”、“Modified”等來爲搜索結果排序,以方便尋找。
現在我們已經找到了Veryimportant.txt,選擇它並點擊“Recover”按鈕,如果文件能夠被恢復,你就可以在先前指定的恢復文件存儲路徑中找到它(如果你是第一次使用File Scavenger,之前還會有一個窗口提醒你註冊,如果不註冊,你將只能恢復4KB以內的文件)。現在,還有什麼可擔心的?
三、不可恢復的情況
如果文件在刪除之後,其存儲的磁盤空間進行過寫操作,那在通常情況下恢復的機率爲0。因此,誤刪除文件可以恢復的重要前提就是不要在刪除文件所在的分區進行寫操作。
病毒破壞
一、症狀
現在使用電腦的人基本都是談“毒”色變,病毒帶來的數據破壞往往不可預見(包括分區表破壞、數據覆蓋等;例如CIH病毒破壞的硬盤,其分區表已被徹底改寫,用A盤啓動也無法找到硬盤),由此病毒破壞硬盤數據的症狀也不好描述,基本上大部分的數據損壞情況都有可能是病毒引起的,所以最穩妥的方法還是安裝一個優秀的病毒防火牆。
硬盤數據恢復實例全解 之三
二、解決方案
由於病毒破壞硬盤數據的方法各異,恢復的方案就需要對症下藥。這裏就以常見的CIH爲例,因爲它最普遍,也最容易判斷(一般是在4月26日發作)。
當用戶的硬盤數據一旦被CIH病毒破壞後,使用KV3000的F10功能,可修復的程度如下:
1.C盤容量爲2.1G以上, 原FAT表是32位的,C分區的修復率爲98%,D、E、F等分區的修復率爲99%, 配合手工C、D、E、F等分區的修復率爲100%。
2.硬盤容量爲2.1G以下,原FAT表是16位的,C分區的修復率爲0%,D、E、F等分區的修復率爲99%, 配合手工D、E、F盤的修復率爲100%。
因爲原C盤是16位的短FAT表,所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。 KV3000可以把C盤找回來,雖然根目錄的文件名字已被病毒亂碼覆蓋看不到了,但文件的內容影像還存儲在C盤內的某些扇區上。推薦用KV3000找回C盤,再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影像找回來(需要了解這個軟件的朋友可以訪問Ontrack公司的主頁,是不是在這個網站上找不到有關TIRAMISU的內容?呵呵,其實現在TIRAMISU已經被整合到Ontrack公司的旗艦產品——EasyRecovery中。相關的詳細介紹可以參照本文的下一部分“分區表破壞”),如果原存放文件影像的簇是相連的,找回的文件就完整無損。
但對於FAT16的C盤是不是中了CIH就沒救呢?你還是可以嘗試一下FIXMBR,它可以通過全盤搜索,決定硬盤分區,並重新構造主引導扇區。由於軟件只修改主引導扇區記錄,對其它扇區不進行寫操作,故一般不會帶來不安全目錄(如果修復得不理想,請DiskEdit等工具進行手工修復)。注意:FIXMBR是一個比較老的程序,對WinNT、Linux以及FAT32考慮得不多。
三、不可恢復的情況
由於病毒破壞硬盤的方式實在太多,而且大部分破壞都無法用一般軟件輕易恢復(如果你喜歡使用DiskEdit等磁盤扇區編輯工具,對某些情況還有一線希望),所以……遇到病毒破壞硬盤的情況你就祈禱吧(由此看來,安裝一個優秀的病毒防火牆絕對是有必要的)!
分區表破壞
“天有不測風雲,人有旦夕禍福”,這句話可真沒有說錯,在用電腦的幾年時間內,分區表破壞的情形也經歷了好幾次。想起當初的手足無措,到後來的纔敢下手,一直到現在還是戰戰兢兢,不過所謂的“愚者千慮,必有一得”,經過這麼長時間的折磨,也終於給我摸出來一絲門路,不敢獨享,希望和遇到有困境的朋友們共享,也希望大家和我多交流(E-mail:[email protected])……
一、破壞原因及恢復可行性分析
分區表破壞,可能是數據損壞中除了物理損壞之外最嚴重的一種災難性破壞。究其原因,不外乎以下幾種:
1.個人誤操作刪除分區,只要沒有進行其它的操作完全可以恢復。
2.安裝多系統引導軟件或者採用第三方分區工具,有恢復的可能性。
3.病毒破壞,可以部分或者全部恢復。
4.利用Ghost克隆分區/硬盤破壞,只可以部分恢復或者不能恢復(用Ghost的朋友要小心了)。
硬盤數據恢復實例全解 之四
二、兩點建議
據國外的一個專業數據修復公司調查,數據損壞以後很大程度上是可以恢復的,之所以有很多不能恢復的實例存在,90%以上是由於用戶在後來的恢復過程中有誤操作,從而造成了更大的破壞。所以希望朋友們牢記以下兩點:
1.在硬盤數據出現丟失後,請立即關機,不要再對硬盤進行任何寫操作,那樣會增大修復的難度,也影響到修復的成功率.
你的每一步操作都應該是可逆的(就像Norton Disk Doctor中的Undo功能)或者對故障硬盤是隻讀的(大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理)。
三、解決方案
這個軟件包含在Norton Utility系列工具中,功能十分強大,可以恢復分區記錄、FAT表,需要注意的是它對硬盤的操作不是隻讀的,因此你需要每一步都做好Undo文件,這樣即使誤操作也可以恢復,Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件,可惜Norton Disk Doctor不支持NTFS分區,這不能不說是它的一大遺憾之處……
最專業的數據恢復公司出的軟件,當然很有專業風範,EasyRecovery支持的文件系統格式很多FAT、NTFS都支持,並且有專門的For Novell版本。EasyRecovery對於分區破壞和硬盤意外被格式化都可安全的恢復,你所要做的就是將數據損壞硬盤掛到另外一臺電腦上,盡情恢復就是了,不過EasyRecovery對於中文的文件名和目錄名效果不是很好(一些亂碼,但文章內容絕對是正確的)。由出品PartitionMagic的PowerQuest公司所出的,硬盤資料復原工具。它是一套恢復硬盤因病毒感染,意外格式化等因素所導致的資料損失工具軟件,能將已刪除的文件資料找出並恢復,也能找出已重新格式化的硬盤、被破壞的FAT分配表、啓動扇區等等,幾乎能找出及發現任何在硬盤上的資料(支持FAT16和FAT32及長文件名)。恢復回來的資料能選擇在原來所在位置恢復或保存到其它可寫入資料的硬盤,也提供了自動備份目錄、文件和系統配置文件的功能,能在任何時間恢復)。要注意的一點是,儘量用一個很大的硬盤來裝恢復的數據(最好掛雙硬盤),如果目標盤的容量小於源盤的容量,下場會很慘!不過Lost&Found卻是基於DOS的一種軟件,這在“瘟到死”橫行的今天,市場只有越來越小!