壹.對數據的潛在威脅
1.惡意程序:最常見的惡意程序是病毒。很多人認為病毒對數據的影響只是病毒的破壞性,這是不正確的。其實病毒感染本身就是壹種破壞。病毒通過修改引導區、可執行程序或OFFICE文檔來改變您的正常數據。當然,妳可以舉壹個良性伴隨病毒的極端例子。但毫無疑問,它也破壞了數據,至少它減少了妳硬盤上的可用空間。同時,惡意程序還包括特洛伊木馬、邏輯炸彈等。惡意程序造成的損害可能是最難恢復的。
2、其他惡意破壞,即使沒有病毒或其他工具的幫助,只要妳有足夠的權限,任何系統都有壹定的“自毀”能力。例如,系統的正常刪除、移動和格式化會破壞數據。隨著網絡技術的發展,威脅不僅限於本機。
3.誤操作:很多數據丟失是由於用戶的操作失誤造成的,比如誤刪、誤格式化等。
4.操作系統或應用軟件的錯誤:隨著操作系統和應用程序的代碼量呈指數級增長,bug也在增加。我們最常用的桌面系統WIN9X就是壹個BUG王。操作系統和應用軟件的錯誤往往會給人們的工作帶來壹些不可預知的影響。比如前期發現FRONTPAGE98的壹個BUG,被觸發後會刪除妳目錄下的所有文件。此外,像著名的遊戲神話二,有壹個嚴重的問題,如果妳不安裝在默認目錄下,妳可能會丟失擴展分區。
5.加密和權限:雖然加密和權限設置是保護妳數據的有效手段,但是忘記密碼也會帶來很大的問題。
6.斷電:機器突然斷電的後果可能不僅是內存數據丟失,還有磁盤數據丟失,或者系統無法正常啟動。
7.內存溢出:內存溢出或非法進程終止等低級錯誤的原因有很多。就像停電壹樣,會讓妳丟掉現在的工作。
8.升級:軟件系統升級有時候會帶來壹些問題,後面我們會給出相應的例子。
9.硬件損壞和盜竊:這可能是最嚴重的威脅之壹。有時這將您恢復數據的機會降低到零。
第二,數據丟失的各種邏輯現象
數據的恢復基本上是壹個邏輯過程。只有對形勢做出準確的判斷,才能做出準確的反應。總的來說,問題可以歸納如下。
1、硬盤無法完成正確引導:由於物理故障、引導區故障、重要扇區崩潰等造成的邏輯損壞,導致系統無法完成正常引導過程。
2、文件丟失:由於故意破壞、意外刪除等原因。會造成數據丟失。此外,這種分類不僅包括壹個或幾個文件,還適用於目錄、分區或卷的丟失。
3、文件無法正常打開:由於病毒感染、加密、文件頭損壞等情況,文件無法正常打開。
4.數據混亂:由於各種因素,數據庫中的信息和文本文件可能無法識別。
三。關於數據保護的建議
這個題目講的是數據恢復,不是信息保護,所以壹句話,防患於未然。我們已經列出了對數據的威脅。如果我們把這些威脅降到最低,對每壹個可以預見的潛在威脅都有相應的防範和對策,我們的數據安全就會得到最大程度的保障。這些對策主要包括選擇好的防病毒和系統維護產品,加強安全措施,采用UPS斷電保護,提高用戶的操作水平和安全意識,形成系統信息管理和備份系統。能有效保證數據的安全,總之我對數據恢復的理解和病毒是壹樣的——防患於未然。
二、數據恢復的準備知識。
1.系統工作機制簡介(本節用lowpower縮寫)是原著中最重要的章節。考慮到篇幅,已經刪節了很多。
(1)、DOS(DOS兼容系統)硬盤數據。
DOS磁盤系統可以按照邏輯分區的概念來管理物理空間,不同的分區可以加載不同的OS系統。示意圖如下:
硬盤空間
第壹扇區|分區1|分區2|分區3|分區4 |
主引導扇區引導扇區引導扇區引導扇區引導扇區引導扇區引導扇區
各分區通用|各分區相對獨立,可以安裝不同的操作系統。
對於FAT結構的分區,每個分區都有獨立的引導記錄、FDT表、FAT表等。同時,系統還有最重要的主引導記錄。在0列和0平面1扇區中,將來我們將使用CYL表示列,SIDE表示平面,sec表示扇區。下面是FAT結構分區的示意圖。
保留區-磁盤參數表,DOS引導記錄
控制區域-FAT表1和FAT表2的根區域
數據區-數據區
以下是對重要部分的簡單介紹:
主引導記錄也稱為主分區表、MBR等。:MBR占用壹個扇區,由CYL0、SIDE0和SEC1中的代碼區和數據區組成。其中,代碼區是壹個標準程序,完成從BIOS引導到OS引導的工作,為OS啟動做最後的準備。FDISK/MBR可以重構標準代碼區,但是對於多系統引導的非標準MBR,這個操作會破壞標準代碼區。MBR的數據區記錄了分區情況。
系統扇區:CYL0,SIDE0,SEC1-CYL0,SIDE0,SEC63,* * 62扇區引導區也叫引導區:CYL0,SIDE1,SEC1。這就是我們過去所說的DOS引導區。它還占據了壹個扇區。
文件分配表又稱FAT,是記錄文件占用簇的情況和連接關系的地方。壹般有兩個胖表,起到備份的作用。FAT12和FAT16的第壹個脂肪表壹般是0-1-2,FAT32的第壹個脂肪表是0-1-33。由於胖表記錄文件占用了扇區連接處,如果兩個胖表都壞了,後果不堪設想。
因為FAT表的長度與當前分區的大小有關,所以需要計算FAT2的地址。
根區域(ROOT,FDT):這裏記錄了根區域中的目錄文件項,根區域後面是FAT2。
數據區:跟隨根區,也就是數據內容。
其實重建MBR,隱藏扇區,引導區都很容易。數據恢復的關鍵是恢復數據文件。因為FAT表記錄了硬盤上文件占用扇區的鏈表,如果兩個FAT表都完全損壞。那麽恢復文件是相當困難,尤其是文件占用多個不連續的扇區。
(2)、主引導記錄簡單描述:
主引導記錄是硬盤引導的起點,代碼區就不多說了。在其數據區,有兩個標誌比較重要,80H和55AA,80H壹般在1BE的偏移量,80是分區激活的標誌,表示系統可以引導,整個分區表只能有壹個80標誌。另壹個是末尾的55AA標記,表示主引導記錄是有效記錄。另外,每個分區自己的引導記錄也是以55AA結尾,這是我們找到分區的標誌。我們將在介紹如何掌握引導記錄中給出壹個完整分區表的例子,供大家參考。在數據區,壹個分區用10H字節表示,最多可以表示四個分區,分別從1BE,1CE,1DE,1EE開始。我們將在後面給出分區條目對應地址的含義。可以據此分析以下分區的情況。
800101000 bfebffc3f 00-00007 e86bb 00
①②③④⑤⑥
①:激活標誌,80表示可引導分區。
②:分區開頭的頭號是01,開頭的扇區號是01,開頭的柱面號是00。由於開始的扇區號是6位二進制,開始的柱面號是10位二進制,所以扇區號中使用的字節的高兩位要加到柱面號的高兩位上。
③:分區的系統類型為FAT32(0B),01為FAT12,04為FAT16,06為BIGDOS,07為NTFS,其他見分區類型表。
④:分區端頭號254,分區端扇區號63,分區端柱面號764。
⑤:第壹個扇區的相對扇區數為63
⑥:總扇區數為12289622。
2.常用手工處理工具和DOS外部命令介紹
DEBUG:最古老、最常見的調試和跟蹤軟件,總是捆綁在微軟的DOS/WIN9X操作系統中。有19個子命令。它具有編寫和執行匯編指令,直接讀寫絕對扇區和存儲單元的功能,可以在最困難的條件下工作。對於DOS6.22以下的系統,DEBUG.EXE在DOS目錄下,在WIN9X系統下在WINDOWS\COMMAND目錄下,在WIN9X生成的應急盤裏也會出現。
DISKEDIT:常見的16 base編輯軟件,帶字符界面,可以讀寫文件模式和扇區模式的邏輯內容,讀寫絕對扇區,輕松找到並編輯分區表、FAT表、根區等重要扇區。這比調試更方便。但是,當壹些重要扇區損壞時,DISKEDIT可能無法啟動。DISKEDIT軟件可以在著名的NortonUtilities軟件包中找到。最新的DISKEDIT出現在NU4中。
NDD:壹款常見的FAT文件結構磁盤修復工具,著名的諾頓磁盤醫生,可以自動修復分區丟失,可以搶救軟盤壞區的數據,然後強行讀取出來,移動到其他空白扇區。希望妳不要再用諾森佛斯7或8的NDD了。這個版本會給妳帶來很多麻煩,因為它不支持大分區、FAT32、長文件名等技術。建議在NortonUtilities4或更高版本中使用NDD.EXE,這是純DOS下的工具。在硬盤崩潰或異常的情況下,可能會給用戶帶來希望。WIN9X下的磁盤醫生調用的不是這個程序,而是
是NDD32.EXE。
FDISK:當然,FDISK:FDISK是壹個危險的命令,很多人都非常害怕。事實上,FDISK命令的操作並不影響任何分區中的硬盤數據。他對分區的設置操作只是改變了主分區表的數據區。特別是FDISK非常重要的隱式參數/MBR,可以重建主分區表的代碼區,清除主引導病毒。這是壹個非常有用的操作。對於DOS6.22以下的系統,FDISK.EXE在DOS目錄下,在WIN9X系統下在WINDOWS\COMMAND目錄下,在WIN9X生成的應急盤裏也會出現。
格式化:在某些人眼裏,格式化是最可怕的命令,但它並不清除硬盤。特別值得註意的是,許多文件恢復工具建議您在恢復之前格式化該分區以保護它。對於DOS6.22以下的系統,FORMAT.COM在DOS目錄下,在WIN9X系統下在WINDOWS\COMMAND目錄下,在WIN9X生成的應急盤裏也會出現。
硬盤拷貝:壹種傳統的軟盤拷貝工具。2.0版本後增加了強制讀取的功能,可以讀取壹些損壞扇區的內容。
SYS:SYS命令是重建引導區最簡單的手段,也可以殺死引導區的病毒。對於DOS6.22以下的系統,sys.COM在DOS目錄下,在WIN9X系統下在WINDOWS\COMMAND目錄下,在WIN9X生成的應急盤裏也會出現。
非常遺憾的是,我至今沒有找到壹款優秀的扇區級備份鏡像工具。我曾經寫過壹個高清鏡像,但是由於很多錯誤,我在提供下載的第二天就停止了發布。另外,fixc的作者noz寫了壹個clone.exe,可惜只適合同壹個硬盤。我以為幽靈也能做到。其實目前妳也不能指望他給妳備份壹個損壞很深的硬盤。。如果有壹個有效的方法,通過扇區機制(而不是文件機制)將壹個硬盤壓縮備份成鏡像文件,那麽我們的恢復工作就有了更多的保障和余地。我們可以嘗試更大膽的恢復。
3.壹些自動處理工具或軟件包
首先介紹壹些國內免費的修復工具。
FIXMBR:何功道老師寫的壹個修復MBR的工具,適合處理邏輯分區丟失的情況。有壹些可選參數,支持FAT32,FAT16,不支持NTFS,LINUX等分區,支持8.4G以上硬盤,可以修復CIH攻擊後的擴展邏輯分區。
VRVFIX:北信源公司推出的硬盤修復工具,適用於處理邏輯分區丟失,基本準確。支持FAT32和FAT16,不支持NTFS、LINUX等分區。不支持8.4G以上的硬盤。
FIXC:國內最早可以修復CIH損壞的部分c盤的工具是NOZ寫的。新版本還增加了修復分區信息的功能,支持FAT32和FAT16,有限支持NTFS,不支持8.4G以上硬盤,目前版本已經比較完善。
FixhDPT:TB soft Studio的分區信息修復工具。它支持FAT32,FAT16,不支持NTFS和LINUX,不支持8.4G以上的硬盤它是歷史悠久的工具之壹。
RE(ReapirEasy):我之前寫了壹個分區表修復工具,支持FAT32和FAT16,有限支持NTFS,不支持8.4G以上硬盤,部分BIOS不兼容。它的整體水平低於上面列出的工具。國外的壹些系統維護工具目前已經達到了非常強大的水平。
最古老的系統維護工具。它不僅可以恢復數據,還可以加速和修復內存錯誤。目前最新版本有NU4.5FOR9X,NU2FORNT等。
Tiramint:最優秀的災難恢復工具之壹,有四個版本:NTFS、FAT32、FAT16和NOVELL4。生成應急軟盤,可以交叉恢復深度損壞的磁盤。
4.常見基本操作
①讀取主引導記錄:這是系統級數據恢復中最復雜的程序之壹。示例:
調試
-a 100;從這裏開始編譯。
126C:0100movax,201;讀取扇區
126C:0103movbx,300;發送地址300
126C:0106movcx,1;0面1扇
126C:0109movdx,80;80H是硬盤,頭是0。
126 c:010 cint 13
126C:010Eint3
126C:010F
-g = 100;執行
AX = 0050 bx = 0300 CX = 0001DX = 0080 sp = ffee BP = 0000 si = 0000 di = 0000 ds = 126 ces = 126 CSS = 126 CCS = 126 CIP = 010 envupeiplnznaponc
這裏使用的是I/O中斷13,涉及ah的寄存器含義,操作方式,02H讀,03H寫,al發送扇區數,bx發送待加載扇區的內存偏移量地址,cx從哪個扇區開始。壹般來說,我們通過改變CX來讀寫不同邏輯磁盤的邏輯扇區。dx托盤符號和頭號INT 3都是斷點中斷,在這裏停止程序運行。
②顯示引導區的內容:把扇區讀到某個內存地址不是我們的目的。但是為了看到他的內容,d命令可以很容易地在DEBUG中查看內存單元的內容。繼續前面的例子,如果我們想看到主引導區的內容,因為它被加載到300。-d300l200可以查看。壹個引導區的圖像類似於下圖,我們可以直觀的看到前面提到的代碼區和數據區。是否正常,請自行分析。
126 c:030033 c 08 ed 0 BC 007 CFB-5007501 ffcbe 1b7c 3.....|.P.P....|
126 c:0310bf 1b 065057 B9 e 501-F3 a4 cbbebe 07 b 104...女警...........
126 c:0320382 c7c 09751583 C6-10 e 2 F5 CD 188 b 148 b 8,|。u...........
126 c:0330 ee 83 c 61049741638-2c 74 f 6 be 10074 EAC....It.8,t....名詞(noun的縮寫)
126 c:03403 c 0074 fabb 0700 b 4-0 ECD 10 ebf 2894625 & lt;。t...........F
126 c:0350968 a 4604 b 4063 c0e-7411 b 40 b 3c 0 c 7405..F...& lt。t...& lt. t。
126 c:03603 AC 4752 b 40 c 64625-067524 bbaa 5550 b 4:。u @ .F.u $..向上。
126 c:037041cd 1358721681f b-55aa 7510f 6c 10174 a..ex rights 無權認購新股...妳好....t
126 c:03800 b8ae 0885624 c 706-a 106 EB 1e 886604 BF....五美元.......f..
126 c:03900 a00b 801028 BDC 33-c 983 ff 057 f 038 b4e.......3.......普通
126 c:03a 025034 e 02 CD 137229-be 4607813 EFE 7d 55。普通...r)。F..& gt。}U
126 c:03 b0aa 745 a 83 ef 057 FDA-85f 67583 be 2707 EB . tz.......u..' ..
126 c:03c 08 a 98915299034608-13560 AE 812005 aeb...稀有..F..V....Z.
126 c:03d 0d 54 f 74 e 433 c 0 CD 13-ebb 800000000000。Ot.3...........
126 c:03e 05633 f 65656525006-5351be 1000568 bf4v 3。VVRP平方英尺...V..
126 c:03f 05052 b 800428 a 5624-CD 135 a 588d 641072 pr..B.V$..ZX.d.r
126 c:04000 a 4075014280 c702-e2f 7 f 85 EC 3 EB 7449。@u.B......^..全音階的第七音
126 c:04106 e 76616c 69642070-6172746974696 F6 envalidpartition
126 c:0420207461626 c 650045-72726 f 72206 c6f 61表。錯誤loa
126 c:043064696 e 67206 f 7065-726174696 e 672073操作
126 c:0440797374656d 004d 69-7373696 e 67206 f 70 system。失蹤人口
126 c:045065726174696 e 6720-73797374656d 0000操作系統..
126 c:04600000000000000-00000000000000................
126 c:04700000000000000-00000000000000................
126 c:048000000008 bfc 1e 578 b-f5cb 0000000000......W.........
126 c:049000000000000000-00000000000000................
126 c:04a 000000000000000-000000000000000................
126 c:04b 000000000000000-0000000000008001................
126 c:04c 001000 bfebffc3f 00-00007 e 86bb 000000......?...~.....
126 c:04d 081fd 0 ffeffffbd 86-bb 00 e0a 975000000............u...
126 c:04e 00000000000000-000000000000000................
126 c:04f 000000000000000-000000000000055aa..............單位
③對主引導區的內容進行反匯編:判斷MBR的代碼區是否正常,可以通過直觀的觀察得到數據區的基本信息,但在引導區有引導病毒或異常代碼時,可能需要分析MBR中代碼區的指令。這通常需要拆卸已經讀入內存的引導區。拆卸說明u,上接上例:
-u300l 15D;分解主引導扇區代碼區的內容。
126C:030033C0XORAX,AX
126C:03028ED0MOVSS,AX
…………
126C:045C65DB65
126C:045D6DDB6D
④寫存儲單元。在我們的例子中,主要的分區類型是0B和FAT32。假設這個類型其實是NTFS,怎麽修改呢?由於主分區類型的偏移量是4C3H,我們可以用e命令寫入內存單元,從附表中發現NTFS類型是07。所以-e4c37再舉壹個例子,假設我們要清除無效分區表,那麽我們應該使用另壹個命令f,它可以用填充壹個內存地址範圍。清除分區表的操作是-f4be4ff00,下面兩個操作也很常見。
重置80標誌,-e4be80
重置55AA標誌,-f4ff4fe55aa
別忘了,這個時候只是內存裏的數據被修改了,並沒有寫到硬盤裏。因此,需要使用int13中斷將重寫後的結果寫回硬盤。延續先例,
-a100
126C:0100movax,301;寫壹個扇區。
-g = 100;執行
其實我們相當於修改了剛剛進入的程序讀取主引導扇區,這樣程序就變成了。
126C:0100movax,301;寫壹個扇區。
126C:0103movbx,300;從存儲器地址300
126C:0106movcx,1;0面1扇
126C:0109movdx,80;80H是硬盤,頭是0。
126 c:010 cint 13
126 c:010 eint 3;斷點
⑤讀寫絕對磁盤內容。
類似的操作在CIH損壞的FAT32硬盤修復中也很常見。後面會講到恢復的基本思想,就是用第二個FAT表覆蓋第壹個FAT表。那麽毫無疑問,第二個胖表的內容應該被讀出,然後寫回到第壹個胖表的位置。壹般來說,在DISKEDIT中讀寫大量連續扇區是非常方便的。用DEBUG的話要寫壹個子程序,但是程序的主要技巧是用int25絕對盤讀取和中斷讀取的內容,用int26絕對盤寫入內容。
5、數據恢復的前提
有人覺得這個話題很奇怪,但是數據恢復作為壹個數據再生產的過程,必須解決兩個問題,第壹是從哪裏恢復,第二是如何恢復。通過解決這兩個問題,我們實際上已經掌握了數據恢復的全部思想脈絡。而這部分就是從哪裏恢復的問題。
(1)、有效及時的備份是數據恢復最可靠的來源,在很多人提倡備份到秒的今天,恐怕沒有人會懷疑這壹點。系統內置了壹些備份機制,比如兩個FAT表。
(2)、數據的實際有效性是關鍵,對於我們來說,硬盤無法引導、文件找不到、文件打不開等。,其實不等於數據丟失。因為這個時候數據往往只是從操作系統的角度來說是邏輯丟失,但是從物理扇區的角度來說還是存在或者部分存在的。最明顯的例子就是文件刪除。其實這只是把文件的第壹個字節改成0E。而文件主體仍然存在。
③數據損壞過程的可逆性分析:對數據的更改只有兩種,替換和轉換。前者不可逆,後者可逆。我們以殺毒為例。對於大多數文件病毒來說,理想的殺毒過程是對那些以附件而非替代方式感染的文件病毒進行感染的反向過程。當重要信息被隱藏、移動或加密時,這種分析也很常見,但分析會更復雜。
(4)數據本身是否是標準信息:有些信息其實是通用的或部分通用的,妳不需要考慮如何從這臺機器中搶救出來。只要系統版本相同或者相似,比如引導區,隱藏扇區,WINDOWS的DLL文件等等。典型的例子就是分區表的代碼區,這是壹個標準代碼。其實它就在妳的FDISK程序裏,妳可以通過調試提取出來。
⑤數據本身能否被其他信息統計復制:雖然丟失了部分信息,但沒有備份。但實際上可以從其他數據中間接獲得。最典型的是主分區表中的分區信息。就算清了也不用怕,因為可以從妳的幾個分區計算再生。
⑥銷毀完成度:其實無論是FDISK還是FORMAT都不會徹底銷毀數據,壹般只有低級和扇區覆蓋操作才會徹底銷毀數據。但有時,由於手動終止、崩潰等原因,銷毀過程或誤操作過程無法完成。最明顯的例子是CIH病毒。因為CIH以1024字節為單位覆蓋扇區,這當然是壹個不可逆的過程,所以我們壹開始都認為,除非手動終止,否則損壞很難恢復。事實上,當病毒覆蓋某些扇區時,它會與9X系統發生碰撞,導致崩潰和數據保護。
第三章,數據恢復的基本策略
1,硬件或媒體問題
①硬盤故障:硬盤自檢故障壹般是硬件故障,分為主硬盤控制器(包括IDE端口)故障和硬盤本身故障。如果問題出在主板上,那麽數據應該沒有影響。如果是在硬盤上,也不是不能修。硬盤可能的故障可能在控制電路,電機,磁頭,磁盤。如果是控制電路的問題,壹般可以修好,讀取數據。但如果電機、磁頭、磁盤出現故障,即使修好也要返廠,數據恢復基本無法操作。
2.軟盤壞了:當軟盤的數據損壞時,有幾種方法可以處理。壹種方法是用NDD來修復它。它會強迫妳把壞區裏的東西讀出來,移到空白扇區,也就是說如果妳的磁盤滿了,操作就無法進行。也可以使用HDCOPY2.0版或以上的READ軟盤,它也會進行強讀,讓讀入緩沖區的數據完好無損,直接寫入好的磁盤即可。當然,這些方法取決於磁盤故障的程度。如果0號磁道損壞,數據將無法保存。之前可以通過扇區讀取來讀取以下數據,但壹般來說還是可以用HDCOPY做實驗的。
2、系統存在問題的情況
(1)、在硬盤崩潰的情況下,我們經常要處理壹些提示。我們要理解他的典型訊息的含義,註意這些原因只是分析硬盤的邏輯損壞而不是物理壞軌。
催促信息
可能的原因
參考處理
InvalidPartitionTable
在分區信息中,1BE、1CE和1DE只有壹個80,其他兩個都是0。
用工具設定,操作前面已經提到了。
錯誤加載操作系統
主引導程序5次讀取引導區失敗。
重建引導區
失蹤操作系統
DOS引導區的55AA標誌丟失。
用工具設置,將之前讀寫主引導區程序的DX=80改為180。
非系統磁盤或磁盤錯誤
引導區中的系統文件名不同於根目錄中的前兩個文件。
SYS命令被重新傳輸到系統,
磁盤啟動失敗
讀取系統文件時出錯。
SYS命令被重新傳輸到系統,
invaliddriverspecification g
如果您嘗試切換到現有的邏輯分區,將出現以下消息,表明主分區表的分區記錄被破壞。
根據各個分區的情況重建分區表,或者用自動修復工具修復。註意分區丟失是最常見的故障之壹,這個時候不要緊張。壹般來說,這個時候的數據是沒有問題的,如果妳不懂處理方法的話。可以選擇我前面介紹的自動分區修復工具。大部分只是重寫主分區表的數據區,不會影響妳的其他數據。在這裏提醒壹下,這些工具有壹部分是不支持8.4G硬盤的,有壹部分是和BIOS對硬盤的識別有關。如果在壹臺機器上做不到,可以在不同BIOS的不同機器上試試。
Badormissingcommandinterpreter
這意味著找不到COMMAND.com,或者命令文件被破壞了。
如果妳把命令文件復制過去,壹般會感染某種病毒。
Invalidmediatypereadingdrive
x,中止,重試,失敗?
這個磁盤沒有高級格式,或者啟動區的I/O參數表已損壞。
這裏情況比較多,人工處理比較復雜。指出此時DISKEDIT可能無法運行,建議使用工具修復。
不正確版本
可能是文件版本不統壹。對於9X,有95,95osr/2,98,98oem/2等版本。搜索時不要出錯。
使用正確版本的啟動盤重新啟動系統。
另外,對於老機子,還有1071,notfoundrombasic,ROMBASICOK等提示,在現在的機子裏消失了。另外,當代碼區被完全破壞後,關於沒有系統的系統提示來自BIOS,這與BIOS的類型有關。另外,我們經常使用FDISK/MBR來重構代碼區。下面介紹另壹種極端情況,就是硬盤自檢正常,但軟盤和硬盤都無法正常啟動。這可能是因為病毒或惡意程序利用了啟動DOS3以上版本時要搜索分區表的特性,將分區表設置為無限循環。導致啟動時崩潰。網上已經流傳出DOS6.22k的修改方案。其實就是修改IO。SYS的MS-DOS6.22,並將C20306E80A00077203替換為:C20390E80A00728090啟動被類似情況鎖定的硬盤。
② WIN9X無法進入或正常工作:以下只是對可能出現的軟故障的分析,不考慮硬件故障。
進入圖形界面前的崩潰比較復雜,可能與加載的壹些驅動程序有關。啟動MSWINDOWS時,可以用F8激活菜單,設置為逐步,看看哪個導致系統崩潰。然後從配置或系統。在ini中刪除
進入圖形界面後死機:壹般這和啟動加載的程序有關。進入安全模式(此時不會加載自動運行的程序),分析註冊表中HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ run *中的鍵值和啟動組中加載的程序。必要時刪除。
顯示IEXPLORE.EXE錯誤,無法執行任何操作。可能有壹個系統的動態鏈接庫在安裝WIN9X時被破壞了,或者這個被破壞的鏈接庫可能是從其他機器上復制過來的。(通常很難確定哪個庫損壞。)
經常出現各種錯誤:壹般是虛擬內存不足,看c盤剩余空間太少或者打開的應用程序和窗口太多造成的。
2.完全崩潰和分區損失
先重建MBR代碼區,然後根據情況修改分區表。修改分區表的基本思路是找到以55AA結尾的扇區,然後根據扇區結構和後面是否有FAT來確定是否是分區表,最後計算並回填主分區表。因為需要計算,過程比較繁瑣,就不詳細介紹了。我希望妳能使用前面介紹的工具,比如NDD。如果文件仍然無法讀取,請考慮使用TIRAMINT之類的工具進行修復。如果在FAT表完全崩潰時恢復了指定的文件,可以使用DISKEDIT或DEBUG來查找已知信息。例如,如果文件是文本,並且文件包含“軟件狗”,那麽我,我