Cómo recuperar datos
1. Posibles amenazas a los datos
1. Programas maliciosos: Los programas maliciosos más comunes son los virus. Mucha gente piensa que el impacto de los virus en los datos es simplemente su capacidad destructiva, lo cual es incorrecto. De hecho, la infección viral en sí misma es una especie de destrucción. Los virus cambian sus datos normales modificando el sector de arranque, los programas ejecutables o los documentos de OFFICE. Por supuesto, se puede dar un ejemplo extremo de un virus acompañante benigno. Pero no hay duda de que también destruye datos, al menos reduce el espacio disponible en tu disco duro. Al mismo tiempo, los programas maliciosos también incluyen caballos de Troya, bombas lógicas, etc. Los daños causados por programas maliciosos pueden ser los más difíciles de recuperar.
2. Otros daños maliciosos, incluso sin la ayuda de virus u otras herramientas, siempre que tenga permisos suficientes, cualquier sistema tiene ciertas capacidades de "autodestrucción". Por ejemplo, la eliminación, el movimiento y el formateo normales del sistema pueden destruir datos. A medida que evoluciona la tecnología de red, las amenazas no se limitan a la máquina local.
3. Mal funcionamiento: muchas pérdidas de datos se deben a errores del usuario, como eliminación accidental, formato incorrecto, etc.
4. Errores en los sistemas operativos o software de aplicaciones: A medida que la cantidad de código en los sistemas operativos y las aplicaciones aumenta exponencialmente, los errores también aumentan. Nuestro sistema de escritorio más utilizado, WIN9X, es el rey de los errores. Los errores en los sistemas operativos y en las aplicaciones de software suelen tener efectos impredecibles en el trabajo de las personas. Por ejemplo, se descubrió un ERROR en FRONTPAGE98 en la etapa inicial. Después de activarse, se eliminarán todos los archivos de su directorio. Además, al igual que el famoso juego Myth II, existe el grave problema de que si no lo instalas en el directorio predeterminado, puedes perder la partición extendida.
5. Cifrado y permisos: Aunque el cifrado y la configuración de permisos son formas efectivas de proteger tus datos, olvidar tu contraseña también puede causar grandes problemas.
6. Corte de energía: Las consecuencias de un corte de energía repentino de la máquina pueden ser no solo la pérdida de datos de la memoria, sino también la pérdida de datos del disco, o que el sistema no pueda iniciarse normalmente.
7. Desbordamiento de memoria: Hay muchas razones para errores de bajo nivel, como desbordamiento de memoria o terminación ilegal de procesos. Al igual que un corte de energía, le costará su trabajo actual.
8. Actualización: las actualizaciones del sistema de software a veces causan algunos problemas. Más adelante daremos los ejemplos correspondientes.
9. Daño y robo de hardware: Esta es probablemente una de las amenazas más graves. A veces, esto reduce a cero las posibilidades de recuperar sus datos.
En segundo lugar, varios fenómenos lógicos de pérdida de datos
La recuperación de datos es básicamente un proceso lógico. Sólo haciendo un juicio preciso sobre la situación podremos dar una respuesta precisa. En general, las cuestiones se pueden resumir de la siguiente manera.
1. El disco duro no puede completar el inicio correcto: debido a daños lógicos causados por fallas físicas, fallas en el sector de inicio, colapso de sectores importantes, etc., el sistema no puede completar el proceso de inicio normal.
2. Pérdida de archivos: por daño intencionado, borrado accidental, etc. Provocará pérdida de datos. Además, esta clasificación no sólo incluye uno o unos pocos archivos, sino que también se aplica a la pérdida de directorios, particiones o volúmenes.
3. El archivo no se puede abrir normalmente: El archivo no se puede abrir normalmente debido a una infección de virus, cifrado, daño en el encabezado del archivo, etc.
4. Confusión de datos: Debido a diversos factores, es posible que no se reconozcan los archivos de información y texto de la base de datos.
Tres. Sugerencias sobre protección de datos
Este tema trata sobre recuperación de datos, no sobre protección de información, así que, en una palabra, córtelo de raíz. Hemos enumerado las amenazas a los datos. Si minimizamos estas amenazas y adoptamos las medidas de prevención y contramedidas correspondientes para cada amenaza potencial previsible, la seguridad de nuestros datos estará garantizada al máximo. Estas contramedidas incluyen principalmente seleccionar buenos productos antivirus y de mantenimiento del sistema, fortalecer las medidas de seguridad, utilizar la protección contra cortes de energía del UPS, mejorar el nivel operativo y la conciencia de seguridad de los usuarios y formar un sistema de respaldo y gestión de la información del sistema. Puede garantizar eficazmente la seguridad de los datos. En resumen, mi comprensión de la recuperación de datos es la misma que la de los virus: córtela de raíz.
2. Conocimientos preparatorios para la recuperación de datos.
1. La introducción al mecanismo de funcionamiento del sistema (abreviado como baja potencia en esta sección) es el capítulo más importante del libro original. Teniendo en cuenta la extensión, se ha omitido mucho.
(1), datos del disco duro DOS (sistema compatible con DOS).
El sistema de disco DOS puede administrar el espacio físico según el concepto de particiones lógicas, y diferentes particiones pueden cargar diferentes sistemas operativos.
El diagrama es el siguiente:
Espacio en el disco duro
Primer sector | Partición 2 | Partición 3 |
Sector de arranque maestro Sector de inicio Sector de inicio Sector de inicio Sector de inicio Sector de inicio
Común a todas las particiones | Cada partición es relativamente independiente y puede instalar diferentes sistemas operativos.
Para particiones con estructura FAT, cada partición tiene un registro de arranque independiente, tabla FDT, tabla FAT, etc. Al mismo tiempo, el sistema también tiene el registro de inicio maestro más importante. En el sector de la columna 0 y del plano 1, en el futuro usaremos CYL para columna, SIDE para plano y sec para sector. El siguiente es un diagrama esquemático de la partición de la estructura FAT.
Área reservada: tabla de parámetros del disco, registro de inicio de DOS
Área de control: el área raíz de la tabla FAT 1 y la tabla FAT 2
Área de datos: área de datos
La siguiente es una breve introducción a las partes importantes:
El registro de arranque maestro también se denomina tabla de particiones primaria, MBR, etc. :MBR ocupa un sector y consta del área de código y el área de datos en CYL0, SIDE0 y SEC1. Entre ellos, el área de código es un programa estándar que completa el trabajo desde el inicio del BIOS hasta el inicio del sistema operativo y realiza los preparativos finales para el inicio del sistema operativo. FDISK/MBR puede reconstruir el área de código estándar, pero para MBR no estándar arrancado desde múltiples sistemas, esta operación destruirá el área de código estándar. El área de datos de MBR registra el estado de la partición.
Sectores del sistema: CYL0, SIDE0, SEC1-CYL0, SIDE0, SEC63, * * El área de arranque de 62 sectores también se denomina área de arranque: CYL0, SIDE1, SEC1. Esto es lo que solíamos llamar sector de arranque de DOS. También ocupa un sector.
La tabla de asignación de archivos, también llamada FAT, es un lugar donde los archivos ocupan clústeres y relaciones de conexión. Generalmente hay dos mesas gordas, que sirven de respaldo. La primera tabla de grasa de FAT12 y FAT16 es generalmente 0-1-2, y la primera tabla de grasa de FAT32 es 0-1-33. Dado que el archivo de registro de la tabla de grasa ocupa la conexión del sector, si ambas tablas de grasa se rompen, las consecuencias serán desastrosas.
Debido a que la longitud de la tabla FAT está relacionada con el tamaño de la partición actual, es necesario calcular la dirección de FAT2.
Área raíz (ROOT, FDT): Aquí se registran las entradas del archivo de directorio en el área raíz, seguidas de FAT2.
Área de datos: sigue el área raíz, que es el contenido de los datos.
De hecho, es fácil reconstruir MBR, sectores ocultos y sector de arranque. La clave para la recuperación de datos es recuperar archivos de datos. Porque la tabla FAT registra la lista vinculada de sectores ocupados por archivos en el disco duro, si ambas tablas FAT están completamente dañadas. Entonces es bastante difícil recuperar los archivos, especialmente los archivos que ocupan múltiples sectores no contiguos.
(2) Breve descripción del registro de arranque maestro:
El registro de arranque maestro es el punto de partida para el arranque del disco duro, por lo que no entraré en detalles sobre el código. área. En su área de datos, hay dos indicadores importantes, 80H y 55AA. 80H generalmente está en un desplazamiento de 1BE. 80 es el indicador de activación de la partición, lo que indica que solo puede haber un indicador 80 en toda la partición. mesa. La otra es la marca 55AA al final, que indica que el registro de arranque maestro es un registro válido. Además, el registro de arranque de cada partición también termina en 55AA, lo cual es una señal de que hemos encontrado la partición. Le daremos un ejemplo de una tabla de particiones completa para su referencia cuando le presentemos cómo dominar el registro de arranque. En el área de datos, una partición está representada por 10H bytes y se pueden representar hasta cuatro particiones, comenzando desde 1BE, 1CE, 1DE y 1EE respectivamente. Más adelante daremos el significado de la dirección correspondiente a la entrada de la partición. En base a esto se puede analizar la situación de las siguientes particiones.
800101000 bfebffc3f 00-00007 e86bb 00
①②③④⑤⑥
①: indicador de activación, 80 significa partición de arranque.
②: El número al principio de la partición es 01, el número del sector al principio es 01 y el número del cilindro al principio es 00. Dado que el número del sector inicial es un número binario de 6 bits y el número del cilindro inicial es un número binario de 10 bits, los dos bits superiores del byte utilizado en el número de sector se suman a los dos bits superiores del número de cilindro.
③: El tipo de sistema de la partición es FAT32 (0B), 01 es FAT12, 04 es FAT16, 06 es BIGDOS y 07 es NTFS. Para otros, consulte la tabla de tipos de partición.
④: El número final de la partición es 254, el número del sector final de la partición es 63 y el número del cilindro final de la partición es 764.
⑤: El número relativo de sectores en el primer sector es 63
⑥: El número total de sectores es 12289622.
2. Introducción a las herramientas de procesamiento manual y comandos externos de DOS más utilizados
DEBUG: el software de rastreo y depuración más antiguo y común, siempre incluido en el sistema operativo DOS/WIN9X de Microsoft. Hay 19 subcomandos. Tiene la capacidad de escribir y ejecutar instrucciones de ensamblaje, leer y escribir directamente sectores absolutos y unidades de almacenamiento, y puede funcionar en las condiciones más difíciles. Para sistemas inferiores a DOS 6.22, DEBUG.EXE está en el directorio DOS. En los sistemas WIN9X, está en el directorio WINDOWS\COMMAND. También aparecerá en el disco de emergencia generado por WIN9X.
DISKEDIT: Un software de edición común de 16 bases con una interfaz de caracteres. Puede leer y escribir el contenido lógico del modo de archivo y del modo de sector, leer y escribir sectores absolutos y encontrar y editar fácilmente tablas de particiones, FAT. tablas y archivos raíz y otros sectores importantes. Esto es más conveniente que depurar. Sin embargo, cuando algunos sectores importantes están dañados, es posible que DISKEDIT no se inicie. El software DISKEDIT se puede encontrar en el famoso paquete de software NortonUtilities. El último DISKEDIT aparece en NU4.
NDD: una herramienta común de reparación de discos con estructura de archivos FAT, el famoso Norton Disk Doctor, puede reparar automáticamente particiones perdidas, rescatar datos en áreas defectuosas de los disquetes y luego leerlos a la fuerza y moverlos a otras espacios en blanco. Espero que ya no uses NDD de Northenforth 7 u 8. Esta versión le causará muchos problemas porque no admite tecnologías como particiones grandes, FAT32, nombres de archivos largos, etc. Se recomienda utilizar NDD.EXE en NortonUtilities4 o superior, que es una herramienta bajo DOS puro. En caso de fallo o anomalía del disco duro, puede dar esperanza a los usuarios. El disk doctor bajo WIN9X no llama a este programa, sino a NDD32.EXE.
FDISK: Por supuesto, FDISK: FDISK es un comando peligroso al que mucha gente tiene mucho miedo. De hecho, la operación del comando FDISK no afecta los datos del disco duro en ninguna partición. Su operación de configuración de partición solo cambió el área de datos de la tabla de partición primaria. En particular, el muy importante parámetro implícito /MBR de FDISK puede reconstruir el área de código de la tabla de particiones primaria y eliminar el virus de arranque primario. Esta es una operación muy útil. Para sistemas inferiores a DOS6.22, FDISK.EXE está en el directorio DOS, en el directorio WINDOWS\COMMAND en los sistemas WIN9X, y también aparecerá en el disco de emergencia generado por WIN9X.
Formatear: A los ojos de algunas personas, formatear es el comando más aterrador, pero no borra el disco duro. Es de destacar que muchas herramientas de recuperación de archivos recomiendan formatear la partición antes de la recuperación para protegerla. Para sistemas inferiores a DOS 6.22, FORMAT.COM está en el directorio DOS. En los sistemas WIN9X, está en el directorio WINDOWS\COMMAND. También aparecerá en el disco de emergencia generado por WIN9X.
Copia de disco duro: una herramienta tradicional de copia de disquetes. Después de la versión 2.0, se agregó una función de lectura forzada, que puede leer el contenido de algunos sectores dañados.
SYS: El comando SYS es la forma más sencilla de reconstruir el sector de arranque y también puede eliminar virus en el sector de arranque. Para sistemas inferiores a DOS 6.22, sys.COM está en el directorio DOS. En los sistemas WIN9X, está en el directorio WINDOWS\COMMAND. También aparecerá en el disco de emergencia generado por WIN9X.
Desafortunadamente, hasta ahora no he encontrado una excelente herramienta de creación de imágenes de respaldo a nivel de sector. Una vez escribí un espejo de alta definición, pero debido a muchos errores, dejé de publicarlo al día siguiente de que estuvo disponible para descargar. Además, noz, el autor de fixc, escribió un clone.exe, pero desafortunadamente solo es adecuado para el mismo disco duro. Pensé que los fantasmas también podrían hacerlo. De hecho, no puede esperar que él haga una copia de seguridad de un disco duro profundamente dañado en este momento. . Si existe un método eficaz para comprimir y hacer una copia de seguridad de un disco duro en un archivo de imagen a través del mecanismo de sector (en lugar del mecanismo de archivo), entonces nuestro trabajo de recuperación tendrá más garantías y margen de mejora. Podemos intentar una recuperación más audaz.
3. Algunas herramientas de procesamiento automático o paquetes de software.
Primero, presentemos algunas herramientas de reparación nacionales gratuitas.
FIXMBR: Una herramienta para reparar MBR escrita por el Sr. He Gongdao, adecuada para hacer frente a la pérdida de particiones lógicas. Hay algunos parámetros opcionales, que admiten FAT32, FAT16, no admiten NTFS, LINUX y otras particiones, admiten discos duros superiores a 8,4G y pueden reparar particiones lógicas extendidas después de ataques CIH.
VRVFIX: la herramienta de reparación de discos duros lanzada por Beixinyuan Company es adecuada para tratar la pérdida de particiones lógicas y es básicamente precisa. Admite FAT32 y FAT16, pero no admite NTFS, LINUX y otras particiones. No se admiten discos duros superiores a 8,4G.
FIXC: NOZ escribió la primera herramienta doméstica que puede reparar parte de la unidad c dañada por CIH. La nueva versión también agrega la función de reparar información de partición, admite FAT32 y FAT16, tiene soporte limitado para NTFS y no admite discos duros superiores a 8.4G. La versión actual es relativamente completa.
FixhDPT: herramienta de reparación de información de particiones de TB soft Studio. Es compatible con FAT32, FAT16, no es compatible con NTFS ni LINUX y no admite discos duros superiores a 8,4G. Es una de las herramientas con una larga trayectoria.
RE (ReapirEasy): anteriormente escribí una herramienta de reparación de tablas de particiones que admite FAT32 y FAT16, tiene soporte limitado para NTFS, no admite discos duros superiores a 8,4G y es incompatible con algunas BIOS. Su calidad general es inferior a la de las herramientas enumeradas anteriormente. Algunas herramientas de mantenimiento de sistemas extranjeros ahora han alcanzado un nivel muy poderoso.
La herramienta de mantenimiento del sistema más antigua.
No sólo recupera datos sino que también acelera y corrige errores de memoria. Las últimas versiones actualmente incluyen NU4.5FOR9X, NU2FORNT, etc.
Tiramint: Una de las mejores herramientas de recuperación ante desastres, disponible en cuatro versiones: NTFS, FAT32, FAT16 y NOVELL4. Genera disquetes de emergencia que pueden realizar restauración cruzada de discos profundamente dañados.
4. Operaciones básicas comunes
①Lea el registro de arranque maestro: este es uno de los procedimientos más complejos en la recuperación de datos a nivel del sistema. Ejemplo:
Depurar
-a 100; comience a compilar desde aquí.
126C:0100movx, 201; leer sector
126C:0103movbx, 300; enviar dirección 300
126C:0106movcx, 1; p>
126C:0109movdx, 80; 80H es el disco duro, el encabezado es 0.
126 c:010 cint 13
126C:010Eint3
126C:010F
-g = 100 ejecutar
AX = 0050 bx = 0300 CX = 0001DX = 0080 sp = ffee BP = 0000 si = 0000 di = 0000 ds = 126 ces = 126 CSS = 126 CCS = 126 CIP = 010 envupeiplnznaponc
Aquí Se utiliza la interrupción de E/S 13, que implica el significado del registro y el modo de operación de ah, lectura 02H, escritura 03H, al envía el número de sector, bx envía la dirección de compensación de memoria del sector a cargar y desde qué sector comienza cx. . En términos generales, leemos y escribimos sectores lógicos de diferentes discos lógicos cambiando CX. El símbolo de la bandeja dx y el número 1 INT 3 son interrupciones de punto de interrupción que detienen la ejecución del programa.
②Mostrar el contenido del sector de arranque: leer sectores en una determinada dirección de memoria no es nuestro propósito. Pero para ver su contenido, el comando d puede ver fácilmente el contenido de la unidad de memoria en DEBUG. Siguiendo con el ejemplo anterior, si queremos ver el contenido del sector de arranque principal tal y como está cargado en 300. -D300l200 se puede ver. La imagen de un área de inicio es similar a la siguiente imagen. Podemos ver intuitivamente el área de código y el área de datos mencionados anteriormente. Si es normal, analícelo usted mismo.
126 c:030033 c 08 ed 0 BC 007 CFB-5007501 ffcbe 1b7c 3....|.P.P....|
126 c:0310bf 1b 065057 B9 e 501 -F3 a4 cbbebe 07 b 104...Mujer Policía.....
126 c:0320382 c7c 09751583 C6-10 e 2 F5 CD 188 b 148 b 8, |. u.........
126 c:0330 ee 83 c 61049741638-2c 74 f 6 be 10074 EAC....It.8, t.... sustantivo ( Abreviatura de sustantivo)
126 c:03403 c 0074 fabb 0700 b 4-0 ECD 10 ebf 2894625 <. t.........F
126 c:0350968 a 4604 b 4063 c0e-7411 b 40 b 3c 0 c 7405..F...& lt. t...& lt.
126 c:03603 AC 4752 b 40 c 64625-067524 bbaa 5550 b 4:. u@.F.u$..arriba.
126 c:037041cd 1358721681f b-55aa 7510f 6c 10174 a..ex derechos No hay derecho a suscribir nuevas acciones...Hola....t
126 c:03800 b8ae 0885624 c 706-a 106 EB 1e 886604 BF....cinco dólares....f..
126 c:03900 a00b 801028 BDC 33-c 983 ff 057 f 038 b4e.. . ....3....Normal
126 c:03a 025034 e 02 CD 137229-be 4607813 EFE 7d 55. Ordinario...r). F..>.
}U
126 c:03 b0aa 745 a 83 ef 057 FDA-85f 67583 be 2707 EB tz.......u..' ..
126 c. :03c 08 a 98915299034608-13560 AE 812005 aeb...rare..F..V....Z.
126 c:03d 0d 54 f 74 e 433 c 0 CD 13-ebb 800000000000 . Ot.3.........
126 c:03e 05633 f 65656525006-5351be 1000568 bf4v 3. VVRP Pies cuadrados...V..
126 c:03f 05052 b 800428 a 5624-CD 135 a 588d 641072 pr..B.V$..ZX.d.r
126 c :04000 a 4075014280 c702-e2f 7 f 85 EC 3 EB 7449. @u.B......^..La séptima nota de la escala diatónica
126 c:04106 e 76616c 69642070-6172746974696 F6 invalidpartition
126 c:0420207461626 c 650045-72726 mesa f 72206 c6f 61. Error loa
126 c:043064696 e 67206 f 7065-726174696 e 672073 operación
126 c:0440797374656d 004d 69-7373696 e 67206 f 70 sistema. Persona Desaparecida
126 c:045065726174696 e 6720-73797374656d 0000OS..
126 c:046000000000000000-00000000000000............. .
126 c:04700000000000000-00000000000000............
126 c:048000000008 bfc 1e 578 b-f5cb 0000000000.. ....W... .......
126 c:049000000000000000-00000000000000............
126 c:04a 000000000000000-000000000000000.... ........
126 c:04b 000000000000000-0000000000008001............ ...
126 c:04c 001000 bfebffc3f 00-00007 y 86bb 000000...? ...~.....
126 c:04d 081fd 0 ffeffffbd 86-bb 00 e0a 975000000...u...
126 c:04e 00000000000000-000000000000000 ............
126 c:04f 000000000000000-0000000000000055aa.......... ...Unidad
③ Desmonte el Contenido del área de inicio principal: determine si el área del código MBR es normal. Puede obtener la información básica del área de datos a través de la observación visual, pero hay un virus de inicio o un virus de inicio en el área de inicio. Puede ser necesario analizar las instrucciones en el área de código del MBR. Por lo general, esto requiere desmontar el sector de arranque que se ha leído en la memoria. Instrucciones de desmontaje u, continuación del ejemplo anterior:
-u300l 15D; descomponga el contenido del área de código del sector de arranque principal.
126C:030033C0XORAX,AX
126C:03028ED0MOVSS,AX
…………
126C:045C65DB65
126C:045D6DDB6D
④Escribe la unidad de almacenamiento. En nuestro caso, los principales tipos de particiones son 0B y FAT32.
Suponiendo que este tipo sea en realidad NTFS, ¿cómo modificarlo? Dado que el desplazamiento del tipo de partición primaria es 4C3H, podemos usar el comando e para escribir en la unidad de memoria y encontrar en la tabla adjunta que el tipo NTFS es 07. Entonces -e4c37 para dar otro ejemplo, suponiendo que queremos borrar la tabla de particiones no válidas, entonces deberíamos usar otro comando f, que puede llenar un rango de direcciones de memoria. La operación para borrar la tabla de particiones es -f4be4ff00. Las dos operaciones siguientes también son muy comunes.
Restablecer el indicador 80, -e4be80
Restablecer el indicador 55AA, -f4ff4fe55aa
No lo olvides, solo se han modificado los datos en la memoria en esta vez no está escrito en el disco duro. Por lo tanto, debe utilizar la interrupción int13 para escribir los resultados reescritos en el disco duro. Precedente continuo,
-a100
126C:0100movax, 301; escribe un sector.
-g = 100; ejecutar
De hecho, hemos modificado el programa que acabamos de ingresar para leer el sector de arranque maestro, de modo que el programa se convierta en.
126C:0100movax, 301; Escribe un sector.
126C:0103movbx, 300; dirección de memoria esclava 300
126C:0106movcx, 1; 0 lateral y 1 ventilador
126C:0109movdx, 80H; el disco duro, el encabezado es 0.
126 c:010 cint 13
126 c:010 eint 3; breakpoint
⑤Leer y escribir contenido absoluto del disco.
Operaciones similares también son comunes en la reparación de discos duros FAT32 dañados por CIH. La idea básica de la recuperación se discutirá más adelante, que es sobrescribir la primera tabla FAT con la segunda tabla FAT. Entonces no hay duda de que el contenido de la segunda tabla de grasas debe leerse en voz alta y luego volver a escribirse en la ubicación de la primera tabla de grasas. En términos generales, es muy conveniente leer y escribir una gran cantidad de sectores contiguos en DISKEDIT. Para usar DEBUG, necesita escribir una subrutina, pero la habilidad principal del programa es usar el disco absoluto int25 para leer e interrumpir el contenido leído, y usar el disco absoluto int26 para escribir el contenido.
5. Requisitos previos para la recuperación de datos
Algunas personas piensan que este tema es extraño, pero como proceso de reproducción de datos, la recuperación de datos debe resolver dos problemas. El primero es dónde recuperarlos. El segundo es cómo recuperarse. Al resolver estos dos problemas, en realidad hemos dominado todo el contexto ideológico de la recuperación de datos. Y parte de eso es la cuestión de dónde recuperarse.
(1) La copia de seguridad eficaz y oportuna es la fuente más confiable de recuperación de datos. Hoy en día, cuando muchas personas recomiendan la copia de seguridad en segundos, me temo que nadie lo dudará. El sistema tiene algunos mecanismos de respaldo integrados, como dos tablas FAT.
(2) La validez real de los datos es la clave para nosotros: el disco duro no se puede iniciar, el archivo no se puede encontrar, el archivo no se puede abrir, etc. En realidad, no significa pérdida de datos. Porque en este momento los datos a menudo solo se pierden lógicamente desde la perspectiva del sistema operativo, pero aún existen o existen parcialmente desde la perspectiva de los sectores físicos. El ejemplo más obvio es la eliminación de archivos. De hecho, esto simplemente cambia el primer byte del archivo a 0E. Y el cuerpo del archivo todavía existe.
③Análisis de reversibilidad del proceso de daño de datos: solo hay dos tipos de cambios en los datos, reemplazo y conversión. El primero es irreversible y el segundo es reversible. Tomemos como ejemplo el antivirus. Para la mayoría de los virus de archivos, el proceso antivirus ideal es el proceso inverso para aquellos que infectan archivos como archivos adjuntos en lugar de como alternativos. Este tipo de análisis también es común cuando se oculta, mueve o cifra información importante, pero el análisis es más complejo.
(4) Si los datos en sí son información estándar: parte de la información es en realidad universal o parcialmente universal, y no es necesario considerar cómo rescatarla de esta máquina. Siempre que la versión del sistema sea igual o similar, como sector de arranque, sectores ocultos, archivos DLL de WINDOWS, etc. Un ejemplo típico es el área de código de la tabla de particiones, que es un código estándar. De hecho, está en su programa FDISK y puede extraerlo mediante depuración.
⑤ Si los datos en sí pueden ser copiados estadísticamente por otra información: aunque parte de la información se pierde, no hay copia de seguridad. Pero en realidad se puede obtener indirectamente a partir de otros datos. La más típica es la información de partición en la tabla de particiones primaria. No tengas miedo incluso si se borra, porque la regeneración se puede calcular a partir de varias de tus particiones.
⑥Finalización de la destrucción: de hecho, ni FDISK ni FORMAT destruirán completamente los datos. Generalmente, solo las operaciones de sobrescritura de sector y de bajo nivel destruirán completamente los datos. Pero a veces, el proceso de destrucción o el proceso de mal funcionamiento no se pueden completar debido a una terminación manual, falla, etc. El ejemplo más obvio es el virus CIH. Debido a que CIH cubre sectores en unidades de 1024 bytes, lo que por supuesto es un proceso irreversible, todos pensamos al principio que el daño sería difícil de recuperar a menos que se finalice manualmente. De hecho, cuando el virus sobrescribe ciertos sectores, chocará con el sistema 9X, provocando fallas y protección de datos.
Capítulo 3, Estrategias básicas para la recuperación de datos
1. Problemas de hardware o medios
①Falla del disco duro: la falla de autoprueba del disco duro generalmente es una falla de hardware. , dividido en falla del controlador del disco duro principal (incluido el puerto IDE) y falla del propio disco duro. Si el problema está en la placa base, entonces no debería haber ningún impacto en sus datos. Si está en el disco duro, no es imposible repararlo. Las posibles fallas del disco duro pueden estar en el circuito de control, el motor, el cabezal y el disco. Si se trata de un problema con el circuito de control, generalmente se puede reparar y leer los datos. Sin embargo, si el motor, el cabezal o el disco fallan, habrá que devolverlos a la fábrica incluso si se reparan, y la recuperación de datos es básicamente imposible.
2. El disquete está roto: Cuando los datos del disquete están dañados, hay varias formas de solucionarlo. Una forma es utilizar NDD para solucionarlo. Le obligará a leer el contenido de los sectores defectuosos y moverlos a sectores en blanco, lo que significa que si su disco está lleno, no se podrá realizar la operación. También puede utilizar el disquete READ HDCOPY versión 2.0 o superior, que también realizará una lectura sólida, de modo que los datos leídos en el búfer estén intactos y puedan escribirse directamente en el disco bueno. Por supuesto, estos métodos dependen del alcance del fallo del disco. Si la pista 0 está dañada, los datos no se pueden guardar. Anteriormente, los siguientes datos se podían leer mediante lectura de sector, pero generalmente HDCOPY se puede utilizar para experimentos.
2. Problemas del sistema
(1) Cuando el disco duro falla, a menudo tenemos que lidiar con algunas indicaciones. Necesitamos entender el significado de sus mensajes típicos y tener en cuenta que estos motivos sólo analizan el daño lógico del disco duro en lugar de los sectores físicos defectuosos.
Información urgente
Posibles motivos
Procesamiento de referencia
InvalidPartitionTable
En la información de partición, 1BE, 1CE y 1DE solo tiene uno 80, y los otros dos son 0.
Utilice la configuración de la herramienta, la operación se ha mencionado antes.
Error al cargar el sistema operativo
El programa de arranque principal no pudo leer el sector de arranque 5 veces.
Reconstrucción del sector de arranque
Falta el sistema operativo
Falta el indicador 55AA en el sector de arranque de DOS.
Utilice la configuración de la herramienta para cambiar el DX=80 del programa anterior para leer y escribir el sector de arranque principal a 180.
Error de disco o disco que no es del sistema
El nombre del archivo del sistema en el sector de arranque es diferente de los dos primeros archivos en el directorio raíz.
Los comandos SYS se retransmitieron al sistema,
Error al iniciar el disco
Se produjo un error al leer los archivos del sistema.
Los comandos SYS se retransmiten al sistema,
invaliddriverspecification g
Si intenta cambiar a una partición lógica existente, aparecerá el siguiente mensaje indicando que la partición primaria El registro de partición de la tabla está dañado.
Reconstruya la tabla de particiones según la situación de cada partición, o utilice herramientas de reparación automática para repararla. Tenga en cuenta que la pérdida de partición es una de las fallas más comunes, así que no se ponga nervioso en este momento. En términos generales, no hay ningún problema con los datos en este momento si no comprende el método de procesamiento. Puede elegir la herramienta de reparación automática de particiones que presenté anteriormente. La mayoría de ellos simplemente reescriben el área de datos de la tabla de partición primaria y no afectarán el resto de datos. Permítanme recordarles que algunas de estas herramientas no son compatibles con discos duros de 8,4G y otras están relacionadas con el reconocimiento del disco duro por parte del BIOS. Si no puede hacerlo en una máquina, puede probarlo en diferentes máquinas con BIOS diferentes.
Badormissingcommandinterpreter
Esto significa que no se puede encontrar COMMAND.com o que el archivo de comando está dañado.
Si copias el archivo de comandos, normalmente quedarás infectado con algún tipo de virus.
Unidad de lectura de tipo de medio no válida
x, cancelar, reintentar, ¿falló?
Este disco no tiene formato avanzado o la tabla de parámetros de E/S en el área de arranque está dañada.
Hay muchas situaciones aquí y el procesamiento manual es más complicado. Se señala que es posible que DISKEDIT no pueda ejecutarse en este momento y se recomienda utilizar herramientas para repararlo.
Versión incorrecta
Puede ser que la versión del archivo no sea consistente. Para 9X, hay 95, 95osr/2, 98, 98oem/2 y otras versiones. No cometas errores al buscar.
Reinicie el sistema utilizando la versión correcta del disco de arranque.
Además, para las máquinas antiguas, hay 1071, notfoundrombasic, ROMBASICOK y otros mensajes, que han desaparecido en las máquinas actuales. Además, cuando el área de código se destruye por completo, el sistema indica que no hay ningún sistema proveniente del BIOS, lo cual está relacionado con el tipo de BIOS. Además, a menudo utilizamos FDISK/MBR para reconstruir áreas de código. A continuación se describe otra situación extrema, es decir, la autoprueba del disco duro es normal, pero ni el disquete ni el disco duro pueden iniciarse normalmente. Esto puede deberse a que los virus o programas maliciosos aprovechan la función de buscar en la tabla de particiones al iniciar DOS3 o superior y configuran la tabla de particiones en un bucle infinito. Provoca un bloqueo al iniciar. El plan de modificación para DOS6.22k ha circulado por Internet. De hecho, es para modificar IO.
MS-DOS6.22 de SYS y reemplace C20306E80A00077203 con: C20390E80A00728090 para iniciar un disco duro bloqueado por una situación similar.
② WIN9X no puede ingresar o funcionar normalmente: Lo siguiente es solo un análisis de posibles fallas de software y no considera fallas de hardware.
El bloqueo antes de entrar a la interfaz gráfica es más complicado y puede estar relacionado con algunos controladores cargados. Al iniciar MSWINDOWS, puede usar F8 para activar el menú y configurarlo paso a paso para ver cuál causa que el sistema falle. Luego desde configuración o sistema. Eliminar en ini
Caída después de ingresar a la interfaz gráfica: Generalmente esto está relacionado con el inicio del programa cargado. Ingrese al modo seguro (los programas ejecutados automáticamente no se cargarán en este momento), analice los valores clave en HKEY_local_machine\software\Microsoft\Windows\current version\run* en el registro y los programas cargados en el grupo de inicio. Eliminar si es necesario.
Se muestra el error IEXPLORE.EXE y no se puede realizar ninguna operación. Es posible que haya una biblioteca de vínculos dinámicos del sistema que se dañó al instalar WIN9X, o que la biblioteca de vínculos dañada se haya copiado desde otra máquina. (A menudo es difícil determinar qué biblioteca está dañada).
A menudo ocurren varios errores: generalmente causados por memoria virtual insuficiente, muy poco espacio restante en la unidad c o demasiadas aplicaciones y ventanas abiertas.
2. Fallo completo y pérdida de partición
Primero reconstruya el área del código MBR y luego modifique la tabla de particiones según la situación. La idea básica de modificar la tabla de particiones es encontrar el sector que termina en 55AA, luego determinar si es una tabla de particiones según la estructura del sector y si hay FAT detrás de ella, y finalmente calcular y rellenar la tabla de particiones primaria. Debido a que requiere cálculos y el proceso es relativamente engorroso, no lo presentaré en detalle. Espero que puedas utilizar las herramientas presentadas anteriormente, como NDD. Si el archivo aún no se puede leer, considere usar una herramienta como TIRAMINT para repararlo. Si el archivo especificado se recupera cuando la tabla FAT falla por completo, puede usar DISKEDIT o DEBUG para buscar información conocida.
Por ejemplo, si el archivo es de texto y contiene un "dongle", entonces i, i