史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 系統 & 硬體安裝及故障判斷技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-06-03, 06:56 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 一次恢復硬碟資料的經歷

一次恢復硬碟資料的經歷

昨天中午一個朋友拿著一個4G的硬碟來找我,說起動後看不到分區,但是裡面有一個程序裡面有關於公司的一些比較重要的資料,dbf格式的資料庫,公司比較小,沒有多少人懂電腦,也沒有製作制作備份。


我說明 他找到了大部分資料,還是有一份資料丟失了。


現在我把這一次 的體會寫出來,給其他朋友增加一點經驗,由於當時沒有截圖,我現在寫的時候是憑著記憶寫的,而且那塊硬碟已經拿走,不可能重現當時的情況了,所以我就多說幾句來彌補這一點,圖都是事例性質的,不是當時修復的抓圖。

上午的時候他打電話問我如何恢複資料,我就和他簡單說了幾句,說用easy recovery 試一試,中午他拿著硬碟找上門來,要我幫他。


他告訴我說用easy recovery 6只找到一些古怪的文件,如.mpg等等沒有用處的東西。
首先我把他的硬碟接到我的電腦上,然後我是這麼做的:


1 大概瞭解硬碟的情況,詢問硬碟損壞的原因。


他告訴我說開啟機器,發現無法啟動,主機板似乎沒有自我檢驗,懷疑主機板壞了,換了一塊主機板,發現只能在bios裡面找到硬碟,而不能進入系統,接到別的電腦上,也看不到分區。


我說可能就是分區表丟了,如果僅僅是分區表丟了的話比較簡單。


2 粗略檢視硬碟資料。執行winhex或者RunTimes的磁牒工具diskexplorer,(其他的可以進行磁牒編輯的軟體也可以),如winhex_edit.png,選需要的物理硬碟,申明一點,貼圖時候那塊硬碟不在了,所以這裡僅僅是作個例 子說一說。然後移到捲軸,瀏覽一遍整個硬碟,可以看到一些有意義的字串串,還可以見到大批的零資料,當然更多的是看不懂的內容。


這個沒有關係,至少目前說明硬碟沒有什麼明顯的物理損壞,或者邏輯壞道。

3 自動尋找。

用Easy recovery 6里面的工具試突自動找到分區,失敗了。


4 試突重建分區表。檢視第一個扇區也就是MBR的內容,發現一塌糊塗,分區表完全損壞。如果僅僅是分區表損壞,完全可以通過搜尋分區,然後根據分區的偏移重建分區表。


5 瞭解分區情況,如硬碟分幾個區,每個分區大概多大,分區格式是什麼。繼續詢問,瞭解到機器大概是99年左右買的,裝的是win98,不知道幾個分區,不知道分區格式是fat16還是fat32,不知道那個關鍵程序裝在那個分區,不知道那個關鍵程序的目錄名 字,頭暈,一問三不知阿,不過至少知道是fat格式,不是ntfs格式,而且很可能是fat32的分區格式(純屬猜測)。


根據經驗,一般第一個分區從第64個扇區開始,這個扇區是分區的第一個扇區,對於fat來說,是啟始扇區,裡面存儲著BPB資料。從起 始扇區一直瀏覽到第64個扇區,前面的扇區資料都很混亂,不像是空白的樣子,懷疑被病毒改寫了,看這樣的症狀,猜測是類似CIH的病毒,損壞bios,導致主機板不能啟動,同時搞亂C碟的資料。


一直到遠遠超過了64個扇區的時候,也沒有看到看起來可能是fa t的啟始扇區的扇區。



直接搜尋扇區尾部的55AA(啟始扇區的標誌資料),搜尋了一會,似乎沒有找到啟始扇區。


6 尋找根目錄。

找不到啟始扇區,無法定位分區的開始,從而無法定位fatmbr的位置。


換個思路,根路徑就在fat後面,挨著fat阿,所以決定搜尋根路徑。看看我的win98的根目錄,有MSDOS這個檔案名字,於是搜尋MSDOS這個字串串,很幸運 ,找到了,在大約第16700個扇區裡面,然後倒退幾個扇區,發現了fat表,fat表一般是排列很整齊的資料,你開啟你自己的硬碟,看看fat的16進製表示,就知道這個很整齊大概是什麼樣子了。


這樣看來,第一個分區大概在硬碟的8M左右的位置開始的。

找一個磁牒編輯工具,如RunTimes的磁牒工具diskexplorer,從根路徑扇區的開始位置用根路徑的模式檢視,熟悉的檔案名字出現了,說明這裡確實是根路徑所在的扇區。檢視fat表,似乎前面部分的fat損壞了一部分,而後面的比較完好,同時 還是沒有找到啟始扇區,看來啟始扇區被破壞了。


7 再一次自動尋找。根據前面的資訊,已經可以推算出大部分的資訊了,但是手工勞工比較辛苦,還是試一試自動化的工具哦。


再一次執行Easy recovery 6,使用Data recovery 裡面的AdvancedRecovery工具,如advanced_recovery.png所顯示,當硬碟上沒有分區資訊時候,紅色箭頭所指的Advanced Options按鈕是可以選項設定的。


第一次自動尋找的時候,就是使用了預設的設定,所以搜尋失敗,根據前面的分析,設定搜尋範圍從16000個扇區開始,分區類型選項fat32,fat的匹配模式選項忽略fat表(預設時候是最佳匹配),然後就可以看到 Easy recovery 6不斷的顯示出搜尋的文件。



8 匯出重要資料。


可以說Easy recovery 6得恢復還是比較成功的,恢復出了相當多的目錄結構,關鍵是我看到了lock2000目錄,這就是我們要尋找的重要資料目錄。其他沒有關係的資料就不要了。存儲lock2000目錄後,開啟dbf資料庫,發現大部分資料庫完全恢復,少部分在最後面出現了亂 碼,也就是最後面的資料不太對。

最後,總共歷時1個小時。基本上,資料恢復是成功的,不能恢復的部分估計是因為fat表的損壞導致Easy recovery 6接錯了文件的尾部。



得到的教訓是,充分利用自動化工具,但是,隨著大硬碟的增多,自動化工具掃瞄一次非常費時間,當然4g的硬碟很小,也是比較慢的。所以要注意收集資訊,資訊收集越充分,提供給自動化工具的資訊越多,資料恢復的可能也越大。
多說一句,

現在的修復工具一般不是直接在硬碟上操作,而是僅僅
在記憶體中 重建 fat等操作, 基本沒有寫硬碟的操作

因為沒有對硬碟的寫操作,所以不需要製作制作備份 資料,那種先製作制作備份的想法是很old了

當然如果對硬碟直接改寫,最好需要製作制作備份資料
修復硬碟要看運氣,損壞少,容易修,損壞多,難啊!

參考文 :
Active@ Partition Recovery

http://www.partition-recovery.com/partition.htm

http://hnpy.onlinedown.net/down/part...loppysetup.exe
Active Partition Recovery是一個功能強大的DOS軟體工具,它可以說明 你恢復(反刪除)已經被刪除的分區,它可以制作備份MBR(Master Boot Record),分區表等等.

Active@ Partition Recovery
http://www.newhua.com/sort/23_1.htm
http://www.surfinvest.com/Go.php?url.../partition.htm
http://www.partition-recovery.com/downloads/pr.exe

Active@ Partition Recovery is a very small, easy to use DOS Program (only 150k in size) using which you can:

Recover deleted partitions (FAT and NTFS)
Restore deleted FAT and NTFS Logical Drives
Create Drive Image - for backup purposes
Scan hard drives and detect deleted FAT and NTFS partitions and/or Logical Drives
Preview files and folders on deleted partition or drive, to recover proper data
Backup MBR (Master Boot Record), Partition Table, Boot Sectors
Restore MBR, Partition Table and Boot Sectors from backup if damaged
Extended Disk Scan may detect partitions being deleted even if you have created new ones instead, formatted and used them !

In addition to above you can also:

Undelete partitions (Primary and Extended)
Keep this program on a bootable floopy disk due to its small size
Display complete Physical and Logical Drive information
Use it with ease: controlled by only arrows, ENTER, ESC keys
Active@ Partition Recovery can recover deleted partition only if its location on hard disk drive has not already been overwritten. If you wisely created MBR backup using Active@ Partition Recovery, you can always restore MBR and partition information.

DIFFERENCES BETWEEN DEMO AND COMMERCIAL VERSIONS

Active@ Partition Recovery for DOS version
DEMO
COMMERCIAL

Can be placed to and run from bootable floppy
Yes
Yes

Displays complete physical and logical drive information
Yes
Yes

Supports IDE / ATA / SCSI drives
Yes
Yes

Supports large (more than 8GB) size drives
Yes
Yes

Supports FAT12, FAT16, FAT32, NTFS, NTFS5 file systems
Yes
Yes

Supports MS-DOS, Windows 95/98/ME/NT/2000/XP partitions
Yes
Yes

Detects deleted primary/extended partitions and drives
Yes
Yes

Scans partitions damaged by virus or with damaged MBR
Yes
Yes

Ability to preview partition data before recovery
Yes
Yes

Displays long file names
Yes
Yes

Ability to create Disk Image as set of 1GB files
Yes
Yes

Creates backup for MBR, Partion Table, Boot Sectors
Yes
Yes

Restores MBR, Partion Table and Boot Sectors from backup
-
Yes

Saves detected partition information back to HDD
-
Yes

http://www.partition-recovery.com/images/scan.gif

http://www.partition-recovery.com/images/detect.gif

http://www.partition-recovery.com/images/info.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3194 次
舊 2004-06-03, 10:54 AM   #2 (permalink)
長老會員
榮譽勳章
UID - 18176
在線等級: 級別:27 | 在線時長:889小時 | 升級還需:7小時級別:27 | 在線時長:889小時 | 升級還需:7小時級別:27 | 在線時長:889小時 | 升級還需:7小時級別:27 | 在線時長:889小時 | 升級還需:7小時級別:27 | 在線時長:889小時 | 升級還需:7小時級別:27 | 在線時長:889小時 | 升級還需:7小時級別:27 | 在線時長:889小時 | 升級還需:7小時
註冊日期: 2002-12-27
住址: 桃園
文章: 369
精華: 0
現金: 1018799 金幣
資產: 1038940 金幣
預設

thanks for sharing
mach12 目前離線  
送花文章: 46, 收花文章: 26 篇, 收花: 37 次
舊 2004-06-03, 06:31 PM   #3 (permalink)
長老會員
榮譽勳章
UID - 1933
在線等級: 級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時級別:23 | 在線時長:642小時 | 升級還需:30小時
註冊日期: 2002-12-06
文章: 3269
精華: 0
現金: 4370 金幣
資產: 4530 金幣
預設

很棒的維修資料
值得參考
__________________
請善用Google 當遇到問題時請先思考問題出在那裡???

支持版主-------嚴禁灌水.
ronbaby 目前離線  
送花文章: 901, 收花文章: 137 篇, 收花: 284 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:14 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1