如果你会走路,那你就肯定有摔的时候;如果你的电脑上网,那你肯定就要遇到病毒;同样,如果你有电脑,那你就有数据丢失的时候——不要告诉我误删文件的经历你都没有?高!高人!小弟拜倒了!
如果告诉你你经年的精华数据能恢复了,你被破坏的分区表能恢复了,或是你被CIH啃掉的数据能恢复了,那——你不会给我磕头吧?别,别激动,我给你讲就是……
要想知道怎样恢复数据,先必须要知道硬盘数据存储及其相关的原理,让我来简单的介绍一下:
硬盘驱动器,这是一种采用磁介质的数据存储设备,数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成,在磁盘片的每一面上,以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道(track),每个磁道又被划分为若干个扇区(sector),数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头(head),所以不同磁头的所有相同位置的磁道就构成了所谓的柱面(cylinder)。传统的硬盘读写都是以柱面、磁头、扇区为寻址方式的(CHS寻址)。硬盘在上电后保持高速旋转,位于磁头臂上的磁头悬浮在磁盘表面,可以通过步进电机在不同柱面之间移动,对不同的柱面进行读写——如果你有个不用的坏的硬盘,你就可以拆开了看看,这神秘的东东。所以在上电期间如果硬盘受到剧烈振荡,磁盘表面就容易被划伤,磁头也容易损坏,这都将给盘上存储的数据带来灾难性的后果。(叫你不要把你的机箱当球踢,你就不信!看看现在死了吧!)
硬盘的第一个扇区(0道0头1扇区)被保留为主引导扇区。在主引导区内主要有两项内容:主引导记录和硬盘分区表(FAT)。主引导记录是一段程序代码,其作用主要是对硬盘上安装的操作系统进行引导;硬盘分区表则存储了硬盘的分区信息。计算机启动时将首先读取该扇区的数据,并对其合法性进行判断(扇区最后两个字节是否为0x55AA或0xAA55 ),如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象(古时候的事了!),从而被篡改甚至被破坏。可引导标志:0x80为可引导分区类型标志;0表示未知;1为FAT12;4为FAT16;5为扩展分区等等。
另外,在cmos里也有硬盘的信息:如硬盘的型号、大小、拄面数、磁头数以及硬盘的“寻址方式”等。
好了,言归正传,让我们来看看具体的情况。
一 文档损坏
我们平时在用电脑的时候,或是菜鸟在用你的电脑的时候,还有某人恶意动你电脑的时候——你的文件被del了,还是shift+del!!那怎么办?或是你为了节约硬盘空间,你把你的回收站改成了”不同过回收站,直接删除”,这又怎么办?follow me……
文档的删除是最常见的数据损坏,如果你的电脑中你最重要的一封情书被删了,在你没有对原删除文件的内存(分区)写入的情况下,恢复应该是没有问题的!(其他文件恢复的原理也一样)——一般来说,文件删除仅仅是把文件的首字节,改为E5H,而并不破坏本身,因此可以恢复。但由于对不连续文件要恢复文件链,因此手工交叉恢复对一般计算机用户来说并不容易,最好到网上down个软件来用用。
File Rescue是Software Shelf International, Inc.公司出品的Windows专用的拯救删除文件的工具,File Rescue可以将硬盘上删除的文件及资料找出并以清单显示所删除时的时间及所在目录或根目录,并让使用者选择是否拯救以删除的文件,拯救回来的文件可另外保存。你可以到"中国下载"去下载,但是可惜它是一款共享软件,它的试用期很短,如果你想要得到正版那只有支付$才可以,下面就让我们看看我的一个文档gcily.txt是怎么恢复回来的.
我在删文件的时候用了shift+del,我的文件一下就不见了,我才忽然想到我有个重要的数据(数字信息)放在里面,我那个后悔呀……赶快下了个file rescuer来用.
不用解压就可以安装,然后点击.exe的图标,他会弹出一个画面, ,大概的意思是叫你填上被删数据的位置,文件类型等,我的是c盘下的*.txt文件,就是如下图这样填的. (如图1).
点ok,接着就会出现File Rescue的主界面,并且File Rescue开始对硬盘进行扫描,只要在空白区域中发现曾有文件被删除就会在列表框中显示删除文件的文件名、原先所在的目录、文件大小、文件修改日期以及恢复文件的可能性("Condition"),如果文件在"Condition"一栏中显示的属性为"good"则代表文件可以恢复,如果属性为"poor"则表明文件恢复的可能性较之"good"要小,如果属性为"hopeless"则顾名思义文件是无法恢复了,(如图2)
看来我的运气还好,”poor”文件都恢复了----点击”undelete”,恢复文件,(如图3),我的文件就恢复了!一点损伤都没有!
对文件的误删是比较简单的,就这些。再次提醒你注意:
1,如果文件在删除之后,其存储的磁盘空间进行过写操作,那在通常情况下恢复的几率为0!要是你的重要数据被误删了,你应该做的是:马上断电,一直不向硬盘装入东西,直到开始恢复数据为止.
2、注意windows扫描和报告的设置:默认状态下,windows会在启动的时候检测你的分区有没有错误,如果上次是非正常关机,你就会看到一个扫描的任务及进度条,这种扫描对解决交叉链接错误有用,但对于要恢复的文件可能会造成致命的破坏——因为扫描完毕后,windows会生成信息报告,有可能刚刚(占用)破坏目标文件的关键字节,如果是可执行文件,就算勉强恢复过来也用不了。进入windows后,也请你不要在该目标分区进行磁盘扫描,因为默认状态下,windows会把交叉链接文件和把文件碎片转化成*.CHK,也有可能破坏你的目标文件。如果你用的是windows98,建议你在MSDOS.SYS里设置一下,在OPTION组加入一句AUTOSCAN=0,把启动的扫描屏蔽掉;如果是windows2000或XP,就按回车跳过磁盘检测直接进入windows。
3,字处理软件中相关文件删除后恢复的技巧:0象WPS或WORD这类字处理软件,除了用恢复工具,还可以进入其安装目录,找到隐藏的临时文件直接恢复。因为这类软件都会对你当前操作的文件生成一个后备文件,而且不自动删除,所以你可以在DOS状态下,在目标目录键入ATTRIB *.* -h消除临时文件的隐藏状态,然后把后缀名改成*.DOC或是*.WPS,就可能已经成功恢复了。当然,得到的临时文件可能会有很多个,名字也是千奇百怪的,你就一个个打开看看是哪一个吧.
二分区表被破坏
这是比较厉害的一重数据破坏了,我只遇到过一次——我误删了分区!来看看,我是怎样把他恢复过来的.
我在google上找到了一个Final Data,听说他对分区误删的恢复很厉害.安装后,选择”选择驱动器”(如图4),选择你的分区和其它信息,然后Final Data在完成所有的检查后会将目标任务驱动器的所有文件分类后以表格形式详细列出来,包括正常的目录、已删除的目录和删除的文件等大类。在表格右边的详细列表中列明了所有的文件资料,包括文件的名称、大小、目前状态(是否破损)和创建时间,最关键是文件所在的物理簇位置,这样恢复这个文件就不是什么问题了(如图5).
朋友介绍说在google上有个Lost&Found很好,看了看介绍,人都吓晕了——是不是有这样多的功能哦?——“它是一套恢复硬盘因病毒感染,意外格式化等因素所导致的资料损失工具软件,能将已删除的文件资料找出并恢复,也能找出已重新格式化的硬盘、被破坏的FAT分配表、启动扇区等等,几乎能找出及发现任何在硬盘上的资料(支持FAT16和FAT32及长文件名)。恢复回来的资料能选择在原来所在位置恢复或保存到其它可写入资料的硬盘,也提供了自动备份目录、文件和系统配置文件的功能,能在任何时间恢复)”,看看,人家专业的就是不一样,说话的口气都把咱这80kg的人吹上珠穆朗玛峰!——如果你要用他来恢复你的硬盘,要注意的一点是,尽量用一个很大的硬盘来装恢复的数据(最好挂双硬盘——如果可能的话),如果目标盘的容量小于源盘的容量,下场会很惨!不过Lost&Found却是基于DOS的一种软件,这在“瘟”横行的今天,少,真少!
其它能造成这类破坏的原因及结果有:
安装多系统引导软件或者采用第三方分区工具——有恢复的可能性。
病毒破坏——可以部分或者全部恢复。
利用Ghost克隆分区/硬盘破坏——只可以部分恢复或者不能恢复(用Ghost的朋友要小心了——反正我不用那玩意儿)。
此处说的主要是没有正确备份分区表的情况下,对分区的恢复;已经有分区表备份的恢复很简单,不再啰唆。
三病毒破坏
原因:病毒
症状:几乎囊括了所有的种类——且隐蔽性强!故障表现为数据搬家,数据修改,怪码、FAT(分区表)、FDT(目录项)被破坏等。
解: 有几位朋友在4月26号哪天不幸中招——CIH~~/*不要被吓倒了*/,我们几个决定自己把数据给找回来,于是有个网友就告诉了我们这个办法,在此谢谢他!
首先修复硬盘分区表信息。被CIH病毒破坏的硬盘,其分区表已被彻底改写,用A盘启动也无法找到硬盘。所以,要恢复C分区(或是你自己定义的系统盘)的数据,首先要恢复硬盘分区表,同时也就恢复了除C以外的其他逻辑分区的数据。你可以用工具或就是用上面我讲的方法来恢复分区表.
完成了以上的工作后,就可以着手恢复C分区上的数据了。C分区无法被访问,主要是因为其目录结构被CIH病毒破坏了,要恢复C分区的目录结构,需要用到一个叫Tiramisu的工具软件。针对FAT16和FAT32,Tiramisu有ForFAT16版和ForFAT32版,应根据染毒硬盘的分区情况选择相对应的版本。
(1)制作一张无病毒的引导盘(包含HIMEM.SYS和EMM386.EXE这两个文件),然后在CONFIG.SYS中加入:
DOS=HIGH
DEVICE=HIMEM.SYS
DEVICE=EMM386.EXERAM
把下载的Tiramisu压缩包里的所有文件解压缩到引导盘上。
(2)用这张引导盘引导电脑,运行Tiramisu.exe,在“File”菜单中选择“Startrecovery”菜单项,程序开始自动从C分区上寻找目录结构,这个过程所需要的时间由硬盘数据的多少和机器的速度决定。C分区的目录结构搜索结束后,会显示目录搜索结果,看起来有点像WIN的资源管理器,从这个“资源管理器”中可以看到:搜索到的目录结构与染毒前基本相同,只是被破坏过的目录,其目录名称被改变。
(3)这一步就是要把C分区上的数据备份出来:在“资源管理器”(目录表)中选择要备份的目录或文件,从“File”菜单中选择“Copyfile(s)”菜单项,把数据拷贝到指定的驱动器上,可以是A驱或其它逻辑分区(D、E、F...),但千万不要直接拷贝到C分区上(对于只有一个C分区的硬盘,建议另挂一个从硬盘来备份数据)!
这就是全过程了,还有用kv3000的f10功能也能用来恢复硬盘,但是有一定的限制:
如果你的C盘容量为2.1G以上, 原FAT表是32位的,C分区的修复率为98%,D、E、F等分区的修复率为99%, 配合手工C、D、E、F等分区的修复率为100%。
如果硬盘容量为2.1G以下,原FAT表是16位的,C分区的修复率为0%,D、E、F等分区的修复率为99%, 配合手工D、E、F盘的修复率为100%!
四http://it.yn.cninfo.net/pubnews/doc/read/8742421943220786295/5.oldsystem22.445/index.asp
硬件破坏
上面我讲的都是写软件方面的,下面的病态是关于硬件的。
硬盘:硬盘自检不到的情况一般是硬件故障,又可分为主版的硬盘控制器(包括IDE口)故障和硬盘本身的故障。如果问题在主板上 ,那么数据应当没有影响。如果出在硬盘上,也不是一定不能修复。 硬盘可能的故障又可能在控制电路、电机和磁头以及盘片。如果是控制电路的问题,一般修好它,就可以读出数据。但如果电机、磁头和盘片故障,即 使修理也要返回原厂,数据恢复基本没有可操作性——祈祷吧!
软盘:当软盘数据损坏时,可以有几种处理,一种是用NDD修 复,他会强制读出你坏区中的东西,MOVE 到空白扇区中,这就意味着—— 如果你的磁盘很满操作是没法进行的。你也可以用HDCOPY2.0以上版本READ软盘,他也会进行强读,使读入缓冲区的数据是完好的,你再写入一张好磁盘就可以了。当然这些方式,要看盘坏的程度。如果0磁道坏,数据也并非无法抢救,早先可以通过扇区读的方式,把后面的数 据读出,不过一般来说,你依然可以HDCOPY来实验。
五
未雨绸缪
其实和很多事情一样,数据的丢失也可以在事先防范,比如硬盘的备份,镜象等